7.8.2. Het tweede cluster: interne organisatie

Of PET gebruikt worden, blijkt dikwijls af te hangen van specifieke personen op sleutelposities die met de materie vertrouwd zijn en een voortrekkersrol vervullen bij de toepassing van dit type technologieën. Deze personen kunnen daarbij dan ook sterke positieve invloed uitoefenen.2 Volgens Fairchild & Ribbers is primair bepalend "How open is top management to accept changes that accompany innovation."3

Een belangrijke rol bij de adoptie van PET lijkt voor adviserende instellingen, zoals accountants, advocaten, en rechtsbijstandverzekeringen te zijn weggelegd. Bos signaleert dat de voorgangster van het College Bescherming Persoonsgegevens (CBP), de Registratiekamer, een belangrijke rol heeft gespeeld bij de acceptatie van PET. Tot 2001 heeft de Registratiekamer een actieve adviserende rol gespeeld om het gebruik van privacyverhogende technologieën binnen organisaties te stimuleren, met name bij grootschalige projecten. Doordat het gebruik van PET meer aandacht kreeg zijn ze ook vaker toegepast. Momenteel worden deze technologieën door het CBP niet meer proactief als oplossingsrichting geadviseerd, waardoor de toepassing daarvan achterblijft. Ook blijkt uit het onderzoek van Bos dat de relaties die organisaties onderhouden met adviserende instellingen (zoals het CBP) van invloed zijn op het al dan niet gebruikmaken van privacyverhogende technologieën. Organisaties die geen relaties onderhouden met dergelijke instellingen blijken deze technologieën vrijwel niet in praktijk te brengen.4 In het onderzoek van Hosein in het Verenigd Koninkrijk5 kwam evenwel het tegendeel naar voren. Organisaties zien de toezichthoudende instellingen niet als een belangrijke factor voor de toepassing van privacyverhogende technologieën in hun informatiesystemen. Dat zou een gevolg kunnen zijn van het feit dat de Britse privacytoezichthouder volgens de participanten aan de 'workshop' vrij onbekend is in het Verenigd Koninkrijk. Discussianten vonden de rol en invloed van bedrijfsverenigingen en industriële normen belangrijker. Volgens Hosein: "This may change as privacy breaches come to dominate business privacy concerns as regulators may choose to re-open dialogue about the role of encryption and other such technologies to minimize damages, but this was not seen as an immediate or pressing component."6

Participanten meenden echter dat organisaties privacy wellicht meer prioriteit zouden geven als gegevensbescherming onderdeel zou zijn van wetgeving die het management verplicht is privacybescherming organisatorisch in te bedden. Dit is bijvoorbeeld het geval bij wetgeving op financieel/boekhoudkundig gebied waar een accountantscontrole verplicht is.

Rogers geeft aan: "the size of the organization has consistently been found to be positively related to its innovativeness. Large organizations are more irmovative".7

Uit het onderzoek van Bos blijkt dat de innovatie dient aan te sluiten bij de structuur en de cultuur van een organisatie. Uit de door hem uitgevoerde drie casestudies valt op te maken, dat de grootte en structuur van de organisatie soms wel en soms niet een positieve bijdrage aan de adoptie van PET leveren. Bos merkt op dat tevens meespeelt of de (keten)organisatie relatief eenvoudig en klein is.8 Hosein rapporteerde over het belang van de bedrijfscultuur, dat het vooral van de interne cultuur van de organisatie afhangt of privacybescherming een prioriteit heeft binnen het bedrijf en of erin wordt geïnvesteerd. De ondervraagden tijdens de workshop in Londen zagen de bereidheid van organisaties om de privacy te beschermen als een recent verschijnsel. De bedrijfscultuur dient zodanig te zijn dat het management bij afwijkingen van het vastgestelde privacybeleid krachtig daartegen optreedt. Als er een dergelijke bedrijfscultuur is, dan blijkt dat de sterkste drijfveer te zijn voor het investeringen in PET-maatregelen. "For instance, if a PET was adopted to manage access controls, this could be simply circumvented through staff abusing their roles or privileges — and this is a problem that only a strong privacy culture could manage."9

Wat betreft de omvang van de organisatie concluderen Fairchild & Ribbers in tegenstelling tot Rogers dat een grotere omvang van een organisatie juist een negatieve invloed heeft op de adoptie van PET.10

In twee van de drie casestudies rapporteert Bos dat de privacywetgeving een positieve invloed heeft op de toepassing van PET.11 Het onderzoek van Ribbers bevestigt dat naleving van de wet een positieve invloed op de adoptie heeft, maar: "The law imposes in particular general and abstract standards. E.g. article 13 of the Dutch Law on Privacy protection states that `effective measures' are necessary, which is quite subjective, and provides little direction."12

Praktijkdeskundigen tijdens de workshop in Londen meenden dat: "organizations were not overly concerned about compliance with legal requirements. In fact, there was a feeling that organizations aren't overly concerned about privacy altogether".13 Deze houding heeft een remmend effect op de toepassing van privacyverhogende technologieën.

De aard van de verwerkte gegevens en de gebruikte informatiesystemen blijkt geen positieve invloed te hebben op de adoptie van PET. Evenwel wanneer het risico op privacyinbreuk hoog is, bestaat er meer animo om gebruik te maken van privacyverhogende technologieën.14