GROEP GEGEVENSBESCHERMING ARTIKEL 29
00327/11/NL WP 180
Advies 9/2011 betreffende het herziene voorstel van de industrie voor een effectbeoordelingskader wat betreft de bescherming van de persoonlijke levenssfeer en persoonsgegevens bij RFID-toepassingen
Goedgekeurd op 11 februari 2011
De Groep is opgericht op grond van artikel 29 van Richtlijn 95/46/EG. Het is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer. De taken zijn omschreven in artikel 30 van Richtlijn 95/46/EG en in artikel 15 van Richtlijn 2002/58/EG. Het secretariaat wordt verzorgd door directoraat C (Grondrechten en burgerschap van de Unie ) van het directoraat-generaal Justitie van de Europese Commissie, 1049 Brussel, België, kamer MO-59 06/036. Website: http://ec.europa.eu/justice/policies/privacy/index_en.htm
Inhoudsopgave 1
Achtergrond .................................................................................................................................3 1.1 1.2
Inleiding ...............................................................................................................................3 Samenvatting van het herziene kader...................................................................................4
2
Analyse.........................................................................................................................................5
3
Conclusie......................................................................................................................................7
DE GROEP VOOR DE BESCHERMING VAN PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS, Opgericht bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995, Gezien artikel 29 en artikel 30, lid 1, onder a), en lid 3, van die richtlijn en artikel 15, lid 3, van Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002, Gezien het reglement van orde van de Groep, Heeft het volgende advies goedgekeurd:
1 Achtergrond 1.1 Inleiding Dit advies is een vervolg op Advies 5/2010 (WP 175)1 betreffende het voorstel van de industrie voor een effectbeoordelingskader wat betreft de bescherming van de persoonlijke levenssfeer en persoonsgegevens bij RFID-toepassingen. In deze inleiding wordt slechts kort ingegaan op de achtergrond, voor zover dat noodzakelijk is voor een goed begrip van het doel en de reikwijdte van dit nieuwe advies. Voor nadere details wordt de lezer aangeraden Advies 5/2010 te raadplegen. Op 12 mei 2009 heeft de Europese Commissie een aanbeveling vastgesteld over de tenuitvoerlegging van de beginselen inzake de bescherming van de persoonlijke levenssfeer en persoonsgegevens in door radiofrequentie-identificatie ondersteunde toepassingen2. In die aanbeveling werden de lidstaten opgeroepen ervoor te zorgen dat de industrie, samen met de relevante belanghebbenden […], een kader ontwikkelt voor effectbeoordeling op het gebied van persoonlijke levenssfeer en beveiliging. Dit kader moest ter goedkeuring worden voorgelegd aan de Groep gegevensbescherming artikel 29. Wanneer dit kader voor effectbeoordeling op het gebied van persoonlijke levenssfeer en gegevensbescherming is vastgesteld, moeten de lidstaten verzekeren dat RFID-exploitanten RFID-toepassingen aan een effectbeoordeling op het gebied van persoonlijke levenssfeer en gegevensbescherming (privacyeffectbeoordeling of PEB) onderwerpen voordat deze worden ingevoerd. De lidstaten moeten ook ervoor zorgen dat de RFID-exploitanten de privacyeffectbeoordelingsrapporten ter beschikking stellen van de bevoegde autoriteit. Op 31 maart 2010 hebben vertegenwoordigers van de bedrijfstak een kader voor effectbeoordeling op het gebied van persoonlijke levenssfeer en gegevensbescherming ter goedkeuring voorgelegd aan de Groep gegevensbescherming artikel 29. Dit voorstel was weliswaar een goed uitgangspunt, maar kreeg niet de onverdeelde steun van de Groep, met name omdat in het voorgestelde kader drie kritieke elementen ontbraken: 1) een duidelijk gedefinieerde risicobeoordelingsaanpak; 2) aandacht voor RFID-tags die door personen worden gedragen buiten het operationele gebied van de toepassing;
1
2
Advies 5/2010 betreffende het voorstel van de industrie voor een effectbeoordelingskader wat betreft de bescherming van de persoonlijke levenssfeer en persoonsgegevens bij RFID-toepassingen (WP 175 van 13 juli 2010). http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32009H0387:NL:NOT.
3
3) uitdrukkelijke aandacht voor het deactiveren van tags in de detailhandel, zoals opgenomen in de aanbeveling van de Europese Commissie over de tenuitvoerlegging van de beginselen inzake de bescherming van de persoonlijke levenssfeer en persoonsgegevens in door radiofrequentie-identificatie ondersteunde toepassingen. Op 13 juli 2010 heeft de Groep in haar Advies 5/2010 een samenvatting gegeven van deze en andere punten en de bedrijfstak verzocht met een herzien voorstel te komen. Wat risicobeoordeling betreft, heeft de Groep de bedrijfstak met klem aangeraden voort te bouwen op de expertise die op dit terrein reeds beschikbaar is bij het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA). Eveneens in juli 2010 heeft ENISA een onafhankelijk advies gepubliceerd met praktische aanbevelingen voor verbetering van het voorgestelde kader3. In het advies van ENISA worden met name enkele initiële richtsnoeren voorgesteld voor de vaststelling van een alomvattende erkende methodologische risicobeoordelingsaanpak en wordt een aantal structurele verbeteringen voorgesteld. Gedurende de daarop volgende maanden stelde de bedrijfstak een herzien PEB-kader op, waarin de opmerkingen van de Groep en ENISA in aanmerking werden genomen. Op 12 januari 2011 werd dit herziene PEB-kader ter goedkeuring voorgelegd aan de Groep. Dit advies geldt als het formele antwoord van de Groep op dit nieuwe voorstel. Hierna wordt met “de RFID-aanbeveling” verwezen naar de aanbeveling van de Europese Commissie over de tenuitvoerlegging van de beginselen inzake de bescherming van de persoonlijke levenssfeer en persoonsgegevens in door radiofrequentie-identificatie ondersteunde toepassingen, die op 12 mei 2009 werd gepubliceerd. Met “het herziene kader” of kortweg “het kader” wordt hierna het effectbeoordelingskader wat betreft de bescherming van de persoonlijke levenssfeer en persoonsgegevens bij RFID-toepassingen bedoeld, zoals voorgelegd aan de Groep gegevensbescherming artikel 29 op 12 januari 2011 en opgenomen in de bijlage bij dit advies.
1.2 Samenvatting van het herziene kader Het herziene kader begint met een overzicht van belangrijke interne procedures die voor de uitvoering van een privacyeffectbeoordeling relevant zijn, zoals: plannen en toetsen van de privacyeffectbeoordeling, verzamelen van de relevante documentatie, vaststellen van betrokken personen in de organisatie die de privacyeffectbeoordeling moeten ondersteunen, vaststellen van omstandigheden die in de toekomst een privacyeffectbeoordeling nodig kunnen maken en raadplegen van belanghebbenden. Bij de uitvoering van een privacyeffectbeoordeling moeten twee fasen worden onderscheiden: I. De fase voorafgaand aan de beoordeling, waarin een RFID-toepassing op basis van een “beslisboom” in een van vier niveaus wordt ingedeeld. Aan de hand hiervan kan worden vastgesteld of een privacyeffectbeoordeling noodzakelijk is, en wordt gekozen voor een volledige of een vereenvoudigde privacyeffectbeoordeling. Bij toepassingen met RFID-tags die waarschijnlijk door personen zullen worden gedragen, is ten minste een vereenvoudigde privacyeffectbeoordeling (niveau 1) noodzakelijk, terwijl bij toepassingen waarbij verdere verwerking van persoonsgegevens plaatsvindt, een volledige privacyeffectbeoordeling (niveau 2 of 3) vereist zal zijn. Voor toepassingen waarbij geen gebruik wordt gemaakt van 3
http://www.enisa.europa.eu/media/news-items/enisa-opinion-on-pia: Advies van ENISA betreffende het voorstel van de industrie voor een effectbeoordelingskader wat betreft de bescherming van de persoonlijke levenssfeer en persoonsgegevens bij RFID-toepassingen (31 maart 2010).
4
tags die waarschijnlijk door personen zullen worden gedragen en geen verdere persoonsgegevens worden verwerkt, is een privacyeffectbeoordeling niet nodig (niveau 0). II. De fase risicobeoordeling, die vier stappen omvat: 1) karakteriseren van de toepassing (soort gegevens, gegevensstromen, gebruikte RFIDtechnologie, gegevensopslag en -overdracht enz.); 2) vaststellen van de risico’s voor de persoonsgegevens door het beoordelen van bedreigingen, de waarschijnlijkheid daarvan en de gevolgen voor de persoonlijke levenssfeer en de naleving van de Europese wetgeving; 3) vaststellen en aanbevelen van controlemiddelen naar aanleiding van eerder geïdentificeerde risico’s; 4) documenteren van de resultaten van de privacyeffectbeoordeling, vaststellen van een oplossing conform de uitvoeringsvoorwaarden van de onderzochte RFID-toepassing en documenteren van de resterende risico’s. Bij elke stap van de risicobeoordelingsfase wordt verdere ondersteuning geboden door toelichtingen voor de beoordelaar die in de bijlagen bij het herziene kader zijn opgenomen: •
een sjabloon voor de omschrijving van de belangrijkste kenmerken van de RFID-toepassing;
•
een lijst van negen privacytargets voor de RFID-toepassing, die aan de hand van Richtlijn 95/46/EG zijn vastgesteld;
•
een lijst van typerende privacyrisico’s met omschrijvingen en voorbeelden;
•
een lijst met voorbeelden van beheersingsmethoden en maatregelen voor risicovermindering die kunnen worden toegepast naar aanleiding van eerder geïdentificeerde risico’s.
Van het resultaat van de privacyeffectbeoordeling wordt door de beoordelaar formeel verslag uitgebracht door middel van een privacyeffectbeoordelingsrapport, waarin de RFID-toepassing wordt beschreven en de bovengenoemde vier risicobeoordelingsstappen worden gedocumenteerd.
2 Analyse De Groep is erkentelijk voor het vele werk dat de organisaties van de bedrijfstak en deskundigen, academici en afzonderlijke bedrijven de afgelopen maanden hebben verricht om een herzien kader op te stellen. De auteurs van het kader hebben van de gelegenheid gebruikgemaakt om niet alleen de meeste punten aan te pakken waarover de Groep zich bezorgd toonde, maar ook de structuur te verhelderen en betere richtsnoeren op te stellen voor de RFID-exploitanten die dit kader zullen gaan toepassen. De Groep merkt op dat het herziene kader uitgaat van risicobeheersing en zij wijst er nogmaals op dat dit een wezenlijk onderdeel is van elk effectbeoordelingskader inzake de bescherming van de persoonlijke levenssfeer en persoonsgegevens. De Groep juicht ook toe dat raadpleging van belanghebbenden uitdrukkelijk is opgenomen als onderdeel van de interne procedures voor de uitvoering van een privacyeffectbeoordeling. De voorgestelde methodologie voor risicobeoordeling vangt aan, in de fase vóór de beoordeling, met de indeling van een RFID-toepassing in een van vier niveaus. De Groep merkt op dat de daarvoor te gebruiken beslissingsboom een onduidelijkheid bevat ten aanzien van de vraag wat al dan niet als persoonsgegevens moet worden beschouwd in een RFID-toepassing. Indien een tag die een unieke identificatiecode bevat zal worden gedragen door een persoon, moet die identificatiecode worden behandeld als persoonsgegeven, zoals in Advies 5/2010 is aangegeven. 5
Als de tag door een persoon zal worden gedragen, moet de toepassing dus in de meeste scenario’s in niveau 2 worden ingedeeld, en niet in niveau 1 zoals het kader suggereert. Niettemin doet het de Groep genoegen dat het herziene kader RFID-exploitanten duidelijk verplicht een privacyeffectbeoordeling te verrichten in alle gevallen dat een tag door een persoon zal worden gedragen. Zoals in verschillende eerdere adviezen is aangegeven4, is het gebruik van RFID-technologie met individuele tracking en het verkrijgen van toegang tot persoonsgegevens een van de belangrijkste punten van zorg op het gebied van privacy met betrekking tot RFID-technologie. Hoewel een RFIDexploitant dit doel wellicht niet voor ogen heeft wanneer hij een RFID-toepassing ontwerpt, moet toch rekening worden gehouden met het risico dat een derde de tags voor dergelijke onbedoelde doeleinden gebruikt. Het herziene kader maakt het nu duidelijk verplicht dat RFID-exploitanten de risico’s beoordelen die kunnen ontstaan doordat tags worden gebruikt buiten het operationele toepassingsgebied van de RFID-toepassing, en/of worden gedragen door personen. Dit punt heeft bijzondere aandacht gekregen in de detailhandelssector, omdat men daar vreest dat van tags voorziene artikelen die door individuen worden gekocht, kunnen worden misbruikt voor tracking of profilering door detailhandelaars of derden. Naar aanleiding van deze bezorgdheid heeft de Europese Commissie in de RFID-aanbeveling het beginsel opgenomen dat tags moeten worden gedeactiveerd bij de verkoop, tenzij de klant op basis van informatie beslist dat de tag moet blijven werken. In de RFID-aanbeveling wordt op dit deactiveringsbeginsel een uitzondering gemaakt wanneer uit de privacyeffectbeoordeling blijkt dat tags die […] operationeel blijven na de verkoop waarschijnlijk geen bedreiging vormen voor de persoonlijke levenssfeer of de bescherming van persoonsgegevens. De Groep merkt op dat een risicobeheersingsaanpak, zoals die met het kader wordt voorgesteld, voor de RFID-exploitant een essentieel middel is om de risico’s te kunnen beoordelen die ontstaan doordat hij de verantwoordelijkheid neemt om de tags na de verkoop operationeel te laten.
Van de privacyeffectbeoordeling wordt aan de bevoegde autoriteit verslag uitgebracht ten minste zes weken voor de RFID-toepassing in gebruik zal worden genomen. De Groep wijst er met klem op dat de uitvoering van een privacyeffectbeoordeling ook vereist dat exploitanten een beknopt, nauwkeurig en eenvoudig te begrijpen informatiebeleid voor elk van hun toepassingen ontwikkelen en bekendmaken (punt 7 van de RFID-aanbeveling). In dit informatiebeleid moet met name een samenvatting van de beoordeling van de gevolgen voor de persoonlijke levenssfeer en de gegevensbeveiliging zijn opgenomen. Naarmate dit kader in gebruik wordt genomen voor concrete RFID-toepassingen, zal de inhoud ervan waarschijnlijk moeten worden aangepast. Daarvoor zijn de ervaring en feedback nodig van alle belanghebbenden, waaronder de bedrijfstak, consumenten, autoriteiten voor gegevensbescherming en ENISA. Dit zal hoogstwaarschijnlijk in het bijzonder het geval zijn wat betreft het onderscheid tussen een volledige en een vereenvoudigde privacyeffectbeoordeling, zoals die in het herziene kader worden gedefinieerd. Bovendien wordt de Europese Commissie geacht een verslag voor [te leggen] over de tenuitvoerlegging van deze aanbeveling, de doelmatigheid ervan en de impact ervan op exploitanten en consumenten, met name wat betreft de maatregelen inzake de detailhandelssector. Dat verslag moet drie jaar na de publicatie van de aanbeveling worden uitgebracht, dat wil zeggen in mei 2012. Aangezien het echter wel een half jaar kan duren voor het kader volledig is ingevoerd, zou het wenselijk zijn als alle belanghebbenden meer tijd kregen voor de evaluatie. De Groep wil de Europese Commissie daarom voorstellen de datum voor de publicatie van het verslag uit te stellen, of het verslag drie jaar na de publicatie van dit advies aan te vullen.
4
Zie bijvoorbeeld Advies 5/2000 (WP 175 van 13 juli 2010), en het Working document on data protection issues related to RFID technology (WP 105 van19 januari 2005).
6
3 Conclusie De Groep stemt in met het op 12 januari 2011 voorgestelde herziene kader. Dit kader moet uiterlijk zes maanden na de publicatie van dit advies in werking treden. De privacyeffectbeoordeling is bedoeld om “ingebouwde privacy” te bevorderen, de informatievoorziening aan particulieren te verbeteren en de transparantie en de dialoog met de bevoegde autoriteiten te stimuleren. Aangezien sommige RFID-toepassingen in meerdere lidstaten zullen worden gebruikt, is het van belang dat de privacyeffectbeoordelingsrapporten worden vertaald en in de nationale taal ter beschikking worden gesteld van de bevoegde autoriteiten. De Groep zal steun blijven verlenen aan de verdere dialoog met de bedrijfstak over verbeteringen en verduidelijkingen van de structuur en de tenuitvoerlegging van het privacyeffectbeoordelingskader voor RFID-toepassingen, zoals die op basis van de ervaringen en de feedback van alle belanghebbenden tot stand komen.
7