Radio Frequency Identification - RFID - ontwikkelt zich explosief en is voorwerp van soms heftig maatschappelijk debat. Het CBP publiceert vandaag een discussiestuk over deze technologie vanuit het oogpunt van de bescherming van persoonsgegevens. Het CBP hoopt hiermee de discussie over maatschappelijk verantwoord RFID-gebruik verder te stimuleren.
Het CBP is van mening dat de belangrijkste waarborg tegen mogelijke privacyrisico’s gezocht moet worden in privacy by design. Bij het ontwerpen van toepassingen en van infrastructuren dient van meet af aan rekening te worden gehouden met privacyrisico’s en dienen daar voorzieningen voor te worden getroffen.
Het rapport bevat voor alle partijen (burgers en consumenten, toepassers, waaronder de overheid, systeemontwikkelaars en ontwerpers van ICT-middelen) aanbevelingen en aandachtspunten.
De belangrijkste zijn: informatieverstrekking over het gebruik van RFID aan burgers en consumenten is van groot belang, het moet mogelijk zijn voor consumenten om RFID-loos door het leven te gaan en het CBP bepleit terughoudendheid bij het opslaan van met RFID verzamelde gegevens, zeker waar dat opslag en cumulatie van persoonsgegevens met zich meebrengt. RFID maakt het mogelijk met behulp van chips die op of in goederen, dieren of mensen worden aangebracht ongekend grote hoeveelheden data, waaronder persoonsgegevens, te genereren, op te slaan of anderszins te verwerken. De drijfveer voor het huidig gebruik van RFID is vooral logistiek. De nadelen ontstaan doordat via de verkregen gegevens personen kunnen worden beoordeeld, vaak buiten hun medeweten.
Voor zover RFID-toepassingen persoonsgegevens betreffen, is het bestaande juridisch kader van toepassing. Voor de gevallen waarbij niet meteen duidelijk is of het om persoonsgegevens gaat, kan het nodig zijn normen nader uit te werken of te ontwikkelen. Alle partijen die het aangaat moeten weten waar zij goed aan doen in omgevingen waar RFID wordt ingezet en welke rechten, plichten en mogelijkheden voor hen gelden.
OVER HET CBP
Het College bescherming persoonsgegevens (CBP) houdt -onder de Wet bescherming persoonsgegevens (WBP)- toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Bij het CBP moet het gebruik van persoonsgegevens worden gemeld, tenzij hiervoor een vrijstelling geldt.
Het CBP adviseert de regering en organisaties over de bescherming van persoonsgegevens en onderwerpen die daarmee samenhangen. Het CBP toetst gedragscodes en bemiddelt in geschillen tussen burgers en gebruikers van persoonsgegevens. Op eigen initiatief of op verzoek van een belanghebbende kan het CBP onderzoeken of de manier waarop persoonsgegevens in een bepaalde situatie zijn gebruikt, in overeenstemming is met de wet en daaraan zonodig gevolgen verbinden. Voor in gebreke blijven bij de melding kan een boete worden opgelegd. Bij overtreding van de wet of daarop gebaseerde regelingen kan het CBP overgaan tot bestuursdwang of een dwangsom opleggen.
Samenvatting
Samenvatting
De ontwikkeling van Radio Frequency Identification – RFID – is de afgelopen tijd in een stroomversnelling geraakt. De techniek maakt het mogelijk ongekend grote hoeveelheden data, waaronder persoonsgegevens, te genereren, op te slaan of anderszins te verwerken. RFID heeft aanzienlijke implicaties voor de privacy en de privacybeleving en is daarom voorwerp van maatschappelijk debat. Met het uitbrengen van dit rapport wil het College bescherming persoonsgegevens de discussie over maatschappelijk verantwoord RFID-gebruik verder stimuleren.
De belangrijkste punten uit het rapport zijn:
* Samenwerking en kennisdeling tussen betrokken partijen – ontwerpers, toepassers, overheid en consumenten – is essentieel, nationaal en internationaal.
* Zet geen RFID in als dat niet hoeft. Als onvoldoende waarborgen bestaan tegen mogelijk nadelige effecten op de persoonlijke levenssfeer is RFID-gebruik af te raden.
* De drijfveer voor het huidige gebruik van RFID is vooral logistiek. De nadelen ontstaan doordat via de verkregen gegevens personen beoordeeld kunnen worden, vaak buiten hun medeweten. De belangrijkste waarborg om deze risico’s te voorkomen of te verzachten moet worden gezocht in Privacy by Design. Bij het ontwerpen van applicaties en van infrastructuren dient van meet af aan rekening te worden gehouden met privacyrisico’s.
* Voor zover RFID-toepassingen persoonsgegevens betreffen, is het bestaande juridisch kader van toepassing. Er zijn echter ook schemergebieden waarvoor normontwikkeling nodig kan blijken te zijn. Het te vroeg inzetten van nieuwe beperkende middelen kan verstikkend werken voor innovaties, het te laat inzetten daarvan tot onomkeerbare maatschappelijke nadelen. Gezien de snelheid waarmee RFID zich ontwikkelt, lijkt het voor het ontwikkelen van evenwichtige standpunten over de inzet van de techniek op dit moment verstandig vooral de nadruk te leggen op de mogelijkheden die Privacy by Design kan bieden voor het inbouwen van garanties voor verantwoorde toepassing.
* Alle partijen moeten weten waar zij goed aan doen in omgevingen waar RFID wordt ingezet en welke rechten, plichten en mogelijkheden voor hen gelden.
* Burgers hebben recht op informatie over toepassing van RFID en zouden waar redelijk over mogelijkheden moeten kunnen beschikken om al dan niet betrokken te worden bij RFID-verwerkingen. Hierbij valt te denken aan het kunnen kiezen voor een alternatief waarbij geen RFID wordt gebruikt of aan het kunnen verwijderen van tags. Zij dienen altijd inzage te kunnen krijgen in de met behulp van RFID over hen verzamelde gegevens. Voor misbruik of oneigenlijk gebruik van RFID moeten zij beschikken over een goede klachtregeling.
* Toepassers moeten bij het inzetten van RFID vooral aandacht besteden aan het uitsluiten van (privacy)risico’s, zichtbaarheid, beveiliging en informatieverstrekking. Audits, gedragscodes en best practices kunnen hieraan bijdragen. Gewaakt moet worden voor cumulatie van gegevens. Datamininalisatie in de backoffice heeft een preventief belang.
* Overheden moeten er niet op uit zijn middels RFID over steeds meer gegevens te kunnen beschikken. De burger moet vertrouwen hebben in verantwoord RFID-gebruik door de overheid. De overheid moet zich als bijzondere toepasser bij uitstek verzekeren van optimale beveiligingsmogelijkheden. Zij heeft voorts een rol bij het stimuleren van kennisdeling en onderzoek, nationaal en internationaal, en bij publieksvoorlichting.
* Systeemontwikkelaars en ontwerpers van ICT-middelen moeten RFID-toepassingen niet alleen op technische aspecten toetsen maar ook op privacybestendigheid.
|
>>>> Downloaden >>>> Bron |
» Samenvatting [36 KB]
» Rapport [1.203 KB] » www.cbpweb.nl |
