Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/5.1
5.1. De technologische consequenties van de privacywetgeving
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS582440:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Zo vereist bijvoorbeeld 2002/58/EG artikel 14.3 dat elke apparaat en dienst zo moet zijn gemaakt/ingericht dat gebruikers hun privacy kunnen beschermen en controle daarover kunnen uitoefenen.
Deze voorschriften betreffen ook de handmatige verwerking.
Canon, 2005, p. 42.
Artikel 1 onder d WBP verstaat onder verantwoordelijke als de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Borking, 2001, p. 607-615.
Wijkstra, 1998, p. 6-11.
Het niet uitvoeren van een privacybedreigingsanalyse of een PIA kan beschouwd wonden als een handelen in strijd met de wet. Willens en wetens geen gebruik maken van het resultaat is verwijtbaar zoals in het Tweede Vogelpestarrest (IIR 20 februari 1976 NJ 1976/486) is vastgesteld.
Iachello & Abowd, 2005, p. 91-100.
De Rooij, 2003, p. 206.
Bij bedrijven (bijvoorbeeld Philips) waar `sustainability' onderdeel is van de ondernemingsvisie zal maatschappelijk verantwoord ondernemen een extra drijfveer hiervoor zijn.
Voor de beheersing van (ict-beheer)processen wordt vaak gebruik gemaakt van een managementcyclus die ook wel bekend is als de kwaliteitscirkel van Deming. Kenmerkend voor ITIL (Information Technology Infrastructure Library), en elke andere procesgerichte methode, is dat een dergelijke managementcyclus continu moet wonden doorlopen. Zie www.kennisportal.com/main.asp?ChapterID-1481.
Leerentveld & Van Blarkom, 2000, p. 12.
Wet van 6 juli 2000, Stb. 2000, 302 houdende regels inzake de bescherming van persoonsgegevens.
Tweede Kamerstuk vergaderjaar 1999-2000, 25 892, nr. 92c. p. 16.
De Minister van Justitie ziet over het hoofd dat naast anonimisering ook versleuteling of loskoppeling tot de mogelijkheden horen (zie in dit hoofdstuk paragraaf 5.2 en in het bijzonder paragraaf 5.3).
Borking, 2001, p. 608-609. Het is vooralsnog niet nodig bestaande wetgeving voor de invoering en het gebruik van PET aan te passen, maar het zou de discussie vergemakkelijken als de Europese Commissie een standaard zou publiceren met vereiste PET functionaliteiten. Zie Klaver, e.a 2002, p. 104.
Hierover wordt gerapporteerd in Hoofdstuk 7.
Kelly, 1994.
Leden van EPTA zijn de Europese organisaties, die Technology assessment studies uitvoeren voor en in opdracht van parlementen. De EPTA is gevestigd te Geneve.
Klöver, Peissl & Tennere, 2006, p. 16.
De implementatie van de (e)privacyrichtlijnen 95/46/EG en 2002/58/EG1 in de wetgeving van de EU lidstaten heeft gevolgen voor de geautomatiseerde verwerking2 van persoonsgegevens voor alle organisaties. Gezien de privacyrealisatiebeginselen (zie hoofdstuk 2) moet er meer gebeuren dan het nemen van de gebruikelijke organisatorische en technische beveiligingsmaatregelen. Artikel 11 en 13 Wbp richten zich specifiek tot de verantwoordelijken voor persoonsgegevens, de bewerkers en de systeemontwikkelaars en de manier waarop de persoonsgegevens moeten worden verwerkt. Canon stelt terecht dat "regulations are changing the way companies do business".3 De verantwoordelijken4 in de zin van de wet moeten ervoor zorg dragen, dat overeenkomstig de wettelijke voorschriften de bescherming van de persoonsgegevens op de geëigende manier wordt uitgevoerd.5 De uitvoering van deze wettelijke verplichtingen vereist een doelgerichte aanpak.6. Tevens dient de verantwoordelijke, zoals in hoofdstuk 4 is uiteengezet, rekening te houden met de resultaten van de privacyrisico- en bedreigingsanalyse,7 en de privacyvoorkeuren van de gebruikers.8 Privacymanagement behoort een geïntegreerd onderdeel te zijn van de bedrijfsprocessen van organisaties die persoonsgegevens verwerken.9
Dat betekent niet dat de wettelijke eisen een onevenredige verzwaring voor de verwerking van persoonsgegevens met zich meebrengt. Vele van de te nemen verwerkingsmaatregelen en -procedures moeten, ongeacht of er persoonsgegevens verwerkt worden, ter bewaking van de bedrijfsprocessen genomen worden. De voorzieningen dienen evenwel in samenhang met de specifieke beschermingsmaatregelen die voor de verwerking van persoonsgegevens noodzakelijk zijn, gerealiseerd te worden. Zij dienen derhalve geïntegreerd te worden in de vereiste verwerkings- en beveiligingsmaatregelen. Wil men binnen een organisatie tot een evenwichtig verwerkingsbeleid voor persoonsgegevens komen en dit adequaat implementeren en onderhouden, dan zal het beleid dat gericht is op privacybescherming niet alleen moeten streven naar totale kwaliteit,10 maar zal ook een belangrijke plaats in de management cyclus11 moeten innemen.12Het eerste en tweede lid van artikel 17 van de Richtlijn 95/46/EC luiden:
"1. Member States shall provide that the controller must implement appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.
Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.
2. The Member States shall provide that the controller must, where processing is carried out on his behalf, choose a processor providing sufficient guarantees in respect of the technical security measures and organizational measures governing the processing to be carried out, and must ensure compliance with those measures".
Deze bepaling is in de Wet bescherming persoonsgegevens (Wbp)13getransponeerd als artikel 13. Bij de schriftelijke behandeling van de Wet bescherming persoonsgegevens in de Eerste Kamer antwoordde de Minister van Justitie:14
"(...) de tegenwoordige informatietechnologische mogelijkheden om persoonsgegevens te misbruiken, noodzaken om te zien naar aanvullende mogelijkheden om een behoorlijke en zorgvuldige omgang met persoonsgegevens te waarborgen. Hierbij kan gedacht worden aan gedeeltelijke of algehele anonimisering, bijvoorbeeld door persoonsgegevens te ontdoen van identificerende kenmerken of door deze af te schermen voor bepaalde toepassingen of gebruikers of om het gebruik tot bepaalde doeleinden te beperken.15 In deze lijn is bij amendement 22 van de Tweede Kamer artikel 13 van het wetsvoorstel aangevuld in die zin dat de voorgeschreven beveiligingsmaatregelen er mede op moeten zijn gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Daarmee is de wettelijke basis gegeven voor de toepassing van Privacy Enhancing Technologies (PET). Dit soort regels sluiten aan bij de zich ontwikkelende infonnatietechnologie." 16
Welke technologische maatregelen moeten worden geïmplementeerd om aan het bovenstaande te kunnen voldoen, vergt een zorgvuldige afweging. De voortdurende groei in de capaciteit van en het aantal onderlinge verbindingen tussen computernetwerken leidt binnen organisaties wereldwijd tot een exponentiële toename in het verzamelen, verwerken en uitwisselen van informatie. Steeds meer persoonsgegevens worden vastgelegd via publieke ict-netwerken en internet, in onderling verbonden databanken waarvan door allerlei organisaties voor uiteenlopende doelen gebruik wordt gemaakt. Deze ontwikkeling noopt tot een voortdurende aandacht voor de beveiliging van geautomatiseerde informatiesystemen en het terugdringen van identificerende gegevens om persoonsgegevens zo goed mogelijk te beschermen. Interviews die in het kader van deze dissertatie met het management van de verantwoordelijken zijn gehouden, tonen aan dat informatie-intensieve bedrijven de controle op de verwerking van de gegevens aan het kwijt raken zijn.17 Kelly signaleert dit verschijnsel op een veel grotere schaa1.18 De EPTA (European Parliamentary Technology Assessment Organization)19 wijst er in zijn studie over ict en privacy op, dat nieuwe technologieën krachtige middelen kunnen verschaffen om persoonsgegevens te beschermen. Er is evenwel geen aanwijzing dat privacybedreigende en privacyversterkende mogelijkheden automatisch elkaar in evenwicht houden. Het lijkt er eerder op dat zonder gericht beleid en maatregelen er veel meer applicaties op de markt komen die de persoonlijke levenssfeer binnendringen, dan dat er privacybeschermende toepassingen voor handen zijn.20