Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/5.11.1
5.11.1. Het transparant privacybeleid
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS576460:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Cfr.Artikel 7 van 95/46/EG.
Hansen, 2003, p. 6.
The Platform for Privacy Preferences (P3P), www.w3.org/P3P/2004/09-p3p_sw.html#ref-P3P. The Platform for Privacy Preferences Project (P3P) enables Websites to express their privacy practices in a standard format that can be retrieved automatically and interpreted easily by user agents.
Schermer & Durinck, 2005, p. 9 Radio frequency identification (RFID) is een technologie om met behulp van radiosignalen objecten te identificeren en van een afstand informatie op te slaan in en te lezen van zogenaamde RFID-`tags' die op of in objecten zitten.
Rundle, 2006, http://identityproject.lse.ac.uk/mary.pdf.
Hansen, 2008, www.prise.oeaw.ac.atl.
Van Blarkom, Borking & Olk, 2003, p. 254-265 voor een uitvoerige beschrijving van de beginselen van HCI.
Dat organisaties hun privacybeleid op hun website vermelden, is niet bijzonder meer. Het komt helaas veel minder voor, dat het getoonde privacybeleid dient als `modus operandi' voor de geautomatiseerde gegevensverwerking. Volgens Han-sen mankeert er nog heel wat aan, met name wat betreft aan de informatie rond het verkrijgen van de toestemming1 die vereist is, alvorens de persoonlijke informatie van gebruikers kan worden verwerkt.2 Machine-readable privacybeleid (bijvoorbeeld in het P3P3 formaat dat door het Consortium van World Wide Web (WWW) wordt gestandaardiseerd) maakt het mogelijk de privacyvoorkeur van de gebruiker automatisch te toetsen aan het privacybeleid van de organisatie. Voordat het zo ver is dat alle organisaties dit gerealiseerd hebben, zal er sprake moeten zijn van 'proven technology' waarvan zeker is dat die niet meer beveiligingsrisico 's voor de organisatie oproept. In hoofdstuk 7 zal worden ingegaan op het feit waarom organisaties zo traag en aarzelend de verwerking van persoonsgegevens 'PET proof' maken.
Problemen zijn er ook met betrekking tot het snel toegankelijk en begrijpelijk maken van het privacybeleid in een omgeving van steeds meer connectiviteit. Mobiele telefoons hebben maar uiterst kleine schermen met een gelimiteerde ruimte om privacy boodschappen weer te geven. De opkomst van RFID's4 en andere geavanceerde sensoren stellen de ontwerpers voor het vraagstuk hoe de gebruiker te waarschuwen voor privacy relevante situaties. Research in het PISAen PRIME-project heeft zich ondermeer gericht op de hoogst noodzakelijke `human computer interfaces' (HCI). In een oogopslag moet de grafische (of zelfs multimedia) representatie (digitale hiëroglyfen) van de inhoud van het privacy-beleid te begrijpen zijn. Tijd is hierbij een belangrijke factor. Door middel van zeer eenvoudige en snel herkenbare visuele pictogrammen kan voorkomen worden dat gebruikers (als ze dat al zouden doen) lange teksten in juridisch jargon moeten lezen alvorens de beslissing te nemen naar de gewenste website door te klikken. In figuur 5.8 geeft Rundle5 een voorbeeld van ontwikkelde digitale privacy hiëroglyfen.
Figuur 5.8: Voorbeeld van digitale privacy hiëroglyfen. Rundle, 2006.
Inmiddels zijn in het PRIME-project de eisen voor de functionaliteit voor transparantie geformuleerd. De doelstelling is dat de gebruikers de gegeven informatie moeten kunnen begrijpen en op grond daarvan adequaat moeten kunnen handelen. Dat betekent dat de 'privacy policies' moeten worden getoond waarin de voorwaarden staan hoe de gegevens worden verwerkt. Bovendien moet de betrouwbaarheid van de partijen in de transactie aantoonbaar zijn. Voorgesteld wordt om de historische gegevens te tonen over de betrouwbaarheid van de (commerciële) partij waar zaken mee wordt gedaan. Bijvoorbeeld x% van de bezoekers van deze website zegt dat dit bedrijf zijn verplichtingen nakomt. Het privacybeleid op de website dient een duidelijke ondersteuning is voor het uitoefenen van de privacyrechten van het individu te bieden. Het zou mooi zijn als iemand zijn privacy kan beschermen met gebruik van een pseudoniem. Hansen meent dat informatie moet worden gegeven over het privacyveilig zijn van het netwerk om gegevens te verzenden en dat demonstratiemateriaal (instructie filmpjes) beschikbaar moet zijn om de gebruiker te leren hoe hij met de website om kan gaan, voordat hij werkelijk tot een transactie overgaat. Ook vindt zij dat aan de server-kant er sprake moet zijn van een volledige (maar afgeschermde) logging ten behoeve van het uitvoeren van privacyaudit.`6
Bij het testen van 1M-systemen dient nagegaan te worden of voldaan kan worden aan de vier 'human computer interface en interaction' (HCI) vereisten (de 4 C's),7 te weten:
Comprehension: bijvoorbeeld: de gebruiker begrijpt wie zijn persoonsgegevens verwerkt en voor welke doeleinden
Consciousness: bijvoorbeeld: de gebruiker weet wat er met zijn persoonsgegevens gebeurt als de bewaartermijn verloopt.
Control: bijvoorbeeld: de gebruiker is in staat om de manier waarop zijn persoonsgegevens worden verwerkt te controleren en zijn wettelijke rechten uit te oefenen.
Consent: bijvoorbeeld: de gebruiker geeft zijn vrije, ondubbelzinnige en specifieke toestemming aan de verantwoordelijke om zijn gevoelige gegevens te verwerken.
Voor de digitale hiëroglyfen of iconen gelden ook de 4Cs.