6.0 Introductie

In dit hoofdstuk wordt de vijfde onderzoeksvraag beantwoord (OV 5): Is het mogelijk privacyveilige architecturen en systemen te ontwerpen en te bouwen? In paragraaf 6.1 wordt het ontwerpproces toegelicht. In 6.2 komen de ontwerpvereisten voor een privacyveilig informatiesysteem (PRWIS) aan bod. In paragraaf 6.2.1 is het resultaat van de beantwoording van eerste onderzoeksvraag (OV 1) Welke juridische specificaties kunnen voor informatiesystemen uit de algemene beginselen betreffende persoonlijke informatie en de privacy wet- en regelgeving worden afgeleid? overgenomen, namelijk de lijst van juridische specificaties, waar de ontwerper van PRWIS niet omheen kan. In 6.2.2 wordt aangehaakt bij het resultaat van de beantwoording van de derde onderzoeksvraag (OV 3): Met welke privacybedreigingen en -risico 's moeten de burger en de ontwerper van systemen rekening houden? de privacybedreigingen. In 6.3 wordt gewezen op het belang van een duidelijke scheiding van rollen in PRWIS, te weten de betrokkene, de verantwoordelijke en bij het gebruik van certificaten met de `trusted third party' (TTP). In paragraaf 6.4 wordt aangetoond dat er naast privacyrechten ook privacyplichten bestaan. Om de privacyplichten goed te kunnen beheren is het `Obligation Management System' (OMS) ontworpen.

In de paragrafen 6.5 tot en met 6.9 wordt het antwoord op de vierde onderzoeksvraag (OV 4) Wat houdt het concept Privacy Enhancing Technologies (PET) in? toegepast. In 6.5 komen gegevensminimalisatie en de daarbij behorende PET-maatregelen als ontwerpbeginselen voor het voetlicht. Ter adstructie van de in de vorige paragraaf vermelde ontwerpbeginselen volgt in paragraaf 6.5.1 de bespreking van de metazoekmachine Ixquick. De bespreking omvat de architectuur, het zoekproces, de clickfraude en de cookies. Drie juridische vragen doen zich bij de werking van de metazoekmachine Ixquick voor. Deze worden toegelicht in paragrafen 6.6.1 en 6.6.2. De rapportage over Ixquick wordt afgesloten in paragraaf 6.6.3 met het PET-model informatiesysteem 1.

In paragraaf 6.7 wordt het tweede model van een werkend PET-informatiesysteem (model informatiesysteem 2 in figuur 6.8) gepresenteerd, namelijk het ziekenhuisinformatiesysteem, zoals dat onder meer in het psychiatrisch ziekenhuis Meerkanten wordt gebruikt. In de analyse komen de centrale database, de relationele database, het gebruik van de Identity Protector, en de gegevensdomeinen met pseudo-identiteiten aan de orde. De analyse wordt afgesloten met figuur 6.11 waarin de sequentiële communicatiedialoog binnen het ziekenhuisinformatiesysteem zichtbaar wordt gemaakt. In paragraaf 6.7.3 wordt betoogd dat de kritiek op het veelbecommentarieerde elektronisch patiënten dossier dat het Ministerie van VWS wil invoeren, kan worden gepareerd door op het elektronisch patiëntendossier het model PET-informatiesysteem 2 toe te passen. In paragraaf 6.8 wordt de toepassing van het derde model PET-informatiesysteem in het Victim Tracking and Tracing System (ViTTS) ten tonele gevoerd. Bij de bespreking van dit systeem worden de privacybeschermende maatregelen in kaart gebracht. Ten slotte komt in paragraaf 6.9 de nieuwe loot aan de PET-stam, de privacymanagementarchitectuur aan de orde. Ter adstructie van deze PET-architectuur dient de in 2003 ontwikkelde 'privacy incorporated software agent' (PISA). Deze agent wordt besproken in paragraaf 6.9.1 waarin de consequenties van de privacybedreigingsanalyse, de opsplitsing van de PII, de ingebouwde juridische kennis, de interactieprotocollen, het gebruik van `orlion routing' en de `audit trail' besproken worden. In paragrafen 6.10 en 6.11 worden de vraagstukken rond de PISAapplicant (een mobiele software agent die voor zijn 'master' een baan zoekt) besproken. Paragraaf 6.12 gaat in op de vraag of er sprake is van mislukte PET-automatisering en het hoofdstuk wordt afgesloten met de samenvattende beantwoording van de vijfde onderzoeksvraag (OV 5) in paragraaf 6.13.