Blog

Toezichthouden-door-vaagheid

Er is een consultatieversie van richtlijnen over privacy-by-design en privacy-by-default opgesteld. Maar is het ook wat?

Een vermeende vernieuwing die we met de Algemene Verordening Gegevensbescherming (AVG) kregen zijn de principes van “gegevensbescherming door ontwerp en standaardinstellingen”, in de praktijk vooral privacy-by-design en privacy-by-default genoemd.

De gezamenlijke Europese privacytoezichthouders zijn doende hun kijk op de uitwerking van deze principes te formuleren en hebben een consultatieversie van hun richtlijnen over dit onderwerp gepubliceerd. Een teleurgestelde eerste blik op deze richtlijnen.

Ooit, in 1989, kregen wij een Wet persoonsregistraties. Die bevatte in artikel 8 al een verplichting om bij de verwerking van persoonsgegevens: “De houder draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van een persoonsregistratie tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Gelijke plicht rust op de bewerker voor het geheel of het gedeelte van de apparatuur die hij onder zich heeft.”

De terminologie is in de tussentijd wat veranderd, maar de strekking in de AVG is opvallend gelijk gebleven. Het zou daarom in de lijn der verwachtingen liggen dat we inmiddels een helder beeld zouden hebben wat die ‘nodige voorzieningen’ (intussen ‘passende maatregelen’) nu zouden moeten behelzen. Mijn verwachtingen toen de European Data Protection Board, het samenwerkingsorgaan van Europese privacytoezichthouders, met richtlijnen voor privacy-by-design en privacy-by-default kwam, waren dan ook hooggespannen.

Om te beginnen het goede nieuws: het is een feestje voor privacyjuristen. Er worden posities ingenomen over de beginselen van de AVG die in toekomstige rechtszaken zeker een rol gaan spelen. Begrippen als ‘state of the art’ worden van een uitleg voorzien die niet eenvoudig mis is te verstaan in een juridische context. Maar wat dit nu betekent voor de ambitieuze verwerkingsverantwoordelijke die met een schone lei begint en het echt goed zou willen doen, dat is een niet te beantwoorden vraag. Geen systeemontwerper of procesanalist die iets kan met het document zonder eerst een diepgravende cursus AVG en de daarmee samenhangende jurisprudentie te hebben gevolgd. En zelfs na die diepgravende cursus zal het nog veel afhangen van het naar eigen inzicht toepassen van de hoog-over-principes van de AVG op concrete ontwerpvraagstukken.

Wat voorbeelden: als er over privacy-by-default wordt gesproken wordt eerst uitgelegd wat het begrip in de informatica betekent. Ook wordt uitgelegd dat bij ontstentenis van toepassing van dit principe eindgebruikers makkelijk overwelmd zullen raken door de te maken keuzes. Voor de praktijk zou het dan weer net handig zijn geweest als er vuistregels uit de wereld van interaction design worden vermeld. Bijvoorbeeld over het maximale aantal keuzes wat een gebruiker geboden moet worden. Of op zijn minst door voorbeelden te geven van hoe het niet moet, bijvoorbeeld vooraf aangevinkte toestemmingsvakjes.

Een ander voorbeeld is dat van de hoeveelheid persoonsgegevens die verzameld worden. Er wordt benadrukt dat die geminimaliseerd moet worden. Wat klopt, dat staat ook al in de AVG. Maar er wordt niet verteld hóe dat kan, al is het maar door voorbeelden. Een klassiek voorbeeld van hoe het niet moet is het vragen naar een geboortedatum met het oog op leeftijdsgebonden kortingen door vervoersbedrijven. Dat is namelijk niet nodig, want bij de uiteindelijke kaartcontrole tijdens het vervoer kan er altijd om een identiteitsbewijs gevraagd worden. Een vinkje zetten bij een kortingscategorie (bijvoorbeeld ’65+’) zou moeten volstaan.

En als de richtlijnen vooral goed leesbaar zijn voor juristen, zonder een vertaalslag te bieden voor systeemontwerpers, dan is de vraag wat het nut van de richtlijnen in deze vorm. Het wordt tijd voor een mooi handboek over dit onderwerp, en van de gezamenlijke toezichthouders moeten we blijkbaar nog even niet te veel verwachten. Die blijven monodisciplinair juridische uitleg geven terwijl dit onderwerp smeekt om een interdisciplinaire uitleg die voor technologen hanteerbaar is.

Walter van Holst is senior adviseur bij Hooghiemstra & Partners

  • P.J. Westerhof LL.M MIM | 16 januari 2020, 16:39

    Voor de goede orde, de ontwerp-richtlijn betreft art. 25 AVG en richt zich dus (terecht) tot de ‘verwerkingsverantwoordelijke’.
    Deze verwerkingsverantwoordelijke zal doorgaans worden ondersteund – en gecontroleerd – door een ‘Functionaris Gegevensbescherming’ welke juridisch en informatietechnisch onderlegd dient te zijn.

    Voor het overige betekent de ontwerp-richtlijn een generiek stuk Runctionele, Technische en Test Specificaties.
    En op dat punt hebben deskundigen over de jaren sinds de Motie Nicolai van 1999 niet stil gezeten. Zoals iets meer recentelijk nog ENISA met ‘Privacy and Data Protection by Design – from policy to engineering’ (December 2014).

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren