Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/7.2
7.2. Onderzoek naar de toepassing van PET bij overheidsinstanties
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS578769:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Bij de behandeling in de Tweede Kamer is kamerbreed de motie Nicolaï (Tweede Kamerstukken 1999-2000, 25 892, nr. 31) aangenomen waarin de regering wordt opgeroepen in haar eigen systemen PET voor de verwerking van persoonsgegevens toe te passen
www.e-overheid.nl/achtergrond/geschiedenis/contracttoekomst/contracttoekomst.xml
Informatie Beheer Groep (IBG), Belastingdienst, Douane, Prismant, Centraal Bureau Rijvaardigheidsbewijzen, Bureau Informatisering Amsterdam (BIA), ICTU, Nederlandse Mededingingssautoriteit (NMa), Basisadministratie Persoonsgegevens en reisdocumenten, Meld Misdaad Anoniem, Sociale Verzekeringsbank (SVB), Politie Kennemerland, Coöperatie Informatiemanagement Politie, Vereniging van Kamers van Koophandel, Leids Universitair Medisch Centrum (LUMC), Senter, Immigratie-en Naturalisatiedienst (IND)
De internetprovider XS4ALL
Horlings, e.a., 2003, p. 37.
Horlings, e.a., 2003, p. 39
Horlings, e.a., 2003, p. 36
Horlings, e.a., 2003, p. 55-56
Horlings, e.a., 2003, p. 59-63
Horlings, e.a., 2003, p. 64.
Koorn, e.a., 2004, p. 15 (LCMR), p. 18 (RINIS), p. 29 (NTIS), p. 39 (LADIS)
Horlings, e.a., 2003, p. 63-64
Zwenne, e.a., 2007, p. 144 en 155
Zwenne, e.a., 2007, p. 144, en 155
Als gevolg van de motie Nicolaï e.a.1 staat in de nota 'Contract met de Toekomst' van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) (directie Informatiebeleid Openbare Sector) van mei 2000 in paragraaf 5.3: "Het kabinet zal nagaan op welke wijze invulling kan worden gegeven aan een recht op regie over eigen persoonsgegevens. Bekeken zal worden wat de gevolgen zijn voor de bedrijfsvoering van de overheid. (...) Het kabinet zal in kaart brengen wat de mogelijkheden zijn om de privacy te garanderen met behulp van PET."2
Dit heeft vervolgens in 2003 geleid tot een onderzoek dat RAND Europe heeft uitgevoerd in opdracht van BZK. Daarbij is onderzocht of het mogelijk is proefprojecten op te zetten om de overheid bij de verwerking van persoonsgegevens PET te laten toepassen. In het kader van dit onderzoek zijn bij zeventien overheidsinstanties3 en een commerciële organisatie4 interviews afgenomen.
Van de zeventien overheidsinstanties bleven er zeven over, die genoeg aanknopingspunten hadden om een succesvol pilotproject op te starten. In deze groep van zeven5 bleken er plannen te zijn om PET in de 'frontoffice' of de `backoffice' te introduceren. Slechts enkele instanties beheren echter een scherp afgebakend proces, waarin de behandeling van privacygevoelige gegevens met PET beschermd zouden kunnen worden.6 Dat was onder meer het geval bij de IB-Groep met een basisadministratie en een eigen domein voor studenten en Prismant met diverse discrete processen, zoals het routeringsinstituut en plannen ten aanzien van het gebruik van biometrie in de methadonverstrekking.
Toen BZK echter bij de zeven geselecteerde overheidsorganisaties aanklopte om de proefprojecten op te zetten, werd door de geïnterviewde instanties aangegeven dat zij het nog niet opportuun achtten om PET in te voeren.7 XS4ALL, de enige commerciële organisatie in de groep van zeven, dacht daar anders over. Bij XS4ALL was men juist erg geïnteresseerd om een beperkte houdbaarheid van elektronische data in hun gegevensbestanden in te bouwen, zodat persoonsgegevens minder zouden kunnen worden verspreid via koppelingen met databanken van instanties.8 Omdat XS4ALL echter geen overheidsinstantie is en geen werkzaamheden direct voor overheden uitvoert, werd het bedrijf van deelname aan het proefproject van BZK uitgesloten.
In het onderzoek constateerde RAND Europe dat de overheidsinstanties in de ontwikkeling van en het denken over PET de nadruk sterk leggen op de interactie via internet tussen burgers en bedrijfsleven en tussen overheid en burgers. De meeste aandacht besteden zij daarbij aan identificatie en autorisatie van de gebruikers terwijl processen in de `backoffice' van de overheid nauwelijks aandacht krijgen. Bovendien wordt er bij de geïnterviewde instanties voornamelijk gewerkt aan de ontwikkeling van technologieën die specifieke functionaliteiten kunnen vervullen (bijvoorbeeld: `anonymizers') en veel minder aan de ontwikkeling van complete ict-architecturen, waarin een of meerdere PET-functionaliteiten geïntegreerd zijn.9 RAND Europe geeft in de analyse van de interviews aan dat de ondervraagde organisaties een aantal opvallende parallellen vertonen qua onderliggende argumenten waarom een geavanceerde vorm van PET op korte termijn nog niet kan worden ingevoerd. Daarbij zijn vijf argumenten te onderscheiden:
De bestaande methoden van privacybescherming voldoen.
Privacybescherming is niet nodig.
Experimenten met PET zijn een gevaar voor de betrouwbaarheid, kwaliteit van de dienstverlening en het imago van de instantie.
PET zijn nog niet volwassen.
Er is geen tijd, geld of mankracht om de invoering van PET te realiseren.10
De onderzoekers constateerden dat de Nederlandse overheid op het moment van het onderzoek (2003) in een vicieuze cirkel verkeerde bij de toepassing van PET: zolang PET zich niet hebben bewezen, acht men het risico van mislukking te groot; zolang men het risico te groot vindt, worden PET niet toegepast en kunnen PET zich niet bewijzen.11 Uit de ervaringen van de Registratiekamer naar de toepassing van PET, is echter gebleken, dat wanneer PET goed wordt toegepast, deze technologieën de betrouwbaarheid en het imago van de betrokken organisaties vergroten, zoals bijvoorbeeld het routeringsinstituut RINIS.12 In de conclusies van het rapport13 wordt een aantal redenen gegeven voor het geringe gebruik van PET. Die wijzen naar een dieperliggend probleem bij het gebruik van PET.
Zo geven verschillende overheidsinstanties aan dat zij het te risicovol vinden om te experimenteren met PET zolang niet is bewezen dat PET afdoende functioneren. De Belastingdienst bevestigt op bladzijde 21 van het RAND Europe rapport dat zij er niet op uit is om als technologische koploper gezien te worden. Zij straalt liever naar de burgers uit dat haar systemen betrouwbaar zijn en goed functioneren.
Andere ondervraagden voeren aan dat de beleidsmakers (en beslissers) gebrek aan kennis hebben over de voor- en nadelen van PET.
Bovendien menen zij dat PET nog niet volwassen (dus geen `mainstream' toepassing) zijn, hoewel er niet aan wordt getwijfeld dat er in hun bedrijfsvoering PET-oplossingen mogelijk zijn.
Voorts hebben de ondervraagden behoefte aan standaardisatie en duidelijke (wettelijke) criteria voor technologische privacybescherming.
De ondervraagden hebben geen behoefte aan privacybescherming ondanks het groeiend aantal koppelingen tussen bestanden en de sterk toegenomen uitwisseling van persoonsgegevens. De ondervraagden (CBR, VVK en NMa) werken (deels) met een openbaar register en zien ondanks de risico's geen noodzaak PET te gebruiken om persoonsgegevens te beschermen.
Zelfs al zou PET goed functioneren, dan houden instanties zoals CBR, Belastingdienst en IND liever vast aan de bestaande methoden met het adagium: `if it ain't broke, don't fix it'.
De perceptie van verschillende organisaties is dat intern alle gegevens beschikbaar moeten zijn en dit moeilijker zal worden met PET. Dit wordt bevestigd in het in 2007 uitgebrachte rapport 'Eerste fase evaluatie — Wet bescherming persoonsgegevens'. De toepassing van PET stuit op praktische bezwaren bij de verantwoordelijken.14
De hoge uitvoeringskosten en de relatief grote inspanningen die nodig zijn om veranderingen in een informatiehuishouding te implementeren wegen zwaar.
Bij de verantwoordelijken is onduidelijk wat als passend beveiligingsniveau ex artikel 13 Wbp moet worden beschouwd ondanks de uitleg hiervan die het College bescherming persoonsgegevens in 2001 heeft gepubliceerd. Deze onduidelijkheid blijkt eveneens de invoering van PET-maatregelen af te remmen.15