Wat zijn PETs?
PETs zijn een verzamelnaam van alle technieken die kunnen worden gebruikt om persoonsgegevens op een privacyvriendelijke manier te verwerken, en de bescherming hiervan te ondersteunen. Dat kunnen de meer traditionele technieken zijn maar ook de meer opkomende technieken.
Bij traditionele technieken kunt u denken aan encryptie van data in opslag (het versleutelen van gegevens in een opgeslagen database), hashing (het toepassen van een algoritme (hash) op de gegevens waardoor er een op het eerste oog nietszeggende riedel aan cijfers en letters ontstaat), tokenizatie (een veld met echte gegevens vervangen door random gegevens, denk aan het vervangen van alle namen van personen in de database door ‘Tante Sidonia’) of generalisatie (het creëren van grote groepen te in de database, zoals het vervangen van alle woonplaatsen van personen door de provincie waarbinnen hun woonplaats valt).
Bij de meer opkomende technieken, kunt u bijvoorbeeld denken aan homomorfische encryptie (het versleutelen van gegevens op een wijze waardoor ze niet eerst ontsleuteld hoeven te worden voordat er aanpassingen in kunnen worden gemaakt) en differentiële privacy (het toevoegen van ruis aan gegevens waardoor de gegevens van een individu niet meer ‘kloppend’ uit de database kunnen worden gehaald).
Hoe zou u een PET kunnen adopteren?
PETs kunnen zowel worden toegepast op reeds bestaande verwerkingen, als op nieuwe verwerkingen/systemen/projecten. Om te bepalen wat handig is, is het advies om eerst in kaart te brengen wat het doel is van de verwerking, welke persoonsgegevens hiermee worden verwerkt, hoe deze moeten worden ingezet en waar de privacy risico’s zitten. Aan de hand hiervan, kan worden gekeken welke PETs het meest geschikt zijn om de privacy risico’s te mitigeren, zonder dat dit de benodigde functionaliteiten in de weg staat.
Voordelen van het adopteren van PETs
Het adopteren van PETs heeft meerdere voordelen, waaronder:
- Het is effectiever (en over het algemeen veiliger) om standaard technische privacy waarborgen in te richten, dan te moeten vertrouwen op (de naleving van) organisatorische procedures en instructies;
- Als PETs meteen bij de ontwikkeling van een nieuw systeem worden meegenomen is dit vaak qua kostenefficiëntie aantrekkelijker, dan achteraf herstelmaatregelen te moeten nemen;
- Het merendeel van de datalekken wordt veroorzaakt door een menselijke handeling, dus alle risico’s die al technisch kunnen worden afgevangen verminderen het risico op datalekken;
- Er zijn reeds diverse bestaande PETs technieken die u kunt toepassen, dus het is niet nodig om het wiel volledig opnieuw uit te vinden;
- Het is een concrete manier om de principes Privacy by Design & Privacy by Default in uw organisatie toe te passen.
Kortom, genoeg redenen om de PETs op zijn minst in overweging te nemen en wellicht tot adoptie over te gaan. Mocht u over PETs nog wat meer informatie willen, dan kan ik u van harte aanraden om de PETS adoption guide (incl. overzichtelijke beslisboom) van het Centre for Data Ethics and Innovation (CDEI) ter inspiratie eens te bekijken.
Contact
Wilt u meer weten over de concrete toepassing van Privacy by Design & Privacy by Default en/of PETs binnen uw organisatie? Neem dan gerust contact op.
Michelle Wijnant, Legal Counsel IT, Privacy & Cybersecurity