2.10.1. Vertrouwelijkheid is niet synoniem aan privacy

Hoewel de universele privacybeginselen in de EU algemeen er- en gekend zijn, zijn de afgelopen jaren vanuit de technologische, sociale, economische en juridische hoek de privacyrealisatiebeginselen ter discussie gesteld. Het dagelijks bewustzijn over privacy is overigens bij de 'man in the street' en in de organisatie laag. Slechts 50% van de verantwoordelijken voor de verwerking van persoonsgegevens zijn op de hoogte van de wettelijke normen. In het RAPID onderzoek in 2002 bleken bedrijven uit het midden- en klein bedrijf veel bepalingen uit de privacywetgeving niet te kennen en niet uit te voeren. Dat was in 2009 nog zo.1 Alvorens op de kritiek op de wetgeving in te gaan, moet vastgesteld worden dat er ook veel verwarring bestaat over het begrip privacy. Uit interviews die ik in het kader van dit proefschrift had met medewerkers van internationale bedrijven in Zweden, het Verenigd Koninkrijk, Nederland en Zwitserland over de bescherming van privacy, bleek dat de er belangrijke verschillen in opvatting bestaan over de begrippen privacy, vertrouwelijkheid en beveiliging.

Privacybescherming wordt met name in de bancaire sector als een synoniem van het handhaven van de vertrouwelijkheid gezien. Banken richten hun beveiliging op het bewaren van vertrouwelijkheid in en niet specifiek op het kunnen uitoefenen van de privacy realisatiebeginselen. In de ict-industrie stelt men vaak privacy gelijk met informatiebeveiliging.

Bij vertrouwelijkheid gaat het niet over persoonsgegevens behorend tot een direct of indirect identificeerbaar persoon, maar over gegevens die geheim moeten worden gehouden of die slechts met van te voren bepaalde personen of organisaties mogen worden gedeeld. Gewoonlijk betreft het gegevens met een commerciële, technische, wetenschappelijke, militaire of octrooieerbare achtergrond die niet openbaar gemaakt mogen worden. Vertrouwelijkheid en informatiebeveiliging gaat geheel voorbij aan de rechtmatigheid van de te verwerken gegevens. Vertrouwelijkheid is één van de aspecten van informatiebeveiliging naast de andere aspecten van integriteit en beschikbaarheid waarvoor verwezen wordt naar hoofdstuk 4. Het is van belang de verschillen en overeenkomsten met de begrippen privacy, vertrouwelijkheid en beveiliging goed uit elkaar te houden. De overlapping en het verschil tussen privacy en informatiebeveiliging en vertrouwelijkheid, zijn gevisualiseerd in figuur 2.2 die is ontleend aan het PISA-project.2.

In de horizontale kolom onder de term 'privacy criteron' worden negen privacy-realisatiebeginselen vermeld. Toestemming en verzet ontbreken. Toestemming kan onder lawful basis for data processing' gerangschikt worden, gegevensminimalisatie valt onder 'as required processing' en verzet is een onderdeel van `rights of parties involved'. Deze beginselen worden afgezet tegen de in de verticale kolom vermelde begrippen `availability' (beschikbaarheid), `confidentiality ' (vertrouwelijkheid) en `integrity' (integriteit). Deze begrippen komen uit het domein van de informatiebeveiliging.

Figuur 2.2 laat zich als volgt lezen. Informatiebeveiliging dekt in zijn totaliteit (meest linker verticale kolom) nergens volledig het domein van de privacybescherming. De drie velden worden met informatiebeveiliging, noch met confidentialiteit bestreken. Dat zijn de melding, de transparantie en de rechtmatige verwerking van persoonsgegevens inclusief het toestemmingsvereiste. Beschikbaarheid wordt slechts door één privacyrealisatiebeginsel redelijk gedekt, namelijk `protection against loss and unlawful processing of personal data'.

Vertrouwelijkheid (`Confidentiality') raakt slecht vier privacyrealisatiebeginselen:

Integriteit van data (integrity) heeft in meer of mindere mate ook betrekking op de vier privacy realisatiebeginselen, namelijk 'data quality conservation', `rights of the parties involved', 'processing personal data by processor' en `protection against loss and unlawful processing of personal data'.