Wetsvoorstel datalekken kan nog wel wat fine-tuning gebruiken.

Op 21 juni stuurde het Kabinet het wetsvoorstel meldplicht datalekken naar de Tweede Kamer. Daarmee wordt in overeenstemming met het regeerakkoord van het Kabinet Rutte II in de Wet bescherming persoonsgegevens een algemene meldplicht geïntroduceerd voor beveiligingslekken met persoonsgegevens (artikel 34a Wbp). Tot nu toe bestond een dergelijke plicht alleen voor de telecomsector.

Eerlijk gezegd rammelt de redactie van het wetsvoorstel aan alle kanten, en dan met name dat van artikel 34a, eerste lid (de meldingsplicht aan het CBP). Niet alleen is daardoor de kans groot dat dit wetsvoorstel in de praktijk anders uitpakt dan voorzien, ook zullen organisaties - publiek en privaat - niet altijd goed weten hoe zij met de meldplicht om moeten gaan. Als grote datalekken vanwege de redactie van de wet dan niet gemeld (hoeven te) worden, leidt dat tot onbegrip en irritatie bij betrokkenen, de media, de politiek en de toezichthouder. En dat heeft op zijn beurt weer vervelende gevolgen voor de verantwoordelijke die zich geconfronteerd ziet met onterechte kritiek en onnodige boetes.

Een paar kanttekeningen op een rijtje.

Meldplicht

Met de meldplicht en dan met name de meldplicht bij het CBP is nog het nodige mis. Het hele eerste lid van artikel 34a is voor verbetering vatbaar. Het eerste lid luidt thans:

1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.

Lex certa beginsel

De Raad van State was in zijn advies over het wetsvoorstel met name kritisch over de onbepaaldheid van de meldplicht door het gebruik van vage termen zoals "redelijkerwijs", "aanmerkelijk" en "nadelig". Die kritiek richt zich vooral tot de formulering van de zogeheten 'bagatelregeling'. Terecht wil het Kabinet niet dat alle datalekken worden gemeld, maar alleen de serieuze datalekken. De gebruikte formulering leidt echter tot onzekerheid bij verantwoordelijken over de vraag wat nu precies is uitgezonderd. Met name omdat het CBP daarover een andere mening kan hebben, waardoor een verantwoordelijke zomaar tegen een boete van maximaal 450.000 euro kan oplopen wegens verschil van inzicht met het CBP. Dit is in strijd met het lex certa beginsel, het beginsel dat vereist dat vooraf duidelijk moet zijn wat precies strafbaar is. Volgens de Raad van State is het aan de wetgever om duidelijk te maken wat precies onder de strafbepaling valt, niet aan het CBP via het maken van beleidsregels.

In het kort komt het advies van de Raad van State erop neer dat de wetgever een duidelijke bagatelregeling zou moeten maken. Dat zou bijvoorbeeld kunnen via een Vrijstellingsbesluit Meldplicht Datalekken waarin kan worden aangegeven welke datalekken niet onder de meldplicht vallen. Zo'n Vrijstellingsbesluit ontbreekt echter evenals een delegatiebepaling terzake in artikel 34a. Terecht wijst de Raad van State erop dat de onbepaaldheid van de meldplicht er toe kan leiden dat de bagatelregeling zijn doel voorbijschiet: vanwege de onduidelijkheid worden waarschijnlijk meer datalekken gemeld dan nodig.

Hier wreekt zich overigens het feit dat het kabinet, anders dan bijvoorbeeld Duitsland en Amerika (waar het idee van een meldingsplicht voor datalekken vandaan komt), er voor kiest om in beginsel alle persoonsgegevens onder de meldplicht te brengen, niet alleen die paar categorieën persoonsgegevens die kunnen leiden tot identiteitsdiefstal, discriminatie of een andere hoge mate van gevoeligheid hebben, waarvoor een meldplicht uit oogpunt van administratieve lasten ook gerechtvaardigd zou zijn. Zo'n 'positieve lijst' geeft meer rechtszekerheid en is in de praktijk makkelijker te hanteren dan een bagatelregeling.

Definitie datalek

Het wetsvoorstel geeft helaas geen definitie van een datalek, maar geeft in artikel 34a, eerste lid, slechts een omschrijving van een datalek: een inbreuk op de beveiliging als bedoeld in artikel 13 Wbp. In die omschrijving zitten een aantal belangrijke knelpunten die er mede toe leiden dat een 'datalek' in de zin van artikel 34a aanzienlijk verschilt van wat men in het dagelijkse spraakgebruik verstaat onder een datalek.

Inbreuk

Ten eerste kan het zo zijn dat een verantwoordelijke in het geheel geen beveiligingsmaatregelen heeft genomen. In dat geval is er dus strikt genomen geen sprake van een 'inbreuk op de beveiliging', waardoor er dus ook geen verplichting om te melden ontstaat. Raar maar waar erkent de staatssecretaris dit probleem, maar doet hij dit af als "theoretisch", omdat een verantwoordelijke dit redelijkerwijs niet als een verweer zou kunnen aanvoeren als hij een boete krijgt wegens niet melden van het datalek. Ik waag dit te betwijfelen. Immers, een boete kan alleen worden opgelegd als er ten onrechte niet is gemeld. Daarvoor moet er dus eerst sprake zijn van een plicht tot melden. En die ontbreekt hier nu juist vanwege het gebruik van het woord "inbreuk". Een dergelijk verweer is dus misschien wel onredelijk, maar juridisch gezien volkomen juist en zal bij een rechter dus zeer zeker kunnen slagen als verweer tegen een boete voor niet melden. Beter is dus om het woord "inbreuk" in de omschrijving van een datalek te vermijden.

Passend

Het tweede probleem wordt gevormd door het aanhaken bij artikel 13 Wbp in de omschrijving van een datalek. Artikel 13 bepaalt immers dat beveiligingsmaatregelen "passend" moeten zijn. Daarmee wordt zowel een als een onder- als een bovengrens van beveiliging van persoonsgegevens aangegeven. Een verantwoordelijk moet minimaal de maatregelen nemen die voldoende zijn om de persoonsgegevens te beschermen (ondergrens), maar hoeft geen maatregelen nemen die boven de stand van de techniek uitgaan of die onevenredig duur zijn (bovengrens). Door de meldplicht datalekken aan te laten haken bij artikel 13 ontstaan twee afbakeningsproblemen:

1) Ondergrens

Wat als de maatregelen niet passend waren qua ondergrens, dus als er niet voldoende maatregelen waren genomen? Is er dan sprake van een inbreuk op "beveiliging als bedoeld in artikel 13"? Met andere woorden: kan een verantwoordelijke als verweer tegen een boete wegens niet melden van een datalek aanvoeren dat hij geen meldingsplicht had omdat de beveiliging niet "passend" was? De redactie van artikel 34a laat dat verweer mijns insziens wel toe. Artikel 13 omschrijft 'beveiliging' immers als "passende technische en organisatorische maatregelen...". Dus met het woord 'passend'. Als de beveiliging niet passend is, is er geen sprake van een inbreuk op de "beveiliging als bedoeld in artikel 13" en dus bestaat er ook geen plicht tot het melden van het datalek.

2) Bovengrens

Nog problematischer in het licht van de meldingsplicht is de ingebouwde bovengrens in artikel 13 Wbp. Zoals gezegd hoeft een verantwoordelijke geen beveiligingsmaatregelen te nemen die boven de stand van de techniek uitgaan of die onevenredig duur zijn. Dat betekent dat artikel 13 dus niet vereist dat persoonsgegevens 100% veilig worden verwerkt; ze hoeven alleen maar passend te zijn (zie ook de CBP Richtsnoeren Beveiliging). Met andere woorden, er bestaat een door de wet ingebouwde (theoretische) kans op een datalek dat de verantwoordelijke niet hoeft af te dekken. En als zo'n mogelijkheid wordt uitgebuit door bijvoorbeeld een hacker, dan is er wederom geen inbreuk op de "beveiliging als bedoeld in artikel 13" en dus ontbreekt ook hier de plicht tot melden. Maar als zo'n datalek publiek wordt (bijvoorbeeld via de media) zal het CBP al gauw staan te zwaaien met een boete wegens niet melden. En dan sta je als verantwoordelijke gelijk met 1-0 achter, hoewel je niets verkeerd hebt gedaan.

Nadelige gevolgen voor de bescherming van persoonsgegevens'

De meldplicht bij het CBP bestaat als er "een aanmerkelijke kans is op nadelige gevolgen voor de bescherming van persoonsgegevens". Volgens de Memorie van Toelichting dient de meldplicht bij het CBP ter ondersteuning van het toezicht door het CBP. Echter, het is volstrekt onduidelijk wat precies bedoeld wordt met "nadelige gevolgen voor de bescherming van persoonsgegevens".

Dit criterium uitleggen als "nadelige gevolgen voor compliance met de Wbp" is denk ik onjuist, omdat het hier moet gaan om de effectiviteit van de bescherming in de praktijk, niet om de juridische kwalificatie van die bescherming. Het ligt dus voor de hand om te kijken naar de praktische gevolgen voor de realisatie van de beginselen van dataprotectie, zoals doelbinding, transparantie en rechten van betrokkenen.

Kennelijk wordt er evenmin mee bedoeld: de gevolgen voor de beveiliging van persoonsgegevens. Immers, het datalek heeft al plaatsgevonden en dus is de inbreuk op beveiligingsmaatregelen (dan wel de afwezigheid ervan) geen 'gevolg', maar een oorzaak. Zelfs als de beveiliging wel onder het criterium zou vallen, zouden nadelige gevolgen bijna per definitie onwaarschijnlijk zijn. Het ligt immers voor de hand dat de verantwoordelijke de beveiliging als gevolg van het datalek zal aanscherpen. Omdat er meestal dus geen nadelige gevolgen voor de beveiliging te verwachten zijn, zal de meldplicht in de meeste gevallen dus ook niet zal bestaan. Het gevolg is dat het CBP als gevolg van het in artikel 34a lid 1 gehanteerde criterium juist niet in staat wordt gesteld toezicht uit te oefenen op de passendheid van de genomen beveiligingsmaatregelen.

Als we de gevolgen voor de beveiliging dus buiten beschouwing laten, moeten we dan kijken naar de bescherming van de persoonsgegevens bij de verantwoordelijke waar het datalek heeft plaatsgevonden of moeten we kijken naar de bescherming van de persoonsgegevens bij de partij die de inbreuk pleegde? Als het gaat om de bescherming van de gegevens bij de verantwoordelijke waar het datalek heeft plaatsgevonden, dan zal een datalek zelden of nooit nadelige gevolgen hebben voor de realisatie van andere beginselen van gegevensbescherming, tenzij het gaat om verlies van gegevens of een mogelijk wijziging van de persoonsgegevens als gevolg van ongeautoriseerde toegang. In dat geval is er mogelijk een nadelig gevolg voor de datakwaliteit.

In alle andere gevallen van ongeautoriseerde toegang heeft de verantwoordelijke veelal nog steeds controle over de verwerking en dus over de realisatie van de beginselen van gegevensbescherming. Het hangt er dus maar helemaal van af op welke wijze de ongeautoriseerde toegang plaatsvindt. Worden de gegevens verstrekt aan een onbevoegde derde of worden de gegevens na een hack ingezien, dan hoeft het niet altijd zo te zijn dat deze derde de gegevens ook kan wijzigen. Als hij dat inderdaad niet kan, dan is er dus geen sprake van een aanmerkelijke kans op nadelige gevolgen voor de bescherming van de persoonsgegevens. In dat geval zou er dus ook nooit sprake zijn van een meldingsplicht bij het CBP.

Kijken we echter naar de bescherming van persoonsgegevens bij degene die de inbreuk pleegde, dan zal het juist zeer waarschijnlijk zijn dat de bescherming van persoonsgegevens bij die partij onvoldoende is geborgd. Dat zou betekenen dat er altijd sprake zou zijn van een meldingplicht bij het CBP ongeacht de aard van de persoonsgegevens.

Kortom, het genoemde criterium voor de meldingsplicht bij het CBP klopt niet. Het zal ofwel (bijna) nooit leiden tot een melding of juist altijd. En dat verhoudt zich weer niet tot het uitgangspunt om een bagatelregeling op nemen. Beter zou zijn om niet het criterium "nadelige gevolgen voor de bescherming van persoonsgegevens" te gebruiken, maar "nadelige gevolgen voor de fundamentele rechten van de betrokkene, meer in het bijzonder zijn persoonlijke levenssfeer". Men moet dan denken aan belangen als: privacy, non-discriminatie, reputatie, autonomie, rechtvaardige behandeling en gelijkheid. Met andere woorden, bij een datalek is niet de bescherming van de persoonsgegevens zelf in het geding, maar de belangen van de betrokkene die met die bescherming worden gediend.

Verschillende criteria

Het criterium voor de meldplicht bij het CBP verschilt sterk van die bij de betrokkene. Zoals gezegd bestaat de meldplicht bij het CBP indien er "een aanmerkelijke kans is op nadelige gevolgen voor de bescherming van de persoonsgegevens". Daarentegen dient de betrokkene te worden geïnformeerd als "de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer."

Het verschil in de criteria is problematisch, met name voor de praktijk omdat er sprake is van twee verschillende bagatelregelingen. Ten eerste is er wellicht een verschil tussen "nadelige" en "ongunstige". Er is op zich geen reden voor dit verschil in terminologie. Ook kan het verschil in criteria leiden tot een situatie dat de betrokkene wel moet worden geïnformeerd, maar het CBP niet, en dat is onwenselijk. Het CBP zal zich in dat geval immers op het standpunt stellen dat het ook had moeten worden geïnformeerd en dan kan het een boete opleggen wegens het niet naleven van de meldingsplicht van het eerste lid.

Beter zou dus zijn om de criteria voor beide meldingsplichten gelijk te trekken, zodat een meldingsplicht bij het CBP ook leidt tot een meldingsplicht bij de betrokkene en omgekeerd. In dat geval zou overigens het zevende lid, dat bepaalt dat het CBP van de verantwoordelijke kan verlangen de betrokkenen alsnog te informeren, overbodig worden, omdat de inhoud van de bepaling dan volgtijdelijk onmogelijk is. En voor de duidelijkheid: het criterium voor het informeren van de betrokkene is wat mij betreft (bijna) goed. Het moet alleen niet beperkt worden tot "persoonlijke levenssfeer", maar alle fundamentele rechten van de betrokkene omvatten.

Onverwijld

Het CBP en de betrokkene moeten "onverwijld" worden geïnformeerd. Op zich zal een redelijke vertragingen in de melding zijn geoorloofd, bijvoorbeeld voor het doen van onderzoek. Maar het begrip 'onverwijld' betekent dat er een beginpunt in de tijd is vanaf wanneer onverwijld moet worden gemeld. Het wetsvoorstel verzuimt aan te geven waar dat startpunt ligt. Logisch is dat het startpunt ligt bij het tijdstip waarop de verantwoordelijke wetenschap krijgt van het datalek, bijvoorbeeld omdat hij dat zelf constateert of omdat hem dat wordt verteld. In ieder geval kan niet als startpunt dienen het tijdstip waarop het datalek zich voordoet. Dat zou immers betekenen dat het monitoringsbeleid van de verantwoordelijke ter discussie zou kunnen komen te staan in het bepalen van de onverwijldheid van de melding. Dat zou een extreem grote impact hebben op de inspanningen die verantwoordelijken doen in het monitoren van hun beveiliging.

Daarnaast is niet iedereen binnen de verantwoordelijke bevoegd tot het doen van de melding. Dat zou je ook niet moeten willen. Het gaat er dus om dat degene die belast is met de leiding of het beheer van het proces waarin de data worden verwerkt wetenschap krijgt van het datalek. Dat betekent dat er ruimte moet zijn voor interne rapportage (bijv. het melden van het verlies van een laptop door de medewerker bij de baas, of het melden van een datalek door de bewerker bij de accountmanager van se afdeling Inkoop die het op zijn beurt weer moet melden bij het management van de organisatie). Interne rapportege betekent dus altijd dat er enige vertraging ontstaat in de afhandeling van het datalek. Dit dient tot uiting te komen in de Memorie van Toelichting op het wetsvoorstel.

In kennis stellen

De verantwoordelijke dient het CBP en de betrokkene "in kennis te stellen" van het datalek. Die terminologie impliceert dat het CBP c.q. de betrokkene moet weten dat het datalek heeft plaatsgevonden.

Los van het feit dat het CBP in het weekend gesloten is en dus geen weet heeft van het datalek tot maandagochtend op zijn vroegst, is het ook zo dat de verantwoordelijke geen invloed kan uitoefenen op de werkzaamheden van het CBP. De betrokkene kan op vakantie zijn of er voor kiezen om de indoematie niet te lezen. Volstaan zou dus dienen te worden met een term die uitdrukt dat de informatie het CBP c.q. de betrokkene heeft bereikt. Daarvoor leent zich het meer neutralere "melden" (zie ook artikel 27 Wbp).

Versleuteling

Het zesde lid van artikel 34a bevat een uitzondering op de meldingsplicht aan de betrokkenen als er sprake is ban versleuting of als de gegevens anderszins onbegrijpelijk zijn gemaakt voor onbevoegden. Op zich is een dergelijk uitzondering toe te juichen. Maar het is niet logisch dat, zoals het thans ook in de VS is geregeld, de uitzondering zich niet ook uitstrekt tot de melding bij het CBP. Immers, als de gegevens zijn versleuteld, is een meldingsplicht bij het CBP een onnodige administratieve last.

Voorts kan er discussie onstaan over de versleuteling. Door voortschrijding van de techniek kan een bepaalde type versleuteling niet meer veilig zijn. Ook kan er slordig worden omgesprongen met de sleutel, bijvoorbeeld omdat deze mee ia gelekt. Daarom moet de versleuteling "passend" zijn, d.w.z. dat de versleuteling nog steeds de stand van de techniek moet omvatten én dat er sprake moet zijn van adequaat sleutelbeheer.

Echter, op de keper beschouwd is het zesde lid geheel overbodig in het licht van de meldingscriteria in het eerste en tweede lid. Immers, als de gegevens versleuteld zijn of op een andere manier onbegrijpelijk zijn gemaakt voor onbevoegden zal er altijd sprake zijn van een situatie waarin het datalek waarschijnlijk geen nadelige resp. ongunstige gevolgen zal hebben voor de bescherming van de persoonsgegevens resp. de persoonlijke levenssfeer van de betrokkene. Je hebt daarmee in het eerste resp. het tweede lid al geen meldingsplicht. De vrijstelling in het zesde lid is dus sympathiek maar overbodig. Beter zou zijn om het zesde lid ofwel als een "in ieder geval-bepaling" op te nemen in artikel 34a dan wel om het in de Memorie van Toelichting op te nemen als toelichting op de bagatelregeling.

Tekstvoorstel

De oplossing van voornoemde problemen zou zijn om aan artikel 1 Wbp een neutrale definitie van een datalek toe te voegen en de verplichting artikel 34a, eerste lid, te beperken tot alleen de verplichting tot het melden van een datalek. De bagatelregeling zou via een AMvB kunnen worden ingevuld. Artikel 34 zou dan, evenals artikel 29 Wbp voor wat betreft de meldingsplicht voor de verwerkingen zelf, de criteria moeten bevatten waaronder vrijstelling mogelijk is (even daargelaten het eerdere pleidooi voor een positieve lijst die uiteraard op dezelfde manier als een vrijstellingsregeling tot stand kan komen).

Een wetstekst die recht doet aan de voornoemde kritiek zou er dan als volgt uit kunnen zien:

Artikel 1

p. datalek: het verlies van, onbevoegde toegang tot of onbevoegd doen verkrijgen van persoonsgegevens.

Artikel 34a

1. De verantwoordelijke meldt een datalek onverwijld nadat hij van het datalek wetenschap heeft gekregen bij het CBP en de betrokkene.

2. Het eerste lid is niet van toepassing op verlies van persoonsgegevens waarbij uitsluitend persoonsgegevens zijn betrokken die op een passende manier zijn versleuteld of op een andere passende wijze onbegrijpelijk zijn gemaakt voor eenieder die onbevoegd is tot toegang tot of verkrijging van die persoonsgegevens.

3. Bij algemene maatregel van bestuur kan worden bepaald dat daarbij aan te geven datalekken die geen of waarschijnlijk geen ongunstige gevolgen hebben voor de fundamentele rechten van de betrokkene, in het bijzonder het recht op bescherming van  diens persoonlijke levenssfeer, zijn vrijgesteld van de meldingen als bedoeld in het eerste lid.

.....

Andere problemen

Bewerker

Naast de invoeging van artikel 34a wordt ook artikel 14 Wbp gewijzigd. Aan het derde lid wordt een onderdeel toegevoegd dat zegt dat de verantwoordelijke er zorg voor draagt dat de bewerker "de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de persoonsgegevens die door hem worden verwerkt".

Maar wat staat er nou eigenlijk in artikel 14 lid 3 sub c? Letterlijk genomen lijkt de nieuwe tekst te vereisen dat de bewerker de melding van een bij hem ontstaan datalek doet, niet de verantwoordelijke. Op zou daar niets mis mee zijn, omdat een datalek bij een bewerker de persoonsgegevens van meerdere verantwoordelijke kan betreffen. In plaats van dat iedere verantwoordelijke dan hetzelfde datalek meldt, wordt het datalek slechts 1x door de bewerker gemeld. Ook blijft de publiciteit rondom het datalek in principe beperkt tot de bewerker. Echter, uit de Memorie van Toelichting blijkt nergens dat het de bedoeling is dat de bewerker de melding doet. Bedoeld lijkt te worden dat de bewerker de nodige waarborgen biedt om er voor te zorgen dat de verantwoordelijke zijn meldingsplicht kan nakomen. Maar dat staat er niet. In dat geval zou de redactie voor artikel 14, derde lid, er namelijk als volgt uit zien: "de verantwoordelijke in staat stelt om zijn verplichting als bedoeld in artikel 34a na te komen". Op basis van deze tekst zouden verantwoordelijken en bewerkers dan nadere afspraken kunnen maken over hoe aan deze verplichting wordt voldaan.

Overigens zou nog beter zijn als de huidige contractspraktijk dat de bewerker verplicht is om datalekken te melden bij de verantwoordelijke tot wettelijke plicht zou worden verheven (zie ook artikel 31, tweede lid van het voorstel voor een Europese Verordening Bescherming Persoonsgegevens). Op die manier zou het de verantwoordelijke immers niet kunnen worden verweten dat hij een datalek niet gemeld heeft omdat de bewerker hem daarover niet heeft ingelicht. Aanpalend zou de boetebevoegdheid van het CBP in artikel 66 zich dan mede moeten uitstrekken tot die inlichtingenplicht.

Ten slotte zou het logisch zijn als ook de bewerker een overzicht zou bijhouden van de bij hem ontstane datalekken. Dit kan immers een impact hebben op de vraag of een verantwoordelijke met de betreffende bewerker in zee zou willen gaan.

En ach ja....., bij de splitsing van het wetsvoorstel is het woord 'gebruik' ten onrechte in de titel van het wetsvoorstel blijven staan.... Haastklus?

 

Why LIBE should not let PRISM get in the way of the GDPR.

Since the news broke about the PRISM program that allows the NSA to gain access to accounts of major US online service providers, work on the General Data Protection Regulation (GDPR) seems to have come to a screeching halt. European politicians, especially Vice-President Reding (JHA) and the members of the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs (LIBE), are outraged about the secret spying on European citizens and demand safeguards. Officially, the work on the GDPR has been postponed because of the sheer number of amendments tabled by the members of the LIBE committee, but it is hardly surprising that the decision to postpone the vote was taken on the same day the LIBE committee discussed the PRISM schandal. As some call for the (re-)introduction of an anti-FISA clause, PRISM has effectively become part of the GDPR discussion. Others call for the GDPR to be sped up, maybe hoping a new European privacy framework would help stopping things like PRISM. But sorting out the PRISM issue could seriously delay the work on the GDPR.

Here are 5 reasons why LIBE should not let PRISM get in the way of the GDPR.

1. Changes should come from diplomats, not legislators.

The US government is not bound to the GDPR. Unfortunately for European politicians this little thing called sovereignty gets in the way. This means that the US government, within the limits of US law, can do whatever it wants with data from Europeans stored in servers located on US territory or services subject to US law. And there is little European legislators can do about it. So, whatever changes to the PRISM program Europe wants, need to be dealt with via the diplomatic channels. Therefore, the center of gravity of any European anti-PRISM activity should be the hallways of Washington DC, not the Parliament building in Brussels.

Also the upcoming talks about the Transatlantic Trade and Investment Partnership (TTIP) could be a great opportunity to discuss the protection of European data in American online services. However, blocking upfront any discussion about common transatlantic data protection standards makes it less likely to reach an agreement on government access to commercial data. The EP committees which deal with these issues are Foreign Affairs (AFET) and International Trade (INTA), not LIBE. So, these committees should step up in the PRISM discussion.

2. The European answer should be economic, not legal.

Let's be fair. The issue is not Americans spying on Europeans. The real issue is the fact that European online services are virtually non existent in the market, causing most European citizens to use American services like Facebook and Twitter. PRISM is merely a consequence of that fact; a golden opportunity for American security services to snoop on non-Americans.

Therefore, the best way to protect the privacy of European citizens against spying Americans would be to significantly grow the market share of European online services and to offer real alternatives to services coming out of Silicon Valley. This way, Europeans can truly ‘vote with their feet’. The Parliament should call on Vice-President Kroes to lead this work, which would require a little tweak to the European Digital Agenda as the strengthening of European online services is not part thereof. Vice-President Kroes has said that PRISM creates "a golden opportunity for people to make a huge privacy-focussed company" in Europe, but she should actively support this and not wait to see it happen. The lead committee to shape policy which boosts European online services is Industry, Research and Energy (ITRE), not LIBE...

3. An anti-FISA clause will not stop PRISM.

Yes, the Americans were successful in removing the anti-FISA clause from the GDPR draft (see article 42 of the Interservice copy (PDF)). But no, re-introducing this clause will not cause PRISM to stop. Why? Because all such anti-FISA clause will do, is give European data protection authorities the right to fine American online companies, which will be subject to the GDPR pursuant to the extraterritoriality clause of article 3 GDPR. 2% of global turnover should do the trick, you think? Think again. Apart from the sovereignty argument mentioned above, companies generally like to operate in an predictable equilibrium, which is as risk-free a possible. If they cannot evade the power of their own government (except when moving their headquarters), they can evade the power of foreign governments, who disturb their balance by issuing a fine of 2% of their global turnover. If they don’t really need to have an office in that country, they may simply pack up and go. So, if that government wants to collect its fine, it needs to come to their home court to defend its case. And guess who may come running to assist the company in its defense… Sure there are treaties on judicial cooperation, but all they do is ensure that a local court reviews the case prior to enforcing the foreign government’s claim. And if that claim goes against the national security interests of the court's country, guess which side is likely to win the case. So LIBE shouldn't waste time discussing an anti-FISA clause.

4. The EU has no competence on national security.

Some MEP's want answers whether European security agencies have access to PRISM data to snoop on European citizens. But according to article 4(2) TEU, national security is the sole responsibility of the Member States. This is also reflected in article 3(2) of the Data Protection Directive. So, if MEPs want answers, they should ask their colleagues in the national parliaments to ask these questions for them and get over it. They should spend their time on other matters, such as the GDPR.

And last, but not least…..

5. The (digital) economy needs a new privacy framework ASAP.

The information society is exploding. The rules date back to 1995 and even earlier, when there was no cloud computing, no smartphones, no online services, no smart environments, and no massive security breaches. We simply can’t afford having to spend another three years using the same outdated rules. We also cannot afford having to continue to spend tons of money on lawyers to figure out how to deal with the differences between the laws of two Member States. We need a harmonized European data protection regime as soon as possible to boost (digital) trade and services inside the European Union. We also should get rid of the costly administrative burden of notifying DPA’s of data processing operations as soon as possible, as this has no meaningful contribution to the protection of personal data whatsover. However, we also need a Data Protection Regulation, which attributes compliance costs where this is necessary, while still creating meaningful protection for personal data (see also the Council proposal (PDF)).

The LIBE committee should spend its time on really improving consumer privacy rights in Europe and making sure the GDPR is easy to implement in organizations without disproportionate costs, not trying to find a watertight solution within the GDPR for problems like PRISM.

A new start.....

On January 1, 2010, after 9 years with Philips, I will start my new privacy consultancy firm - PrivaSense !

PrivaSense will focus on helping organizations define their (global) strategies for privacy and data protection. Furthermore, PrivaSense will offer a variety of privacy services, including: conducting privacy impact assessments on plans, projects or processes; analyzing privacy risks of new products or technologies; providing privacy training and awareness; CPO-services; and helping organizations in setting up their privacy compliance frameworks.

More info at: http://www.privasense.nl

Back to Basics: Privacy Ethics (part 2)

So, let's continue the journey through the 'what and why' of privacy. The second argument that Jeroen van den Hoven makes in his contribution Information Technology, Privacy and the Protection of Personal Data is that 'identity relevant information' should be protected, not any data about people (see: Van den Hoven/Weckert (e.d): Information Technology and Moral Philosophy, Cambridge University Press 2008).

Argument number 2: The scope of data protection should cover 'identity relevant information'.

Van den Hoven argues that the European definition of personal data is referential. In order to be 'personal data', the data need to be about a specific person, not just any person. This means that personal data need an identity-relevant context, regardless whether the context is right or wrong. Without such context data have no meaning and are just attributive: they would describe a situation or fact without reference to any specific individual. One could also argue that attributive data are conditional; they only become personal data if another identity-relevant condition occurs, for instance because the raw data is placed in an identity-relevant context or is combined with another piece of identity relevant information.

Because of the narrow definition of personal data in the European Data Protection Directive 95/46/EC, Van den Hoven concludes that attributive data go unprotected, but may very well be used to harm people with the assistance of new technologies such as data mining, profiling, etc. The Article 29 Working Party has recently tried to protect attributive data by dramatically extending the definition of personal data to data that are only conditionally identifiable. The most striking example of this extention to attributive data is example 16 about a collection of graffiti paintings in its Opinion on the Concept of Personal Data (Opinion 4/2007, WP136).

However, this opinion of the Article 29 Working Party has serious consequences. Data protection law does not only tells us what should be protected and why, but also how. It is the 'how' where the problem lies, especially in the case of attributive data. By bringing attributive data under the protection of the Data Protection Directive, all the formalities that come with this protection regime, like notifications, privacy notices, data export restrictions, prior checking, etc, are also triggered.

The argument for bringing attributive data under the protection of the Data Protection Directive is that the Working Party [quote]"assumes that the data controller or any other person has the means likely reasonably to be used to identify the data subject" [unquote]. In other words, there is probably always somebody somewhere who can re-attach an identity-relevant context to what -for most of us- is only meaningless information. For this very reason, some Data Protection Authorities in Europe do not consider key-coded data to be anonymous.....: if somebody has the key, he or she can always apply an identity-relevant context to the coded data, and therefore such coded data should be considered 'personal data' and treated in full compliance with the Directive.

The same argument is used to bring dynamic IP-addresses under the full protection of the Directive; the Internet Service Provider can always find out who was using a particular IP-address at a particular time. The fact that the government has given itself broad powers to collect information from private databases and to combine this information with other information, is the main argument for the position that electronic footprints, such as leaving an IP-address when visiting a website, are never completely anonymous and should thus be protected by the data protection laws.

This argument directly impacts businesses that collect attributive information to improve their products and services. They don't care who made the "electronic footprints" that their customers leave behind. As long as they have no intention of sharing this information with other parties or to use the data to harm their customers, there is little privacy risk for such data.

And here we uncover the key issue in the underlying ethical and legal debate that is currently going on. As soon as a piece of information about a person is disclosed, the privacy of that piece of information is -in principle- lost forever (see also Van den Hoven). If the party that holds that piece information does not know to whom that piece of information belongs and has no intention of ever finding it out, the likely impact on the privacy of that person -now and in the future- is close to zero. It is a 'footprint' made by 'somebody'.

However, the very fact that another party, most notably the government, can force the keeper of attributive data to release the data, triggers the slumbering privacy risk. This third party may be able to attach identity-relevant information to the otherwise anonymous data. This could be done by various means, such as forcing the disclosure of the key to unlock the data, pattern recognition and data mining, or combining various pieces of data with identity-relevant information that is already in the database. According to Van den Hoven such information is then used in another "sphere of access". It is the crossing into that other sphere where the slumbering privacy issue comes to the surface.

So, the moral problem that is presented here is: Should people's "footprints" that are only attributive be protected ?

My answer to that question is a affirmative "Yes", for the simple reason that the slumbering privacy risk may reveal itself at any time, any place, sometimes intentionally, but very often by accident. Therefore, people who have access to the "footprints" of other people, should be careful as to what part of this information to reveal to the outside world, because they have no way of knowing whether the data may have identity-relevant meaning to others. Speaking "hypothetically" about a real case with strangers at a party, or putting your holiday pictures of strangers on the Internet, could be a risk to privacy and should therefore be avoided.

BUT, unlike the Article 29 Working Party, I don't think that it is necessary to bring such data under the scope of the Data Protection Directive by default. They could very well be protected by criminal law or civil/tort law, so as to address any harm that is inflicted on the individual by the misuse of these data. Where somebody intentionally or accidentally has revealed such "footprints" to other people, and by doing so has brought such data outside the original "sphere of access", the victim may very well have a valid claim on that person for violation of privacy, if this piece of information is later used to harm that person. But bringing ALL attributive footprints within the scope of data protection legislation is one big step too far.

Back to Basics: Privacy Ethics (part 1)

When I am writing this, it is May 5th, Liberation Day in Holland. On this day Holland reflects on its freedom by organizing "freedom festivals" with music, dance, and theatre performances. Each festival has a Freedom Fire, which has been lit in Wageningen, the place where the Nazi occupation in Holland was officially ended. So-called "Embassadors of Freedom" tour the festivals to talk about freedom, human rights, and the effects of war and violence. So, this looks like a perfect day to reflect on the ethics of privacy and the moral foundations of our privacy laws and freedoms in Europe..... Back to Basics - part 1.

Yesterday, May 4th, Remembrance Day, Peter Hustinx -the European Data Protection Supervisor- was interviewed in a Dutch political talkshow Buitenhof about privacy and the foundations of freedom in Europe. He did a good job. He talked about the "haystacks" that Europe is building and the little chance that somebody may ever find a needle in them. And he warned against the speed with which those haystacks were established and the lack of adequate protections for the rights of European citizens. Moreover, he warned for the dangerously blind trust in information technology: that it will always pick out the bad guys and that nothing ever will go wrong with the data and the profiles stored in those databases. When asked who is making sure that the proper protections are put in place, Hustinx referred to the European Parliament that will get co-legislative powers on crime-fighting issues on January 1, 2009, when the new European Treaty will come into effect.

However, a word of caution is justified here. The "problem" with the belief that everything will be better once the European Parliament has something to say about privacy rights in crimefighting is that the Parliament is driven by politics. This means that privacy protection will be a mix of short-term political opportunities and the political and moral views of the MEP's on how society should be shaped.

On that note, I would like to draw your attention to the excellent work of Jeroen van den Hoven, professor in ICT ethics at Delft University. He has written extensively about the moral reasons for privacy and data protection. I warmly recommend to read his contribution Information Technology, Privacy and the Protection of Personal Data in Jeroen van den Hoven/John Weckert (e.d): Information Technology and Moral Philosophy (Cambridge University Press 2008). In this mini-series on Privacy Ethics I will summarize and comment on his work:

• Thesis #1: In modern society, there are basically two main views on privacy and data protection: Liberalism and Communitarianism.

On the one end of the spectrum, there is the Liberal view of individual rights and freedoms. In this view, the exercise of people's freedoms is limited by the freedoms of others (see also John Stuart Mill's "Harm Principle"). Privacy and personal freedom is thus very large, and state interference with personal life is limited.

On the other end of the spectrum, there is the Communitarian view of the community's norms and values that can be forced upon the group members, and the need to deal with 'free riders' in our society. In this view, information about people should be made available to the state in order to identify the 'free riders', people that enjoy the benefits of society without participating in the activities that produce those benefits, such as criminals, tax evaders, etc.

The problem for privacy protection is evident. The two views are hardly reconcilable with each other, although Van den Hoven makes a decent effort in his article. Furthermore, in this day and age, Liberal views on personal freedoms are not very popular around officials in government circles. Many take the view that modern society has become too complex to allow Liberal freedoms to prosper unconditionally. Especially where the boundaries between the public and the private sphere vanish, it becomes more difficult to justify the unconditional exercise of personal freedoms. Also, the increased focus on combatting crime and terrorism puts pressure on the Liberal view on privacy and personal freedoms. Nevertheless, Liberals such as MEP Sophie In 't Veld continue to question policies, powers, programs and systems which are put in place by the government that impact people's privacy and keep asking for protections to be put in place to prevent misuse of data and infliction of information-based harm to individuals.

On the other hand, the Communitarian views on privacy and freedom are not always acceptable either, especially not when people are confronted with norms and values of society (or of the group that they belong to) that they don't share personally. The contemporary communitarian thinker Amatai Etzioni has even defended the burqa for muslim women by suggesting that privacy could be seen as an obligation to the group or society to keep certain parts of personal life private if society or the group beliefs it should be kept private. Personal beliefs, norms and values are thus overridden by the norms, values, and needs of society or the group, the 'common good' (Etzioni, 2004).

Communitarian proposals, ideas and actions are relatively easy to spot. They are typically justified by pointing to the obvious benefits for society. Most of the 'haystacks' that Hustinx referred to in the interview have communitarian characteristics. The fact that these proposals do not from the start take into consideration the protections for the privacy and fundamental rights of citizens ("privacy by design") is an even stronger indication of their communatarian origin. Examples of such proposals include: the pan-European fingerprint database proposed by Euro-Commissioner Frattini, the pan-European system of DNA databases proposed by the German Minister for Interior Wolfgang Schäuble; the Electronic Child File with data about the development of all Dutch children and their families in order to screen for child abuse and government-funded assistance to parents for bringing up their children, proposed by André Rouvoet, the Dutch Minister for Youth and Family Affairs; or the affair in Italy just last week, when the Italian Deputy-Minister of Finance Vincenzo Visco ordered the tax data of all Italians to be published on the Internet in a bid to improve tax transparency and combat tax evasion.

Which opinion, the Liberal or the Communitarian one, is dominant in the European Parliament at the moment the voting takes place, significantly defines the nature of the protections that Hustinx and others are hoping for. For now, things seem to look fine for the privacy camp, as the Parliament is very critical about the proposals that are put forward by the Council. Question is however.... is the Parliament critical because of real concern for the privacy of European citizens? Or is the Parliament critical only because it does not like the fact that new proposals are speedily adopted by the Council, before the deadline of January 1, 2009 ......? We will see after January 1st !

Privacy: Who's Problem Is It ?

Last week, I was interviewed by a professor who was researching the 'economics of privacy'. He wanted to know why organizations invest in privacy protection. Are there economic drivers for establishing privacy policies? Or is privacy just a 'Lawyers Paradise'?

It is an interesting question. In her PhD-thesis, professor Overkleeft -a Dutch law professor- stated that "privacy is a mandarin science" (G. Overkleeft-Verburg, De Wet Persoonsregistraties; Norm, Toepassing en Evaluatie, 1995). What she meant with that remark is, that there are only a handful of people (lawyers, commissioners, academics) who are privvy to the details of privacy theory and privacy practice. For everybody else, privacy is just a vague feeling, a buzz word, that is often misunderstood and sometimes misused or inappropriately applied. More than 10 years later, it is a safe bet that privacy still is a Mandarin science.... at least, in Europe.

In Europe, privacy is considered a fundamental right, which is laid down accordingly in the EU Charter of Fundamental Rights. But Europe's fundamental problem is its inability to turn the fundamental right of privacy into a people's issue. Europe claims that it has the best privacy laws in the world. Or at least, the eurocrats in Brussels and the Data Protection Authorities in Europe think so. This belief is even enshrined in article 25 of Directive 95/46. The "Digital Fortress Europe"-rule prohibits data export to countries that do not have an "adequate level of protection". Europe fiercely protects the personal data of its citizens, both in Europe and abroad. But in Europe's streets nobody knows those laws, and worse..... hardly anybody cares. The bureaucrats have reduced privacy protection to a legal compliance problem. For the average man, it is hardly an issue. But in the Information Age, privacy should be a matter of concern to everybody, not only to a "happy few", such as the data protection authorities, the lawyers, and a handful of privacy-rights activists. Privacy should not be something driven by law and supervisory authorities, but something driven by internal values of organizations and governements and the need to earn the trust of their stakeholders. Privacy should be something that people care about.

Take for instance The Netherlands. There are no privacy rights groups anymore. Bits of Freedom, a small Dutch digital rights movement, decided to liquidate itself a few years ago. Even worse, the "Dutch People" got the Big Brother Award 2007 because of their lack of interest in privacy. The average Dutchman likes to say that he has "nothing to hide (except his PIN-code)". On the other hand, there are plenty of law firms around that have some sort of a privacy practice. And an increasing number of organizations, companies as well as government agencies, are appointing privacy officers, or have some other form of in-house privacy expertise.

So, the professor's question seems to be a valid one. WHY do organizations invest in privacy if their stakeholders don't seem to care much about it? The answer is probably a complex one. Some organizations seem to have a privacy progam because they want to be seen as acting responsibly towards society. They invest in privacy because of their internal values. For others, it is an issue that they think may give them a comptetitive edge in the market. They invest in privacy to win, but are probably willing to drop it, if it doesn't pay off. And for many others it is just a matter of compliance with a set of very difficult and vague laws, and they do their best to be compliant. They invest in privacy because of risk avoidance and legal compliance.
However, I am also afraid that for most organizations it is just another law with which they -consciously or unconsciously- do not to comply. They don't invest in privacy simply because their stakeholders -internal or external- don't care about it. So why bother....?

So what did I tell the professor in the end? I told him that as long as we don't have good privacy metrics that enable us to show how much organizations lose if they don't protect the privacy of their customers and employees (either in actual cost, in opportunity cost or in lost sales because of lack of trust), the primary reason for investing in privacy is legal compliance and avoidance of legal risk. As long as people remain indifferent about their privacy, there will be no incentive to invest in stronger privacy protection in organizations. Thus, privacy will remain the problem of the legal department. It is seen as a cost rather than a benefit.

When we think of how to shape Privacy 2.0 in the 21st century, we also have to figure out how to make privacy a people's issue.

Rethinking Privacy 1.0

Ever since the OECD published its Privacy Principles in 1980, the privacy laws around the world have been focussing primarily on protecting personal data in databases. And all those years the fundamentals of privacy have remained the same. The European Data Protection Directive 95/46, which allows personal data to move across borders in Europe, came into force 15 years after the OECD Privacy Principles on which it is based were published, but meanwhile the world had already changed: the Internet had arrived! Only 8 years after the Directive was introduced, on November 6, 2003, the European Court of Justice -Europe's highest court- was confronted with this change in its only second ever case under the Data Protection Directive: Lindqvist vs. Sweden. This case demonstrated the built-in weakness of the European system of data protection: despite the EU's claim to the contrary, the Directive proved to be not very technology-neutral, and therefore not very future-proof. The various actors in the Lindqvist-case, such as the Advocate-General and the Member States, tried to do their best to get a legal grip on the facts while trying to preserve the essential elements of the Directive, but eventually the Court reached a surprising and far-reaching conclusion: posting personal data on the Internet, despite the fact that everybody around the world with an internet connection could potentially read the information, does NOT violate one of the key-elements of the Directive: the international data transfer rules...!

A second example of my view that today's law is not technology-neutral is Directive 2002/58, a.k.a. the e-Privacy Directive, which specifically addresses privacy in electronic communications. The very first version of this Directive was published in 1997, but already in 2002, it got a complete overhaul. And only 6 years later, the EU is putting Directive 2002/58 up for discussion again, as it is -among other things- trying to address the privacy concerns around Radio Frequency Identification (RFID) technology. So what's next? Bluetooth? GPS? WiMAX? Ubiquitous Computing? Body Area Networks?

In the meantime, governments are trying to broaden their powers to collect information about their citizens and non-citizens in order to prevent terrorism and to combat crime. This is creating a disconnect between the private sector and the public sector, and creates a false impression with the public. Strict privacy rules for the private sector (where privacy risk is relatively low) versus weak privacy rules for the government gives the impression that the private sector cannot be trusted. Which is strange, considering the fact that getting and keeping customer trust is a basic element of doing business for the private sector. Screw your customers and you are out-of-business in no time. On the other hand, weak privacy rules in the public sector is especially damaging if inaccurate or incomplete information is rapidly shared between government agencies or when information is used out-of-context. But such weak privacy rules give the citizen the false impression that governments have such risks under control. George Orwell's "Big Brother" state may not have arrived eyt, but "Little Sister" is already here, and she brought her whole family...!!

We need to rethink privacy in the 21st century!
The world has changed since the OECD introduced its Privacy Principles in 1980. What does privacy mean for us if at the same time we want no terrorism, less crime, better and personalized services, and more convenience? How do we protect privacy in a world that becomes ever more globalized, so our data end up in data systems on the other side of the world? What does privacy mean for people who come from different cultures and backgrounds? How do we protect our privacy if computers, sensors and communication devices become invisible and ubiquitous? How can we build trust into the technologies that we use? How do we make ourselves feel protected against the risk of identity theft and malicious attacks on our private life? And how do we protect the privacy of people who are vulnerable, such as elderly, minors and mentally handicapped, in an inclusive Information Society?

Unlike some other people, I am not saying that privacy is dead. Or that it is an illusion in the Information Age in which we live. No, I am saying that we have to go back to the privacy drawing board, re-define the privacy principles for the 21st century, and come up with a new set of privacy principles that fit the new realities of our global society and which are robust enough to survive technological and social change. Principles that enhance trust with consumers and citizens, stimulate innovation and societal development, and protect democratic principles and the rule of law. What we need is Privacy 2.0 !

All this and more is the main topic of this blog. I welcome you to comment on my thoughts, so we can get a global discussion started how to protect privacy in the 30 years to come.