Privacyrecht is code
Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/7.17:7.17. Samenvatting
Privacyrecht is code (R&P nr. ICT1) 2010/7.17
7.17. Samenvatting
Documentgegevens:
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS577608:1
- Vakgebied(en)
Civiel recht algemeen (V)
Toon alle voetnoten
Voetnoten
Voetnoten
www.europarl.europa.eu/sides/get Doc.do?pubRef //EP//TEXT + TA + P6_TA 20080452 + 0 + Doc + xml + Vo//En & Language_ En.
Deze functie is alleen te gebruiken als je bent ingelogd.
Ondanks de aantoonbare technische haalbaarheid van PET-maatregelen zoals in hoofdstuk 6 besproken, maken organisaties nog vrijwel geen gebruik van PET, maar vertrouwen zij voornamelijk op klassieke organisatorische en technische informatiebeveiligingsmaatregelen. In dit hoofdstuk is zesde onderzoeksvraag onderzocht (OV 6): Wanneer het mogelijk blijkt te zijn om privacyveilige systemen te ontwikkelen, bestaan er dan belemmeringen in organisatorische en economische zin om op grote schaal PET in informatiesystemen te implementeren?
Het blijkt dat een groot aantal factoren organisaties beïnvloeden bij hun beslissing om wel of niet PET toe te passen. Positieve factoren stimuleren de toepassing van PET en negatieve factoren zijn duidelijke belemmeringen om PET te implementeren. De overheid, die in de motie Nicolaï verplicht wordt om het voortouw te nemen bij het inzetten van PET in hun eigen gegevensverwerkende en gegevensdragende systemen, zoals bijvoorbeeld het elektronisch patiëntendossier, biometrie in het paspoort, het kinddossier, de ov-chipkaart en de kilometerheffmg, past PET structureel niet toe. Dit is het gevolg van het gebrek aan politieke wil en gebrek aan voldoende kennis over de voordelen die PET bij privacybescherming kan bieden. Volgens het Rand Europe onderzoek (zie paragraaf 7.2) is er sprake van een vicieuze cirkel ten gevolge van de opvatting: zolang PET zich niet hebben bewezen, acht de overheid het risico van mislukking te groot; zolang men het risico te groot vindt, worden PET niet toegepast en kunnen PET zich niet bewijzen. Hoofdstuk 6 heeft nochtans aangetoond dat PET zich in vele systemen als betrouwbaar hebben bewezen. Uit het onderzoek naar de adoptiefactoren voor PET blijkt, dat de druk van de wet- en regelgeving en met name van de toezichthouders belast met de bescherming van persoonsgegevens (`data protection authorities') een positieve invloed hebben op de beslissing van organisaties om PET-maatregelen te nemen.
Aangetoond is dat om PET in een organisatie te kunnen implementeren het noodzakelijk is dat binnen de organisatie structureel 'identity and access management' (JAM) wordt toegepast Immers, zonder JAM-processen is het niet mogelijk het gebruik van en de toegang tot (gevoelige) persoonsgegevens te controleren. Bovendien is een bepaald maturiteitsniveau van de betreffende JAM-processen noodzakelijk. Het is zeer onwaarschijnlijk dat onvolgroeide organisaties overgaan tot implementatie van PET. De S-curven voor JAM, de maturiteit van organisaties, privacybescherming en voor PET zelf, geven een indicatie waarom de meeste organisaties pas in een relatief laat stadium besluiten om PET-maatregelen toe te passen om persoonsgegevens adequaat te beschermen. Het vermijden van reputatieschade is een stimulans om PET-maatregelen te nemen.
Nochtans zijn de kosten een belangrijke negatieve factor voor de adoptie van PET. Goede businessmodellen met betrekking tot PET-investeringen kunnen een positieve invloed hebben om in PET te investeren. Dergelijke modellen ontbreken. In dit hoofdstuk is een aantal methoden voor investeringsberekeningen besproken. De `return on investment-formules' voor PET-investeringen (o.a. ROI-Pl) en net present value (NPV) -berekening ondersteunen de economische rechtvaardiging om in PET te investeren en doen voor een belangrijk deel de negatieve adoptiefactor 'kosten' teniet. De kwantificeerbare gegevens kunnen de managementbeslissing ondersteunen om PET-maatregelen te nemen. Empirische gegevens over privacyincidenten zijn in de Europese Unie niet beschikbaar, waardoor de consequenties van dergelijke incidenten niet accuraat kunnen worden ingeschat en de rendementsberekeningen van PET-investeringen onvolledig of onnauwkeurig kunnen zijn. Een verplichte bekendmaking en registratie van verlies of diefstal van persoonlijke informatie, zoals voorzien in het wijzigingsvoorstel van de Richtlijn 2002/58/EG, zal ervoor zorgen dat dergelijke gegevens wel beschikbaar worden.1
Samenvattend: uit het onderzoek waarover in dit hoofdstuk is gerapporteerd kan als antwoord op de zesde onderzoeksvraag (OV 6) gegeven worden, dat er belangrijke belemmeringen bestaan om PET grootschalig te implementeren, maar het onderzoek geeft ook aan dat er positieve adoptiefactoren zijn die de belemmeringen kunnen opheffen en de implementatie van PET zelfs kunnen stimuleren. Daar dient gebruik van te worden gemaakt. In het volgende hoofdstuk zullen aanbevelingen voor het invoeren van privacyveilige informatiesystemen worden gedaan.