Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/6.1
6.1. Het ontwerpproces
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS576472:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Het Latijnse woord prettii is onjuist. Het moet zijn pretti. Conform F. Muller, Beknopt Latijns-Nederlands Woordenboek, Groningen 1958, p. 730.
Canon, 2004, p. xxvi.
Canon, 2004, p. xxvi.
Canon, 2004, p. xxvii.
Canon, 2005, p. 175.
Canon werkt voor Microsoft (USA) als privacystrateeg in de Corporate Privacy Group.
Canon, 2005, p. 175.
Rijsenbrij, 2002, p. 3: 'Architectuur is een (coherente) verzameling van principes, regels, standaarden en richtlijnen. De architectuur wordt aan de ene kant bepaald door de wensen die de organisatie heeft voor een informatiesysteem en aan de andere kant begrensd door de mogelijkheden die de aanwezige technologie biedt.'
Canon, 2004, p. 126-127: 'The privacy policy expresses a certain expected behavior base on the company values, The privacy standard indicates how the privacy policy applies to a specific business practice such as marketing to customer or building products.'
Canon, 2004, p. 178-192.
Canon, 2004, p. 194-212.
Het conventionele denken over het toepassen van PET is dat PET "have not gone mainstream. In other words nullus prettii1 — no commercial potential".2 Maar uit mijn vijftien jaar ervaring met PET stel ik vast dat dit een onjuist standpunt is. PET kan voor zowel de overheid als het bedrijfsleven een vitale rol spelen om het vertrouwen van het individu dat zijn persoonsgegevens afstaat, te verkrijgen en te behouden. Canon meent dat "PET can provide the backbone for an ongoing trust relationship with both citizens and customers."3 Waarom wordt deze `backbone' dan niet massaal gebruikt? Canon meent dat dit komt omdat de kennis over privacy in organisaties onderontwikkeld is en de technologie, die privacybescherming mogelijk maakt, gebruikersonvriendelijk is.4 Ik heb daar een andere mening over, die ik in hoofdstuk 7 uiteen zal zetten. Voor bouwers (ontwerpers en codeschrijvers) van privacyveilige informatiesystemen en applicaties geldt dat "developing solutions can be very demanding"5 met veel en diverse inbreng van consumenten, organisaties, partners, analisten, marketeers en de eigen productgroep binnen de onderneming. Een van de belangrijkste vragen die de ontwerper zich moet stellen is volgens Canon6: "Will building privacy awareness into my application be enough of a differentiator to offset the time investment?"7
Om het ontwerpen en bouwen van privacybeschermende componenten succesvol te laten verlopen, dient het bedrijf een solide infrastructuur te hebben, bestaande uit:
Een expert op het gebied van privacybescherming (bijvoorbeeld de 'privacy officer' (de Nederlandse functionaris gegevensbescherming), of een privacy-commissie van werknemers.
Een klantengroep die zich bezighoudt met privacyproblemen.
Eén of meerdere projectmanagers die een goed inzicht hebben in architectuur8 van de verschillende componenten van het systeem en met name inzicht hebben in de gegevensstromen.
Een gespecificeerde privacystandaard (meetlat) die als uitgangspunt kan worden toegepast op elk te bouwen component. Een dergelijke meefiat zal de 'privacy policy' van het bedrijf weerspiegelen.9
Zodra besloten is een privacybeschermende component of systeem te bouwen aan de hand van een eerder uitgevoerd ontwerp, moeten de volgende stappen worden genomen:
Uitvoeren van een privacybedreigings- en/of privacyimpactanalyse (PIA) met specifieke aandacht voor de gegevensstromen en de data-opslag binnen het te bouwen component of systeem (zie hoofdstuk 4).
In kaart brengen van mogelijke uitzonderingen op de privacymeetlat van het component of systeem, dat door de PIA aan het licht is gekomen en de manier waarop dit kan worden opgelost, bijvoorbeeld door PET-maatregelen.
Verifiëren op welke manier het individu toegang kan krijgen tot zijn persoonsgegevens in het systeem en zijn rechten kan uitoefenen.
Vaststellen of in het ontwerp privacyincidenten kunnen worden gelogd (voor de `audit trail') en hoe privacyincidenten kunnen worden gecorrigeerd.
Op welke wijze, wanneer het systeem eenmaal is geïmplementeerd in de organisatie, de parameters (afstellingen) van het systeem kunnen worden bijgesteld om privacyincidenten te voorkomen.
Deze procedure leidt tijdens het ontwerp van het privacyveilige systeem, applicatie of component tot het opstellen van een privacyspecificatie per systeem, applicatie en component. In deze specificaties worden alle benodigde persoonsgegevens, de noodzakelijke verspreiding en raadpleging, onderlinge afhankelijkheid van andere componenten en kenmerken vastgelegd.10 Daarna worden in de privacyspecificatie de te verwerken data, het voorziene gebruik en de getroffen beveiliging nogmaals gecontroleerd11 De manier waarop in het systeem de inzage-, wijzigings- en verwijderings- en andere rechten met betrekking tot de persoonsgegevens kunnen worden uitgeoefend, kunnen in de applicatie zelf als mededeling aan de gebruiker in 'firmware' (chips) worden vastgelegd. Het kan natuurlijk ook later gebeuren via de website van de afnemer of een andere instructie aan de gebruiker van het systeem. Dit hangt af van de wensen van de afnemer van het systeem. 'Wired-in' privacyrealisatiebeginselen zijn te preferen, omdat het op die manier voor de eigenaar van het informatiesysteem het veel moeilijker zal zijn die beginselen te ontduiken.
De financiële afweging ontbreekt hierbij natuurlijk niet. Er zal door de ontwerpers een analyse moeten worden gemaakt of het toevoegen van privacy-beschermende componenten aan de te ontwerpen applicatie of systeem financiële en marketingvoordelen oplevert. De financiële aspecten komen in hoofdstuk 7 aan de orde. Na de bouwfase komt de testfase waarin opnieuw een aantal cruciale vragen moet worden gesteld over de feitelijke verzameling, verwerking, verspreiding en opslag van de data door het systeem, of het gebruik wordt vastgelegd, of het systeem enige informatie afgeeft aan andere (netwerk)systemen en of een onbedoelde privacyinbreuk ontstaat als het systeem onjuist wordt gebruikt. (zie paragraaf 4.10). Wanneer de `beta release' plaatsvindt, is gecontroleerd of alle privacybeschermende middelen zijn ingebouwd, is een laatste privacycontrole uitgevoerd en is het systeem klaar voor gebruik.
Een privacyveilig informatiesysteem (PRIVIS) kan in algemene zin drie privacybeschermende opties aanbieden:
Anonieme of pseudonieme verwerking van persoonsgegevens al dan niet ten gevolge van het toepassen van het beginsel van gegevensminimalisatie.
Verwerking van (klare, niet versleutelde) persoonsgegevens met in achtneming van alle op het informatiesysteem betrekking hebbende rechtsregels die persoonsgegevens beschermen door ingebouwde privacyrealisatiebeginselen (zie hoofdstuk 2).
Een mengvorm van de twee voorafgaande opties.
De in hoofdstuk 5 besproken privacyontologieën en andere mechanismen om de privacywetgeving automatisch bij de verwerking toe te passen, zullen afhankelijk van de gekozen beschermingsoplossing medebepalend zijn voor het ontwerp. De juridische knowhow die door middel van de privacyontologieën is ingebouwd,
moet ervoor zorgdragen dat de gehele verwerking plaatsvindt binnen de door de EU-privacyrichtlijnen gestelde grenzen.