Privacyrecht is code (R&P nr. ICT1) 2010/8.6:8.6. Stappenplan voor succesvolle implementatie

Privacyrecht is code (R&P nr. ICT1) 2010/8.6

8.6. Stappenplan voor succesvolle implementatie

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Intern moet er binnen de organisatie ook veel gebeuren wil een privacyveilig systeem goed functioneren. Een organisatie moet PET doelgericht toepassen. Dat vereist dat de organisatie zich bewust is van de noodzaak van persoonsgegevens-bescherming en PET.1 Dit houdt in dat bij het opstellen van de ontwerpeisen altijd rekening gehouden moet worden met de juridische specificaties (OV 1). Covers en Schmidt noemen deze combinatie van vereisten `legai requirements engineering'.2 Om PET in te voeren zal de organisatie de eerder getroffen maatregelen, procedures voor het beheer, beveiliging en de verwerking van gegevens moeten toetsen aan de doelstellingen. Bij afwijking van de doelstellingen zal de organisatie het eerdere stelsel van maatregelen en procedures dat binnen de organisatie geldt moeten heroverwegen. De implementatie van PET gaat gepaard met technische maar ook met organisatorische problemen. Het management van een organisatie is hiervoor primair verantwoordelijk. Om PET succesvol in nieuwe informatiesystemen te implementeren raadt Koorn e.a. organisaties het volgende specifieke PET stappenplan aan:3

1.

In de eerste plaats moet de noodzaak en de diepgang van gegevensbescherming binnen de organisatie worden geanalyseerd.4 Deze fase levert een overzicht op waaruit vast te stellen is welke persoonsgegevens om welke redenen moeten worden verwerkt.5

2.

Vervolgens dient de organisatie een PIA of privacybedreigingsanalyse, zoals beschreven in hoofdstuk 4, uit te voeren om de bedreigingen en risico's die optreden bij de verwerking van persoonsgegevens in kaart te brengen. Op grond van de resultaten van de privacyimpact(risico)analyse kan de organisatie bepalen welke vorm van bescherming gewenst is voor de persoonsgegevens die moeten worden verwerkt.

3.

Daarna stelt de organisatie vast of het noodzakelijk is PET toe te passen en hoe PET aan de gegevensbescherming kan bijdragen.6 De organisatie zal een balans moeten vinden tussen enerzijds de organisatorische en procedurele maatregelen en anderzijds de technische maatregelen waaronder PET-maatregelen. Uit de bevindingen van de PIA zal blijken of er sprake is van identiteitsrijke (identificerende persoonsgegevens vereist), identiteitsarme (identiteit eenmalig nodig, maar één persoonskenmerk zoals leeftijd of beroep volstaat) of identiteitsloze processen (geen identiteit nodig). Bij identiteitsrijke processen zijn met name de algemene PET-maatregelen toepasbaar: encryptie, toegangsbeveiliging, functionele autorisatie, biometrie en privacymanagementsystemen, zoals besproken in de paragrafen 5.7.2 en 5.12. Bij identiteitsarme processen zijn scheiding van gegevens in identiteiten pseudo-identiteitdomeinen, zoals besproken in hoofdstuk 5, algemene PET-maatregelen en privacymanagementsystemen goed toe te passen. Bij identiteitsloze processen zijn scheiding van gegevens in (pseudo) identiteitsdomeinen en het anonimiseren de aangewezen PET vormen7. In deze fase zal de organisatie ook moeten vaststellen of er sprake is van een positieve businesscase, daarover in de paragraaf 8.6 meer.

4.

Vervolgens maakt de systeemontwerper onder meer een procesmodel van de gegevensstromen binnen het informatiesysteem. Koppelingen en uitwisselingen met andere organisaties worden hier ook bij betrokken.

5.

De systeemontwerper geeft daarnaast in datamodellen voor iedere gegevensstroom het verwerkingsproces weer van het verzamelen, opslaan, bewaren tot aan het vernietigen van gegevens. De volgende factoren zijn mede bepalend voor het ontwerp:

-

de herkomst van de persoonsgegevens (eventueel gebruik van authentieke registraties en koppelingen met andere gegevensbestanden);

-

het type persoonsgegevens (eventuele bijzondere gegevens);

-

het type verwerkingsprocessen (eventuele geautomatiseerde beslissingen);

-

de gebruikers(groepen) aan wie de organisatie de gegevens verstrekt (eventuele ontvangers buiten de organisatie of zelfs buiten de EU);

-

het vereiste niveau van zelfbeschikking van de burger en de informatieplicht aan de burger;

-

de privacypreferenties, de beheerder en verantwoordelijke van de gegevens (eventuele uitbesteding);

-

de bewaartermijnen (eventuele verplichte vernietiging);

-

de betrokkenen bij de gegevensverwerking (eventuele gemachtigden en bewindvoerders)8

Het geheel eindigt in het functionele ontwerp waarin de benodigde functies van het informatiesysteem in hun onderlinge verband worden beschreven. Koorn e.a. waarschuwt dat de PET oplossing die een organisatie kiest, grote invloed heeft op het ontwerp. De scheiding van identiteit- en pseudo-identiteitdomeinen heeft directe gevolgen voor het gegevensmodel en voor de koppelingen tussen de (pseudo)identiteitsdomeinen en tussen eventuele andere informatiesystemen die gegevens onttrekken aan de gegevens van de organisatie.9

6.

De geselecteerde PET vorm wordt vervolgens geïntegreerd in het technisch ontwerp van het informatiesysteem. De PET-vorm is immers geen los toe te voegen component en daarom kan het technisch ontwerp van PET niet los worden gezien van het technisch ontwerp van het gehele informatiesysteem.

7.

Cruciaal is de testfase.10 De opdrachtgevers en de ontwerpers moeten vaststellen of het systeem functioneel conform de specificaties11 voldoet en of de gebruikers het nieuwe systeem accepteren.12 In de tests komt dan ook de functionaliteit en de gebruikersvriendelijkheid van PET aan de orde. Gezien de adoptiefactor omtrent de testbaarheid is het raadzaam om eerst een kleinschalige pilot te starten net zoals in de eerder in dit hoofdstuk besproken casestudy `Province of Alberta'. De resultaten van de pilot kunnen leiden tot nadere aanpassingen van het PET-proof informatiesysteem. Het is raadzaam om bij het testen rekening te houden met de schaalbaarheid van het systeem. Dit geldt te meer als gekozen is voor een privacymanagementsysteem is. Dan is tijdens het testen gerichte aandacht nodig voor de feitelijke handhaving van de privacyregels die in dit systeem zijn geprogrammeerd.13

8.

Nadat de organisatie de testfase heeft afgerond, kan het systeem worden uitgerold. Na verloop van tijd beoordeelt de organisatie of het systeem en de PET-maatregelen effectief zijn. Dit gebeurt aan de hand van een evaluatieplan en evaluatiecriteria, vergelijkbaar met het evaluatieonderzoek van de meta-zoekmachine Ixquick dat in de paragafen 6.5.1 tot en met 6.5.4 is beschreven.

9.

Om ervoor te zorgen dat de gebruiker/burger/consument meer vertrouwen krijgt in het informatiesysteem, verdient het aanbeveling om het informatiesysteem te laten certificeren wat betreft de bescherming van de persoonsgegevens.14

Het blijkt in de praktijk overigens niet zo gemakkelijk PET in bestaande systemen te implementeren. Koorn e.a. stelt dat PET geen black box is die men koopt en achteraf aan een bestaand informatiesysteem toevoegt. Bij bestaande systemen zal door de gekozen PET-oplossing het datamodel moeten worden aangepast. Deze aanpassingen behelzen het bestaande informatiesysteem, de applicatie programmatuur en de databasearchitectuur. PET leidt vaak ook tot aanpassingen van de autorisatiestructuur, vooral als de PET oplossing inhoudt dat gegevens over identiteitsdomeinen gescheiden moeten worden. Een dergelijke ingrijpende systeemaanpassing is kostbaar.15

Aanbeveling V aan de verantwoordelijken:

Volg het in deze paragraaf uiteengezette stappenplan om privacyveilige systemen te verwezenlijken.

Deze functie is alleen te gebruiken als je bent ingelogd.