Journalist Brenno de Winter houdt zich al tientallen jaren bezig met ict en schrijft met name over privacy- en beveiligingsgerelateerde onderwerpen, onder andere voor Webwereld.nl en Nu.nl. Meer weten over dit onderwerp of de auteur? Scan deze QR code en vind via je smartphone volop extra informatie.
Privacy in het
internettijdperk
Privacy in het internettijdperk
In de strijd om de klant wordt het steeds belangrijker te weten met wie we zaken doen. Daarom wordt steeds meer geregistreerd van relatie in sociale netwerken tot gedrag op de website en van interesse in producten tot allerhande communicatie. Waar dat vroeger in stilte gebeurde, begint ook de burger steeds bewuster van zijn positie te worden en de rechten die de Wet bescherming persoonsgegevens biedt. Privacy wordt regelmatig onder maatschappelijk verantwoord ondernemen geschaard, waarbij het maken van verantwoorde keuzes voorop staat. De vraag is alleen hoe werkt dat in de praktijk, want veel computersystemen zijn daar nog niet op bedacht. Wat moet een onderneming doen, wat kan het doen en hoe verschuift u privacy van gedachte achteraf naar iets wat reeds in het ontwerp kunt meenemen. Dit boek biedt u een praktische handreiking.
Brenno de Winter
Privacy in het internettijdperk
Brenno de Winter ISBN
978 90 125 8241 4
NUR
988
SDU_PRIVACY en INTERNET_def.indd 1
www.academicservice.nl
7-3-11 13:10
Privacy in het internettijdperk Brenno de Winter
Inhoud Voorwoord 1
2
3
7
Inleiding
11
1.1 1.2 1.3 1.4
11 17 21 23
De problematiek Wat zijn persoonlijke gegevens? Verwerking van persoonsgegevens en de betekenis ervan Minder opslaan, minder zorgen
Privacy als opeisbaar recht
25
2.1 2.2 2.3 2.4 2.5
25 27 30 35 36
Privacy als fundamenteel mensenrecht Privacy in de Verenigde Staten Privacy in Canada Europese regelgeving – richtlijn 95/46 Privacy in landen buiten de Europese gemeenschap
De Wet bescherming persoonsgegevens
49
3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9
49 52 52 57 60 61 63 65 79
Toepasbaarheid De verantwoordelijke en de verwerker Eisen aan het verwerken van persoonsgegevens Grondslagen voor verwerking van persoonsgegevens Voorwaarden voor het verwerken van persoonsgegevens De gedragscode De privacyfunctionaris De meldingsplicht bij CBP of privacyfunctionaris Informatievoorziening aan betrokkene
5
4
Privacy by Design
85
5
De beveiliging van gegevens
89
6
7
Uitgangspunt 1: Beveiliging is niet ingewikkeld, wel interessant Uitgangspunt 2: Complexiteit leidt tot onveiligheid Uitgangspunt 3: Geen ‘ security through obscurity’ Uitgangspunt 4: Beveiliging en aanval verplaatsen zich steeds Uitgangspunt 5: Beveiliging: de zwakste schakel zoeken Uitgangspunt 6: Functiescheiding is een must Uitgangspunt 7: Alleen problemen zijn een probleem Uitgangspunt 8: Beveiliging is vertraging Uitgangspunt 9: Classificatie is een must Uitgangspunt 10: Altijd gezond verstand voorop Uitgangspunt 11: Beveilig in lagen Uitgangspunt 12: Zorg voor alternatieven Uitgangspunt 13: Beveiliging is economie Uitgangspunt 14: Beveiliging is belangen afwegen Uitgangspunt 15: Geen beveiliging zonder controle Uitgangspunt 16: Geen beveiliging zonder vertrouwen
90 93 94 98 100 102 103 106 108 109 110 113 115 129 129 131
De Big Five van de beveiliging
133
6.1 6.2 6.3 6.4 6.5
133 135 139 140 141
Beschikbaarheid Authenticatie Autorisatie Integriteit Onweerlegbaarheid
Privacybescherming op de werkplek en van de eigen computer
145
7.1 7.2 7.3 7.4 7.5
145 146 146 147 147
Versleutel, versleutel, versleutel Gebruik een proxy Gooi de gsm weg Ga weg van huis Versleutel ook het internetverkeer
Afkortingen en begrippen Nuttige en informatieve organisaties en websites Register
6
149 151 155
PRIVACY IN HET INTERNETTIJDPERK
Voorwoord Jarenlang was de teneur binnen de informatie- en communicatietechnologie dat de mogelijkheden schier onbegrensd zijn en dat gegevensopslag ongebreideld kan plaatsvinden. De internettende burger lijkt dan ook alles wat maar enigszins mogelijk is online te zetten. Nederland was een van de voorlopers op dit gebied en de honger naar data lijkt er groter te zijn dan in de ons omringende landen. Privacy was lange tijd een witte vlek op de ICT-kaart, veiligheid en commercie stonden voorop. Maar er lijkt een kentering gaande, waarbij overheden en bedrijven steeds vaker ter verantwoording worden geroepen. Wat voorheen onbesproken bleef, roept inmiddels een veelheid aan vragen op: wat gebeurt er nou precies met de opgeslagen gegevens, waarom wordt dat niet uitgelegd, wie heeft er toegang tot de informatie, waarom is opslag eigenlijk nodig, wat zijn er de gevolgen van, hoe effectief is het? De maatschappij stelt kritische vragen en begint zich ervan bewust te worden dat overheden en bedrijven wel veel van burgers weten, maar dat andersom er een schimmige sfeer heerst die de machtsverhoudingen ernstig verstoort. Al kunnen niet veel mensen dit duiden, toch leidt het tot weerstand. Het activisme op privacygebied lijkt toe te nemen, politici in zowel Nederland als de rest van Europa zetten vraagtekens bij de huidige ontwikkelingen en gaan niet zomaar meer akkoord met hoe er in deze tijd met persoonlijke gegevens wordt omgegaan. Maar misschien het meest opvallend is nog wel dat mensen vaker hun gegevens bij bedrijven of overheden opvragen en dat doen met de wet in de hand.
7
Privacy is niet langer een academische discussie, maar een praktisch probleem, dat burger en klant bezighoudt. Wie denkt nog weg te komen met een verklaring dat alles goed geregeld is, de privacy serieus wordt genomen en dat dit ‘in ieders belang’ is, onderschat de realiteit. Het probleem grijpt in op het functioneren van de informatiemaatschappij en alle systemen die daar een onderdeel van vormen. Hoe bedrijfsvoering vorm krijgt zal de komende jaren ook door dit debat worden gevormd, en wie daar geen rekening mee houdt riskeert ingrijpen door een rechtbank of justitie. Ofwel: iedereen die iets met persoonlijke gegevens doet, moet bij het ontwerpen en inrichten van applicaties terdege over het privacyvraagstuk nadenken. Dit boek wil de problematiek praktisch benaderen door het zakelijk probleem van verschillende kanten te benaderen en met praktische suggesties te komen. Het gaat daarbij niet om de academische discussies rond privacy en gegevensbescherming, maar veel meer om de gevolgen van de regelgeving, de dagelijkse praktijk en de technologie voor de bedrijfsvoering. Dat krijgt ook vorm door bijvoorbeeld nadrukkelijk stil te staan bij beveiliging, een verplichting voortvloeiend uit de privacyregelgeving. Daarbij gaat het niet alleen om de inrichting van de eigen omgeving, maar ook om het beschermen van de eigen werkplek. Niets werkt namelijk beter dan voor uzelf iets goed regelen, zodat u zich continu bewust bent van risico’s en mogelijke problemen. Het boek is dan ook een handreiking om een complexe discussie om te zetten naar in de praktijk toepasbare stappen, zodat enerzijds doelstellingen wel te halen zijn en anderzijds aan de wensen in de maatschappij tegemoet kan worden gekomen. Het debat omtrent privacy is verhit en ik wil me met dit boek daarin niet mengen. Centraal in deze uitgave staat dat er een recht op de bescherming van de persoonlijke levenssfeer bestaat en dat het zowel organisatorisch als technisch goed mogelijk is dat vorm te geven en ook te toetsen. Wel beoog ik organisaties te inspireren slimmer om te gaan met data, waardoor er minder opgeslagen wordt en wat wordt opgeslagen effectief is in te zetten. Het boek is bedoeld te helpen met nadenken over de problematieken, de complexiteiten rond goede gegevensbescherming, de ingewikkeldheid van een internetomgeving en hoe hier toch goed mee kan worden omgegaan, en vooral hoe de wet praktisch vorm kan krijgen in een organisatie. Zoiets slaagt alleen als er veel anekdotes en voorbeelden worden gegeven en ook daartoe doe ik
8
PRIVACY IN HET INTERNETTIJDPERK
een poging u goed te bedienen. Hopelijk voorkomt dat – als het goed wordt omgezet naar de praktijk van alle dag – onnodige irritatie, beschermt het de belangen van iedereen en bespaart het veel kosten. Brenno de Winter Ede, voorjaar 2011
VOORWOORD
9
1 Inleiding 1.1
De problematiek Wat nou precies ‘privacy’ is valt niet goed te zeggen. Bij benadering komen er wel termen op, maar ook in het recht blijkt keer op keer dat dit begrip aan discussie onderhevig is. Toch is een goede begripsomschrijving wel belangrijk om daarmee te kunnen a akenen welke data extra bescherming verdienen en welke niet. Dit kan soms extra ingewikkeld zijn als de scheidslijn tussen publiek belang en persoonlijk belang niet helder is. Vaak wordt bijvoorbeeld het salaris gezien als iets uit de persoonlijke levenssfeer, maar dat geldt niet voor iedereen. Wie bijvoorbeeld werkt op kosten van de belastingbetaler, moet zich aan de Balkenendenorm houden en dus is het gebruikelijk dat topfunctionarissen uit de publieke sector hun salaris openbaar maken. Ook van het koningshuis wordt dat inmiddels gezien als iets van persoonlijk belang. Een informatie verzoek van RTL werd daarom ook afgewezen. Uiteindelijk is door publieke druk besloten het toch openbaar te maken. In Noorwegen is het salaris standaard publieke kennis en kunnen mensen op een website van de overheid zien welk bedrag precies de buurman aan de fiscus opgeeft. Culturele invloed Er zit dus een cultureel element in het begrip persoonlijke levenssfeer, want ook de Noren hebben net als wij het recht op privacy vastgelegd in hun wetgeving. Dat is overigens niet in alle westerse landen zo. De Verenigde Staten bijvoorbeeld hebben dat recht niet als zodanig in hun wetgeving verankerd, maar kennen het principe wel. De grondslag hiervoor is verstopt in hun grondwet, waar in het vierde amendement is geregeld dat een arrestatie, inbeslagname of doorzoeking alleen onder waarborgen mag gebeuren. Zij geven
11
de bescherming van de persoonlijke levenssfeer vorm door te spreken over een ‘redelijke verwachting van privacy’ (reasonable expectation of privacy). Dit krijgt sinds 1967 op twee manieren vorm. Ten eerste is er de objectieve privacy. Hieronder vallen die zaken waarvan de maatschappij vindt dat het persoonlijke informatie betreft. Zoiets is geen vaststaand begrip, maar heel erg a ankelijk van de tijdsgeest. Daarnaast bestaat er de subjectieve privacy, waarbij iedere persoon zelf bepaalt of iets privacybescherming verdient of niet. Belangrijk is te beseffen dat dit door middel van rechterlijke uitspraken is opgebouwd en dus geen recht is dat sterk in een grondwet is geborgd, zoals dat in Europa het geval is. Toch is dit wel een realiteit waarmee we moeten leren omgaan, want op internet bestaan grenzen niet en functioneert software al helemaal niet cultureel bepaald. Wie dus wat op een website ingeeft, riskeert dat de privacy mogelijk onderwerp van discussie is. Wie voor de e-mailvoorziening vertrouwt op bijvoorbeeld KPN, kan rekenen op Nederlandse rechtsbescherming, terwijl dat bij Microsoft’s Live.com veel minder het geval is. Van die dienst staan de servers niet in Nederland en dus is het al minder duidelijk onder welke regelgeving hun diensten precies vallen. Bij Google’s Gmail is dat al niet veel duidelijker. Dit Amerikaanse bedrijf heeft weliswaar zijn servers in Groningen staan, maar dat wil nog niet zeggen dat de mail van een Nederlandse gebruiker ook daar bewaard wordt. In de zakelijke praktijk is het evenmin al lang niet meer zo dat persoonlijke gegevens van zelfs Nederlandse bedrijven of overheden nog in Nederland bewaard worden. Uitkeringsinstelling UWV verplaatste belangrijke servers van Nederland naar een datacenter van het Amerikaanse IBM in Brussel. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties vertrouwt een Frans bedrijf het verwerken van vingerafdrukken toe, terwijl bij de waterschapsverkiezingen wederom de Fransen een cruciale rol bij het elektronisch tellen van de stemmen spelen. Allemaal landen met een eigen wetgeving en eigen regelgeving om bijvoorbeeld geheime diensten toegang tot informatie te verschaffen, en allemaal naties met een eigen visie op het begrip privacy. Wie daar goed mee wil omgaan, zal terdege moeten nadenken hoe de bedrijfsvoering te regelen.
12
PRIVACY IN HET INTERNETTIJDPERK
Historische invloeden Ook de historie kan bepalen waar burgers de grens voor privacy leggen. Als gevolg van de Tweede Wereldoorlog en de tweedeling in Duitsland valt op dat onze oosterburen voorzichtiger omgaan met gevoelige gegevens. Een veel gehoord argument daarbij is dat de registratie van religie, bedoeld voor dienstverlening aan de burgers, door het naziregime werd misbruikt voor etnische zuiveringen. Vooral de Oost-Duitse historie met een doorschietende overheid in de vorm van de Stasi ligt daar heel gevoelig. Kenmerkend daarbij is dat de dossiervorming rond burgers ook tégen die burgers werd ingezet. Het vergaren van gegevens was dan ook niet bedoeld om een betere dienstverlening mogelijk te maken, maar juist om de bevolking beter in de gaten te kunnen houden. Waar in Nederland geen massale weerstand bestaat tegen maatregelen die als privacyonvriendelijk zijn te interpreteren, gaan de Duitsers nog massaal de straat op om te demonstreren. Wie dus dienstverlening aanbiedt en Duitse klanten zich welkom wil laten voelen, zal goed moeten nadenken over opslag en gebruik van gegevens. Zo kon het daar ook gebeuren dat er veel weerstand groeide tegen de verzameldrift van Google’s Streetview. Er wordt daar zelfs overwogen met gerechtelijke stappen te proberen het fotograferen van de openbare ruimte tegen te houden, waardoor de zoekgigant uiterst terughoudend is met het in kaart brengen van Duitse straten. Op het moment van schrijven functioneert Google Streetview er niet en behelpt het bedrijf zich met het plaatsen van reguliere foto’s van mensen. Op hetzelfde moment is Nederland geheel of nagenoeg geheel te bekijken. Effectief betekent dit dat het grote publiek in Duitsland een grotere mate van privacy heeft dan in Nederland, waarbij het overigens de vraag is of dit daadwerkelijk toegevoegde bescherming biedt. Functioneel betekent dat bijvoorbeeld dat Google’s routeplanner in Duitsland herkenningspunten niet goed kan laten zien en dus minder houvast biedt aan mensen die de weg zoeken.
Das Leben der anderen Een indrukwekkende weergave van een deel van de Duitse geschiedenis is de film Das Leben der Anderen, winnaar van de Oscar voor de beste buitenlandse film in 2007. In dit werk van Florian Henckel von Donnersmarck wordt een beeld geschetst van het functioneren van de Oost-Duitse Staatssicherheit of Stasi (een
1 INLEIDING
13
combinatie van een geheime dienst en politieorganisatie). De film laat zien hoe de overheid zeer intensief alles in kaart brengt van een burger die ze verdenken van anti-Oost-Duitse activiteiten en welke consequenties dat voor iedereen heeft.
De Nederlandse historie zit iets anders in elkaar en dat betekent dat de Tweede Wereldoorlog weliswaar ook voor privacyargwaan heeft gezorgd, maar dat deze minder krachtig is dan bij onze oosterburen. In de loop der tijd is in Nederland vooral een keuze gemaakt voor de verzorgingsstaat. Hierdoor is er een grotere rol voor de overheid weggelegd dan gebruikelijk is in veel andere landen, waardoor veel taken als vanzelfsprekend bij de staat liggen. De burger is eraan gewend geraakt dat met die rol ook bureaucratie en administratie meekomen, waarbij er vertrouwen is dat dat wel correct zal gebeuren. Er zijn incidenten, maar die worden gezien als individuele gevallen en niet als het gevolg van een voor iedereen voelbare probleemsituatie. Die houding heeft in de Nederlandse cultuur een sfeer gecreëerd van ‘als je niets te verbergen hebt je ook niets te vrezen’.
Legitiem lekken aan criminelen Dat mensen die niets te verbergen hebben wel iets te vrezen hebben bleek in 2009 uit een uitzending van het actualiteitenprogramma NOVA. Zij toonden hoe criminelen soms zeer gedetailleerde informatie over wildvreemde burgers in bezit krijgen als onderdeel van een strafdossier. In een serieuze zaak is zo’n dossier behoorlijk uitgebreid, omdat de opsporingsbevoegdheid van politie en justitie nu eenmaal heel groot is. In een beetje strafrechtelijk onderzoek passeert dan ook de nodige informatie de revue. Van toevallige passanten met een auto tot gebruikers van een geldautomaat. In menig dossier worden ook die mensen doorgelicht en dan kan het gebeuren dat naast de standaardgegevens als naam, adres en woonplaats ook meteen blootligt welke bezittingen iemand heeft, wat zijn schulden zijn en mogelijk ook meer. De burger die dit overkomt heeft in de meeste gevallen geen enkele weet van het feit dat deze informatie door de overheid aan criminelen wordt verstrekt. Om verdachten een eerlijk proces te gunnen, moeten zij kennis kunnen nemen van de informatie, gegevens kunnen controleren en zich tegen beschuldigingen of verbanden kunnen weren. Toch is het juist die informatie waar criminelen vaak
14
PRIVACY IN HET INTERNETTIJDPERK
naar op zoek zijn. Veel aanvallen op internet zijn er juist op gericht mensen dit soort gegevens te ontfutselen om daarmee identiteitsdiefstal mogelijk te maken. Deze informatie, zeker als ze mede afkomstig zijn van een geldautomaat, brengt een digitale beroving een stap dichterbij. In de uitzending van NOVA vertelt advocaat Peter Plasman hoe een bende Nigerianen actief is om juist met standaardgegevens een nieuwe bankpas aan te vragen. Na aankomst hengelen ze die pas vervolgens uit de brievenbus. “Nu geeft justitie dergelijke informatie over toevallig passerende derden gewoon weg in het dossier tegen mijn cliënt. Dat is ook geen fout of een incident. Het gaat er tegenwoordig systematisch in, standaard. Wij advocaten roepen natuurlijk ook altijd dat we alles moeten kunnen zien wat de politie heeft onderzocht, maar ergens is het toch niet meer relevant, zou je denken. Ik ben behalve advocaat ook burger, en hik er toch wel tegenaan dat dit soort informatie zo rondslingert”, vertelt hij dan ook in het programma.
Big Brother-complex Iemand die al zestig jaar lang, tot op de dag van vandaag, de discussie rond privacy mede beïnvloedt is zonder enige twijfel Eric Arthur Blair, beter bekend onder zijn pseudoniem George Orwell. Deze schrijver en journalist publiceerde diverse boeken waarin hij zich keerde tegen sociale onrechtvaardigheid en vooral de dreiging van totalitaire regimes, waarvan 1984 het bekendst is. De term ‘Big Brother’ en de uitspraak ‘Big Brother is watching you’, die daarin wordt geïntroduceerd, zijn inmiddels gevleugelde begrippen geworden. Orwell begon aan zijn meesterwerk in 1944, maar schreef het meeste in de periode 1947-1948, dus aan het einde en vlak na de Tweede Wereldoorlog. Het thema van 1984 is een totalitaire staat, bestaande uit slechts vier ministeries. Allereerst is er het Ministerie van Vrede, gericht op het voeren van oorlog. Vervolgens het Ministerie van Veel (Engels: Plenty) waar de zorg voor het bestaan van afdoende voedsel is geregeld. Ook is er het Ministerie van Waarheid, waar de informatievoorziening wordt gemanipuleerd en historische documenten continu aan de politieke tijdlijn worden aangepast. Tot slot is er het Ministerie van Liefde dat ervoor zorgt dat mensen houden van Big Brother en dat doet middels intensieve monitoring en het arresteren van dissidenten, die vervolgens met geweld worden omgevormd tot trouwe volgelingen van de staat (Big Brother). Precies dat laatste is het onderdeel van het systeem dat het debat rond privacy domineert. Big Brother wil alles – tot gedachten aan toe – weten om daarmee controle hebben. Daarvoor
1 INLEIDING
15
introduceert Blair ook de term ‘gedachtenpolitie’, de ultieme totalitaire controle. Dit vakkundig gecreëerde beeld vormt het schrikbeeld voor veel bezorgde mensen met privacy hoog in het vaandel. Een overheid die te veel kennis van de burger heeft, kan en zal uiteindelijk daarmee invloed willen uitoefenen en zo totalitaire trekjes aannemen. Sommigen beweren dat we het punt van 1984 al bereikt hebben, terwijl anderen dat bestrijden. Van een totalitair regime is immers geen sprake. Wel wijzen meer en meer wetenschappers, advocaten en rechtsdeskundigen erop dat de erosie van privacy de rechtsstaat dreigt te ondermijnen. Overigens schetst Orwell vooral een beeld van een overheid die volledig doorslaat, en laat zien welke mechanismen helpen zo’n staat te creëren. Maar hij schenkt er geen aandacht aan dat er ook privaat-publieke samenwerkingsverbanden zijn en dat ondernemingen soms evenzeer een controlerende invloed hebben op het leven van burgers: bij het aanmaken van registraties rond mobiele telefoonabonnementen bijvoorbeeld, waardoor het verkrijgen van een hypotheek na een achterstallige betaling opeens heel moeilijk kan worden. Het debat rond privacy richt zich anno nu vooral tegen overheden. Maar dat is niet terecht, door de omvang van de ondernemingen wordt ook hun macht over de burger steeds groter en speelt daar eveneens een privacyproblematiek. Bovendien kunnen overheden tegenwoordig nagenoeg alle informatie bij bedrijven vorderen en worden soms data uitgewisseld in het kader van privaat-publieke samenwerking. Een duidelijk voorbeeld is de invoering van het BurgerServiceNummer in de zorg.1 Het beeld dat alleen een Big Brotherstaat het grote schrikbeeld is, lijkt dan ook een te simpele vereenvoudiging van de werkelijkheid. Zolang er niet wordt gewerkt aan een overkoepelend systeem dat privacyregels stelt aan staat én onderneming, zal de discussie niet moeten gaan over de Big Brother-trekjes van de staat, maar juist over haar argeloosheid: de staat die zonder nadenken gegevens verzamelt en slaapwandelt in een richting waarin alles aan alles is te koppelen. Wat er daarna daadwerkelijk gekop-
1
In Nederland is het bij wet geregeld dat het BSN, ofwel het vroegere Sofinummer, wordt gebruikt voor alle handelingen en administratie in de zorg. Het nummer dient dus onder andere voor de administratie rond medische dossiers, verzekeringen, recepten en doorverwijzingen.
16
PRIVACY IN HET INTERNETTIJDPERK
peld wordt is a ankelijk van de politieke wil op een bepaald moment en de waan van de dag – niet van doorwrochte overwegingen. Sommigen vinden de vrees voor een Big Brother-complex die veel mensen hebben, zwaar overdreven, terwijl voor anderen juist evident is dat een dergelijk complex nog wel eens slechts een milde waarschuwing zou kunnen zijn. Hoe het ook zij, Orwell’s schrikbeeld van de totalitaire staat is inmiddels in een niet te onderschatten aantal landen realiteit geworden, en heeft zeker het denken over privacy in hoge mate beïnvloed.
1.2
Wat zijn persoonlijke gegevens? Voordat we kunnen spreken over het verwerken van gegevens, privacy, inrichting van systemen, oplossingen voor problemen en bedreigingen moet duidelijk zijn wat persoonlijke gegevens nu eigenlijk zijn. Dat is immers wat de wetgever van een onderneming verwacht. De Wet bescherming persoonsgegevens (Wbp) geeft een heel brede definitie. Dat is belangrijk, want alleen voor die gegevens geldt een recht op privacy. Artikel 1a van de Wbp zegt daarover: ‘persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Dat zijn dus eigenlijk alle gegevens die iets vertellen over een natuurlijk persoon. In veel gevallen is wel duidelijk dat iets een persoonsgegeven is: naam, bloedgroep, geboortedatum, BurgerServiceNummer (BSN), telefoonnummer, e-mailadres, kleur van de ogen, geslacht, inkomen, vingerafdruk, foto, adres enzovoort. Maar niet altijd is dat even helder. Zo zijn gegevens over een bedrijf geen persoonsgegevens in het algemeen. Maar helemaal zeker is dat ook weer niet. Veel bedrijven zijn eenmanszaken en worden door natuurlijke personen gedraaid. Het inkomen uit die onderneming vloeit direct naar de eigenaar en is dus ook informatie over de persoon. Omdat dergelijke ondernemingen vaak vanuit huis worden gevoerd, is bovendien het werkadres tevens het woonadres. Er is dan dus sprake van persoonsinformatie. Dat dit ingewikkeld is, ontdekten ook de Kamers van Koophandel die gegevens uit het Handelsregister verkopen. Omdat dit persoonlijke gegevens zijn, moet er onderscheid worden gemaakt tussen adresgegevens van bedrijven en die van natuurlijke personen. Die laatsten kunnen zich tegen de doorverkoop verzetten. Bij informatie over bedrijven zijn contactpersonen weer persoonsgegevens.
1 INLEIDING
17
Soms is informatie over een voorwerp ook een persoonsgegeven. Het internetadres bij een computeraansluiting is een persoonsgegeven, omdat het naar een persoon herleidbaar is. Wie dus op een webserver bijhoudt welke bezoekers er zijn en waar die vandaan komen, doet iets met persoonsgegevens. Ook de gebruikte browser, het besturingssysteem vertelt iets over een persoon. Dat lijkt wat vergezocht, maar is dat niet. Apple Macintosh- of Linux-gebruikers bijvoorbeeld zijn er vaak zozeer van overtuigd dat zij het beste besturingssysteem ter wereld hebben, dat hun enthousiasme gepaard gaat met de nodige evangelisatiedrang. In die zin vertelt dat ook iets over hun persoon en dus: persoonsgegeven. De combinatie van computer, browser, geïnstalleerde plug-ins, ingestelde tijdzone, schermgrootte, geïnstalleerde fonts en het feit of cookies aan of uit staan zijn allemaal gegevens die een browser weggeeft. In een aantal gevallen geeft dit alles bij elkaar zo’n uniek en herleidbaar beeld, dat we dat totaal kunnen zien als een vingerafdruk van een computer. De Electronic Frontier Foundation (EFF) maakte een website (https://panopticlick.eff.org) om dit glashelder voor het voetlicht te brengen. De computer van uw auteur bleek uniek te zijn tussen 1,3 miljoen geteste systemen. Wat hier wel iets op kan afdingen is de vraag of een persoon met de gegevens van zijn computer ook echt identificeerbaar is. Dat kan direct aan de hand van bijvoorbeeld de naam, adres of een foto. Dat zijn zogenaamde ‘direct identificeerbare persoonsgegevens’. Bij een BSN, klantnummer, IP-adres, kaartnummer van een OV-chipkaart, telefoonnummer kan dat pas op het moment dat deze gegevens aan andere gegevens worden gekoppeld. Dat zijn dan de ‘indirect identificeerbare gegevens’. Bij die laatste groep is het wel ingewikkelder. Niet in alle gevallen is het namelijk mogelijk een persoon te identificeren aan de hand van een gegeven. Dat komt bijvoorbeeld doordat er geen toegang tot de informatie is die de gegevens identificeerbaar maken. Een BSN hoeft op zichzelf nog niet identificerend te zijn als los getal, omdat niet iedereen toegang tot het register van adressen heeft. Maar overheden en zorgverzekeraars hebben dat wel en dan is het wel identificerend. Ook bedrijven hebben die toegang vaak, omdat ze voor hun personeel bij wet verplicht zijn een kopie van een identificatiebewijs te maken waar het BSN ook op staat. Voor dit type gegevens geldt dan ook dat ze misschien nu nog niet direct herleidbaar zijn, maar dat ze dat op een later moment wel kunnen worden. Het overstappen op een ander computersysteem, het samenvoegen van administraties door bijvoorbeeld een fusie of het toevoegen van gegevens kunnen het karakter van de informatie dus veranderen.
18
PRIVACY IN HET INTERNETTIJDPERK
OV-chipkaart Dat informatie snel kan wisselen tussen identificeerbaar en niet identificeerbaar laat de OV-chipkaart zien. De nummers van de kaarten zijn uniek, maar zeggen los niets over een persoon. Een vervoersbedrijf krijgt bij het verwerken van betalingen immers geen toegang tot de persoonsadministratie met de namen van de klanten. Alleen het kaartnummer en de geregistreerde reis liggen vast. Het vervoersbedrijf kan dus niet zomaar een kaartnummer aan een klant koppelen. Dat verandert als dat nummer door het bedrijf is uitgegeven met een op naam gesteld abonnement, zoals de kortingskaart van de Nederlandse Spoorwegen. Dan is het OV-chipkaartnummer wel informatie die tot de persoon te herleiden is. Datzelfde geldt natuurlijk voor klanten die niet kunnen uitchecken of dat vergeten, waardoor ze gedwongen zijn het vervoersbedrijf van persoonsgegevens te voorzien. Op dat moment wordt de informatie indirect herleidbaar. De gegevensverwerker Trans Link Systems die de OV-chipkaarten uitgeeft, heeft twee databases: eentje met de kaartnummers en de bijbehorende eigenaar (als het geen anonieme kaart betreft) en eentje met een registratie van iedere reisbeweging van de klant. Omdat informatie te koppelen is, zijn dit herleidbare gegevens. Dat koppelen gebeurt ook daadwerkelijk op het moment dat er een transactieoverzicht wordt getoond, gefraudeerd wordt met een kaart of opsporingsinstanties toegang eisen.
Stelregel: Alles wat op een persoon betrekking heeft en die persoon identificeerbaar maakt, kan worden gezien als een persoonsgegeven. Naast directe en indirecte persoonsgegevens is er voor de wetgever nog een aparte categorie persoonsgegevens: de bijzondere persoonsgegevens. Dit zijn de meer gevoeligere zaken zoals politieke gezindheid, geloofsovertuiging, levensovertuiging, ras, gezondheid (dus ook medische gegevens), seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke informatie. Dit soort gegevens mag niet zomaar worden verwerkt, en als het al mag, dan gelden daar aanvullende voorwaarden bij. Het lijkt misschien onwaarschijnlijk dat bedrijven veel van deze bijzondere persoonsgegevens opslaan, maar het tegendeel is waar. Ieder bedrijf verwerkt bijzondere persoonsgegevens, een foto bijvoorbeeld valt al in deze categorie. Die laat immers zien welk ras een persoon heeft en is door de rechter daarom bestempeld als rasseninformatie.
1 INLEIDING
19
Wie dus een personeelsadministratie voert, camerabeelden bewaart of een kopie van een legitimatiebewijs maakt voor een creditcardtransactie, verwerkt bijzondere persoonsgegevens. Ook een ledenlijst van een vereniging, gewoonlijk ‘normale persoonsgegevens’, wordt bijzonder op het moment dat het bijvoorbeeld een kerkgenootschap betreft. Dat dit een struikelblok voor meer organisaties is dan alleen bedrijven ontdekte het Openbaar Ministerie. Na een verkrachting bestond het vage vermoeden dat de verdachte wel eens een metro zou kunnen hebben genomen. Daarom vorderde justitie in 2007 – dus voor de brede invoering van de OV-chipkaart – informatie uit de OV-chipkaartdatabase. Het eiste zonder een machtiging van de rechter-commissaris informatie over het in- en uitchecken van alle mensen gedurende twee uur bij twee metrostations. Niet alleen moest gegevensverwerker Trans Link Systems de transactie-informatie verstrekken, maar ook data over op naam gestelde OV-chipkaarten inclusief de foto van de klant, die het bedrijf bewaart om een nieuwe kaart te maken. Met dat laatste had de onderneming moeite en wees erop dat dit bijzondere persoonsinformatie betrof. De rechter stelde het bedrijf in het gelijk en het OM had het nakijken. Die laatste kon maar niet verkroppen dat een rechter een toets moet uitoefenen en stapte naar de Hoge Raad, die heel duidelijk uitlegde hoe bijzondere persoonsgegevens zijn beschermd en hoe wel moet worden gehandeld: “Uit de wetgeschiedenis volgt dat niet alleen gegevens die direct het ras van een persoon betreffen, maar ook gegevens waaruit informatie over het ras van een persoon kan worden afgeleid, zoals een foto van een persoon, als ‘gevoelige’ informatie moet worden aangemerkt, die door de Officier van Justitie slechts kan worden gevorderd op de voet van de art. 126nd en 126nf Sv, dus na daartoe door de rechter-commissaris verleende machtiging.”2 Dat het OM niet op zoek was naar rasseninformatie wordt vervolgens door de Hoge Raad – zonder uit te leggen of dit waar is of niet – keihard neergesabeld:
2
Uitspraak Hoge Raad 23 maart 2010, LJN: BK6331, Uitspraak rechtbank 2 juni 2008, Rechtbank Rotterdam, sector Strafrecht, Raadkamernummer: 07/956.
20
PRIVACY IN HET INTERNETTIJDPERK
“Het middel berust op de opvatting dat in een geval als het onderhavige, waarin de vordering uitdrukkelijk ook betrekking had op foto’s van personen, toepassing van genoemde bepalingen alleen in aanmerking komt indien met de vordering is beoogd de desbetreffende gevoelige informatie aan die foto’s te ontlenen. Die opvatting is onjuist, zodat het middel faalt.” Samenvattend: Bijzondere persoonsgegevens krijgen dus echt meer bescherming dan andere persoonsgegevens. Daar moet dus ook voorzichtig mee worden omgesprongen.
1.3
Verwerking van persoonsgegevens en de betekenis ervan Zo complex als het begrip persoonsgegeven kan zijn, zo eenvoudig is de definitie of er sprake is van verwerking van persoonsgegevens. Als dat het geval is dan moet u zich in veel gevallen aan de regels houden die in de Wet bescherming persoonsgegevens gesteld zijn en dat betekent dat u verplichtingen heeft naar mensen toe. De stelregel is: zodra u maar iets doet dat op informatie betrekking heeft, van bewerking tot opslag en alles wat daarbij maar denkbaar is, betekent dat dat u persoonsgegevens verwerkt. In de Wbp is dat gedefinieerd in artikel 1b: ‘verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’. In de praktijk is dat al snel het geval. Wanneer er vervolgens aan die verwerking een computer te pas komt, is de Wbp van toepassing. In andere gevallen niet. Dus wie gegevens op papier bijhoudt en dat ook alleen doet voor papieren gebruik – adressen in een kaartenbak bijvoorbeeld – hoeft niet aan de wet te voldoen. Maar zodra een lijst met verwijzingen of stukken administratie in een computer worden verwerkt, geldt de wet wel. Zo valt een papieren kaartenbak die wordt bijgehouden met het doel hem later in de computer in te voeren weer wél onder de paraplu van de Wbp.
1 INLEIDING
21
Die beperking staat in artikel 2, eerste lid van de Wet: ‘Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.’ Ook hier komt het weer aan op de kleine lettertjes en gaat het dus om de definitie van het woord bestand. Dat is in de wet (artikel 1, lid c) beschreven als ‘elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen’. Het gaat er dus om hoe bij de gegevens kan worden gekomen, dat het over meerdere mensen gaat en verder maakt het niet uit in welke vorm het is opgeslagen. Ook niet wanneer bijvoorbeeld informatie over meerdere databases is verdeeld, omdat het volgens deze definitie nog steeds een bestand is. Toch valt niet alles daarmee onder de Wbp. In het tweede en derde lid van artikel 2 staan enige uitzonderingen, wanneer de wet niet van toepassing is. Dat is in een aantal gevallen, die we hieronder langslopen zoals ze ook in de wet staan. Uitgezonderd zijn die gevallen: a. waar iets voor persoonlijke of huishoudelijke doelen wordt bijgehouden. Dat is bijvoorbeeld een adressenbestand om de jaarlijkse kerstkaarten te sturen of de persoonlijke telefoonlijst in de mobiele telefoon; b. waar de administratie dient voor de inlichtingen- of veiligheidsdiensten. Organisaties als de AIVD en MIVD moeten zich wel aan regels houden maar vallen daarvoor onder andere wetgeving dan de Wbp. Met dit onderdeel kunnen bedrijven te maken krijgen als informatie wordt gevorderd. Er is namelijk onder normale omstandigheden een plicht om mensen te informeren als informatie over hen aan anderen worden doorgegeven. Maar met een vordering die buiten de Wbp valt, is die plicht er dan niet; c. waar het, in bepaalde gevallen, opsporingstaken van de politie betreft (handhaven van de rechtsorde en de bijzondere taken van de Koninklijke Marechaussee); d. waar het de gemeentelijke basisadministratie betreft (GBA) en dat in een andere wet is geregeld; e. wanneer het om strafvordering gaat ofwel het doen van strafrechtelijk onderzoek en vervolging. Ook met dit onderdeel kunnen bedrijven te maken krijgen als informatie wordt gevorderd, om dezelfde reden als het
22
PRIVACY IN HET INTERNETTIJDPERK
geval was bij de inlichtingen- en veiligheidsdiensten: de plicht die onder normale omstandigheden bestaat om mensen te informeren als informatie over hen aan anderen worden gegeven vervalt wanneer het niet om een vordering op basis van de Wbp gaat; f. waar de gegevens worden verwerkt voor het houden van verkiezingen die onder de Kieswet vallen. Dat betekent dus dat de waterschapsverkiezingen niet zijn uitgezonderd, omdat die niet onder de Kieswet vallen. In het derde lid is de krijgsmacht (het leger) uitgezonderd als de Minister van Defensie dat beslist om zo de internationale rechtsorde te bewaken. Concreet betekent dit in het normale zakelijke verkeer in bijna alle gevallen de verwerking van persoonsgegevens wel onder de Wbp valt en dus aan allerlei regels moet voldoen. Daarop komen we later in het boek terug.
1.4
Minder opslaan, minder zorgen Zonder nu meteen in te gaan op de vraag hoe systemen wel of niet moeten worden ingericht, valt al wel op dat behoorlijk wat gegevens als persoonsgegevens of zelfs bijzondere persoonsgegevens vallen aan te merken. De kans dat deze worden verwerkt is ook behoorlijk groot en dat betekent dat als snel invulling moet worden gegeven aan allerhande verplichtingen van de Wbp. Daarbij is het zo dat niet alleen aan de bescherming moet worden gedacht, maar ook aan vragen als wie er toegang tot de informatie krijgt, hoe dat verstrekken verloopt en onder welke voorwaarden. Het loont daarom de moeite eens na te denken over de zin van de gegevensverwerking en of alle informatie wel echt noodzakelijk is. In veel situaties wordt opslag geregeld volgens het principe ‘wie wat bewaart, die heeft wat’. Dat dat uitgangspunt vaak tot de nodige hoofdbrekens leidt is wel zeker, maar heeft het ook meerwaarde? Is meer wel beter, of houdt meer alleen maar meer hoofdbrekens in? Een belangrijk argument voor de verwerking van persoonsgegevens is het gebruik van informatie voor marketingdoeleinden. Mailen leidt tot een hogere omzet en er is een directe relatie tussen een verstuurde brief, folder, e-mail en omzet. Toch is dat niet de enige methodiek die werkt, want er is merkbaar een groeiende weerstand tegen de ongelooflijke hoeveelheid spam die elke computer vervuilt. Wat ooit begon met Ja/Nee-stickers op de brievenbus, zijn nu steeds strakker afgestelde spamfilters. Ook komen er meer en
1 INLEIDING
23
meer hulpmiddelen om het ontvangen van ongevraagde reclame in een webbrowser of e-mailbox tegen te gaan. De effectiviteit van deze vorm van marketing lijkt op z’n minst een debat waard te zijn. Ook dienen bedrijven zich aan die zich juist op hun bescherming van de privacy laten voorstaan. Dat zijn specialistische organisaties als de zoekmachine Ixquick tot multinationals als Microsoft. Die laatste ziet dat als voordeel voor de browsersoftware ten opzichte van concurrenten. Het marketingadagium om zo veel mogelijk te weten komen over klanten negeert ook een regel uit de beveiliging: meer informatie maakt organisaties niet altijd slagvaardiger. Het is niet de hoeveelheid maar de kwaliteit van de informatie die de waarde bepaalt. Ook geheime diensten en opsporingsinstanties worstelen daarmee. Bij een te grote hoeveelheid aan gegevens zal altijd informatie moeten worden genegeerd om tot resultaat te komen. Dat zagen we bijvoorbeeld bij de AIVD, die in een zeer grootschalig onderzoek de gegevens van Mohammed B. als niet interessant genoeg ter zijde schoof. Een cruciale fout in het schiften van informatie, want later zou hij de moordenaar van Theo van Gogh blijken te worden. Misschien een blunder van megaformaat, maar net zo gemakkelijk op te vatten als een logische fout die het gevolg is van slecht gekozen criteria om informatie te filteren. Onderzoek heeft ook al laten zien dat het idee dat meer informatie altijd voor een grotere effectiviteit zorgt, niet blijkt te kloppen. Hetzelfde geldt voor het bedienen van klanten, waar het ten toon spreiden van wat de klant ziet als te veel kennis, zelfs afstotend kan werken. Met dat alles in het achterhoofd kan het verstandig zijn nog eens kritisch naar de strategie van de onderneming te kijken. De centrale vraag is daarbij dan logischerwijs of alle bewaarde informatie echt zo noodzakelijk is dat opslag nodig en vooral productief is. De problemen rond het invulling geven aan de wetgeving, zoals verder in dit boek zal blijken, zullen behoorlijk afnemen. Hoe plat het ook klinkt: informatie die niet wordt opgeslagen, kan niet worden opgevraagd, gestolen en hoeft dus niet worden aangemeld bij toezichthouders en te worden beveiligd.
Journalist Brenno de Winter houdt zich al tientallen jaren bezig met ict en schrijft met name over privacy- en beveiligingsgerelateerde onderwerpen, onder andere voor Webwereld.nl en Nu.nl. Meer weten over dit onderwerp of de auteur? Scan deze QR code en vind via je smartphone volop extra informatie.
Privacy in het
internettijdperk
Privacy in het internettijdperk
In de strijd om de klant wordt het steeds belangrijker te weten met wie we zaken doen. Daarom wordt steeds meer geregistreerd van relatie in sociale netwerken tot gedrag op de website en van interesse in producten tot allerhande communicatie. Waar dat vroeger in stilte gebeurde, begint ook de burger steeds bewuster van zijn positie te worden en de rechten die de Wet bescherming persoonsgegevens biedt. Privacy wordt regelmatig onder maatschappelijk verantwoord ondernemen geschaard, waarbij het maken van verantwoorde keuzes voorop staat. De vraag is alleen hoe werkt dat in de praktijk, want veel computersystemen zijn daar nog niet op bedacht. Wat moet een onderneming doen, wat kan het doen en hoe verschuift u privacy van gedachte achteraf naar iets wat reeds in het ontwerp kunt meenemen. Dit boek biedt u een praktische handreiking.
Brenno de Winter
Privacy in het internettijdperk
Brenno de Winter ISBN
978 90 125 8241 4
NUR
988
SDU_PRIVACY en INTERNET_def.indd 1
www.academicservice.nl
7-3-11 13:10
