mr. H.J.M. Gardeniers CHIPCARDS EN PRIVACY TEN GELEIDE Regels voor een nieuw kaartspel Achtergrondstudies en Verkenningen 6

R e g i s t r a t i e k a m e r

mr. H.J.M. Gardeniers

CHIPCARDS EN PRIVACY

TEN GELEIDE

Regels voor een nieuw kaartspel

Achtergrondstudies en Verkenningen

6

mr. H.J.M. Gardeniers

CHIPCARDS EN PRIVACY Regels voor een nieuw kaartspel

Achtergrondstudies en Verkenningen 6

Registratiekamer, september 1995 ISBN 90 346 322 37

Ten geleide

De Nederlandse burger zal de komende jaren te maken krijgen met een reeks van chipcards: ‘slimme kaartjes’ die in diverse sectoren en voor uiteenlopende toepassingen zullen worden gebruikt. De strekking van deze studie is dat de invoering van chipcards alleen verantwoord is als tijdig is nagedacht over effectieve privacy-waarborgen en de nodige maatregelen daadwerkelijk zijn genomen. Bij de introductie van chipcards zal rekening moeten worden gehouden met de internationaal aanvaarde beginselen van privacy-bescherming. De implicaties van deze – in de Wet persoonsregistraties en de Europese richtlijn bescherming persoonsgegevens vastgelegde – beginselen voor het gebruik van chipcards worden in deze publikatie beschreven. Deze studie besteedt ook aandacht aan de zelfregulering op dit terrein via gedragscodes, een uitgelezen manier om een praktische invulling te geven aan de privacy-beginselen. In een afzonderlijk advies van de Registratiekamer aan de Minister van Volksgezondheid, Welzijn en Sport wordt de aanvullende normering voor chipcards in de gezondheidszorg geschetst. Deze achtergrondstudie is een uitvloeisel van de aan de Registratiekamer wettelijk opgedragen taak als toezichthouder en expertisecentrum op het terrein van de informationele privacy. De Registratiekamer wil niet alleen reageren op signalen van onvrede, maar kritisch meedenken over centrale ontwikkelingen in de informatiesamenleving. Meer dan voorheen rekent de Registratiekamer het tot haar taak om de toepassingen van technologische ontwikkelingen zo te beinvloeden en bij te sturen dat privacyprincipes daarin geintegreerd worden. Het naleven van de privacybeginselen is ook van essentieel belang voor de maatschappelijke aanvaardbaarheid van deze nieuwe technologie. Omdat de chipcard-technologie zich op een zeer breed terrein zal manifesteren, verdient dit rapport mijns inziens veel lezers. Ik vertrouw erop dat deze studie zal bijdragen aan een zorgvuldige omgang met persoonsgegevens via dit nieuwe medium.

mr. P.J. Hustinx Voorzitter van de Registratiekamer

<

VORIGE

INHOUD

VOLGENDE

>

Publikaties in de serie Achtergrondstudies en Verkenningen zijn het resultaat van onderzoeken uitgevoerd door of in opdracht van de Registratiekamer. Met het uitbrengen van de publikaties beoogt de Registratiekamer de discussie en meningsvorming te stimuleren over ontwikkelingen in de samenleving waarin de persoonlijke levenssfeer van de burger in het geding is.

Chipcards en privacy - Regels voor een nieuw kaartspel, (c) Registratiekamer, Rijswijk, 1995

Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotocopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van de Registratiekamer. ISBN 90 346 3223 7 druk: Sdu Grafisch Bedrijf

Inhoud

1

Inleiding

1

1.1 Technologische ontwikkelingen 1.2 Privacy-regelgeving en technologische ontwikkelingen 1.3 Uitgangspunten van privacybescherming 2

De chipcard en toepassingen 2.1 2.2 2.3 2.4 2.5 2.6 2.7

3 3.1 3.2 3.3 3.4 3.5 3.6 3.7 4

1 2 2 5

Typen van gegevensdragende kaarten Wat zijn chip- en smartcards? De plaats van de chipcard binnen informatiesystemen Chipcards: functies en toepassingen De bij chipcards betrokken actoren Chipcard-projecten en toepassingen in Nederland Chipcards en gebruik van gegevens

5 6 7 7 9 9 11

Normering van chipcardgebruik

15

Normen en beginselen van privacybescherming bij gegevensverwerking De neerslag van de beginselen in de WPR De WPR en het gebruik van chipcards De normering van chipcard(gebruik) en de Europese richtlijn Toetsingskader in het licht van de Europese richtlijn Gevolgen en maatregelen voor chipcardprojecten Zelfregulering; gedragscodes en gedragsregels

15 16 16 18 18 21 24

Samenvatting en aanbevelingen

27

<

VORIGE

INHOUD

VOLGENDE

>

1 Inleiding

1.1

Technologische ontwikkelingen Het is langzamerhand een platitude om te zeggen dat de invloed van de technologie op onze hedendaagse samenleving immens is. De snelle ontwikkelingen op het terrein van de informatie- en telecommunicatietechnologie(ICT) dragen hieraan sterk bij: de stap van telefoon, televisie en computer naar de data-snelwegen wordt op dit moment gezet. Tot voor kort afzonderlijke terreinen van telecommunicatie, computers, televisie en teletekst worden in steeds sterkere mate geintegreerd. Mede door deze zogenaamde ‘convergentie’ van de verschillende terreinen is een toename waar te nemen van nieuwe produkten en toepassingen die recentelijk hun intrede hebben gedaan of in de komende jaren op de markt zullen verschijnen. De technologische produkten en toepassingen veranderen de wijze waarop persoonsgegevens worden opgeslagen, bewerkt en verstrekt. Voorbeelden hiervan zijn niet moeilijk te vinden. Nieuwe vormen van gegevensdragers, zoals de CD-ROM en CD-I hebben al bekendheid verworven. Bovendien neemt de opslagcapaciteit van gegevensdragers sterk toe. Bij het verstrekken van gegevens valt de ontwikkeling op het gebied van netwerken op (Electronic Data Interchange). Deze ontwikkelingen hebben gevolgen voor de omgang met, en het gebruik van, gegevens. Door de vergroting van de opslagcapaciteit van gegevensdragers kunnen bijvoorbeeld veel grotere registraties worden aangelegd. Met de verstrekking van een gegevensdrager zoals een CD-ROM kunnen zelfs op eenvoudige wijze complete registraties worden uitgewisseld. Het beheer – en daardoor regelmatig ook het gebruik – van gegevens verandert door nieuwe vormen van databasemanagement waarbij gegevens zo worden opgeslagen en verwerkt dat ze eenvoudig voor meer dan één doel kunnen worden gebruikt. Gegevens worden dan ook steeds vaker ‘multifunctioneel’, d.w.z. voor meerdere doeleinden, gebruikt. Ook de bewerking van gegevens met nieuwe analysetechnieken zoals ‘data-mining’ verandert het tot nu toe gangbare gebruik en de toepassing van gegevens. In deze achtergrondstudie staan de chipcards centraal. Deze kaarten ter grootte van een creditcard met daarop een geheugenchip en eventueel een microprocessor zijn op dit moment al in uiteenlopende maatschappelijke sectoren voor verschillende toepassingen in gebruik. Enerzijds bieden de kaarten mogelijkheden voor verbeterde klantenservice, operationele efficiency en beveiliging maar ze bezitten anderzijds de potentie om een krachtig instrument te worden voor toezicht en controle1. Het gebruik ervan roept daarom vragen op met betrekking tot de bescherming van de persoonlijke levenssfeer. Om inbreuken op de persoonlijke levenssfeer te voorkomen komt het er bij de introductie van kaarten op aan passende maatregelen te treffen. Dat houdt in dat voorwaarden moeten worden geformuleerd zodat op een zorgvuldige wijze met persoonsgegevens – en dus met de privacy van degenen op wie de gegevens betrekking hebben – wordt omgesprongen. Aan dit aspect wil de Registratiekamer met deze studie een bijdrage leveren.

< Registratiekamer 1

VORIGE

Chipcards en privacy

INHOUD

VOLGENDE

>

1.2

Privacy-regelgeving en technologische ontwikkelingen Het gebruik van informatie- en communicatietechnologie voor specifieke toepassingen en de consequenties daarvan kunnen lastige juridische vragen oproepen. De regelgeving sluit soms slecht of niet aan op technologische ontwikkelingen en toepassingen. Dit geldt ook voor specifieke voorschriften met betrekking tot privacyregelgeving. Steeds meer wordt duidelijk dat het verkrijgen van enige juridische greep op de technische ontwikkelingen zoveel mogelijk moet plaatsvinden via technologie-onafhankelijke regelgeving2. Dit geldt ook voor de bescherming van de privacy. De regelgeving met betrekking tot de informationele privacy in de jaren ‘70 en ‘80 is echter sterk beinvloed door de stand van de techniek van dat moment. De benadering was veelal gericht op het aan banden leggen van de technologie in een stelsel van definities en grondbeginselen van privacybescherming waarbij getracht werd enerzijds de negatieve aspecten van de technologie tot een minimum te beperken en anderzijds voldoende ruimte over te laten om van de voordelen van deze vormen van technologie te kunnen blijven profiteren. Omdat de persoonsgegevens die met behulp van de toenmalige technologie werden verwerkt in de regel werden opgeslagen in registraties, is in de Wet Persoonsregistraties (WPR) gekozen voor een normering die in eerste instantie gericht is op persoonsregistraties. Bij het gebruik van huidige ICT-technieken is het vastleggen van persoonsgegevens in registraties evenwel slechts één van de mogelijke aspecten van het totale gegevensverwerkingsproces, waaronder alle bewerkingen met betrekking tot persoonsgegevens vallen. Het accent bij de omgang met persoonsgegevens is steeds meer verschoven van de registratie naar het gehele verwerkingsproces. Hoewel nu misschien de in de WPR gekozen benadering minder geschikt lijkt voor het oplossen van vraagstukken die de huidige technologie oproept, hebben de privacy-beginselen die ten grondslag liggen aan de wettelijke bepalingen zeker niet aan waarde verloren. De onverminderde actualiteit van deze principes blijkt uit het feit dat ze tevens ten grondslag liggen aan de nieuwe EG-richtlijn bescherming persoonsgegevens3 en derhalve aan de komende jaren tot stand komende Wet bescherming persoonsgegevens. De beginselen vormen de basis voor een stelsel van eerlijke en behoorlijke omgang met persoonsgegevens. Daarom is het essentieel om bij nieuwe technologische ontwikkelingen en de toepassingen daarvan na te gaan of de implicaties voor de persoonlijke levenssfeer van individuen voldoende zijn gewaarborgd.

1.3

Uitgangspunten van privacybescherming Het is een rechtsplicht en het getuigt van wijs beleid om bij gebruik van chipcards de internationaal aanvaarde beginselen van privacybescherming in acht te nemen. Het gaat bij deze beginselen om normen die de meeste mensen naar hun waarde weten te schatten, zoals het beginsel van de kenbaarheid of doorzichtigheid. Dit houdt in dat een persoon moet kunnen weten welke gegevens over hem worden verzameld of vastgelegd en waarvoor deze gegevens worden gebruikt. Daarnaast is er het beginsel van de doelbinding dat het vastleggen en gebruik van gegevens afhankelijk stelt van de verenigbaarheid met een tevoren bepaald specifiek doel. Ook de rechten van geregistreerden zoals de mogelijkheid tot correctie behoren hiertoe. Systematisch worden deze beginselen in hoofdstuk 3 geinventariseerd. Naast een wettelijke plicht zal het in voldoende mate in acht nemen van deze beginselen gevolgen hebben voor de sociale acceptatie van het gebruik van chipcards4 en de bereidheid van consumenten om de kaart te gebruiken. In die zin kan het in acht nemen van de principes gelden als een kwaliteitskenmerk voor chipcard-projecten. In deze studie wordt aandacht besteed aan deze beginselen van privacybescherming en de gevolgen


VORIGE


INHOUD

VOLGENDE

>

daarvan voor het gebruik van chipcards. Er worden tevens een aantal grenzen aangeven waarbinnen ‘het nieuwe kaartspel’ met chipcards zich kan voltrekken. Het in deze studie geschetste normatieve kader overschrijdt het onderwerp van de studie in zoverre dat voor toepassingen van andere technologieën een nagenoeg vergelijkbare normering zal gelden. De studie beperkt zich daarentegen tot het algemene gebruik van kaarten. In een afzonderlijk advies van de Registratiekamer wordt de aanvullende normering voor chipcards voor medische doeleinden – de gezondheidspas – geschetst. Deze studie levert voorts bouwstenen voor zelfregulering op dit terrein.

Noten 1

T. Wright, Smart Cards, rapport van de Information and Privacy Commissionair, Ontario, 1993, pag. 28.

Vgl. J.E.J. Prins, Overtollig recht inzake informatietechnologie: privaatrecht en informatisering in het zicht van een nieuw millenium, Inaugurele rede Katholieke Universiteit Brabant, Deventer, 1995, pag. 13. Het technologie-afhankelijk karakter van informatietechnologie-recht geeft zij in haar rede aan als één van de redenen voor de ‘overtolligheid’ van dit recht. De in dit soort wetgeving neergelegde aanknopingspunten voor normering zijn zo technologie afhankelijk dat – deze vaak moeizaam tot stand gekomen wetgeving – na korte tijd weer verouderd blijkt.

2

De EG-richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

3

4

T. Wright, t.a.p, pag. 28.


VORIGE


INHOUD

VOLGENDE

>

2 De chipcard en toepassingen

2.1

Typen van gegevensdragende kaarten Gegevensdragende kaarten, waaronder de magneetkaart en de chipcard zijn de laatste jaren op diverse maatschappelijke terreinen in opmars. Verschillende typen zijn te onderscheiden. Naast de in deze studie centraal staande chipcards zijn er bijvoorbeeld de geëmbosseerde kaart, de magneetkaart en de optische kaart. Bij een geëmbosseerde kaart zijn de gegevens in reliëfdruk op de plastic kaart aangebracht. De essentiële functies van dit soort kaarten kunnen worden begrepen door een visuele inspectie van de kaart1. De in reliëfdruk aangebrachte gegevens tonen in de regel de naam van de kaarthouder, aanvullende identificatiegegevens en rekening-gegevens. Bekende voorbeelden zijn de patiëntenkaartjes en creditkaarten. De gegevens op de kaart kunnen niet worden veranderd en omdat de capaciteit voor gegevensvastlegging zeer beperkt is slechts in beperkte mate worden aangevuld. De magneetkaart is een plastic kaart met een magneetstrip waarop gegevens kunnen worden vastgelegd. Deze magneetstrip is veelal volgens een internationale standaard verdeeld in vier sporen, waarvan drie bedoeld zijn voor de opslag van gegevens 2 Van deze drie sporen heeft ieder zijn eigen toepassing. Het bovenste spoor wordt gebruikt door de gezamenlijke vliegmaatschappijen (IATA), de middelste is gereserveerd voor bancaire doeleinden en op het derde spoor kan gelezen en geschreven worden. Op dit laatste spoor staat gecodeerd de PIN-code (Personal Identification Number) opgeslagen3. In de praktijk worden de gegevens op dit soort kaarten bij de meeste toepassingen niet veranderd of aangevuld. De opslagcapaciteit van deze kaarten is (vooralsnog) beperkt4. De kaarten worden veelal gebruikt voor één enkele toepassing, zoals een bankpas. Bij een optische-kaart worden de gegevens met behulp van een laser in een reflecterende laag gebrand. Het vastleggen van de gegevens is permanent maar aanvulling van gegevens is in de regel goed mogelijk5 omdat op de kaart veel gegevens kunnen worden vastgelegd6. Dit type kaart wordt veel toegepast in de gezondheidszorg. Al deze typen van kaarten – inclusief de chipcard – kunnen ook worden gecombineerd. Dit zijn de zogenaamde ‘hybride-kaarten’, met bijvoorbeeld een geëmbosseerd deel, een magnetische strip en een chip. Hoewel de hierboven genoemde soorten kaarten in deze studie niet centraal staan, kunnen de in dit rapport gemaakte opmerkingen en gesignaleerde knelpunten ook voor deze kaarttypen van belang zijn.


VORIGE


INHOUD

VOLGENDE

>

2.2

Wat zijn chip- en smartcards? Bij de toepassingen van gegevensdragende kaarten is een verschuiving waar te nemen ten gunste van de chipcard. De term ‘chipcard’ verwijst naar kaarten die doorgaans een gestandaardiseerde afmeting hebben ter grootte van een creditcard. Kenmerkend is de aanwezigheid van een geheugenchip en/of een microprocessor: de micro-chips waaraan chipcards hun naam ontlenen. Technisch kunnen chipcards in diverse opzichten verschillen. Er is hierbij een onderverdeling te maken in zogenaamde ‘geheugenkaarten’,‘smartcards’ en ‘super-smartcards’7. De karakteristieken van de huidige smart-card zijn begin jaren zeventig door de Fransman R. Moreno ontwikkeld8. De smartcard is een geheugenkaart die tevens voorzien is van een microprocessor. Deze processor maakt de kaart in tegenstelling tot een geheugenkaart ‘intelligent’ of ‘slim’. In wezen betreft het hier een minuscuul computertje met mogelijkheden voor gegevensopslag. Super-smartcards hebben ook een eigen display, toetsenbord en stroomvoorziening zodat de kaart zelfstandig, zonder (rand-) apparatuur kan functioneren. De geheugenkaart bezit wel geheugen maar geen microprocessor. Hoewel niet alle chipcards tevens ‘smart’ zijn worden omwille van de eenvoud en leesbaarheid van de studie, beide typen zo veel mogelijk aangeduid als ‘chipcards’. De drie genoemde typen chipcards kunnen uitgerust worden met verschillende soorten geheugens – zoals een ROM-, EPROM-, EEPROM- en RAM-geheugen – die gebruikt kunnen worden voor verschillende doeleinden. Van het ROM-geheugen (Read Only Memory) kan alleen informatie gelezen worden. Het vastleggen van gegevens of programma’s vindt eenmalig plaats bij de fabricage van het geheugen. In het ROMgeheugen van een smartcard kan het besturingssysteem voor de werking van de kaart worden aangebracht. Een dergelijk besturingssysteem kan beschikken over een bestandsmanager voor de gegevens-bestandsorganisatie9, encryptie en decryptie functies of een communicatieprotocol10. De internationaal gestandaardiseerde bestandsorganisatie maakt het mogelijk dat verschillende functies en toepassingen van chipcardgebruik tegelijkertijd op één kaart worden ondersteund. Van het PROM-geheugen (Programmable Read Only Memory) kan met behulp van speciale programmatuur en apparatuur (een deel van) het geheugen worden beschreven. Er zijn twee typen PROM-geheugens: het EPROM-geheugen (Erasable Programmable Read Only Memory) waarvan het geheugen maar éénmaal beschreven en niet meer veranderd of gewist kan worden, en het EEPROM-geheugen (Electrically Erasable Programmable Read Only Memory) waarbij de gegevens in het geheugen tevens kunnen worden aangevuld, veranderd of gewist. Dit soort geheugen geeft de mogelijkheid om – ook na de uitgifte van een kaart – nieuwe toepassingen toe te voegen11. ROM- en PROM-geheugens bezitten de eigenschap de gegevens en programmatuur op de kaart vast te houden ook zonder de aanwezigheid van een spanningsbron (batterij) op de kaart. Belangrijk voor het gebruik van chipcards is dat dit geheugen in verschillende ‘zones’ kan worden verdeeld. Men onderscheidt daarbij een zogenaamde ‘open-zone’ waarin niet overschrijfbare gegevens zijn opgenomen die algemeen toegankelijk zijn, zoals de naam en het adres van de kaarthouder. Daarnaast is er een ‘vertrouwelijke-’ of ‘working-zone’ met gegevens die niet door een ieder kunnen worden gelezen. Deze beveiligde zone kan bijvoorbeeld transactie-gegevens van een kaarthouder bevatten. De laatste zone is de ‘geheime zone’. Deze sterk beveiligde zone wordt onder meer gebruikt voor de PIN-code van de kaarthouder12. Een ander soort geheugen, het RAM-geheugen (Random Access Memory) wordt vooral gebruikt voor de tijdelijke opslag van tussentijdse resultaten van gegevensbewerkingen op de kaart. Het is


VORIGE


INHOUD

VOLGENDE

>

een ‘vluchtig’ geheugen dat oneindig vaak kan worden beschreven maar verloren gaat als de spanning van de kaart wegvalt. Chipcards bieden veel nieuwe toepassingsmogelijkheden voor gegevensverwerkende processen. De kaarten bezitten een grote opslagcapaciteit en kunnen veel functies vervullen. Aan de functies en toepassingen van chipcards wordt in paragraaf 2.4 nadere aandacht besteed. Hierbij dient in het oog te worden gehouden – zoals ook uit het bovenstaande blijkt – dat er een grote onderlinge diversiteit is in de technische (on)mogelijkheden van afzonderlijke chipcards.

2.3

De plaats van de chipcard binnen informatiesystemen Afgezien van de super-smartcards hebben chipcards randapparatuur nodig om te functioneren zoals de kaartlees- en schrijfapparatuur. Ook deze randapparatuur zal bij vraagstukken met betrekking tot privacybescherming en chipcards van belang zijn, zoals bij beveiliging. Kaart en randapparatuur zijn technisch gezien onderdeel van dezelfde infrastructuur en vormen als zodanig een eenheid. Zo kan de randapparatuur bepalen op welke wijze de gegevens op de kaart worden opgeslagen. De chipcards worden meestal gebruikt in aanvulling op (computer-) netwerken. Electronic Data Interchange (EDI) wordt daarbij gecombineerd met enkele specifieke functies van de chipcard. Vraagstukken met betrekking tot privacy en chipcards zullen hierdoor nauw verbonden zijn met vraagstukken met betrekking tot privacy en EDI en netwerken. Hoewel ook deze laatste problematiek van groot belang is, valt deze in eerste instantie niet binnen de reikwijdte van deze studie. Er wordt dan ook slechts incidenteel aandacht aan besteed. Meer aandacht wordt besteed aan de achterliggende registraties waarmee de chipcards via de netwerken in verbinding kunnen staan. Een achterliggende registratie is bijvoorbeeld de voor het gebruik van een chipcard benodigde persoonsregistratie van waaruit persoonsgegevens worden verstrekt of geverifieerd. Deze registraties kunnen centraal worden gevoerd (bijvoorbeeld één registratie per chipcardproject13) of decentraal (bijvoorbeeld voor iedere toepassing een afzonderlijke registratie). Binnen een chipcardproject kan ook gebruik worden gemaakt van meerdere kaarten die elkaar bij het gebruik aanvullen. Dit gebeurt meestal ten behoeve van de beveiliging van gegevens op de kaart. Een voorbeeld is de ‘zorgprofessional-pas’14 die in de gezondheidszorg kan worden gebruikt door zorgaanbieders zoals artsen. De kaart wordt gebruikt in combinatie met de chipcard van de patiënt, waardoor bepaalde toepassingen mogelijk worden zoals het door de arts lezen van een specifiek deel van de chipcard van de patiënt. Communicatie tussen de kaart en het informatiesysteem waarbinnen het wordt gebruikt, vindt meestal plaats via een elektronisch contact met de randapparatuur, veelal een kaartlezer. Dit is anders bij een ‘contactloze kaart’, de naam zegt het al, waar de randapparatuur draadloos – op afstand – de verbinding verzorgt met de kaart.

2.4

Chipcards: functies en toepassingen De chipcard is een instrument dat zich voor zeer uiteenlopende toepassingen leent. Deze constatering is voor deze studie van grote betekenis. Zoals het bekende Zwitserse zakmes een instrument is met vele gebruiksmogelijkheden, zo is ook de chipcard een instrument dat geschikt is voor vele toepassingen. < VORIGE INHOUD VOLGENDE > Registratiekamer 7


Het feitelijke gebruik dat van een chipcard wordt gemaakt zal ten eerste afhankelijk zijn van de functies15 die op een kaart zijn aangebracht en de specifieke toepassing waarvoor de kaart bedoeld is. Daarnaast is het gebruik afhankelijk van de technische eigenschappen van de kaart waarvan er enkele in de vorige paragraaf zijn beschreven. Het feitelijk gebruik van de kaart bij een concrete toepassing zal tevens van doorslaggevende betekenis zal zijn bij de beantwoording van de vraag of het gebruik van een chipcard in overeenstemming is met privacy-wetgeving. Om deze reden zal in deze paragraaf een kort overzicht van de mogelijke functies en toepassingen van chipcards worden gegeven. Dit dient vooral om inzicht te geven in de verschillende mogelijkheden die chipcards bieden en de toepassingen die met dit medium mogelijk zijn. Al deze verschillen kunnen van invloed zijn bij de beoordeling van de vraag of aan een chipcardtoepassing privacyaspecten verbonden zijn. Naast de geschiktheid voor het uitvoeren van rekenkundige bewerkingen is het grote voordeel van chip- en smartcards de mogelijkheden voor beveiliging zoals de veilige opslag van gegevens16. Smartcards zijn voor beveiligingsfuncties onder meer in te zetten in situaties waar één of meer van de volgende aspecten een rol spelen17: – identificatie en verificatie van de kaart ten behoeve van het vaststellen en de controle van de ‘identiteit’ van een kaart (vaststellen dat de kaart bijvoorbeeld van een bepaalde uitgever afkomstig is en bij een bepaalde persoon hoort); – authenticatie van de gebruiker voor het vaststellen en controleren of de gebruiker van de kaart ook werkelijk degene is die gemachtigd is de kaart te gebruiken; – autorisatie: het toekennen van bevoegdheden aan de gebruiker zodat deze gebruik kan maken van bepaalde processen, – onloochenbaarheid of ‘non-repudiation’ van een kaarthandeling zodat een met behulp van de kaart verrichte handeling niet kan worden ‘ontkend’ en – integriteitsbewaking voor de controle dat de gegevens op de kaart – of de boodschap die met de kaart is verzonden – niet zijn gewijzigd. De kaarten kunnen tevens worden gebruikt als elektronische ‘sleutel’ bijvoorbeeld voor de toegang tot een informatiesysteem, voor de ver- en ontsleuteling van gegevens en berichten (en-/decryptie) of uitsluitend voor de opslag van gegevens18. Andere voorbeelden van functies zijn identificatie (eventueel met behulp van biometrische gegevens zoals een vingerafdruk, verwijzingsindex, toegangscontrole) zowel ruimtelijk als voor informatiesystemen of elektronisch betalen. Uit het bovenstaande blijkt dat de technische eigenschappen en functies van chipcards talrijk zijn. De toepassingen van kaarten in de praktijk variëren dan ook sterk. Voorbeelden zijn de medische zorgkaart, de betaalkaart, de telecomkaart of de vervoerskaart. In paragraaf 2.6 worden enkele praktijktoepassingen van chipcards kort getypeerd. Bij een kaart met meer dan één toepassing is het mogelijk de gegevens – zowel logisch als functioneel – in verschillende gegevens-compartimenten te verdelen. Een dergelijke opsplitsing van gegevens op de kaart biedt voor de bescherming van de persoonlijke levenssfeer een belangrijke waarborg. Deze mogelijkheid van compartimentering van de gegevens op de kaart is voor privacybescherming van groot belang. In het vervolg zal hierop nog nader worden ingegaan.


VORIGE


INHOUD

VOLGENDE

>

2.5

De bij chipcards betrokken actoren Bij het gebruik van chipcards zijn allerlei partijen in verschillende rollen te onderscheiden. Iedere rol brengt zijn eigen verantwoordelijkheid mee. Deze rollen zullen in de praktijk soms door eenzelfde partij worden vervuld. De volgende indeling is gangbaar19: – De kaarthouder: meestal degene op wiens naam de kaart is gesteld; – De kaartacceptant: degene die een aangeboden chipcard accepteert, bijvoorbeeld een winkelier; – De aanbieder van een toepassing op de kaart: degene die een toepassing aanbiedt – zoals bijvoorbeeld een dienst – waarbij gebruik wordt gemaakt van een chipcard; – De kaartuitgever: degene die de kaart uitreikt en het beheer met alle bijbehorende activiteiten verzorgt. De kaartuitgever laadt voor een aanbieder van een toepassing de desbetreffende toepassing op de kaart. Daarnaast zijn er de leveranciers van componenten van de infrastructuur waarin chipcards worden gebruikt zoals: de maker van de kaart; de maker van de kaartleesapparatuur; leveranciers van de infrastructuurdiensten zoals netwerkdiensten en een eventuele helpdesk.

2.6

Chipcard-projecten en toepassingen in Nederland De introductie van chipcards in Nederland verliep tot voor kort langzaam. Verschillende projecten zijn gestaakt. Andere projecten lijken de proef-fase nog maar net ontgroeid. De ontwikkelingen gaan echter snel en het lijkt erop dat chipcards binnenkort in de portemonnaies van velen een vaste plaats zullen innemen. Voor de sectoren gezondheidszorg, handel en telecommunicatie wordt aangenomen dat het gebruik van chipcards grote groeimogelijkheden heeft. Ook binnen andere sectoren zoals de financiële sector maken toepassingen zoals de ‘chipknip’ – een soort elektronische beurs – goede kansen. Deze chipcard is bedoeld ter vervanging van vooral kleine betalingen en bijvoorbeeld betalingen bij parkeerautomaten en telefooncellen. De kaart zal naar verwachting in 1996 worden ingevoerd. De internationale ontwikkelingen maar ook concurrerende chipcardprojecten binnen de detailhandel waar vergelijkbare betaalfuncties aan de kaart zijn toegevoegd, bespoedigen de komst van de chipknip20. Er zijn ook chipcard-projecten bij afzonderlijke banken. Een voorbeeld hiervan is een chipcard bedoeld om zakelijke cliënten op een veilige en gebruiksvriendelijke manier een telebankiersdienst aan te bieden. Uitgever van de kaart is de bank die tevens tegelijkertijd, samen met aangesloten banken, de aanbieder van de dienst is21. Een voorbeeld van een multi-toepassingskaart voor de handel is een klantenkaart, een detaillistenkaart en betaalkaart gecombineerd in één kaart. De kaart wordt gebruikt als management instrument bij voordeelacties en aanbiedingen (‘customer-loyalty’), als betaalmiddel (elektronische beurs) en het is een potentiële bron van informatie over het aankoopgedrag van klanten (klantprofielen). De kaartuitgever is tevens aanbieder van de algemene functies op de kaart zoals de betaalfunctie. Andere aanbieders zijn die winkeliers die de mogelijkheid hebben gekregen via een zogenaamd ‘slot’ op de kaart – een deel van de kaart waarop de winkelier zijn eigen toepassing kan plaatsen – een eigen klantenkaart aan te bieden. De acceptanten zijn alle winkels en bedrijven die de kaart accepteren voor gebruik. De kaartuitgever houdt tevens een registratie bij van de frequentie van het kaartgebruik: dit is het aantal malen dat de klant van de kaart gebruik maakt. Doel is


VORIGE


INHOUD

VOLGENDE

>

klanten te belonen c.q. aan te sporen meer gebruik te maken van de kaart. Voor het verzamelen van deze gegevens is een klein stukje op de kaart gereserveerd22. Op het gebied van de overheid zijn verschillende projecten gestart, of nog in voorbereiding. De elektronische identiteitskaart in de vorm van de zogenaamde ‘Burgerpas’ is van dit laatste een voorbeeld. De kaart, gevuld met personalia van de kaarthouder uit de Gemeentelijke BasisAdministratie (GBA), moet behalve als identiteitskaart tevens als legitimatiebewijs bij banken gaan dienen. Daarnaast kan de kaart gebruikt worden als telefoonkaart, patiëntenkaart voor ziekenhuizen en als elektronische beurs23. Op een geheel ander terrein binnen de overheid is de Immigratie- en Naturalisatiedienst (IND) in samenwerking met de Vreemdelingendiensten gestart met de Asielzoekerskaart. In het kader van de legalisatie van het verblijf van vreemdelingen in Nederland krijgen asielzoekers een chipcard uitgereikt. Mede door middel van vingerafdrukken is het een strikt persoonlijk en fraudebestendige kaart. De kaart maakt de automatische afhandeling van de wettelijke meldplicht van asielzoekers mogelijk. Deze afhandeling vindt plaats via een onbemande meldzuil met een vingerafdruk- en kaartlezer. De uitgever en aanbieder van de kaart is de IND24. Op landelijk niveau wordt gestart met de ‘studentenchipcard’ ter vervanging van de collegekaart en een Openbaar-Vervoerkaart, die tevens kan dienen als bibliotheekkaart en betaalmiddel in de kantine. De zogenaamde ‘Variabel Werk Pas’ – een proef van het GAK – is bedoeld als hulpmiddel bij het verstrekken van uitkeringen krachtens de Ziektewet of de Werkloosheidswet aan werknemers die frequent veranderen van werkgever en tussentijds aanspraak maken op een uitkering. Het GAK is bij dit project de kaartuitgever, uitzendbureaus zijn één van de aanbieders van de kaarten25. Een voorbeeld van een chipcardproject op het gebied van de gezondheidszorg is het zorgpas-project in Simpelveld. Doelstelling van dit chipcardproject is het verkrijgen van managementinformatie, bewaking van de kwaliteit van zorg en het voorkomen van fouten bij de medicatie. De kaart dient voor identificatie, legitimatie, als medicatiegegevensdrager en bezit een SOS-functie. Daarvoor worden de naam, adres en woonplaatsgegevens, actuele informatie betreffende het gezondheidsdossier, individuele contra-indicaties, de diagnose-staat van de huisarts en de gebruikshistorie van geneesmiddelen uit het apotheekdossier op de kaart opgenomen. Op de buitenzijde van de kaart worden de SOS-gegevens gedrukt. Het gebruik van de kaart is als volgt. De kaarthouder dient de kaart te allen tijde bij zich te dragen. Met behulp van een PIN-code van de patiënt kan bij een bezoek aan een huisarts een recept op de kaart worden bijgeschreven. Hiermee gaat de patiënt naar de apotheker die de gegevens over het recept op de kaart leest en op de kaart toevoegt welke medicijnen zijn verstrekt. De deelnemers zijn apothekers en huisartsen en in de toekomst wellicht ook GG en GD, tandartsen e.a.

De mogelijkheden voor toepassingen van chipcards zijn vele malen groter dan de hierboven weergegeven toepassingen. Op het terrein van telecommunicatie wordt bijvoorbeeld gebruik gemaakt van de GSM-smartcard26 en in de toekomst wellicht van een smartcard voor de toegang tot de Universele Persoonsgebonden Telecommunicatie(UPT)27. Voor het trein-transport wordt gewerkt aan de NSreizigerskaart en ook bij de veel besproken ‘road-pricing’ zal waarschijnlijk gebruik worden gemaakt van chipcards.


VORIGE


INHOUD

VOLGENDE

>

2.7

Chipcards en gebruik van gegevens Ten behoeve van de in paragraaf 2.4 genoemde functies van chipcards worden meestal persoonsgegevens vastgelegd. Het kan hierbij gaan om identificatiegegevens of verwijsgegevens – die aangeven in welke persoonsregistratie de gegevens over de kaarthouder zijn opgeslagen (index) – en in bepaalde gevallen zelfs om volledige dossiers. Vragen met betrekking tot de bescherming van de persoonlijke levenssfeer zullen vooral betrekking hebben op de op een kaart vastgelegde afzonderlijke persoonsgegevens tegen de achtergrond van de specifieke functies en toepassingen van de kaart waarvoor de gegevens worden gebruikt. Bij deze vraagstukken verdient het gebruik van dezelfde gegevens voor meer dan één functie – het zogenaamde multi-functionele gebruik van de gegevens – bijzondere aandacht. Op chipcards kunnen immers meerdere functies opgenomen worden die van dezelfde gegevens gebruik maken, zoals een combinatie van een medisch-SOS-dossier en een betaalfunctie. Naast meerdere functies kunnen ook meerdere toepassingen op een kaart worden gezet; ook wel de ‘multitoepassingskaart’ genoemd, zoals de combinatie van een betaalkaart en een medische zorgkaart. Ook hier is gemeenschappelijk gebruik van gegevens op de kaart mogelijk. Dit gemeenschappelijk gebruik van gegevens op een multi-toepassingskaart zal evenwel snel op gespannen voet staan met de privacynormering zoals in hoofdstuk 3 aan de orde komt. Gezien de ontwikkeling waarbij steeds meer toepassingen van chipcards worden geintegreerd op één kaart, zal dit privacy-vraagstuk – voor zover geen maatregelen zijn getroffen zoals compartimentering van de gegevens – naar verwachting aan belang toenemen.

Gebruik van ‘sporen-gegevens’ Met name voor de beveiligingsfuncties (paragraaf 2.4) van de kaart is vereist dat tijdens het gebruik van de kaart bepaalde controle informatie wordt afgegeven aan de randapparatuur. Deze gegevens kunnen worden gebruikt om het misbruik van chipcards te bestrijden, als bewijsmateriaal in klachtprocedures of bij de reconstructie van fouten bij financiële transacties waarbij gebruik is gemaakt van een kaart. Voor dit doel worden meestal op de kaart vastgelegde persoons- en/of kaart-identificerende gegevens afgegeven. Deze gegevens vormen de elektronische ‘sporen’ die tezamen zogenaamde ‘data trails’ vormen van het kaartgebruik van de kaarthouder in het informatiesysteem waarbinnen de kaart wordt gebruikt. Deze gegevens van het kaartgebruik kunnen – veelal na analyse – ook voor andere doeleinden worden gebruik, zoals toezicht of fraudebestrijding. In de detailhandel worden de sporen van het kaartgebruik soms gebruikt voor een heel ander doel, namelijk voor de beloning van de klanten die hun aankoop hebben gedaan in een bepaalde winkel. Binnen deze sector kunnen de gegevens ook gebruikt worden voor het opstellen van klantprofielen. Vanuit het oogpunt van privacybescherming kan dit gebruik van kaart-sporengegevens vragen oproepen, vooral indien ze worden gebruikt voor andere doeleinden dan de oorspronkelijke functie waarvoor ze afgegeven zijn. Voor de controle-doeleinden van het chipcard gebruik worden overigens niet alleen persoonsgegevens afgegeven. Ook de chipcard zelf geeft bij ieder gebruik zijn ‘identiteit’ af28. In de praktijk blijkt dat het mogelijk is via een analyse van deze – niet persoonsgebonden – ‘verkeers-’gegevens (traffic analyses), met behulp van een persoonsregistratie, de identiteit van de gebruiker te


VORIGE


INHOUD

VOLGENDE

>

herleiden. Hierdoor is het gebruik van anonieme kaarten soms toch herleidbaar naar de kaartgebruiker. Door de eventuele ondoorzichtigheid voor een kaarthouder of, en zo ja voor welk doel, tot de kaarthouder herleidbare sporen van zijn kaartgebruik worden gebruikt, kan het gebruik van dit soort gegevens op gespannen voet komen te staan met de bescherming van de persoonlijke levenssfeer. Het gebruik van identificerende persoonsgegevens voor onder andere de controle van het kaartgebruik is overigens met de huidige ter beschikking staande methoden en technieken voor ‘identiteitsloos registreren’ lang niet altijd noodzakelijk. Opvallend is dat juist de chipcard het instrument is dat hierbij goed kan worden gebruikt omdat het uitermate geschikt is voor het doen van (deels) anonieme transacties. Door de vergaande mogelijkheden die kaarten in combinatie met huidige encryptie-methoden bieden is het mogelijk dat bij o.a. financiële transacties niet in alle gevallen de identiteit van de koper hoeft te worden prijsgegeven. Over het hoe en waarom van deze mogelijkheden en andere opties van ‘identiteitsloos registreren’ wordt verwezen naar het rapport van de Registratiekamer over ‘Privacy-Enhancing Technologies: The Path To Anonymity’29 30.

Noten T. Wright, Smart Cards, rapport van de Information and Privacy Commissionair, Ontario, 1993, pag. 2.

1

2 Telematica Research Centrum, door Intercai Telematics Consultants, Chipcards: applications and opportunities, Alphen a/d Rijn, 1993, pag.33.

3 A. Hasman, ‘Kaarten en passen: soorten en principes’, uit: A.E.J. Brunninkhuis, A.H.M. Kerkhoff, Kaarten of passen?, Smartcards in de Nederlandse gezondheidszorg, Den Haag, 1994, pag. 15.

4

Bij elkaar rond de 200 karakters.

5

De optische-kaart maakt gebruik van het Write Once, Read Many–(WORM-)principe.

6

Bij elkaar rond 1200 pagina’s tekst, T. Wright, t.a.p., pag. 3.

7

Ministerie van Economische Zaken, Technieuws Washington, jaargang 30, nr. 16, 1992, pag. 6.

Intercai, Chipcards en Electronische labels: een verkenning, in opdracht van het Ministerie van Economische Zaken, 2e druk, Den Haag, 1990, pag. 9.

8

A. Hasman, t.a.p., pag. 18.

9

10. T. Wright, t.a.p., pag. 5. 11

P. Hill, Smart Cards: The Next Generation, Telecommunications, september 1994, pag. 73.

12

A. Hasman, t.a.p., pag. 19 en T. Wright, t.a.p., pag. 5.

13

Een chipcardproject omvat de organisatie rond, en de werking van een chipcard met specifieke toepassing(en).

Benaming uit ‘De chipcard in de zorgsector: aspecten van grootschalige invoering‘, 3 delen, Doornheim de Vries en partners b.v. en Van de Geijn Partners b.v., Ouderkerk a/d Amstel, 1993

14

Een functie wordt hier – overeenkomstig de begrippenlijst ‘Open Infrastructuur voor Chipcardtoepassing’ van het Nationaal Chipcard Platform – gezien als een min of meer zelfstandig deel van een toepassing, zoals de betaalfunctie.

15

16

P.M. op den Brouw, Smart Cards, Informatie, afl.5, 1993, pag 339.

J. Leijten, J. Buiting, J.M.A. Berkvens, B. Boswinkel, Smartcards: een kader voor de analyse van Maatschappelijke risico’s, TNObeleidsstudies, Apeldoorn, 1995, pag. 2.

17

18

J. Leijten, J. Buiting, J.M.A. Berkvens, B. Boswinkel, t.a.p., pag. 7.


VORIGE


INHOUD

VOLGENDE

>

Deze indeling wordt gebruikt door het Nationaal Chipcard Platform – zie paragraaf 3.7 – ten behoeve van haar werkzaamheden.

19

20 O.a. T.C.M. Weijers, W.J. Vriezen, P.A.F. de Bruin, A.H. Scholten, Information Technology, Chipcards and the consumer, SWOKA rapport no.160, Den Haag, 1994, pag. 100.

B. Bornkamp, N.F. Breed, Chipcardprojecten in Nederland 1994, rapport van de Stichting Nationaal Chipcard Platform, Leidschendam, 1994, pag. 19-22.

21

22

H. Rudelsheim, Proef met multifunctionele chipcard in Asten, Bank en Effectenbedrijf, april 1994, pag. 14 e.v.

O.a. Zes partijen bestuderen mogelijkheid ‘burgerpas’, NCP-Nieuws, Nieuwsbrief van de Stichting Nationaal Chipcard Platform, Nr. 5, pag. 1

23

24

B. Bornkamp, N.F. Breed, t.a.p., pag. 65-69.

25

B. Bornkamp, N.F. Breed, t.a.p., pag. 79-83.

De GSM-smartcard (Global System for Mobile-communications) of SIM (Subscriber Identity Module) is drager van alle informatie die nodig is om toegang tot het GSM-netwerk te verkrijgen. De kaart bevat onder meer het abonnement en de identiteit van de gebruiker. Op de kaart worden verder gegevens opgeslagen over de laatste geografische positie van het mobiele toestel, de voorkeurstaal van de gebruiker of de laatst gebelde nummers. B. Feiken, J. Spaanderman, Toepassingen van Chipkaarten GSM en UPT, Studieblad PTT, themanummer Cards, 1995, pag. 420 e.v. 26

UPT is een nieuwe telecommunicatiedienst waarmee een gebruiker onder zijn strikt Persoonlijk Telecommunicatie Nummer (PTN) overal ter wereld op alle soorten netwerken kan bellen en gebeld worden en de rekening naar het huis- of werkadres gestuurd wordt. B. Feiken, J. Spaanderman, t.a.p. pag. 436.

27

28

D. Chaum, Prepaid Smart Card Techniques, a brief introduction and comparison, pag. 2.

Deze functie van chipcards geeft goed het instrumentele karakter van de techniek aan: chipcards zijn te gebruiken voor toepassingen die op gespannen voet staan met de privacy van de kaarthouders maar ze kunnen tevens worden gebruikt om de identiteit van de gebruiker af te schermen.

29

H.L. Van Rossum, H.J.M. Gardeniers, J.J.Borking, Privacy Enhancing Technologies: the path to anonymity, gemeenschappelijk rapport van de Registratiekamer, the Information and Privacy Commissioner/Ontario en TNO-FEL, Achtergrondstudies en Verkenningen, deel 5a en 5b, Rijswijk, 1995; D. Chaum, Achieving Electronic Privacy, Scientific American, augustus 1992, pag. 96 e.v.; D. Chaum, Security Without Identification: Transaction Systems to Make Big Brother Obsolete, Communications of the ACM, vol. 24, afl. 2, pag. 1030 e.v.; J. Brandt, I.B. Damgard, P. Landrock, Anonymous and verifiable registration in databases, Advances in Cryptology – EUROCRYPT 88, pag. 167 e.v. 30


VORIGE


INHOUD

VOLGENDE

>

3 Normering van chipcardgebruik

In de volgende paragrafen wordt ingegaan op de beginselen van privacybescherming en de wijze waarop deze hun neerslag hebben gevonden in de Wet persoonsregistraties (WPR). Vervolgens wordt aandacht besteed aan de normering, de voorwaarden en de gevolgen daarvan voor het gebruik van chipcards.

3.1

Normen en beginselen van privacybescherming bij gegevensverwerking De normen en beginselen voor privacybescherming bij gegevensverwerking zijn onder meer vastgelegd in het Verdrag van Straatsburg1, het Europees Verdrag voor de rechten van de mens, de OECD-guidelines, artikel 10 van de Grondwet en de Europese richtlijn bescherming persoonsgegevens2. De huidige Wet persoonsregistraties is een uitwerking van artikel 10, tweede en derde lid, van de Grondwet. De WPR geeft daarnaast toepassing aan de internationale regels, in het bijzonder die welke zijn neergelegd in het Verdrag van Straatsburg. Op 28 januari 1981 werd door de Raad van Europa de tekst van het verdrag vastgesteld3. Zoals in paragraaf 1.2 is aangegeven waren de beweegredenen voor regelgeving op het gebied van de informationele privacy in die periode de wens tegenwicht te bieden aan de negatieve gevolgen van invoering en gebruik van nieuwe technologieën bij gegevensverwerking op de privacy van de individuele burger, en het formuleren van regels en voorwaarden voor een rechtmatige informatievoorziening gericht op een verzoening van privacy en ‘free flow of information’. Het verdrag werd als Europese standaard en basis voor verdergaande harmonisatie van regelgeving voor ondertekening en ratificatie opengesteld. Het bevat materiële bepalingen in de vorm van door partijen in het nationale recht te implementeren grondbeginselen alsmede een aantal bijzondere rechten. Op welke wijze die beginselen concreet gehandhaafd moeten worden, c.q. die rechten moeten worden verzekerd laat het verdrag over aan de nationale wetgevers. Deze keuze wordt primair bepaald door de nationale rechtssystematiek. De in het verdrag geformuleerde grondbeginselen voorzien in voorschriften voor de kwaliteit van de gegevens en voor de verwerking van de gegevens. Wat betreft de verwerking dienen persoonsgegevens eerlijk en rechtmatig verkregen te zijn, en verwerkt te worden. De opslag en het gebruik ervan zijn gebonden aan een specifiek en rechtmatig doel. Dit beginsel is van groot belang. Uitgangspunt is dat geen gegevens mogen worden opgenomen die niet in overeenstemming zijn met het vooraf bepaalde doel en dat de gegevens niet mogen worden gebruikt voor doeleinden die met dat doel onverenigbaar zijn. Daarnaast is er het beginsel van de transparantie of kenbaarheid dat meebrengt dat het voor de geregistreerde voldoende duidelijk moet zijn wie over zijn gegevens beschikt en waar ze voor worden gebruikt. De uitgangspunten met betrekking tot de rechtspositie van een geregistreerde houden in dat deze steeds inzage moet kunnen hebben in zijn gegevens, onjuiste gegevens moet kunnen laten verbeteren en niet ter zake doende gegevens moet kunnen laten verwijderen. Tenslotte moet worden gezorgd voor een toereikende beveiliging van het gegevensverkeer.


VORIGE


INHOUD

VOLGENDE

>

De beginselen van het Verdrag van Straatsburg zijn onder meer uitgewerkt in de Europese richtlijn betreffende de bescherming van natuurlijke personen in verband met de behandeling van persoonsgegevens en betreffende het vrije verkeer van die gegevens (zie paragraaf 3.4).

3.2

De neerslag van de beginselen in de WPR De beginselen van het verdrag hebben hun neerslag gevonden in de Wet persoonsregistraties. De opzet van de artikelen 4 tot en met 8 van de WPR sluit nauw aan bij die van de artikelen 5 tot en met 7 van het Verdrag van Straatsburg die dezelfde onderwerpen betreffen. Voorbeelden zijn de bepalingen m.b.t. de doelbinding (artikel 4, eerste lid, WPR), de geoorloofdheid van dit doel (artikel 4, tweede lid, WPR), de rechtmatige gegevensverkrijging in overeenstemming met het doel (artikel 5, eerste lid, WPR), de kwaliteit van de gegevens (artikel 5, tweede lid, WPR), het gebruik verenigbaar met het doel (artikel 6, eerste lid, WPR), de genormeerde verstrekking (artikelen 6 en 11 WPR), de beveiliging (artikel 8 WPR) en de rechten van geregistreerden (paragraaf 7 van de WPR). Naast de genoemde artikelen 4 tot en met 8 WPR zijn de beginselen ook terug te vinden in andere bepalingen van de wet, zoals in artikel 28 WPR. In dit artikel is het beginsel van de transparantie of kenbaarheid terug te vinden. Dit artikel verplicht de houder van een persoonsregistratie om de personen over wie hij persoonsgegevens verzamelt en vastlegt in zijn registratie daarvan binnen vier weken na de eerste opname schriftelijk mededeling te doen. Deze mededeling dient tevens een aanduiding van het doel van de registratie te bevatten alsmede enige nadere informatie met betrekking tot de houder. De regel beoogt zoveel mogelijk te verzekeren dat de geregistreerden op de hoogte kunnen zijn van het feit dat gegevens over hen in een registratie zijn opgenomen en wat het doel van die registratie is. Indien de geregistreerde, al dan niet bewust, onkundig wordt gelaten van de opname van zijn gegevens in een persoonsregistratie en/of het doel van die registratie, kan ook het verzamelen van die gegevens in strijd zijn met artikel 5, eerste lid, WPR. Dit artikel ziet op de rechtmatige verkrijging van persoonsgegevens. Gebrek aan transparantie kan zodoende gevolgen hebben voor de rechtmatigheid van de verwerking van persoonsgegevens. Het beginsel van transparantie is bijvoorbeeld ook terug te vinden in de functies van het aanmeldingsformulier persoonsregistratie als bedoeld in artikel 24 WPR. Met behulp van dit formulier dient de inrichting en het gebruik van de registratie te worden geconcretiseerd. Het formulier heeft aldus naast een regulerende ook een informerende of voorlichtende functie; het geeft inzicht in de werking van de registratie, zowel voor de geregistreerden als meer in het algemeen. Ook geeft het formulier aan op welke wijze geregistreerden van enkele rechten, die de WPR hen toekent, gebruik kunnen maken.

3.3

De WPR en het gebruik van chipcards De WPR stelt regels ter bescherming van de persoonlijke levenssfeer met betrekking tot persoonsregistraties4. Er zijn verschillende opvattingen of de Wet persoonsregistraties van toepassing is op chipcards of het gebruik daarvan. Zo is betoogd dat de wet niet van toepassing is omdat chipcards niet te beschouwen zijn als een persoonsregistratie in de zin van de WPR. Dit is niet anders als in het kader van de verzameling van gegevens op de kaart tevens een enkel gegeven omtrent bijvoorbeeld een familielid is opgenomen5.


VORIGE


INHOUD

VOLGENDE

>

De wet zou alleen van toepassing zijn op de achterliggende persoonsregistratie die in relatie staat met de chipcard. Een vergelijkbare opvatting is dat de WPR alleen van toepassing kan zijn op chipcards indien op een kaart over meerdere personen gegevens worden opgenomen. De persoonsgegevens van de verschillende personen op de kaart kunnen dan een zelfstandige persoonsregistratie vormen6. Anders is de zienswijze waarbij de chipcard wordt gezien als onderdeel van of hulpmiddel bij een achterliggende registratie7. De WPR is hierbij van toepassing op zowel de registratie als de kaart. De gegevens op de kaart hoeven in deze visie overigens niet per definitie gelijk te zijn aan de gegevens in de achterliggende registratie. Ter ondersteuning wordt verwezen naar twee passages uit de Memorie van Antwoord bij de WPR: Ook de fysieke vorm waarin een gegevensbestand op een bepaald moment wordt gevoerd, is voor de toepassing van de wet niet beslissend. Dat betekent, dat alle soorten van informatiedragers in beginsel een persoonsregistratie of een onderdeel daarvan kunnen bevatten. Wel levert de bestaande variëteit aan technieken op dit punt een probleem op bij het intern beheer van een persoonsregistratie en bij de beveiliging daarvan. Hiervoor zullen echter de nodige procedures moeten worden ontwikkeld om te verzekeren, dat de voor een bepaalde registratie geldende regels kunnen worden nageleefd. (...) Dat bij de omschrijving van het begrip «persoonsregistratie» niet de nadruk ligt op de fysieke verschijningsvorm van een gegevensverzameling, maar op de logische samenhang daarvan, brengt tevens met zich mee, dat in de praktijk gebruikelijke voorzieningen als back-ups en schaduwbestanden niet een afzonderlijke registratie behoeven op te leveren, maar veeleer zijn te beschouwen als hulpmiddelen bij het voeren van de persoonsregistratie ten dienste waarvan zij worden aangelegd. (...) De in de praktijk eveneens optredende vormen van gedistribueerde gegevensverwerking kunnen een probleem opleveren bij het bepalen van de vraag of er van één of meerdere registraties sprake is. Naar ons oordeel behoeft het enkele feit dat de gegevensverwerking op verschillende lokaties plaatsvindt, hierbij niet beslissend zijn. Ook hier gaat het meer om de vraag, of de betrokken processen deel uitmaken van het beheer van een registratie die logisch als één geheel dient te worden beschouwd, dan wel van meerdere zelfstandige registraties waartussen mogelijk een koppeling is aangebracht8. De bovenstaande opvattingen geven aan dat over de wijze waarop en de mate waarin de WPR van toepassing is, verschillend kan worden gedacht. De WPR biedt in dit verband enige ruimte voor interpretatie omdat het specifieke karakter van chipcards – of het gebruik daarvan – slecht aansluit op het begrippenkader van de wet. Ook indien de WPR niet rechtstreeks van toepassing zou zijn op chipcards, zal haar invloed op het gebruik ervan echter verder kunnen reiken dan gewoonlijk wordt aangenomen. Binnen het gehele gegevensverwerkende-proces waarbij gebruik wordt gemaakt van chipcards valt op dat dit gebruik – vrijwel altijd – interactie meebrengt met achterliggende persoonsregistraties. Chipcards vervullen een rol bij het verzamelen, vastleggen en verstrekken van gegevens die afkomstig zijn uit, of verstrekt worden aan persoonsregistraties. Deze voor verschillende doeleinden aangelegde persoonsregistraties vallen zonder meer onder de reikwijdte van de WPR. De normering die van toepassing is op deze persoonsregistraties zal evenwel ook doorwerken in de wijze waarop met de gegevens op de chipcards wordt omgegaan. De doorwerking vindt plaats bij de normering met betrekking tot bijvoorbeeld de verstrekking van gegevens in overeenstemming met het doel en


VORIGE


INHOUD

VOLGENDE

>

de rechtmatige verkrijging van de gegevens, bij geheimhoudingsverplichtingen of bij de beveiliging van de gegevens. Zo ligt het voor de hand dat een gegevensverkrijging via chipcards waarbij in strijd wordt gehandeld met de grondbeginselen van gegevensbescherming, al spoedig als een onrechtmatige verkrijging zal moeten worden aangemerkt. Evenzo zal de verstrekking van gegevens via chipcards moeten voldoen aan dezelfde eisen als het gegevensverkeer met en tussen de achterliggende registraties zelf. Dat voor de verstrekking gebruik wordt gemaakt van chipcards, is voor het effect ervan immers van secundair belang. Het gebruik van chipcards bij het verstrekken van gegevens leidt dan ook vaak tot een beoogde, en in elk geval tot een voorwaardelijke verstrekking van gegevens uit de achterliggende registratie. Ook de registratie waaraan verstrekt wordt ondervindt hiervan de gevolgen, de onrechtmatigheid van een gegevensverstrekking van gegevens van de kaart leidt in vrijwel alle gevallen naar de onrechtmatige verkrijging van de gegevens. Ook de beveiliging van de gegevens op de kaart dient daarbij – gelijk de achterliggende persoonsregistratie – te voldoen aan eisen die de WPR daaraan stelt. Bijgevolg dient zorg te worden gedragen voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de gegevens op de chipcard9. De doorwerking van de normering van de WPR die op de achterliggende persoonsregistraties van toepassing is, is zodanig dat het van invloed zal zijn op het gehele gegevensverwerkende proces waarbij gebruik wordt gemaakt van chipcards. Deze doorwerking van de WPR op het gebruik van chipcards verloopt dan ook ‘soepeler’ dan in de eerder genoemde opvattingen wordt aangenomen. De gevolgen voor het gehele gegevensverwerkingsproces waarvan de kaarten en de achterliggende persoonsregistraties deel van uitmaken, kunnen het best inzichtelijk worden gemaakt aan de hand van de beginselen die aan de wet ten grondslag liggen. Hieraan zal in de komende paragrafen aandacht worden besteed. Omdat aan de EG-richtlijn dezelfde beginselen ten grondslag liggen als aan de WPR en omdat daarin niet gekozen is voor een benadering gericht op de persoonsregistratie maar op het gehele gegevensverwerkingsproces, is de EG-richtlijn genomen om de gevolgen van de rechtmatige gegevensverwerking bij chipcards op een heldere wijze in beeld te kunnen brengen. Overigens is de richtlijn ook als uitgangspunt gekozen omdat binnen enkele jaren de Nederlandse wetgeving hieraan moet zijn aangepast.

3.4

De normering van chipcard(gebruik) en de Europese richtlijn De richtlijn heeft betrekking op het verwerken van persoonsgegevens: ‘processing of personal data’ (artikel 2 onder b van de richtlijn10). Ook het verwerken van gegevens met behulp van chipcards valt hieronder. De richtlijn is dan ook direct van belang voor gegevensverwerkingen met behulp van chipcards. De richtlijn bevat in tegenstelling tot de te verbijzonderen rechtsbeginselen van het Verdrag van Straatsburg, meer uitgewerkte, aan de verschillende nationale privacy-wetten ontleende, te implementeren voorschriften11. Binnen drie jaar na juli 1995 zal de richtlijn in de Nederlandse wetgeving moeten zijn geimplementeerd.

3.5

Toetsingskader in het licht van de Europese richtlijn In deze paragraaf wordt ingegaan op de belangrijkste bepalingen uit de richtlijn die bij een beoordeling van het gebruik van chipcards, de opzet en werking van chipcardprojecten en de daarbij gebruikte gegevens, van invloed zullen zijn. Er is hierbij vooral aandacht besteed aan de artikelen 6,


VORIGE


INHOUD

VOLGENDE

>

7, 10, 11 en 12 uit hoofdstuk II waarin de algemene beginselen met betrekking tot de rechtmatigheid van het verwerken van gegevens worden behandeld. Zoals aangegeven heeft de richtlijn betrekking op ‘processing of personal data’: het verwerken van persoonsgegevens. De voor deze verwerking van persoonsgegevens verantwoordelijke partij is volgens de definities van artikel 2 van de richtlijn, ‘de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’. In de praktijk kunnen meerdere verantwoordelijke partijen bij een gegevensverwerkingsproces betrokken zijn. Zo zal bij chipcard-projecten deze verantwoordelijkheid verdeeld zijn over de bij het project betrokken actoren (zie paragraaf 2.5). Daarbij dient de vraag beantwoord te worden bij wie de verantwoordelijkheden liggen van de gegevensverwerking in een concreet geval. Van belang is dat bij de verdeling van deze verantwoordelijkheden geen lacunes ontstaan. Er dient te allen tijde iemand verantwoordelijk te zijn. Een van de voorwaarden voor de rechtmatigheid van verwerkingen van persoonsgegevens zijn de beginselen met betrekking tot de kwaliteit van de gegevens zoals neergelegd in artikel 6 van de richtlijn12. Hieronder vallen:

Fair en lawful processing Artikel 6, eerste lid, sub a, geeft het beginsel weer dat gegevens eerlijk en rechtmatig moeten worden verwerkt. De voor de verwerking verantwoordelijke partij moet erop toezien dat de verwerking van gegevens ‘eerlijk’ plaatsvindt. Om hieraan te voldoen zal aandacht moeten worden besteed aan de transparantie van de verwerking. Zo moet de betrokkene op de hoogte kunnen zijn van op hem betrekking hebbende verwerkingen van gegevens, en zal hij accurate en volledige informatie moeten krijgen waar gegevens over hem worden verzameld. Hoofdstuk II, afdeling IV van de richtlijn beschrijft de informatie – nodig voor ‘fair processing’ – die veelal moet worden verstrekt aan de betrokkene in het geval van het verzamelen van gegevens (artikel 10), het opnemen of verstrekken aan derden daarvan (artikel 11). Zo zal de betrokkene door de verantwoordelijke of diens vertegenwoordiger in de regel dienen te worden geinformeerd – tenzij hij dit al wist – over de identiteit van de verantwoordelijke en zijn eventuele vertegenwoordiger. Daarnaast moet de verantwoordelijke informatie geven over het doel van de verwerking en bijvoorbeeld over eventuele derden aan wie de gegevens worden verstrekt en over de uitoefening van inzage- en correctierechten. Wil een verwerking van gegevens rechtmatig plaatsvinden, dan zal tevens aan de voorwaarden zoals neergelegd in artikel 7 van de richtlijn moeten zijn voldaan. Dit artikel geeft limitatief de gronden weer voor het mogen verwerken van gegevens. Naast de mogelijkheid dat de betrokkene ondubbelzinnig zijn toestemming geeft, kan voor de verwerking een grond bestaan indien deze noodzakelijk is in verband met een met de betrokkene gesloten overeenkomst. Andere mogelijke gronden zijn de vervulling van een wettelijke verplichting, de bescherming van een vitaal belang van de betrokkene of de vervulling van een taak in het openbaar belang. Voor gevoelige gegevens gelden zwaardere eisen. De precieze grond voor verwerking van gegevens moet voor de betrokkene kenbaar kunnen zijn. Zo moet het voor hem duidelijk kunnen zijn of voor de verwerking bijvoorbeeld toestemming nodig is of dat de verwerking van gegevens plaatsvindt naar aanleiding van een met de betrokkene gesloten overeenkomst.


VORIGE


INHOUD

VOLGENDE

>

In geval de rechtmatige grondslag wordt gevormd door de toestemming van de betrokkenen zal duidelijk moeten zijn voor welke gegevensverwerking specifiek toestemming benodigd is. De toestemming is ook aan nadere voorwaarden verbonden. ‘Toestemming’ van een betrokkene is volgens de definitie van de richtlijn ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaard dat hem/haar betreffende persoonsgegevens worden verwerkt’(artikel 2 sub h). Artikel 7, sub a van de richtlijn geeft aan dat de toestemming door de betrokkene ‘ondubbelzinnig’ dient te worden gegeven. De vrije wilsuiting impliceert een reële keuze tussen het wel of niet geven van toestemming. De betrokkene zal doorgaans geen nadeel mogen ondervinden van het achterhouden van zijn of haar toestemming. In bepaalde gevallen zullen dan ook alternatieven moeten worden geboden.

Purpose specification Artikel 6, eerste lid, sub b, geeft het beginsel weer dat gegevens slechts mogen verzameld voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet verder verwerkt op een wijze die onverenigbaar is met die doeleinden. Ander gebruik van de gegevens mag slechts, indien dit niet onverenigbaar is met het doel. Het beginsel noopt tot terughoudendheid bij het verzamelen en opslaan van gegevens.

Gegevens dienen ‘adequate, relevant and not excessive’ en ‘accurate and up to date’ te zijn In artikel 6, eerste lid, sub c, is aangegeven dat gegevens toereikend, ter zake dienend en niet overmatig moeten zijn in relatie tot het doel waarvoor ze verzameld zijn en/of verder worden verwerkt. Onder d, is aangegeven dat tevens de nauwkeurigheid en actualiteit van gegevens waar nodig vast moet staan. In dat laatste geval moet iedere redelijke voorzorgsmaatregel zijn genomen om te verzekeren dat onnauwkeurige en incorrecte of incomplete gegevens, met inachtneming van de doeleinden waarvoor ze zijn verzameld, worden verwijderd of verbeterd.

Rechten van de betrokkene Op grond van artikel 12 van de richtlijn moet de voor de verwerking verantwoordelijke vrijelijk en zonder beperking binnen een redelijke termijn en zonder bovenmatige vertraging of kosten, de betrokkene meedelen of gegevens over hem worden verwerkt, en informeren over het doel van de verwerking, de categorieën van gegevens die worden verwerkt, en de – groepen van – ontvangers waaraan gegevens zijn verstrekt. Daarnaast moet op basis van dit artikel de betrokkene in kennis worden gesteld van de ‘logica’ die ten grondslag ligt aan de verwerking van zijn gegevens onder andere in het geval van automatische beslissingen zoals genoemd in artikel 15 van de richtlijn. Dit laatste artikel kent een betrokkene het recht toe zich in bepaalde gevallen of binnen bepaalde grenzen te onttrekken aan op hem betrekking hebbende geautomatiseerde individuele besluiten.

Beveiliging Artikel 17 vereist dat passende technische en organisatorische beveiligingsmaatregelen worden getroffen. Deze maatregelen moeten betrekking hebben op de verschillende onderdelen van het gegevensverwerkingsproces.


VORIGE


INHOUD

VOLGENDE

>

De belangrijkste uit de richtlijn af te leiden voorwaarden voor de rechtmatigheid van de verwerkingen van persoonsgegevens zijn in het licht van het voorgaande als volgt weer te geven: Allereerst dient aandacht besteed te worden aan de transparantie van de gegevensverwerking. Voor zover nodig in het kader van een eerlijke verwerking van gegevens moet bijvoorbeeld informatie verstrekt worden over het doel van – alle aspecten van – de gegevensverwerking, de rol en de identiteit van de voor de verwerking verantwoordelijke(n), de ontvangers van gegevens en de wijze van de uitoefening van de rechten van betrokkenen. Tevens zal op verzoek aan de betrokkene – vrijelijk en zonder beperking informatie moeten worden verschaft over het bestaan van gegevensverwerkingen en de logica die ten grondslag licht aan de verwerking. Daarnaast moet sprake zijn van een rechtmatige grondslag voor de verwerking van de gegevens zoals neergelegd in artikel 7 van de richtlijn. Indien de toestemming van de betrokkene vereist is moet duidelijk zijn waarvoor deze wordt gevraagd en er moeten waarborgen zijn voor het vrij zijn in het niet geven van toestemming. De doelbinding vereist uitdrukkelijk omschreven doeleinden voor de gegevensverwerking. Verwerking van de gegevens dient daarbij in beginsel per doel gescheiden plaats te vinden. Bovendien zal bij het vergaren van gegevens terughoudendheid moeten worden betracht. In verband met de kwaliteit van de gegevens moeten de gegevens toereikend, ter zake dienend en niet overmatig zijn in relatie tot het doel waarvoor ze worden verwerkt. De gegevens dienen tevens nauwkeurig te zijn en, zo nodig, te worden bijgewerkt. In dit verband dienen alle redelijke maatregelen te worden getroffen om gegevens die onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren. Verder brengen de rechten van betrokkenen mee dat er vrijelijk en zonder beperking mogelijkheden worden geboden voor inzage en correctie en zal in het kader van beveiliging voor passende maatregelen bij alle feitelijke en organisatorische onderdelen gezorgd moeten worden. Veelal additioneel aan de hier genoemde voorwaarden zullen vanzelfsprekend ook andere wettelijke voorschriften voorwaarden kunnen scheppen voor gegevensverwerking. Hierbij valt te denken aan geheimhoudingsverplichtingen, het Besluit Gevoelige Gegevens en de bepalingen in het Burgerlijk Wetboek omtrent de overeenkomst inzake de geneeskundige behandeling.

3.6

Gevolgen en maatregelen voor chipcardprojecten; De in de vorige paragraaf weergegeven voorwaarden zullen bij chipcardprojecten consequenties hebben voor:

De transparantie van verwerking Een betrokkene moet bij de verwerking van op hem betrekking hebbende persoonsgegevens worden geinformeerd over alle aspecten – zoals het doel, de opzet en de werking – van het gegevensverwerkingsproces. Bij gegevensverwerkingen met chipcards moet de informatie betrekking hebben op het doel van – de toepassingen binnen – het chipkaartproject en, indien dit afwijkt van het doel van het project, de doelomschrijving van eventueel achterliggende registraties. Ten aanzien van de opzet en de werking van het gegevensverwerkingsproces zal tevens informatie moeten worden verstrekt over bijvoorbeeld de rol en identiteit van de bij het chipcardproject betrokken partijen. Ook zal moeten


VORIGE


INHOUD

VOLGENDE

>

worden aangegeven welke registraties worden gevoerd in relatie tot het project, wie daarvan de houder zijn en aan welke eventuele derden gegevens worden verstrekt. Daarnaast zal informatie moeten worden gegeven over de kaart zelf (bijvoorbeeld wat voor soort kaart is het en hoe wordt deze gebruikt) en de gebruikte gegevens (bijvoorbeeld welke soort gegevens op de kaart worden opgeslagen). Wanneer een multifunctionele-kaart of een multi-toepassingskaart13 wordt geintroduceerd, zal aan de verstrekking van deze informatie extra aandacht moeten worden besteed. Een dergelijk gebruik van kaarten maakt het gegevensverwerkingsproces (nog) ondoorzichtiger voor de kaarthouder. Verder zal de betrokkene moeten worden geinformeerd over de wijze waarop deze zijn rechten zoals het inzage- en correctierecht feitelijk kan uitoefenen (tot wie deze zich moet wenden, en hoe en bij wie bezwaar kan worden aangetekend) en wat de procedure en gevolgen zijn bij verlies van de kaart.

Een rechtmatige grondslag voor de verwerking Voor de rechtmatige verwerking van gegevens met behulp van chipcards moet één van de in artikel 7 van de richtlijn genoemde gronden aanwezig zijn. Voor chipcards zal naar verwachting de grondslag vaak worden gevormd door de toestemming van de kaarthouder, een met de kaarthouder gesloten overeenkomst of een wettelijke grondslag. Ingeval toestemming vereist is voor de verwerking van gegevens, zal voor alle partijen duidelijk moeten zijn waarvoor in concreto toestemming wordt verleend, zoals voor de verstrekking van gegevens, het doorbreken van de zwijgplicht, het gebruik van de kaart, etc. Duidelijk moet zijn dat het overhandigen van een kaart door de kaarthouder niet zonder meer gelijk staat aan het verlenen van toestemming; dit hangt af van de omstandigheden van het geval14. Tevens dient te worden onderkend dat de toestemming om aan – een toepassing binnen – een kaartproject deel te nemen niet gelijk is aan de toestemming van betrokkene om in afzonderlijke situaties gebruik te mogen maken van de gegevens op de kaart. In beide gevallen zal overigens moeten worden gewaarborgd dat de betrokkene geen negatieve gevolgen ondervindt bij niet deelname resp. niet gebruik maken van de kaart. Het moet een reële keuze betreffen. Zo zal moeten worden voorkomen dat de beantwoording van de vraag om al of niet aan een chipcardproject deel te nemen feitelijk dwingend gegeven wordt door bijvoorbeeld een gebrek aan keuzemogelijkheden15. Indien toestemming vereist is moet deze vooraf aan de deelname worden gevraagd en op ieder moment dat wijzigingen optreden. De kaarthouder moet in beide gevallen (kunnen) weten waarvoor hij toestemming geeft.

De doelbinding van de verwerking Gegevens mogen enkel verzameld worden voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet verder verwerkt op een wijze die onverenigbaar is met die doeleinden. Bij een kaartproject moet een uitdrukkelijk omschreven en gerechtvaardigd doel worden aangegeven voor de verwerking van de gegevens. Het gaat hierbij niet om de ‘doeleinden’ van het project of de kaart zelf, hoewel deze vanzelfsprekend wel kunnen samenvallen. Ander, secundair gebruik van gegevens mag slechts indien dit gebruik niet onverenigbaar is met het doel. Multifunctioneel gebruik van gegevens, voor zover dit al mogelijk is onder de richtlijn, zal daardoor in beginsel slechts kunnen plaatsvinden met basisgegevens. Ook de ongelimiteerde aanwas van gegevens op de


VORIGE


INHOUD

VOLGENDE

>

kaart, bijvoorbeeld omdat de kaart nooit geschoond wordt, moet actief worden tegengegaan omdat dit op gespannen voet kan komen te staan met het doelbindingsprincipe. Indien een kaart meerdere gegevens voor meerdere doeleinden bevat, dan moet de kaart de mogelijkheden bieden om de gegevens die verwerkt worden per doeleinde af te schermen: het compartimenteren van de kaart ten behoeve van onverenigbare doelstellingen. Wordt de kaart bijvoorbeeld tevens gebruikt als hulpmiddel in noodsituaties, zoals soms bij medische-chipcards, dan moet de toegang tot de niet voor de noodsituatie noodzakelijke gegevens worden afgeschermd (zie paragraaf 2.4 en 2.7).

De kwaliteit van gegevens bij verwerking Op basis van de richtlijn moeten bij het gebruik van chipcards redelijke voorzorgsmaatregelen zijn getroffen om te verzekeren dat onnauwkeurige en incorrecte of incomplete gegevens – met inachtneming van de doeleinden waarvoor ze zijn verzameld – worden verwijderd of verbeterd. Hierbij dient tevens aandacht te worden besteed aan bewaartermijnen van gegevens op de kaart en de schoning van de kaarten. Bij gebruik van chipcards moet de kaartuitgever bewerkstelligen dat procedures worden opgesteld om de bij de verwerking betrokken gegevens – zoals de gegevens op de kaart – toereikend, ter zake dienend en niet overmatig zijn voor het doel waarvoor ze zijn verzameld en verder worden gebruikt. Enkele mogelijke maatregelen om dit te bereiken zijn: – maatregelen voor het vaststellen van de integriteit van de gegevens bij de opslag van de gegevens op de kaart door vast te leggen wie de gegevens op de kaart heeft gezet en wanneer ze zijn opgenomen; – maatregelen voor het verwijderen van gegevens op de kaart na het verstrijken van de bewaartermijn; – controleprocedures m.b.t. de juistheid en de volledigheid van de gegevens die op de kaart worden gezet. Hierin kan bijvoorbeeld worden opgenomen dat onjuiste gegevens slechts kunnen worden aangepast na overleg met degene die ze op de kaart heeft gezet. – indien onvoldoende waarborgen aanwezig zijn om de kwaliteit van de gegevens op de kaart te verzekeren dan moeten maatregelen worden getroffen om te voorkomen dat ingrijpende beslissingen worden genomen uitsluitend op basis van gegevens op de kaart. – maatregelen om bij geconstateerde onvolkomenheden bij de kwaliteit van de gegevens op de kaart te bewerkstelligen dat niet alleen de gegevens op de kaart maar ook die in de achterliggende persoonsregistratie worden aangepast, en vice versa.

De rechten van betrokkenen Met betrekking tot het uitoefenen van inzage- en correctierechten door de betrokkene moeten procedurele afspraken worden gemaakt en technische faciliteiten ter beschikking worden gesteld. Indien de gegevens op de kaart een afgeleide zijn van de achterliggende registratie zal hiermee rekening dienen te worden gehouden. Voor het effectief kunnen uitoefenen van deze rechten door een kaarthouder verdient het sterk de voorkeur dat bij de opzet van een project wordt gekozen voor één informatiepunt, bijvoorbeeld in de vorm van een helpdesk. Eventueel kunnen specifieke chipcardfaciliteiten ter beschikking worden gesteld om deze rechten ook feitelijk uitvoerbaar te maken.


VORIGE


INHOUD

VOLGENDE

>

Beveiliging bij alle feitelijke en organisatorische onderdelen De beveiliging dient betrekking te hebben op alle onderdelen zoals de achterliggende registratie, het netwerk, de kaart, de kaartlezers en de chipcard. Enkele voorbeelden van maatregelen zijn: – bescherming en afscherming van het systeem, de kaart, de kaartlezer of de afzonderlijke gegevens met behulp van encryptie en ‘inlog’-procedures, eventueel gecombineerd met een PINcode, de registratie van inlog-gegevens en de autorisatie controle van een gebruiker; – de kaart, kaarthouder, systeem, kaartlezer, etc. moeten technisch geidentificeerd kunnen worden; – ‘zelfvernietiging’ van de kaart en/of blokkering van de gegevens bij ongeautoriseerd gebruik; – scheiding van gegevens op de kaart door middel van compartimentering waardoor het exclusief gebruik van bepaalde gegevens door bepaalde groepen kan worden bewerkstelligd; – maatregelen tegen de ‘fraudulent update’ van gegevens; – periodieke controle op de consistentie van de gegevens; – het in noodgevallen openstellen van slechts een deel van de kaart.

De voor de verwerking verantwoordelijke Naast het bovenstaande zal moeten worden vastgesteld wie bij een chipcardproject voor de verwerking verantwoordelijk is. Bij chipkaartprojecten kunnen veel partijen bij het gegevensverwerkingsproces betrokken zijn. Naast de kaartuitgever zijn er bijvoorbeeld de toepassingsaanbieders en de kaartacceptanten (zoals artsen, winkeliers of banken). De verantwoordelijkheid van de verwerking van de gegevens zal verdeeld zijn over deze bij het project betrokken actoren. Dit zal per project moeten worden vastgesteld, en aan betrokkenen kenbaar moeten worden gemaakt. De kernvraag bij het vaststellen van deze verdeling is wie in een concreet geval de centrale actor/verantwoordelijke is en wie daarbij medeverantwoordelijk zijn. Van belang is dat daarbij geen lacunes ontstaan. Een ‘geschaalde’16 verantwoordelijkheidsverdeling is hier het uitgangspunt. In de praktijk betekent dit dat bij een project een kaartuitgever de primair verantwoordelijke zal zijn, tenzij de aanbieder van een toepassing verantwoordelijk is, en die weer tenzij de kaartacceptant verantwoordelijk is. Deze verdeling van verantwoordelijkheden en de eventueel daaruit voortvloeiende aansprakelijkheid doet overigens niet af aan een eventuele aansprakelijkheid die kan voortvloeien uit andere regelgeving.

3.7

Zelfregulering; gedragscodes en gedragsregels De beginselen zoals vastgelegd in wet en regelgeving geven niet in concreto aan waaraan een chipcard-project moet voldoen. Dit zal in een evenwichtig samenspel van technische en organisatorische maatregelen per project nader moeten worden uitgewerkt. Specifiek gebruik van chipcards vraagt doorgaans om een scala van organisatorische procedures. De ervaring tot nu toe leert dat het volgens de normering vereiste niveau nog niet altijd bereikt is, bijvoorbeeld wat betreft de transparantie van projecten. Voor zover hieraan niet is voldaan zullen alsnog maatregelen moeten worden getroffen voor de opzet en inrichting van projecten. Het is echter onwenselijk dat er daarbij wildgroei ontstaat in de wijze waarop verschillende chipcardprojecten worden ingericht. Dit maakt een breed chipcard-gebruik ondoorzichtig en slecht


VORIGE


INHOUD

VOLGENDE

>

controleerbaar waardoor de rechtsbescherming van de kaarthouders in de knel kan komen. Uniformiteit en standaardisering is dan ook zeker gewenst. Een middel hiervoor is de in artikel 15 van de Wet persoonsregistraties geboden mogelijkheid voor het opstellen van gedragscodes17. Een organisatie in een bepaalde sector of daarmee vergelijkbare instellingen die het stellen van nadere normen voor die sector nastreven, kan, binnen de grenzen van haar statuten, de voor de leden bindende besluiten nemen of aanbevelingen doen, die haar dienstig voorkomen. Deze vorm van zelfregulering biedt organisaties de mogelijkheid om op hun gebied nader invulling te geven aan de algemene normen van de wet. De wet bevat voorzieningen om er voor te zorgen dat deze collectieve vorm van zelfregulering op een zorgvuldige en evenwichtige wijze plaatsvindt. Blijft zelfregulering uit of sorteert deze onvoldoende effect, dan bestaat de mogelijkheid om bij algemene maatregel van bestuur voor een bepaald deelgebied via een algemene maatregel van bestuur dwingende regels op te leggen (artikel 16 WPR). Zoals in het jaarverslag van de Registratiekamer is aangegeven, benadrukt de Kamer de noodzaak van een gedragscode op het terrein van chipcards, eventueel aangevuld met een gedragscode voor speciale terreinen zoals de gezondheidszorg18. In Nederland heeft de door de overheid en het bedrijfsleven eind 1993 opgerichte Stichting Nationaal Chipcard Platform (NCP) de taak op zich genomen om een bijdrage te leveren aan een onderling afgestemde, en verantwoorde invoering van chipcardtechnologie in Nederland en het stimuleren van (het tot stand brengen van) infrastructurele voorwaarden voor grootschalige invoering van chipcardtechnologie19. In NCP verband wordt gewerkt aan een Open Infrastructuur voor Chipcardtoepassingen (OIC); een stelsel van afspraken op administratief, organisatorisch, juridisch en technisch gebied, zowel op bestuurlijk als op operationeel niveau, gebaseerd op internationale en nationale normen en gericht op het bevorderen van samenwerking bij toepassingen van chipcardtechnologie. Een van de activiteiten van het NCP is het formuleren van privacygedragsregels. De uitgangspunten voor het opstellen van deze gedragsregels zijn mede gebaseerd op de hiervoor besproken privacyprincipes. Dit was overigens niet de enige reden voor het opstellen van de regels. Van misschien wel grotere invloed hierbij was de bevordering van de maatschappelijke acceptatie van de chipcard door de consument, zoals neergelegd in de preambule bij de gedragsregels20. Een van de uitgangspunten van de gedragsregels van het NCP is de keuze voor – logische of functionele – compartimentering van chipcards bij gebruik van de kaart voor meerdere toepassingen. De regels beperken zich tot chipcards die op een natuurlijke persoon identificeerbaar zijn21. De regels bevatten onder meer bepalingen over de rechten van de kaarthouders bij inzage en correctie, de bevoegdheden en verantwoordelijkheden van de actoren, de informatieverplichtingen, het gebruik van gegevens in relatie tot het doel waarvoor ze zijn opgenomen, beveiligingsaspecten, een regeling voor het intrekken van de kaart, verlies en blokkering, de kwaliteit van de gegevens, en het instellen van een helpdesk ter ondersteuning van bepaalde taken. Deze gedragsregels zijn een noodzakelijke en waardevolle uitwerking van de wettelijke vereisten met betrekking tot privacybescherming. Bovendien zijn gedragsregels een flexibel middel waarmee beter kan worden aangesloten bij de ontwikkelingen inherent aan de techniek.

Noten Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens , Straatsburg, 28 januari 1981, Trb. 1988, 7, goedgekeurd bij Wet van 20 juni 1990, Stb. 351, gewijzigd bij Wet van 27 november 1991, Stb. 654.

1


VORIGE


INHOUD

VOLGENDE

>

2 De EG-richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

3 Op mondiaal niveau zijn in dezelfde periode de Privacy Guidelines van de OECD ontwikkeld (Guidelines on the protection of Privacy and Transborder Flows of Personal Data), die een vergelijkbaar niveau van bescherming voor OECD-lidstaten formuleren.

4 De wet geeft uitvoering aan artikel 10, tweede en derde lid, van de Grondwet. Hierin is voorgeschreven dat de wet regels stelt: – ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens; – inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt alsmede op verbetering van zodanige gegevens.

O.a. W.J. Slagter, Privacybescherming bij het gebruik van de chipcard in de gezondheidszorg, Computerrecht, nr. 1, 1995, pag. 3.

5

6 Doornheim/De Vries & Partners B.V., De Zorgpas, Toepassingen en kosten/baten analyse, Juridische aspecten, Technologie, standaardisatie en beveiliging, Ouderkerk a/d Amstel, 1993, pag.153.

7 A. Mosshammer, E. Houtepen, Privacy en smartcards, Telematica Research Center, Enschede, 1994, p.37 en Privacy bij gebruik van chipcard in de gezondheidszorg: een commentaar, Computerrecht 1995/2, pag 60.

Memorie van Antwoord bij de Wet persoonsregistraties, TK, 19 095, nr. 6, pag. 23 en 24.

8

9 De uitgangspunten voor beveiligingsmaatregelen bij persoonsregistraties zijn neergelegd in het rapport van de Registratiekamer Beveiliging van persoonsregistraties, Rijswijk, 1994.

Artikel 2 onder b definieert de ‘verwerking van persoonsgegevens’ als ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’.

10

Ten gevolge van de richtlijn zal de huidige regelgeving wetstechnisch een ingrijpende verandering moeten ondergaan. In de maatschappelijke uitwerking zal daarentegen weinig veranderen; er is sprake van een grote continuiteit. Wel zal bijvoorbeeld het beginsel van de doelbinding- d.w.z. gegevens slechts gebruiken voor het doel waarvoor ze zijn verzameld en worden verwerkt – stringenter worden toegepast. 11

12

Vergelijk artikel 5 van het Verdrag van Straatsburg.

13

Zie paragraaf 2.7

In tegenstelling tot bijvoorbeeld W.J. Slagter die van mening is dat in het geval van het overhandigen van een chipcard door de kaarthouder aan een zorgverlener dit meteen de toestemming impliceert om van de gegevens op de kaart kennis te nemen. W.J. Slagter, t.a.p, pag. 3.

14

15

Chipkarten im Gesundheitswesen, Recht der Datenverarbeitung, RDV, 10e jaargang, 1994, afl. 3 p. 143.

16

‘Geschaald’ zoals bij in elkaar vallende (keuken)schalen.

Gedragscode: een besluit van een of meer organisaties, representatief voor de sector waarop het besluit betrekking heeft, houdende in het belang van de bescherming van de persoonlijke levenssfeer gestelde regels of gedane aanbevelingen ten aanzien van persoonsregistraties.

17

18

Registratiekamer, Jaarverslag 1994, pag. 61.

B. Bornkamp, N.F. Breed, Chipcardprojecten in Nederland 1994, rapport van de Stichting Nationaal Chipcard Platform, Leidschendam, 1994, pag.9.

19

Consumentenaspecten van chipcards komen in een aantal gevallen volledig overeen met de genoemde privacybeginselen. Dit is niet verwonderlijk omdat voor beide een ‘eerlijke’ verwerking van persoonsgegevens van groot belang is. Bij consumentenaspecten gaat het bijvoorbeeld ook over de ‘doorzichtigheid’ van de gegevensverwerking voor de kaarthouder, de ‘veiligheid en betrouwbaarheid’ zoals wie is wanneer aansprakelijk en de beperking van de gebruiksmogelijkheden van de gegevens op de kaart. Ook de keuzevrijheid voor het al of niet gebruik maken van een kaart is een consumentenaspect. De Consumentenaspecten en de beginselen van privacybescherming liggen in elkaars verlengde en zullen beiden van invloed zijn op de acceptatie van de kaart-techniek in de samenleving. T.C.M. Weijers, W.J. Vriezen, P.A.F. de Bruin, A.H. Scholten, Information Technology, Chipcards and the consumer, SWOKA rapport nr.160, Den Haag, 1994, pag. 87 ev. en D.M. Westendorp, De ontwikkelingen rond de chipcard-technologie vanuit een consumentenperspectief, Privacy en Registratie, 1995, nr.1, pag 31.

20

21

J. Holvast, Code of Conduct for Chipcard Applications in the Netherlands, Privacy Laws & Business, Cambridge, juli 1995.


VORIGE


INHOUD

VOLGENDE

>

4 Samenvatting en aanbevelingen

Chipcards: eigenschappen, functies en toepassingen Een produkt van de informatietechnologie dat reeds op verschillende terreinen zijn toepassing heeft gevonden, maar waarvan de ontwikkeling nog lang niet stil staat, is de chipcard: een plastic kaartje ter grootte van een creditcard met een geheugenchip en meestal ook een microprocessor. Omdat de chipcard gegevens kan bevatten en vaak ook bewerkingen kan uitvoeren, is het een instrument dat kan worden gebruikt voor uiteenlopende functies en toepassingen: als identificatiemiddel, als betaalkaart, als elektronische sleutel tot informatiesystemen, als toegangspas, etc. Op uiteenlopende terreinen, zoals in het betalingsverkeer, bij dienstverlening en in de gezondheidszorg biedt het gebruik van chipcards aantrekkelijke voordelen. Zo kan het gebruik leiden tot meer efficiency en een betere service aan de consument. Welke functies met een chipcard kunnen worden vervuld, is op de eerste plaats afhankelijk van de technische mogelijkheden en beperkingen van de kaart. Kaarten kunnen hierin onderling sterk verschillen. Er zijn chipcards waarvan de gegevens alleen kunnen worden gelezen, er zijn ook chipcards waarvan de gegevens kunnen worden gewijzigd en aangevuld. Dit is vaak weer afhankelijk van het al of niet uitgerust zijn met een microprocessor die zelfstandig een aantal functies kan uitoefenen. Sommige kaarten bieden de mogelijkheid voor selectieve toegankelijkheid van gegevens. Welke functies een chipcard kan vervullen hangt ook af van de randapparatuur. Het gaat hierbij bijvoorbeeld om voorzieningen waarmee de gegevens op de kaart kunnen worden gelezen en eventueel worden gewijzigd of aangevuld. Overigens zal er in de meeste gevallen ook sprake zijn van een persoonsregistratie waarin gegevens van de kaart en het kaartgebruik worden vastgelegd, bewerkt of verstrekt. Bij de introductie en het gebruik van chipcards zijn verschillende partijen betrokken. De uitgever van de kaart is de instantie of de persoon die de kaart uitreikt en die het beheer met alle bijbehorende activiteiten verzorgt. De acceptant van de kaart is de persoon of de organisatie die de kaart accepteert voor het verrichten van bepaalde diensten of het leveren van produkten (bijvoorbeeld de winkelier die de consument de mogelijk biedt om met een betaalkaart te betalen). De houder van de kaart is doorgaans degene op wiens naam de kaart is gesteld en die van de betreffende diensten gebruik maakt met behulp van de kaart. Elk van deze betrokken partijen heeft zijn eigen verantwoordelijkheid voor het gebruik van de kaart en de gegevens. Indirect zijn bij het gebruik van chipcards ook betrokken de producenten en leveranciers van de kaarten, randapparatuur en infrastructuur, en eventueel de organisatie die hulp biedt bij storingen of problemen zoals een help-desk.

Privacy, gegevensbescherming en chipcards Welke gegevens op een chipcard zijn vastgelegd, zal onder meer afhangen van de toepassing waarvoor de kaart gebruikt wordt. In de meeste gevallen echter, zijn het gegevens van of over de houder van de kaart. Ter bescherming van de privacy van de houder is het van belang dat met die gegevens zorgvuldig wordt omgegaan, dat ze juist en volledig zijn, dat ze niet in verkeerde handen komen en dat de kaarthouder weet waarvoor ze worden gebruikt. De kaart maar ook het gebruik


VORIGE


INHOUD

VOLGENDE

>

van de gegevens en de gegevensverwerking met achterliggende persoonsregistraties moet daarom aan bepaalde voorwaarden voldoen. Die voorwaarden vloeien voort uit de normen en regels die in de wet en verdragen zijn vastgelegd voor de omgang met persoonsgegevens. Het gaat hierbij overigens ook om de ‘sporen’ die het gebruik van de kaart nalaat, zoals identificatiegegevens of gegevens over datum, tijdstip, plaats en frequentie van het kaartgebruik. Ook deze gegevens zijn persoonsgegevens indien ze herleidbaar zijn tot de houder van de kaart. Wanneer chipcards voor een bepaalde toepassing worden gebruikt moeten de bij het chipcardproject betrokken partijen zich aan een aantal regels houden. Dat is van belang voor de bescherming van de persoonlijke levenssfeer van de houder van de kaart en de rechtmatigheid van de gegevensverwerkingen die plaatsvinden bij gebruik van chipcards. De normen en beginselen voor privacybescherming bij gegevensverwerking zijn onder meer vastgelegd in het Verdrag van Straatsburg, het Europees Verdrag voor de rechten van de mens, de OECD-guidelines, artikel 10 van de Grondwet, de Wet persoonsregistraties en de EG-richtlijn bescherming persoonsgegevens. De in het Verdrag van Straatsburg neergelegde beginselen hebben betrekking op de kwaliteit van gegevens en voor de verwerking daarvan. Wat betreft de verwerking dienen persoonsgegevens eerlijk en rechtmatig verkregen te zijn, en verwerkt te worden. De opslag en het gebruik ervan zijn gebonden aan een specifiek en rechtmatig doel. Uitgangspunt is dat geen gegevens mogen worden opgenomen die niet in overeenstemming zijn met het vooraf bepaalde doel. De gegevens mogen vervolgens niet worden gebruikt voor doeleinden die met dat doel onverenigbaar zijn. Daarnaast is er het beginsel van de transparantie of kenbaarheid: het moet voor de geregistreerde – de persoon over wie gegevens zijn vastgelegd – voldoende duidelijk zijn wie over zijn gegevens beschikt en waar ze voor worden gebruikt. De beginselen met betrekking tot de rechtspositie van een geregistreerde houden in dat deze inzage moet kunnen hebben in zijn gegevens, onjuiste gegevens moet kunnen laten verbeteren en niet ter zake doende gegevens moet kunnen laten verwijderen. Tenslotte moet worden gezorgd voor een toereikende beveiliging van het gegevensverkeer. De beginselen van het Verdrag van Straatsburg zijn onder meer uitgewerkt in de Wet persoonsregistraties (WPR) en de Europese richtlijn betreffende de bescherming van natuurlijke personen in verband met de behandeling van persoonsgegevens en betreffende het vrije verkeer van die gegevens, zoals die onlangs is vastgesteld. De WPR heeft gevolgen voor toepassingen met chipcards. Dit komt doordat het gegevensverwerkende-proces waarbij gebruik wordt gemaakt van chipcards – vrijwel altijd – interactie meebrengt met achterliggende persoonsregistraties die onder de reikwijdte van de wet vallen. De normering die van toepassing is op deze registraties werkt zodanig door dat het van invloed zal zijn op het gehele gegevensverwerkende proces waarbij gebruik wordt gemaakt van chipcards. Wat de gevolgen van de normering zijn is in deze studie benaderd vanuit de nieuwe EG-richtlijn. Hiervoor is gekozen omdat aan de EG-richtlijn dezelfde beginselen ten grondslag liggen als aan de WPR en omdat met de daarin gekozen benadering de gevolgen voor chipcards duidelijker in kaart kunnen worden gebracht. Bovendien zal binnen enkele jaren de Nederlandse wetgeving aan deze richtlijn moeten zijn aangepast. De belangrijkste voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens, zoals die in de EG-richtlijn zijn bepaald, zijn de volgende: Transparantie van de gegevensverwerking – Voor zover nodig in het kader van een eerlijke verwerking van gegevens moet aan betrokkenen informatie worden verstrekt over het doel van de gegevens-


VORIGE


INHOUD

VOLGENDE

>

verwerking; over de rol en de identiteit van de voor de verwerking verantwoordelijke personen of instanties; de ontvangers van gegevens; en over de wijze waarop betrokkenen hun recht op inzage, correctie of verwijdering kunnen uitoefenen. Tevens moet op verzoek van de betrokkene, vrijelijk en zonder beperking, informatie worden verschaft over het bestaan van gegevensverwerkingen en de logica die ten grondslag licht aan de verwerking. Rechtmatige grondslag – De richtlijn bepaalt dat voor de verwerking van de gegevens een rechtmatige grondslag moet bestaan. In bepaalde gevallen betekent dit dat de toestemming is vereist van de betrokkene. In dergelijke gevallen moet de betrokkene voldoende duidelijk worden gemaakt waarvoor zijn toestemming wordt gevraagd en er moeten waarborgen zijn voor het vrij zijn in het niet geven van toestemming. Doelbinding – Voor elke vorm van gegevensverwerking moet het doel duidelijk worden omschreven. De verwerking van gegevens voor verschillende doelen dient in beginsel voor elk doel afzonderlijk plaats te vinden. Bovendien zal bij het vergaren van gegevens terughoudendheid moeten worden betracht. Kwaliteit van de gegevens – De gegevens moeten toereikend, ter zake dienend en niet overmatig zijn in relatie tot het doel waarvoor ze worden verwerkt. De gegevens dienen tevens nauwkeurig te zijn en zonodig te worden bijgewerkt. Alle redelijke maatregelen dienen te worden getroffen om gegevens die onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren. Rechten van betrokkenen – Er moeten vrijelijk en zonder beperking mogelijkheden worden geboden voor inzage in en correctie van de gegevens die worden verwerkt. Beveiliging – Er moet worden gezorgd voor een toereikende beveiliging voor alle onderdelen van het gegevensverwerkende proces. Er dienen zodoende maatregelen te worden genomen om verlies, verminking of onbevoegde toegang tot de gegevens te voorkomen. Bij elke vorm van verwerking van persoonsgegevens moet aan bovenstaande voorwaarden zijn voldaan. Afhankelijk van de aard van de gegevens en het doel waarvoor en de context waarbinnen ze worden gebruikt, kunnen daarnaast nog andere, wettelijke voorschriften gelden, bijvoorbeeld ten aanzien van geheimhouding. Zo zijn voor medische gegevens nadere voorschriften opgenomen in het Burgerlijk Wetboek bij de bepalingen omtrent de overeenkomst inzake geneeskundige behandeling. Voor de vastlegging en het gebruik van gevoelige gegevens – zoals medische gegevens – zijn weer beperkende voorwaarden vastgelegd in het Besluit gevoelige gegevens.

Voor het gebruik van chipcards in de verschillende toepassingen zoals die momenteel en in de toekomst worden ontwikkeld, kunnen deze voorwaarden in de volgende aanbevelingen worden vertaald:

Voorlichting De wijze van het gebruik van chipcards en de gevolgen daarvan zullen voor de uitgevers en aanbieders van kaarten meestal wel duidelijk zijn. Voor de kaarthouder zal – als weinig deskundige buitenstaander – deze vaak complexe materie veel minder helder zijn. Het beginsel van transparantie vereist dat aan de kaarthouders volledige duidelijkheid wordt verschaft over de betrokken partijen en hun verantwoordelijkheden. Het moet de kaarthouder ook duidelijk zijn welke gegevens op zijn kaart zijn, of worden vastgelegd en hoe en waarvoor die worden gebruikt. Als het gebruik


VORIGE


INHOUD

VOLGENDE

>

van de chipcard met zich mee brengt dat gegevens van die kaart worden vastgelegd in een registratie, of dat de kaartgegevens worden vergeleken met gegevens in een registratie, dan moet aan de kaarthouder ook daarover alle duidelijkheid worden verschaft. Met name bij multifunctioneel gebruik van de gegevens op de kaart of bij het gebruik van de kaart voor meer dan een doel is het van belang bij de voorlichting extra aandacht te besteden aan dit gebruik. Tenslotte moet de kaarthouder ook worden voorgelicht over de wijze waarop hij zijn recht op inzage, correctie of verwijdering kan uitoefenen. Informatiepunt Mede gezien de vele partijen die in de regel betrokken zijn bij het gebruik van een chipcards, is het aan te bevelen een gemeenschappelijk informatiepunt, zoals een helpdesk in te stellen. Ook de uitoefening door de kaarthouder van zijn recht op inzage en correctie van de gegevens, kan daarmee worden gefaciliteerd. Gegevensgebruik Bij een kaartproject moet een uitdrukkelijk omschreven en gerechtvaardigd doel worden aangegeven voor de verwerking van gegevens. Ander gebruik van gegevens mag slechts indien dit niet onverenigbaar is met het doel. Dit vereiste impliceert dat de gegevens die door het gebruik van chipcards worden vastgelegd en verwerkt, in principe niet mogen worden gebruikt voor andere dan de vooraf bepaalde doelstellingen, die bovendien aan de kaarthouder moeten zijn medegedeeld. Dat geldt ook voor de zogenaamde ‘sporen’ die door het gebruik van de kaart worden achtergelaten. Gebruik voor andere doeleinden kan al snel op gespannen voet komen te staan met de wettelijke eisen van transparantie en doelbinding. Zeker met het met behulp van deze gegevens opstellen van bijvoorbeeld klantprofielen ‘achter de rug’ van betrokkenen om moet grote terughoudendheid worden betracht. Kwaliteit van de gegevens Bij het gebruik van chipcards moeten alle redelijke voorzorgsmaatregelen zijn getroffen om te verzekeren dat onnauwkeurige, onjuiste of onvolledige gegevens worden verwijderd of verbeterd. Hierbij dient tevens aandacht te worden besteed aan bewaartermijnen van gegevens op de kaart en de schoning van de kaarten. Keuzevrijheid Bij een chipcardproject – met deelname op basis van toestemming of een contract – moet worden gewaarborgd dat een aspirant-kaarthouder geen negatieve gevolgen ondervindt bij niet deelname. Om te voorkomen dat er een ‘vrijwillige verplichting’ ontstaat om voor bepaalde diensten of faciliteiten een chipcard te gebruiken, moeten reële en gelijkwaardige alternatieven beschikbaar zijn voor personen die niet met de techniek uit de voeten kunnen – zoals ouderen of gehandicapten – of om andere reden geen chipcard willen gebruiken. De feitelijke onmogelijkheid van een keuze moet voorkomen worden. Compartimentering Wanneer op een chipcard gegevens worden vastgelegd die voor verschillende functies en toepassingen worden gebruikt, is het zaak die gegevens zoveel mogelijk van elkaar – in technische of logische compartimenten – te scheiden. Hiermee wordt tegemoet gekomen aan het beginsel van de doelbinding (gebruik gegevens alleen voor het vooraf gespecificeerde doel) en beveiliging. Het gemeenschappelijk gebruik van gegevens moet – om vervaging van de doelstelling te voorkomen – zoveel mogelijk worden voorkomen. Administratief gemak is onvoldoende rechtvaardiging voor een gemengd gebruik van gegevens.


VORIGE


INHOUD

VOLGENDE

>

Beveiliging Alle onderdelen van een chipcard systeem, waaronder de chipcard, de kaartlezers, het netwerk en de registratie, moeten toereikend worden beveiligd o.a. tegen onbevoegde toegang en ongeoorloofd gebruik. Behalve van de mogelijkheid van compartimentering kan voor beveiliging ook gebruik worden gemaakt van bijvoorbeeld PIN-codes en encryptie. Inzage, correctie en verwijdering van gegevens De kaarthouder moet op eenvoudige wijze een overzicht kunnen krijgen van de gegevens die zijn vastgelegd op zijn kaart en in de eventuele registratie waarmee het gebruik van de kaart is verbonden. Bij correctie en verwijderingsverzoeken van gegevens op de kaart moeten maatregelen worden getroffen om de gegevens ook in de eventuele achterliggende registratie te wijzigen. Dit dient zo nodig ook omgekeerd te gebeuren. Procedures Elke specifieke toepassing van chipcards vraagt om een scala van organisatorische procedures, bijvoorbeeld voor de inrichting en het beheer van de voorzieningen en voor de verwerking van de gegevens. Om te voorkomen dat er een wildgroei ontstaat in de wijze waarop chipcardprojecten worden ingericht, is enige uniformiteit en standaardisering gewenst. Het opstellen van een gedragscode voor het gebruik van chipcards kan hierbij een belangrijke rol spelen.


VORIGE


INHOUD

VOLGENDE

>

In de serie Achtergrondstudies en Verkenningen zijn reeds verschenen:

B.J.P. Hulsman en P.C. Ippel, Personeelsinformatiesystemen - de Wet persoonsregistraties toegepast, juni 1994, ISBN 90 74087 02 7 (DPAREG 1341)

J.P.M. van Casteren, Bevolkingsgegevens: Wie mag ze hebben? - verstrekking van gegevens uit de GBA aan vrije derden, januari 1995, ISBN 90 34631 333 8

A.F. Rommelse, Ziekteverzuim en privacy - controle door de werkgever en verplichtingen van de werknemer, maart 1995, ISBN 90 346 3165 6, ƒ 25.

A.F. Rommelse, Zwarte lijsten - belangen en effecten van waarschuwingssystemen, mei 1995, ISBN 90 346 3183 4, ƒ 25.

H. van Rossum, e.a.,Privacy-enhancing technologies: the path to anonymity, volume I and II, ISBN 90 346 3202 4, ƒ 50.

H.J.M. Gardeniers, Chipcards en privacy - Regels voor een nieuw kaartspel, ISBN 90 346 3223 7, ƒ 25.

Deze publikaties kunt u bestellen bij Sdu/DOP (Postbus 11594, 2502 AN Den Haag, telefoon 0703789830, fax 070-3789783) onder vermelding van titel en ISBN of bestelnummer.


VORIGE


INHOUD

VOLGENDE

>

mr. H.J.M. Gardeniers CHIPCARDS EN PRIVACY TEN GELEIDE Regels voor een nieuw kaartspel Achtergrondstudies en Verkenningen 6

Recommend Documents