Privacyrecht is code
Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/8.4:8.4. Beantwoording van de probleemstelling
Privacyrecht is code (R&P nr. ICT1) 2010/8.4
8.4. Beantwoording van de probleemstelling
Documentgegevens:
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS575269:1
- Vakgebied(en)
Civiel recht algemeen (V)
Toon alle voetnoten
Voetnoten
Voetnoten
Schilgaarde & Nooteboom, 2009, p. 50
Van Blarkom, Borking & Olk, 2003, p. 154
Het EU gesubsidieerde EuroPrise research project begon op 10 juni 2007 en is 28 februari 2009 geëindigd. http://www.european-privacy-seal.eu/about-europrise/fact-sheet.
Van Rooy & Bus, 2009, p. 1
Godel & Conlon, 2009, p. 64
Deze functie is alleen te gebruiken als je bent ingelogd.
Met de beantwoording van de eerste vijf onderzoeksvragen staat vast dat persoonsgegevens van burgers effectief kunnen worden beschermd bij het verzamelen, verwerken, opslaan binnen informatiesystemen en het verspreiden over de elektronische infrastructuur. Voorwaarde is dan wel dat informatiesystemen moeten zijn ontworpen met inachtneming van de juridische specificaties, de vastgestelde privacy bedreigingen en noodzakelijke PET-maatregelen. Dergelijke privacyveilige informatiesystemen dienen bovendien zo te zijn ingericht dat de privacypreferenties van het individu dat zijn persoonsgegevens afstaat, automatisch wordt afgedwongen, zoals bijvoorbeeld bij privacy managementsystemen. Daarmee is het hoe van de probleemstelling (PBS): "Hoe kunnen in informatiesystemen de persoonsgegevens van burgers zodanig effectief worden beschermd, dat zij erop kunnen (blijven) vertrouwen dat hun persoonsgegevens niet onrechtmatig worden verzameld, verwerkt, opgeslagen en verspreid door de verantwoordelijke en de bewerker?" beantwoord.
De PBS spreekt ook over het vertrouwen van de burger. Leiden privacyveilige systemen bij de burger en consument tot het vertrouwen dat hun persoonsgegevens rechtmatig zullen worden verwerkt? Leiden deze systemen tevens tot het vertrouwen in de verantwoordelijke dat hij de verwerking van hun persoonsgegevens overeenkomstig de Richtlijn 95/46/EG en zijn openbaargemaakte privacy-beleid uitvoert? Het vertrouwen van een persoon is gebaseerd op de aanname dat iets of iemand zich zal gedragen met inachtneming van zijn belangen om hem geen leed of schade te berokkenen. De burger c.q. consument kan de betrouwbaarheid vaak niet beoordelen. Schilfgaarde & Nootenboom stellen, dat dit gegeven openheid van de vertrouwde tegen over de vertrouwer vergt en het
vermogen van de vertrouwer om de vertrouwde het voordeel van de twijfel te 1 geven. Het vertrouwen kan ondermeer gebaseerd zijn op reputatie van de vertrouwde of verklaringen van personen of organisaties die door de vertrouwer worden vertrouwd.
Bij informatiesystemen bestaat er een indirecte relatie tussen de vertrouwer (de burger) en de vertrouwde (de verantwoordelijke). Onderzoek heeft aangetoond dat het vertrouwen drastisch verminderd bij een indirecte relatie, te meer als de communicatie via computers gaat.2 Om het informatiesysteem te kunnen vertrouwen zal een betrouwbare derde moeten verklaren dat het informatiesysteem voor wat betreft de rechtmatige verwerking van persoonsgegevens betrouwbaar is. Dergelijke verklaringen (bijvoorbeeld in de vorm van certificaten) kunnen door geaccrediteerde derden worden verstrekt. Als zo'n certificaat de privacyveiligheid van het systeem garandeert, zoals de EuroPrise 'privacy seal' bijvoorbeeld doet,3 dan komt dat de transparantie ten goede. Daarmee krijgen gebruikers van informatiesystemen, die doorgaans niets van privacyveilige systemen, laat staan van PET-maatregelen afweten, ook meer vertrouwen in het desbetreffende systeem en het proces dat hun gegevens verwerkt.4 Voor een algemeen maatschappelijk vertrouwen in de rechtmatige verwerking van persoonsgegevens is het noodzakelijk dat gecertificeerde privacyveilige systemen grootschalig worden toegepast.
Daarmee zou de probleemstelling afdoende beantwoord kunnen zijn, maar, hoewel vaststaat dat privacyveilige systemen met gebruikmaking van PET gebouwd kunnen worden en het vertrouwen van de burger bevorderen, blijkt uit hoofdstuk 7 dat PET nauwelijks wordt toegepast bij het ontwerp van systemen die persoonsgegevens verwerken. In een nog niet gepubliceerd interimonderzoek van Godel & Conlon (oktober 2009) wordt dit bevestigd:
"(...) privacy enhancing technologies were not widely deployed and the rate at which deployment has grown over the last few years has not been substantial (...). This is surprising given the belief that privacy risks have been growing and that PETs are effective at reducing privacy risks (...)"5
Als in de praktijk geen privacyveilige systemen worden gebouwd, kan de burger geen vertrouwen opbouwen over de verwerking van zijn persoonsgegevens. Het is dus van het grootste belang na te gaan wat de oorzaken hiervan zijn.
Ik vroeg me af of ik iets essentieels over het hoofd had gezien. Vandaar de zesde onderzoeksvraag: Wanneer het mogelijk blijkt te zijn om privacyveilige systemen te ontwikkelen, bestaan er dan belemmeringen in organisatorische en economische zin om op grote schaal PET in informatiesystemen te implementeren? (OV 6).
De in hoofdstuk 7 geconstateerde positieve en negatieve adoptiefactoren voor PET geven aan dat er inderdaad belangrijke belemmeringen bestaan om PET toe te passen en privacyveilige systemen grootschalig te ontwikkelen. De trage adoptie van PET zorgt voor het voortduren van privacy onveilige situaties voor de burger en de consument, de erosie van privacy en het afnemen van het vertrouwen in de rechtmatige verwerking van persoonsgegevens. Het hierboven gegeven antwoord op de zesde onderzoeksvraag impliceert dat de belemmeringen moeten worden overwonnen om privacyveilige systemen grootschalig te kunnen inzetten. Die belemmeringen kunnen uit de weg geruimd worden als gebruik wordt gemaakt van de positieve adoptiefactoren. Hieronder volgen de daarop gebaseerde aanbevelingen.