12 december 2016

Privacyraamwerk RESPECT4U

image for Privacyraamwerk RESPECT4U image

Verzamelde gegevens van burgers helpen niet alleen om de juiste besluiten te nemen, zoals bij het verstrekken van uitkeringen en het vorderen van belastingen, maar ook om de verkeersveiligheid, de energievoorziening en de stedelijke inrichting te verbeteren.

Verzamelde gegevens van burgers helpen niet alleen om de juiste besluiten te nemen, zoals bij het verstrekken van uitkeringen en het vorderen van belastingen, maar ook om de verkeersveiligheid, de energievoorziening en de stedelijke inrichting te verbeteren.
Tegelijk moet de overheid transparant zijn in doen en laten, en aan kunnen tonen welke gegevens het voor welke doeleinden gebruikt. Belangrijker nog dan deze ‘procedurele’ transparantie is dat voorkomen moet worden dat burgers het gevoel hebben dat ze dag en nacht bespied worden, dat ze niet veel meer dan noodzakelijke radertjes zijn in een geolied gegevensverwerkend systeem en dat ze vooral dienen als grondstof voor beleid, diensten en producten waar ze zelf verder weinig invloed op uit kunnen oefenen. Een burger is geen productiefactor. Een democratische samenleving vraagt om burgers die autonoom kunnen handelen en keuzevrijheid hebben. Burgers moeten, kortom, gerespecteerd worden in hun autonomie en keuzevrijheid. Dat veronderstelt dat de dienstverlenende kant van de overheid in verhouding is met de toezichthoudende en handhavende kant.
Binnen het Privacy & Identity lab (PI.lab, een samenwerking tussen TNO, Tilburg University en Radboud Universiteit) werken we aan een privacyraamwerk dat helpt om dit evenwicht te bewaren en om autonomie en keuzevrijheid van burgers te respecteren. We hebben dit kader RESPECT4U gedoopt. Iedere letter van het kader staat voor een beginsel dat van belang is bij de verwerking van persoonlijke gegevens. Bij elkaar dient het kader om de verantwoorde omgang met persoonsgegevens te ondersteunen.
Zie figuur 1 voor een presentatie van het kader.

Figuur 1: Het RESPECT4U privacy framework
Figuur 1: Het RESPECT4U privacy framework (PI.lab)

Privacy voor het individu en de samenleving – 4U
Privacy lijkt een waarde te zijn die vooral van belang is voor het individu. De hele wetgeving is hier op gebaseerd: een individu kan rechten laten gelden, en een verwerker van gegevens moet rekenschap af kunnen leggen tegenover dit individu. In ons raamwerk gaan wij er vanuit dat privacy op meer manieren van belang is: voor het individu (U), voor relaties tussen individuen (2U), voor een groep (3U) en voor een samenleving als geheel (4U). Privacy is daarmee een maatschappelijke waarde die inhoudt dat mensen zich in vrijheid en in afzondering moeten kunnen ontwikkelen, en – zonder bemoeienis van anderen – relaties aan kunnen gaan, zich als groep kunnen manifesteren en met elkaar naar democratische maatstaven samen kunnen leven.

Big data en privacyvolwassenheid
De smartphone bestaat sinds 2006, Facebook dateert van enkele jaren daarvoor (2004), Whatsapp is in 2009 gestart en Google was tien jaar geleden nog een relatief kleine organisatie. 90% van alle gegevens die sinds mensenheugenis zijn geproduceerd dateren van de afgelopen twee jaar.1 De snelheid van de veranderingen is enorm. Hoewel er massaal geappt wordt en veel mensen geen idee hebben of hun smartphone hun locatiegegevens nu wel of niet doorgeeft, wil dat niet zeggen dat mensen niet meer geven om hun persoonlijke levenssfeer. Er zijn genoeg voorbeelden die het tegendeel bewijzen.2 Tegelijk moeten we constateren dat organisaties nauwelijks voorbereid zijn op de uitdagingen die een verantwoorde omgang met persoonsgegevens aan hen stelt. Dat geldt zeker ook voor overheidsorganisaties. Maar daarnaast hebben overheidsorganisaties een rol om het evenwicht in een samenleving te bewaken. De neiging bij de overheid om gedrag van burgers in detail te monitoren, om gedrag bij te willen sturen (‘nudging’) en om alles in te zetten om fraude op te kunnen sporen, leidt tot een datahonger die het risico loopt zijn doel ver voorbij te schieten.
Daarnaast maken de vele verschillende datasystemen het eenvoudiger om via koppeling gegevens te relateren die voor andere doeleinden verzameld waren. Dat kan ook door koppeling van databestanden van een organisatie als het CBS met andere databestanden (bijvoorbeeld van gemeenten) en deze met behulp van geavanceerde algoritmen op patronen door te nemen. De kracht van deze instrumenten maakt dat ze doordacht ingezet moeten kunnen worden. Hier spelen vooral zaken als onheuse behandeling, discriminatie en uitsluiting op oneigenlijke gronden.

Privacyraamwerk RESPECT4U
Het privacyraamwerk dat wij ontwikkeld hebben, beoogt organisaties te ondersteunen bij het op een hoger plan brengen van de verantwoorde omgang met persoonsgegevens. Het legitieme belang van de overheid om gegevens te verwerken is vanzelfsprekend, maar vraagt daarom ook om zorgvuldigheid en doordachtheid. In het raamwerk gaan we in op de verschillende instrumenten om die verantwoorde omgang te realiseren. Daarbij richten we ons op de rechten van burgers (empowerment), en op de noodzaak om een veilige omgeving te creëren

  • waarin ook toegang tot en gebruik van gegevens goed is geregeld, 
  • waarin privacyrisico’s op voorhand in kaart zijn gebracht (PIA) en er instrumenten voor beschikbaar zijn om privacy al bij het vroegste ontwerp mee te nemen, 
  • waarin organisaties bedacht zijn op onvoorziene en ongewenste effecten (ethics), 
  • waarin organisaties instrumenten worden geboden om een goede kostenbatenafweging te kunnen maken, en 
  • waarin organisaties ernaar te streven transparant te zijn en dit ook als een kernwaarde in de gehele organisatie door te voeren. 

Het raamwerk houdt nadrukkelijk rekening met de eisen die de Algemene Verordening Gegevensbewerking (AVG) stelt (die vanaf mei 2018 in de gehele EU van kracht wordt), maar heeft als vertrekpunt dat een verantwoorde omgang met persoonsgegevens niet moet stoppen bij een minimale benadering van de AVG. Sowieso is het onduidelijk wat zo’n minimale benadering in zou moeten houden, maar we voorzien dat het belang van gegevens en de disruptieve werking van de huidige ontwikkelingen ertoe bij zullen dragen dat privacy en een verantwoorde omgang met persoonsgegevens een onderscheidend kenmerk van succesvolle organisaties gaat worden.

Tot slot
Het raamwerk biedt een startpunt voor hoe een verantwoorde omgang met persoonsgegevens er in de praktijk uit moet zien. De overheid is een belangrijke verwerker van gegevens en heeft bijzondere, soms strijdige verplichtingen. Het raamwerk kan helpen om deze op de juiste wijze uit elkaar te trekken, te benoemen en vanuit een privacyoogpunt aan te pakken. Zodat juridische noodzakelijkheden, technische mogelijkheden en maatschappelijke wenselijkheden op elkaar aan sluiten.

 

marc.vanlieshout@tno.nl, Marc van Lieshout is senior researcher TNO en business director PI.lab.


1 https://www.sciencedaily.com/releases/2013/05/130522085217.htm; de cijfers zijn van 2013!

2 Zie recente onderzoeken van de DDMA en van TNO (TNO, 2015: Privacybeleving op het internet in Nederland). DDMA: https://ddma.nl/wp-content/uploads/2016/06/DDMA_privacy-onderzoek-NL_def-4.pdf).