In Nederland wordt de opslag van persoonsgegevens geregeld door middel van de Wet Bescherming Persoonsgegevens. In deze wet staat beschreven wat er wel en niet is toegestaan omtrent het gebruik van persoonsgegevens. Voor burgers is het mogelijk om hun gegevens op te vragen bij instanties.
Instanties en bedrijven zijn verplicht aan te geven wat zij met de opgeslagen gegevens doen. Er moet worden gespecificeerd wat er met de gegevens wordt gedaan. Wellicht wil een organisatie deze informatie doorverkopen aan derden of wil het de gegevens delen met andere instanties. Als de gegevens voor wettelijke doeleinden worden gebruikt is de instantie echter niet verplicht de gebruiker te informeren over verstrekking van gegevens aan derden.
Een burger mag een schriftelijk verzoek indienen bij de desbetreffende organisatie. Als organisatie zijn moet er binnen 4 weken schriftelijk gereageerd worden. De organisatie hoeft dit niet kosteloos te doen, maar als de burger of gebruiker aangeeft dat de informatie incorrect is, mogen er geen kosten verhaald worden. Als instantie mag je de inzage tot informatie ook weigeren, maar alleen als het strafbare feiten betreft.
Voor marketing doeleinden gelden strengere regels. De persoon, die in de marketinguiting wordt genoemd, mag een verzoek indienen om de gegevens te laten verwijderen.
Een overheidsinstelling daarentegen is verplicht uw gegevens te verstrekken als een ander overheidsinstelling hierom vraagt. Een recht op geheimhouding is daarom niet van toepassing.
Persoonsgegevens en ICT
De opmars van grootschalige dataopslag leidt er toe dat ICT-instanties beter met data op moeten gaan. Volgens de wet zijn persoonsgegevens gegevens die te herleiden of identificeerbaar zijn met een natuurlijk persoon.
Dat betekent dat data die beelden zoals foto’s of video’s bevatten, NAW-gegevens en soortgelijke informatie vallen onder de Wet Bescherming Persoonsgegevens. Een combinatie van data die kunnen herleiden naar een natuurlijk persoon vallen tevens onder deze wet. Een voorbeeld zijn IP-Adres, MAC-adres gecombineerd met GPS-data. Gecombineerd zou er een persoon kunnen worden gevonden aan de hand van de eerder genoemde criteria.
Daarnaast is het belangrijk om rekening te houden met het feit dat als jij niet over een persoonsgegeven beschikt, maar iemand anders wel binnen de database zou kunnen herleiden wie de natuurlijke persoon is, dan valt jouw database alsnog onder de wet. Je bent dus alsnog eindverantwoordelijke voor de opslag en bescherming van data die kunnen herleiden naar een natuurlijk persoon.
Als het alleen een technische beschrijving of een rechtspersoon betreft, staan deze los van de wet bescherming persoonsgegevens.
Versleuteling van de gebruikers wachtwoord is ook zeer belangrijk. Ook is het handig om een prefix voor de tabel naam te kiezen daardoor is het voor de hacker moeilijker om erachter te kommen wat je tabellen namen zijn.
Privacy in de database?
Er zijn bepaalde criteria die moeten voldoen van de wetgeving voor het versturen van spam (‘marketing’) e-mail naar een klant. Volgens de wetgeving moet iedereen die een marketing e-mail verstuurd toestemming hebben van de email eigenaar. De toestemming houd in dat de klant jou algemene voorwaarden moet accepteren. In de algemene voorwaarden moet staan dat ze akkoord gaan dat jij de klant spam e-mail’s verstuurd. Daarna is een boolean attributen in een database nodig dat de gebruiker met de algemene voorwaarden eens is. De Dutch Dialogue Marketing Association heeft een heldere toelichting gepubliceerd volgens hun kunnen boetes voor spam oplopen tot 450.000 euro per overtreding.
Ook volgens de wet moet de persoonsgegevens in een database goed beschermd worden. Persoonsgegevens geven directe of indirecte informatie over een persoon, bijvoorbeeld iemands geboortedatum, adres of geslacht zelf ook iemands IQ is beschermd en mag niet doorverkocht worden aan een derde partij. Ook staat in de wetgeving dat een BSN nummer verboden is om in de database te hebben.
Ontwerp en opbouw
Los van de hierboven genoemde punten zijn er nog meer dingen van belang. Wanner je kijkt naar een database is het belangrijkst punt toch het ontwerp en de opbouw. Dit verslag heeft als kernwaarde de omgang met persoonlijke gegevens maar we kunnen de database zelf waar deze gegevens zich bevinden niet over het hoofd zien.
De gedachten hier achter is simpel net als hoe bij de mensen ons DNA als het waren onze bouwstenen bepalen hoe wij de wereld waarnemen, bepaald de opbouw van de database hoe met de gegevens van een persoon word omgegaan.
Nu zou je denken ik begrijp het punt maar wat is nu het effect van het ontwerp van de database op de persoonlijk gegevens. Om dit begrijpelijker te maken nemen we wat voorbeeld en passen we deze in de praktijk toe.
Het wachtwoord; dit is letterlijk het punt waarop alle je harden werk en het volgen van de regels en wetgevingen je als nog onderuit kan halen. Als we een wachtwoord in de database opslaan zijn er meerderen dingen die we moeten doen:
‘ Het wachtwoord moet versleuteld worden.
‘ Het wachtwoord moet voldoen aan minimale eisen.
Wanneer een gebruiker een wachtwoord aanmaakt geeft dit toegang tot al zijn persoonlijke gegevens. Hierom is het van belang om eisen te stellen aan de gebruiker.
Een voorbeeld van minimale eisen kan zijn(Microsoft standaard):
‘ De lengte moet minimaal zes tekens zijn.
‘ Het wachtwoord moet tekens uit drie van de volgende categorie??n bevatten:
o Hoofdletters (A tot en met Z)
o Kleine letters (a tot en met z)
o Cijfers uit het tientallig getal stelsel (0 tot en met 9)
o Niet-alfanumerieke tekens (zoals, !, $, #, %)
De reden hiervoor is simpel mensen willen wachtwoord die makkelijk te onthouden zijn maar zijn tegelijkertijd makkelijk te raden. Hierom moet de gebruiker tegen zichzelf beschermt worden. Hiernaast word het wachtwoord ook versleuteld in de database zodat het niet door mensen kan worden terug gehaald als de database zelf word ontvreemd.
Maar wat heeft dit nu met het ontwerp te maken, nou wanneer we de database hebben aangemaakt hebben we gezegd wat in dit veld mag komen. Bijvoorbeeld als het wachtwoord 18 tekens lang moet zijn en je een versleuteling gebruikt van 50 tekens. Dat past dit niet in de database wanneer je hebt aangegeven dat je maar 25 tekens mag invoeren. Dat betekend dat dit letterlijk de gegevens be??nvloed van deze persoon.
We kunnen ook een wat positiever voorbeeld nemen bijvoorbeeld iemand zijn naam. Als we iemand zijn naam normaliseren en deze in 3 segmenten te verdelen voornaam, achternaam en tussenvoegsel krijgen we 3 velden in de database. Dit heeft als voordeel dat we makkelijk iedereen met een bepaald tussen voegsel kunnen terug vinden.
De conclusie is dus dat er een aantal regels zijn die gevolg moeten worden maar er komt meer bij kijken dan alleen deze regels wanneer je met een daadwerkelijk database werkt. Wanneer je kijkt naar de regels en wetgeving is er veel te vinden over dit ontwerp maar er zijn dingen die niet veel naar voor komen. Dit vonden wij helaas jammer, de nadruk werk vooral gelegd op het omgaan met gegevens en niet perse met de beveiliging van de gegevens. Vandaar dat wij ook een stuk van het verslag hebben toegewezen aan het ontwerpen van de database met namen wat stof over het omgaan met wachtwoord en de invloed van het ontwerp op de omgang met gegevens.
Wat ons tevens opviel was een groot gebrek aan regelingen rond de veranderingen in de bewaar plicht en de periode van tijd dat gegevens bewaard mogen worden. Dit is toch wel een punt waar veel over gedateerd zou kunnen worden, met namen als je kijkt naar de nieuwen eisen die het Europese gerechtshof heeft. Helaas word dit nog niet mee genomen in veel van de eisen en wetgevingen wat betreft persoonlijke gegevens en databases in het algemeen.
‘
Bronnen
Rijksoverheid.nl
Website van de overheid. Zeer betrouwbare bron, veel relevante informatie.
http://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/vraag-en-antwoord/wat-regelt-de-wet-bescherming-persoonsgegevens-wbp.html
Ictrecht.nl
Betrouwbare bron met professionele uitstraling. Ictrecht.nl heeft veel tevreden grote klanten, zoals HEMA, TomTom of Hostnet.
https://ictrecht.nl/privacy/bigdatamaandag-deel-3-persoonsgegevens-en-gegevensverwerking
haanen.nl
Om de concept van de database meer te begrijpen en voor inspiratie.
http://haanen.nl/paulhaanen/relationele_database
Rijksoverheid.nl
Uitgebreid uitleg over persoonsgegevens en is ook van de overheid
http://www.rijksoverheid.nl/onderwerpen/persoonsgegevens
Nuv.nl
Omdat er wettelijke uitspraken over e-mails en marketing instaat.
http://www.nuv.nl/veelgestelde-vragen/economische-en-juridische-zaken/reclame-privacy-direct-marketing-telemarketing/als-de-database-al-is-ingericht-naar-de-b2c.8174.lynkx
DirkZwagerieit.nl
Omdat er ervaringen beschreven werden en ook wettelijke uitspraken over bescherming van de BSN nummer.
http://dirkzwagerieit.nl/2013/06/28/waarom-het-bsn-burgerservicenummer-niet-in-databases-mag-worden-gebruikt/