10.1 Lijst van aanbevelingen

Documentgegevens:

drs. J.J.F.M. Borking, datum 26-05-2010

Datum: 26-05-2010
Auteur: drs. J.J.F.M. Borking
JCDI: JCDI:ADS578753:1
Vakgebied(en): Civiel recht algemeen (V)

Hieronder volgen de aanbevelingen die in hoofdstuk 8 (paragrafen 8.5 t/m 8.8) zijn gedaan.

Aanbeveling I aan het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties en het Ministerie van Justitie en de Data Protection Authorities (College bescherming Persoonsgegevens):

Maak bij de voorlichting over ‘privacy enhancing technologies’(PET) gebruik van de positieve adoptiefatoren voor PET. Voer op basis van het maturiteitsniveau van de overheidsorganisaties PET standaard in alle informatiesystemen in, conform de motie Nicolaï (1999).

Aanbeveling II aan de Data Protection Authorities (College Bescherming Persoonsgegevens):

Zorg voor unanimiteit in de EU met betrekking tot het gebruik van PET. Draag dezelfde boodschap over PET EU-breed uit. Bevorder dat PET standaard (‘by default’) wordt toegepast teneinde de privacyveiligheid van informatiesystemen te stimuleren.

Aanbeveling III aan de Data Protection Authorities en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties:

Richt een Europees respectievelijk landelijk PET Expertisecentrum op en/of bevorder de oprichting van ‘PRITAC’ op EU-niveau.

Aanbeveling IV aan de verantwoordelijken:

Voer voordat een opdracht wordt gegeven voor de ontwikkeling van een informatiesysteem of programmatuur waarmee persoonsgegevens worden verwerkt een multi-actoranalyse uit. Daarmee worden mede automatiseringsdebacles voorkomen.

Aanbeveling V aan de verantwoordelijken:

Volg het in dit boek uiteengezette stappenplan om privacyveilige systemen te verwezenlijken.

Aanbeveling VI aan de verantwoordelijken en adviserende accountants:

Bereken vooraf de Return On Investment van PET maatregelen (ROI-PI), opdat er een gewogen management beslissing genomen wordt over de invoering van privacybeschermende maatregelen en reputatieschade kan worden voorkomen.

Aanbeveling VII aan de Europese wetgever:

Pas de tekst van de EU-privacyrichtlijn 95/46/EG aan in lijn met de nieuwe technologische ontwikkelingen, zodat rekening wordt gehouden met:

1.: nieuwe persoonsgegevens;
2.: nieuwe middelen waarmee gegevens worden verwerkt;
3.: de nieuwe groep van verantwoordelijken;
4.: de gewijzigde doelstellingen;
5.: de ontwikkelingen op het gebied van ambient intelligence

Aanbeveling VIII aan de Europese wetgever:

1.: Stel in eerste instantie niet de verantwoordelijke zoals gedefinieerd in de Richtlijn 95/46/EG voor de onrechtmatige persoonsgegevensverwerking aansprakelijk, maar de manager die direct bij de verwerking betrokken is, vergelijkbaar met de aansprakelijkheidsregeling in de Amerikaanse SOX.
2.: Voer productaansprakelijkheid in voor privacyonveilige informatiesystemen, vergelijkbaar met de productaansprakelijkheid voor (onveilige) producten.

Aanbeveling IX aan de Europese wetgever/de Europese Commissie:

Naast een expliciete definiering van het begrip ‘privacy by design’: neem in de Richtlijnen 95/46/EG en 2002/58/EG de volgende drie verplichtingen op:

1.: De verantwoordelijke (in de zin van de Richtlijn) dient een privacyrisico, privacy impact- of bedreigingsanalyse uit te voeren, voordat een systeem wordt ontworpen c.q. op de markt wordt gebracht; een dergelijke privacyrisicoanalyse dient aan de Data Protection Authority voorafgaande aan de bouw van het systeem te worden voorgelegd. Bevorder de standaardisatie van de Privacy Impact analyse (PIA).
2.: PET dient als technisch middel om de persoonsgegevens te beschermen ‘by default’ te worden toegepast; ‘privacy by design’ moet als privacyrealisatiebeginsel in de richtlijn te worden opgenomen.
3.: Gebruikers dient standaard de optie te worden geboden om diensten en infrastructuren ook anoniem te kunnen gebruiken.

Aanbeveling X aan de Europese wetgever:

Zorg voor wetgeving die controle, reciprociteit en terugkoppeling aan de gebruiker van informatiesystemen voorschrijft.