Skip to main content

Schone Handen

In 2011 liet Edward Snowden een privacy bom barsten met onthullingen over grootschalige spionagepraktijken door Amerikaanse en Britse overheden via het PRISM programma. Recentelijk is gebleken dat ook de Duitse overheid haar handen niet in onschuld kan wassen. Door deze onthullingen is de bescherming (en correcte verwerking) van persoonsgegevens opnieuw een ‘hot topic’ geworden. Op de achtergrond speelt het onderwerp echter al langer; in 1995 heeft het Europees Parlement een richtlijn opgesteld die nationale overheden sturing geeft in het voeren van wetgeving m.b.t. de correcte verwerking van persoonsgegevens. Een persoonsgegeven is echter een begrip met een veranderlijke betekenis. Bij persoonsgegevens wordt veelal gedacht aan naam, adresgegevens, een burgerservicenummer of een telefoonnummer. Het begrip gaat echter verder dan dat. De Wet bescherming persoonsgegevens (WBP) definieert persoonsgegevens als:

“elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon” – Wet bescherming persoonsgegevens (2001)

Door deze definitie vallen onder persoonsgegevens dus ook foto’s, een e-mail adres, een IP-adres en cookies. Deze zijn immers mogelijk te herleiden tot identificeerbare natuurlijke personen. Daarnaast wordt ook nog onderscheid gemaakt tussen ‘gewone’ en bijzondere persoonsgegevens; persoonsgegevens met betrekking op iemands godsdienst, ras, geaardheid, politieke gezindheid, gezondheid en ook lidmaatschap van vakverenigingen. Een foto wordt hiermee dan ook een bijzonder persoonsgegeven, en voor verwerking van deze gegevens zijn extra voorwaarden van toepassing.

De term verwerking is misleidend in de zin dat met verwerking elke handeling bedoeld wordt met betrekking tot persoonsgegevens, inclusief verzamelen, vastleggen, ordenen, bijwerken, raadplegen en doorzenden. Verwerking van persoonsgegevens gaat dus verder dan puur het bijwerken of bewerken van deze gegevens. Iets waar persoon gegevensverwerkende organisaties lang niet altijd bij stilstaan, evenals de eisen die aan verwerking gesteld worden (afhankelijk van het type en doel van de verwerking).

Uitdaging voor de voor verwerking verantwoordelijke

Het is dan ook hier waar de uitdaging ligt voor (toekomstige) information managers. De uitdaging om het belang van correcte verwerking van persoonsgegevens over te brengen aan organisaties, en vooral ook hoe dit er dan uit dient te zien. Het belang voor verwerkers om aandacht te besteden aan compliance wordt vergroot door aanstaande veranderingen in privacywetgevingen op nationaal maar vooral Europees niveau waarbij de boetebedragen oplopen tot maximaal honderd miljoen euro of 5% van de maximale wereldwijde omzet in geval van commerciële organisaties (afhankelijk van de mate, periode en diepgang van de overtreding); een mogelijk bedrijfscontinuïteitsrisico!

Privacy by design

Het Europese voorstel voor de verordening op de correcte verwerking van persoonsgegevens, goedgekeurd in maart 2014, zal zorgen dat binnen de gehele EU één uniforme privacywetgeving van kracht zal worden. In het voorstel wordt gesteld dat organisaties die persoonsgegevens verwerken een scala aan maatregelen dienen te treffen om een veilige verwerking te kunnen garanderen. Denk hierbij aan maatregelen tegen datalekken (versleutelde opslag van data, persoonsgegevens en bijzondere persoonsgegevens separaat opslaan) of het beschikbaar stellen van een privacy reglement zodat iedereen kan inzien hoe een organisatie met persoonsgegevens omgaat.
In het voorstel wordt gesteld dat getroffen of te treffen maatregelen in het bijzonder gehoor dienen te geven aan de principes van Privacy by Design (PbD). Deze principes, opgesteld door de privacy commissioner of Ontario, een Canadees equivalent van het College Bescherming Persoonsgegevens, omhelzen de gedachte dat bescherming van privacy geïnitieerd moet worden vanuit een standaard werkmethode binnen organisaties en niet vanuit de wet.

De 7 principes zijn:

Praktisch/Pragmatisch

Om terug te komen op de vraag hoe een correcte verwerking van persoonsgegevens gerealiseerd kan worden, kan gebruik gemaakt worden van Cavoukian et al. Zij stellen dat de PbD principes op drie manieren gerealiseerd kunnen worden, namelijk via (1) technische (2) organisatorische en (3) ‘bolt-on’ maatregelen (aanpassingen aan bestaande systemen).

Technische maatregelen zoals datascheiding/minimalisatie en encryptie, tezamen met  organisatorische maatregelen zoals privacy by default en het uitvoeren van een privacyeffectbeoordeling zijn reeds beschikbaar en kunnen ingezet worden in bij toepassing van de PbD principes. Waar de (Europese) wetgever echter aan voorbij gaat is het feit dat ook op dit moment persoonsgegevens worden verwerkt via systemen en via methoden waarbij het niet de eis is geweest om de verwerking in te steken vanuit een privacy oogpunt; organisaties verwerken persoonsgegevens in eerste instantie vaak met een pragmatisch motief; omdat het ergens voor nodig is. De echte uitdaging ligt dan ook bij de vraag hoe huidige systemen en methoden aangepast kunnen of dienen te worden om gehoor te geven aan aanstaande wetgeving. Een vraag die vanuit wetgeving en de wetenschap nog geen echt antwoord kent.

 

Leave a Reply