Kluisje, huisje, wolkje (7)
december 21, 2009 door henkbos · Laat een reactie achter
Deel zeven van een inleiding voor de Kenniskamer Privacy van BZK/Rathenau op 17 december 2009
Het toppunt van “doe maar gewoon, dan doe je gek genoeg” wordt wel uitgedrukt met huisje, boompje , beestje.
Dit burgerlijke ideaal van rust en tevredenheid voorzie ik ook voor onze digitale dubbelganger in de nabije toekomst.
Het zal niet meer dan normaal gevonden worden dat je zelf over jouw persoonsgegevens beschikt: Jij bepaalt en wijst aan wie wat mag doen met jouw gegevens (binnen wettelijke kaders waarin de belangen van anderen zijn gewaarborgd en waarin de wetgever de rechten/plichten in de informatie-verhouding burger/overheid/derden heeft geformuleerd.)
De juristen voeren nog achterhoedegevechten over de vraag wanneer je van eigendom van persoonsgegevens mag spreken, maar in de praktijk zul je over je gegevens kunnen beschikken We mogen hopen dat de staatscommissie grondwetsherzienng wat doet met het eerder aangehaald iDNA manifest! http://dotindividual.com/LinkedDocuments/iDNA-Manifest3.1.pdf
Het probleem spitst zich toe op het “poreus” zijn van gegevenseigendom, de afdwingbaarheid is daarmee in het geding. Maar wat is er poreus aan een profielrecht ? Waarom zou dat niet net zo afdwingbaar kunnen zijn als portretrecht?
Een profiel is bij Facebook en Google bepaald niet poreus. Ik herinner me nog goed dat ik de ene dag eigenaar was van mijn informatieprofiel bij Amazon.com en de andere dag niet meer. En de derde dag bevond Amazon zich opeens in de zwarte cijfers.
Wat mij betreft staan de profielen volgens de wettelijke voorschriften beschreven in de IBA (de opvolger van de GBA: de wet op de Individuele BurgerAdministratie)in de vorm van een persoonlijk profiel. Over dat profiel kun je beschikken middels een kopie waarmee je kunt werken in een beveiligde omgeving ( je “datakluisje”) op je computer, mobieltje etc . De gemeentelijke administratie blijft dus beschikbaar als achtervang .
Aan dat profiel zijn rechten en plichten verbonden zowel voor jou als beheerder als voor de instanties die de functionele gegevens beheren die bij jouw profiel horen.
Er is namelijk sprake van een strikte scheiding tussen de persoonsgegeven en de “dossiers” waarin jouw dienstverleners de functionele gegevens (proces, transactie, administratie etc.) beheren. Deze dossiers zijn anoniem tot jij of iemand die door jou gemachtigd is (voor een bepaald doel, op een te bepalen moment etc.) toegang vraagt.
Aangezien er steeds meer op het web ( “in the cloud”) gewerkt gaat worden zal de noodzaak van kopieën en downloads afnemen. Mocht dat toch noodzakelijk of gewenst zijn dan krijg jij via je kluisje iedere keer een waarschuwing als er ergens iemand iets met je profiel wil doen.
Er zijn hier belangrijke initiatieven voor de politiek weggelegd wetgeving (de IBA als complement van de WBP alsmede burgerrechtelijke regels, zie Dommering) , maar ook infrastructureel: het faciliteren van identiteitsmanagement en faciliteren van een “cloud” ten behoeve van de transacties tussen de kluisjes en de dossiers.
Qua wetgeving bepleit ik terughoudendheid: vraag de burger zelf aan te geven wat er in zijn slimme meter staat, of wat zijn kastje in de auto aangeeft: daar zijn geen centrale databases voor nodig. Volg met andere woorden het voorbeeld van de energiebedrijven en laat de burger zelf zijn verbruik opgeven. Als de slimme meters informatie hadden opgeleverd voor de consument die ze vervolgens zelf, geheel volgens VRM principes, had kunnen doorgegeven waren ze niet afgewezen door de tweede kamer. Als de burger vervolgens toestemming had gegeven om zijn gegevens anoniem bij het energiebedrijf in dossiers te stoppen had die ook alle voordelen van een database gehad, zonde de nadelen voor de privacy-beleving. Hier zit nog het verschil met de recente voor ingevulde formulieren van de belastingdienst: die beschikt (nog)wel over de persoonsgegevens.
Technisch beschikken wij al over DigiD voor authenticatie van transacties met (digitale) overheden. Positioneer het tussen de omvattender openID en openAuth en je hebt de basis voor een sluitende identificatie, authenticatie en autorisatie-procedure.