Privacy by design in de praktijk

In dit artikel reiken we voorbeelden aan uit de praktijk. Daarbij gaat het om een mix van technische en organisatorische maatregelen. Om creatief te kunnen meedenken aan oplossingen moet de privacy officer bekend zijn met de mogelijkheden die er zijn. De uitvoering laat hij uiteraard over aan specialisten.

Privacy Enhancing Technologies (PETs)

In aanvulling op de organisatorische maatregelen wordt steeds meer ingezet op technische middelen om privacy te garanderen. Privacy Enhancing Technologies (PETs) zijn technische instrumenten om privacyrisico´s te verkleinen of in zijn geheel te vermijden. Zij vormen een belangrijk onderdeel van Privacy by Design. De technologieën en maatregelen richten zich op het elimineren of minimaliseren van de hoeveelheid gegevens die verzameld en opgeslagen worden over een individu (dataminimalisatie), het voorkomen van strijdigheid met privacyprincipes en het inzetten van controle-instrumenten voor gebruikers over informatie die over henzelf verzameld en gebruikt wordt en kunnen in allerlei verschillende systemen en diensten worden toegepast.
Veel online applicaties vragen bijvoorbeeld meer informatie dan strikt noodzakelijk is voor het leveren van een dienst. Het toepassen van dataminimalisatie beperkt het aantal identificerende gegevens over een individu zoveel mogelijk, bijvoorbeeld door niet naar leeftijd en/of geboortedatum te vragen, maar alleen te kijken of iemand meerderjarig is of niet. Een andere mogelijkheid is om de identiteitsgegevens los te koppelen van de overige gegevens die zijn vastgelegd over een persoon (het scheiden van gegevens), of om persoonlijke data direct na een transactie te vernietigen. (Zie ook ‘Toegevoegde waarde van een privacy officer of FG’.)
Ook kan door middel van programmatuur worden afgedwongen dat het verstrekken van gegevens altijd voldoet aan het vigerende  privacybeleid. Onder  algemene PET-maatregelen vallen bijvoorbeeld het beveiligen van gegevens, het versleutelen van gegevens, authenticatie- en autorisatiemanagement, strenge vormen van toegangsbeheeren dergelijke.
Privacybescherming dient de standaardinstelling in een systeem of dienst te zijn (privacy-by-default). Dit betekent bijvoorbeeld dat wanneer een gebruiker een profiel aanmaakt op een sociale netwerksite, dit profiel standaard niet gedeeld wordt met anderen, tenzij de gebruiker deze instelling zelf verandert.
Een ander punt is het inbouwen van privacybescherming in de totale levenscyclus van het systeem/de dienst. Dit betekent dat niet alleen in de ontwerpfase wordt nagedacht over hoe privacy optimaal te beschermen, maar ook bij de implementatie en bij de beëindiging van het systeem: kunnen de data in het systeem bijvoorbeeld worden vernietigd? Dit sluit aan bij het idee van ‘vergeten’ of ‘het recht om te worden vergeten’ (‘right to be forgotten’).

Mechanismen van PET

Bij de toepassing van PET staan vier mechanismen centraal:

1. Anonimiteit: de identiteit van een subject kan binnen een set van subjecten in een systeem of database niet worden vastgesteld.
2. Pseudonimiteit: een pseudoniem is een alias die niet in verband kan worden gebracht met de echte naam van een subject, maar die gebruikt wordt om aan dat subject te relateren.
3. Onverbondenheid (unlinkability): een actie of verschijning van een subject in een systeem kan niet in verband kan worden gebracht met een andere actie van dit subject.
4. Onwaarneembaarheid (unobservability): een data-object of transfer is niet te zien voor partijen die niet betrokken zijn in de transactie (zoals onbevoegden of aanvallers) maar de betrokkenheid van de subjecten in de datatransfer zijn ook niet te zien voor iedere andere partij.

De vier mechanismen verminderen verschillende  privacyrisico’s. Onverbondenheid maakt het bijvoorbeeld technisch onmogelijk om verschillende data / transacties over een subject met elkaar te combineren (aggregatie). De mogelijkheid tot het uniek identificeren van een individu wordt beperkt door het toepassen van anonimiteit, pseudonimiteit of een combinatie van alle bovenstaande vormen die de vertrouwelijkheid van communicatie garandeert. De toepassing van deze mechanismen bij bijvoorbeeld beveiligingscamera’s kan betekenen dat beelden van individuen die rechtstreeks worden weergegeven worden vervaagd. Unieke identificatie is dan niet meer mogelijk.

Privacy by design voor de e-Overheid

TNO heeft in 2014 een onderzoek gedaan naar de toepassing van privacy by design voor de digitale dienstverlening van de overheid en kwam hierbij met een lijst van aanbevelingen voor twee groepen toepassingsvoorwaarden:

• condities voor vertrouwen in en acceptatie van overheidsdienstverlening;
• condities  voor  verantwoordelijkheid  (‘accountability’dat wil zeggen  zich  goed kunnen verantwoorden).

Beide zijn voorwaarden voor vertrouwen en acceptatie van overheidsdienstverlening (door middel van ICT) en hangen nauw met elkaar samen, waarbij de condities voor verantwoordelijkheid generieke en de condities voor vertrouwen en acceptatie specifieke voorwaarden zijn.

Condities voor verantwoordelijkheid:

1. het standaard vooraf uitvoeren van een Privacy Impact Assessment en het herhalen van een PIA bij substantiële wijziging van informatiesystemen en – processen of wetgeving. De PIA karakteriseert het IT-systeem (datatypen, datastromen, opslag en verwerking van gegevens), identificeert privacyrisico’s en bijbehorende beheersmechanismen;
2. het aanstellen van een (part-time) Privacy Officer/Gegevens Functionaris in de betreffende overheidsorganisatie, die tot taak heeft toezicht uit te oefenen op het functioneren van de dataverwerkers c.q. contactambtenaren en tot wie burgers toegang hebben indien zij naar hun mening niet adequaat worden geholpen door de dataverwerkers c.q. contactambtenaren;
3. Actieve voorlichting van de overheidsorganisatie over alle aspecten van het ICT-instrument aan de doelgroep;
4. het helder positioneren van de betreffende ICT-dienstverlening en de uitvoerende overheidsinstantie ten opzichte van andere publieke en private dienstverleners en de sociale media: welke overheidsorganisatie is aanbieder van de dienst en waarvoor wordt de dienst gebruikt;
5. burgers standaard inzage geven in alle gegevens die op hem/haar betrekking hebben en hoe deze worden verwerkt;
6. duidelijke afspraken, afbakening en communicatie naar de burgers over:
   1. van welke gegevens wordt gebruik gemaakt (nieuwe verzameling of wordt er gebruik gemaakt van bestaande databases van andere overheidsorganisaties);
   2. welke andere (overheids-)organisaties maken gebruik van de verzamelde gegevens; 
   3. waar worden de gegevens bewaard;
   4. welke organisatie is voor welke dataverzamelingen verantwoordelijk?

Condities voor vertrouwen in en acceptatie van overheidsdienstverlening:

7. het standaard realiseren van dataminimalisatie en datavernietiging als het doel waarvoor de gegevens zijn verzameld is bereikt;
8. accuraatheid, up-to-date zijn en compleetheid van de opgeslagen data;
9. heldere, specifieke en eenduidige formulering van het doel van de dataverzameling;
10. het afdwingen van doelbinding47 en overige privacyprincipes in de volledige levenscyclus van het systeem en de uitvoering van constante controles daarop;
11. adequate beveiliging van de data, inclusief de technische uitwerking daarvan;
12. het inbouwen van technische privacywaarborgen waar dit van toepassing is, zoals anonimiteit, pseudonimiteit, onverbondenheid, onwaarneembaarheid;
13. het beschikbaar stellen van voldoende expertise in beveiliging;
14. het beschikbaar stellen van instrumenten aan ‘data-subjecten’ om datasporen te kunnen volgen binnen de organisatie;
15. openheid over geconstateerde privacy-incidenten en communicatie over de genomen maatregelen naar burgers;
16. de aanwezigheid van een sterke onafhankelijke toezichthouder die controleert in hoeverre regelgeving omtrent privacy en dataprotectie wordt nageleefd.

Indien aan deze 16 condities is voldaan, kan de conclusie worden getrokken dat de betreffende overheidsorganisatie (i.c. haar bestuurders/beleidsmakers) beschikt over een ICT-overheidsdienstverlening  die  de  kwalificatie  ‘trusted  technology’ verdient. Dat is een technologie waarin op overtuigende wijze privacy, vertrouwen, verantwoordelijkheid en acceptatie zijn gerepresenteerd.

Tot  slot  dient  nog  te  worden  nagegaan  of  en  hoe  deze  ‘trusted  technology’  kan worden ingevoerd of kan functioneren, zonder dat afbreuk wordt gedaan aan de effectiviteit en doelmatigheid van de overheidsdienstverlening. De criteria hiervoor zijn geformuleerd aan de hand van de volgende vragen, waarop de beleidsmakers een expliciet antwoord moeten geven:

1. Botst de concrete toepassing van de technologie met condities die de legitimiteit van het systeem  zichtbaar maken of vergroten? Zo ja, om welke condities gaat het?
2. Botst het zichtbaar maken of vergroten van de legitimiteit op zijn beurt met de oorspronkelijk nagestreefde belangen van de dienstverlening?
3. Zijn de uitgewerkte condities voor verantwoordelijkheid aanvaardbaar uit een oogpunt van kostenefficiëntie?

De privacy officer als adviseur

De aanbevelingen van de onderzoekers van TNO geven een scala van mogelijke maatregelen voor de toepassing van privacy by design, maar tegelijkertijd zijn de onderzoekers zich bewust van het feit, dat zij niet beslissen. Dat geldt ook voor de privacy officer. Hij adviseert zijn opdrachtgever en die beslist.
Natuurlijk is het niet slim om vooraf je kop in het zand te steken en achteraf de hoge rekening te krijgen van de reparaties, maar het is de opdrachtgever, die daarin beslist.
Hierbij moet natuurlijk de afweging gemaakt worden van het belang van privacy bescherming voor de organisatie, vaak vertaald in reputatie.

• Minister Opstelten (Justitie) krijgt in 2014 de Big Brother Award voor het in stand houden van de bewaarplicht, het doorzetten van zijn hackplannen, het massaal willen opslaan van kenteken- en locatiegegevens, het structureel negeren van privacybezwaren en het verdacht maken van alle Nederlanders. Hij werd voor de vierde keer door het publiek verkozen als meest prominente privacyschender met 66 procent van de stemmen. Dit betekent, dat de Nederlandse overheid een imago probleem heeft als het gaat om privacy en dat er dus veel gedaan moet worden om het wantrouwen weg te nemen.
• Als het klantenbestand van een winkel op straat komt te liggen, dan vloeit hier niet zoveel bloed uit, zolang er maar geen creditcard gegevens zijn opgeslagen.
• Als de medische dossiers van een zorginstelling gehackt worden, dan ontstaat hier grote commotie over. De zorginstelling moet dan kunnen aantonen, dat er voldoende preventie is geweest.
• Als een administratiekantoor gehackt wordt, dan haalt dit mogelijk niet een de media. Wel zal het kantoor aan klanten uit moeten kunnen leggen, dat klant- en zaakgegevens goed gescheiden waren.

De privacy officer doet er verstandig aan de context van de organisatie en de risico’s van een privacy incident voor de organisatie mee te wegen in zijn advies. (Zie ook ‘Privacy Officer of Functionaris Gegevensbescherming – FG’.)