7.8.3. De derde cluster: omgevingsfactoren

Uit de drie casestudies die Bos onderzocht heeft blijkt dat organisaties PET sneller toepassen als er door toezichthouders druk op hen wordt uitgeoefend om de wetgeving voor de bescherming van persoonsgegevens na te leven.1 De toezichthouders voor de bescherming van persoonsgegevens (bijvoorbeeld het CBP) oefenen echter weinig proactieve druk uit op organisaties om PET in praktijk te brengen. Omdat er weinig controle op de privacybescherming is, hebben organisaties geen behoefte om privacybevorderende technologieën te implementeren. Het onderzoek van Ribbers bevestigt dat organisaties zich nauwelijks realiseren wat de gevolgen zijn als zij niet voldoen aan de wettelijke vereisten. "As a result the adoption of PET is not high on the management agenda."2 Als in de privacywetgeving het management uitdrukkelijk zou worden verplicht de gegevensbescherming organisatorisch en technisch in de organisatie in te bedden, dan zal privacybescherming een vast onderdeel worden van de managementagenda. De uitkomsten van de discussie in de workshop in Londen bevestigen dit. Deskundigen in de workshop waren van mening dat de privacywetgeving slecht werd uitgevoerd. Er werden volgens hen te weinig boetes opgelegd en deze waren dan ook nog minimaal: "Stronger regulators could play a larger role in privacy protection, and in turn they could promote privacy enhancing technologies. But the general consensus was that the current situation was unlikely to promote PET adoption."3

Organisaties weten of begrijpen vaak niet waartoe de privacywetgeving hen verplicht. Omdat de privacywetgeving vaak te ingewikkeld is en voor meerdere uitleg vatbaar lijkt, gebruiken zij niet de juiste beschermingsmaatregelen.4 Dat laatste is volgens Ribbers weer een negatieve factor in de adoptie van PET.5

In de publiekprivate samenwerking kunnen de machtsverhoudingen tussen de publieke en private partijen verschillend liggen. In zo'n situatie stelt Ribbers dat: "The structure of the chain seems to have a negative influence in the adoption of PET. A consequence of this is that it is hard to make decisions that all parties can agree to. Since the PET measures needs uniform agreement, this has a negative influence on the adoption of PET."6

PET-applicaties zijn niet voldoende beschikbaar. Volgens Bos wordt de adoptie van PET hierdoor negatief beïnvloed.7 Het omgekeerde geldt ook: voldoende aanbod van PET-producten heeft een positieve invloed op de adoptie van PET. Zijn er wel zo weinig PET-applicaties? Goldberg stelde al in 1997 dat er veel code is ontwikkeld om de privacy te beschermen (conform de Amerikaanse privacy-normen). Vandaar dat: "The cypherpunks credo can roughly paraphrazed as "privacy through technology, not through legislation."8 Koorn & Ter Hart9 zijn van mening dat de inzet van geautomatiseerde PET-producten op de lange termijn kosten kan besparen. De ontwikkeling van PET kan weliswaar kostbaarder zijn dan de ontwikkeling van een organisatorische procedure, maar de kosten vallen mee wanneer de PET-maatregel tegelijkertijd wordt ontwikkeld met het onderliggende informatiesysteem.

De onderzoeken van Bos en Ribbers leiden tot het volgende schematische model:

Uit bovenstaand schema kan geconcludeerd worden dat de toepassing van PET niet van zelfsprekend is en weinig positieve stimulatoren kent. Tot nu toe wordt PET slechts beperkt gebruikt. Als er echter voldoende druk vanuit de wet- en regelgeving is en als de advisering en informatievoorziening over PET beter zouden zijn, dan zou PET meer worden toegepast. Fairchild & Ribbers constateren: "we found that only the legai and regulatory pressure (and the promotion by such advisory or supervisory bodies as data protection authorities) with regard to privacy protection is perceived to-date as having an undivided positive impact on the adoption process. It must be noted, however, that current legislation contains too little explicit reference to the concept of privacy enhancing technologies, which is a weakening factor in the adoption process".11