Inleiding

Na een korte inleiding over de privacywetgeving wordt een aantal privacyontwikkelingen besproken. Hierbij wordt ingegaan op de organisatorische positionering, het privacybewustzijn en maatschappelijke en ICT-ontwikkelingen die de privacybeleving en -naleving beïnvloeden. Tevens wordt kort stilgestaan bij de overeenkomsten en verschillen van privacy en beveiliging. Vervolgens wordt ingegaan op de wijze waarop organisaties sinds de introductie van wetgeving op dit terrein privacy hebben aangepakt. Hierbij is een ontwikkeling naar het geleidelijk meer toepassen van technische maatregelen zichtbaar, uiteindelijk leidend tot vormen van Privacy Enhancing Technologies. Na behandeling van twee casussen wordt afgesloten met het belichten van de belangrijkste financiële en implementatieaspecten van deze technieken.

Ontwikkeling privacywetgeving

Privacybescherming en schendingen van privacy zijn van alle tijden. Zelfs in de middeleeuwen is op deelgebieden van privacy al wetgeving van kracht geworden, maar pas na de tweede wereldoorlog is de privacybescherming in een stroomversnelling gekomen. In de Universele Declaratie van de Rechten van de Mens uit 1948 is aangegeven dat territoriale en communicatieprivacy als primair recht gelden.

De introductie van informatie- en communicatietechnologie (ICT) in publieke en private organisaties en de privacyconsequenties van het gebruik en misbruik hiervan gaven een belangrijke impuls aan privacywetgeving. Na een eerste privacywet in de Duitse deelstaat Hessen (1970) volgde nationale wetgeving in Zweden (1973), de Verenigde Staten (1974), Duitsland (1977) en Frankrijk (1978). Dit legde de basis voor de Raad van Europa’s Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data (1980) en OECD’s[OECD: Organisation for Economic Cooperation and Development.] Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data[Bekend als de Fair Information Practices.] (beide in 1981).

De Raad van Europa-conventie is geadopteerd door meer dan twintig landen; de OECD-richtlijnen zijn eveneens verwerkt in diverse nationale wetten. Nederland was één van die landen en introduceerde in 1988 de Wet persoonsregistraties (Wpr). Zoals bekend heeft de Europese Unie vanaf begin jaren negentig privacy prioriteit gegeven, wat in 1995 is uitgemond in de Data Protection Directive[European Directive EC95/46, ook bekend als Europese privacyrichtlijn.]. Deze privacyrichtlijn is in Nederland per 1 september 2001 als de Wet bescherming persoonsgegevens (Wbp) in werking getreden, enigszins later dan de deadline van oktober 1998. In [Koor01] en [EPIC03] is verdere achtergrond te vinden over de ontwikkeling van privacywetgeving. In het vervolg van dit artikel wordt uitsluitend ingegaan op informatie- en communicatieprivacy; lichamelijke en territoriale privacy blijven buiten beschouwing.

Verantwoordelijkheid en bewustzijn voor privacy

Wie binnen organisaties verantwoordelijk is voor privacy, verschilt aanzienlijk. Veelal betreft het een jurist op de afdeling Juridische Zaken, maar in andere gevallen is het de beveiligingsfunctionaris of zelfs de IT-auditor die privacy ‘erbij doet’. Waar het voorheen een parttime functie was, is de laatste paar jaar een professionalisering gaande onder leiding van fulltime privacyverantwoordelijken. Ook de in de Wbp nieuw geïntroduceerde rol van Functionaris Gegevensverwerking (FG)[Voor een uitgebreide behandeling van de Functionaris Gegevensverwerking zie www.cbpweb.nl.] heeft hiertoe bijgedragen, ook al vergde die nieuwe functie in de startfase enig aanpassingsvermogen van de privacybetrokkenen vanwege de gewijzigde situatie qua privacygovernance. Privacy ressorteert nu veelal onder de juridische, compliance- of risicomanagementafdeling.

Waar privacy organisatorisch goed is verankerd, heeft zij een sterke impact op de omgang met privacyvraagstukken. Dit varieert van een sterke juridische benadering met stringente reglementen en procedures tot aan een gebalanceerde benadering met aandacht voor organisatorische en ICT-facetten. Waar de privacyverantwoordelijke zich ook bevindt, de communicatie tussen juristen, eigenaren van processen/systemen/gegevens, projectleiders, ICT’ers en gebruikers blijft een grote hindernis voor de goede inrichting van de privacybescherming. Gebaseerd op onze praktijkervaring durven wij te stellen dat minder dan vijf procent van de organisaties geheel Wbp-proof opereert.

Bewustzijn

Het privacybewustzijn correleert wel enigermate met de wetgevingsgolven, maar niet geheel. Hoewel het onderzoek naar het bewustzijn van privacyregels en de naleving hiervan beperkt is, is uit enquêtes wel zichtbaar geworden dat het bewustzijn ook onderhevig is aan golfbewegingen. Rond de introductie van de Wpr was er niet alleen bij de overheid, maar ook in het bedrijfsleven aandacht voor privacy. Onder druk van deze wet hebben de meeste grote organisaties privacybeleid en -reglementen opgesteld en deze vervolgens – veelal ten dele – geïmplementeerd. Andere belangrijke impulsen die niet direct samenhingen met nieuwe wetgeving, maar eerder door ICT- en externe ontwikkelingen werden veroorzaakt, betroffen:

• Toepassing van internet voor gegevensuitwisseling en transacties. Door de on-line vergaarde persoonsgegevens en creditcardgegevens ontstond er bij gebruikers terughoudendheid vanwege onduidelijkheid over de privacybescherming en beveiliging van deze websites. Als reactie hierop werden onder andere privacy- en beveiligingsstatements op websites geplaatst en werd er via zelfreguleringsprogramma’s vertrouwen gegeven aan derden (Thuiswinkel, WebTrust, TRUSTe, e.d.).
• Outsourcing en off-shoring. Deze activiteiten omvatten de overdracht van bedrijfsprocessen en ICT-systemen naar derde partijen, al dan niet zich bevindend in het buitenland en veelal buiten de Europese Unie (bijvoorbeeld Aziatische landen). Deze trend heeft het privacybewustzijn vergroot. In de praktijk blijkt zelfs dat er kritischer naar de privacybescherming bij deze service providers wordt gekeken dan naar die in de eigen organisatie. Dit heeft geleid tot verschillende bewerkersovereenkomsten en privacyclausules in contracten en service level agreements (SLA’s).
• Centrale informatiesystemen en shared service centers met HR- en klantgegevens. Deze ontwikkeling deed en doet zich voornamelijk voor bij multinationals en de overheid en is te beschouwen als de organisatie-interne variant van het voorgaande punt. Het wereldwijd uitwisselen van persoonsgegevens, waaronder gevoelige gegevens, leidde bij veel organisaties tot aandacht voor privacyaspecten. Vooral in situaties waarin het centrale HR-systeem buiten de Europese Unie, bijvoorbeeld in de Verenigde Staten, staat opgesteld, bleken medewerkers, ondernemingsraad en toezichthouders aanvullende privacywaarborgen, zoals contracten, te eisen.
• Audits door het College Bescherming Persoonsgegevens. Het College heeft sinds 1996 in diverse sectoren privacyaudits uitgevoerd, deels op eigen initiatief en deels na klachten. Ook zijn boetes uitgedeeld. Dit heeft een sterke bewustwordende functie gehad bij onder andere zorginstellingen, arbodienstverleners, handelsinformatiebureaus, financiële instellingen en gemeenten. Ook andere toezichthouders zoals DNB (De Nederlandsche Bank) en PVK (Pensioen- en Verzekeringskamer) tonen in hun controleonderzoeken toenemende interesse in privacy.
• Fraude en misbruik van sociale voorzieningen. Van een andere orde is de wettelijke verruiming van het koppelen van gegevensbestanden voor het bestrijden van fraude. Pas toen dit daadwerkelijk ging gebeuren, trad privacybewustzijn bij de betrokkenen op.
• Dreiging van terrorisme. De terroristische dreiging heeft ertoe geleid dat politie- en opsporingsdiensten ruimere bevoegdheden hebben gekregen, waarbij de privacy van verdachten kan worden aangetast. Enerzijds wordt dit geaccepteerd aangezien hiermee een hoger doel wordt gediend, anderzijds ontstaat het gevoel dat hiermee een ‘big brother’-achtige situatie kan ontstaan. Dit onderwerp wordt veeleer beïnvloed door de politiek en de stemming over de nationale veiligheid, dan dat het een sterke privacycomponent kent.

Ontegenzeggelijk hebben privacyincidenten een zeer grote invloed gehad op het privacybewustzijn. Onder de noemer ‘een hacker als wekker’ zijn door privacy- en beveiligingsfouten uiterst gevoelige persoonsgegevens geopenbaard. Bekende gevallen betreffen:

• het lek in de Univé-website met het toegankelijk zijn van ziektekostenverzekerden;
• het onrechtmatig uitwisselen van persoonsgegevens tussen GAK en Centraal Beheer;
• het hacken van de universiteit van Berkeley (zie kader 1);
• het benaderen van klanten met een ongevraagd hypotheekaanbod door een Belgische bank na analyse van hun maandelijkse automatische afschrijving van hun bankrekening van de hypotheekrente die zij aan andere hypotheekverstrekkers betaalden;
• de problemen met Microsofts Hotmail en Passport;
• het op een website vermeld zijn van het gedrag van schoolkinderen in Almere;
• het stalken van leden van een vereniging van alleenstaande vrouwen;
• het filmen en vervolgens aanschrijven van bordeelbezoekers;
• het gebruik door de landsadvocaat van een handelsinformatiebureau dat op een illegale wijze persoonsgegevens verkreeg;
• de vele inbraken in websites met vervolgens diefstal van creditcardgegevens.

Het wederrechtelijk verkrijgen en misbruiken van identificerende persoonsgegevens, identiteitsdiefstal, is inmiddels uitgegroeid tot één van de grootste fraudeoorzaken in de Verenigde Staten met enkele honderdduizenden Amerikanen per jaar die hierdoor gedupeerd zijn, met een schadepost van vele miljarden dollars.

Evolutie in de aanpak van privacy

De benadering van het privacyvraagstuk was na de introductie van de Wpr aanvankelijk sterk gericht op de beleidsmatige, procedurele en juridische aspecten en het treffen van traditionele beveiligingsmaatregelen. Dit omvatte dan de volgende generieke stappen:

• aanstellen van een privacyverantwoordelijke;
• ontwikkelen van een privacyreglement en soms een overkoepelend privacybeleid;
• inventariseren van registraties met persoonsgegevens; veelal werd dit verengd tot de geautomatiseerd vastgelegde persoonsgegevens. Vervolgens werden de doelstellingen en verwerkingen van deze registraties in kaart gebracht;
• aanmelden van registraties bij de Registratiekamer en na inwerkingtreding van de Wbp bij het College Bescherming Persoonsgegevens;
• opstellen en implementeren van richtlijnen en procedures voor onder andere verstrekkingen, verzoek om inzage en correctie, en dergelijke. Bijvoorbeeld in de ‘scripts’ voor toepassing in alle kanalen waarlangs interactie met klanten plaatsvindt (internet, callcenter, balie);
• opnemen van privacyspecifieke bepalingen in de contracten en SLA’s met businesspartners en service providers;
• implementeren van traditionele beveiligingsmaatregelen zoals logische toegangsbeveiliging en het bouwen van ‘dikke muren’ ter bescherming van de persoonsgegevens.

Onderbelichte zaken betroffen onder meer het verhogen van het privacybewustzijn en de verdergaande organisatorische en technische implementatie van het privacybeleid. Geleidelijk aan heeft de privacyimplementatie zich verbreed en is de behoefte ontstaan om ook technische aspecten in te zetten voor het afdwingen van een betere naleving van het privacybeleid. De technische implementatie omvatte in die organisaties ook maatregelen voor de aangescherpte authenticatie (op basis van bezitskenmerk), gedifferentieerde afscherming met autorisatieprofielen, geprogrammeerde integriteitscontroles en het testen met gefingeerde gegevens. Tevens werden persoonsgegevens die werden verstuurd over openbare netwerken in toenemende mate versleuteld.

Huidige status privacymaatregelen

Zijn we er daarmee? Nee, aangezien een aantal privacyprincipes nog immer niet goed organisatorisch of technisch wordt gewaarborgd. Dit betreft zaken als:

• het niet bovenmatig verzamelen van persoonsgegevens;
• het uniek registreren van personen;
• het beveiligen van de persoonsgegevens, hetgeen met name van belang is bij het groeiend aantal koppelingen van gegevensbanken en informatiesystemen, keteninformatisering en het voornemen van de overheid om authentieke registraties in te richten;
• het rolgebaseerd of zelfs op dynamische basis en – sterker nog – ‘business rule’-gebaseerd autoriseren van toegang tot gegevensgroepen en individuele velden met gevoelige persoonsgegevens;
• het verbeteren van de kwaliteit van de persoonsgegevens;
• het registreren welke medewerker welke persoonsgegevens heeft ingezien;
• het anoniem kunnen verwerken van persoonsgegevens;
• het handhaven van bewaartermijnen en de vernietigingsplicht van persoonsgegevens;
• het registreren van verstrekkingen aan derden in Nederland en andere EU-landen en aan derden daarbuiten.

Noodzaak tot Privacy Enhancing Technologies

Voor vrijwel alle bovenstaande onderwerpen kan de toepassing van technische maatregelen de afhankelijkheid van organisatorische procedures en het privacybewustzijn beperken en consistentie garanderen. De term Privacy Enhancing Technologies (PET) wordt gehanteerd om alle ICT-middelen aan te duiden die gebruikt kunnen worden om persoonsgegevens te beschermen. In de paragraaf ‘PET-vormen’ wordt in detail ingegaan op de PET-maatregelen die kunnen worden getroffen.

In de toepassing en ontwikkeling van PET is een trend te herkennen. Zoals in dit artikel is gesteld, werd de techniek in eerste instantie vooral ingezet ter bescherming van reeds geregistreerde persoonsgegevens. Vandaag de dag wordt PET echter ook al door een beperkt aantal organisaties ingezet om reeds aan de bron technische maatregelen te treffen en het aantal identificerende gegevens tot het absolute minimum te beperken. Daar waar het niet nodig is, wordt de identiteit niet vastgelegd of wordt de identiteit losgekoppeld van de overige persoonsgegevens. Een belangrijke stap die nog moet worden gezet, is dat alle gegevensverwerkende organisaties kritisch kijken welke gegevens nu echt noodzakelijk zijn voor de dienstverlening. Vaak worden uit gewoonte meer gegevens vastgelegd dan nodig is. Deze overtollige gegevens moeten worden beheerd en beschermd, terwijl ze geen nut dienen en dus alleen maar een risico en kostenpost vormen. De gemakkelijkste manier om dit te voorkomen is uitsluitend die gegevens te verzamelen en te verwerken die strikt noodzakelijk zijn voor het doel waarvoor de verwerking plaats moet vinden. Niet meer en niet minder. Een belangrijk aspect hierbij is dat moet worden vastgesteld of het verwerken van persoonsgegevens ([PKIO02]):

• noodzakelijk is: ‘identiteitsrijk’;
• beperkt noodzakelijk is: ‘identiteitsarm’;
• vermijdbaar is (anonieme dienst): ‘identiteitsloos’.

PET-vormen

Bekende en breed toegepaste basisvormen van PET zijn versleuteling en logische toegangsbeveiliging. Binnen logische toegangsbeveiliging zijn met name het goede beheer van uniek identificerende persoonsgegevens en bijbehorende autorisatiegegevens van belang. Een belangrijke vorm van PET betreft de scheiding van gegevens in meerdere domeinen. Het ene domein bevat de identificerende persoonsgegevens, het andere de overige persoonsgegevens. De financiële, justitiële of medische gegevens zijn dan in één of meer domeinen opgenomen – los van het domein met de identiteitsgegevens. De gegevens in ieder afzonderlijk domein zijn niet privacygevoelig, omdat ze niet herleidbaar zijn naar een natuurlijk persoon. In deze PET-vorm zorgt programmatuur (identiteitsbeschermer) ervoor dat uitsluitend geautoriseerde systeemgebruikers de verschillende gegevensdomeinen kunnen koppelen. Een variant op de gegevensscheiding is de systeemfunctie die wel verifieert welke detailgegevens in de database zijn opgeslagen, maar die details niet vrijgeeft. De functie antwoordt bijvoorbeeld slechts bevestigend of ontkennend op een bevraging. In figuur 2 is de scheiding van gegevens in meerdere domeinen grafisch weergegeven.

Figuur 2. Scheiding van gegevens in meerdere domeinen met identiteitsbeschermer.

Een verdergaande integratie van gegevens en programmatuur wordt gevormd door een PET-vorm waarin de persoonsgegevens uitsluitend te benaderen zijn via specifieke programmatuur – het zogenaamde privacymanagementsysteem. Hierin is de vertaling van het privacyreglement geautomatiseerd. Voor ieder gegevenselement en iedere systeemfunctie wordt direct gecontroleerd of een activiteit in overeenstemming is met de regels in het privacyreglement. De ultieme vorm van PET betreft het anonimiseren van persoonsgegevens. Het gaat hierbij om programmatuur die de identificerende persoonsgegevens geheel niet registreert of direct vernietigt nadat die gegevens niet meer nodig zijn, bij voorkeur direct na het verzamelen. Idealiter worden deze persoonsgegevens dan niet eens meer opgeslagen. Dit is de sterkste vorm van bescherming van persoonsgegevens waarbij direct aan de wettelijke privacyeisen is voldaan. Anonimisering is natuurlijk niet altijd toepasbaar; in de situaties waarin persoonsgegevens noodzakelijk zijn kunt u beter één van de voorgaande PET-vormen toepassen.

In figuur 3 is in de PET-trap aangegeven dat de effectiviteit van de bescherming van persoonsgegevens wordt bepaald door de toegepaste PET-vorm. De PET-trap is geen groeimodel en behoeft niet geheel ‘tot de overloop’ te worden opgelopen. Wanneer een organisatie algemene PET-maatregelen heeft toegepast, wil dit niet zeggen dat de organisatie door moet groeien naar ‘hogere’ PET-vormen. De geschiktheid van de verschillende PET-vormen is met name afhankelijk van het type informatiesysteem, het nagestreefde ambitieniveau en de gevoeligheid van de persoonsgegevens.

Figuur 3. De PET-trap. [Klik hier voor een grotere afbeelding]

In het algemeen kan worden gesteld dat algemene PET-maatregelen op dit moment het meest worden toegepast, gevolgd door scheiding van gegevens en anonimisering. Het toepassen van privacymanagementsystemen staat in de kinderschoenen en vindt op beperkte schaal plaats.

PET-kosten

Is PET te duur voor uw organisatie? Nee, er zijn verschillende PET-vormen mogelijk met ieder een eigen kostenniveau. Het is van belang om na te gaan of de kosten die met de oplossing zijn gemoeid in verhouding staan tot de risico’s. Eenvoudige, maar krachtige PET-maatregelen kunnen zelfs met geringe kosten een wezenlijke verbetering van de gegevensbescherming opleveren. Om te onderzoeken of er voor uw organisatie een positieve business case bestaat voor de toepassing van PET, moeten drie kernvragen worden beantwoord. Deze vragen zijn:

1. Levert PET een wezenlijke bijdrage aan de beleidsdoelstellingen van onze organisatie?
2. Welke kwalitatieve en kwantitatieve baten kan PET in onze organisatie realiseren?
3. Welke kosten brengt PET eenmalig en structureel met zich mee?

De kosten van PET-toepassing zijn relatief beperkt als reeds in het ontwerpstadium rekening is gehouden met privacyaspecten. De kwantitatieve én kwalitatieve baten van PET voor de betrokken organisaties, de maatschappij en de geregistreerde burgers c.q. klanten zijn echter aanzienlijk. De kosten van PET-toepassing bedragen bij de meeste projecten gemiddeld slechts enkele procenten van het totaalbudget en laten zich derhalve snel terugverdienen.

Het feit of PET wordt toegepast op bestaande of nieuw te ontwikkelen systemen is ook van invloed op de hoogte van de kosten. Wanneer PET wordt toegepast op bestaande systemen liggen de kosten natuurlijk hoger dan bij nieuwe systemen. De oorzaak hiervan is dat de meeste kostenposten van PET eenmalig zijn en de eenmalige activiteiten deel uitmaken van het gehele systeemontwikkelingstraject. Wanneer de PET-specifieke activiteiten achteraf worden uitgevoerd, moet het bestaande systeem eventueel worden aangepast. Als gevolg hiervan moeten bepaalde activiteiten dubbel worden uitgevoerd en nemen de kosten van de invoering van PET toe.

PET-implementatie

Een belangrijke les uit eerdere PET-projecten is het in een zo vroeg mogelijk stadium nadenken over de noodzaak van vastlegging van persoonsgegevens, de wijze van gegevensbescherming, de oplossingsrichtingen en de bijbehorende kosten en baten. Dit zorgt ervoor dat gegevensbescherming gewoon als één van de eisen wordt geformuleerd en derhalve op een natuurlijke wijze in de bouw wordt betrokken. Het later toevoegen van PET in een informatiesysteem is zeker mogelijk gezien enkele praktijkervaringen, maar kan soms dieper in het informatiesysteem ingrijpen. In het algemeen zijn hier meer tijd en meer kosten mee gemoeid. Overigens geldt dat met name voor de geavanceerde PET-vormen en -maatregelen.

In tabel 1 worden de verschillende fasen weergegeven die moeten worden doorlopen om tot een succesvolle PET-implementatie te komen. Per fase is aangegeven welke PET-specifieke vragen in de betreffende fase moeten worden beantwoord.

Tabel 1. PET-stappenplan.

Toekomst

Onze verwachting is dat privacy en Privacy Enhancing Technologies een integraal deel zullen uitmaken van systeemontwikkeling. De burgers en consumenten verwachten van organisaties dat zij zorgvuldig en efficiënt met persoonsgegevens omgaan. Eenmalige registratie aan de bron en vertrouwelijke omgang in alle fasen van gegevensverwerking in het systeem en de keten behoren daartoe. Om deze verwachtingen te kunnen inlossen en om de kwaliteit van de gegevens te waarborgen zullen organisaties in toenemende mate dergelijke technologieën gaan toepassen. Wij verwachten dat in eerste instantie het merendeel van de overheidsorganisaties een vorm van Privacy Enhancing Technologies gaat toepassen, gevolgd door bedrijven die gevoelige persoonsgegevens verwerken of moeten voldoen aan stringente wet- en regelgeving. Hiermee zullen vraag en aanbod van Privacy Enhancing Technology-oplossingen gelijke tred moeten houden.

Conclusie

Door technische maatregelen te treffen wordt niet alleen een effectievere en efficiëntere gegevensbescherming bereikt. De toepassing van technische maatregelen vraagt namelijk ook om kritisch na te denken over persoonsgegevens en over de noodzaak en de bescherming ervan. Deze aanpak verhoogt de integriteit en vertrouwelijkheid van de gegevens en maakt een efficiëntere verwerking van persoonsgegevens mogelijk. Met Privacy Enhancing Technologies behoeft in mindere mate te worden gesteund op de naleving van procedures, maar worden privacybepalingen direct in de applicatie of in de ICT-infrastructuur verankerd.

Derhalve willen we op een onorthodoxe wijze dit artikel besluiten.

PET is meer dan een manier om persoonsgegevens te beschermen:

• Vraag naar PET
  • PET bevordert de informatiekwaliteit.
  • De afhankelijkheid van de goede naleving van processen en procedures vermindert door het automatisch afdwingen van privacyregels.
  • Het toepassen van PET kan een middel zijn om burgers betere inzage- en controlemogelijkheden over hun persoonsgegevens te geven.
  • De toepassing van PET geeft de organisatie een innovatief imago.
• Noodzaak tot PET
  • Met PET kan eenvoudiger worden voldaan aan de Wet bescherming persoonsgegevens.
  • PET is voorwaardenscheppend voor het vertrouwen van de burger.
  • PET maakt werken met gevoelige persoonsgegevens mogelijk.
• Mogelijkheden voor PET-toepassing
  • PET is al vele malen succesvol geïmplementeerd (zie ook casussen in [BZK04]).
  • PET heeft slechts een beperkte invloed op de ontwikkelkosten van een nieuw informatiesysteem aangezien de technieken voorhanden zijn en de kosten voornamelijk samenhangen met het toepassen ervan. Het ‘kost’ met name denk- en ontwerpwerk.
  • Het opnemen van PET in de informatiearchitectuur biedt een basis om PET in verschillende informatiesystemen efficiënt toe te passen.