Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/8.8.4
8.8.4. Controle en terugkoppeling
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS580008:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Sommer & Crane, 2008, p. 105.
Media spaces zijn werkplekken voor onderzoekers waar continue multimedia verbindingen (beeld, geluid, dataverwerking) tussen elke werkplek en iedere onderzoeker ingeschakeld zijn.
Bellotti & Sellen, 1993, p. 7-8; Bellotti & Sellen, 1993(A).
Hansen, Schwartz & Cooper, 2008, p. 23.
Karjoth, Schunter, & Waidner, 2003, p. 7.
Urteil von 15 Dezember 1983, BVerfGE 65,1 ff(43): 'eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht mehr vereinbar wazen, in der Burger nicht mehr wissen Minnen, wer, was, wann und bei welcher Gelegenheit ober sie weist' in Prinzipien des deutschen Datenschutzrechts, H. Ehmann, Trier, 1999.
Wanneer de juiste PETs in informatiesystemen zijn toegepast, kunnen persoonsgegevens goed beschermd worden. Burgers en consumenten krijgen bovendien nog meer vertrouwen als het informatiesysteem gecertificeerd is waaruit de privacyveiligheid blijkt en er een (afdwingbare) overeenkomst of algemene voorwaarden zijn waaruit blijkt dat de verantwoordelijke c.q. verwerker van de persoonsgegevens de privacypreferenties van de gebruiker van het systeem respecteert.
Sommer & Crane schrijven echter dat: "Being able to say that another party can be completely trusted to handle personal information with today's technology is probably unrealistic. Unless we can 1) completely isolate the processing from the operator and 2) rely on the technology and implementation, we have to rely on some level of faith in the other party. Requirement 1) is unrealistic since in practice virtually every application is likely to involve some form of human intervention, including access to the information after the `trusted' processing is complete. Requirement 2) is currently difficult to demonstrate.' 1 Zoals in hoofdstuk 4 paragraaf 4.5 is beschreven, hebben Bellotti en Sellen ervaring met `media spaces' en de reacties van de mensen die in die 'media spaces'2 werken. Op basis van die ervaring zien zij ingebouwde controle, reciprociteit en terugkoppeling van de gegevensverwerkende AMI-systemen als ultieme middelen "to safeguard data privacy and preventing that potential records of our activity may be kept and possibly manipulated and used at a later date and out of their original context." 3 Volgens hen schept dit het optimale vertrouwen van het individu in AMI-systemen.
De resultaten van de privacyimpact- en bedreigingsanalyses leiden tot de conclusie dat wanneer de verantwoordelijke zeker wil zijn van een goede privacybescherming de koppeling van de verkregen persoonsgegevens met een pseudo-identiteit van de gegevensverstrekker de beste garanties biedt. Dat vereist dat het individu bij het afgeven van zijn persoonsgegevens zijn pseudo-identiteiten moet gaan beheren. Zodra het mogelijk is de persoonsgegevens van een label te voorzien zodat de betrokkene zijn persoonsgegevens kan volgen (zgn. data tracking4 zie hoofdstuk 5 en 6) en de verantwoordelijke `sticky policies' of `kleefbeleid' toepast op de gegevens die verwerkt worden dan is de situatie bereikt dat de gegevens kunnen worden verwerkt volgens de privacyvoorkeuren van het individu. IBM Research heeft inmiddels aangetoond dat data tracking en `sticky policies' ervoor kunnen zorgen dat de persoonsgegevens worden verwerkt conform de overeengekomen voorwaarden zelfs nadat de informatie is onthuld en de gebruiker er geen controle meer over heeft.5 `Obligation management' (zie paragraaf 6.4) dient een standaard onderdeel van de architectuur van het informatiesysteem te zijn. Privacybescherming kan alleen maar werken als de gegevensverwerkers het basisprincipe respecteren dat het individu het onvervreemdbare recht op informationele zelfbeschikking heeft zoals het Bundes Verfassungsgericht in 1983 heeft duidelijk gemaakt.6
Aanbeveling X aan de Europese wetgever:
Zorg voor wetgeving die controle, reciprociteit en terugkoppeling aan de gebruiker van informatiesystemen voorschrijft met name voor AMI-systemen. Bevorder dat Obligation Management Systemen (zie par. 6.4) een vast onderdeel van het informatiesysteem worden, dat persoonsgegevens verwerkt.