Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13
‘Gegevensbescherming? Regel het zelf!’ - Digitaldigital.nl/wms/Media/Product/Digital AVG Peter...
Click here to load reader
Transcript of ‘Gegevensbescherming? Regel het zelf!’ - Digitaldigital.nl/wms/Media/Product/Digital AVG Peter...
1
‘Gegevensbescherming?Regelhetzelf!’DeAlgemeneVerordeningGegevensbeschermingeninformatiemanagement
‘IndenieuweAlgemeneVerordeningGegevensbescherming(AVG)zijn(overheids)organisatiesveelmeerdanvoorheenzelfverantwoordelijkvoordebeschermingvanpersoonsgegevens,’betoogtPeterBrandineenboeiendartikeloverdeAlgemeneVerordeningGegevensbescherming.doorPeterBrandWekennendeWetbeschermingpersoonsgegevens(Wbp)alsinds2000.Toenwasinternetnogeenbetrekkelijknieuwfenomeenenstondprivacybeschermingnogindekinderschoenen.Momenteelisprivacybescherming‘hot’.Enterecht,wanthetprivacy-landschapstaatdekomendejarengroteveranderingentewachten.Vanaf25mei2018geldtnamelijknogmaaréénprivacywetindeheleEuropeseUnie:deAlgemeneVerordeningGegevensbescherming(AVG).DeAVGzorgtvoorversterkingvandeprivacyrechtenvanburgersendaarmeevoormeerverantwoordelijkhedenvoororganisatiesdiepersoonsgegevensverwerken.PeterBrand,informatieadviseurenjurist,beschrijftinditartikeldeimplicatiesvandeAVGvoorde(overheids)organisatie.VanWbpnaarAVGOpditmomentheeftelkelidstaatbinnendeEuropeseUniezijneigenprivacywet.InNederlandisditdeWetbeschermingpersoonsgegevens(Wbp),eenuitwerkingvande(oude)Europeseprivacyrichtlijnuit1995.DegroeivandeinterneEuropesemarkt,desnelletechnologischeontwikkelingenendeglobaliseringhebbengezorgdvoornieuweuitdagingenronddebeschermingvanpersoonsgegevens.DeEuropeseprivacywetgevingmoestnodigwordenherzien,daarwasiedereenhetovereens.DitheeftgeleidtoteenvoorstelvandeEuropeseCommissie(EC)vooreenAlgemeneVerordeningGegevensbescherming(AVG).Op25mei2016isdezeAVGinwerkinggetreden.OrganisatiesmoetenvanafdiedatumhunbedrijfsvoeringinovereenstemmingbrengenmetdeAVGenhebbendaarvoortweejaardetijd.Indeverordeningisopgenomendatdezepasop25mei2018vankrachtwordt.TotdietijdblijftdehuidigeWbpgelden.Vanaf25mei2018moetiedereorganisatiegeheelcompliantzijnaandeAVG.OmdatdeAVGeenEuropeseverordeningishoeftdeze,andersdaneenrichtlijn,nieteersttewordenomgezetinnationalewetgeving.Zijheeftnamelijkrechtstreekse(directe)werking.
Privacybeschermingiseengrondrecht• Art.10lid1vandeGrondwet,• Art.8vanhetEuropeesVerdragvoorderechtenvandemensEVRM)en• Art.17vanhetInternationaalVerdraginzakeburgerrechtenenpolitiekerechten(IVBPR),
bepalendatdeprivacybeschermingperwetgeregelddienttezijnzodatiedersrechtopprivacyisgewaarborgd.
2
Iederelidstaatheeftdandusdezelfdeprivacyweteniederelidstaatkrijgteentoezichthouder.VoorNederlandisdatdeAutoriteitPersoonsgegevens(AP).Organisatiesdieinmeerderelidstatenopereren,krijgen,omdecommunicatietevergemakkelijken,ééntoezichthouder(ookwelone-stop-shop)toegewezen,.VerwerkenvanpersoonsgegevensVolgensart4lid1AVGiselkgegevenovereengeïdentificeerdeofidentificeerbarenatuurlijkepersooneenpersoonsgegeven.Vaneenpersoonsgegevenissprakealseennaamwordtgebruiktofeenidentificatienummer(zoalseentelefoonnummer,klantnummerofpersoneelsnummer).Daarnaastkunnenooklocatiegegevens(adres,IP-adres,e-mailadres,GPS-coördinatenvaneenmobieletelefoon)totdepersoonsgegevensbehoren.Alheelsnelisdussprakevanpersoonsgegevens.Onderverwerkenvanpersoonsgegevensvallen,volgensart.4lid2AVG,allerleihandelingendieje,aldannietgeautomatiseerd,metdiegegevensverricht,zoalshetverzamelen,vastleggen,ordenen,structureren,opslaan,bijwerken,wijzigen,gebruiken,opvragen,raadplegen,verstrekken,verspreiden,aligneren(combineren),afschermen,wissenofvernietigen.Aanallesheeftdeopstellervandeverordeningblijkbaargedacht.DeAVGisnietvantoepassingalsjepersoonsgegevensuitsluitendverwerktvoorpersoonlijkgebruikofalsopsporingsinstantiesenhetOpenbaarMinisteriepersoonsgegevensgebruikenvoordeopsporingenvervolgingvanstrafbarefeiten.WaarinverschiltdeAVGvandeWbp?DeAVGbrengtheelwatveranderingenmetzichmee.Hieronderdebelangrijkstetienverschillenmethethuidigeprivacyrecht(deWbp):• Accountability.
DeAVGlegtmeernadrukopdeeigenverantwoordelijkheidvandeorganisatieomdeprivacybeschermingnateleven.Deorganisatiemoetkunnenaantonendatzijzichaandewethoudt.IedereorganisatiemoetstrakseenactiefbeleidvoerenwaaruitblijktdatzijdeAVGnaleeft:hetisnietmeervoldoendeomalleen(tamelijkpassief)deburgerofklantteinformerenoverhetdoelendemiddelenvanverwerking.
• Privacybydesignenprivacybydefault.DeAVGverplichtorganisatieshunprocessenensystemenvoorgegevensverwerkingzoweldoorontwerp(privacybydesign)alsdoorstandaardinstellingen(privacybydefault)telatenvoldoenaandeeisenvangegevensbescherming.Iedereorganisatiemoethaarproductenendiensten‘privacyproof’ontwikkelen,bijvoorbeelddoortechniekenalsversleuteling(pseudonimisering)toetepassen.Ookiseenorganisatieverplichtdatzij,alsstandaard,alléénpersoonsgegevensverwerktdienoodzakelijkzijnvoorhetdoeldatzijwilbereiken.
• Transparantie.Iedereorganisatiemoetvolledigtransparantzijnoverdegegevensdiezijdeeltenverwerkt.Ookmoetzijactiefverantwoordingafleggenoverdegegevensverwerkingdiezijtoepast.TransparantieisindeAVGopgenomenalseenapartbeginsel.Hetdientvooreenburgerofklanttransparanttezijndatzijnpersoonsgegevenswordenverzameldenverwerkt(ditkanbijvoorbeelddoordatdeorganisatieeenwebsiteinrichtwaarbijdeburgerwordtgeïnformeerdoverdeverwerkingvanzijnpersoonsgegevensendoorhemdaarbijdemogelijkheidtebiedenomzijnrechtenm.b.t.zijnprivacyuitteoefenen).
3
• Documentatieplicht.JemoetalsorganisatiemetdocumentenkunnenaantonendatjedejuisteorganisatorischeentechnischemaatregelenhebtgenomenomaandeAVGtevoldoen.Onderdeelvandezeverplichtingishetbijhoudenvaneenregisterwaarinjedocumenteertwelkegegevensjeverwerkt,dedoelenvandiegegevensverwerking,welkeinstantiesgegevensvanjouontvangen,welkebeveiligingsmaatregelenjehebtgetroffenenhoelangjedegegevenswiltbewaren.Detoezichthouderkanditregisteropiedergewenstmomenttercontroleopvragen.Overigensbenje,alsjeorganisatieminderdan250medewerkersheeftenjeniet‘stelselmatig’persoonsgegevensverwerkt,vrijgesteldvanhetbijhoudenvaneenregister.
• Geenmeldplichtvoorverwerkingenmaarwelvoordatalekken.Organisatieshoeven(andersdanindeWbp)verwerkingenvanpersoonsgegevensnietmeertemeldenbijdeAutoriteitPersoonsgegevens.Datalekkenmoetenzewelmelden.Ondereendatalekvalt,naasthetsimpelonterechtvrijkomen(lekken)vangegevens,ookonrechtmatigeverwerkingvangegevens.Voorbeeldenvandatalekken:eengestolenlaptop,eenverlorenUSB-stickmetpersoonsgegevens,inbraakineendatabestand(hacking).InNederlandbestaatdemeldplichtdatalekkensinds1januari2016.Diemeldplichtisnubijzonderstrikt:eenvermoedenvaneenlekgeldtalalsdatalek.OnderdeAVGhoefjedetoezichthouderalleenteinformerenalserdaadwerkelijk(aantoonbaar)eenlekisgeweestdateenrisicoisvoordevrijhedenenrechtenvanindividuen.
• Privacyimpactassessment(PIA).Alseenorganisatiepersoonsgegevenswilverwerkenenditlevertwaarschijnlijkeengrootprivacyrisicoopvoorpersonenvanwiedegegevenswordenverwerktdanmoeteersteengegevensbeschermings-effectbeoordelingofPIAwordenuitgevoerd.IndePIAwordtvastgelegdwaarom,opwelkemanierenhoelangpersoonsgegevenswordenverwerkt.Daarbijmoetendeaanwezigerisico’swordengeïnventariseerdenwordenbeoordeeld.DooreenPIAkrijgtdeorganisatieinzichtinwatderisico’szijnenkunnenpassendemaatregelenwordengenomenomdezeteverkleinen.
• Functionarisgegevensbescherming.OnderdeAVGzijnoverheidsinstanties,organisatiesdiestelselmatigopgroteschaalpersonenobserveren(omdaarmeeinformatietevergaren,bijv.d.m.v.‘GPS-tracking’)ofbijzonderepersoonsgegevensverwerken(zoalsziekenhuizen)verplichteenfunctionarisgegevensbeschermingtebenoemen.
• Rechtopvergetelheid.Personenhebbennualhetrechtomeenorganisatietevragenhunpersoonsgegevensteverwijderen.Datblijftzo.Bovendienkunnenze,onderdeAVG,eisendatdeorganisatiedeverwijderingdoorgeeftaanalleandereorganisatiesdiedegegevenshebbenontvangen.
• Rechtopdataportabiliteit.Personenmoetenhunpersoonsgegevenskunnenmeenemenvandeenenaareenandereorganisatie.Zijhebbenhetrechtteeisendatdiegegevensrechtstreeksvandeeneorganisatienaardeanderewordtdoorgezonden.Personenhebbenookhetrechtomhunpersoonsgegevensvandeorganisatieineenstandaardformaatteontvangen.Zokunnenzezelfmakkelijkhungegevensdoorgevenaanderden.
• Hogegeldboetes.Schendingvanhetprivacyrechtkanwordenbestraftmetzeerhogegeldboetes:tot20miljoeneuroofvierprocentvandewereldwijdejaaromzetvandeorganisatie.Ookalsgeensprakeisvanopzetofernstigverwijtbarenalatigheid.BijdeWbpisditnogeenvereisteomeenboetetekunnenopleggen.Bovendienzijndeboeteseenstuklager.
4
Bron:EuropeseUnie,2015
DeAVG:beterebeschermingvanpersoonsgegevens
Gegevensbescherming?Regelhetzelf!Van‘trustme’naar‘showme’.Degrootsteveranderingindenieuweverordeningzithemnietindenieuweregels,maarinhetfeitdatorganisatiesindepraktijknuzelfietsmetdieregelsmoetendoen.DehuidigeWbpwerktvooreengrootdeelopbasisvanvertrouwen.EenorganisatiekanonderhetprivacyregimevandeWbpzichvaakmeteen‘trustme’tegenoverdetoezichthouderverantwoorden.DatisbijdeAVGnietlangermogelijk.DeorganisatiemoetactiefkunnenaantonendathetAVG-compliantis(‘showme’).OnderdeAVGzijn(overheids)organisatiesveelmeerdanvoorheenzelfverantwoordelijkvoordebeschermingvanpersoonsgegevens.Hetkomteropneerdatdeorganisatiemoetlatenziendatzijzelfmiddelseen‘Privacyimpactassessment’(PIA)derisico’sinkaartheeftgebracht,zelfdejuistetegenmaatregelenheeftgetroffenenzelfactiefcontroleertofdemaatregelenbinnendeorganisatiewordennageleefd.Hiervoormoetdeorganisatieduseigenlijkeen‘privacymanagementsysteem’(PMS)inrichten.Hogeboetesvooralomafteschrikken.DeboetebedragenindeAVGzijnnogalfors.Datbetekentnognietdatdezeenormeboetesveelzullenvoorkomen:boetesmoetennamelijkaltijd(onderdeWbpwasditalzo)evenredigzijn.Demaximaleboeteszullendusvooraleenafschrikkendeffecthebben.Bovendienishetopleggenvaneenboeteeen‘criminalcharge’(vervolging)alsbedoeldinartikel6vanhetEuropeesVerdragvoorderechtenvandemens.Datbetekentdatdeonschuldspresumptieuitgangspuntis(deovertrederispasschuldigalshijisveroordeelddoorderechter),debewijslast
5
volledigbijdetoezichthouderligtenderechterhetbewijsenderedelijkheidvandeboetevolledigkantoetsen.Totslot,watbetekentdeAVGvoorrecordmanagement?Mogenpersoonsgegevensbewaardworden?Persoonsgegevensmogennietlangerbewaardwordendannodigis.MaarmetbetrekkingtotdearchiefbescheidenvanoverheidsorganisatieskandeArchiefwetbepalendateendeel(lang)bewaardmoetworden.HoeverhoudtzichhierdeArchiefwettotdeAVG?Persoonsgegevensmogenalleenvoorbepaaldeengerechtvaardigdedoeleindenwordenverzameldennietwordenverwerktvooranderedaarmeeonverenigbaredoeleinden(doelbindingsbeginsel,art.5lid1b).Inbepaaldegevallenmogenpersoonsgegevenslangerbewaardworden.Ditishetgevalalsaandepersoonsgegevenseenandere,nieuwebestemmingwordtgegevenendaarmeeeenanderedoelbinding.VolgensdeAVGwordtverwerkingvanpersoonsgegevensinhetkadervanarchivering,wetenschappelijkofhistorischonderzoekofstatistischedoeleinden,alseenmetdeaanvankelijkedoeleindenverenigbarerechtmatigeverwerkingbeschouwd.Naasteenbevoegdheidompersoonsgegevenstebewaren,ishetinbepaaldegevallenookverplicht(art.6lid1cvandeAVG).Ditartikelbepaaltdatpersoonsgegevensalleenmogenwordenverwerkt,als(ondermeer)degegevensverwerkingnoodzakelijkisomeenwettelijkeverplichtingnatekomenwaaraandeorganisatieonderworpenis.ZokanookopgrondvandeArchiefweteenbewaarplichtbestaanvoorpersoonsgegevens,namelijkindiendezepersoonsgegevensineenselectielijstals‘tebewaren’archiefbescheidenvoorkomen.Deoverheidsorganisatiemoetvoorpersoonsgegevensmeteenarchiefbestemmingweleenaantaltechnischeenorganisatorischemaatregelentreffenomtezorgendatdebetreffendegegevensuitsluitendvoordatnieuwedoeleindewordengebruikt(art.89AVG).Zomoetendegegevensbeperkttoegankelijkwordengemaakt.Stemafmeteigenregelgeving:Eenoverheidsorganisatiekanineenarchiefverordening,besluitarchiefbeheerofinhaararchiefbeheersregelshetbeheervanpersoonsgegevensregelen.Dezeregelingenmoetendanwelgoedwordenafgestemdopdeprivacyregelsdieeenoverheidsorganisatievoorhetverwerkenvanpersoonsgegevensbinnenzijnorganisatieopstelt(bijv.ineenprivacyprotocol).
6
BelangrijksteartikelenuitdeAVG(Bijlage)
Artikel Onderwerp Toelichting
Art.4 Definities Watzijnpersoonsgegevens,watisverwerking,watisprofilering,watispseudonimisering,etc.
Art.5 Beginseleninzakedeverwerkingvanpersoonsgegevens(lid1a)
Persoonsgegevensmoetenopeentransparantewijzewordenverwerkt,moetentoereikendzijn,juistzijn,etc.
Art.6 Rechtmatigheidvanverwerking Verwerkingvanpersoonsgegevensisrechtmatigindienenvoorzoverdebetrokkenetoestemmingheeftgegevenvoordeverwerkingvanzijnpersoonsgegevensvooreenofmeerspecifiekedoeleinden.Verwerkenvanpersoonsgegevenszondertoestemmingismogelijk,alsereendringendenoodzaakvooris(bijv.opbasisvaneenwettelijkeplicht).
Art.9 Verwerkingvanbijzonderecategorieënvanpersoonsgegevens
Verwerkenvanpersoonsgegevenswaaruitrasofetnischeafkomst,politiekeopvattingen,religieuzeoflevensbeschouwelijkeovertuigingenblijkenofgegevensovergezondheid,etc.zijnverbodentenzijaanbepaaldevoorwaardenwordtvoldaan.
Art.15 Rechtopinzagevanpersoonsgegevens
Betrokkeneheefthetrechtomvandeorganisatieuitsluitselteverkrijgenoverhetaldannietverwerkenvanzijnpersoonsgegevensenominzageteverkrijgenvandiegegevens.
Art.17 Rechtopvergetelheid Betrokkenenhebbenhetrechtom‘vergeten’teworden,d.w.z.zehebbenhetrechtzichtelatenverwijderenuitdatabases,tenzijlegitiemewettelijkevereistenditvoorkomen.
Art.20 Persoonsgegevensinstandaardformaat
Betrokkeneheefthetrechtomzijnpersoonsgegevensineengestructureerde,gangbareenmachine-leesbarevormteverkrijgen.Hijheefthetrechteenkopieteontvangenvandepersoonsgegevensdieoverhemzijnverzameld.
Art.20 Rechtopdataportabiliteit Betrokkenemoetzijndatakunnenmeenemennaareenanderedienst.Debetrokkeneheefthetrechtdatdepersoonsgegevens(indiendittechnischmogelijkis)rechtstreeksvandeenenaardeanderedienstwordendoorgezonden.
Art.22 Profilering Betrokkenenhebbenhetrechtniettewordenonderworpenaaneenlouteropgeautomatiseerdeverwerking,waaronderprofilering,gebaseerdbesluit(bijv.dataanalytics,bigdata).
Art.24 Accountability OrganisatiesmoeteneenactiefbeleidvoerenenmaatregelentreffenwaaruitblijktdatdeAVGwordtnageleefd.
Art.30 Registervanverwerkingsactiviteiten(documentatieplicht)
Deorganisatiehoudteenregisterbijvanverwerkingsactiviteiten.Hetregisterbevatindienmogelijkookeenalgemenebeschrijvingvandetechnischeenorganisatorischebeveiligingsmaatregelenalsbedoeldinartikel32,lid1
Art.33 Datalekken(meldplichtinbreukpersoonsgegevens)
Deorganisatiedocumenteertalleinbreukenm.b.t.persoonsgegevens,metinbegripvandefeitenomtrentdeinbreuk,degevolgendaarvanendegenomencorrigerendemaatregelen.Diedocumentatiesteltdetoezichthoudendeautoriteitinstaatdenalevingvanditartikeltecontroleren.
Art.35 Privacyimpactassessment(PIA) SituatieswaarineenGegevensbeschermingseffectbeoordelingofPIAverplichtisvoorgeschreven.Zielid1enlid3AVG.
Art.37 Functionarisgegevensbescherming(FG)
AanwijzingvaneenFGisverplichtvoororganisatiesdieveelpersoonsgegevensverwerken(bijv.overheden).DeFGisondermeerverantwoordelijkvoorhetnalevenvandeAVG.Ermagookéénfunctionariswordenaangewezenvoormeerdanéénorganisatie.Gemeentenkunnenerbijv.voorkiezengezamenlijkeenfunctionarisaantewijzen.
Art.42 Certificering DeEuropeseprivacywetgevingstimuleertorganisatiesomeencertificeringophetgebiedvanprivacytehalen.
Art.83 Maximumgeldboetes(lid4,5,6) Max.€10.000.000,-of2%wereldwijdejaaromzetvoorschendingvandeverplichtingendieveelalmeerprocedureelvanaardzijn.Max.€20.000.000,-of4%vandewereldwijdejaaromzetvoorschendingvandeverplichtingendieveelalmeerinhoudelijkvanaardzijnofdeprivacyvandebetrokkenendirecterraken.Max.€20.000.000,-of4%vandewereldwijdejaaromzetvoorhetnietopvolgenvaneenbevelvaneentoezichthouder.
7
Art89 Waarborgenbijtebewarenpersoonsgegevens(archivering)
Waarborgeni.v.m.verwerkingpersoonsgegevensinhetkadervanarchivering,wetenschappelijkofhistorischonderzoekofstatistischedoeleinden.