Privacy by Design

Scanauto in Amsterdam. Jaap-Henk Hoepman: “Rechters wegen bij hun uitspraken de proportionaliteit en subsidiariteit. Is het bijvoorbeeld nog nodig dat gemeenten alle nummerborden inscannen voor parkeerheffingen?”

In een wereld waarin burgers met een druk op AKKOORD toestaan dat de Facebooks en Googles van deze wereld meer persoonlijke gegevens naar binnen slurpen dan bedrijven ooit eerder deden, lijkt privacy een concept uit een romantisch verleden. Tegelijkertijd voeren politici en privacyorganisaties strijd om de digitale privacy van burgers beter te waarborgen. En is – dankzij Europa, jawel – de Algemene Verordening Gegevensbescherming (AVG) aangenomen die strengere regels en hogere boetes belooft dan nu gelden. Wordt hier een achterhoedegevecht gevoerd, of komt dankzij de AVG het onderwerp digitale privacy werkelijk hoger op de agenda te staan van bedrijven en overheidsorganisaties? En daarmee op het bordje van systeemarchitecten, informatici en applicatiebouwers?
Dat laatste lijkt het geval, gelet op de stroom publicaties, blogs en congressen over onderwerpen als ‘privacy by design’ en andere aspecten die voortvloeien uit de AVG. De nieuwe verordening treedt op 25 mei 2018 in werking. Ondertussen oriënteren meer en meer organisaties zich op hoe ze AVG-compliant kunnen worden. Wie met persoonsgegevens werkte, overtrad wellicht al de Wet Bescherming Persoonsgegevens (WBP), maar de risico’s om niets te doen lijken groter te worden.

“De maximale boetes kunnen enkele procenten van de bruto wereldwijde jaaromzet bedragen. Dat maakt privacy in ieder geval voor bedrijven een onderwerp in de bestuurskamer”, stelt wetenschapper Jaap-Henk Hoepman van de Rijksuniversiteit Nijmegen.
“Dat je er iets mee moet, is duidelijk. Maar wat? Er is grote onzekerheid in de markt”, aldus consultant Rob van der Veer van de Software Improvement Group (SIG). “Want hoe heet wordt de soep uiteindelijk gegeten? Daarvoor is het toch wachten op hoe de wet daadwerkelijk wordt toegepast.”

Raamwerk

Maar voordat de eerste processen worden gevoerd, proberen kennisinstellingen de organisatorische en technische implicaties van de nieuwe regelgeving in kaart te brengen. Eén daarvan is TNO, die onder de naam RESPECT4U een ‘privacyraamwerk’ in ontwikkeling heeft. TNO-onderzoeker Marc van Lieshout over de achtergrond: “Met de AVG is er een wettelijk kader waarin de rechten van het individu en plichten voor organisaties worden benoemd. Maar er staan veel open normen in, bijvoorbeeld rond privacy by design. Wat betekent dat nu precies in de praktijk? We willen met dat raamwerk geen checklist voor goed gedrag afleveren, maar wel een hulpmiddel om organisaties in staat te stellen om te doen wat ze willen doen, met een goed oog voor de privacy-aspecten.”
Van Lieshout wijst er ook op dat het met het benoemen van rechten van het individu niet klaar is. “Je kunt moeilijk verwachten dat gewone burgers zich daar op elk moment in gaan verdiepen. Wij gebruiken graag de vergelijking met voedselkwaliteit. Gebruikers kunnen en willen niet alles zelf controleren. Ze vertrouwen erop dat producten die in de winkel liggen aan normen van voedselveiligheid voldoen. Vergelijkbaar zouden we ook op het gebied van privacy keuringsinstanties en kwaliteitslabels willen hebben.”
Van Lieshout en Hoepman (RU) zitten in de directie van het Privacy & Identity Lab (PI.lab), een platform waarin TNO en de universiteiten van Nijmegen en Tilburg samenwerken aan kennisopbouw rond de juridische, organisatorische en technische aspecten van digitale privacy en identiteit.

Privacy by design

In de AVG wordt expliciet gesproken over ‘privacy by design’. Hoepman: “Dat betekent dat je serieus moet gaan nadenken hoe je systemen privacyvriendelijk gaat ontwerpen. En dat je die vervolgens ook goed moet documenteren.”
De belangstelling voor privacy onder systeemarchitecten en applicatiebouwers lijkt daarmee dezelfde weg te volgen als eerder die voor security: van negeren, via het implementeren van reparaties achteraf naar het integraal inbedden in het ontwerp. Met dit verschil dat organisaties sneller het nut inzien van beveiligingsmaatregelen. Hoepman: “Dat is wel een essentieel verschil. Bij privacykwesties is de organisatie die persoonlijke gegevens verzamelt enerzijds verantwoordelijk voor het beschermen ervan, maar heeft die aan de andere kant juist belang bij het verzamelen van die informatie. Heel plat gezegd: zonder privacy-beschermende wetgeving was er voor organisaties ook geen privacy-probleem. Dat ligt bij security wel anders. Daar valt de boze buitenwereld je aan.”
Privacybeleid wordt dan ook vaak ervaren als een blok aan het been. Het is gedoe. Maar met boeteclausules in het vooruitzicht dringt het besef door dat negeren geen optie meer is. En omdat achteraf aanpassen lastiger en kostbaarder is dan meteen inbouwen, groeit de aandacht voor Privacy by Design.

Je kunt moeilijk verwachten dat gewone burgers zich daar op elk moment in gaan verdiepen

Hoepman stelt vast dat er meer aandacht voor ontwerpstrategieën ontstaat, terwijl tot voor kort de meeste aandacht uitging naar technologieën om applicaties veiliger te maken, zoals identiteitscontrole en encryptie.
Hoepman: “Maar ik moet toegeven dat het onderwerp ‘privacy by design’ makkelijker ingang vindt bij juristen en organisatieadviseurs dan bij systeemarchitecten en techneuten. Die vinden het vaak een vaag onderwerp. Het is meer informatiekunde dan informatica.”
In mei 2016 bracht het CIP (Centrum Informatiebeveiliging en Privacybescherming) een uitgebreide handleiding uit voor Privacy by Design, waarin de consequenties van de nieuwe privacy-regelgeving zijn uitgewerkt tot zeven ontwerpprincipes. De CIP Handleiding beoogt organisaties handvatten te geven voor de omgang met privacy bij het ontwerpen van gegevensverwerkingen.
Nog dichter op de praktijk staan de ontwerpstrategieën die Hoepman op zijn site deprivacycoach.nl noemt. Hij onderscheidt daarin data-georiënteerde en procesgeoriënteerde strategieën (zie kader). Tot de eerste categorie horen principes om de opslag en verwerking van persoonsgegevens zoveel mogelijk te minimaliseren, zo weinig mogelijk gegevens gecentraliseerd op te slaan en die zoveel mogelijk te anonimiseren. Bij de procesgeoriënteerde strategieën draait het om de gebruiker: die moet altijd worden geïnformeerd en om toestemming gevraagd wanneer zijn persoonlijke gegevens worden opgeslagen. Bovendien moet die gebruiker gegevens kunnen corrigeren. Daarnaast dient de organisatie enerzijds intern een privacyvriendelijke verwerking af te dwingen en anderzijds zich daarover extern te verantwoorden.

RESPECT4U

Zoals gezegd ontwikkelt TNO een privacyraamwerk onder de naam RESPECT4U. RESPECT is een acroniem dat staat voor Responsible, Empowerment, Secure, Proactive, Ethical, Costbenefits en Transparantie. Over elk van deze aspecten kan Van Lieshout snel een middag vullen. Maar hij wil in ieder geval als belangrijke boodschap meegeven dat organisaties privacy niet enkel als kostenpost moeten zien. “Als je het negatief benadert, kun je aanvoeren dat je met een goed digitaal privacybeleid boetes kunt vermijden. Maar transparantie en betrouwbaarheid zijn ook redenen waarom burgers liever met jouw organisatie in zee gaan. Wij denken dat het dezelfde rol gaat spelen als ‘duurzaamheid’ in de beslissing van burgers met wie ze in zee willen gaan.”
SIG is een organisatie die zich specialiseert in het testen van softwarekwaliteit. Inmiddels deelt het bedrijf ook rapportcijfers uit voor de implementatie van privacy-aspecten. Van der Veer: “Privacy wordt vaak een onderwerp bij security-audits. Dan ga je vragen stellen bij gegevensstromen. Heb je al die gegevens nodig? Moet je ze wel centraal opslaan? Zijn ze wel actueel? Hoe lang worden ze bewaard? Organisaties zijn in eerste instantie terughoudend om daarop in te gaan. Ze vrezen ook wat er uitkomt en de verplichtingen die dat met zich meebrengt.”
Maar de nieuwe wetgeving en de dreigende boetes zet het thema wel prominenter op de agenda. “Wij beschouwen het in ieder geval als een belangrijk nieuw speerpunt om organisaties daarbij te ondersteunen.”

Conflicterende belangen

Het bedrijfsmodel van social mediabedrijven is voor een groot deel gebaseerd op het verzamelen van zoveel mogelijk persoonskenmerken. Privacy-beperkingen zijn dan vooral hinderlijk. Maar ook overheidsorganisaties zijn gretige verzamelaars. Zo vlooit de fiscus parkeergegevens van alle Nederlanders door om te controleren of leaserijders hun bedrijfswagen toch niet meer privé gebruiken dan ze opgeven. En de gegevens die bedrijven als Bluetraffic en CityTraffic leveren op basis van wifien bluetooth tracking van mobiele telefoons worden niet alleen door winkelketens benut maar ook door gemeenten. Je kunt zo handig bezoekersaantallen en -stromen in kaart brengen. De Autoriteit Persoonsgegevens heeft in een concreet geval bepaald dat deze methode in strijd is met de Wet bescherming persoonsgegevens (Wbp) en beperkingen opgelegd in combinatie met een dwangsom.
Hoepman: “Rechters wegen bij hun uitspraken de proportionaliteit en subsidiariteit van de gegevensverzameling. Is het bijvoorbeeld nodig dat gemeenten alle nummerborden inscannen voor parkeerheffingen? Nu kan het antwoord positief zijn, maar zodra iemand iets bedenkt waardoor de heffing ook efficiënt op een meer privacyvriendelijke manier kan worden geregeld, ben je eigenlijk verplicht dat te implementeren. De stand van de techniek kan dus dwingen tot herijking van een bepaalde werkwijze.”

Meer informatie: www.pilab.nl, www.cip-overheid.nl

Acht privacyontwerpstrategieën

DATA–GEORIËNTEERDE STRATEGIEËN

Minimaliseer: beperk zo veel mogelijk de verwerking van persoonsgegevens. Selecteer alleen relevante personen of gegevens. Verwijder persoonsgegevens zodra ze niet langer nodig zijn.

Scheid: scheid persoonsgegevens zo veel mogelijk van elkaar. Verzamel persoonsgegevens in verschillende databases. Distribueer de verwerking over verschillende locaties. Doe zoveel mogelijk in de apparatuur van de eindgebruiker.

Abstraheer: beperk zoveel mogelijk het detail waarin persoonsgegevens worden verwerkt. Aggregeer informatie over categorieën personen in plaats van ieder individu. Vat gedetailleerde informatie samen in meer algemene gegevens.

Bescherm/maak onherleidbaar: voorkom dat persoonsgegevens openbaar worden. Beperk toegang tot en beveilig persoonsgegevens. Verbreek de link tussen personen en hun gegevens. Maak data onherleidbaar, bijvoorbeeld door deze te mixen of te anonimiseren.

PROCES–GEORIËNTEERDE STRATEGIEËN

Informeer: informeer gebruikers op een begrijpelijke manier over de verwerking van hun persoonsgegevens. Waarschuw gebruikers als hun persoonsgegevens worden gebruikt, of als deze zijn gelekt.

Geef controle: geef gebruikers controle over de verwerking van hun persoonsgegevens. Vraag om toestemming. Geef de mogelijkheid om persoonsgegevens te corrigeren of te (laten) verwijderen.

Dwing af: committeer je aan een privacyvriendelijke verwerking van persoonsgegevens. Stel een privacybeleid op, en dwing deze af met technische en organisatorische maatregelen. Beleg verantwoordelijkheden. Controleer de implementatie van het beleid regelmatig.

Toon aan: toon aan dat je op een privacyvriendelijke wijze werkt. Verzamel logs en doe audits. Rapporteer de resultaten. Laat je certificeren. Bron: www.deprivacycoach.nl (Jaap-Henk Hoepman).