Privacyrecht is code (R&P nr. ICT1) 2010/5.7.6:5.7.6. Privacywetgeving in programmacode

Privacyrecht is code (R&P nr. ICT1) 2010/5.7.6

5.7.6. Privacywetgeving in programmacode

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Het PET-concept kende vier kernfunctionaliteiten (Anonimiteit,1 Pseudonimiteit, Niet-relateerbaarheid en Niet-observeerbaarheid),2 vastgelegd in 1999 in de `Common Criteria Technology Security Evaluation' standaard-ISO 15408. Hoofdstuk 9 van deze standaard van de International Organization for Standardization (ISO) is gericht op het reduceren van persoonsgegevens in informatiesystemen. In deze ISO-standaard wordt PET gekoppeld aan beveiligingsvraagstukken. In dit verband is volgens Van Lieshout de opname van PET in artikel 13 van de WBP ten gevolge van de amendementen van de Tweede Kamerleden veelzeggend.3 Maar PET is niet alleen bedoeld voor informatiebeveiliging. Door middel van onder meer vercijfering, geavanceerde toegangscontrolemechanismen, 'firewalls', domeinscheiding, anonimisering en andere technische beveiligingsmaatregelen kan PET een aantal van de in hoofdstuk 2 besproken privacyrealisatiebeginselen borgen. Het gaat dan om transparantie, doelbinding, dataminimalisatie, de rechtmatige verwerking van de persoonsgegevens, waarborging van de verplichtingen van de verantwoordelijke en de bewerker. In 2002 maakte het College Bescherming Persoonsgegevens (CBP) in zijn jaarverslag over 2001 bekend, dat PET meer inhoudt dan de in de ISO-standaard 15408 vermelde vier kernfunctionaliteiten aangevuld met de relevante organisatorische en fysieke maatregelen. Het CBP schrijft:

"Privacy Enhancing Technologies (PET) voorkomen de onnodige verwerking van persoonsgegevens in informatiesystemen zonder dat verlies van functionaliteit optreedt. In plaats van de wet toe te passen op het systeem, wordt de wet in het systeem ingebouwd: 'privacy by design'".4

Het College refereert met deze uitspraak aan het EU gesubsidieerde PISA-project waarin het CBP van 1999 tot en met 2003 participeerde en dat als doelstelling had: "To prove and show that the privacy of user is protected in all kinds of processes by incorporating PET features in software agents". In dit onderzoeksproject vindt de 'vertaling' van normen uit de EU privacyrichtlijn in beschrijvingen van concrete softwarecomponenten plaats.5 In het jaarverslag over 2003 deelt het College mee:

"PISA was ook de afronding van een project dat een technisch `proof of concept' moest leveren waarmee kon worden aangetoond dat abstracte en open normen uit de privacywet- en regelgeving technisch vertaald konden worden in werkende producten, die rechtmatig handelen afdwingen".6

Het inbouwen van de regel- en wetgeving in systemen moet dan ook worden beschouwd als een nieuwe loot aan de PET-stam. Klare (niet-vercijferde) persoonsgegevens, die in veel verwerkingen nu eenmaal niet kunnen worden vermeden, kunnen zo worden verwerkt dat de grenzen van de privacywetgeving niet worden overschreden. Ging het vóór het PISA-project vooral om identiteitsbescherming, het tegengaan van onnodige identificatie en om datareductie met daaraan gekoppeld het anonimiseren en pseudonimiseren,7 nu werd voor het eerst gepoogd de privacywetgeving in al zijn aspecten in digitale vorm op de gegevensverwerking toe te passen. De verwerking van persoonsgegevens in strijd met de wetgeving werd onmogelijk gemaakt door in het informatiesysteem de wettelijke regels te converteren naar een binaire code met dwingende beslissingsregels die de verwerking van persoonsgegevens beheersen. PET kan met deze nieuwe loot aan de stam een belangrijk hulpmiddel zijn, dat grotere technische zekerheid biedt voor een rechtmatige verwerking van persoonsgegevens en daardoor het vertrouwen van het individu in de verwerking van zijn gegevens kan vergroten.

Deze functie is alleen te gebruiken als je bent ingelogd.