8.8.3. Vier wetsaanpassingen voor 'privacy by design'

In hoofdstuk 7 is aangegeven dat het belang van privacywetgeving voor de adoptie van PET significant is. Een wettelijk verplichte 'privacy by design'1draagt ertoe bij dat burgers en consumenten hun persoonsgegevens met een gerust hart aan de overheid en het bedrijfsleven kunnen verstrekken.2

Om ervoor te zorgen dat 'privacy by design' op korte termijn een reële optie is, is het noodzakelijk dat privacy by design gedefinieerd wordt en er drie wijzigingen worden doorgevoerd in de Europese en nationale wetgeving op het gebied van de bescherming van persoonsgegevens:

1. De wetgeving moet uitdrukkelijk de verantwoordelijke (in de zin van de richtlijn) verplichten een privacyrisico, privacyimpact- of bedreigingsanalyse uit te voeren, voordat een systeem wordt ontworpen c.q. op de markt wordt gebracht. De Europese privacyrichtlijnen en de daarop geënte nationale wetgevingen van de EU-lidstaten schrijven op dit ogenblik alleen in algemene zin beveiliging van persoonsgegevens voor. Zij voegen daaraan toe dat de verantwoordelijke rekening moet houden met de risico's die ontstaan bij verwerking van persoonsgegevens.3 De wet- en regelgeving is op dit punt niet verplichtend genoeg en zou uitdrukkelijk zo'n privacy-bedreigings- of risicoanalyse moeten voorschrijven. Zonder een privacybedreigings- of -risicoanalyse kan de verantwoordelijke niet met zekerheid vaststellen welke privacyrisico's er ontstaan bij de verwerking van persoonsgegevens en de introductie van nieuwe informatiesystemen. Ook kan hij niet bepalen welke PET-maatregelen nodig zijn om de geconstateerde risico's te verkleinen. Het zou aanbeveling verdienen om het begrip risicol 4 in de Wbp en EUprivacyrichtlijnen te definiëren om de potentiële risico's bij de verwerking van persoonsgegevens vast te stellen. Daarnaast moet (de toelichting op) deze wetgeving duidelijker aangeven wat de potentiële risico's bij de verwerking van persoonsgegevens kunnen zijn.

In hoofdstuk 4 zijn verschillende methodologische aanpakken voor privacyrisicoen bedreigingsanalyses besproken.

2. De privacywetgeving zou uitdrukkelijk PET moeten voorschrijven als technisch middel om de persoonsgegevens te beschermen. In de Wbp is tengevolge van het Amendement Scheltema-de Nie en Wagenaar5artikel 13 aangevuld. De voorgeschreven beveiligingsmaatregelen zijn er mede op gericht om onnodige verzameling en verdere verwerking te voorkomen. Daarmee is echter nog niet expliciet aangegeven dat PET bij de beveiliging van persoonsgegevens moet worden overwogen. De Europese Commissie dringt daarop aan in de Commission Communication van 2 mei 2007 waarin staat dat "PETs are a prerequisite for creating confidence in the I.S."

Met name door de ongerustheid die is ontstaan rond de potentiële toepassingen van RFIDs, zijn steeds meer stemmen opgegaan om PET wettelijk verplicht te stellen. Poullet van het 'Centre de Recherche Informatique et Droit' van de Universiteit van Namen adviseert uitdrukkelijk een bepaling toe te voegen aan de privacyrichtlijnen: "to impose the implementation by default of PETs to terminal equipments' suppliers."6

3. In de wetgeving dient opgenomen te worden dat gebruikers de optie moeten hebben om diensten en infrastructuren ook anoniem te kunnen gebruiken.7 Dit zal ervoor zorgen dat de verantwoordelijke adequate PET maatregelen structureel inzet om een veilige anonimiteit te garanderen.

Aanbeveling IX aan de Europese wetgever/de Europese Commissie:

Neem in de Richtlijnen 95/46/EG en 2002/58/EG de volgende drie verplichtingen op: