This thesis is but an initial analysis of the understanding of innovative technologies in the modern world. The case study provides an analytical description of the process whereby the Dutch government, reflects on its holdings of the goods they value such as revenues, public safety, privacy, or policy implementation. This was done by looking at the policy process, applied governmental instruments and big data related risks to personal privacy. In order to provide a comprehensive analysis of the extent to which governments can provide protection to citizens, further research is needed. On January 1st 2016, a compulsory registration of data
leaks was implemented to discourage the use of privacy infringing technologies. This legislation was not taken into consideration when the research was conducted.
Finally, further research is required due to the implementation of the General Data Protection Regulation (GDPR) in 2017. This regulation intends to strengthen and unify individual data protection in the European Union. This regulation will reconcile the differences in regulations within the EU. In order to research if the applied governmental tools analysed in this thesis still apply in 2017, follow up research will be required.
References
Berners-Lee, T., (2014). The Web at 25: Tim Berners-Lee on the Web of Data. In What's The Big Data? Retrieved March 17th, 2014, from www.whatsthebigdata.com.
Snijders, C., Matzat, U., & Reips, U.-D. (2012). ‘Big Data’: Big gaps of knowledge in the field of Internet. International Journal of Internet Science, 7, 1-5.
http://www.ijis.net/ijis7_1/ijis7_1_editorial.html
Shaw, J., (2014). Why “Big Data” Is a Big Deal. In Harvard Magazine. Retrieved March 17th, 2014, from http://harvardmagazine.com/2014/03/why-big-data-is-a-big-deal.
Harford, T. (2014). Big data: are we making a big mistake? In FT Magazine. Retrieved April 4th, 2014, from http://www.ft.com/intl/cms/s/2/21a6e7d8-b479-11e3-a09a-
00144feabdc0.html#axzz2xdEfsz5e.
Kingdon, J. W. (2003) Agendas, alternatives and public policies. New York, Longman.
Fairfield, J., & Shtein, H. (2014). Big Data, Big Problems: Emerging Issues in the Ethics of Data Science and Journalism. Journal of Mass Media Ethics: Exploring Questions of Media
Morality, 29(1), 38-51. Retrieved from
http://www.tandfonline.com/doi/abs/10.1080/08900523.2014.863126#.U3DE4_RdWQM
Eijkman, Q., & Weggeman, D. (2013). Open source intelligence and privacy dilemmas: Is it time to reassess state accountability? Security and Human Rights, 23(4), 285-296.
IBM Community Development Foundation (1997). The Net Result - Report of the National Working Party for Social Inclusion. Houston, USA.
Boyd, D., & Crawford, K (2012) CRITICAL QUESTIONS FOR BIG DATA, Information, Communication & Society, 15(5), 662-679. Retrieved from
http://www.tandfonline.com/doi/abs/10.1080/1369118X.2012.678878#.U3DdXfRdWQM
Kranzberg, M. (1986) Technology and history: kranzberg’s laws, Technology and Culture, 27(3), 544–560. Retrieved from
http://www.jstor.org.ezproxy.leidenuniv.nl:2048/stable/pdfplus/3105385.pdf?acceptTC=tru e&jpdConfirm=true
Hartley-Parkinson, R. (2012). 'I'm going to destroy America and dig up Marilyn Monroe': British pair arrested in U.S. on terror charges over Twitter jokes. The Daily Mail. Retrieved from http://www.dailymail.co.uk/news/article-2093796/Emily-Bunting-Leigh-Van-Bryan-UK- tourists-arrested-destroy-America-Twitter-jokes.html
Davenport, T. (2014). Big Data at Work: Dispelling the Myths, Uncovering the Opportunities. Boston, MA: Harvard Business Review Press.
Barker, C. (2014). What skills do companies really want on their big data team? ZDNet.
Retrieved from http://www.zdnet.com/what-skills-do-companies-really-want-on-their-big- data-team-7000025945/
U.S. Department of Justice. (2006). Privacy Technology Focus Group Report. Retrieved from IJIS Institute website:
http://it.ojp.gov/documents/privacy_technology_focus_group_full_report.pdf
Gostin, L. O. (1997). Health care information and the protection of personal privacy: Ethical and legal considerations. Annals of Internal Medicine, 127(8), 683-690. Retrieved from http://web.b.ebscohost.com/ehost/detail?sid=645ddeee-7bbd-4556-a9f5-
cdd90849883b%40sessionmgr111&vid=1&hid=127&bdata=JnNpdGU9ZWhvc3QtbGl2ZQ%3d %3d#db=aph&AN=9711071564
Narayanan, A., & Shmatikov, V. (2010). Myths and Fallacies of “Personally Identifiable Information”. Privacy and Security, 53(6), 24-26. Retrieved from
http://www.cs.utexas.edu/users/shmat/shmat_cacm10.pdf
Movius, L. B., & Krup, N. (2009). U.S. and EU Privacy Policy: Comparison of Regulatory Approaches. International Journal of Communication, 3, 169-187.
College Bescherming Persoonsgegevens. (n.d.). DUTCHDPA. Retrieved from http://www.dutchdpa.nl/Pages/en_ind_wetten_wbp.aspx
Co-operation Group Audit Strategy. (2001). Privacy Audit Framework (1). Retrieved from College bescherming persoonsgegevens website:
http://www.dutchdpa.nl/downloads_audit/PrivacyAuditFramework.pdf
Howlett, M., Ramesh, M. & Perl, A., (2009). Studying Public Policy: Policy Cycles and Policy Subsystems. Oxford: Oxford University Press, Chapter 5 (NATO model)
Datta-Chaudhuri, M. (1990). Market Failure and Government Failure. Journal of Economic Perspectives, 4(3), 25-39. Retrieved from
https://msuweb.montclair.edu/~lebelp/PSC643IntPolEcon/DattaChaudMktFailJEP1990.pdf
Rechtbank Amsterdam. (2013). ECLI:NL:RBAMS:2013:3248 (AWB11_5797). Retrieved from http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2013:3248&keyword=( AWB%C2%AD11_5797)
Armerding, T. (2014). The 5 worst Big Data privacy risks (and how to guard against them). Retrieved from http://www.csoonline.com/article/2855641/big-data-security/the-5-worst- big-data-privacy-risks-and-how-to-guard-against-them.html
Rubin, H. J., & Rubin, I. S. (1995). Qualitative Interviewing: The Art of Hearing Data. Thousand Oaks, CA: Sage.
Babbie, E. (2007). The practice of Social Research (11th Ed.). Belmont, CA: Thomson Wadsworth.
Blumer, H. (1969). Symbolic interactionism: Perspective and method. Berkeley, CA: University of California Press
Manyika, J., Chui, M., Bughin, J., Brown, B., Dobbs, R., Roxburgh, C., Byers, A. H. (2011). Big Data: The next frontier for innovation, competition, and productivity. Retrieved from McKinsey Global Institute. website:
http://www.mckinsey.com/insights/business_technology/big_data_the_next_frontier_for_in novation
Yin, R. K. (2009). Case study research - Design and methods (3rd ed.). Washington: SAGE publications.
Willis, B. (2014). The Advantages and Limitations of Single Case Study Analysis. Retrieved from http://www.e-ir.info/2014/07/05/the-advantages-and-limitations-of-single-case-study- analysis/
Knock, M. K., Michel, B. D., & Photos, V. I. (2007). Single-Case Research Designs. Retrieved from http://www.sagepub.in/upm-data/19353_Chapter_22.pdf
KNMG. (2010). Richtlijnen inzake het omgaan met medische gegevens. Retrieved from http://knmg.artsennet.nl/Publicaties/KNMGpublicatie/71228/Richtlijnen-inzake-het- omgaan-met-medische-gegevens-2010.htm
Health Consumer Powerhouse. (2015). Euro Health Consumer Index 2014. Retrieved from HCP Ltd website: http://www.healthpowerhouse.com/index.php?Itemid=55
Nederlands Parlement (2000) Artikel 35 Wet bescherming persoonsgegevens. Ministerie van Veiligheid en Justitie. Retrieved from http://maxius.nl/wet-bescherming-
persoonsgegevens/artikel35
Nederlands Parlement (2000). Artikel 36 Wet bescherming persoonsgegevens. Ministerie van Veiligheid en Justitie. Retrieved from http://maxius.nl/wet-bescherming-
persoonsgegevens/artikel36
Bonthuis, M. (2008). Privacy en het landelijk Elektronisch Patienten Dossier. Itsprivacy.
Nederlands Parlement (2000) Artikel 16 Wet bescherming persoonsgegevens. Ministerie van Veiligheid en Justitie. Retrieved from http://maxius.nl/wet-bescherming-
persoonsgegevens/artikel16
Nederlands Parlement (2000). Artikel 8 Wet bescherming persoonsgegevens. Ministerie van Veiligheid en Justitie. Retrieved from http://maxius.nl/wet-bescherming-
persoonsgegevens/artikel8
Nederlands Parlement (2000). Artikel 9 Wet bescherming persoonsgegevens. Ministerie van Veiligheid en Justitie. Retrieved from http://maxius.nl/wet-bescherming-
Nederlands Parlement (2000). Artikel 10 Wet bescherming persoonsgegevens. Ministerie van Veiligheid en Justitie. Retrieved from http://maxius.nl/wet-bescherming-
persoonsgegevens/artikel10
Nederlands Parlement (2000). Artikel 33 Wet bescherming persoonsgegevens. Ministerie van Veiligheid en Justitie. Retrieved from http://maxius.nl/wet-bescherming-
persoonsgegevens/artikel33
Nederlands Parlement (2000). Artikel 51 Wet bescherming persoonsgegevens. Ministerie van Veiligheid en Justitie. Retrieved from http://maxius.nl/wet-bescherming-
persoonsgegevens/hoofdstuk9
Nederlands Parlement (2000). Artikel 13 Wet bescherming persoonsgegevens. Ministerie van Veiligheid en Justitie. Retrieved from http://maxius.nl/wet-bescherming-
persoonsgegevens/artikel13
Nederlands Normalisatie-instituut. (2011). NEN 7510 - Informatiebeveiliging in de zorg. Retrieved from https://www.werkenmetnen7510.nl/normen
Nederlands Normalisatie-instituut. (2015). NEN 7512 - Informatiebeveiliging in de zorg. Retrieved from https://www.werkenmetnen7510.nl/normen
Nederlands Normalisatie-instituut. (2010). NEN 7513 - Informatiebeveiliging in de zorg. Retrieved from https://www.werkenmetnen7510.nl/normen
Groves, P., Kayyali, B., Knott, D., & Van Kuiken, S. (2013). The 'big data' revolution in healthcare. Retrieved from McKinsey & Company website:
http://www.mckinsey.com/insights/health_systems_and_services/the_big- data_revolution_in_us_health_care
Spronk R. (2008). AORTA, the Dutch national infrastructure (0.6). Retrieved from Ringholm website: http://www.ringholm.com/docs/00980_en.htm#AORTA_Video
European Parliament. (1995). Article 29 Data Protection Working Party. Retrieved from European Commission website:
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf
Hutink, H. (2012). ICT-Standaarden in de zorg. Retrieved from https://www.nictiz.nl/SiteCollectionDocuments/Boeken/ICT- standaarden%20in%20de%20zorg.pdf
Van 't Noordende, G. (2010). A Security Analysis of the Dutch Electronic Patient Record System. Retrieved from University of Amsterdam website:
http://d1sx0yagqoiea4.cloudfront.net/epd/Techreport-VWS.pdf
Bohre, V. (2014). Interview met Vincent Bohre, Director of Operations, Privacy First. Interview by B. Thoma.
Nederlands Parlement (2000). Artikel 21 Wet bescherming persoonsgegevens. Ministerie van Veiligheid en Justitie. Retrieved from http://maxius.nl/wet-bescherming-
Doorenbos, C. (2014). Van EPD tot LSP: de digitalisering van het patientendossier [Web log post]. Retrieved from https://rathenauboekenblog.wordpress.com/2014/08/14/de- geschiedenis-van-het-elektronisch-patientendossier/
Appendix
Interview with Vincent Böhre, Director of Operations, Privacy First. *Interview conducted in Dutch
Borja: Hoe kunnen wij er voor zorgen/zeker stellen dat de persoonlijke data van patienten verwerkt wordt in overeenstemming met de wensen van de patient?
Dhr. Bohre: Verschillende oplossingsrichtingen denkbaar. Wetgeving, beleid en techniek.
Mogelijke technische oplossing, dan werk je met of databases, een internetportaal of met zorgpasjes.
Het nadeel van databanken is dat het altijd te hacken is door derden en dat het moeilijk is om controle over te houden. Die gaan vaak voor andere doelen gebruikt worden wat je ook wel “Function Creep” noemt.
Het nadeel van een internetportaal is dat het ook gehackt kan worden en ook voor derden makkelijk beschikbaar is.
Zorgpasjes zijn misschien een betere optie omdat je dan echt de controle volledig bij de patient legt en de gegevens ook in het beheer van de patient laat blijven.
Het nadeel ervan is dat je de gegevens misschien weer teveel bij de patient legt en dat de arts er geen controle meer over heeft. De arts heeft de wettelijke verplichting om het medisch dossier van de patienten te beheren en ook veilig te beheren. Nadeel is dat mensen de pasjes ook kunnen verliezen of vergeten, vooral voor mensen die oud zijn, gehandicapt of zwakbegaafd kan dat tot veel problemen gaan leiden.
Privacy first campagne begonnen: toestemming.nl waarin de patient zelf overal toestemming voor geeft en daardoor inzicht heeft op wat er met zijn medische data gebeurd. Dus uitwisseling met andere zorgverleners in het kader van een bepaald zorg traject, alleen met die zorgverleners waar de patient zelf toestemming voor geeft. Vervolgens hou je er als patient ook zicht op wie jou gegevens inziet m.b.t. de zorgverleners die jij toestemming hebt gegeven en wanneer dat gebeurd en je arts houdt er ook zich op. En dan zou je het systeem zo moeten inrichten dat je die manier van regie voeren en control van medische data kan optimaliseren. Je ziet nu in de tweede kamer dat er een wet wordt opgetuigd, die juist weer generieke toestemming mogelijk maakt. Er is een onderscheidt tussen generieke en specifieke toestemming. Maar dat houdt wel in dat ieder systeem over 1 of 2 jaar zo
zou moeten worden ingericht, dat specifieke instemming ook mogelijk is. Dus het is niet zo dat de toekomstige wetgeving die nu nog in de 2e kamer ligt, dat je met generieke toestemming voldoende hebt. Dus eigenlijk moeten nu alle systemen worden omgebouwd. Het LSP moet eigenlijk ook worden omgevormd tot een systeem dat ook specifieke toestemming als systeem eis heeft geimplementeerd. En ook generieke toestemming als dat vanuit de patient gewilt is. Als jij graag carte blanche wil geven aan je zorgverleners of andere mensen in deze wereld om jou medische gegevens te kunnen gebruiken dan moet je dat als burger ook zelf mogen weten. Nadeel is vaak dat mensen niet weten wat voor een consequenties dit kan hebben, welke implicaties en toekomstige gevaren er aan vast zitten.
Borja: In 2011 gaf Minister Schippers van Volksgezondheid aan de verantwoordelijkheid voor het EPD bij Nictiz neer te leggen. Dit is uiteidenlijk niet door gegaan door meerdere redenen. Wie zou het voortouw moeten nemen om de ontwikkelingen op technologies en beleidstechnisch gebied te managen die invloed hebben op het privacy beleid in de gezondheid sector? Welke actoren? Welke rol voor ICT?
Dhr. Bohre: Tegenwoordig is het VZVZ (Vereniging Zorgaanbieders Voor Zorgcommunicatie) verantwoordelijk voor het LSP. Dat was eerst Nictiz maar dat is toen afgeschoten door de 1e kamer. Sinsdien is dat plan van de tafel maar het wordt ook weer privaat doorgestart sinsdien door de zorgverzekeraars en ICT leveranciers. VZVZ is nu de nieuwe organisatie de gaat over het LSP, het voormalige EPD wat eigenlijk dezelfde architectuur nog heeft.
Ik zou zeggen dat de overheid daar een actievere rol in moet spelen en daarbij het voortouw moet nemen. De overheid heeft als het ware een soort van systeem verantwoordelijkheid voor alles wat er in de maatschappij gebeurd op technologies vlak. Wat er wel en niet mogelijk mag zijn. Daar hebben ze een soort van
eindverantwoordelijkheid voor.
De WRR (Wetenschappelijke Raad voor het Regeringsbeleid) heeft 3-4 jaar geleden een groot raport uitgebracht dat heet e-overheid (e-gov). Daar komt o.a. een deel onderzoek/ black box onderzoek in voor. Die hebben toen gezegd; de overheid houdt altijd een soort systeem verantwoordelijkheid of eindverantwoordelijkheid voor wat in haar maatschappij gaande is. En dat houdt in dat je als overheid altijd de wettelijke kaders en de beleidskaders scheppen zodat we ook in de horizontale sfeer, tussen bedrijven onderling en burgers onderling en tussen burgers en bedrijven, de privacy zo goed mogelijk gewaarborgt word. En bepaalde dingen die misschien technisch mogelijk zijn maar vanuit een menselijk oogpunt of privacy oogpunt niet deugen of niet ethisch zijn, zouden we moeten verbieden.
Wat je nu dus ziet met generieke toestemming, wordt er nu gelukkig ook specifieke toestemming in de wet gezet als tweede optie zodat er in de toekomst dus naast generieke toestemming ook specifieke toestemming aangevraagd dient te worden. Ik vind niet dat de verantwoordelijkheid, voor het sturing geven aan dit soort grote, fundamentele ontwikkelingen, zou moeten liggen bij de private sector. Maar in ieder geval bij de overheid in samenspraak met de private sector. Het moet niet alleen maar top-down zijn, ook niet alleen maar bottom-up. Ik denk dat er een goede
wisselwerking moet zijn met de overheid in samenspraak met het relevante
maatschappelijk veld zoals de zorg sector en ook relevante maatschappelijke actoren zoals het CBP (College Bescherming Persoonsgegevens), zoals de toezichthouders, de NZA, de IGZ, Pricacy First, ESIM, en mensenrechten organisaties zoals het college voor de rechten van de mens. Eigenlijk moet je met alle stakeholders in discussie gaan en consultaties houden over dit soort belangrijke ontwikkelingen en nooit alleen puur vanuit de overheid of de private sector. En da de overheid als het ware gedoogd of lang de zijlijn toekijkt. Dat vergt misschien wat meer tijd, energie en management maar uiteindelijk kom je dan met z’n alle tot oplossingen die veel breder gedragen worden. Die zijn dan ook effectiever en efficienter dan wanneer dingen louter vanuit de overheid komen of louter vanuit het bedrijfsleven.
Dus niet de sturende rol bij Nictiz, wat nu waarschijnlijk dan VZVZ is. Want als je het alleen maar aan VZVZ over laat dan heb je dus eigenlijk alleen maar te maken met zorgverzekeraars en ICT leveranciers via VZVZ wat een pure private partij is met hele andere belangen namelijk winst en markposities van zorgverzekeraars. Op deze manier heeft VZVZ ook een optimale inzage in patientengegevens waarmee ze in de toekomst weer premies kunnen deferentieren en analyses kunnen doen voor nieuwe patienten bij zorgeverzekeringen.
De ICT zou ook als sturende kracht moeten kunnen optreden want vanuit de ICT ontstaan er natuurlijk ook mogelijkheden maar je moet de techniek aan de loop laten. De techniek dient de mens en niet andersom. Ik vind dat de sturende kracht uit moet gaan van de burgers en overheid en niet van de ICT. Want anders krijg je echt een getechnoliseerde maatschappij waar de balans zoek is.
Bij Privacy First vinden wij dat je altijd vanuit het burger perspectief moet blijven kijken en niet vanuit het ICT perspectief. Niet alles wat technisch mogelijk is moet je ook altijd willen. Waar leg je de grens. Wat je de laatste jaren ziet met privacy en ICT is dat allerlei dingen technisch mogelijk worden en die ook worden gebruikt en geimplementeerd en dat daarbij geen grenzen aan lijken te zitten in praktijk. Terwijl er wel wettelijke grenzen zijn en mensenrechterlijke grenzen. Dit soort discussies had je vroeger ook om het milieu. En we doen ook niet alles wat mogelijk is als het het milieu schaadt, waarom dan wel als het de privacy schaad?
Op militair terrein zijn er allerlei wapens de laatste 40-50 jaar verboden. Het is allemaal technisch mogelijk en is misschien zeer effectief maar moet je het willen? Wat zijn alle positieve en negatieve neveneffecten en consequenties. Want als die balans doorslaat zie je dus dat staten een eigenbelang krijgen bij het verbieden van dingen. Zo gaat het ook met technologie en ICT. Er is technisch heel veel mogelijk, misschien kunnen we ook mensen gaan klonen in de toekomst maar moet je het willen. Uiteindelijk komt het allemaal neer op een moreel kompas, een ethisch kompas, menselijke maat en het houden van een gezonde balans. Wij vinden dat het burger perspectief altijd op nummer 1 staat. Het gaat uiteindelijk om mensen en niet om technologie, geld en economisch belang.
Dus zeker niet de sturende kracht bij de private sector en zeker niet de sturende kracht bij de ICT. Eerder bij de samenleving, burger perspectief, patient perspectief, burgers in het algemeen en ook de overheid als belangrijk systeembewaker.
Bij gevoelens gegevens zoals medisch persoons gegevens mag je nooit dingen verplicht gaan stellen. Dat moet of met toestemming van de desbetreffende patient of met een enorm zwaar wegende reden die je in de wet kan opnemen. Bijvoorbeeld ter bestrijding van criminaliteit en dus de bevordering van veiligheid. Zwaar wegende belangen die soms een inbreuk op de privacy legitimeren maar dan moet er echt sprake zijn van noodzaak, proportionaliteit, subsidiariteit, wat betekend dat je altijd het meest privacy vriendelijke middel moet inzetten.
Alles wat je doet moet voldoen aan drie voorwaarden vanuit privacy als mensenrecht gezien namelijk: 1) Noodzakelijkheid, iets moet echt noodzakelijk zijn anders mag je het niet doen. 2) proportionaliteit, je mag nooit een zwaarder middel inzetten dan nodig is om het doel te bereiken en 3) subsidiariteit, dat je het meest privacy vriendelijke middel gebruikt om je doel te bereiken. Dus als jij een database opzet met patientengegevens, dan moet je hem zwaar encrypten en technisch
compartementeren zodat die moeilijk te hacken is, zodat als je er eenmaal toegang