Tweede Kamer eist ‘privacy by design’

Het zijn woelige tijden in privacyland. Mede onder druk van Privacy First is er sinds vorig jaar sprake van een positieve kentering. Privacy staat steeds hoger op de politieke agenda. Media berichten steeds vaker en uitvoeriger over privacyzaken. Hierdoor neemt het privacybewustzijn onder de Nederlandse bevolking toe. Dit versterkt onze democratische rechtsstaat. Voorbeelden van positieve ontwikkelingen zijn de afschaffing van rekeningrijden (geen ‘spionagekastje’ in de auto), vrijwillige i.p.v. verplichte ‘slimme energiemeters’, vrijwillige i.p.v. verplichte bodyscans op luchthavens, afschaffing van de opslag van vingerafdrukken onder de Paspoortwet en de invoering van Privacy Impact Assessments bij nieuwe wetgeving die de privacy van de burger aantast. Al die ontwikkelingen passen perfect bij het motto van Privacy First: “eigen keuzes in een vrije omgeving”. Tegelijkertijd trekken de privacybeperkende krachten van weleer nog volop aan de touwtjes. “Bad habits die hard.” De laatste maanden was dit vooral goed te zien aan ontwikkelingen richting een private doorstart van het landelijk Elektronisch Patiëntendossier (EPD). Eerder dit jaar had de Eerste Kamer dit EPD terecht naar de prullenbak verwezen. Sommige beleidsmakers en commerciële partijen waren daar blijkbaar niet van gediend. Met vergelijkbare koppigheid proberen anderen momenteel hun oude plannen voor Automatische Nummerplaatherkenning (ANPR) en cameratoezicht aan de landsgrenzen door te drukken. Deze plannen lagen jaren geleden al op de tekentafel, in een tijd waarin privacy steeds meer taboe leek te worden. Een tijd waarin de regering Bush de hele Europese Unie nog kon opzadelen met biometrische paspoorten en bijbehorende databases. Die tijd is nu voorbij, maar de erfenis ervan ijlt nog lang na…

Privacy is inmiddels terug van weggeweest. Privacy is het “nieuwe groen”. Wat dat betreft gedragen de voorvechters van een landelijk EPD en ANPR zich als een stel oude milieuvervuilers. Als roestige oude fabrieken uit de jaren 70 die – zonder dat ze het zelf beseffen – naar het jaar 2011 zijn geteleporteerd. De Tweede Kamer leek dit goed aan te voelen toen zij vorige week unaniem een motie aannam over een onderwerp waar Privacy First al sinds haar oprichting op hamert: “Privacy by Design”. Oftewel het van ontwerp af aan inbouwen van privacybescherming in technische zin, op microniveau, middels Privacy Enhancing Technologies (PET). In de visie van Privacy First geldt het principe van “Privacy by Design” echter ook op meso- en macroniveau. Dus in organisatorische en in wettelijke zin. Daarmee bereik je immers een privacyvriendelijk ontwerp én praktijk van een duurzame informatiemaatschappij als geheel. Enfin, u kunt hier zelf verder over doorfilosoferen. Ter inspiratie geeft Privacy First u met groot genoegen de gehele tekst van de parlementaire motie mee:

De Kamer,

gehoord de beraadslaging,

overwegende, dat er bij ICT-projecten van de overheid te weinig aandacht is voor de bescherming van privacy en er te weinig aandacht is voor het voorkomen van misbruik van deze systemen;

overwegende, dat privacy van burgers niet verder aangetast dient te worden dan strikt noodzakelijk is en dat onveilige systemen privacy in gevaar brengen;

overwegende, dat systemen die gemakkelijk gekraakt kunnen worden het aanzien van de overheid ernstig aantasten;

overwegende, dat achteraf systemen aanpassen om privacy te waarborgen en veiligheid te verhogen in de regel duurder is en vaak tot een lager beschermingsniveau leidt dan wanneer privacy en veiligheid aan het begin van een project randvoorwaarden zijn;

verzoekt de regering om bij de ontwikkeling van alle nieuw te starten ICT-projecten privacy by design en security by design toe te passen zodat nieuwe ICT-systemen veiliger zijn en beter berekend op misbruik en slechts privacygevoelige gegevens bevatten als dat strikt noodzakelijk is,

en gaat over tot de orde van de dag.