Privacyrecht is code (R&P nr. ICT1) 2010/6.5.0:6.5.0 Introductie

Privacyrecht is code (R&P nr. ICT1) 2010/6.5.0

6.5.0 Introductie

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

In hoofdstuk 5 is aangegeven dat er een aantal technisch realiseerbare mogelijkheden is, die zouden kunnen leiden tot een privacyveilig informatiesysteem.

Een van deze mogelijkheden steunt op het privacyrealisatiebeginsel van de gegevensbeperking met gebruik van de 'Identity Protector'. Het beginsel van dataminimalisatie is een van de hoekstenen van de privacybescherming. Dit beginsel stoelt op artikel 6(1)b, c en e van Richtlijn 95/46/EG en 14 (3) van Richtlijn 2002/58/EG en betreft zakelijk weergegeven: maximum anonimiteit, zo min mogelijk gegevens verzamelen en zo vroeg mogelijke verwijdering van data. In vervolg op het beweerde in hoofdstuk 2 kan worden vastgesteld, dat het ontwerpvoordeel van dit principe is dat gegevens die niet opgeslagen zijn ook niet behoeven te worden beveiligd en niet beheerd behoeven te worden. Alhoewel de Richtlijn zich richt tot de lidstaten en niet tot individuen, is voor ontwerpers toch het bepaalde in artikel 14(3) van de Richtlijn 2002/58/EG, van belang. Dit artikel bepaalt dat in het ontwerp van de 'terminals' zodanige voorzieningen moeten worden genomen dat de gebruikers het gebruik van hun persoonsgegevens kunnen beschermen en controleren. Bovendien stelt Overweging 30 van deze Richtlijn uitdrukkelijk dat systemen bestemd om te worden gebruikt voor elektronische communicatienetwerken en dienstverlening zo moeten worden ontworpen, dat het gebruik van persoonsgegevens wordt gelimiteerd tot het strikt noodzakelijke minimum Dit beginsel houdt tevens in dat waar mogelijk in het ontwerp gestreefd moet worden naar het niet-registreren van (onmiddellijk) identificerende data. Het beginsel regardeert ook de vernietiging van de persoonsgegevens zodra deze data niet langer (dan strikt noodzakelijk voor de verwerking van de data) zijn vereist. Dit laatste stelt aan de ontwerper de eis om de data op een zodanige manier op te slaan dat (automatisch) de identificatie van de personen waarop de persoonsgegevens betrekking hebben niet langer kan plaatsvinden dan nodig is voor het doel waarvoor de gegevens werden verzameld en verwerkt.

Voor verkeersgegevens is dit ontwerpvereiste in artikel 6 van Richtlijn 2002/58/ EG vastgelegd waarin wordt bepaald: "Verkeersgegevens van abonnees (...) die worden verwerkt en opgeslagen door de aanbieder van een openbaar elektronisch communicatienetwerk of -dienst, moeten, wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, worden gewist of anoniem gemaakt, onverminderd de leden 2, 3 en 5, alsmede artikel 15, lid 1."

Wanneer wettelijk het geven van toestemming vereist is, dienen gebruikers van het systeem, bijvoorbeeld via een mededeling op het scherm van hun computer of terminal, op de hoogte worden gebracht over de geplande bewaartermijn van hun persoonsgegevens. Het ontwerp dient zo ingericht te zijn, dat deze informatie aan de gebruiker vóór het geven van de toestemming tot verwerking wordt gegeven. De gebruikers moeten er vanuit kunnen gaan dat na de expiratiedatum de persoonsgegevens of verwijderd worden of worden geanonimiseerd. Dat zou bijvoorbeeld in het privacybeleid van de verantwoordelijke op de web site kunnen worden vermeld.

Gegevensminimalisatie kan ook inhouden, dat het informatiesysteem zo is ingericht dat wanneer de persoonsgegevens slechts tijdelijk nodig zijn, de gegevens in eerste instantie worden verwerkt en daarna direct worden vernietigd of door middel van cryptografische technieken losgekoppeld worden van de overige gegevens. Het vernietigen en/of loskoppelen van data moet wel onomkeerbaar gebeuren.

In hoofdstuk 5 is uiteengezet dat de 'Identity Protector' een systeemmodule betreft die de uitwisseling van de identiteit van de gebruiker tussen de overige systeemmodules en processen beheerst. Binnen het informatiesysteem kan met PET-maatregelen de 'Identity Protector' zo worden ingesteld, dat bijvoorbeeld de identiteit van de gebruiker bij rechtmatig gebruik niet vrijgegeven wordt. De `Identity Protector' kan afhankelijk van de applicatie de identiteit van de gebruiker afschermen van zowel medegebruikers als diensten die binnen het informatiesysteem geleverd worden. De koppeling tussen het identiteitsdomein en de pseudo-identiteitsdomeinen kan worden gemaakt indien dit noodzakelijk is voor het verwerkingsproces.

Samenvattend: de ontwerper van PRIVIS zal op grond van artikel 6 en 7 van de Richtlijn 95/46/EG vooraf zich vragen moeten stellen. Het EuroPrise-project heeft een catalogus samengesteld met alle relevante vragen die per juridische specificatie (zie paragraaf 6.2.1) zijn gegroepeerd. Het totaal aantal vragen is 353. Ter illustratie volgen zes vragen met betrekking tot dataminimalisatie hieronder:

1.

Is het mogelijk om de verwerking van persoonsgegevens te laten plaatsvinden zonder gebruik van identificerende gegevens?

2.

Tot welk minimum kan het aantal identificerende gegevens dat voor het specifieke doel wordt verzameld, worden beperkt?

3.

Kunnen de data automatisch worden geanonimiseerd of gepseudonomiseerd? Moet er een voorziening worden getroffen om dit zonodig op verzoek van de betrokkene achteraf te laten gebeuren? Kunnen hiervoor parameters worden ingebouwd? Hoe kunnen de gepseudonimiseerde persoonsgegevens worden beveiligd tegen te gemakkelijke heridentificatie?

4.

Welke combinatie van persoonsgegevens is werkelijk noodzakelijk? Welke criteria kunnen hiervoor ingebouwd worden? Tot op welke hoogte is het werkelijk noodzakelijk om bepaalde data te combineren voor het functioneren van het systeem?

5.

Is het mogelijk om binnen het systeem onnodige schaduwdossiers (`shadow files') bij het opnieuw inloggen te vermijden? Als de `shadow files' noodzakelijk zijn, hoe kunnen deze dan optimaal worden beveiligd tegen onrechtmatige toegang van derden?

6.

Als data doorgegeven moeten worden naar andere systemen en verantwoordelijken, kunnen dan functionaliteiten worden ingebouwd die gegevens uitfilteren die niet nodig zijn om door te sturen?

Waartoe deze vragen kunnen leiden bij het ontwerp van PRIVIS wordt in de paragrafen 6.5 tot en met 6.11 aangetoond. Er komen drie modellen informatiesystemen met PET-architectuur aan de orde. De eerste is de metazoekmachine Ixquick (6.5.1), de tweede is het ziekenhuisinformatiesysteem (6.7) en het derde is het Victim Tracking and Tracing System (ViTTS) (6.8). Ten slotte volgt de privacymanagementarchitectuur met PET-mengvormen in de bespreking van de privacy incorporated software agent (PISA) in de paragrafen 6.9 tot en met 6.11.

Deze functie is alleen te gebruiken als je bent ingelogd.