7.9.3. PET in het maturiteitsmodel

Nu de maturiteitsfasen in kaart zijn gebracht, is de vraag of vastgesteld kan worden in welke maturiteitsfase organisaties besluiten PET toe te passen en zo ja, om wat voor soort organisaties het dan gaat. Om die vraag te kunnen beantwoorden, heeft Van Gestel gezocht naar een geschikt maturiteitsmodel dat laat zien hoe het toepassingsproces van PET binnen organisaties verloopt.1

Fairchild & Ribbers2 hebben dit onderzoek naar een gezamenlijk maturiteitsmodel voor 'Identity & Access Management' (IAM) en PET voortgezet en ook het maturity model van Nolan Norton hierbij betrokken. Volgens Koorn e.a.3 bestaat PET uit een aantal verschillende technologieën die weer zijn onderverdeeld in een viertal verschillende componenten (zie paragraaf 5.7.3). Fairchild & Ribbers: "Obviously these technologies require a certain level of TT infrastructure."4

Om privacyverhogende technologieën in een organisatie te implementeren is het noodzakelijk dat binnen de organisatie structureel IAM wordt toegepast Immers, zonder IAM-processen is het niet mogelijk het gebruik van en de toegang tot (gevoelige) persoonsgegevens te controleren. Volgens de PET-trap (zie figuur 5.2) behoort IAM tot de categorie: algemene PET-maatregelen. Beveiligde toegang is echter niet meer dan een eerste stap in privacyverhogende maatregelen. Zoals uit paragraaf 5.7 blijkt, hebben de PET-maatregelen onder meer ook tot doel de identiteit van een persoon veilig te stellen door persoonlijke informatie van overige informatie te scheiden. Afhankelijk van de eisen die de organisatie stelt om PET te implementeren, is een bepaald maturiteitsniveau van de betreffende IAM-processen noodzakelijk. Het is zeer onwaarschijnlijk dat onvolgroeide organisaties overgaan tot implementatie van PET, laat staan dat deze organisaties voldoende beseffen wat er nodig is voor een optimale privacybescherming Organisaties kunnen aan de hand van het IAM-maturiteitsmodel vaststellen in welke maturiteitsfase zij zich bevinden, waardoor zij na een privacybedreigingsanalyse de voor hen geëigende PET kunnen inzetten. Fairchild & Ribbers hebben vergeleken hoe het maturiteitsmodel zich verhoudt tot het gebruik van PET-technologieën en voorspellen voor organisaties dat: "PET will be applied by organizations in the Top-Class and Pro-Active maturity level, with the exception for organizations that update authorization matrixes periodically (organization level: active)."5

Dat wil dus zeggen dat bij organisaties die zich in de vierde of vijfde fase van het maturiteitsmodel bevinden, de kans het grootst is dat zij PET-maatregelen zullen toepassen. Voor IAM is de S-curve van Rogers eveneens van toepassing. De niveaus 3 (gedeeltelijk), 4 en 5 liggen rond deze S-curve. Figuur 7.6 geeft aan dat bij organisaties op het niveau `active', die de `authorization matrices' periodiek actualiseren, rijp zijn voor het implementeren van PET-maatregelen.

Uitzondering hierop zijn (micro-)organisaties die behoren tot de categorie kleine en middelgrote ondernemingen waar vertrouwen een cruciale succesfactor is, hetgeen het geval is voor beroepsgroepen zoals artsen, advocaten, notarissen, accountants, belastingadviseurs etc. De in paragraaf 6.5.1 beschreven casus van Ixquick is daar een bewijs van. Er mag van worden uitgegaan dat deze kleine en middelgrote ondernemingen en beroepsgroepen de persoonlijke informatie van hun klanten goed beschermen, al dan niet door gebruik te maken van encryptie of een rudimentaire vorm van PET. Over het algemeen zullen deze organisaties evenwel niet blijken te voldoen aan de processen uit het maturiteitsmodel in vergelijking met het niveau van de toegepaste JAM- en PET-maatregelen.