Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/4.15
4.15. Slotopmerkingen
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS576448:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Koorn, & Ter Hart, 2004, p. 15-22.
011e, Sol & Verrijn-Stuart,1988.
Schneier, 2000, p. 225.
Culnan & Bies, 2003, p. 323-342. De privacy calculus is gebaseerd op onderzoek naar de bereidheid om persoonlijke informatie te delen met winkeliers van R.S. Laufer & M.Wolfe 1977.
Chellappa & Shivenda, 2008, p. 193-225.
Dinev & Hart, 2006, p. 61-80.
Dinev & Hart, 2006, p. 33.
Dinev & Hart, 2006, p. 73.
Dinev, e.a., 2006, p. 389-402.
Andreassen, 2007.
Skomedahl, 2008, p. 4-9.
Camp & Wolfram, 2000, p. 31-39.
Iachello & Abowd, 2005, p. 91-100.
Schneier, 2000, p. 227.
bnp:// ec.europa.eu/information_society/newsroom/cf/itemdetail.cfm?item_id=3639.
Koorn, e.a., 2004, p. 5-8.
Catrysse, Van der Lubbe & Youssof, 2002, p. 16-32.
Abie, 2007, p. 15.
Ponemon, 2007.
De Europese privacyrichtlijnen en de daarop geënte nationale wetgevingen van de EU lidstaten schrijven de beveiliging van persoonsgegevens voor met een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. Om dergelijke data adequaat te beschermen, dient duidelijk te zijn welke privacyrisico's er ontstaan bij het verwerken van persoonsgegevens en het introduceren van nieuwe informatiesystemen. Daarvoor is een objectieve methodologische privacybedreigings- of -impactanalyse nodig.
Gezien het bepaalde in artikel 17 van 95/46/EC: "(...)Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.(...)", kan dit niet anders geïnterpreteerd worden dan dat een privacybedreigings- of -impactanalyse een sine qua non is voordat van persoonsgegevens worden verwerkt. Dit wettelijk vereiste wordt evenwel massaal genegeerd alsof deze verplichting niet zou bestaan. Feit is dat slechts 5% van de organisaties in Nederland bij de verwerking van persoonsgegevens niet in strijd met de Wbp handelt1 en dat privacyinbreuken op grote schaal plaatsvinden. Toegegeven, in de rechtstheoretische besprekingen van artikel 17 van de Richtlijn 95/46/EG is aan dit aspect voorbij gegaan en wordt dientengevolge bij het ontwerp van systemen vooraf nauwelijks een privacybedreigings- of -impactanalyse uitgevoerd. Het gebrek aan discussie hierover heeft er toe geleid, dat er (nog) geen algemeen aanvaarde methode is ontwikkeld om privacybedreigingen en -risico's te evalueren. In dit hoofdstuk zijn de meest bekende privacybedreigings- en -risicoanalyses besproken. De pentagonale aanpak om privacybedreigingen in kaart te brengen en de privacybedreigingsontologische methode van Little & Rogava verdienen de voorkeur.
Beide methoden voldoen aan de door 011e e.a.2 geformuleerde criteria:
De methode bevat een aantal opeenvolgende stappen.
Het resultaat van ieder van deze stappen dient een specifiek doel en brengt goed onderbouwde resultaten voort.
Het resultaat van iedere stap kan door onafhankelijke onderzoekers worden gevalideerd.
Het aantal bronnen binnen iedere stap is beperkt.
De expertise die noodzakelijk is om ieder stap te nemen, is homogeen en vereist een beperkt aantal verschillende deskundigen.
De sequentie kan worden herhaald vanaf elk tussenliggend resultaat om het totale resultaat te verbeteren en te verfijnen.
Vanuit de behoefte om een consistente en veelomvattende privacybedreigingsanalyse uit te voeren, verdient de ontologische aanpak van de bedreigingen en risico's de voorkeur boven een vanuit de praktijk opgestelde niet-limitatieve opsomming van privacyinbreuken met de daarmee verbonden bedreigingen en risico's. Te meer daar Little & Rogova een nieuwe element aan de bedreigings- en risicoanalyse hebben toegevoegd nl. dat er drie attributen zijn (intention, capability en opportunity) en hun onderlinge relaties, die bepalen of een bedreiging de potentie heeft vanuit de 'state of becoming' verwezenlijkt (`the state of being') te worden. Scheiding van deze drie elementen c.q. voorkomen dat er een relatie kan ontstaan tussen deze drie domeinelementen kan de bedreiging voorkomen of uitschakelen. Een probleem bij alle risicoanalyses is de weging van de 'assets' en de waarschijnlijkheid van de aanval. Het is wellicht mogelijk de risicoweging mede te baseren op geleden of mogelijk te lijden schade. Daarvoor staat echter te weinig gedetailleerd feitenmateriaal ter beschikking. Schneier stelt terecht dat: "It is not enough to simply list a bunch of threats, you need to know how much to worry about each of them. This is where risk assessment comes in. The basic idea is to take all the threats, estimate the expected loss per incident and the expected number of incidents per year, and then calculate the annual loss expectancy (ALE)".3 Daarvoor zijn empirische gegevens over privacyincidenten nodig en die zijn niet voorhanden, omdat privacyincidenten (nog) niet geregistreerd worden. De financiële inschatting van de privacyrisico's komt ter sprake in hoofdstuk 7.
Een andere aanpak is wellicht de privacyrisicoweging niet vanuit een technisch of economisch perspectief te zien, maar vanuit het individu. Theoretische modellen over privacy suggereren dat individuen bij de perceptie van privacy-risico's een interne privacyrisicoberekening (`privacy calculus') 4 gebruiken om de kosten en de baten vast te stellen wanneer zij persoonlijke informatie prijsgeven.5 Onderzoek van Dinev en Hart6 wijst in de richting van een kosten-baten-weging wat betreft het geven van persoonlijke informatie bij online transacties. Hoe hoger het niveau is van gepercipieerde internet privacyrisico's, hoe minder men bereid is om persoonlijke informatie te verstrekken ter wille van een internettransactie, en omgekeerd.7 Vertrouwen beïnvloedt sterk de bereidheid tot het overdragen van persoonsgegevens.8 Het onderzoek van Dinev wijst er onder meer op dat ervaring met internet transacties de perceptie van privacyrisico's kan veranderen. Bovendien is wereldwijd gebleken dat door culturele verschillen de inschatting van privacyrisico's substantieel kunnen afwijken.9 Wat betreft het privacybewustzijn van de internetgebruiker is in Noorwegen in 2006-2007 vastgesteld dat er een sterke correlatie bestaat tussen gebruik van beveiligingssoftware en privacybewustzijn. In de groep van gebruikers die privacybeschermende maatregelen nemen gebruikt bijna iedereen (92,1%) antivirussoftware, 72% gebruikt 'firewalls', 66% 'pop-up blockers', en 52% gebruikt 'anti-spy' software.10 Omgekeerd is het zo dat bij gebrek aan bewustzijn er vrijwel geen bescherming op de computer door gebruikers wordt toegepast. Zo bleek in het 2e kwartaal van 2006 bij 90% van alle thuiscomputers (ongewild) `sp are' software door derden tijdens het internetbezoek te zijn geïnstalleerd.11
Geen enkel beveiligings- of privacybedreigingsmodel is perfect. Volgens Camp & Wolfram12 is het onmogelijk een systeem zo te beveiligen, dat alle bedreigingen worden ondervangen. Een (gestandaardiseerde) privacybedreigingsmethode stelt de ontwerpers van systemen evenwel in staat om de proportionaliteit van de applicatie, het proces of systeem en de organisatorische inbedding van het systeem te toetsen. Bovendien dient ook rekening gehouden te worden met de privacyvoorkeuren van de gebruikers, de te ondervangen potentiële risico's, het passend maken van de toe te passen technologische oplossingen,13 de in te bouwen controle en terugkoppelingsmechanismen en de middelen om de dataverwerking te herstellen en verloren gegevens terug te vinden. Voorwaarde is natuurlijk wel dat de bedreigingen niet verkeerd worden ingeschat. Schneier merkt op over "getting the threat wrong" dat de Amerikaanse militaire communicatiesystemen tot voor kort primair beveiligd werden tegen "(...) eavesdrop (...) but completely missed the hacker threat. Hackers aren't interested in eavesdropping (...) they want to poke at systems for fun and see how they fall over. They want to brag to their friend and maybe get their names in the newspaper."14
De in het PET-Web project op basis van Little & Rogova ontwikkelde 'privacy threat impact analysis' is alleen in de casestudy 'Min Side' getest.15 Of deze privacybedreigingsanalyse toepasbaar is op andere informatiesystemen kan alleen worden vastgesteld door deze methode vele malen empirisch te toetsen en het model op grond van de resultaten te kalibreren. De Noorse overheid heeft haar goedkeuring en subsidie voor een opvolgend researchproject in juni 2009 verleend om onder andere dit aspect verder te testen. In 2013 worden de resultaten verwacht. Om identificatie te voorkomen en waarborgen tegen onrechtmatige verwerking van persoonsgegevens te scheppen, worden versleuteling en logische toegangsbeveiliging toegepast. Binnen logische toegangsbeveiliging zijn met name het goede beheer van uniek identificerende persoonsgegevens en bijbehorende autorisatiegegevens van belang. Bovendien blijkt het automatiseren van privacymaatregelen veelal effectiever en efficiënter te zijn, dan het louter steunen op organisatorische procedures en handmatige activiteiten.16
Voor het risicoklassensysteem van de Registratiekamer biedt in de risicoklassen II (verhoogd risico) en III (hoog risico) het gebruik van Privacy Enhancing Technologies de beste mogelijkheden tot een optimale bescherming van persoonsgegevens. De Minister van Justitie antwoordde tijdens de schriftelijke behandeling van de Wet bescherming persoonsgegevens in de Eerste Kamer, dat "(...) gedacht kan worden aan gedeeltelijke of algehele anonimisering, bijvoorbeeld door persoonsgegevens te ontdoen van identificerende kenmerken of door deze af te schermen voor bepaalde toepassingen of gebruikers of om het gebruik tot bepaalde doeleinden te beperken. In deze lijn is bij amendement 22 van de tweede Kamer artikel 13 van het wetsvoorstel aangevuld in die zin dat de voorgeschreven beveiligingsmaatregelen er mede op moeten zijn gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Daarmee is de wettelijke basis gegeven voor toepassing van Privacy Enhancing Technologies (PET). Dit soort regels sluiten aan bij de zich ontwikkelende informatietechnologie".17
Om de belangrijkste risico's af te dekken toonde de PISA-privacybedreigingsanalyse aan, dat de mobiele software agent zowel gedurende de communicatie tussen gebruiker (`master') en agent en tussen agenten onderling de opslag van persoonsgegevens in de agent volledig afgeschermd dient te zijn. Bovendien mogen (gedeelten van) persoonsgegevens niet dupliceerbaar zijn, voor het geval de agent wordt onderschept. De technische oplossing om bedreigingen het hoofd te kunnen bieden en met name om de identiteit van 'master' en de persoonsgegevens die de mobiele agent op het internet met zich meeneemt, af te schermen, ligt in de toepassing van geavanceerde PET-maatregelen.18
De researchers van het PET-Web project kwamen na de privacybedreigingsanalyse van 'Min Side' tot de conclusie, dat het noodzakelijk was om PET-maatregelen in de architectuur in te bouwen. Het betreft onder meer de scheiding van identiteitsdomeinen (waarover meer in hoofdstuk 5), omdat het anders niet mogelijk bleek de identiteit van de burger in 'Min Side' en zijn persoonsgegevens afdoende te beschermen.19
De beantwoording van de derde onderzoeksvraag 'Met welke privacybedreigingen en —risico's moeten de burger en de ontwerper van systemen rekening houden?' heeft een aantal methoden voor het bepalen van de privacybedreigingen en privacyrisico's opgeleverd. De pentagonale risicoanalyse in paragraaf 4.9 heeft geresulteerd in een lijst van generieke bedreigingen, die rechtstreeks uit de Richtlijn 95/46/EG kunnen worden afgeleid. Bovendien is in de paragrafen 4.11 tot en met 4.13 vastgesteld dat de bedreigingsontologie ontwikkeld door Little & Rogova tot een volledigere vaststelling van privacybedreigingen en risico's zou kunnen leiden door rekening te houden met intentie of motivatie, middel of bekwaamheid en gelegenheid van de bedreiger en hun onderlinge relaties.
Uit de hiervoor besproken privacyrisico- c.q. bedreigingsanalyses, zowel van de Registratiekamer (classificatie van risicoklassen), als in het EU PISA-researchproject en Noorse PET-web project komt als dominante bevinding naar voren dat de bedreigingen met name liggen op het gebied van ongewilde identificatie en onrechtmatige verwerking van persoonsgegevens. Volgens Ponemon zijn in de Verenigde Staten de meest gebruikte technische beveiligingsmiddelen om dit te bestrijden: "Encryption, Identity and Access Management, Endpoint security controls, Security event management, Perimeter controls" 20
In hoofdstuk 5 zal vierde onderzoeksvraag (OV 4): 'Wat houdt het concept Privacy Enhancing Technologies (PET) in?' worden behandeld. Tevens komt het theoretisch gedeelte van de onderzoeksvraag 5 (OV 5): 'Is het mogelijk privacy-veilige architecturen en systemen te ontwerpen en te bouwen?' aan de orde.
De beantwoording van beide onderzoeksvragen zal zich richten op het aantonen dat PET-maatregelen de identiteits- en andere persoonsgegevens effectief kan loskoppelen van de bron en dat alleen met bepaalde PET-hulpmiddelen de koppeling tussen de identificerende gegevens en de overige persoonsgegevens kan worden gemaakt.