Van privacy tot technologie
Stap 1: privacy
In België wordt de bescherming van de persoonlijke levenssfeer bij de verwerking van persoonsgegevens geregeld door de wet van 8 december 1992. In december 1998 werd deze wet nog gewijzigd in functie van een Europese Richtlijn uit 1995 in verband met de verwerking van persoonsgegevens en het vrije verkeer van deze gegevens, maar daarna zijn er inhoudelijk geen fundamentele aanpassingen meer gebeurd.
Hoewel de wet dus al relatief lang bestaat, blijkt toch dat hij vaak onvoldoende gekend is en nog vaker, al dan niet bewust, met de voeten wordt getreden.
Nochtans is de essentie ervan niet zo ingewikkeld. Wat wordt precies bedoeld met ‘persoonsgegevens’ en met ‘verwerking’? En wat zijn de belangrijkste verplichtingen waaraan bedrijven moeten voldoen om compliant te zijn?
1.1 De inhoud
Persoonsgegevens
“Onder ‘persoonsgegevens’ verstaan we iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoon is identificeerbaar wanneer hij direct of indirect kan worden geïdentificeerd, met name aan de hand van zijn identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn fysische, fysiologische, psychische, economische, culturele of sociale identiteit.”
Concreet wil dit zeggen dat onder meer naam, adresgegevens, geslacht, ras, enzovoort allemaal tot identificatie kunnen leiden. Voor de meesten onder ons lijkt dat vanzelfsprekend. “Velen weten echter niet dat ook een IP-adres of een nummerplaat bijvoorbeeld tot deze categorie behoren”, vertelt advocaat Peter Van de Velde van Bird & Bird. “Op het eerste gezicht weet je niet wie er achter het adres of de nummerplaat zit, maar omdat het theoretisch mogelijk is om de identiteit te achterhalen, klasseert de wet ook deze gegevens onder persoonsgegevens.”
Verwerking
“De term ‘verwerking’ omvat elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met geautomatiseerde processen. Gegevens worden verwerkt, wanneer inlichtingen worden verzameld, vastgelegd, geordend, bewaard, bijgewerkt of gewijzigd.” Ook het opvragen, raadplegen, gebruiken, verstrekken, verspreiden, uitwissen of vernietigen van gegevens behoort tot de term ‘verwerking’.
1.2 De verplichtingen
Een bedrijf dat persoonsgegevens verwerkt, moet rekening houden met een heel aantal verplichtingen. Hieronder geven we drie belangrijke verplichtingen weer.
Informatieplicht
De persoon of het bedrijf dat persoonsgegevens verwerkt, is verplicht om de betrokkene op tijd in te lichten. Er moet duidelijk worden vermeld, dat de verstrekte gegevens worden verwerkt. Advocaat Peter Van de Velde geeft aan dat het hier vaak misgaat. Heel wat bedrijven lichten de betrokkenen niet op tijd, niet correct of soms helemaal niet in. “Als iemand bijvoorbeeld gegevens ingeeft op het internet om zich op een site te registreren, dan moet die site vermelden door wie en voor welk doel de gegevens gebruikt zullen worden. Gebeurt dit niet, dan is dat een inbreuk op de informatieplicht en stelt men zich bloot aan strafsancties”, zegt advocaat Van de Velde.
In de Verenigde Staten, maar ook in Europa, woedt intussen het debat over de informatieplicht bij een eventueel verlies van gegevens. Het is niet de eerste keer dat bijvoorbeeld een bank gegevens over een of meerdere klanten kwijtspeelt of onbewust openbaar maakt. Is een bank op dat ogenblik verplicht om de klanten in kwestie in te lichten?
Bovendien moet een bedrijf dat een database met persoonsgegevens opstart, dit aangeven aan de Privacycommissie die waakt over de bescherming op de persoonlijke levenssfeer. Ook daartegen worden vaak inbreuken gepleegd. Tot slot moeten de betrokkenen worden ingelicht dat zij op elk moment hun gegevens mogen opvragen, inkijken en verbeteren.
Beveiligingsplicht
“Binnen de privacywetgeving geldt een actieve beveiligingsplicht”, vertelt Peter Van de Velde. In de wet staat dan ook expliciet vermeld dat bedrijven verplicht zijn om de ontvangen gegevens voldoende te beschermen. ‘Er moeten gepaste technische en organisatorische maatregelen worden getroffen die nodig zijn voor de bescherming van de persoonsgegevens.’ Welke technologische middelen daarvoor moeten of kunnen worden ingezet, wordt niet in de wet vermeld.
“De wet is op dat vlak technologieneutraal”, gaat Van de Velde verder. “Bedrijven moeten passende maatregelen nemen, maar de wet omschrijft die niet nader. Bedrijven kunnen die verplichting dus eigenlijk naar eigen goeddunken invullen, al publiceerde de Privacycommissie eind vorig jaar toch een aantal richtlijnen die aangeven hoe bedrijven compliant kunnen zijn met wat de wetgever voorschrijft.”
Doelgebondenheid
Samenhangend met de informatieplicht, is er de doelgebondenheid. De informatie die over de verwerking van de gegevens aan de betrokkene wordt gegeven, moet ook verwijzen naar het doel van de verwerking. “Zonder uitdrukkelijk omschreven doel, mogen in principe geen persoonsgegevens worden verwerkt”, drukt advocaat Peter Van de Velde ons op het hart.
Bij de verwerking van gegevens mogen ook enkel die gegevens worden gebruikt die noodzakelijk zijn om het doel te bereiken. Bijvoorbeeld bij een medisch dossier mag de behandelend arts, slechts die gegevens gebruiken die betrekking hebben op zijn behandeling. Als blijkt dat de verwerking van de gegevens het doel te buiten gaat, spreekt men over ‘excessieve verwerking’, wat onwettig en strafbaar is.
1.3 De straf
De privacywetgeving bevat strafrechtelijke sancties. Wie een inbreuk pleegt tegen deze wet, kan dan ook vervolgd worden. Een bedrijf kan bijvoorbeeld een strafrechtelijke boete tussen 550 en 550.000 euro opgelegd krijgen. Vaak gebeurt het dat een klacht wordt ingediend bij de Privacycommissie die vervolgens onderzoekt of die klacht gegrond is. Zelf kan de commissie geen straffen opleggen, maar ze kan wel het dossier aan de strafrechter bezorgen die dan al dan niet een straf oplegt. In de praktijk heeft de commissie in de eerste plaats een bemiddelende rol.
Stap 2: Problemen
Bedrijven die toch op de hoogte zijn van de privacywetgeving en beseffen dat ze vaak met erg gevoelige en persoonlijke gegevens omgaan, zijn zich tegelijkertijd vaak niet bewust van de gevaren en risico’s die daarmee gepaard gaan. In de wet mag dan al vermeld staan dat er een beveiligingsplicht is, security laat nog vaak te wensen over.
De belangrijkste reden daarvoor is een gebrek aan awareness. “Ik moet toegeven dat de awareness bij Belgische bedrijven wel groeit, al heel wat bedrijven zijn ermee bezig, maar ondanks het feit dat de wet er al een hele tijd is, is er nog een lange weg af te leggen”, ziet ook Peter Van de Velde. Vooral bij KMO’s is er nog veel werk aan de winkel. Ze zien de problemen niet in. En die problemen, voornamelijk beveiligingsproblemen, situeren zich op twee vlakken.
2.1. Mobiel
Steeds vaker horen we in de media berichten over gevoelige informatie die gestolen is of gegevens die verloren zijn gegaan. Schandalen zoals in Amerika blijven in ons land voorlopig nog uit, maar onder meer in Nederland werd al militaire informatie achtergelaten op een USB-stick in een taxi of was strategische informatie over de koninklijke familie gewoon terug te vinden op papier in een afvalcontainer. In heel wat gevallen gaat het over mobiele dragers.
“Het klopt dat de risico’s voor gevaren van buiten het bedrijf zich vooral bij mobiele dragers situeren”, vertelt Gauthier van Daele, managing director Benelux van Utimaco. “Verlies of diefstal van een laptop, PDA, of USB-stick komen steeds vaker voor en je moet al geen echte IT’er zijn om snel aan gevoelige gegevens te komen.” Voor bedrijven is het dan ook zaak om in de eerste plaats deze dragers te beveiligen. Anderzijds komt het toch ook interne fraude vaak voor. Om dat te voorkomen proberen bedrijv
en hun desktop en servers te beveiligen, al is ook dat niet altijd een eenvoudige klus.
2.2 De mens
“De oplossingen die wij aanbieden, zijn erg performant, maar de zwakke schakel in het hele proces blijft de mens zelf”, legt Gauthier van Daele uit. “Daarom proberen wij ervoor te zorgen dat de mens zelf zo weinig mogelijk moet doen aan de beveiliging.” Een laptop kan perfect beveiligd worden met bijvoorbeeld een paswoord en een smart card, maar als de eigenaar van het paswoord dat zonder nadenken doorgeeft aan wie dan ook, dan heeft beveiliging niet veel zin. Anders gezegd, u kan uw voordeur wel beveiligen met twee sloten, maar als u de sleutels onder de mat voor de deur legt, heeft de deur beveiligen niet veel zin.
Stap 3: PET’s
Eens u als bedrijf op de hoogte bent van de privacywetgeving en de risico’s binnen uw bedrijf heeft ontdekt, kan u zorgen voor een technologische oplossing die compliance met de wetgeving maximaal bevordert, of althans inbreuken op de wetgeving technisch en organisatorisch moeilijker maakt.
De Europese Commissie heeft het bij deze oplossingen over PET’s of Privacy Enhancing Technologies, maar in de praktijk lijkt deze verzamelterm weinig te worden gebruikt. “De technologieën die momenteel worden gebruikt als beveiliging behoren perfect tot deze groep,” zegt Gauthier van Daele, “maar eerlijk gezegd had ik van de term zelf nog nooit gehoord.”
Utimaco is een van de bedrijven, gespecialiseerd in encryptie, een typische PET. “Encryptie is de meest gebruikte vorm van databeveiliging én ook de veiligste”, legt Gauthier van Dale uit. “Bij encryptie wordt ook met een sleutel gewerkt. Je moet het zien als de sleutel van een kluis. Alle gegevens die in de kluis worden gestopt, worden onleesbaar gemaakt. In praktijk wil dat zeggen dat de data, die bestaat uit een opeenvolging van nullen en eentjes door een algoritme wordt gestuurd, dat ervoor zorgt dat de inhoud onleesbaar is. Enkel met de juiste sleutel, worden de gegevens weer leesbaar.”
Bedrijven proberen zoveel mogelijk een dubbele beveiliging in te bouwen, het paswoord wordt daarom vaak gecombineerd met een smart card, e-token of vingerafdruk. Hiermee voorkom je het risico dat iemand die het paswoord achterhaalt tot bij de gegevens kan. Dit principe wordt ook toegepast met de bankkaarten, waarbij je zowel je paswoord als je kaart bij moet hebben om geld af te halen aan de automaat.
