Onlangs heb ik op een congres geleerd waar je op moet letten als het gaat om privacy by design. Privacy by design betekent dat je bij de ontwikkeling of implementatie van software al rekening houdt met de (verwerkingen van de) persoonsgegevens in dat systeem.
Een interessant concept omdat je op die manier veel uitgangspunten van de privacywetgeving vooraf hebt verwerkt of geïmplementeerd in de software en er minder risico’s ontstaan. Het is ook goedkoper om hier vooraf rekening mee te houden, dan om achteraf over beveiligingseisen en andere privacyaspecten na te denken. Het privacy by design-principe is straks dan ook verplicht op grond van de privacy verordening.
Maar hoe voorkomt privacy by design dan het idee van Big Brother? Met privacy by design onderken je tijdig risico’s door rekening te houden met verschillende privacy gerelateerde aspecten. De meest voor de hand liggende zijn: juridische, technische en organisatorische aspecten.
Wat ik echter een zeer interessant aspect vind, is dat er ook met ethische aspecten rekening gehouden kan (of moet?) worden. Een vraag die de softwareontwikkelaar (of het team) zichzelf stelt is: kan het moreel gezien eigenlijk wel? Is het niet te ‘creepy’ wat we willen? Zitten er aspecten aan die verkeerd gebruikt kunnen worden? Is het Big Brother-proof? Het antwoord op die vraag zal per land of zelfs per persoon verschillen.
Een mooi voorbeeld van een dergelijk ‘te creepy’ idee, is het volgende. Door de Chinese overheid is een systeem ontwikkeld waarmee de kredietwaardigheid van de Chinese burger in kaart kan worden gebracht. En dan heb ik het niet over een Chinese variant van ons BKR. Ik heb het over software (van de Chinese overheid!) die iemands kredietstatus berekent op basis van diverse criteria uiteenlopend van de financiële kredietwaardigheid en eventuele strafblad tot zijn op sociale media geuite meningen. En die financiële kredietwaardigheid wordt onder andere gebaseerd op je online aankopen: koop je luiers: dan ben een goede, brave burger. Koop je daarentegen veel computergames, dan gaat je kredietwaardigheid omlaag.
Gaat ver hè? Toch is hier in China weinig ophef over. In Nederland kan je je (voorlopig?) niet voorstellen dat de overheid iets dergelijks zou doen. Hier zou men tegen de ‘te creepy’ factor oplopen. Een ander interessant voorbeeld en iets dichter bij huis is de volgende. Had de ING volledig privacy by design toegepast bij het plan om klantgegevens aan derden te gaan verkopen (juridisch zat het goed), dan hadden ze er ofwel van af kunnen zien (want te creepy) of het beter kunnen communiceren. Nu ging het mis en heeft ING de plannen in de ijskast gezet. Om ze er wellicht over een paar jaar (met een betere communicatiestrategie) weer uit te halen…
Privacy by design zal een Big Brother concept denk ik nooit helemaal voorkomen, want het is afhankelijk van wie de afweging maakt. Privacy by design zal er wel voor zorgen dat je vooraf over risico’s nadenkt, deze afweegt en kan managen. En daarmee ben je weer een goed eind op weg om te voldoen aan de EPV.
Bron: BinnenlandsBestuur