Privacyrecht is code
Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/7.11:7.11. Drie S-curven
Privacyrecht is code (R&P nr. ICT1) 2010/7.11
7.11. Drie S-curven
Documentgegevens:
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS576449:1
- Vakgebied(en)
Civiel recht algemeen (V)
Deze functie is alleen te gebruiken als je bent ingelogd.
Uit de interviews en de workshops valt op te maken dat als bedrijven PET al toepassen, zij dit in eerste instantie niet doen om de persoonsgegevens te beschermen, maar om informatie te beveiligen.1 Zij laten zich daarbij leiden door standaard calculatiemodellen zoals 'Return On Security Investment' (ROSI).2 Toch blijkt dat bedrijven ook steeds vaker PET toepassen om de privacy te beschermen. Je zou kunnen zeggen dat zij op dit gebied steeds meer bewustwording krijgen en zich steeds 'volwassener' (`mature') gaan gedragen. Dit maturiteitsproces voor privacybescherming ontwikkelt zich ook langs een S-curve. Op grond van eerdere waarnemingen in dit hoofdstuk kan geconstateerd worden dat er drie S-curves met betrekking tot de toepassing van PET te onderkennen zijn:
Een om PET te adopteren; de wetgeving op het gebied van privacybescherming en de rol van de adviserende privacytoezichthouders zijn hierbij de belangrijkste positieve stimulerende factor.
Een om IAM-processen toe te passen; de maturiteit van de IAM-processen moet hierbij hoog zijn. En
Een om de bescherming van privacy met de bedrijfsprocessen te integreren, zoals weergegeven in het 'GAP privacy level'-model. (zie figuur 7.8).
Zoals uit figuur 7.9 blijkt, zal een organisatie besluiten om PET in te zetten als de IAM-maturiteit hoog is en de privacymaturiteit laag is. Voor organisaties waar de bescherming van privacy een kritische succesfactor is, zal het management al in een veel vroegere fase van ontwikkeling van de organisatie ervoor kiezen om PET toe te passen. Een voorbeeld hiervan is Ixquick (zie paragraaf 6.5.1). Zoals bleek in dit hoofdstuk uit de interviews van RAND Europe, zullen overheidsinstanties doorgaans niet snel beslissen om PET in te voeren, omdat zij niet het risico willen nemen dat PET-maatregelen wel eens niet zouden kunnen werken. Zij behoren daardoor tot de groep van de 'late majority'.3 Zo heeft de Nederlandse Belastingdienst in het RAND Europe onderzoek verklaard dat zij niet het imago wil hebben van een technologische koploper te zijn. Essentieel voor het functioneren van de Belastingdienst is dat klanten de instantie betrouwbaar vinden. Horlings e.a. "de Belastingdienst zal PET pas willen invoeren als PET `mainstream' is geworden en er geen (...) risico's meer aan verbonden zijn".4
Deze observaties leiden tot het volgende model:
Figuur 7.9: Nolan Norton groei S-curven voor IAM, privacy en PET, Borking, 2008.
Met deze S-curven kan bij benadering worden bepaald op welk moment een organisatie voor het eerst zal overwegen om PET te gaan gebruiken (scheiding van gegevens, privacymanagementsystemen, anonimisering) als middel om persoonsgegevens te beschermen.