I&I-> Jaargangen -> Artikel

Leve de smart card,
nu nog even de
randvoorwaarden!

Staan we op de drempel van grootschalige toepassing van de smart card? Hoe staat het met de privacy-aspecten van deze personal computer zonder toetsenbord en beeldscherm?

De smart card staat in toenemende mate in de belangstelling. Tal van proeven en kleinschalige invoering maken duidelijk dat er een zekere vraag naar het produkt smart card is. Op dit moment is er sprake van een situatie waarin beleidsmakers en strategen op een kruispunt komen. De ene weg gaat richting gebruik van het instrument smart card. De andere weg is die van de terughoudendheid. Het lijkt of veel organisaties op dit moment voor de weg van terughoudendheid kiezen. De smart card wordt gezien als een produkt met potentie, maar kiezen voor grootschalig gebruik van de smart card is iets anders. Welke weg ook gekozen zal worden, duidelijk is dat de smart card niet geruisloos van het toneel zal verdwijnen. Nu we in de tussenfase tussen proef en grootschalig gebruik zitten is het mogelijk aandacht te besteden aan de randvoorwaarden. Een daarvan is de privacy van de gebruiker van een smart card.

In 1993 voerden de auteurs in opdracht van het Telematica Research Centrum een onderzoek uit naar de privacyaspecten van de smart card.1 Op basis van onder andere bestudering van praktijkproeven is inzicht verkregen in de problemen die voortvloeien uit de relatie smart card en privacy. In 1994 is eenzelfde soort onderzoek gehouden in opdracht van het ministerie van Welzijn, Volksgezondheid en Cultuur naar de privacy-aspecten van de smart card in de medische sector. De zogenaamde 'zorgpas' met de diverse toepassingsmogelijkheden stond in dat onderzoek centraal.2

In dit artikel zal in hoofdlijnen worden ingegaan op de resultaten van de beide onderzoeken. Hierbij zal worden aangegeven welke (privacy)punten van belang zijn bij de introductie van smart cards.

De smart card

De smart card wordt wel vergeleken met een personal computer zonder toetsenbord en beeldscherm.3 De smart card, in de vorm van een bankpas, heeft een chip waar gegevens in kunnen worden opgeslagen, bewerkt en verwijderd. Diverse toepassingen zijn te bedenken. Zo wordt de smart card gebruikt als winkelpas, personeelspas en worden er medicatie- of donorgegevens op zo'n smart card opgeslagen. Het is ook mogelijk om al deze verschillende toepassingsmogelijkheden op een smart card te combineren. Met een smart card is het onder andere mogelijk om persoonsgegevens te lezen, de persoon en de kaart te identificeren, informatie te versleutelen en wisselende gegevens geordend op te slaan.4 Naast deze mogelijkheden van de smart card wordt als grote voordeel van de smart card boven andere opslagmedia gewezen op het hoge beveiligingsniveau en, met name bij een smart card met een medische toepassing, het zelfbeschikkingsrecht van de patiënt over de eigen gegevens.

Privacy en smart cards

Bij de relatie privacy en smart cards zijn er in hoofdlijnen twee aandachtsgebieden te onderkennen. In de eerste plaats gaat het dan om meer algemene aspecten. In de tweede plaats gaat het om de vraag in hoeverre de huidige privacywetgeving voldoende waarborgen geeft bij het gebruik van een smart card. Bij de invulling van deze twee aandachtsgebieden in dit artikel zal het duidelijk worden dat het begrip privacy hier een ruime betekenis heeft. Niet alleen gaat het om vragen rond het verzamelen, opslaan en verstrekken van gegevens, er zal ook aandacht worden geschonken aan de wijze waarop burgers zelf kunnen bepalen of zij, en zo ja op welke wijze, gebruik willen maken van een smart card. Privacy in deze context heeft dan meer de betekenis van zelf bepalen wat er wel, en wat niet, over mij wordt beslist.

Wil de consument een smart card?

Deze vraag is op dit moment niet eenduidig te beantwoorden. Tot op heden zijn proeven met smart cards met wisselend succes van de grond gekomen. Gegevens over de wijze waarop gebruikers de smart card ervaren zijn niet negatief te noemen. Hierbij moet echter bedacht worden dat het gaat om een groep gebruikers die vaak op vrijwillige basis meedoen aan een proef met een smart card. Daarnaast gaat het vaak om een specifieke doelgroep die bepaalde voordelen onderkennen bij het gebruik van een smart card. Hierbij kan gedacht worden aan een groep patiënten met een bepaalde ziekte of bloeddonoren. Daarnaast kan er sprake zijn van een vorm van dwang om zo'n smart card te gebruiken. Een voorbeeld is het gebruik van een smart card in een bedrijfskantine. Betalen zonder de smart card is wel mogelijk, alleen moet dan meer worden betaald voor hetzelfde produkt.

De vraag of het grote publiek een smart card wil of genoegen neemt met een pas met magneetstrip of voor SOS-gegevens genoeg heeft aan een plaatje waarop visueel gegevens zichtbaar zijn is nog niet aan de orde geweest.

Op zichzelf is dit al opmerkelijk te noemen, de smart card is een produkt dat in toenemende mate gebruikt wordt. Niet alleen om te bepalen wat voor soort smart card er moet worden gemaakt, maar ook om de acceptatie te vergroten, lijkt het wenselijk de consument te vragen wat voor soort smart card gebruikt moet worden.

Orde in de registratiechaos

Een tweede aspect van de smart card is het scheppen van orde in de registratiechaos. Wat voorheen verschillende persoonsregistraties waren, vaak ook nog in het beheer van verschillende organisaties, kan met de smart card teruggebracht worden tot één of enkele persoonsregistraties die uiteindelijk ook nog bij één organisatie zijn ondergebracht. Als voorbeeld kan dienen het gebruik van de SCOPE-telefoonkaart, een benzinepas, een winkelpas en een bankpas. Al deze kaarten worden uitgegeven door verschillende organisaties die ieder hun eigen persoonsregistratie voeren. Wanneer nu één smart card wordt gebruikt voor al deze doeleinden, en deze smart card wordt ook nog eens uitgegeven door één overkoepelende organisatie, bijvoorbeeld ten behoeve van de financiële afwikkeling, dan ontstaat één grote persoonsregistratie, of meerdere fysiek gemakkelijk te koppelen afzonderlijke persoonsregistraties. Ook binnen één organisatie is het combineren van voorheen afzonderlijke registraties mogelijk. Waren kledinguitgifte, toegangsregistratie en kantineaankopen voorheen geen of afzonderlijke registraties, met de smart card komen al deze afzonderlijke registraties samen.

Het zal duidelijk zijn dat dit proces niet specifiek een gevolg is van de introductie van de smart card. Ook het langer bekende 'koppelen' van bestanden maakt het mogelijk verschillende persoonsregistraties te vergelijken of samen te voegen. De introductie van een smart card kan dit proces echter versnellen en versterken.

Een hoog beveiligingsniveau?

Een derde aspect waar met name door de voorstanders van de introductie van een smart card nog wel eens op gewezen wordt is het hoge beveiligingsniveau van een smart card. Dit is een voordeel wanneer het gaat om onbevoegden die inzage willen in de gegevens op de smart card of gebruik willen maken van de, bijvoorbeeld door diefstal, verkregen smart card.

Dit is echter maar het halve verhaal. Tegenover een beter beveiligingsniveau tegen ongewenst gebruik of ongewenste inzage staat het gebruik dat voortvloeit uit de mogelijkheden van de smart card. Zoals in het voorgaande al is aangegeven wordt het mogelijk met een smart card meer gegevens te verzamelen dan tot voor kort mogelijk was. Het idee dat het hoge beveiligingsniveau van een smart card een garantie is voor privacy gaat in dit soort situaties niet op. Het gaat hier immers om de afspraken die gemaakt worden tussen betrokken partijen over de wijze waarop ze met de gegevens op, of afkomstig van het gebruik van, de smart card omgaan. Een hoog beveiligingsniveau is dan geen beveiliging tegen afspraken en daarmee is de privacy door dat hoge beveiligingsniveau nog niet gegarandeerd.

Voorlichting

Een vierde aspect richt zich op de voorlichting. De gemiddelde folder die wordt gemaakt om een proef met een smart card toe te lichten geeft alleen inzicht in de gebruiksmogelijkheden van de desbetreffende smart card. Vaak is er onvoldoende voorlichting over de wijze waarop met de verzamelde gegevens wordt omgegaan, wat met die gegevens gedaan wordt, welke gegevens er worden verkregen en wie verantwoordelijk is voor de gegevens.

Onze ervaring is dat goede voorlichting een hoop problemen en ergernis kan voorkomen. Wanneer mensen duidelijk wordt gemaakt wat voor gegevens er gebruikt worden, wat er met die gegevens wordt gedaan en waarvoor de gegevens niet worden gebruikt, staan zij meer open voor een produkt dan nu vaak het geval is.

Nog meer gegevens!

Een vijfde aspect is de toename van het aantal gegevens dat beschikbaar komt, een proces dat reeds langere tijd aan de gang is. Met de komst van de computer kwam de vergroting van de opslagcapaciteit en de relatief eenvoudige mogelijkheden van manipulatie van gegevens. Hierdoor is reeds het aantal gegevens dat opgeslagen wordt over individuen aanmerkelijk toegenomen, om nog maar te zwijgen over de hoeveelheid gegevens die jarenlang bewaard worden. De smart card heeft een eigen rol in dit proces. Nieuwe gebruiksmogelijkheden kunnen nieuwe gegevens genereren. Zo komen steeds meer gegevens over telefoneren, tanken, betalen, reizen en medische zaken beschikbaar. Sommige van die gegevens waren zonder de smart card reeds voorhanden, andere nog niet.

Betrouwbaarheid van de gegevens

Dit zesde aspect, de betrouwbaarheid van de gegevens, is een logisch gevolg van wat Van Dijk reeds aangeeft wanneer het gaat om de beperkte verspreiding van nieuwe media: 'Men heeft niets aan nieuwe media als men niet ook de relatief steeds belangrijkere randapparatuur en programma's kan betalen.5

Ook bij de smart card valt te constateren dat de investeringen in randapparatuur (en tijd) een barrière kunnen vormen. Bij apparatuur om een smart card te kunnen lezen of te muteren gaat het natuurlijk niet om bedragen die in de duizenden guldens lopen. Toch zal een gemiddelde huisarts wel twee keer nadenken alvorens deze apparatuur, naast de al aanwezige apparatuur, zal worden aangeschaft.

Daarnaast ondervindt de smart card natuurlijk een niet te onderschatten concurrentie van de reeds op grote schaal ingevoerde apparatuur en produkten. Het kan hier gaan om de computer maar er kan ook gedacht worden aan het op grote schaal ingevoerde betalen met behulp van de bankpas met PIN. Al deze produkten staan niet per definitie het succes van de smart card in de weg maar zorgen er wel voor dat investeren in de smart card met de daarbij behorende randapparatuur geen makkelijke en logische stap is.

Wanneer de dekkingsgraad van de apparatuur niet volledig is kan niet in alle gevallen gebruik worden gemaakt van de smart card. Er kunnen dan geen gegevens op de smart card worden gezet waardoor de betrouwbaarheid van de gegevens zal afnemen. Dit knelpunt is slecht één van de mogelijke oorzaken van de afnemende betrouwbaarheid van de gegevens. Daarnaast kan de betrouwbaarheid afnemen doordat defecte apparatuur niet altijd direct vervangen kan worden. Er kunnen dan geen gegevens op de smart card worden gezet. Bovendien wil de consument niet altijd alle gegevens op de smart card laten opnemen, of kan hij de smart card gewoon vergeten zijn.

Samenvattend kunnen we stellen dat er weinig bekend is over de wensen van de consument ten aanzien van de gebruiksmogelijkheden van de smart card. Bovendien zal de smart card het proces van koppelen of samenvoegen van persoonsregistraties bevorderen. Hoewel het beveiligingsniveau van de smart card hoog te noemen is, betekent dit, met name daar waar het gaat om het zogenaamde geautoriseerde gebruik, nog geen garantie voor een goede privacybescherming. De voorlichting over het gebruik van een specifieke smart card zich dan ook moet richten op het verschaffen van inzicht in de wijze waarop met de gegevens wordt omgegaan. Ten slotte worden er nog meer gegevens verzameld over de individuele gebruiker van de smart card en zal de betrouwbaarheid van de gegevens op de smart card niet altijd optimaal zijn.

Privacywetgeving

Bij de meer algemene aspecten van de smart card zijn enkele problemen gesignaleerd die (in)direct te maken hebben met de privacywetgeving. Met name waar het gaat om het verzamelen en gebruik van gegevens moet privacywetgeving een regulerende, en naar men mag aannemen een beschermende, werking hebben. Alvorens in het kort op de wetgeving in te gaan is het van belang om een opmerking te maken over de smart card als zorgpas. Naast de op de smart card van toepassing zijnde Wet persoonsregistraties (WPR)6 is op de zorgpas ook specifieke voor de gezondheidszorg geldende wetgeving van toepassing. Het gaat hier met name om de ontwerp-wet geneeskundige behandelingsovereenkomst (WGBO). De WGBO bevat onder andere bepalingen ten aanzien van het omgaan met gegevens en bepalingen over het zelfbeschikkingsrecht over het eigen lichaam. De WGBO kan niet zonder meer gezien worden als een lex specialis ten opzicht van de WPR. Waar de regels van elkaar afwijken is er vaak sprake van een aanvulling. Gezien het meer algemene karakter van dit artikel zal alleen ingegaan worden op de WPR.7Daarnaast moet opgemerkt worden dat in deze paragraaf niet op alle aspecten van de relatie privacywetgeving en de smart card zal worden ingegaan.

Is de wet van toepassing?

Een eerste probleem dat zich voordoet bij de relatie WPR smart card is de vraag of de WPR wel van toepassing is. Om deze vraag bevestigend te kunnen beantwoorden is het van belang om te bepalen of een smart card een persoonsregistratie in de zin van de WPR is. Een persoonsregistratie is 'een samenhangende verzameling van op verschillende personen betrekking hebbende persoonsgegevens, die langs geautomatiseerde weg wordt gevoerd of met het oog op een doeltreffende raadpleging van die gegevens systematisch is aangelegd' (art. 1 WPR). Het zal duidelijk zijn dat een smart card waar gegevens van één persoon op staan niet aan deze definitie zal voldoen. De praktische consequentie zou dan zijn dat de privacywetgeving zoals die op dit moment van toepassing is, niet zou gelden voor de smart card. Ons uitgangspunt is echter dat een smart card per definitie een onderdeel is van een achterliggende registratie. Voor dit uitgangspunt is om een aantal redenen gekozen:

de bron waaruit de gegevens afkomstig zijn is nodig voor de eigen controle;

ten behoeve van financiële afwikkeling van transacties of ten behoeve van de fiscus zullen er altijd gegevens aanwezig zijn in een achterliggende registratie;

het kan bij meningsverschillen over de gegevens of een saldo noodzakelijk zijn dat de kaartuitgevende instantie de beschikking heeft over de gegevens die ook op de smart card staan;

bij verlies of diefstal is het noodzakelijk dat de gegevens gereproduceerd kunnen worden.

In de regel zal er dus sprake zijn van een wisselwerking tussen de smart card en de achterliggende registratie. De WPR kent de mogelijkheid dat gegevensverwerking op verschillende lokaties plaatsvindt en is het meer de vraag of het gaat om een registratie die logisch als één geheel kan worden gezien of om meerdere registraties waartussen een koppeling is aangebracht. Daarnaast is de fysieke vorm van een gegevensbestand niet beslissend. Dat wil zeggen dat alle informatiedragers in beginsel een persoonsregistratie of een onderdeel daarvan kunnen bevatten.8

Het doel van de registratie

Een tweede probleem heeft betrekking op het doel waarvoor een persoonsregistratie wordt aangelegd. De WPR geeft aan dat gegevens alleen mogen worden verzameld en opgenomen in een persoonsregistratie als er een bepaald doel is omschreven waarvoor dat verzamelen en opslaan noodzakelijk is. Wanneer het doel van de persoonsregistratie omschreven is, kan bepaald worden welke gegevens noodzakelijk zijn en welke niet.

In de praktijk is vaak voor de gebruiker van de smart card niet duidelijk welk uiteindelijke doel verbonden is aan het gebruik van de smart card. De mogelijkheid met een smart card in een kantine te betalen kan op het eerste gezicht lijken op het doel van de smart card. Wanneer echter het eigenlijke doel beveiliging van het terrein is, wordt de doelstelling al minder helder. Het gebruik van de smart card in de kantine is dan meer een extra optie teneinde mensen te 'dwingen' de smart card bij zich te dragen.

Een andere onduidelijkheid is de onzekerheid over het toekomstige gebruik. Wanneer op zeker moment wordt gekozen voor een smart card als toegangspas dan dient dat een specifiek doel. Wanneer echter later gebruik wordt gemaakt van de vrijgekomen gegevens om te achterhalen wie op een bepaalde dag op een afdeling is geweest waar diefstal is geconstateerd dan is dat een ander gebruiksdoel van de smart card. Dit gebruik is geen logisch vervolg op het eerste doel. Derhalve is het noodzakelijk om vooraf na te denken over het doel waarvoor de gegevens worden gebruikt.

Dit probleem lijkt op het eerste gezicht niet specifiek voor de smart card. Ook bij andere persoonsregistraties is het gevaar aanwezig dat gegevens gebruikt worden voor een ander doel dan het doel waarvoor ze oorspronkelijk verzameld zijn. Met een smart card kunnen echter meer gegevens verzameld worden en zijn de gegevens gemakkelijker te structureren.

Toestemming?

Een derde en laatste punt heeft betrekking op de vraag of het afstaan van de smart card wil zeggen dat een consument toestemming geeft voor de verstrekking van de gegevens. Als grote voordeel van een smart card wordt gewezen op het feit dat een consument zelf kan bepalen aan wie welke gegevens worden verstrekt. De consument heeft immers zelf de smart card in handen en kan dan ook zelf bepalen aan wie die smart card wordt afgegeven. De consument krijgt zo een uitmuntende vorm van zelfbeschikking in de schoot geworpen en met het afgeven van de smart card wordt derhalve toestemming gegeven voor het verstrekken van gegevens.

Hierbij moet echter bedacht worden dat vaak geen sprake is van een vrijwillige situatie. Vaak komen consumenten in een afhankelijke positie terecht omdat ze voor een bepaalde dienst of een specifiek produkt zijn aangewezen op één instantie of organisatie of op een organisatie in een branche waar afspraken zijn gemaakt over acceptatie. Ook het idee dat consumenten wel een keuze hebben, namelijk die tussen wel of geen afname van een produkt is een te simpele benadering. Wel of geen uitkering, wel of geen verplichte verzekering, wel of geen hypotheek, lijkt een bepaalde keuze in zich te hebben. Maar hoe vrijwillig is in dit geval vrijwillig?

Het gelijkstellen van de afgifte van een smart card aan het geven van toestemming voor het verstrekken van gegevens is derhalve een verkeerde conclusie.

Samenvattend kunnen we stellen dat de smart card gezien kan worden als een onderdeel van een achterliggende persoonsregistratie en derhalve onder de werkingssfeer van de WPR valt. Voordat gebruik wordt gemaakt van een smart card moet duidelijk worden wat het doel van die smart card is en welke gegevens daarvoor noodzakelijk zijn. Teneinde te voorkomen dat in bepaalde situaties min of meer verplicht een smart card wordt afgegeven is het noodzakelijk te bepalen wanneer wel en wanneer niet om een smart card mag worden gevraagd.

De rol van de overheid

In de eerste plaats is het van belang om randvoorwaarden te ontwikkelen bij een nieuw produkt als de smart card. Op basis van bijvoorbeeld de genoemde onderzoeken naar de privacy-aspecten van de smart card en de zorgpas is het mogelijk om zulke randvoorwaarden te scheppen. De overheid heeft bij de ontwikkeling van die randvoorwaarden een stimulerende rol. Voorbeelden van deze stimulerende rol zijn het 'Begeleidend Onderzoek Telematica Gidsprojecten' dat mogelijk wordt gemaakt door het ministerie van Economische Zaken en enkele onderzoeken in het kader van 'volksgezondheid transparant' van het ministerie van Welzijn, Volksgezondheid en Cultuur.

Wanneer eenmaal de knelpunten zijn gesignaleerd en de voorwaarden geformuleerd wordt het mogelijk te bepalen wie welke afspraken moet maken en wie welke maatregelen moet nemen. Vooralsnog lijkt de overheid zich terughoudend op te stellen bij het maken van afspraken of het doen van uitspraken over de smart card en welke concrete privacyrandvoorwaarden hierbij een rol spelen.

Veel van de knelpunten die hier aan de orde zijn geweest hebben te maken met tekortschietende regelgeving. Het zal duidelijk zijn dat wanneer de privacywetgeving geen antwoord heeft op de problemen die voortvloeien uit het produkt smart card er aanpassing van die regels noodzakelijk is. Op welke wijze die aanpassing vorm moet krijgen is vooralsnog onduidelijk. Aanpassing of aanscherping van de wetgeving is een optie die tot de mogelijkheden behoort maar die om een langere adem vraagt. Daarnaast zijn er voorstanders van gedragscodes waarin afspraken worden gemaakt over de blanco pagina's in de huidige wetgeving. De overheid zal aan moeten geven welke optie de voorkeur heeft. Het zal duidelijk zijn dat bij deze afweging ook zaken als deregulering en het principe van de vrije markt een rol zullen spelen.

Tot slot

Is vanuit privacy-optiek de smart card nu een ongewenste vreemdeling? Het antwoord hierop is niet zonder meer met ja of nee te beantwoorden. Een en ander is sterk afhankelijk van het gebruik van de smart card en de wijze waarop de randvoorwaarden vorm hebben gekregen. Voorop moet het uitgangspunt centraal staan dat elk produkt, dus ook de smart card, een bepaalde rol kan spelen in de maatschappij. Omdat een smart card bepaalde negatieve neveneffecten heeft als het gaat om de privacy is dat nog geen reden om de smart card als zodanig af te wijzen. De smart card moet wel afgewezen worden als door wordt gegaan met de introductie zonder aandacht te schenken aan de knelpunten.

Daarnaast is het de vraag of de smart card in alle verschijningsvormen zinvol is. Uit gesprekken tijdens het onderzoek naar de privacy-aspecten van de zorgpas bleek dat vooralsnog weinig animo bestaat om een compleet medisch dossier op de zorgpas op te nemen. Ook hier speelt weer een rol dat onvoldoende bekend is welke smart card de consument als zinvol zal ervaren.

Leve de smart card, nu nog even de randvoorwaarden!