Privacyrecht is code (R&P nr. ICT1) 2010/6.13:6.13. Mislukte PET-automatisering?

Privacyrecht is code (R&P nr. ICT1) 2010/6.13

6.13. Mislukte PET-automatisering?

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Als ict-arbiter en -mediator weet ik uit ervaring maar al te goed dat er heel wat automatiseringsprojecten mislukken en informatiesystemen niet voldoen aan de tussen partijen afgesproken specificaties. Er zijn slechts enkele publicaties te vinden waarin het falen van automatiseringsprojecten in algemene zin aan de orde komt. Borking & Mulder hebben de arbitrale vonnissen1 en mediationafspraken van de Stichting Geschillen Oplossing Automatisering2 in 1999 en in 2004 bestudeerd en stellen vast dat in de voorgelegde mediation- en arbitragezaken vier missers dominant voorkomen:

1.

De directie stuurt het contract aan in plaats van het project.

2.

De gewenste functionaliteit is renovatie derhalve bouwen bovenop het 'oude systeem'.

3.

Keuze voor 'state of the art' of 'bewezen' technologie is afhankelijk van de toepassing.

4.

Kleine aanpassingen in het project stellen de klant tevreden.3

Warmerdam e.a. geven in hun onderzoek aan dat bij automatisering in eigen beheer vooral de specificatieproblemen het meest zwaarwegend zijn.4 Zij stellen vijftien problematische aspecten bij automatiseringsprojecten vast, die in vijf tot tien procent van de gevallen door de betrokkenen als zeer problematisch worden ervaren. Het gaat dan met name om de problemen met de projectbewaking, doorlooptijd, de planning van de kosten, communicatie tussen (externe) automatiseerders en gebruikers en de inzet en bereikbaarheid van interne en externe deskundigen.5 De respondenten in het onderzoek van Warmerdam e.a. stellen dat vijf procent van de automatiseringsprojecten duidelijk is mislukt.6

Koorn e.a.7 rapporteert over veertien casussen waarin PET is toegepast. Over een van de casussen is in paragraaf 6.7 geschreven, namelijk over het ziekenhuis Veldwijk-Meerkanten. Bij vrijwel al deze casussen ben ik als vicevoorzitter van de Registratiekamer intensief betrokken geweest. In geen van deze casussen is sprake van een mislukte PET-toepassing. Het gunstige resultaat is het gevolg van een goed automatiseringsplan, een gedegen projectorganisatie en adequate invloed van het management en de eindgebruikers in de betrokken organisaties. De toepassing van de PET-maatregelen (met name encryptie en domeinscheiding) in het informatiesysteem heeft geleid tot advisering van de Registratiekamer. Dit heeft er mede toe bijgedragen dat de klassieke oorzaken van mislukking van automatiseringsprojecten niet konden optreden. Bovendien werd bij de betrokken Nederlandse organisaties een gebalanceerd stappenplan uitgevoerd, waarover in hoofdstuk 8 meer. Ook elders in de wereld (o.a. Canada, Duitsland en Frankrijk) heeft het experimentele en innovatieve karakter van PET geleid tot zorgvuldige begeleiding van (sporadische) PET-projecten, waardoor mislukking is voorkomen.

Nochtans, als er geen goede PET-kennis gecombineerd met juridische kennis op het gebied van privacybescherming beschikbaar is, dan is mislukking van zo'n PET-project te voorspellen. In een nog niet gepubliceerd onderzoek van Godel & Conlon (oktober 2009) over 'the economic benefits of privacy enhancing technologies' blijkt nochtans een groot misverstand. Uit de casestudies in verschillende Europese landen kan men vaststellen dat de stakeholders denken met PET te maken te hebben. Het gaat evenwel slechts om algemene PET-maatregelen (zie paragraaf 5.7.3) die vrijwel uitsluitend als middel voor informatiebeveiliging worden ingezet en niet voor gerichte privacybescherming.8

Deze functie is alleen te gebruiken als je bent ingelogd.