Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/8.0
8.0 Introductie
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS575260:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
De druppel holt de steen uit, een ring verslijt door het gebruik. De meer bekende variatie hiervan afgeleid is: Gátta cavát lapidém non vi, sed sáepe cadéndo: de druppel holt de steen uit, niet door zijn kracht maar door gestadig te vallen.
Verantwoordelijke en bewerker zijn in artikel 1 onder d, respectievelijk onder e gedefinieerd. Zie voor nadere uitleg paragraaf 2.6 en 2.7 van dit boek.
De term 'privacy by design' is vaag en open voor interpretaties omdat het niet gedefinieerd is. Er wordt mee bedoeld dat privacybescherming als onderdeel in ict-applicaties dient te worden ingebouwd. Het conceptontwerp WP168 van WP29 over 'the future of privacy' formuleert het als: 'Privacy by design should call for the implementation of data protection in ICT designated or used for the processing of personal data. It should convey the requirement that ICT should not only maintain security but also should be designed and constructed in a way to avoid or minimize the amount of personal data processed.'
"Gutta cavat lapidem, consumitur anulus usu",1
P Ovidius Naso, Epistulae Ex Ponto, Liber 4, 10, 5.
De probleemstelling van dit proefschrift luidt: Hoe kunnen in informatiesystemen de persoonsgegevens van burgers zodanig effectief worden beschermd, dat zij erop kunnen (blijven) vertrouwen dat hun persoonsgegevens niet onrechtmatig worden verzameld, verwerkt, opgeslagen en verspreid door de verantwoordelijke en de bewerker?2
Om de probleemstelling te beantwoorden zijn zes onderzoeksvragen gesteld. Deze luiden:
OV 1:Welke juridische specificaties kunnen voor informatiesystemen uit de algemene beginselen betreffende persoonlijke informatie en de privacywet- en regelgeving worden afgeleid?
OV 2:Is onze informationele privacy in gevaar doordat de overheid en het bedrijfsleven de burger preventief in de gaten houden ter bestrijding van fraude-, misdrijf:, en terrorismebestrijding?
OV 3:Met welke privacybedreigingen en -risico 's moeten de burger en de ontwerper van systemen rekening houden?
OV 4:Wat houdt het concept Privacy Enhancing Technologies (PET) in?
OV 5:Is het mogelijk privacyveilige architecturen en systemen te ontwerpen en te bouwen?
OV 6:Wanneer het mogelijk blijkt te zijn om privacyveilige systemen te ontwikkelen, bestaan er dan belemmeringen in organisatorische en economische zin om op grote schaal PET in informatiesystemen te implementeren?
In de voorafgaande hoofdstukken heb ik geprobeerd een antwoord te geven op deze onderzoeksvragen. De samenvattende beantwoording van onderzoeksvragen OV 1 tot en met OV 6, geschiedt in de paragrafen 8.1 tot en met 8.3. Een antwoord op de probleemstelling wordt in paragraaf 8.4 gegeven. In de paragrafen 8.5 tot en met 8.8 volgen acht aanbevelingen gericht aan de overheid (het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en Ministerie van Justitie), de Data Protection Authorities (het College bescherming persoonsgegevens) en de verantwoordelijken (zoals gedefinieerd in 95/46/EG), en de Europese wetgever.
Op grond van de vaststelling van de positieve adoptiefactoren worden in paragraaf 8.5 vier aanbevelingen gedaan met betrekking tot de voorlichting, de rol van de toezichthouder, de oprichting van een PET-expertisecentrum en de multiactoranalyse. In paragraaf 8.6 volgt het stappenplan om een privacyveilig informatiesysteem in een organisatie te implementeren. In paragraaf 8.7 wordt het belang van een positieve business case voor het invoeren van PET-maatregelen benadrukt. Hierna volgen in paragraaf 8.8 aanbevelingen aan de wetgever om de EU-privacyrichtlijnen in verband met de technologische ontwikkelingen aan te passen. In paragraaf 8.8.1 zijn vier algemene aanbevelingen gedaan om de Richtlijn 95/46/EG te actualiseren. In paragraaf 8.8.2 wordt voorgesteld de verantwoordelijke manager voor de gegevensverwerking binnen de organisatie persoonlijk aansprakelijk te stellen bij privacyinbreuken. In paragraaf 8.8.3 volgen vier voorstellen voor wetsaanpassingen om in aanvulling op het beveilingsvereiste in arikel 17 'privacy by design'3 als verplichting in de Richtlijn 95/46/EG op te nemen, te weten:
De privacybedreigingsanalyse en/of de privacy impact analyse (PIA) moet voor de verantwoordelijke verplichtend worden.
Het gebruik van PET moet worden voorgeschreven (`by default');
Burgers moeten standaard de optie krijgen om diensten en infrastructuren anoniem te kunnen gebruiken.
Als ontwerpvereiste dient door de wet voorgeschreven te worden dat in het informatiesysteem controlemogelijkheden en terugkoppeling voor de burgers zijn ingebouwd. Op die manier kan net zoals met een veilige auto aan het verkeer worden deelgenomen, de burger veilig zijn persoonsgegevens aan de verantwoordelijke overdragen en veilig deelnemen aan het interactieve verkeer op onze informatiesnelwegen.
In paragraaf 8.9 wordt het boek afgesloten door terug te keren naar het beginpunt van deze dissertatie, namelijk de titel van dit boek, `Privacyrecht is code', die gebaseerd is op Lessig's uitspraak law is code'. Ik bepleit hierin om de stelling van Lessig voor het privacyrecht om te draaien en de juridische specificaties onderdeel te laten zijn van de programmacode van het gegevensverwerkend informatiesysteem. Daardoor wordt 'privacy law is code', opdat de burger erop kan (blijven) vertrouwen dat bij verwerking door informatiesystemen zijn persoonsgegevens optimaal beschermd zijn en privacyinbreuken worden voorkomen.