Maandag 8 januari 2018

Privacy by design

Privacy by design

Praktisch denken is voor veel designers in de ICT-sector iets wat niet de prioriteit heeft. Designers zijn meestal vrije geesten die het liefst een imposante c.q. betekenisvolle lading geven aan een creatie. Vanaf 25 mei 2018 moeten zij echter naast de gebruiksvriendelijkheid die een opdrachtgever vaak eist, met nog een belangrijk facet rekening houden. Namelijk Europese regelgeving genaamd de Algemene Verordening Gegevensbescherming (hierna: AVG). Dit is een vertaling van de GDPR (General Data Protection Regulation) en de vervanger van de Nederlandse Wet bescherming persoonsgegevens (Wbp). Met name artikel 25 van de AVG is van belang voor het design. Privacy by design gaat hand in hand met een ander belangrijk begrip voor ontwikkelaars; ‘privacy by default’. Artikel 25 AVG is zelfs getiteld ‘Gegevensbescherming door ontwerp (design) en door standaardinstellingen (default)’. In dit stuk ga ik voorbij aan de ‘privacy by default’ kwesties en zal ik ingaan op de effecten die de AVG heeft voor het ontwerpen van producten en diensten in de ICT-sector. Zo komen de volgende twee vragen aan bod; wat houdt privacy by design in en wat voor gevolgen heeft dit voor een ontwikkelaar/designer?

Wat is privacy by design?

Artikel 25 AVG is een wat abstract geformuleerd artikel. De kern van het artikel luidt als volgt:

‘treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.’

De ‘verwerkingsverantwoordelijke’ is simpel gezegd degene die persoonsgegevens binnen krijgt en verwerkt. In een ICT-setting is dit vaak de opdrachtgever, waar een ontwikkelaar dan rekening mee moet houden bij het bouwen van een informatiesysteem. Het artikel vertelt ons in principe dat een design van product/dienst overeenkomstig de rest van de AVG moet zijn. Oftewel, dat alle regels neergelegd in de AVG zo goed mogelijk nageleefd kunnen worden door middel van een doelmatig design. Het voorkomen van een privacy inbreuk staat centraal door preventief over risico’s na te denken. ¹Ann Cavoukian. Privacy by design: The 7 foundational principles. Information and Privacy Commissioner of Ontario, Canada, 2009. Het ontwerp waarborgt dus een zo goed mogelijke gegevensbescherming. Dat betekent dat bij de start van het ontwerpen al nagedacht wordt over privacy.

Wat voor gevolgen heeft privacy by design voor een ontwikkelaar?

Keuzes in de inrichting van een systeem hebben gevolgen voor de privacy van een betrokkene. Hoe minder gegevens direct herleidbaar zijn tot een persoon, hoe beter. Dit geldt eveneens voor beveiligingsmaatregelen. Des te veiliger je systeem, des te minder kans dat er een datalek ontstaat. Zo’n datalek is onder de AVG in theorie grond voor een forse boete (oplopend tot 20.000.000 euro of 4% van de jaaromzet) van de Autoriteit Persoonsgegevens wanneer hier niet snel en adequaat op gereageerd wordt. ²Autoriteit Persoonsgegevens, “Meldplicht datalekken”, 2015. [Online]. https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken

Het belangrijkste waar je als ontwikkelaar bij stil moet staan is het minimaliseren van de persoonsgegevens die je ontvangt. ³European Parliament, “Big Data and Smart Devices and their Impact on Privacy”, 2015. [Online]. http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536455/IPOL_STU%282015%29536455_EN.pdf (onder 4.2.3.)   Overleg tussen opdrachtgever en ontwikkelaar is dus van groot belang. Er zouden niet meer persoonsgegevens ontvangen moeten worden dan strikt noodzakelijk voor het doel welke zij dienen. Minimaliseren van gegevens is de oplossing. Als je enkel een nieuwsbrief in elektronische vorm gaat versturen, hoef je dus geen invulvelden voor een adres neer te zetten. Belangrijk is ook hoe omgegaan wordt met cookies, welke persoonsgegevens verzamelen. De “opt-out” optie was eerder een juridisch geldige manier om iemand in te laten stemmen met cookiegebruik. Oftewel, iemand zat aan de cookie vast totdat hij hem stopte. Met ingang van de AVG is een “opt-in” nodig. ⁴https://iab.nl/kennisbank/algemene-verordening-gegevensbescherming-avg/ Dit vraagt dus ook om een andere inrichting van webpagina’s.

Wat zijn verdere kernpunten waarmee je er als ontwikkelaar voor kan zorgen dat je een zo privacyvriendelijk mogelijk ontwerp krijgt? Mooie voorbeelden hiervan zijn pseudonimisering en encryptie. De verordening geeft zelfs letterlijk in artikel 25 AVG al een hint hierover. Indien het niet lukt om persoonsgegevens zoveel mogelijk anoniem op te slaan, is pseudonimisering een goede optie. De universiteit doet dit bijvoorbeeld door met studentnummers te werken in plaats van daadwerkelijke namen. Het is niet waterdicht, maar een identiteit wordt hiermee zoveel mogelijk afgeschermd. ⁵Y Song, Dahlmeier, D. , and S. & Bressan, “Not So Unique in the Crowd: a Simple and Effective Algorithm for Anonymizing Location Data,” 2014. [Online]. http://ceur-ws.org/Vol-1225/pir2014_submission_11.pdf (onder 7.) Naast pseudonimisering is encryptie tevens een uitermate geschikte manier om de data van bezoekers/klanten te beschermen. Verbergen is het sleutelwoord voor gevoelige data. Encryptie zorgt ervoor dat persoonsgegevens van buitenaf als het ware worden ‘verborgen’. De gegevens kunnen vervolgens extreem moeilijk worden getraceerd door buitenstaanders die niet over de sleutel van het versleutelde beschikken. ⁶D’Acquisto, Domingo-Ferrer, Kikiras, Torra, de Montjoye, Bourka, “Privacy by design in big data: an overview of privacy enhancing technologies in the era of big data analytics”, 2015. [online]. ((https://www.enisa.europa.eu/publications/big-data-protection (onder 3.3)

Conclusie

Privacy by design komt er uiteindelijk op neer dat een informatiesysteem van begin af aan ontworpen wordt met inachtneming van de AVG. Als je het aantal persoonsgegevens dat je verkrijgt, beperkt tot een minimum en slechts gebruikt voor het noodzakelijke doel dat beoogt wordt, ben je als ontwikkelaar al een heel eind in de goede richting. Zorg er vervolgens nog voor dat deze minimale hoeveelheid gegevens veilig bewaard worden en je bent als ontwikkelaar waarschijnlijk geen prooi voor de Autoriteit Persoonsgegevens of voor een civiele vordering van iemand waarvan de persoonsgegevens worden bewaard. Op het moment is het nog koffiedik kijken, maar artikel 25 AVG lijkt meer op een richtlijn voor ontwikkelaars dan op een harde eis. Een informatiesysteem aan het artikel toetsen, moet, gezien de abstracte bewoordingen, haast wel marginaal gebeuren. Maar zoals het hele privacy en compliance aspect heden ten dage, blijft het risicomanagement. Hoeveel heb je er als ontwikkelaar/organisatie voor over om te voldoen aan de geldende normen? Implementeren van bovengenoemde voorbeelden biedt in ieder geval een uitkomst voor het uitbannen van eventuele schadeclaims c.q. boetes.