Aan de hand van een fictieve case wordt geïllustreerd dat privacywetgeving geen blokkade voor innovatie hoeft te zijn.

1.
Is privacywetgeving een
blokkade voor
technologisch gedreven
innovatie?
Aan de hand van een fictieve case wordt geïllustreerd dat privacywetgeving geen blokkade
voor innovatie hoeft te zijn. Het is wel van belang om aan de relevante wettelijke
verplichtingen te voldoen en de privacyrisico’s tot een een acceptabel niveau terug te
brengen. Een ad hoc benadering ten aanzien van wettelijke verplichtingen en
risicobeperkende maatregelen zal niet een toekomstbestendige innovatie leiden. Het is van
belang om innovatie hand in hand te laten gaan met privacy by design. Aan de hand van
een fictieve case wordt geïllustreerd hoe privacy by design kan worden toegepast en de
gevolgen daarvan op het ontwerp van een innovatieve dienst.
Door: Richard Claassens, Informatie/IT architect, gespecialiseerd in privacy
T​echnologisch gedreven innovatie en privacy by design
Vanaf 25 mei 2018 is de General Data Protection Regulation (GDPR), oftewel Algemene
Verordening Gegevensbescherming (AVG) van kracht. Ten opzichte van eerdere
privacywetgeving worden er strengere voorwaarden aan de verwerking van
persoonsgegevens gesteld en zijn de boetes op overtredingen fors verhoogd. Het is voor
organisaties geen optie meer om technologisch gedreven innovatie te gaan doen en daarbij
geen rekening met rekening te houden met de relevante privacywetgeving. Hieruit moet niet
de conclusie worden getrokken dat de wetgeving een blokkade voor dit type van innovatie is.
Het is wel van belang dat alle privacyrisico’s in het project worden geadresseerd.
Met technologisch gedreven innovaties, worden innovaties bedoeld die door organisaties
zelf worden ontwikkelt, en waarbij gebruik wordt gemaakt van technologische mogelijkheden
die in de markt beschikbaar zijn. Er is een breed scala van potentieel bruikbare
technologische ontwikkelingen en deze zijn ook nog eens in een exponentiële versnelling
geraakt. In dit stuk zijn de technologische ontwikkelingen: “Internet of Things” en “Big Data &
Data Science” als voorbeeld gebruikt, bij de uitwerking van een case.

2. 2
Aan de hand van een fictieve case wordt geïllustreerd dat de AVG, geen blokkade hoeft te
vormen, mits de wetgevingen vanaf de start en tijdens het ontwerp van nieuwe diensten,
processen en systemen wordt meegenomen (Privacy by Design). ​Door deze aanpak wordt
tevens invulling gegeven aan Artikel 25 van de AVG: “Gegevensbescherming door ontwerp
en door standaardinstellingen”.
De snelheidsengel autoverzekering
De case gaat over een nieuw verzekeringsproduct met de werknaam: “Snelheidsengel
autoverzekering”. De verzekering is gebaseerd op twee uitgangspunten: inzicht in eigen
rijgedrag en een premie die afhankelijk is van dit rijgedrag. De verzekerde wordt inzicht
geboden in zijn eigen rijgedrag en dit wordt afgezet tegen andere verzekerden (=Use Case:
rijgedrag inzicht). Daarnaast wordt een dynamische premie gehanteerd, die gebaseerd is op
het individuele rijgedrag in relatie tot andere verzekerden. Via de dienst premieverloop,
wordt inzicht gegeven in de wijze waarop de premie tot stand komt en het historische
verloop van de premie (=Use Case: premie inzicht). De data, waarmee de modellen
ontwikkeld zijn, is openbaar en de gebruikte algoritmen zijn transparant. De data, die als
input voor deze algoritmen dient, wordt door de auto’s verzameld en via het internet naar de
verzekeraar getransporteerd. Deze auto’s worden daarmee een onderdeel van het internet
der dingen, ofwel “Internet of Things”.
Internet of Things
Om het rijgedrag van de bestuurder te kunnen bepalen worden meetgegevens van de auto
verzameld, waar de verzekerde zich door middel van een digitale identiteitspas heeft
aangemeld. Gedurende de rit wordt constant de locatie en de snelheid van de auto
gemeten. Met behulp van deze gegevens wordt de afwijking ten opzichte van de maximaal
toegelaten snelheid bepaald. De relevante gegevens worden draadloos en via internet
uitgewisseld.
Om het product te kunnen voeren is het noodzakelijk dat grote hoeveelheden
persoonsgegevens worden verzameld, die vervolgens met geavanceerde algoritmes worden
geanalyseerd, ofwel “Big Data & Data Science”.
Big Data & Data Science
Op een objectieve en statistisch verantwoorde wijze wordt de invloed van het rijgedrag op de
kans op schade bepaald, en het schadebedrag dat daarmee samenhangt (=Use Case:
Risico model ontwikkeling). De verzamelde gegevens worden zodoende gebruikt om
statistische analyses te kunnen uitvoeren, die als input dienen voor modellen voor het
rijgedrag inzicht en het vaststellen van het premiebedrag, inclusief de toelichting op de

3. 3
totstandkoming van dit premiebedrag. Er wordt data uit verschillende bronnen
samengebracht, om daar analyses op uit te voeren, die vervolgens in de bedrijfsvoering
worden toegepast. Het spreekt voor zich dat de data science activiteiten met hoge
privacy-risico’s gepaard gaan.
Aanvullende details
Naast de beschreven diensten wordt ervoor gezorgd dat de verzekerde alle privacy rechten
kan uitoefenen, zoals bijvoorbeeld: het recht om gegevens in te zien, het recht om correctie
of verwijdering van gegevens te vragen, het recht om een klacht te kunnen indienen en het
recht op dataportabiliteit. De organisatie heeft een functionaris gegevensbescherming (FG)
aangesteld, die advies geeft met betrekking tot gegevensbeschermingseffectbeoordelingen.
Voor dit begrip wordt meestal de term Privacy Impact Analyse (PIA) gebruikt.
Het globaal ontwerp is de basis voor een initiële PIA, die door de ​functionaris
gegevensbescherming zal worden beoordeeld en van advies wordt voorzien.
In figuur 1, zijn de onderdelen van het globale ontwerp weergegeven, die voor de
casebeschrijving relevant zijn.
Figuur 1: Globaal ontwerp

4. 4
Oordeel en advies van de FG
Op basis van het globale ontwerp kunnen een aantal conclusies worden getrokken. Er is
sprake van de verwerking van persoonsgegevens, waardoor de AVG van toepassing is. De
gegevensverwerkingen zijn gekoppeld aan welomschreven en welbepaalde doelen, met een
legitieme grondslag. Tevens zijn er maatregelen gedefinieerd waarmee de verzekerde zijn
rechten kan uitoefenen. Op basis van deze informatie zijn er op voorhand geen juridische
blokkades.
De risicoanalyse maakt duidelijk dat de verzekering met een hoge privacy impact gepaard
gaat. Dit betekent dat een hoog basisniveau van informatiebeveiliging vereist is. Aanvullend
op basisbeveiliging moeten meer fijnmazige technieken worden toegepast om specifieke
gevoeligheden van de persoonsgegevens te beschermen. Zo is het onwenselijk, en ook niet
noodzakelijk, dat een data scientist de identiteit van verzekerde kan achterhalen. Rijgedrag
inzicht heeft functionaliteit waarbij de verzekerde deelnemer zijn eigen rijgedrag gegevens
kan zien, afzet tegen andere deelnemers. Hierbij moet de identiteit van andere deelnemers
worden afgeschermd, tenzij een deelnemer zijn eigen rijgedrag met een breder publiek wil
delen.
Een deel van de noodzakelijke en geëiste maatregelen kunnen met technische oplossingen
worden gerealiseerd. Het maken van keuzes en afwegingen hierin wordt gedaan door
mensen die bij het ontwerp, de bouw en installatie betrokken zijn. Tijdens de uitvoering van
de operatie krijgen bepaalde medewerkers toegang tot persoonsgegevens, bijvoorbeeld de
data scientists. Ten aanzien van dergelijke activiteiten kan techniek slechts een beperkte
bijdragen leveren. Om die redenen is het van belang dat er zowel organisatorische als
technische privacy maatregelen worden genomen en dat dit in samenhang gebeurt. ​Hierbij
geldt dat de zwakste schakel de sterkte van de gehele keten bepaalt.
Voor de verdere uitwerking van de samenhangende verzameling van maatregelen adviseert
de FG om een Privacy by Design methode te gebruiken, die aan de gehele levenscyclus
ondersteuning biedt. Verder wordt geëist dat de uitvoering van de activiteiten door
gekwalificeerd personeel wordt gedaan, die over voldoende tijd en middelen moeten
beschikken.
In figuur 2 is een schets van het globaal ontwerp, aangevuld met de belangrijkste
boodschappen uit het initiële Privacy Impact Analyse rapport.

5. 5
Figuur 2: samenvatting van de PIA
Op basis van privacy by design principes wordt het globaal ontwerp met privacy
maatregelen uitgebreid. Daarbij wordt gestart met organisatorische aspecten.
Privacy by design van organisatorische aspecten
Een besturingsmodel moet er ervoor zorgen dat er duidelijke regels voor het gebruik van
data worden opgesteld en dat deze worden gerespecteerd. Anderzijds moet er scheiding
van taken en verantwoordelijkheden worden doorgevoerd om de kans op oneigenlijk gebruik
van data te voorkomen. Dit wordt gerealiseerd door de toepassing van een zoneringsmodel.
Elke zone kent specifieke privacy-risico’s met daarop afgestemde maatregelen. Een centraal
knooppunt is noodzakelijk om gecontroleerd en op een veilig wijze gegevens tussen deze
zones uit te wisselen. Dit centrale knooppunt is tevens een optimale plek om
privacy-specifieke activiteiten en vaardigheden te concentreren. Op basis van het
privacybeleid en risicoanalyses wordt bepaald welke data wordt verzameld en doorgezet, en
de vorm waarin dit plaatsvindt. Vanwege de activiteiten en expertise die in deze zone
aanwezig is, is een geschikte omgeving om een centrale privacy-administratie te beleggen.
Met behulp van deze administratie en de beschikbare expertise kan ondersteuning worden
geboden bij interne audits, externe audits en certificeringstrajecten.

6. 6
Gezien de het belang en de risico’s die met het centrale knooppunt samenhangen, is een
onafhankelijke certificering van deze zone te overwegen.
Figuur 3: Privacy by Design vanuit een organisatieperspectief
Het tweede deel van de privacy by design aanpak heeft betrekking op de technische
maatregelen. Bij het bepalen van de technische maatregelen, vormen de organisatorische
beslissingen een belangrijk uitgangspunt.
Privacy by design van technische aspecten
Ten aanzien van de technische aspecten worden een aantal privacy principes, ter illustratie
uitgewerkt. Een van de belangrijke principes binnen de AVG is, dat er ​een passende
beveiliging is, ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik
van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt. Daarbij
moet worden meegenomen dat g​ebruikte techniek nog ​passend is gezien de stand van de
techniek.
Beveiliging door versleuteling en segmentatie
Gezien de ontwikkelingen op het gebied van versleuteling tijdens transport en tijdens opslag,
wordt dit toegepast waar dit haalbaar is. Om specifieke privacy risico’s te kunnen beheersen
zal gebruik worden gemaakt van data segmentatie. Data segmentatie is een bruikbare

7. 7
techniek om de relatie tussen identificerende gegevens van een persoon en
geadministreerde feiten over de identificeerbare persoon te verbergen. Dit type van
maatregelen vallen binnen het kennisdomein van de beveiligingsexperts.
Dataminimalisatie
Door de toepassing van Privacy Enhancing Technologies (PET) wordt de kans op
her-identificatie verminderd en worden andere privacy risico’s verminderd. Voorbeelden
daarvan zijn technieken voor de-identificatie en data maskering. Om locatiegegevens en/of
tijdreeksen minder privacygevoelig te maken kunnen data aggregaties toegepast.
Het type gebruik van gegevens bepaald in hoge mate welke maatregelen er mogelijk zijn,
zonder dat ten koste gaat van de bruikbaarheid. Om die reden wordt er per type gebruik,
een andere combinatie van data minimalisatie technieken toegepast. Een gecontroleerd
inname- en distributiemechanisme zorgt ervoor dat een zone alleen gegevens ontvangt en
kan verwerken, die passen bij het beveiligingsniveau van die zone. De eerder genoemde
privacy-administratie bevat de informatie die als input voor de distributieschema's wordt
gebruikt.
In vergelijking tot informatiebeveiliging, zijn vraagstukken en oplossingen voor
dataminimalisatie nog niet aan een kennisdomein toe te wijzen. Het is een belangrijk
principe binnen de privacywetgeving. Het is dus zaak om kennis op dit gebied te gaan
verwerven.
Opslagbeperking
De AVG bevat het beginsel van “opslagbeperking". Indien er geen gerechtvaardigd belang
voor opslag van gegevens bestaat, moeten de gegevens worden vernietigd.
In het ontwerp wordt dit structureel meegenomen. Niet relevante meetgegevens worden zo
snel mogelijk vernietigd. Per doel worden bewaartermijnen gedefinieerd, die actief worden
beheerd. Wanneer de termijn verlopen is, moeten gegevens worden vernietigd.
Kennis op dit vlak zit bij experts op het gebied van databases, data-opslagsystemen en
archiveringssystemen. In de markt zijn er steeds meer software producten beschikbaar die
hierin ondersteuning kunnen bieden.

8. 8
Figuur 4: Privacy by Design vanuit een technisch perspectief
Samenwerking
De case illustreert dat voor privacy by design intensieve afstemming is vereist tussen
verschillende IT-experts en experts die niet tot het IT domein vallen, zoals: business experts,
juridisch experts en uiteraard de Functionaris Gegevensbescherming. Het toepassen van
een gestructureerde methode gaat helpen om deze afstemmingen effectief en efficiënt te
laten verlopen. Het biedt de meeste garantie dat op meest geschikte moment de juiste
functionaris wordt betrokken die, op basis van de juiste informatie, analyses kan uitvoeren
en beslissingen kan nemen, die tevens op een gestructureerde wijze worden
gedocumenteerd.

9. 9
Conclusies
- Privacywetgeving hoeft geen blokkade voor innovatie te vormen.
- Door slimme toepassing van privacy by design is het vaak mogelijk om privacyrisico's in
een systeem tot een acceptabel niveau terug te brengen, waarbij de opzet, bestaan en
werking van de maatregelen aantoonbaar zijn.
- Privacy by design vereist input van uiteenlopende expertises en de inzet van een breed
breed spectrum aan samenhangende maatregelen
- Een systematische en gestructureerde aanpak van Privacy by design helpt om tot een zo
optimaal mogelijke samenwerking tussen deze experts te bereiken
Neem voor vragen en informatie contact op met:
Richard.Claassens@ygdra.com
https://nl.linkedin.com/in/richardclaassens
+31(0)626965796
CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 04-17-2017 | versie 0,9