RFID, veelbelovend of onverantwoord? 
Bijdrage aan de maatschappelijke discussie over RFID 

CBP, oktober 2006

RFID-toepassingen maken al geruime tijd deel uit van het dagelijks leven. Ze zijn er in vele soorten en maten. Er zijn handige toepassingen, zoals elektronische sleutels om autodeuren mee te openen of chips waarmee weggelopen huisdieren kunnen worden opgespoord. Er zijn geaccepteerde beslissingen, zoals toegangsbadges voor op het werk. Er zijn toepassingen die levensreddend kunnen zijn, zoals identificatiearmbandjes van patiënten in operatiekamers. Er zijn toepassingen die geld besparen, zoals bij het verbeteren van voorraadbeheer in de detailhandel. Er zijn toepassingen die beogen de openbare veiligheid te verhogen. Er zijn exotische toepassingen, zoals het laten implanteren van een chip om een VIP-behandeling in een uitgaansgelegenheid te verwerven.

Er zijn toepassingen die geen noemenswaardige problemen opleveren. Er zijn er ook, die baden in een aura van onontkoombaarheid en tot intense discussie leiden, zoals bij het paspoort. Ten slotte zijn er ook toepassingen die vooral door hun onzichtbaarheid als bedreigend worden gezien en waartegen mensen heftig in het geweer komen, zoals het door middel van in kleding ingeweven chips volgen van klanten.

Deze A&V-studie is ook in het Engels beschikbaar (link naar de Engelstalige website van het CBP).

pdf documentlees de samenvatting van dit rapport (37 KB)
pdf documentlees het volledige rapport (1.17 MB)

Het College bescherming persoonsgegevens acht het daarom van groot belang dat de vraag, hoe om te gaan met ontwikkeling en toepassing van RFID, vooral met het oog op de implicaties van RFID-toepassing voor de persoonlijke levenssfeer, voorwerp is van studie en overleg in verscheidene fora, internationaal en nationaal. In Nederland zijn op dit terrein verschillende partijen actief. Een ECP.NL-werkgroep waarin marktpartijen, beleidsmakers, wetenschappers en belangenbehartigers vertegenwoordigd waren, heeft in 2005 de publicatie 'Privacyrechtelijke aspecten van RFID' uitgebracht. Vanuit zijn specifieke rol als toezichthouder wil het CBP bijdragen aan de verdere voortgang van het debat.

Op internationaal vlak heeft het CBP bijgedragen aan de meningsvorming over RFID door onderschrijving van het Sydney Statement, uitgebracht tijdens de conferentie in 2003 van privacytoezichthouders en door deelname aan de EU Artikel 29-werkgroep van toezichthouders. Deze werkgroep heeft de RFID-gerelateerde problematiek genventariseerd en geanalyseerd en buigt zich thans over begripsbepalingen die behulpzaam kunnen zijn bij het nader interpreteren van regelgeving.

Op nationaal vlak beoogt het CBP vanuit zijn toezichthoudende rol met het uitbrengen van deze publicatie aan te geven welke aspecten van RFID naar de mening van het CBP uit het oogpunt van gegevensbescherming aandacht, nadere studie en debat verdienen. Het gaat daarbij niet om het toetsen hoe 'RFID-proof ' de Wet bescherming persoonsgegevens is of om het bepleiten van een nieuw of aangepast wettelijk kader. De nadruk in deze inbreng ligt op het onderkennen van de maatschappelijke voor- en nadelen van de techniek en het geven van aanzetten tot normontwikkeling. Is RFID veelbelovend of onverantwoord? Welke toepassingen kunnen wel, welke niet? Hoe moeten we verder met RFID? Door te onderzoeken welke maatregelen kunnen leiden tot een verantwoorde omgang met RFID en welke van de betrokken partijen - of dat consumenten zijn of bedrijven, systeemontwerpers of de overheid - deze maatregelen het beste kunnen treffen, hoopt het CBP de discussie over RFID en persoonsgegevens verder te stimuleren.

 

Colofon
Beugelsdijk, R. RFID, veelbelovend of onverantwoord. Bijdrage aan de maatschappelijke discussie over RFID. College bescherming persoonsgegevens, oktober 2006. Achtergrondstudies en Verkenningen 29

 

Inhoudsopgave

  • Voorwoord
  • Samenvatting
  • Maatschappelijke aspecten van RFID
  • Techniek en toepassingen
  • Typen RFID-toepassingen
  • Typen waarborgen
  • Hoe verder met RFID?
  • Bijlagen

 

Samenvatting

De ontwikkeling van Radio Frequency Identification - RFID - is de afgelopen tijd in een stroomversnelling geraakt. De techniek maakt het mogelijk ongekend grote hoeveelheden data, waaronder persoonsgegevens, te genereren, op te slaan of anderszins te verwerken. RFID heeft aanzienlijke implicaties voor de privacy en de privacybeleving en is daarom voorwerp van maatschappelijk debat. Met het uitbrengen van dit rapport wil het College bescherming persoonsgegevens de discussie over maatschappelijk verantwoord RFID-gebruik verder stimuleren.

De belangrijkste punten uit het rapport zijn:

  • Samenwerking en kennisdeling tussen betrokken partijen - ontwerpers, toepassers, overheid en consumenten - is essentieel, nationaal en internationaal.
  • Zet geen RFID in als dat niet hoeft. Als onvoldoende waarborgen bestaan tegen mogelijk nadelige effecten op de persoonlijke levenssfeer is RFID-gebruik af te raden.
  • De drijfveer voor het huidige gebruik van RFID is vooral logistiek. De nadelen ontstaan doordat via de verkregen gegevens personen beoordeeld kunnen worden, vaak buiten hun medeweten. De belangrijkste waarborg om deze risico's te voorkomen of te verzachten moet worden gezocht in Privacy by Design. Bij het ontwerpen van applicaties en van infrastructuren dient van meet af aan rekening te worden gehouden met privacyrisico's.
  • Voor zover RFID-toepassingen persoonsgegevens betreffen, is het bestaande juridisch kader van toepassing. Er zijn echter ook schemergebieden waarvoor normontwikkeling nodig kan blijken te zijn. Het te vroeg inzetten van nieuwe beperkende middelen kan verstikkend werken voor innovaties, het te laat inzetten daarvan tot onomkeerbare maatschappelijke nadelen. Gezien de snelheid waarmee RFID zich ontwikkelt, lijkt het voor het ontwikkelen van evenwichtige standpunten over de inzet van de techniek op dit moment verstandig vooral de nadruk te leggen op de mogelijkheden die Privacy by Design kan bieden voor het inbouwen van garanties voor verantwoorde toepassing.
  • Alle partijen moeten weten waar zij goed aan doen in omgevingen waar RFID wordt ingezet en welke rechten, plichten en mogelijkheden voor hen gelden.
  • Burgers hebben recht op informatie over toepassing van RFID en zouden waar redelijk over mogelijkheden moeten kunnen beschikken om al dan niet betrokken te worden bij RFID-verwerkingen. Hierbij valt te denken aan het kunnen kiezen voor een alternatief waarbij geen RFID wordt gebruikt of aan het kunnen verwijderen van tags. Zij dienen altijd inzage te kunnen krijgen in de met behulp van RFID over hen verzamelde gegevens. Voor misbruik of oneigenlijk gebruik van RFID moeten zij beschikken over een goede klachtregeling.
  • Toepassers moeten bij het inzetten van RFID vooral aandacht besteden aan het uitsluiten van (privacy)risico's, zichtbaarheid, beveiliging en informatieverstrekking. Audits, gedragscodes en best practices kunnen hieraan bijdragen. Gewaakt moet worden voor cumulatie van gegevens. Datamininalisatie in de backoffice heeft een preventief belang.
  • Overheden moeten er niet op uit zijn middels RFID over steeds meer gegevens te kunnen beschikken. De burger moet vertrouwen hebben in verantwoord RFID-gebruik door de overheid. De overheid moet zich als bijzondere toepasser bij uitstek verzekeren van optimale beveiligingsmogelijkheden. Zij heeft voorts een rol bij het stimuleren van kennisdeling en onderzoek, nationaal en internationaal, en bij publieksvoorlichting.
  • Systeemontwikkelaars en ontwerpers van ICT-middelen moeten RFID-toepassingen niet alleen op technische aspecten toetsen maar ook op privacybestendigheid.