Privacyrecht is code (R&P nr. ICT1) 2010/2.11:2.11. Standaardisatie van privacyrealisatiebeginselen

Privacyrecht is code (R&P nr. ICT1) 2010/2.11

2.11. Standaardisatie van privacyrealisatiebeginselen

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

De drie landen, die de pioniers zijn op het gebied van de wettelijke bescherming van persoonsgegevens, waren de Duitse deelstaat Hessen, Zweden en Frankrijk die tot de Romeins/Frans/Duitse rechtsfamilie horen. Hun wetgeving heeft als inspiratiebron zowel formeel als materieel als basis gediend voor de nationale en internationale wetteksten die later in andere Europese landen werden aanvaard om tenslotte uit te monden in de Richtlijn 95/46/EG. De structuur van deze richtlijn met zijn systematische aanpak en met algemeen voorschrijvende en abstracte teksten weerspiegelt de traditie van de Europese continentale rechtsfamilie en concretiseert de algemeen aanvaarde visie van de bescherming van de persoonlijkheid zoals die al eerder in de Grondwet en in de daarvan afgeleide wetten in de verschillende Europese landen was vastgelegd.

Past deze Romeins/Frans/Germaanse rechtsaanpak van de bescherming van persoonsgegevens ook in de andere rechtsfamilies? Cottier concludeert dat in beginsel alle rechtssystemen in meer of mindere mate de idee van privacy erkennen1 maar dat ten gevolge van politieke, culturele en religieuze gevoeligheden pas op de lange termijn wereldwijd geharmoniseerde en gelijkwaardige wetgeving kan worden bereikt. Hij meent, dat harmonisatie van privacybeschermende regels in de verschillende rechtsstelsels zou kunnen worden versneld door de wijn te verdunnen, dus door de vereisten te matigen en de Richtlijn 95/46/EG niet als absolute norm te nemen.2

Gegeven het feit dat in landen die privacybescherming als grondrecht onderschrijven, verschillende en afwijkende regelingen worden toegepast en de manier waarop en de mate waarin die regels worden afgedwongen, van land tot land verschillen, is het noodzakelijk in het kader van de mondialisering, internet en het kunnen toepassen van overal werkende privacyveilige informatiesystemen een wereldwijd geldende oplossing te zoeken. Terstegge stelt dat "Globalization of the digital economy requires a harmonization of various data protection frameworks around the world". 3 Het opnemen van de universele privacybeginselen en de privacyrealisatiebeginselen in ISO-standaarden,4 zou ertoe kunnen leiden dat op termijn wereldwijd een privacyveilige gegevensuitwisseling tot stand kan komen. Door integratie van de ISO-privacystandaards in Cobit 5 of ITIL6 zullen professionals, zoals softwareontwerpers en EDP auditors, deze standaards als professionele norm in hun werk toepassen. Door de massatoepassing van informatiesystemen, die ontworpen worden met behulp van ISO-, Cobit- of ITIL-standaards, kan deze aanpak binnen een relatieve korte tijd voor alle gebruikers een wereldwijde ingebouwde preventieve bescherming van persoonsgegevens in velerlei producten en diensten opleveren. Het onderzoek van de Technische Universiteit Dresden toont aan dat de economische gevolgen van een dergelijke standaardisatie voor ondernemingen en de maatschappij als geheel tot significante kostenvermindering leidt en het economische risico van de R&Dactiviteiten (mede op het gebied van privacybescherming) van ondernemingen vermindert Het leidt voorts tot versnelde overdracht van technologie met een positieve invloed op innovatie. Het zorgt er ook voor dat producten en diensten die niet voldoen aan de privacystandaards van de markt zullen verdwijnen.

Bovendien drukt het de kosten voor de (wereldwijde) naleving van de privacy-wetgeving voor multinationals en lokale bedrijven. Bovendien wordt de vrijwillige naleving van de privacywetgeving versterkt door gebruik van de producten en diensten waar privacybescherming is ingebouwd.

Winn7 bepleit ISO- en CEN-standaards als ondersteuning voor wet- en regelgeving. De Europese Commissie heeft een mandaat aan de CEN gegeven om hieraan te werken, maar de industrie blokkeert de werkzaamheden. Winn verwacht dat de ontwikkelingen rond RFID, e-invoicing en de Single Euro Payments Area (SEPA) de opstelling van de industrie noodzakelijkerwijs caperatiever zal maken.8 Dat standaards een belangrijke ondersteuning kunnen zijn van wetgeving, blijkt onder meer uit de Sarbanes-Oxley Act die refereert aan de ISO-standaard 17799/27001 (Information Security Management Standards) en ISO 15408 (Common Criteria for Information Technology Security Evaluation), waarover in hoofdstuk 5 meer. Binnen de ISO-organisatie vindt in werkgroep 5 van het Sub Committee 27 (ISO/IEC JTC 1/SC 27/WG 5) al voorbereidend werk plaats om privacy standaards voor identiteitmanagement en Privacy Enhancing Technologies te ontwikkelen.9 Het ontwikkelingsproces van deze standaarden gaat traag en zal naar het zich laat aanzien zeker nog enige jaren in beslag nemen.

Een belangrijke voorwaarde voor de standaardisatie van de privacybeschermende beginselen is dat de ontwerpbeginselen voor privacyveilige systemen zijn ontwikkeld en in de praktijk bewezen hebben effectief een adequate privacybescherming waar te kunnen maken.

Technische normen zijn als zodanig niet als rechtsnormen te beschouwen. Wel kunnen zij formeel-juridische gelding krijgen bij opname of verwijziging in regelgeving. Veelal zal er geen strikt juridische dwang bestaan tot het volgen van technische normen, maar zal er een praktische dwang daartoe ontstaan; normen bezitten dan een feitelijke gelding.10

Deze functie is alleen te gebruiken als je bent ingelogd.