Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/1.2
1.2. Probleemstelling en zes onderzoeksvragen
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS575265:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Lessig, 1999, p. 6; Reidenberg, 1998, p. 553-593 omschrijft ''Code is Law' als de 'Lex Informatica' '.
Franken, 2001, p. 7.
Schmidt, 2004, p. 15-16.
Koelewijn, 2009, p. 204-205.
Lessig, 1999, (A) p. 546: 'We must make a choice about life in cyberspace. (...) The code of cyberspace (...) can be made to constitute values that resonate with our tradition.'
CBP, 2007, p. 6,11.
Kohnstamm, 2009, p. 5.
COM, 2003, 265.
Krisch, 2009, p. 8.
Schmidt, 2004, p. 15-16.
Objectcode of een objectbestand is in de informatica een mogelijke representatie die een compiler (een computerprogramma dat een invoer vertaalt in een bepaalde uitvoer) heeft gegenereerd na het vertalen van een broncodebestand (de broncode (ook wel brontekst) van een computerprogramma is de code die door de programmeur in een formele programmeertaal is geschreven).
De titel van dit proefschrift Privacyrecht is code' is geïnspireerd door Lessigs stelling 'Code is Law'. Hij schrijft in zijn boek Code and Other Laws of Cyberspace:
"In real space, we recognize how laws regulate through constitutions, statutes, and other legal codes. In cyberspace we must understand how a different code regulates- how the software and hardware (i.e. the 'code' of cyberspace) that make cyberspace what it is regulate cyberspace as it is. As William Mitchell puts it, this code is cyberspace's 'law'."1
Franken schrijft daarover:
"De programmeur staat nog dichter bij de individuele netburger. Hij stelt technische protocollen en netwerkarchitecturen vast. Hij bepaalt daarmee de weg waarlangs je kan lopen en de manier waarop deuren worden geopend of gesloten blijven. Sterker nog: hij/zij bepaalt daarmee wat wel of niet mogelijk is, of beter gezegd: wat wel of niet mag en moet."2
Schmidt ziet terecht een ernstige bedreiging in het reguleren van het gedrag van mensen met behulp van informatiesystemen:
"want dan is het immers wenselijk dat die systemen zodanig in elkaar zijn gezet dat de regels die zij verwezenlijken gelegitimeerd zijn. Dat is niet makkelijk vast te stellen voor een eenvoudige ingenieur (...) voor het normeren van menselijk gedrag via informatiesystemen is juridische kennis nodig. En dat houdt weer in dat er juristen beschikbaar moeten zijn om legitieme normatieve modellen te maken die door informatici kunnen worden vertaald naar informatiesystemen"3
`Code is Law' is een onwenselijke en ondemocratische ontwikkeling. Hoe dwingend in de praktijk de objectcode voor de gebruikers van informatiesystemen ook is, objectcode kan niet gelijk gesteld worden met het Recht. Objectcode is en mag niet het equivalent van een juridische norm zijn. Het Recht komt tot stand als gevolg van het van kracht worden van wetgeving, gewoonte of door middel van jurisprudentie en niet doordat een systeemontwerper bepaalde programmacode, al dan niet `hardwired' in een informatiesysteem implementeert.4 Vanuit een democratisch perspectief zou het dan ook wenselijk zijn dat het omgekeerde het geval is en `Law is code' geldt.5 Het woord 'is' in `Law is code' moet niet absoluut worden gezien, maar als een 'hulpwerkwoord' dat verwijst naar de mogelijkheid om bij de bescherming van onze privacy van informatie en communicatietechnologie gebruik te maken.
De doelstelling van dit onderzoek is na te gaan of het technologisch haalbaar is, onder meer door toepassing van privacy enhancing technologies (PET), om de rechtsbeginselen met betrekking tot de gegevensbescherming in het ontwerp van de architectuur van informatiesystemen op te nemen en zo bij de verwerking van persoonsgegevens die rechtsbeginselen in de programmacode of zelfs in objectcode (machinetaal) te integreren.
De bescherming van persoonsgegevens wordt geregeld in een aantal wetten, die ik hier met de verzamelnaam `privacywetgeving' aanduid. De Europese Unie heeft in een reeks Richtlijnen vastgelegd hoe persoonsgegevens van burgers online en offline moeten worden beschermd.
Uit de resultaten van de omgevingsanalyse in 1.1.10 blijkt onder meer dat burgers en consumenten zich er zorgen over maken dat de overheid en het bedrijfsleven hun persoonlijke informatie mogelijk misbruiken. Zij zijn niet in staat na te gaan wat er met hun persoonsgegevens gebeurt en aan wie die worden verstrekt. Het ligt voor de hand dat zij controle willen hebben en houden over het gebruik van hun persoonsgegevens. Het is echter in de praktijk voor burgers en consumenten zeer moeilijk gebleken om hun rechten op het gebied van de bescherming van persoonsgegevens te handhaven. Daardoor neemt hun vertrouwen in de verwerking van hun persoonsgegevens door de overheid en het bedrijfsleven af.
Het CBP heeft dan ook in 2007 gemeend dat het noodzakelijk was een koerswijziging in gang te zetten om de naleving van privacy als collectief belang krachtiger af te dwingen.
Kohnstamm, de huidige voorzitter van het CPB, verwoordde het als volgt: "De bescherming van de persoonlijke levenssfeer overstijgt het belang van het individu, van gezin of samenlevingsverband. Die bescherming dient uiteindelijk bovenal de samenleving als geheel. De grenzen die de wetgever niet voor niets heeft getrokken, dienen dan ook daadwerkelijk gerespecteerd te worden. De prioriteit van de toezichthouder is verlegd naar het doen van onderzoek en handhavend optreden bij ernstige overtredingen met een structureel karakter en grote gevolgen voor vele burgers of groepen van burgers."'6
Tijdens een door de Europese Commissie georganiseerde Data Protection Conference in mei 2009 verduidelijkte hij dat: "DPAs need to be selective in order to be effective: thus shift focus from ex ante to ex post".7 Om evenwel de bescherming van persoonsgegevens niet tot een papieren tijger te laten verworden en burgers controle over de verwerking van hun persoonsgegevens te laten behouden, is het noodzakelijk de rechtsregels met adequate technologische maatregelen ex ante te ondersteunen. De toepassing van Privacy Enhancing Technologies (PET) is zo'n ex-ante maatregel. In principe kan dezelfde icttechnologie die voor gegevensverwerking wordt gebruikt ook voor gegevensbescherming worden ingezet. De EU-commissie schreef in haar eerste evaluatierapport over de werking van de persoonsgegevens beschermende Richtlijn 95/46/ EC dat "(...) the use of appropriate technological measures is an essential complement to legal means and should be an integral part in any efforts to achieve a sufficient level of privacy protection (...)".8
Krisch verdedigde tijdens de eerder genoemde Data Protection Conference dat het noodzaak is "to improve possibilities for individual data(self) protection".9 Informatietechnologie kan daarbij van dienst zijn. Door de intensieve koppeling van geautomatiseerde gegevensverwerking en telecommunicatie zijn de privacy van persoonsgegevens en die van persoonlijke communicatie steeds meer met elkaar verbonden geraakt. Deze twee vormen van privacy tezamen worden aangeduid met `informationele privacy'. In dit boek gaat het om deze informationele privacy. Dit onderzoek houdt zich dus niet bezig met de lichamelijke privacy in relatie tot bijvoorbeeld bloed- en DNA-testen of verplichte sterilisatie, noch met de privacy die het persoonlijk gedrag betreft, bijvoorbeeld seksuele geaardheid.
De probleemstelling in dit proefschrift is:
Hoe kunnen in informatiesystemen de persoonsgegevens van burgers zodanig effectief worden beschermd, dat zij erop kunnen (blijven) vertrouwen dat hun persoonsgegevens niet onrechtmatig worden verzameld, verwerkt, opgeslagen en verspreid door de verantwoordelijke en de bewerker?10
Deze probleemstelling impliceert dat de huidige wet- en regelgeving op het gebied van de bescherming van persoonsgegevens door informatiesystemen kan worden ondersteund en gehandhaafd. Om de vereiste privacybescherming in de programmacode in te kunnen bouwen, zijn voorafgaand aan de ontwerpfase privacybedreiginganalyses en risicoanalyses noodzakelijk, waarbij niet alleen een beveiligingstechnische maar ook een juridische afweging plaatsvindt.11
De probleemstelling leidt tot zes onderzoeksvragen (OV):
OV 1: Welke juridische specificaties kunnen voor informatiesystemen uit de algemene beginselen betreffende persoonlijke informatie en de privacywet- en regelgeving worden afgeleid?
De basisbeginselen voor de bescherming van persoonlijke informatie zijn uitgewerkt in privacyrealisatiebeginselen. De beginselen hebben tot doel de mogelijkheid voor het individu te scheppen om controle te hebben en te houden over zijn persoonsgegevens ongeacht de technologische omgeving. De privacy-realisatiebeginselen liggen aan de basis van de Europese wet- en regelgeving. Ontwerpers van informatiesystemen dienen hiermee rekening te houden. Met uitzondering van de Richtlijn 2006/24/EG zijn de bepalingen in de Europese Richtlijnen 95/46/EG en 2002/58/EG in de wetgeving van alle EU-lidstaten getransponeerd. De Data Retentie Richtlijn 2006/24/EG zal bij transpositie in het nationale recht van de lidstaten consequenties inhouden voor de architectuur van informatiesystemen. Nationaal recht van de EU-lidstaten zal in dit onderzoek niet worden geanalyseerd, te meer daar de informatie- en communicatietechnologie zich onafhankelijk van nationale wettelijke stelsels ontwikkelt en wereldwijd kan worden toegepast.
OV 2: Is onze informationele privacy in gevaar doordat de overheid en het bedrijfsleven de burger preventief in de gaten houden ter bestrijding van fraude-, misdrijf-, en terrorismebestrijding?
Dankzij de technologische vooruitgang kan de overheid surveillancemiddelen inzetten die veel verder reiken dan het afluisteren van telefoongesprekken. Sinds `9/11' is deze ontwikkeling onmiskenbaar gaande. De overheid en rechtshandhavers krijgen steeds meer bevoegdheden voor de rechtshandhaving en zetten steeds vaker geavanceerde ict-systemen in die ertoe kunnen leiden dat de privacybescherming erodeert. De burger kan zich daartegen niet adequaat verweren. Als het intensieve toezicht van de overheid en bedrijfsleven tot erosie van onze privacy leidt, kan dezelfde ict-technologie, die surveillance mogelijk maakt, dan ook ingezet worden als remedie tegen disproportioneel toezicht?
OV 3: Met welke privacybedreigingen en privacyrisico's moeten de burger en de ontwerper van systemen rekening houden?
Uit de omgevingsanalyse blijkt dat burgers en consumenten nauwelijks op de hoogte zijn van de risico's die zij lopen als zij hun persoonsgegevens voor verwerking verstrekken. Om een zorgvuldig en behoorlijk gebruik van persoonsgegevens te garanderen, is het noodzakelijk om de privacybedreiging of privacyrisico's te analyseren. De aanpak hiervan dient zo te zijn dat een juiste interpretatie van rechtsregels ertoe leidt dat de bouwers van informatiesystemen de noodzakelijke maatregelen kunnen implementeren die de gesignaleerde privacyrisico's moeten voorkomen. Er zijn nochtans geen gestandaardiseerde methoden voor het uitvoeren van privacybedreiging- en privacyrisicoanalyses voor informatiesystemen. De uitkomst van de analyses moet leiden tot adequate maatregelen om de bedreigingen en risico's te beperken.
OV 4: Wat houdt het concept Privacy Enhancing Technologies (PET) in?
Als in de hierboven vermelde analyses privacyrisico's en -bedreigingen worden geconstateerd, dan moeten hiervoor structurele oplossingen worden gevonden. Organisatorische oplossingen blijken doorgaans niet afdoende te zijn en nopen tot een (aanvullende) technische oplossing om de informationele privacy te beschermen. Veel technologische oplossingen beveiligen wel gegevens maar zorgen er tegelijkertijd voor dat het individu minder te zeggen heeft over het gebruik van zijn persoonsgegevens. Om preventief privacy te beschermen dienen in de architectuur van informatiesystemen voorzieningen te worden getroffen. PET kan hiervoor mogelijk een oplossing bieden. Bij de beantwoording van deze onderzoeksvraag komen ook encryptie, anonimisering, `rulebased' privacy-managementsystemen en persoonsgegevensbeschermende ontologieën aan de orde.
OV 5: Is het mogelijk privacyveilige architecturen en systemen te ontwerpen en te bouwen?
De resultaten die voortvloeien uit de beantwoording van onderzoeksvragen 3 en 4 over de privacybedreigingen en privacyrisico 's en over Privacy Enhancing Technologies kunnen worden toegepast in het ontwerp van informatiesystemen. Bovendien wordt onderzocht of door de resultaten van onderzoeksvraag 1 op privacyveilige architecturen en privacyveilige systemen toe te passen, de rechtsbeginselen die zijn vastgelegd in de EG-richtlijnen 95/46/EG, 2002/58/EG en 2006/24/EG over de bescherming en het opslaan van persoonsgegevens kunnen worden gemigreerd naar objectcode.12 Daartoe zullen vier informatiesystemen, waarvan door de eigenaars wordt beweerd dat zij privacyveilig zijn, worden onderzocht.
OV 6: Wanneer het mogelijk blijkt te zijn om privacyveilige systemen te ontwikkelen, bestaan er dan belemmeringen in organisatorische en economische zin om op grote schaal PET in informatiesystemen te implementeren?
Reacties en commentaren van belanghebbenden op privacygevoelige identiteitsrijke projecten zoals bijvoorbeeld het elektronische patiëntendossier, de ovchipkaart, het opnemen van biometrische kenmerken in paspoorten, geven aan dat de overheid en het bedrijfsleven in hun gegevensverwerking PET niet structureel toepassen. Zij vertrouwen eerder op klassieke organisatorische en technische informatiebeveiligingsmaatregelen. Het blijkt moeilijk organisaties te overtuigen hun bedrijfsprocessen zo in te richten dat persoonsgegevens worden getransformeerd tot gegevens waaruit de identiteit niet direct herleidbaar is en identificerende gegevens worden losgekoppeld van overige persoonsgegevens.