5.11.2. Kleefbeleid of Sticky policies

De kritische en privacybewuste websitebezoeker vraagt zich af of de verwerking van persoonsgegevens bijvoorbeeld wel conform de beloofde doelbinding plaatsvindt, wanneer een website optimale privacybescherming aan de bezoeker van de website biedt. Hoe kunnen gegevensverwerkingsystemen waarborgen dat de binding tussen het doel voor de gegevensinzameling en het daadwerkelijke gebruik van de gegevens niet wordt verbroken? Huidige systemen kunnen dat nog niet waarborgen, maar research heeft aangetoond dat door middel van cryptografische technieken privacyvoorkeuren aan de gegevens kunnen worden `geplakt', zodat organisaties niet kunnen afwijken van de aan de website bezoeker toegezegde manier van gegevensverwerking.1 De gevolgde aanpak lijkt op het door de muziekindustrie gebruikte digitaal auteursrechtenbeheer (DRM) om ongeoorloofde verveelvoudiging en exploitatie van de inhoud van het auteursrechtelijk werk tegen te gaan. Deze 'sticky policies' of kleefbeleid in gegevensbeheerssystemen kunnen een verwerking waarborgen dat de privacyvoorkeur van de betrokkene (in de zin van 95/46/EG) wordt gevolgd. Het kleefbeleid zorgt er voor dat conform de overeengekomen voorwaarden de persoonsgegevens worden verwerkt. In het informatiesysteem van de verantwoordelijke (in de zin van 95/46/ EG) blijven de preferenties van de betrokkene aan de persoonlijke informatie gekleefd, zodat hij er toch op kan vertrouwen dat zijn privacypreferenties worden gerespecteerd.2

Karjoth, Schunter & Waidner geven als voorbeeld hoe met deze techniek toestemming per persoon en per 'record' kan worden beheerd.

De 'sticky policy' aanpak maakt de afstand tussen het individu en de verantwoordelijke kleiner, waardoor de mogelijkheid van controle op de verwerking van persoonsgegevens wordt vergroot en het vertrouwen van het individu toeneemt.