Wat kan je met PET binnen een project?

Zoals in het voorgaande stuk over PET duidelijk is geworden, is PET een set regels/maatregelen die je binnen een project, bedrijf of organisatie kunt toepassen om de privacy met betrekking tot open data te kunnen waarborgen. PET omvat in principe alle technische maatregelen om de privacy te waarborgen. PET kan bijvoorbeeld worden gebruikt om de identiteitsgegevens van een persoon los te koppelen van de overige open data gegevens. Met daarnaast de andere directe en indirecte gegevens die tot een persoon kunnen leiden. (Koorn, 13)

7.4.1. PET toepassen

Er zijn PET-strategieën die toegepast kunnen worden. Wat hierbij belangrijk is dat de strategie in een zo vroeg mogelijk stadium wordt toegepast. Dit betekent dat er al vroeg nagedacht moet worden over hoe de privacy gewaarborgd gaat worden als er met open data gewerkt gaat worden.

1. Het voorkomen van identificatie

Als er zelf een project wordt gestart waarbij een open data set gebruikt gaat worden, voor bijvoorbeeld het maken van een applicatie voor Amsterdam Smart City, dan moet er eerst nagedacht worden over wat voor gegevens de applicatie beschikt of nodig heeft. Het kan namelijk zijn dat er persoonsgegevens tussen zitten of gegevens die indirect tot een persoon kunnen leiden. De directe gegevens zullen meteen moeten verdwijnen. Dit zijn de NAW-gegevens en bijvoorbeeld een Burgerservicenummer. Dit spreekt voor zich, maar uit de praktijk blijkt dat dit soort fouten kunnen gebeuren. Op pagina 81 zal beschreven worden hoe een voorbeeld uit de praktijk voorkomen had kunnen worden, doormiddel van het gebruiken van Privacy Enhancing Technologies. Hetgeen dat sneller over het hoofd gezien kan worden zijn de gegevens die indirect tot een persoon kunnen leiden. Dit kan bijvoorbeeld een oude auto zijn of een ander uniek attribuut. Als uit deze attributen voldoende informatie gehaald kan worden om tot een persoon te leiden, dan wordt er gesproken over indirecte data. (Data.overheid.nl, Handreiking, Stel vast of de data openbaar is)

Mocht dit niet gedaan worden dan is de Wet Bescherming Persoonsgegevens van toepassing. Deze zal het hele project stil kunnen leggen. (Koorn, 60)

2. Het waarborgen tegen onrechtmatige verwerking van persoonsgegevens

In het geval van de tweede strategie wordt er meer gericht op het beveiligen en het onrechtmatig verwerken van persoonsgegevens in bijvoorbeeld een app die gemaakt wordt met open data. Dit zou relevant zijn in het geval je een grote dataset aan gegevens hebt. De huidige data management systemen bieden volop mogelijkheden om specifieke bevragingen van data te autoriseren (gebruikersafhankelijk te maken door een verplichte loginnaam). Dan zorgt deze PET strategie ervoor dat de techniek gegevens blokkeert wanneer deze binnen het project gebruikt worden voor een doel waar ze niet voor bedoeld zijn. (Koorn 61)

3. Het toepassen van specifieke privacy ondersteunende technologieën

Na een aantal succesvolle opdrachten, kan de interesse voor open data toenemen. Hierdoor krijg je steeds meer te maken met het behouden van de privacy binnen je projecten. Het zou kunnen helpen als de technologie er dan voor zorgt dat er een betere gegevensbescherming is. De hulp zit hem dan met name in de tijd die je er dan zelf niet meer in hoeft te stoppen. Hetgeen dat je hierbij helpt is een zogenaamd privacy managementsysteem. Doormiddel van zo’n systeem kan er aangegeven

worden welke gegevensverwerkingen er binnen de open dataset plaats moeten vinden. Het systeem bepaald welke data op welk moment voor wie zichtbaar is. Hierbij kan er ook worden aangegeven aan welke eisen alle open data moeten voldoen. (Koorn, 61)

7.4.2. Voorbeeld, hoe PET toegepast had kunnen worden binnen een project Tot slot van het adviesrapport zal er een voorbeeld worden gegeven in hoe PET toegepast kan worden binnen een project.

New York is een van de eerste steden die overheidsdata beschikbaar stelde aan het publiek. Hiervoor heeft de gemeente op 6 oktober 2009, 103 gemeentelijke data sets beschikbaar gesteld.

Hier zat alleen een privacy schandaal aan vast. Ik zal hieronder beschrijven wat er is gebeurd en hoe het voorkomen had kunnen worden, doormiddel van het gebruiken van PET.

Situatieschets

Destijds is er een Excel bestand dat informatie van meer dan 1100 vrouwen organisaties bevatte bij het ‘publiek’ ofwel de burgers beland. Volgens journalist Nancy Scola, zat hier niet alleen persoonlijke data bij als de e-mailadressen, maar ook informatie van the New York City Commission on Womens Issues. Hierbij waren ook de vragen en het geheime antwoord inbegrepen. (Scola, And then there were 102: NYC’s DataMine Glitch) Het was toeval dat deze data beschikbaar was gesteld, maar het heeft de stad wel aan het denken gezet. Er moet nu op elke dataset

gecontroleerd worden of het persoonlijke data bevat. Hoe had dit voorkomen kunnen worden.

Dit ‘schandaal’ had voorkomen kunnen worden als het team/bedrijf dat zich met open data bezighoudt binnen de gemeente van New York, Privacy Enhancing

Technologies (PET) had gebruikt. Uit dit voorbeeld blijkt dat de gemeente van New York zich niet bewust was van de risico’s/gevolgen van het gebruiken van open data. Doormiddel van PET had het team dat zich met de open data bezighield eerst

nagedacht hoe de privacy binnen het gebruik van de open data set gewaarborgd had kunnen blijven.

Ik zal nu een scenario beschrijven hoe het had kunnen gaan als ze PET hadden toegepast bij het gebruiken van de open data set.

- Allereerst had het open data team een training moeten volgen over het gebruik van PET binnen open data projecten.

- De volgende stap is dan het organiseren van ‘bewustwording sessies’. Hierbinnen wordt er doormiddel van een cursus of training bewustwording gecreëerd rondom het gebruik van open data. Hierbij leert het team wat de risico’s en gevolgen zijn als er niet privacy bewust met open data wordt omgegaan tijdens een project.

- Door al met PET bezig te zijn voor het ontwerpen of in dit geval data beschikbaar stellen aan burgers, voorkom je fouten. Met fouten wordt bedoeld het lekken van persoonlijke informatie doormiddel van de open data. PET had ervoor kunnen zorgen dat er doormiddel van controle door de manager van het project op werd gefocust om persoonsgegevens uit de open data te filteren op bepaalde momenten. Hier komt ervaring op het gebied van datamanagement van pas.

- Binnen de open data had erop gefocust moeten worden of er geen directe of indirecte gegevens tussen zaten die tot een persoon kunnen leiden. Hierdoor was er op relatief simpele wijze ontdekt dat de dataset persoonsgegevens bevatte. De directe en indirecte gegevens hadden ontdekt kunnen worden, bijvoorbeeld

doormiddel van een privacy managementsysteem. Dit systeem zou ook zelf gemaakt kunnen worden binnen een bedrijf, maar er kan ook een bedrijf voor worden

ingeschakeld om het binnen het bedrijf of organisatie te laten inbouwen. Doormiddel van dit systeem kan er aangegeven worden welke gegevensverwerkingen er binnen de open dataset plaats moeten vinden. Hierbij kan er ook worden aangegeven aan welke eisen alle open data moeten voldoen. (Koorn, 60, 61)