Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/5.3
5.3. Conceptuele modellen voor bescherming van persoonsgegevens
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS574096:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Borking & Vriedhoff, 1995, p. 22-34. SWOT staat voor. Strenght, Weakness, Opportunity, Threat.
Wet van 28 december 1988, Stb. 665.
Borking, e.a. 1994, Het onderzoek vond plaats in het kader van deze publicatie.
H. van Rossum, e.a. 1995, p. 2, 17.
Borking & Friedhoff; 1995, p. 12 -15, 32; Kohnstamm, 2009, p. 5: inmiddels verdedigt in 2009 de voorzitter van het CBP Kohnstam het omgekeerde: 'DPAs need to be selective in order to be effective: thus shift focus from ex ante to ex post.'
Bellotti & Sellen, 1993, p. 51: 'ict-systems should be open and transparent to data subject; the system should be comprehensible; feedback be provided at a time when control is most likely to be required and effective; feedback should be noticeable, not distract or annoy and not involve information that compromises the privacy of others; the system should wam users when omitting to take the required action to protect their privacy and should have flexibility in order to be adjustable to the privacy level as required by the user due to the context and interpersonal relationships.'
Borking, 2002, p. 196-202.
Watts & Macaulay, 2000, p. 11: 'Hes & Borking have looked at PETs in the context of EU DP legislation, with a view to engineering a complete solution that respect both the efficiency and effectiveness of an information system and the conditions for processing of the data.'
Arendzen, e.a., 2007, p. 278.
Hurken, 2001, p. 128 'the first question to be asked in PET design is whether personal information is needed at all'.
Room, e.a., 2004, p. 38.
Prins, 2000, p. 153-157. Prins stelt in dit artikel op pagina 153: 'Een recht op regie over de persoonsgegevens (zie de nota van Min. BiZa 2000: 'Contract met de toekomst' — cursief toevoeging Borking) komt in de buurt van een recht op anonimiteit. Immers, uitgangspunt bij een recht op regie is anonimiteit en niet kenbaarheid'.
Pfitzmann & Hansen, 2008, p. 8.
Deze definitie is afgeleid uit de standard ISO 15408 (1999): 'Anonymity ensures that a user may use a resource or service without disclosing the user's identity. The requirements for anonymity penvide protection of the user identity. Anonymity is not intended to protect the subject identity. [...] Anonymity requires that other users or subjects are unable to determine the identity of a user bound to a subject or operabon'. De definitie van Pfitzman en Hansen is ruimer dan definitie van anonimiteit in ISO 15408 omdat, deze definitie is niet beperkt is tot het identificeren van gebruikers, maar alle subjecten bevat.
Een voorbeeld hiervan is de Nederlandse meta-zoekmachine Ixquick (www.ixquick.com) (zie hoofdstuk 6).
De Rooij, 2003, p. 206-212.
Horlings, e.a., 2003, p. 36.
De door de Registratiekamer in 1994 uitgevoerde omgevingsanalyse (SWOT)1 leverde als belangrijkste bevinding op, dat de technologische ontwikkeling met name van de informatie- en communicatietechnologie (ict) en de daarmee gepaard gaande informatisering, van grote invloed was (en is) voor het voortbestaan van een handhaafbare privacybescherming. De SWOT maakte duidelijk dat het beleid van de Registratiekamer gebaseerd op klachtenbehandeling ten gevolge van privacyincidenten, voor het preventief beschermen van de persoonlijke levenssfeer niet erg effectief is en dat er een structurele oplossing moest worden gevonden in plaats van ex post de Wet persoonsregistraties bij klachten toe te passen.2 Onderzoek van de Registratiekamer in 1994 wees uit,3 dat wanneer organisaties wordt gevraagd welke maatregelen zij hebben getroffen om de privacy te beschermen, zij erop wijzen dat zij zich hebben ingespannen om de persoonsgegevens te beveiligen, net zoals zij dat met andere gegevens in het kader van informatiebeveiliging doen. Hoewel het gebruik van beveiligingsmaatregelen om ongeautoriseerde toegang tot persoonsgegevens te voorkomen een belangrijke component van privacybescherming is, houdt een dergelijke beveiliging niet hetzelfde in als privacybescherming.4 Immers bij informatiebeveiliging wordt geen rekening gehouden met de noodzaak of de rechtmatigheid van de verwerking van persoonsgegevens.
Als gevolg van het resultaat van de SWOT maakte de Registratiekamer de strategische keuze om in plaats van reactief op de omgeving te reageren proactief oplossingen voor privacyproblemen aan te bieden.5 Dit leidde in 1994 tot het 'technology assessment' onderzoek om na te gaan welke mogelijkheden de aanpak van Chaum en Bellotti & Sellen6 bood om het gebruik van identificerende gegevens binnen informatiesystemen terug te dringen, de verwerking van persoonsgegevens binnen het wettelijk kader te bevorderen en de burger meer zeggenschap en vertrouwen te geven over de verwerking van zijn persoonsgegevens. In het 'technology assement' onderzoek van de Registratiekamer werd ook de vraag onderzocht of informatiesystemen, waarbij de identiteit van de consument voortdurend wordt gebruikt, ook als het niet noodzakelijk is, zo zou kunnen worden geconstrueerd dat het gebruik van persoonsgegevens (de kern van de informationele privacybescherming) geheel of gedeeltelijk zou kunnen worden geëlimineerd, zonder de functionaliteit van informatiesystemen te verminderen. Met andere woorden: hoe kan de ict-technologie er toe bijdragen dat de persoonlijke levenssfeer juist beter gewaarborgd wordt, waardoor de schadelijke invloeden van technologische ontwikkelingen door aanvullende technologische maatregelen worden gecorrigeerd?7
Zouden er privacyveilige informatiesystemen kunnen worden ontwikkeld met ingebouwde privacybescherming, waarbij alleen in het geval van bedrog de identiteit van de gebruiker/consument bekend dient te worden gemaakt? De Registratiekamer realiseerde zich in 1994 dat het kunnen openbreken van het privacyveilige informatiesysteem, wanneer een misdrijf met het systeem was gepleegd, een belangrijke voorwaarde zou zijn om privacyveilige systemen maatschappij breed geaccepteerd te krijgen. Als bij de verwerking persoonsgegevens geëlimineerd of aanmerkelijk verminderd zouden kunnen worden, zou dat naast de verbeterde privacybescherming ook een aanzienlijk betere bescherming tegen de in hoofdstuk 4 besproken bedreigingen en risico's kunnen opleveren.8Bovendien als de te verwerken gegevens van direct of indirect geïdentificeerde of identificeerbare natuurlijke personen volledig en onomkeerbaar worden geanonimiseerd, dan is er geen sprake meer van persoonsgegevens en vallen de aldus geanonimiseerde gegevens buiten de wettelijke bepalingen betreffende de bescherming van persoonsgegevens.9
Er zijn zes technisch realiseerbare mogelijkheden die zouden kunnen leiden tot een privacyveilig informatiesysteem.
De eerste mogelijkheid is het niet opvragen, niet genereren en niet vastleggen van welke gegevens in welke vorm dan ook.10 Het ontbreken van identifi
cerende gegevens maakt het niet of vrijwel niet mogelijk om de resterende gegevens te relateren aan een natuurlijk persoon. Deze oplossing is alleen mogelijk indien voor de doeleinden van de dienstverlening het verwerken van persoonsgegevens niet noodzakelijk is.11
De tweede mogelijkheid is het anonimiseren dat op verschillende manieren kan geschieden, zodat of de situatie van anonimiteit12 blijft gehandhaafd of ontstaat. Voor anonimiteit wordt in dit kader definitie van Pfitzmann & Hansen13 gebruikt: "Anonymity of a subject means that the subject is not identifiable within a set of subjects, the anonymity set. "14 Eén en ander hangt natuurlijk wel af van de grootte van de verzameling.
Als de persoonsgegevens tijdelijk nodig zijn, dan worden de gegevens in eerste instantie verwerkt en daarna zo snel mogelijk vernietigd of door middel van cryptografische technieken losgekoppeld van de overige gegevens. Het vernietigen en/of loskoppelen van data moet wel onomkeerbaar gebeuren.15 Zouden de persoonsgegevens en overige gegevens weer gekoppeld kunnen worden dan is er geen volledige anonimiteit bereikt.
Een andere mogelijkheid is de scheiding van gegevens waarbij persoonsgegevens wel worden verwerkt, maar de identificerende persoonsgegevens direct worden losgekoppeld van de overige persoonsgegevens.
Om de privacy te beschermen kan binnen het informatiesysteem bij verwerking van persoonsgegevens ook automatisch de wetgeving betreffende de bescherming van persoonsgegevens en het privacybeleid van de verantwoordelijke (zie paragraaf 2.7) worden toegepast. De verwerking moet dan zo geschieden, dat verwerking in strijd met de wettelijke verplichtingen of de privacy policy' leidt tot het af- of onderbreken van de verwerking.16 Deze laatste mogelijkheid is met name van belang voor informatieprocessen binnen de overheidsinstanties, banken en verzekeringsbedrijven die over het algemeen zeer identiteitsrijk zijn en ook op grond van wettelijke bepalingen niet zonder identificerende gegevens kunnen.
Er zouden ook als zesde mogelijkheid deelmaatregelen kunnen worden genomen zoals het inbouwen van een beperkte houdbaarheid van elektronische data. Dit zou de verspreiding van persoonlijke informatie via koppelingen van instanties kunnen verminderen.17