Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies
Borking, J.J.F.M.
Citation
Borking, J. J. F. M. (2010, June 9). Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies. Recht en Praktijk – Informatie en communicatietechnologie.
Kluwer, Deventer. Retrieved from https://hdl.handle.net/1887/15660
Version: Not Applicable (or Unknown)
License: Licence agreement concerning inclusion of doctoral thesis in the Institutional Repository of the University of Leiden
Downloaded from: https://hdl.handle.net/1887/15660
Note: To cite this publication please use the final published version (if applicable).
Privacyrecht is Code
Over het gebruik van Privacy Enhancing Technologies
Πανταπασι δη, ην δ’ εγω, οι τοιουτοι ουκ αν αλλο τι νομιζοιεν το αληJεV ηταV των σκευαστων σκιαV.
In alle opzichten, zei ik, zullen zulke mensen wel niets anders als de werkelijkheid beschouwen dan de schaduwen van de voorwerpen.
Plato– Politeia : 515 c
PRIVACYRECHT IS CODE
Over het gebruik van privacy enhancing technologies
PROEFSCHRIFT ter verkrijging van
de graad van doctor aan de Universiteit Leiden,
op gezag van de rector magnificus prof. mr. P.F. van der Heijden, volgens besluit van het College voor Promoties
te verdedigen op woensdag 9 juni 2010 klokke 15:00 uur
door
Johannes Josephus Franciscus Maria Borking geboren te Breda in 1945
Promotiecommissie
Promotor: prof. mr. H. Franken
Overige leden: prof. dr. H.J. van den Herik (Universiteit Leiden en Universiteit van Tilburg) prof. mr. A.H.J. Schmidt
prof. dr. J.B.F. Mulder (Universiteit van Antwerpen, België)
prof. mr. J.M.A. Berkvens (Radboud Universiteit Nijmegen)
prof. mr. J.E.J. Prins (Universiteit van Tilburg) dr. mr. C.N.J. de Vey Mestdagh (Rijksuniver- siteit Groningen)
Voorwoord
Door mijn werk als bedrijfsjurist bij Rank Xerox kwam ik vanaf 1974 in aanraking met geavanceerde ict-toepassingen waarover de onderzoekers van Xerox PARC in Palo Alto (CA) juridische vragen stelden. De antwoorden daarop waren van invloed op het in productie nemen van de ontworpen machines en informatiesystemen. Om echter relevante juridische kanttekeningen te kunnen plaatsen was kennis van informatica vereist. Kennis die ik niet bezat en die ik mij zo snel mogelijk eigen moest maken om met de Xerox-onderzoekers te kunnen communiceren. De informaticakennis kwam mij vervolgens goed van pas toen in 1984 de discussie over de bescherming van computerprogrammatuur losbarstte en later weer toen ik medebestuurder werd van de Registratiekamer en haar opvolg- ster het College bescherming persoonsgegevens.
Dit boek bestrijkt een periode van vijftien jaar onderzoek naar de inzet van ict om de privacy van de burger en zijn persoonsgegevens te beschermen en daardoor het vertrouwen in de correcte verwerking van zijn persoonsgegevens te vergroten.
Vanaf het begin ben ik actief betrokken geweest bij dit onderzoek. In eerste instantie richtte het onderzoek zich op het voorkomen van privacyinbreuken door middel van anonimisering en pseudonimisering. Later breidde het onderzoek zich uit naar het toepassen van technieken om informatiesystemen zo in te richten, dat verwerking van persoonsgegevens uitsluitend conform de wet- en regelgeving en/
of het privacybeleid van de organisatie kon plaatsvinden.
De titel van dit proefschrift, ‘Privacyrecht is code’, is geïnspireerd door Lessigs stelling ‘code is law’. Hij schrijft in zijn boek Code and Other Laws of Cyberspace:
“In real space, we recognize how laws regulate through constitutions, statutes, and other legal codes. In cyberspace we must understand how a different code regulates- how the software and hardware (i.e. the‘code’ of cyberspace) that make cyberspace what it is regulate cyberspace as it is. As William Mitchell puts it, this code is cyberspace’s law”.
‘Code is Law’ is een onwenselijke en ondemocratische ontwikkeling. Vanuit een democratisch perspectief zou het wenselijk zijn dat ook het omgekeerde het geval is en dat‘Law is Code’ geldt. Het woord Code verwijst naar de subtitel ‘Over het gebruik van privacy enhancing technologies’ (PET). Met PET, een informatie- technologie toepassing, kunnen de rechtsbeginselen met betrekking tot de ge- gevensbescherming in de programmacode of zelfs in objectcode (machinetaal)
worden geïntegreerd in informatiesystemen. PET kan voorkomen dat ‘code is law’ werkelijk bestaat.
Om de burger c.q. consument en zijn informationele privacy goed te kunnen beschermen is PET van belang. PET worden ondanks hun privacy beschermende mogelijkheden slechts op zeer beperkte schaal toegepast. Ik bleef me maar afvragen waarom PET niet massaal in informatiesystemen worden ingebouwd, terwijl het aantal privacyincidenten hand over hand toeneemt. Het is belangrijk de redenen hiervoor te achterhalen, omdat met dit inzicht PET effectiever kunnen worden ingezet.
Zonder de veelvuldige en intensieve discussies met onderzoekers van het EU Joint Research Center in Ispra, de National Research Council Canada (Conseil national de recherches Canada) in Ottawa, TNO in Delft, Den Haag en Rijswijk, IBM in Zürich en HP in Bristol, zou ik de toepassingen om de privacy te beschermen die ik in dit boek bespreek, niet op papier hebben gezet. Ik dank al deze mensen zeer voor hun herhaalde uitleg van uiteenlopende theorieën en ideeën. Professor Piet Ribbers en Alea Fairchild van de Universiteit van Tilburg en de Vrije Universiteit van Brussel dank ik voor hun stimulerende enthousiasme en ideeën tijdens het economisch onderzoek naar de motieven van bedrijven om privacybeschermende maatregelen toe te passen. In het bijzonder bedank ik Frank van Vliet voor het kritisch lezen van de informatica inhoud en Peter van Schelven voor zijn juridische opmerkingen. De belangrijkste rol bij de totstandkoming van dit boek heeft echter mijn promotor Hans Franken gespeeld. Als hij niet herhaaldelijk bij mij erop had aangedrongen dit boek te schrijven, dan was het er nooit van gekomen.
Ik bedank mijn vrouw Pauline voor haar liefde, geduld en steun bij het schrijven van dit boek.
Wassenaar, 1 december 2009
VI Voorwoord
Inhoudsopgave
VOORWOORD V
LIJST VAN GEBRUIKTE AFKORTINGEN XV
1. Inleiding en probleemstelling 1
1.1. Omgevingsanalyse 2
1.1.1. Toenemende gegevensverwerking 2
1.1.2. Aanjagers 3
1.1.3. Risico van identiteitsdiefstal 3
1.1.4. Toezichtsamenleving 3
1.1.5. Profilering 5
1.1.6. Steeds meer privacyproblemen 5
1.1.7. Vertrouwen 7
1.1.8. Risicobewustzijn 9
1.1.9. Ambient Intelligence 9
1.1.10. Resultaten van de omgevingsanalyse 10
1.2. Probleemstelling en zes onderzoeksvragen 11
1.3. Onderzoeksmethode 16
1.4. Leeswijzer 16
2. Privacy, een veelzijdig vraagstuk 19
2.1. Enige observaties 20
2.2. Verkenning van het begrip informationele privacy 21
2.2.1. Omschrijving 21
2.2.2. Identiteit en persoonlijke ruimte 24
2.2.3. Persoonsgegevens 28
2.3. Algemene beginselen betreffende persoonlijke informatie 32 2.3.1. Het beginsel van het bestaan van identiteit 33 2.3.2. Het beginsel van het niet vrijgeven van
persoonlijke informatie 33
2.3.3. Het beginsel van gecontroleerde verspreiding 34 2.3.4. Het beginsel van vertrouwelijkheid en beveiliging 34
2.3.5. Het beginsel van terugkoppeling 34
2.4. De juridische uitwerking van de universele beginselen 35
2.4.1. Europese wet- en regelgeving 35
2.5. Uitwerking van privacyrealisatiebeginselen 42 2.5.1. Melding van de verwerking van persoonsgegevens 42
2.5.2. Transparantie of Openheid 43
2.5.3. Toestemming 44
2.5.4. Rechtmatige verwerking van persoonsgegevens 45
2.5.5. Finaliteit en Doelbinding 47
2.5.6. Gegevensminimalisering 48
2.5.7. Verzet 50
2.5.8. Kwaliteit van gegevens 51
2.5.9. Rechten van het Individu 52
2.5.10. Beveiliging 53
2.5.11. Verwerking door de bewerker 55
2.6. De vier vereisten van Richtlijn 2002/58/EG 56 2.6.1. Het vertrouwelijk karakter van de communicatie 56
2.6.2. Verkeersgegevens 57
2.6.3. Locatiegegevens anders dan verkeersgegevens 58
2.6.4. Ongewenste Communicatie (Spam) 58
2.7. De verantwoordelijke 59
2.8. Gegevensverkeer met landen buiten de Europese Unie 60
2.9. De Data Retentie Richtlijn 2006/24/EG 61
2.9.1. Een zestal niet opgeloste problemen 64
2.10. Enige kritische kanttekeningen 67
2.10.1. Vertrouwelijkheid is niet synoniem aan privacy 67
2.10.2. Is de privacywetgeving effectief? 69
2.10.3. Een papieren tijger? 71
2.10.4. Wetsaanpassing door de ontwikkeling van
de technologie 72
2.11. Standaardisatie van privacyrealisatiebeginselen 73 2.12. Invloed van persoonlijke en wettelijke beperkingen op
het ontwerp van informatiesystemen 75
2.13. Juridische Specificaties 78
2.14. Slotbeschouwing 81
VIII Inhoudsopgave
3. De risicotoezichtsmaatschappij 83
3.1. Erosie van privacy? 84
3.2. Verschuiving naar de Risicotoezichtmaatschappij 88 3.3. Van een niet-technologische naar elektronisch toezicht 94 3.4. Elektronische surveillance, vijf voorbeelden 95
3.4.1. Databanken 95
3.4.2. Telecommunicatie 99
3.4.3. Videotoezicht 100
3.4.4. Biometrie 100
3.4.5. Plaatsbepaling, volgen en merken 103
3.5. Sociale uitsluiting en Informatieapartheid 105
3.6. Het falen van de technologie 107
3.7. Gevolgen voor de privacybescherming 108
4. De privacybedreigingen 113
4.1. Wettelijke verplichting tot beveiliging 113
4.2. Risicoklassen 119
4.3. Beveiligingsniveau 121
4.4. Bedreiging 123
4.5. Terugkoppeling en controle 124
4.6. De risicoanalyse van Hong 127
4.7. De bedreigingswereld volgens Solove 128
4.8. Privacyrisico- of Privacyeffectanalyse 132
4.9. Naar een algemene privacybedreigings- en -risicoanalyse 136
4.10. De pentagonale aanpak 140
4.11. Privacybedreigingsontologie 145
4.12. Toelichting op het bedreigingsontologiemodel 151
4.12.1. Privacydoeleinden 151
4.12.2. De threat actor 152
4.12.3. Passieve en actieve privacybedreiging door
individuen en groepen 154
4.12.4. Automatische en handmatige aanvallen 154
a. Manual threat agent 155
b. Geprogrammeerde of geautomatiseerde
(scripted) aanval 155
c. Onder controle van derden staande threat agents
(Botnet) 155
Inhoudsopgave IX
d. Autonome geautomatiseerde threat agents
(worm/virus) 157
4.12.5. Zwakke plekken 158
a. De plaats van de aanval (Locality attackers) 158 b. Privacybedreigingen vanuit de verantwoordelijke 158 c. Bedreigingen vanuit de systeem- of
programmatuurontwikkelaar 159
d. Bedreigingen vanuit de gebruiker 159
e. Bedreigingen vanuit de hacker 159
f. Bedreigingen vanuit de beveiliging en
informationele privacybeginselen 160 4.13. Ontologische analyse van privacybedreiging 160 4.14. Evaluatie van de gebruikte ontologie en het ontwikkelde model 162
4.15. Slotopmerkingen 162
5. Privacy enhancing technologies voor privacyveilige systemen 169 5.1. De technologische consequenties van de privacywetgeving 170
5.2. Het theorema van Chaum 173
5.3. Conceptuele modellen voor bescherming van persoonsgegevens 175 5.4. Informatiesystemen zonder persoonsgegevens 178
5.4.1. Gebruikersrepresentatie 179
5.4.2. Dienstverlenerrepresentatie 179
5.4.3. Diensten 180
5.4.4. Databank 180
5.4.5. Interactielijnen 181
5.4.6. Omgeving 181
5.5. Processen in het informatiesysteem 181
5.5.1. Identificatie en authenticatie 182
5.5.2. Autorisatie van de gebruiker 183
5.5.3. Toegangscontrole 183
5.5.4. Audit/Monitoring/Logging 184
5.5.5. Accounting 184
5.6. De noodzaak van identiteit in het informatiesysteem 184
5.6.1. Autorisatie 185
5.6.2. Accounting 186
5.6.3. Identificatie en Authenticatie 186
5.6.4. Toegangscontrole 186
5.6.5. Audit 186
5.6.6. Conclusie 187
X Inhoudsopgave
5.7. Privacy Enhancing Technologies (PET) 187
5.7.1. Definities 188
5.7.2. Vier PET-functionaliteiten 192
5.7.3. De PET-trap 195
5.7.4. De beleidsdoelstellingen van PET 197
5.7.5. PET, meer dan beveiliging 198
5.7.6. Privacywetgeving in programmacode 198
5.8. De Identity Protector 200
5.8.1. Functies van de Identity Protector 203
5.9. Fraudebestrijding door IDP 205
5.10. Management van (deel)identiteiten 207
5.10.1. Het beheer van de levenscyclus van identiteiten 212
5.10.2. Identity 2.0 212
5.11. Bouwstenen voor privacy- en identiteitsbeheer 213
5.11.1. Het transparant privacybeleid 214
5.11.2. Kleefbeleid of Sticky policies 216
5.11.3. Data track 217
5.12. Privacymanagementsystemen 218
5.12.1. Privacybeleid geautomatiseerd uitvoeren 218 5.12.2. Platform voor Privacy Preferences Project (P3P) 221 5.12.3. Juridische vraagstukken bij het inbouwen van wetgeving 223
5.12.4. Privacyontologieën 225
5.12.5. Privacyrealisatiebeginselen in het systeemontwerp 227
5.12.6. Automatische ontologieproductie 230
5.13. Overdrachtregels voor persoonsgegevens 233
5.14. Samenvatting 235
6. Privacyveilige architecturen 239
6.1. Het ontwerpproces 240
6.2. Ontwerpeisen te stellen aan PRIVIS 243
6.2.1. Juridische specificaties 243
6.2.2. Vereisten voor beveiliging 245
6.3. Scheiding van rollen binnen PRIVIS 246
6.4. Naast privacyrechten: privacyplichten 246
6.5. Gegevensminimalisatie als middel voor privacybescherming 249
6.5.1. De metazoekmachine Ixquick 251
a. De architectuur 253
b. Het zoekproces 254
Inhoudsopgave XI
c. Clickfraude 259
d. Cookies 260
6.6. Juridische beoordeling: drie vragen 261
6.6.1. Richtlijn 95/46/EG van toepassing? 261
6.6.2. Recht op inzage, correctie, verwijdering van toepassing? 263
6.6.3. Dataminimalisatie 264
6.7. Het ziekenhuisinformatiesysteem 265
6.7.1. De centrale database 267
6.7.2. De oplossing 269
6.7.3. Elektronisch patiëntendossier 275
6.8. Het Victim Tracking and Tracing System 275
6.8.1. Privacybeschermende maatregelen 278
6.9. Privacymanagementarchitectuur 281
6.9.1. Privacy Incorporated Software Agent (PISA) 282 a. Consequenties van de privacybedreigingsanalyse 286
b. Ingebouwde juridische kennis 288
c. Interactieprotocollen 289
d. Anonimiteit en pseudo-identiteit 291
e. Audit trail 293
6.10. De structuur van de PISA-applicant 294
6.11. De toestemming 295
6.12. Agenten in niet-EU-rechtssystemen 298
6.13. Mislukte PET-automatisering? 300
6.14. Samenvatting 301
7. Belemmeringen voor privacy enhancing technologies 305
7.1. De motie Nicolaï 306
7.2. Onderzoek naar de toepassing
van PET bij overheidsinstanties 307
7.3. Weerstand tegen verandering? 310
7.4. PET, een innovatie 312
7.5. Verspreiding en toepassing van technologische innovaties 312
7.6. Stadia in het adoptieproces 314
7.7. De invloed van organisaties op technologische innovaties 316
7.8. Adoptiefactoren 319
7.8.1. Het eerste cluster: PET zelf 319
a. Relatief voordeel 319
b. Compatibiliteit 320
c. Complexiteit van bedrijfsprocessen 320
XII Inhoudsopgave
d. Kosten 320 e. Integratie van privacyverhogende technologieën 320
f. Zichtbaarheid en testbaarheid 321
7.8.2. Het tweede cluster: interne organisatie 321 a. Managementsteun en sleutelfiguren 322 b. Individuele banden met voorlichtende organisaties 322 c. Omvang, structuur en cultuur van de organisatie 323
d. Opvatting over privacynormen 323
e. Diversiteit in informatiesystemen 324 7.8.3. De derde cluster: omgevingsfactoren 324 a. Druk van de privacywetgeving en het toezicht 324
b. Complexiteit van de wetgeving 325
c. Verschillen tussen publieke en private
organisaties in een keten 325
d. Beschikbaarheid van PET-producten of -maatregelen 325
7.9. Maturiteitsmodel voor PET 327
7.9.1. Identiteits- en toegangsmanagement, een aanleiding
voor PET? 327
7.9.2. Maturiteitsmodellen 328
7.9.3. PET in het maturiteitsmodel 330
7.9.4. PET-gevoelige organisaties 332
7.10. Validiteit van de maturiteitsmodellen 334
7.10.1. Bedrijfsstrategie en privacybescherming 334
7.10.2. PET-toepassing 337
7.10.3. Reputatieschade 337
7.11. Drie S-curven 340
7.12. De multi-actoranalyse 341
7.13. Economische rechtvaardiging van PET-investeringen 342
7.14. Return On Security Investment (ROSI) 343
7.15. De PET Business Case van Ixquick 347
7.16. Net Present Value 350
7.17. Samenvatting 353
8. Slotbeschouwingen en aanbevelingen 355
8.1. Ingebouwde wetgeving om het vertrouwen van de burger te
bevorderen 357
8.2. De privacybedreigingen, revisited 360
8.3. De rol van identiteit en identiteitsmanagement 368
8.4. Beantwoording van de probleemstelling 370
Inhoudsopgave XIII
8.5. Aanbevelingen voor privacyveilige informatiesystemen 372
8.5.1. Voorlichting 372
8.5.2. De cruciale rol van de toezichthouder 373
8.5.3. Het PET Expertisecentrum 375
8.5.4. De multi-actoranalyse 376
8.6. Stappenplan voor succesvolle implementatie 378
8.7. Positieve businesscase 381
8.8. Aanbevelingen voor de aanpassing van de
EU-privacyrichtlijnen 384
8.8.1. Algemene wetsaanpassingen 384
8.8.2. Uitbreiding van de aansprakelijkheid 387 8.8.3. Vier wetsaanpassingen voor‘privacy by design’ 389
8.8.4. Controle en terugkoppeling 391
8.9. Law is code 393
SAMENVATTING 399
SUMMARY 407
LIJST VAN AANBEVELINGEN 415
PROTOCOL CASE STUDIES 417
REFERENTIES 421
LIJST VAN GERAADPLEEGDE DOCUMENTEN VAN DE ARTICLE 29 WORKING PARTY 449
LIJST VAN GERAADPLEEGDE JURISPRUDENTIE VAN HET EUROPESE HOF VAN
JUSTITIE OVER PRIVACY BESCHERMING 451
CURRICULUM VITAE 453
XIV Inhoudsopgave