Beveiliging van persoonsgegevens

Transcriptie

1 Beveiliging van persoonsgegevens De Wet bescherming persoonsgegevens en biometrie: privacy, een technisch vraagstuk? S. M. Artz G. W. van Blarkom RE College bescherming persoonsgegevens In het Jaarboek Fraudebestrijding 2001 werd in het artikel Biometrie is grenzeloos van F. Knopjes en D. Ombelli BFA ingegaan op de invoering van een nieuw paspoort met biometrische kenmerken. Eén van de conclusies van dat artikel was dat de acceptatie van het publiek dat met een biometrisch systeem moet gaan werken van groot belang is voor een succesvolle implementatie van een dergelijk systeem. De mate van privacy, dus in hoeverre worden de afgestane gegevens beveiligd, is hierbij bepalend. Wat is de juridische stand van zaken en welke eisen stelt de Wet bescherming persoonsgegevens aan het beveiligen van persoonsgegevens? Om dit artikel in het juiste kader te plaatsen beginnen we met een beknopt overzicht van de relevante Nederlandse en Europese wet- en regelgeving op het gebied van privacy. Juridisch kader Artikel 10 Grondwet In de Grondwet zijn onder meer de grondrechten voor allen die zich in Nederland bevinden geregeld. In artikel 10 wordt het recht op eerbiediging en bescherming van de persoonlijke levenssfeer toegekend. Dit artikel is opgenomen als gevolg van artikel 8 van het Europees verdrag tot bescherming van de Rechten van de Mens en de fundamentele vrijheden (EVRM) waarin dit recht is vastgelegd. Wet persoonsregistraties Artikel 10 van de Grondwet bevat de opdracht aan de wetgever regels te stellen aan de bescherming van de persoonlijke levenssfeer met betrekking tot persoonsgegevens. Deze opdracht leidde in 1989 tot de Wet persoonsregistraties (WPR). Europese Richtlijn 95/ 46/ EG Op Europees niveau heeft artikel 8, EVRM geleid tot het aannemen van de Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Wet bescherming persoonsgegevens Met ingang van 1 september 2001 is de WPR vervangen door de Wet bescherming persoonsgegevens (WBP), waarmee Nederland voldoet aan de eis om de Richtlijn 95/46/EG om te zetten in nationale wetgeving. De WBP is een kaderwet waarin algemene regels zijn gesteld ten aanzien van de bescherming van de persoonlijke levenssfeer.

2 Overige wetgeving Naast de WBP is er nog een aantal andere wetten waarin sector specifieke regels zijn gesteld ten aanzien van de bescherming van de persoonlijke levenssfeer. Voorbeelden hiervan zijn de Wet op de geneeskundige behandelingsovereenkomst, Wet gemeentelijke basisadministratie persoonsgegevens en de Telecommunicatiewet. Belangrijkste begrippen Voor een goed inzicht is het belangrijk de betekenis van een aantal begrippen uit de WBP hier op te nemen. Persoonsgegeven Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Persoonsgegevens zijn alle gegevens die iets over u zeggen of die van invloed kunnen zijn op de manier waarop u wordt beoordeeld of behandeld. Dat kunnen dus zijn uw naam, uw geboortedatum en uw adres, maar ook uw banksaldo, uw beroep en het kentekennummer van uw auto. Wel moet degene op wie de gegevens betrekking hebben te identificeren zijn. Bijzondere gegevens Dat zijn gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en strafrechtelijk verleden. Financiële gegevens zijn voor de wet dus niet bijzonder. Verwerking van persoonsgegevens Dat is elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Dit omvat alle handelingen met die gegevens vanaf het moment van het verzamelen tot en met het vernietigen ervan. Verantwoordelijke De verantwoordelijke is de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Kortgezegd: degene die voor eigen doeleinden persoonsgegevens verwerkt. Betrokkene Degene op wie een persoonsgegeven betrekking heeft. Bewerker Een bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, maar niet rechtstreeks valt onder het gezag van de verantwoordelijke. Een voorbeeld van een bewerker is een verzendhuis dat namens een andere organisatie folders verstuurt. Om de folders te versturen krijgt het verzendhuis de adressen, maar wordt geen eigenaar van het adressenbestand. Het verzendhuis voert alleen maar een opdracht uit. De verantwoordelijkheid voor de verwerking kan niet overgedragen worden. Doel Om het verzamelen van persoonsgegevens een rechtmatige basis te geven dient de verantwoordelijke vooraf welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen te hebben bepaald. Alleen onder strikte voorwaarden mogen de verzamelde gegevens ook voor andere doeleinden gebruikt worden dan waarvoor ze oorspronkelijk verzameld zijn. Dat kan alleen als dat gebruik niet op gespannen voet staat met het oorspronkelijke doel.

3 Grondslag Om verzamelde persoonsgegevens verder te mogen verwerken dient een wettelijke grondslag aanwezig te zijn. Deze kan bestaan uit bijvoorbeeld de toestemming van de betrokkene, de noodzaak voor de uitvoering van een contract of voor het nakomen van een wettelijke verplichting. College bescherming persoonsgegevens, de toezichthouder Het College bescherming persoonsgegevens (CBP) is de opvolger van de Registratiekamer die de toezichthoudende taak onder de Wet persoonsregistraties uitvoerde. Privacy: van bewustwording tot handhaving De strategie van het CBP als toezichthouder wordt vorm gegeven in een vier sporenbeleid. Bewustwording door bijvoorbeeld gemakkelijk toegankelijke informatie beschikbaar te stellen via een internetsite ( een telefonisch spreekuur en informatiebladen. Daarnaast doet het CBP onderzoek naar privacyaspecten van nieuwe technologie en publiceert de conclusies in rapporten. Normontwikkeling door de abstracte normen van de wet voor bepaalde situaties (cameratoezicht) of bepaalde sectoren (Internet Service Providers) te concretiseren en te verhelderen door fact finding onderzoek. Technologie door, waar mogelijk in samenspraak met de sector, de kansen en bedreigingen van nieuwe technologie in relatie tot privacy te verkennen (biometrie, intelligent software agents, Privacy-Enhancing Technologies). Handhaving, in feite alle activiteiten die bijdragen aan normconform gedrag: advies en voorlichting, bemiddeling bij conflicten, onderzoek waaronder begrepen het doen van privacy audits, dwingende aanbevelingen op basis van die audits en als 'ultimum remedium' bestuurlijke maatregelen of sancties. Biometrie In onze inleiding verwezen we naar een artikel uit het vorige jaarboek. In dat artikel werd een overzicht gegeven van de verschillende fasen van de ontwikkeling van een nieuw paspoort waarbij de wens van de overheid was om gebruik te maken van biometrie. Dit om fraude bij de grenzen te voorkomen. Reeds in september 1999 heeft de Registratiekamer het rapport At face value, on biometrical identification and privacy uitgebracht. Hierin wordt geconcludeerd dat de komst van biometrische identificatie een belangrijke trend is binnen de beveiliging. Verantwoorde inzet van biometrische identificatie betekent dat rekening moet worden gehouden met de wetgeving voor de bescherming van persoonsgegevens. Op verzoek van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft het CBP in oktober 2001 een advies uitgebracht over een voorstel tot wijziging van de Paspoortwet in verband met het toepassen van biometrie in reisdocumenten. Hieronder geven we in het kort de kernpunten van het wetsvoorstel en het advies van het CBP weer. In het wetsvoorstel worden eisen gesteld aan de vastlegging van gegevens omtrent biometrische kenmerken in een reisdocument. Zo is het de bedoeling dat daaruit geen fysieke of persoonlijke kenmerken van de houder kunnen worden afgeleid. Ook is bepaald

4 dat de vastlegging geschiedt met als doel aan de hand daarvan te verifiëren dat het reisdocument aan de houder is verstrekt. Uit de toelichting blijkt dat beoogd wordt de authenticatie van de identiteit van de houder op het reisdocument zelf te doen plaatsvinden. Het CBP heeft in zijn advies aangegeven dat deze wijze van verificatie hoge eisen stelt aan de documenten en de te gebruiken randapparatuur. Deze dienen voldoende beveiligd te zijn om te voorkomen dat de biometrische gegevens bekend worden bij de instellingen en bedrijven waar de burger zich legitimeert. Het wetsvoorstel voorziet ook in het stellen van nadere regels over de wijze waarop de betrokken gegevens worden verzameld, vastgelegd en beveiligd. Het CBP vindt het niet geheel duidelijk of deze regels ook betrekking zullen hebben op de te gebruiken randapparatuur. Aangezien blijkens de toelichting wordt uitgegaan van een open gebruik ( niet van tevoren gespecificeerd ), valt aan te nemen dat dit niet het geval is. Overigens zouden deze regels ook niet van toepassing kunnen zijn bij identificatie in het buitenland. Daaruit volgt dat des te meer nadruk moet worden gelegd op de beveiliging in het reisdocument zelf. In dat kader denkt het CBP aan een zodanige compartimentering waardoor onbevoegd gebruik van het biometrisch kenmerk onmogelijk wordt gemaakt en dat in elk geval overneming in andere systemen is uitgesloten. Het wetsvoorstel voorziet wel in de centrale vastlegging van gegevens over biometrische kenmerken in de administratie van reisdocumenten bij de tot uitreiking bevoegde autoriteiten. Het CBP heeft in de toelichting van het wetsvoorstel onvoldoende argumenten aangetroffen die deze aanpak kunnen rechtvaardigen en is er ook overigens geenszins van overtuigd dat die centrale vastlegging noodzakelijk is. Het wetsvoorstel voorziet daarnaast in het stellen van nadere regels over aan wie, in welke gevallen en op welke wijze de bedoelde gegevens uit de betrokken administratie kunnen worden verstrekt, zonder dat uit het voorstel zelf enige nadere begrenzing valt af te leiden. Het CBP acht het wetsvoorstel op dit punt ontoereikend. Indien de noodzaak van het vastleggen van biometrische gegevens in de administratie van de tot afgifte bevoegde autoriteiten zou komen vast te staan, is het essentieel dat hierbij wordt uitgegaan van een strikt doelgebonden gebruik. De wet zal op dit punt ook zelf ten minste op hoofdlijnen het kader moeten aangeven met betrekking tot de verwerking van biometrische gegevens. Conclusie van het advies Het CBP is er niet van overtuigd dat de tijd al rijp is om een wettelijke basis te leggen voor de toepassing van biometrie in reisdocumenten. Wat het reisdocument zelf betreft beveelt het CBP aan om zorg te dragen voor een zodanige compartimentering dat een onbevoegd gebruik van biometrische gegevens onmogelijk wordt gemaakt en dat in elk geval overneming in andere systemen is uitgesloten. Het CBP acht het niet noodzakelijk om biometrische gegevens op te nemen in de administraties van de autoriteiten die bevoegd zijn tot de afgifte van reisdocumenten. Tenslotte vraagt het CBP de nadrukkelijke aandacht voor de beveiliging van deze gegevens. Beveiliging van persoonsgegevens Biometrie kan niet alleen ingezet worden voor authenticatie, maar kan zeker ook bijdragen aan de beveiliging van persoonsgegevens. Het CBP heeft in zijn advies gesteld dat het noodzakelijk is dat gebruik wordt gemaakt van Privacy-Enhancing Technologies (PET). Dit vloeit voort uit artikel 13 van de WBP. Door gebruik te maken van PET kunnen de persoonsgegevens over biometrische kenmerken indien deze al buiten het reisdocument moeten worden opgeslagen worden losgekoppeld van de identificerende gegevens.

5 Artikel 13 WBP De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Artikel 13 WBP ontleed Maatregelen De verantwoordelijke krijgt van de wetgever de opdracht bepaalde, nader te omschrijven, maatregelen te nemen rond de door hem ingerichte verwerking van persoonsgegevens. Het gaat hierbij om beveiliging van elke handeling of elk geheel van handelingen. Stand van de techniek Bij deze te nemen maatregelen moet de verantwoordelijke rekening houden met de actueel, technische mogelijkheden. Dit houdt tevens in dat de genomen maatregelen regelmatig getoetst moeten worden aan de veranderde technische mogelijkheden. Kosten van de tenuitvoerlegging Bij de afweging speelt het kostenaspect een rol van betekenis. De wetgever verplicht de verantwoordelijke niet een kwartje uit te geven om een dubbeltje te beveiligen. Risico's van de verwerking en de aard van de persoonsgegevens De risico's die een verwerking van persoonsgegevens met zich meebrengt worden bepaald door drie factoren: 1. het aantal persoonsgegevens per betrokkene; 2. de aard van die persoonsgegevens, gaat het bijvoorbeeld om bijzondere gegevens; 3. het aantal betrokkenen waarover persoonsgegevens worden verwerkt; 4. de complexiteit van het informatiesysteem. Passend beveiligingsniveau Het vorige element houdt in dat de verantwoordelijke een evenwicht moet vinden tussen de risico's, de mogelijkheden en de kosten. Hierna is het aan de onafhankelijke (privacy) auditor om vast te stellen of deze vindt (professional judgement) dat de genomen maatregelen passend zijn gegeven de onderhavige verwerking van persoonsgegevens. Technische en organisatorische maatregelen Ogenschijnlijk laat de wetgever de keuze tussen een technische of een organisatorische maatregel over aan de verantwoordelijke. Bij de schriftelijke behandeling van de WBP in de Eerste Kamer heeft de minister van Justitie echter aangegeven dat de laatste zin van artikel 13 WBP de wettelijke basis geeft voor het toepassen van PET.

6 Concreet betekent dit dat als de verantwoordelijke kan aantonen dat er geen passende technische maatregelen genomen kunnen worden, dat dan pas een organisatorische maatregel als passend beschouwd mag worden. Figuur 1: passend beveiligingsniveau Normatief kader voor de Beveiliging van persoonsgegevens De Registratiekamer heeft in april 2001 het rapport Beveiliging van persoonsgegevens uitgebracht. Dit rapport kan worden gehanteerd als normatief kader bij het implementeren van de normen van de WBP. Het CBP gebruikt het rapport als norm bij de Privacy Audit. Dit rapport gaat verder dan de Code voor Informatiebeveiliging 2001 (de Code) en het Voorschrift Informatiebeveiliging Rijksdienst (het VIR). De aandacht voor privacy beperkt zich in deze documenten tot algemene opmerkingen dat de geldende privacywetgeving nageleefd moet worden. Aandachtsgebieden In de studie naar het normatieve kader voor de beveiliging van persoonsgegevens worden veertien aandachtsgebieden genoemd waarop de verantwoordelijke extra maatregelen moet nemen in het kader van de beveiliging van persoonsgegevens. 1. Beveiligingbeleid, beveiligingsplan en implementatie van het stelsel van maatregelen en procedures 2. Administratieve organisatie 3. Beveiligingsbewustzijn 4. Eisen te stellen aan personeel

7 5. Inrichting van de werkplek 6. Beheer en classificatie van de ICT infrastructuur 7. Toegangsbeheer en controle 8. Netwerken en externe verbindingen 9. Gebruik van software van derden 10. Bulkverwerking van persoonsgegevens 11. Bewaren van persoonsgegevens 12. Vernietigen van persoonsgegevens 13. Calamiteitenplan 14. Uitbesteden van en overeenkomsten voor de verwerking van persoonsgegevens Bij elk aandachtsgebied wordt aangegeven op welke detailgebieden er extra beveiligingsmaatregelen genomen moeten worden. Deze worden gegeven voor elke risicoklasse. Risicoklasse Als hulpmiddel voor het bepalen van de risico's die de aard van de te verwerken persoonsgegevens met zich meebrengt, wordt het begrip risicoklasse gehanteerd. Uit een schema, waarin als parameters de eerder genoemde grootheden: aantal persoonsgegevens per betrokkene, aard van die persoonsgegevens, het aantal betrokkenen waarover persoonsgegevens worden verwerkt en de complexiteit van de verwerking, volgt na interne analyse van de, voorgenomen, verwerking van persoonsgegevens de te hanteren risicoklasse. De Nederlandse burger ervaart de beschrijving van zijn welstand vaak als behorende tot zijn privé domein. Het CBP beschouwt financiële/economische gegevens daarom als een categorie van gegevens die extra beveiligingsmaatregelen vereist.

8 Figuur 2: Schema Risicoklasse Privacy-Enhancing Technologies Definitie Privacy-Enhancing Technologies (PET) zijn een samenhangend geheel van ICT maatregelen dat de persoonlijke levenssfeer (conform de Richtlijn 95/46/EG en de WBP) beschermt door het elimineren of verminderen van persoonsgegevens of door het voorkomen van onnodige verwerking van persoonsgegevens, een en ander zonder verlies van de functionaliteit van het informatiesysteem. De 7 PET principes Uit deze definitie zijn 7 principes te destilleren. Hieronder gaan we daar kort op in. 1. Mag het een bitje minder zijn? Als er geen persoonsgegevens zijn, hoeft er niets beveiligd te worden omdat er dan geen bedreigingen zijn voor de persoonlijke levenssfeer. Een informatiesysteem zonder persoonsgegevens is ondenkbaar. Maar bij het ontwerpen van een verwerking van persoonsgegevens dient de verantwoordelijke wel na te denken welke gegevens onmisbaar zijn voor het proces en geen andere gegevens verzamelen en verwerken. Kortom, persoonsgegevens mogen slechts verwerkt worden voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.

9 2. Identiteit / Authenticiteit / Autorisatie Hoe minder medewerkers toegang hebben tot persoonsgegevens hoe beter. Ook in het kader van het af kunnen leggen van verantwoording over het gebruik van de gegevens is een strikte autorisatie structuur essentieel. Dat deze autorisatie pas effectief is na een waterdicht proces van identificatie en authenticatie behoeft geen verder betoog. De authenticatie is noodzakelijk voor zowel de gebruikers van een informatiesysteem om toegang te krijgen tot een verwerking van persoonsgegevens alsmede voor betrokkenen opdat daarmee de identiteit vastgesteld kan worden als deze bijvoorbeeld gebruik wil maken van zijn recht op inzage of verbetering van zijn persoonsgegevens. 3. Normale technieken net iets anders toegepast Dit PET principe heeft betrekking op het al of niet herleidbaar zijn van (persoons)gegevens in onderzoeksbestanden. Vragen die hier gesteld moeten worden zijn: Is de geboortedatum noodzakelijk of volstaat de leeftijd of leeftijdsklasse; Is de volledige postcode noodzakelijk of volstaan de eerste drie cijfers; Is een volledige beroepscodering noodzakelijk of volstaat een beroepscategorie. Als de in het voorbeeld genoemde gegevens compleet aanwezig zijn dan is, ook al zijn de identificerende persoonsgegevens verwijderd, indirecte identificeerbaarheid (herleiding) zeer goed mogelijk. 4. Pseudo-identiteit Het oorspronkelijke PET concept. In de Common Criteria for Information Technology Security Evaluation (ISO norm 15408) is aan dit concept een internationale erkenning toegekend en is het verder uitgewerkt. In hoofdstuk 9 van het rapport worden vier vormen onderscheiden: Anonymity, het op dusdanige wijze verwerken van persoonsgegevens dat herleiding tot de natuurlijke persoon onmogelijk is geworden; Pseudonymity, het gaat hierbij om feiten van een betrokkene die gekoppeld zijn aan een pseudo-identiteit en die alleen door de geautoriseerde gebruiker te achterhalen zijn; Unlinkability, het dusdanig gebruik van persoonsnummers dat het koppelen van verschillende verwerkingen van persoonsgegevens op basis van die nummers onmogelijk is (de WBP verbiedt derhalve het gebruik van bij wet voorgeschreven persoonsnummers zoals het Sofi-nummer buiten het wettelijk bepaalde domein); Unobservability, het absoluut anoniem blijven tot op het moment waarop de betrokkene zelf ondubbelzinnig zijn eigen identiteit vrijgeeft. Hierbij valt te denken aan het rondkijken in internetwinkels vóór de daadwerkelijke koop. 5. Encryptie Versleuteling van gegevens waarbij maatregelen zijn genomen zodat alleen geautoriseerde gebruikers toegang kunnen krijgen tot de ontsleuteling. Versleuteling kan worden toegepast op het transport van persoonsgegevens over, interne of externe, netwerken en op de opslag van persoonsgegevens. Encryptie kan ook gebruikt worden als hulpmiddel bij het bewerkstelligen van een pseudo-identiteit. 6. Biometrie Bij het tweede PET principe werd aandacht besteed aan het authenticeren van personen. Biometrie is een techniek die hiervoor, zeker op termijn, ingezet kan en moet worden.

10 7. Feedback en Controle Als de verantwoordelijke wettelijk aansprakelijk gesteld kan worden voor onrechtmatige verwerking van persoonsgegevens, vormen logbestanden waarin de toegang tot een verwerking van persoonsgegevens wordt vastgelegd een effectief controle mechanisme. Dit uiteraard op voorwaarde dat deze vastlegging (een technische maatregel) gekoppeld wordt aan een organisatorische maatregel die regels stelt dat deze bestanden gecontroleerd worden op mogelijke onrechtmatige verwerkingen. Conclusie Biometrie is, mits toegepast binnen de kaders van de Wet bescherming persoonsgegevens, een geschikt middel om persoonsgegevens te beveiligen. Het CBP spreekt nadrukkelijk de voorkeur uit voor technische maatregelen. De reden hiervoor is even simpel als doeltreffend: het is nu eenmaal moeilijker om aan het effect ervan te ontkomen. Bronnen: G.W. van Blarkom, drs. J.J. Borking, Beveiliging van persoonsgegevens, Achtergrondstudies en Verkenningen nummer 23, Registratiekamer, 2001 G.W. van Blarkom, Het onderzoek ex artikel 60 Wet bescherming persoonsgegevens, afstudeerreferaat EDP Auditing Erasmus Universiteit Rotterdam, niet gepubliceerd G.W. van Blarkom, drs. J.J. Borking, Mag het een bitje minder zijn?, College bescherming persoonsgegevens, 2001 Dr. R. Hes, drs. J.J. Borking, Privacy-Enhancing Technologies The Path to Anonymity, revised edition, Achtergrondstudies en Verkenningen nummer 11, Registratiekamer, 1998 Dr. R. Hes, drs. J.J. Borking, drs. mr. T.F.M. Hooghiemstra, At face value - on biometrical identification and privacy, Achtergrondstudies en Verkenningen nummer 15, Registratiekamer, 1999 F. Knopjes, D. Ombelli BFA, Biometrie is grenzeloos - Een gebruiksaanwijzing, Jaarboek Fraudebestrijding 2001 Samenwerkingsverband Audit Aanpak, Raamwerk Privacy Audit, 2001