4.8. Privacyrisico- of Privacyeffectanalyse

Flaherty stelt uitdrukkelijk dat een privacy impact assessment (PIA) een essentieel beleidsmiddel is om persoonsgegevens preventief tegen inbreuken te beschermen.1 In de EU privacyrichtlijnen en mutatis mutandis in Nederlandse wetgeving is geen expliciete bepaling betreffende een privacyrisicoanalyse opgenomen. Op grond van het bepaalde in artikel 13 WBP: "(...)gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich meebrengen", zou evenwel kunnen worden geconcludeerd, dat ter rechtvaardiging van de keuze van de technische en organisatorische maatregelen, deze keuze dient te zijn gestoeld op een (gedocumenteerde) risicoanalyse van de effecten van het informatiesysteem op het beschermen van persoonsgegevens en de gevolgen van mogelijke privacyinbreuken bij het gebruik van het informatiesysteem. Tijdens de parlementaire behandeling is op geen enkele manier gerefereerd aan het verplicht maken van een privacyrisico- of privacy effect analyse. Wel is bij het nader aanduiden van het begrip 'passend' gewezen op de proportionaliteit tussen beveiligingsmaatregelen en de aard van de te beschermen gegevens.2 Op zijn minst zou men dan ook mogen verwachten dat de aard van de te verwerken persoonsgegevens3 wordt geanalyseerd, zodat bijvoorbeeld duidelijk wordt of er van gevoelige gegevens sprake is, die gezien de context zwaardere eisen stellen aan de beveiliging.

In Canada4 zijn alle overheidsorganen verplicht5 een PIA uit te voeren om vooraf de mogelijke privacyproblemen vast te stellen, die het gevolg kunnen zijn van nieuwe beleidsvoornemens, nieuwe (uitgebreidere) dienstverlening of door substantieel herontwerp van een beleidprogramma. Een PIA moet in ieder geval altijd uitgevoerd worden als de verzameling, het gebruik en de openbaarmaking van persoonsgegevens (in het kader van de integratie van beleidsprogramma's) met of zonder toestemming van de betrokken burgers toeneemt. Een PIA is ook vereist als de doelgroepen worden vergroot, een verschuiving van directe naar indirecte verzameling van gegevens plaatsvindt en persoonsgegevens voor meer beleidsprogramma's worden gebruik dan initieel voorzien. Als ondersteuning kan de 'Privacy Diagnostic Tool' (PDT)6 worden gebruikt.

Rapportage van het resultaat van de PIA aan de Privacy Commissioner van de provincie of federale overheid is verplicht. De PIA onderzoekt op basis van het bepaalde in de Canadese Privacy Act en de Personal Information and Electronic Documents Act7 of voldaan wordt aan de wettelijke eisen en of er privacyproblemen (te verwachten) zijn. Het is een gestructureerde manier om de essentiële componenten van het informatiesysteem en de stromen van persoonsgegevens in kaart te brengen. Het zorgt ervoor dat privacyvraagstukken gedurende het (her) ontwerp van systemen en programmatuur niet veronachtzaamd worden. Zoals uit het onderstaande model (figuur 4.4) blijkt, bestaat het Canadese PIA proces uit vier basiscomponenten: de project initiatie, de data-analyse, de privacyanalyse en het privacyeffectrapport. De PIA is niet eenmalig, maar volgt de ontwikkeling van het informatiesysteem gedurende zijn bestaan.8 De PIA leidt tot een `privacy risk management plan', dat onder meer een beschrijving geeft van de geïdentificeerde privacy risico's, een analyse van de mogelijkheden om de privacyrisico's te ondervangen of te verminderen, een lijst van overgebleven risico's die niet opgelost kunnen worden en een analyse van de mogelijke gevolgen van deze risico's voor wat betreft de reactie van het publiek en het succes van het voorgestelde beleidsprogramma.

In de Verenigde Staten vereisen zowel artikel 208 van de E-Government Act (2002)9 als artikel 222 sub 4 van de Homeland Security Act (2002)10 dat er een Privacy Impact Assessment binnen de federale overheidsorganen moet worden uitgevoerd. De PIA analyseert hier op welke wijze "personal identifiable information (PII) is collected, used, disseminated and maintained".11 Het stelt vast hoe de betrokken overheidsafdeling met de vastgestelde privacyproblemen gedurende de ontwikkeling, ontwerp en gebruik van een in te voeren (surveillance)technologie of regelgeving moet worden omgegaan c.q. is omgegaan. Daarbij dient de bescherming van PII zodanig te zijn dat het binnendringen in de levenssfeer van individuen zo veel mogelijk wordt beperkt, de rechtmatigheid van beslissingen van het overheidsorgaan zo groot mogelijk is en de legitieme verwachting van het individu met betrekking tot een afdwingbare vertrouwelijkheid van zijn persoonsgegevens wordt gerechtvaardigd. Het beleidsdocument behorend bij de wet wijst er op, dat er niet altijd een PIA uitgevoerd hoeft te worden. Er kan worden volstaan met een lichtere Privacy Threshold Analysis, op grond waarvan de 'privacy afleer' beslist of er alsnog een PIA gedaan moet worden.12 Onder punt 7.5 van het PIA-beleidsdocument van het US Department of Homeland Security komt specifiek de vraag aan de orde hoe de privacyrisico's worden ingeschat met betrekking tot het recht van toegang van het individu wiens persoonsgegevens worden verwerkt en tegelijkertijd hoe de risico's voor het systeem kunnen worden beperkt. Artikel 7.5.1: "Discuss how the redress and access measures offered in the system and collection of information are appropriate given the purpose of the system. For example, if the minimal redress procedures provided in the Privacy Act and the Freedom of Information Act are deemed inadequate please explain why additional redress measures offered are beneficial to the system." Het gehele proces geeft de indruk dat er een uitgebreide checklist moet worden afgewerkt met als mogelijk resultaat een privacy impact assessment report. Of dit rapport een lijst van privacyrisico 's voor het individu ten gevolge van Homeland Security systeem oplevert, is niet duidelijk.

Inmiddels begint ook binnen de Europese Unie de belangstelling voor een PIA te groeien. Gezien de grote privacyrisico's die verbonden zijn aan het gebruik van RFIDs heeft de Europese Commissie een aanbeveling gedaan. De Commission Recommendation van 12 mei 2009 on the implementation of privacy and data protection principles in applications supported by radio-frequency identification legt in artikel 4 de verplichting aan de lidstaten op, dat "Member States should ensure that industry, in collaboration with relevant civil society stakeholders, develops a framework for privacy and data protection impact assessments. This framework should be submitted for endorsement to the Article 29 Data Protection Working Party within 12 months from the publication of this Recommendation in the Official Journal of the European Union".13 Een gestandaardiseerde PIA is nochtans noodzakelijk wil een PIA gezag krijgen als input voor het bouwen van privacyveilige informatiesystemen. De Information Commissioner (ICO) van het Verenigd Koninkrijk14 heeft op 7 januari 2008 in de EU het voortouw genomen met het publiceren van het privacy impact assessment handbook. De PIA is in Engeland vrijwillig en niet verplicht voorgeschreven. De ICO wijst erop dat: "The PIA process is considerably broader than just an audit of compliance with existing privacy related laws. A complementary process is needed to ensure that the project is legally compliant. That process can begin early, but cannot be finalised until late in the project life-cycle, when the design is complete (...) A PIA aims to prevent problems arising, and hence avoid subsequent expense and disruption."15 Bij de privacybedreigingsanalyse dient de vooringenomenheid en de gemakzucht van de ontwerper te worden voorkomen. Het is dan ook noodzakelijk een systematische repeteerbare en verifieerbare methode toe te passen waarin de diverse facetten van het te ontwerpen informatiesysteem worden geanalyseerd op privacybedreigingen en de manier waarop deze potentiële bedreigingen of de gevolgen daarvan kunnen worden teniet gedaan of verminderd. Bovendien zou idealiter deze (gestandaardiseerde) methode, indien mogelijk, op een breed scala van privacygerelateerde, technologische systemen moeten kunnen worden toegepast. Als de EU-wetgeving een PIA zou voorschrijven zou dat een belangrijke stimulans kunnen betekenen voor het tijdig vaststellen van de gevolgen voor de privacy van de burger en consumenten van een nieuw informatiesysteem en de te nemen technologische maatregelen om de privacy te beschermen.