Privacyrecht is code
Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/4.4:4.4. Bedreiging
Privacyrecht is code (R&P nr. ICT1) 2010/4.4
4.4. Bedreiging
Documentgegevens:
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS578759:1
- Vakgebied(en)
Civiel recht algemeen (V)
Toon alle voetnoten
Voetnoten
Voetnoten
Borking, 2003, p. 215-222; Flaherty, 2004.
Schneier, 2000, p. 214.
Little & Rogova, 2006, p. 8: 'Threat is a very complex ontological item, and therefore a proper threat ontology must be constructed in accordance with formal metaphysical principles that can speak to the complexities of the objects, object attributes, processes, events, and relations that make up these states of affairs.'
Tettero, 2000, p. 21.
Een voorbeeld hiervan is te vinden in: Hussain 1984, p. 278.
Deze functie is alleen te gebruiken als je bent ingelogd.
Bovenstaand schema geeft wellicht houvast ex post bij privacyaudits en voor de rechter, maar ex ante bij het ontwerpen van informatiesystemen om preventieve maatregelen in te bouwen teneinde privacybedreigingen en -inbreuken effectief te kunnen bestrijden, is het ontoereikend. Om de reële gevaren in kaart te brengen, alvorens het functionele ontwerp van een informatiesysteem te ontwikkelen dat persoonsgegevens adequaat kan beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking, dient zoals eerder opgemerkt vooraf een privacybedreigingsanalyse of impactanalyse te worden uitgevoerd.1 Onder een informatiesysteem wordt verstaan een systeem, dat de gebruikers voorziet van informatie die vereist is voor het uitvoeren van doelgerichte activiteiten. Het kan gaan om dat transactieverwerkende, geprogrammeerde beslissing nemende en beslissingondersteunende systemen. Schneier stelt onomwonden dat: "Threat Modeling is the first step in any security solution. It's a way to start making sense of the vulnerability landscape. What are the real threats against the system? If you don't know that, how do you know what kind of countermeasures to employ?"2 Het begrip "bedreiging" is een fundamenteel concept voor de privacybescherming. Bedreigen en bedreiging3 wordt in Van Dale omschreven als het hebben van de intentie om iemand leed, geweld aan te doen, een gevaar te vormen en iemand op gevaarlijke wijze te naderen. Tetter() definieert bedreigingen als een gebeurtenis: "A threat is any circumstance or event with the potential to cause harm to a system in the form of destruction, disclosure, modification of data, and/ or denial-of-service."4
Op het begrip bedreiging wordt bij de bespreking van de privacy bedreigingsontologie in paragraaf 4.11 teruggekomen. Zonder de reële bedreiging voor de informationele privacy in kaart te brengen zou de keuze van te nemen privacy-beschermende maatregelen een toevallige benadering zijn en zeer waarschijnlijk delen van de werkelijke bedreiging kunnen missen. Gezien het hierover bepaalde in de richtlijn 95/46/EG en Wbp, zou niet alleen het technische karakter van de te selecteren ontwerpmaatregelen moeten worden bekeken, maar ook de economische aspecten rond de keuze van de te nemen maatregelen door de kosten en voordelen tegen elkaar af te zetten.5