Is privacywetgeving een blokkade voor technologisch gedreven innovatie?  Aan de hand van een fictieve case wordt geïllustreerd dat privacywetgeving geen blokkade voor innovatie hoeft te zijn. Het is wel van belang om aan de relevante wettelijke verplichtingen te voldoen en de privacyrisico’s tot een een acceptabel niveau terug te brengen. Een ad hoc benadering ten aanzien van wettelijke verplichtingen en risicobeperkende maatregelen zal niet een toekomstbestendige innovatie leiden. Het is van belang om innovatie hand in hand te laten gaan met privacy by design. Aan de hand van een fictieve case wordt geïllustreerd hoe privacy by design kan worden toegepast en de gevolgen daarvan op het ontwerp van een innovatieve dienst. Door: Richard Claassens, Informatie/IT architect, gespecialiseerd in privacy Technologisch gedreven innovatie en privacy by design

Vanaf 25 mei 2018 is de General Data Protection Regulation (GDPR), oftewel Algemene Verordening Gegevensbescherming (AVG) van kracht. Ten opzichte van eerdere privacywetgeving worden er strengere voorwaarden aan de verwerking van persoonsgegevens gesteld en zijn de boetes op overtredingen fors verhoogd. Het is voor organisaties geen optie meer om technologisch gedreven innovatie te gaan doen en daarbij geen rekening met rekening te houden met de relevante privacywetgeving. Hieruit moet niet de conclusie worden getrokken dat de wetgeving een blokkade voor dit type van innovatie is. Het is wel van belang dat alle privacyrisico’s in het project worden geadresseerd. Met technologisch gedreven innovaties, worden innovaties bedoeld die door organisaties zelf worden ontwikkelt, en waarbij gebruik wordt gemaakt van technologische mogelijkheden die in de markt beschikbaar zijn. Er is een breed scala van potentieel bruikbare technologische ontwikkelingen en deze zijn ook nog eens in een exponentiële versnelling geraakt. In dit stuk zijn de technologische ontwikkelingen: “Internet of Things” en “Big Data & Data Science” als voorbeeld gebruikt, bij de uitwerking van een case.

 

 

 

 

2  

Aan de hand van een fictieve case wordt geïllustreerd dat de AVG, geen blokkade hoeft te vormen, mits de wetgevingen vanaf de start en tijdens het ontwerp van nieuwe diensten, processen en systemen wordt meegenomen (Privacy by Design). Door deze aanpak wordt tevens invulling gegeven aan Artikel 25 van de AVG: “Gegevensbescherming door ontwerp en door standaardinstellingen”. De snelheidsengel autoverzekering

De case gaat over een nieuw verzekeringsproduct met de werknaam: “Snelheidsengel autoverzekering”. De verzekering is gebaseerd op twee uitgangspunten: inzicht in eigen rijgedrag en een premie die afhankelijk is van dit rijgedrag. De verzekerde wordt inzicht geboden in zijn eigen rijgedrag en dit wordt afgezet tegen andere verzekerden (=Use Case: rijgedrag inzicht). Daarnaast wordt een dynamische premie gehanteerd, die gebaseerd is op het individuele rijgedrag in relatie tot andere verzekerden. Via de dienst premieverloop, wordt inzicht gegeven in de wijze waarop de premie tot stand komt en het historische verloop van de premie (=Use Case: premie inzicht). De data, waarmee de modellen ontwikkeld zijn, is openbaar en de gebruikte algoritmen zijn transparant. De data, die als input voor deze algoritmen dient, wordt door de auto’s verzameld en via het internet naar de verzekeraar getransporteerd. Deze auto’s worden daarmee een onderdeel van het internet der dingen, ofwel “Internet of Things”. Internet of Things

Om het rijgedrag van de bestuurder te kunnen bepalen worden meetgegevens van de auto verzameld, waar de verzekerde zich door middel van een digitale identiteitspas heeft aangemeld. Gedurende de rit wordt constant de locatie en de snelheid van de auto gemeten. Met behulp van deze gegevens wordt de afwijking ten opzichte van de maximaal toegelaten snelheid bepaald. De relevante gegevens worden draadloos en via internet uitgewisseld. Om het product te kunnen voeren is het noodzakelijk dat grote hoeveelheden persoonsgegevens worden verzameld, die vervolgens met geavanceerde algoritmes worden geanalyseerd, ofwel “Big Data & Data Science”. Big Data & Data Science

Op een objectieve en statistisch verantwoorde wijze wordt de invloed van het rijgedrag op de kans op schade bepaald, en het schadebedrag dat daarmee samenhangt (=Use Case: Risico model ontwikkeling). De verzamelde gegevens worden zodoende gebruikt om statistische analyses te kunnen uitvoeren, die als input dienen voor modellen voor het rijgedrag inzicht en het vaststellen van het premiebedrag, inclusief de toelichting op de

 

 

 

 

3  

totstandkoming van dit premiebedrag. Er wordt data uit verschillende bronnen samengebracht, om daar analyses op uit te voeren, die vervolgens in de bedrijfsvoering worden toegepast. Het spreekt voor zich dat de data science activiteiten met hoge privacy-risico’s gepaard gaan. Aanvullende details

Naast de beschreven diensten wordt ervoor gezorgd dat de verzekerde alle privacy rechten kan uitoefenen, zoals bijvoorbeeld: het recht om gegevens in te zien, het recht om correctie of verwijdering van gegevens te vragen, het recht om een klacht te kunnen indienen en het recht op dataportabiliteit. De organisatie heeft een functionaris gegevensbescherming (FG) aangesteld, die advies geeft met betrekking tot gegevensbeschermingseffectbeoordelingen. Voor dit begrip wordt meestal de term Privacy Impact Analyse (PIA) gebruikt. Het globaal ontwerp is de basis voor een initiële PIA, die door de functionaris gegevensbescherming zal worden beoordeeld en van advies wordt voorzien. In figuur 1, zijn de onderdelen van het globale ontwerp weergegeven, die voor de casebeschrijving relevant zijn.

Figuur 1: Globaal ontwerp

 

 

 

 

4  

Oordeel en advies van de FG

Op basis van het globale ontwerp kunnen een aantal conclusies worden getrokken. Er is sprake van de verwerking van persoonsgegevens, waardoor de AVG van toepassing is. De gegevensverwerkingen zijn gekoppeld aan welomschreven en welbepaalde doelen, met een legitieme grondslag. Tevens zijn er maatregelen gedefinieerd waarmee de verzekerde zijn rechten kan uitoefenen. Op basis van deze informatie zijn er op voorhand geen juridische blokkades. De risicoanalyse maakt duidelijk dat de verzekering met een hoge privacy impact gepaard gaat. Dit betekent dat een hoog basisniveau van informatiebeveiliging vereist is. Aanvullend op basisbeveiliging moeten meer fijnmazige technieken worden toegepast om specifieke gevoeligheden van de persoonsgegevens te beschermen. Zo is het onwenselijk, en ook niet noodzakelijk, dat een data scientist de identiteit van verzekerde kan achterhalen. Rijgedrag inzicht heeft functionaliteit waarbij de verzekerde deelnemer zijn eigen rijgedrag gegevens kan zien, afzet tegen andere deelnemers. Hierbij moet de identiteit van andere deelnemers worden afgeschermd, tenzij een deelnemer zijn eigen rijgedrag met een breder publiek wil delen. Een deel van de noodzakelijke en geëiste maatregelen kunnen met technische oplossingen worden gerealiseerd. Het maken van keuzes en afwegingen hierin wordt gedaan door mensen die bij het ontwerp, de bouw en installatie betrokken zijn. Tijdens de uitvoering van de operatie krijgen bepaalde medewerkers toegang tot persoonsgegevens, bijvoorbeeld de data scientists. Ten aanzien van dergelijke activiteiten kan techniek slechts een beperkte bijdragen leveren. Om die redenen is het van belang dat er zowel organisatorische als technische privacy maatregelen worden genomen en dat dit in samenhang gebeurt. Hierbij geldt dat de zwakste schakel de sterkte van de gehele keten bepaalt. Voor de verdere uitwerking van de samenhangende verzameling van maatregelen adviseert de FG om een Privacy by Design methode te gebruiken, die aan de gehele levenscyclus ondersteuning biedt. Verder wordt geëist dat de uitvoering van de activiteiten door gekwalificeerd personeel wordt gedaan, die over voldoende tijd en middelen moeten beschikken. In figuur 2 is een schets van het globaal ontwerp, aangevuld met de belangrijkste boodschappen uit het initiële Privacy Impact Analyse rapport.

 

 

 

 

5  

Figuur 2: samenvatting van de PIA Op basis van privacy by design principes wordt het globaal ontwerp met privacy maatregelen uitgebreid. Daarbij wordt gestart met organisatorische aspecten. Privacy by design van organisatorische aspecten

Een besturingsmodel moet er ervoor zorgen dat er duidelijke regels voor het gebruik van data worden opgesteld en dat deze worden gerespecteerd. Anderzijds moet er scheiding van taken en verantwoordelijkheden worden doorgevoerd om de kans op oneigenlijk gebruik van data te voorkomen. Dit wordt gerealiseerd door de toepassing van een zoneringsmodel. Elke zone kent specifieke privacy-risico’s met daarop afgestemde maatregelen. Een centraal knooppunt is noodzakelijk om gecontroleerd en op een veilig wijze gegevens tussen deze zones uit te wisselen. Dit centrale knooppunt is tevens een optimale plek om privacy-specifieke activiteiten en vaardigheden te concentreren. Op basis van het privacybeleid en risicoanalyses wordt bepaald welke data wordt verzameld en doorgezet, en de vorm waarin dit plaatsvindt. Vanwege de activiteiten en expertise die in deze zone aanwezig is, is een geschikte omgeving om een centrale privacy-administratie te beleggen. Met behulp van deze administratie en de beschikbare expertise kan ondersteuning worden geboden bij interne audits, externe audits en certificeringstrajecten.

 

 

 

 

6  

Gezien de het belang en de risico’s die met het centrale knooppunt samenhangen, is een onafhankelijke certificering van deze zone te overwegen.

Figuur 3: Privacy by Design vanuit een organisatieperspectief Het tweede deel van de privacy by design aanpak heeft betrekking op de technische maatregelen. Bij het bepalen van de technische maatregelen, vormen de organisatorische beslissingen een belangrijk uitgangspunt. Privacy by design van technische aspecten

Ten aanzien van de technische aspecten worden een aantal privacy principes, ter illustratie uitgewerkt. Een van de belangrijke principes binnen de AVG is, dat er een passende beveiliging is, ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt. Daarbij moet worden meegenomen dat gebruikte techniek nog passend is gezien de stand van de techniek. Beveiliging door versleuteling en segmentatie

Gezien de ontwikkelingen op het gebied van versleuteling tijdens transport en tijdens opslag, wordt dit toegepast waar dit haalbaar is. Om specifieke privacy risico’s te kunnen beheersen zal gebruik worden gemaakt van data segmentatie. Data segmentatie is een bruikbare

 

 

 

 

7  

techniek om de relatie tussen identificerende gegevens van een persoon en geadministreerde feiten over de identificeerbare persoon te verbergen. Dit type van maatregelen vallen binnen het kennisdomein van de beveiligingsexperts. Dataminimalisatie

Door de toepassing van Privacy Enhancing Technologies (PET) wordt de kans op her-identificatie verminderd en worden andere privacy risico’s verminderd. Voorbeelden daarvan zijn technieken voor de-identificatie en data maskering. Om locatiegegevens en/of tijdreeksen minder privacygevoelig te maken kunnen data aggregaties toegepast. Het type gebruik van gegevens bepaald in hoge mate welke maatregelen er mogelijk zijn, zonder dat ten koste gaat van de bruikbaarheid. Om die reden wordt er per type gebruik, een andere combinatie van data minimalisatie technieken toegepast. Een gecontroleerd inname- en distributiemechanisme zorgt ervoor dat een zone alleen gegevens ontvangt en kan verwerken, die passen bij het beveiligingsniveau van die zone. De eerder genoemde privacy-administratie bevat de informatie die als input voor de distributieschema's wordt gebruikt. In vergelijking tot informatiebeveiliging, zijn vraagstukken en oplossingen voor dataminimalisatie nog niet aan een kennisdomein toe te wijzen. Het is een belangrijk principe binnen de privacywetgeving. Het is dus zaak om kennis op dit gebied te gaan verwerven. Opslagbeperking De AVG bevat het beginsel van “opslagbeperking". Indien er geen gerechtvaardigd belang voor opslag van gegevens bestaat, moeten de gegevens worden vernietigd. In het ontwerp wordt dit structureel meegenomen. Niet relevante meetgegevens worden zo snel mogelijk vernietigd. Per doel worden bewaartermijnen gedefinieerd, die actief worden beheerd. Wanneer de termijn verlopen is, moeten gegevens worden vernietigd. Kennis op dit vlak zit bij experts op het gebied van databases, data-opslagsystemen en archiveringssystemen. In de markt zijn er steeds meer software producten beschikbaar die hierin ondersteuning kunnen bieden.

 

 

 

 

8  

Figuur 4: Privacy by Design vanuit een technisch perspectief Samenwerking

De case illustreert dat voor privacy by design intensieve afstemming is vereist tussen verschillende IT-experts en experts die niet tot het IT domein vallen, zoals: business experts, juridisch experts en uiteraard de Functionaris Gegevensbescherming. Het toepassen van een gestructureerde methode gaat helpen om deze afstemmingen effectief en efficiënt te laten verlopen. Het biedt de meeste garantie dat op meest geschikte moment de juiste functionaris wordt betrokken die, op basis van de juiste informatie, analyses kan uitvoeren en beslissingen kan nemen, die tevens op een gestructureerde wijze worden gedocumenteerd.

 

 

 

 

9  

Conclusies

- Privacywetgeving hoeft geen blokkade voor innovatie te vormen. - Door slimme toepassing van privacy by design is het vaak mogelijk om privacyrisico's in

een systeem tot een acceptabel niveau terug te brengen, waarbij de opzet, bestaan en werking van de maatregelen aantoonbaar zijn.

- Privacy by design vereist input van uiteenlopende expertises en de inzet van een breed breed spectrum aan samenhangende maatregelen

- Een systematische en gestructureerde aanpak van Privacy by design helpt om tot een zo optimaal mogelijke samenwerking tussen deze experts te bereiken

Neem voor vragen en informatie contact op met:  

Richard.Claassens@ygdra.com https://nl.linkedin.com/in/richardclaassens +31(0)626965796   CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 04-17-2017 | versie 0,9