Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

| AE 9265 | Cloud, Privacy | 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet worden gewerkt met pseudoniemen of codes, zodat bij datalekken niet gelijk alle details van de leerlingen op straat liggen. Het idee is loffelijk maar moet dat nu echt zo met een wet?

De tekst van het wetsvoorstel wordt helaas pas openbaar nadat de Raad van State er advies over heeft gegeven, dus het is nog even speculeren. Ik hoop op een voorstel dat gewoon zegt, scholen mogen alleen pseudonimeen van leerlingen aan leveranciers doorgeven. In combinatie met een verbod voor leveranciers om meer dan dat te vragen. Het is immers echt nergens voor nodig om werkelijke persoonsgegevens van leerlingen te hebben om een dienst aan een school te leveren.

Ik ben een beetje bang dat er komt te staan dat de leverancier ontvangen persoonsgegevens moet pseudonimiseren. (Of, nog erger, dat dit in overleg moet worden vastgesteld.) Want dan schiet je er weinig mee op, dan is die brondata er nog steeds en dus blijft de kwetsbaarheid bestaan.

En ja ik weet het, de Privacyverordening roept op tot pseudonimiseren en staat toe dat dit gebeurt door de partij die vervolgens gaat werken met de gepseudonimiseerde gegevens. Het is niet verplicht dat je de sleutel en de pseudonieme data in aparte bedrijven bewaart. Dus het zou legaal zijn als een dienstverlener zo gaat werken, en het wetsvoorstel zou dan weinig toevoegen behalve dan dat dit móet in plaats van slechts een beste praktijk te zijn. (Sorry, de tekst van de Verordening is wat raar.)

Je kunt je natuurlijk sowieso afvragen wat dit wetsvoorstel gaat toevoegen bovenop die Verordening. Want ook daar staat al in dat je persoonsgegevens zo veel mogelijk moet beperken, dat je bij voorkeur pseudonimiseert dus en natuurlijk dat je adequaat beveiligt en daar afspraken over maakt met je verwerkers (voorheen je bewerkers), zoals die clouddienstverleners dus. Hooguit zou dat dan nog zijn dat het black letter law wordt in plaats van ahem een beste praktijk, of een richtsnoer van de toezichthouder waar een leverancier van kan zeggen dat zij toch alternatieve feitenandere inzichten hebben over hoe het zo veilig mogelijk te doen.

Arnoud

Facebook moet pseudoniemen toestaan in Duitsland

| AE 4853 | Privacy | 17 reacties

facebook-real-nameDe huisregel van Facebook dat je je echte naam moet gebruiken is in strijd met de Duitse privacywetgeving, las ik bij Nu.nl. Facebook meldt het bevel tot aanpassing van de Duitse privacywaakhond (nou ja, die van Schleswig-Holstein) te zullen aanvechten, want de Ierse collega’s hadden eerder nog geen problemen op dit punt bespeurd.

Facebook hanteert die echtenaamregel nu ongeveer een jaar, met enkele opmerkelijke handhavingsfeiten zoals dat Salman Rushdie geband werd omdat in zijn paspoort Ahmed staat. Het beleid zou trollen en misbruik moeten indammen, maar of dat werkt is niet echt duidelijk.

De Duitse telecommunicatiewet is op dit punt echter niet voor misverstand vatbaar (art. 13 lid 6):

The service provider must enable the use of telemedia and payment for them to occur anonymously or via a pseudonym where this is technically possible and reasonable. The recipient of the service is to be informed about this possibility.

De Ieren hebben echter niet zo’n regel, en ook in de Nederlandse wet kan ik niets terugvinden dat dit letterlijk bepaalt. Voor zover ik kan achterhalen, is deze Duitse regel gebaseerd op een overweging uit de e-Privacyrichtlijn, namelijk dat

(9) De lidstaten, de betrokken aanbieders en gebruikers alsmede de bevoegde communautaire instanties zouden moeten samenwerken bij de introductie en ontwikkeling van de benodigde technieken waar zulks noodzakelijk is met het oog op de waarborgen die door deze richtlijn worden geboden, daarbij met name rekening houdend met de doelstelling de verwerking van persoonsgegevens zoveel mogelijk te beperken en waar mogelijk gebruik te maken van anonieme of onder pseudoniem opgeslagen gegevens.

De Duitsers hebben ervoor gekozen deze overweging als wetsartikel op te nemen, maar dat is dus niet verplicht. Dat verklaart waarom de Ieren er geen punt van maakten – hun wet kent geen equivalent en dus valt daar voor een toezichthouder weinig over te zeggen.

Natuurlijk zou je kunnen zeggen dat mensen Facebook toestemming geven om hun echte naam te gebruiken, maar gezien de omvang van Facebook en het feit dat die regel pas kwam nadat Facebook al gigantisch gegroeid was, twijfel ik of je die toestemming wel “vrijwillig” kunt noemen. Meedoen of ophoepelen van het sociale netwerk is niet echt een keuze.

Update (15 februari 2013) dit lijkt van de baan, want de Duitse rechter vonnist dat zij onbevoegd is omdat Facebook in Ierland gevestigd is.

Arnoud