privacy Flashcards
Toets EVRM
- Is er een inmenging
- Is de inmenging voorzienbaar bij wet?
a. Voorzienbaar
b. Toegankelijk - Is de inmenging noodzakelijk in een democratische samenleving?
a. Is die inmenging proportioneel?
b. Is die inmenging subsidiair?
Toets grondwet
- Doelcriteria (vaak) - staan bij recht zelf
- Procedurevoorschriften (soms) - op welke wijze kan
beperkt worden? - Competentievoorschriften (altijd)
a. Bij wet - wet in formele zin
b. Bij of krachtens wet - kán gedelegeerde wetgevingsbevoegdheid zijn (APV - wel specifiek!)
Persoonlijke belangen die onder recht van privacy bescherming bieden?
Wat valt er allemaal onder privacy (het koepelbegrip)?
Persoonlijke belangen die onder recht van privacy bescherming bieden?
Zelfstandigheid van de individu, bewegingsvrijheid, ongestoord leven, vrij blijven van stigmatisering, vrij blijven van manipulatie, eigenwaarde, gelijkheid, integratie en autonomie.
= bescherming privéleven, maar dat voelt voor iedereen anders.
Wat valt er allemaal onder privacy (het koepelbegrip)?
Relaties, ruimtes, lichaam, informatie > informationele privacy// gegevensbescherming
- Wanneer wordt alleen privacy aangetast?
- Wanneer worden privacy en persoonsgegevens aangetast?
- Wanneer worden alleen persoonsgegevens aangetast?
- Wanneer wordt alleen privacy aangetast?
Bijv. aanranding van je lichaam, art. 8 EVRM - Wanneer worden privacy en persoonsgegevens aangetast?
Naaktfoto op het internet. art. 8 EVRM en AVG e.a. regelingen - Wanneer worden alleen persoonsgegevens aangetast?
Bijv. naam, e-mail, tel etc ligt op straat, AVG.
Gellert & Gutwirth: hoe gaat de EU rechter om met die privacytoets van 8 EVRM?
- Niet altijd duidelijk: er zit een verschil van toepassing, wat dan?
Verschil van toepassing:
- Lenient: vrij losse afweging van fundamentele belangen ‘het laten prevaleren van een belang boven het andere, gaat altijd gepaard met een zekere verzwakking/inbreuk van het recht van de ander’ -> het is dus een afweging, de ene wordt zwakkeer en de andere sterker. Dit ziet meer (en eigenlijk alleen) op het proportionaliteitsbeginsel (niet echt op subsidiariteit, daarom losser).
- Strict: hoe kan zo min mogelijk inbreuk gemaakt worden op beiden rechten? Meer aandacht voor subsidiariteit: ‘er zijn andere opties’ zodat we uitkomen dat het past in democratie. We accepteren hier niet dat één recht prevaleert. Hier wordt ook eerst gekeken naar proportionaliteit, maar daarna ook subsidiariteit.
Wanneer vertoont gegevensbescherming een link met privacy volgens Gellert & Gutwirth?
- Aard van de gegevens - als de data als zodanig privacygevoelig zijn voor de persoon. Voorbeeld: medische gegevens, financiële gegevens, godsdienst, seksuele geaardheid, etnische afkomst, politieke voorkeur: gegevens die we gevoelig vinden en zo komen ze in de privacy. ‘Instrinsically linked tot the privacy of a person’
- Duur van de verwerking - als het lang duurt dan zie je een patroon van leven ‘are data systematically stored’
Waarom is privacy breder, en waarom is privacy smaller dan gegevensverwerking?
Breder:
Privacy ziet óók op dingen die niet met data hebben te maken (huis, lijf, relaties)
Smaller:
Privacy bestaat in relatie tot privéleven (terwijl regels over persoonsgegevens altijd gelden op het moment dat je ze verwerkt, of dat nu raakt aan privéleven of niet)
Discussie: had gegevensbescherming als zodanig wel verheven moeten worden tot fundamenteel recht?
Waarom wel, waarom niet?
Wel: wij zijn zelf niet in staat om ons te beschermen tegen alles wat fout kan gaan als gegevens worden verwerkt.
Niet: we mogen niet afwijken van fundamentele rechten, we mogen daar niet van afwijken in privaatrechtelijke contracten. Maar soms willen we onze gegevens eigenlijk gewoon gebruiken als handelswaar. Dat is niet meer toegestaan, want we mogen er contractueel geen afstand van doen.
Gellert & Gutwirth
Human Enhancement Technologies en toestemming. Dit zijn biomedische technologieën die niet zien op genezen of voorkomen, maar op verbeteren (langer leven, slimmer leven, gelukkiger (anti-depressiva, plastische chirurgie)).
Als je dit toepast om gebreken te herstellen, maak je mensen meer als gelijke.
Als je het toepast om mensen nog beter te maken, krijg je straks twee soorten mensen (die het zich kunnen veroorloven, en zij die het niet kunnen).
Het artikel gaat over toestemming voor human enhancement technologies. Zij maken onderscheid tussen 2 zaken. Leg uit.
- Privacy: onder dit fundamentele recht met privacy toets, dan is het makkelijk om daar toestemming voor te geven.
- Gegevensbescherming: art. 6 AVG geeft aan wanneer rechtmatig kan worden verwerkt. Grond F houdt in dat het commercieel belang van gegevensbescherming minder zwaar weegt dan het belang van privacy van een individu. Als er verder geen grond is, is er: sub a ‘toestemming’. Die toestemming moet wel VRIJ zijn. Als de producent van HET jou alleen wil verschaffen als jij toestemming geeft dat hij jou gegevens voor commerciële doeleinden mag gebruiken, dan is er sprake van een machtsrelatie, niet vrij. Overweging 42.
Er zijn dus situaties waarin het fundamentele recht tegen je kan werken: in hoeverre moeten we privaatrechtelijke zeggenschap hebben over onze eigen keuzes. Zouden wij deze vrijheid gewoon moeten hebben (contractuele verhouding) of moeten wij door de overheid beschermd worden tegen onze eigen domme keuzes? Visies:
- Recht op zelfbeschikking, autonomie, we hebben ook garanties in het contractenrecht
- Paternalisme, remedies als het misgaat?
Gellert & Gutwirth zeggen: oké gegevensbescherming is een fundamenteel recht. Maar: probleem: het recht wordt op verschillende manieren toegepast door de rechter. Zij onderscheiden:
- Ondergeschikt/instrumenteel (accessoir)
Ten behoeve van de bescherming van andere fundamentele rechten, zoals privacy, maar ook bijv. non-discriminatie en een recht op een eerlijk proces. (strikte proportionaliteits-test: ander recht zo min mogelijk schenden) - Autonoom
Het recht op gegevensbescherming staat de verwerking van persoonsgegevens toe (dus geen benadering vanuit het perspectief van schending van een recht) als gegevens verwerkt worden die (minder strikte proportionaliteitstest) ‘adequate, relevant and not excessive in relation tot the purpose of collection’ zijn.
Beide varianten zie je in rechtspraak: er is dus niet een eenduidig beeld van hoe we om moeten gaan met privacy in relatie tot gegevensbescherming. Je zult je dus moeten relativeren dat BEIDE kaders mogelijk gebruikt moeten worden.
Voorbeeld:
EU Richtlijn: lidstaten moeten energie sparen, waarbij slimme energiemeters als een mogelijkheid genoemd worden. Toen kwam wetsvoorstel; verplichte uitrol slimme energiemeters voor alle NL’ers; weigeren niet toegestaan, economisch delict, dus boete; de meter registreert ieder kwartier elektriciteitswaarden en ieder uur gaswaarden.
Is dit in strijd met de verwerking van persoonsgegevens: conclusie de meter is acceptabel, mits aan deze voorwaarden (o.a. toestemming). Maar ook in lijn met privacy? Toets aan art. 8 EVRM.
Toets aan art. 8 EVRM:
- Maakt het inbreuk op de privacy? JA - je kunt hele levenspatronen eruit halen
- Voorzienbaar bij wet? NEE: we hadden niet uit ‘energie besparing richtlijn’ kunnen afleiden dat dit zou gebeuren.
- In een van de belangen genoemd in art. 8 lid 2 EVRM?
JA, economisch welzijn. - Noodzaak in een democratische samenleving? NEE. er was niet eens bewijs dat de meters bij zouden dragen aan energiebesparing - niet proportioneel misschien. Subsidiair? Misschien minder data verzamelen, of niet verplicht stellen.
Waarom zoveel aandacht voor gegevensbescherming?
- Gegevens zijn waardevolle handelswaar
- Hoever mag politie gaan met opsporing i.h.k.v. persoonsgegevens, denk aan gezondheidsapp op afstand uitlezen, pacemaker.
- Steeds meer koppelingen
- Gebrek aan transparantie, wat gebeurt er nadat je toestemming geeft?
- Meer gegevens kunnen herleid worden tot personen
- Function creep: steeds meer gegevens worden verzameld voor één doel, en worden later gebruikt voor een ander doel.
- Angst voor boete in AVG?
Waarom is bescherming persoonsgegevens belangrijk?
- grote impact op leven individuen: identiteitsdiefstal - wie is verantwoordelijk voor gegevens in systemen, sexting problematiek, geen stijl vs. majesteit - super moeilijk om data voorgoed te verwijderen.
- Vertrouwen van klanten in bedrijven
- Negatieve publiciteit en schadeclaims voorkomen
- Gebruik, misbruik gevoelige gegevens
- marktwerking en consumentenbescherming (colette zegt dat mededingingsrecht wel eens kan meespelen - bedirjven fuseren met als doel meer gegevens)
- Je hebt toch niets te verbergen?
- Social media en steeds ontwikkelende technologie
Waarom is bescherming van privacy/gegevens lastig?
- Boeit de inbreuk op privacy ons echt of het gevolg? Inbreuk zelf boeit vaak niet, maar soms vormt daardoor een inbreuk op vrijheid, financiën, gezondheid, relaties etc.
- Wat is de prijs van privacy? Hoe schat je dat dan in, hoe kleed je die claim in?
- Als je iets privé wil houden, moet je dan een zaak aanspannen? Levert aandacht op
- Snelle tech ontwikkelingen, kunnen we dingen nog wel privé houden?
- Discrepantie theorie en praktijk (alles wat in praktijk gebeurt, kunnen we theoretisch niet bijhouden.
Waarom is de richtlijn nog steeds relevant?
De AVG is een update. opinies over de richtlijn zijn nog steeds relevant. Bijv. uitspraken over de richtlijn, die gelden nog steeds.
Overeenkomsten AVG en richtlijn?
- Van toepassing op alle maatschappelijke sectoren: publiek en privaat (wel specifieke richtlijn van politie en justitie)
- Verhouding tot andere wetten: algemeen wettelijk kader, andere wetten kunnen meer specifieke rdingen bevatten
- Publiekrechtelijk rechtmatigheidsregime: alleen verwerking toegestaan die aan alle voorwaarden van de wet voldoen.
- Gelaagde structuur (algemeen, bijzonder, .. )
Maar: ook verschillen. Niet meer enkele compliance check achteraf, maar….
- Accountability: het voldoen aan en kunnen aantonen dat er is voldaan aan de wettelijke vereisten.
- Risico inventarisatie vooraf (gedocumenteerd/DPIA - NL terminologie)
Art. 35: gegevensbeschermingseffectbeoordeling, maar niet alleen over de risico’s denken, maar:
Maatregelen om de risico’s te mitigeren: - Technisch (een drempel op de weg i.p.v. snelheidsborden)
- Organisatorisch (wachtwoorden voor databases voor werknemers)
- Juridisch
Privacy by design/default (NL terminologie: art. 25, gegevensbescherming door ontwerp en door standaardinstellingen)
Big data - net olie
- Het is een grondstof - kunnen waarde creeren daaruit: onuitputtelijke grondstof.
- Wat is er dan nieuw? Makkelijk verspreid worden + het is massaler
- Technologie als drijfveer voor maatschappelijke verandering; door ontwikkeling, hebben we meer data, kunnen we daar meer mee doen.
Onvoorstelbare ontdekkingen:
- Medisch domein: nieuw type diabetes ontdekt door algoritme dus betere behandeling
- Google kan ebola /griep uitbraak voorspellen
- Algemene kennis: IBM Watson hebben ze ingezet bij een spelprogramma om te kijken of hij slimmer was - waarom wordt hij dan niet onze dokter? Vertrouwen we dat? Of niet?
Risico’s
- Vertrouwen we onze data?
- Wat doen we ermee?
- Is data neutraal?
- Wat doen die algoritmen met ons?
- Wat betekent dat voor onze autonomie?
- Correlatie en causatie?
- Vertrouwen we onze data?
Is de huisarts of dr. Watson beter te hacken? En wat dacht je van patient dossiers van care.data - die op werden geslagen op de google server. Probleem? Die server zit in Amerika, en Engelsen willen hun eigen overheid wel vertrouwen, maar niet de Amerikaanse. - Wat doen we ermee?
Wat we ermee doen kan indruisen tegen etnische gronden: op FB kan je instellen welke achtergrond je hebt. Op basis van variabelen mensen in - en uitsluiten; dat is soms geoorloofd en soms niet. - Is data neutraal?
Waarom wel niet/ Ja data zijn als zodanig mogelijk neutraal: is het feit of mening: dat weet je niet. en ook de manier: hoe zijn ze verzameld? door wat voor filtermogelijkheden? - Wat doen die algoritmen met ons?
Wat is de filterbubbel: als de systemen aanbieden waar we om vragen, dan krijgen we geen breder scala aan ideeen, maar steeds smaller. We komen dus in een beperkte filterbubbel: we gaan ook echt niet op zoek naar afwijkende meningen of ideeen: je gaat zoeken naar gelijkgestemden - denk aan radicalisering. - Wat betekent dat voor onze autonomie?
Privacy moet ons beschermen. Technologisch determinisme: technologie kiest wat we zien. - Correlatie en causatie?
Causaal verband = oorzaak gevolg, correlatie = verband. Bij data science gaat het om vinden van correlaties, en niet om het vinden van oorzaak - gevolg: niet om feiten! Correlation does not imply causation.
Data = correlatie
Recht = causatie
- Functionaris voor gegevensbescherming
- Toezichthoudende autoriteit
- European Data Protection Supervisor
- Functionaris voor gegevensbescherming
De FG is ervoor verantwoordelijkd at binnen de organisatie regels omtrent gegevensbescherming worden nageleefd en is primare aanspraekpunt voor vragen over de AVG naar buiten toe (klacht bijv. of onderzoek door overheid): deze wordt aangesteld door het bedrijf (en betaald) maar is toch onafhankelijk (bedrijfsarts), art. 37 e.v. AVG. - Toezichthoudende autoriteit
In NL is dat de AP: per land is die een, verenigd in art. 29 Werkgroep: deze gaf juridisch niet-bindende maar invloedrijke adviezen af - wordt in nieuwe AVG vervangen door European data Protection Board / Europees Comité voor Gegevensbescherming = deze krijgt sterkere positie en meer bevoegdheden dan de art. 29 Werkgroep had. - European Data Protection Supervisor is een adviesorgaan gelijk aan art. 29 werkgroep, maar dan voor gegevensverwerking door de Europese Unie zelf (bijv. voor EMA) - AVG n.v.t. maar andere verordening. Ook de adviezen van deze supervisor zijn vet belangrijk.
Europees Handvest?
Maakt onderscheid in deze twee rechten: art. 7 en 8 Handvest. Handhavende organisatie (AP) is er niet voor privacy, wel voor gegevensbescherming. Waarom niet? Privacy is echt een mensenrecht/grondrecht + dit raakt de commerciële markt niet.
Korte schets ontwikkeling, vanaf jaren ‘70 (toen kwam fenomeen data op)
- Toegenomen reikwijdte (wat is een ‘gegeven’) is opgerekt)
- Meer rechten
- Meer plichten
- Meer handhaving
- Meer tekst
- Op een hoger niveau geregeld (gegevensbescherming is recht op zich, en is geregeld in verordening - niet in een richtlijn)
Kenprincipes bleven echter redelijk gelijk. Gegevensbescherming is niet meer een sub recht van privacy, maar is een recht op zichzelf.
Waarom is gekozen voor een verordening?
Een verordening heeft ‘direct effect’. Nuancering: sommige richtlijn bepalingen hebben TOCH direct effect en sommige verordening bepalingen worden TOCH per land nader uitgelegd (zoals verwerken van gevoelige / bijzondere persoonsgegevens (overweging 10). Waarom een verordening???
- Groot verschil in implementatie van richtlijn (denk aan Ierland);
- Handhaving werd landelijk georganiseerd; (is het grootste verschil);
- Weinig mogelijkheden tot sanctionering - daardoor zagen veel organisaties regels niet zo nauw;
- Nu wordt handhaving en controle niet meer enkel vanuit overheid geregeld - als eerste is de functionaris gegevensbescherming aan zet, en DAN pas de AP; (in 1995 was kernidee dat verwerking een afgebakende markt was, en gecontroleerd kon worden door enkel overheid - nu ook medische sector - andere manier van toezicht was gewenst)
- In richtlijn maar klein aantal rechten van datasubjecten.
Uitvoeringswet AVG
Hierin staan dingen bepaald die lidstaten zelf mochten beslissen, zoals hoe ze om mogen gaan met ‘bijzondere persoonsgegevens’ = ras, geaardheid etc.
Wanneer is de AVG van toepassing?
Wanneer: wanneer
- persoonsgegevens worden
- verwerkt door
- een verantwoordelijke (wie is dat dan)
- binnen EU en op EU burgers (behoudens uitzonderingen)
Wat zijn persoonsgegevens?
‘Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.’
Art. 4 definities: - Geïdentificeerde: je weet wie de persoon is, kan naam zijn, kan ook 'die jongen hier met die groene trui' zijn - soms weet bedrijf niet via internet wie de persoon is, maar hebben concreet beeld van die persoon. - Identificeerbaar (ovw 30): als je het nu nog niet weet, maar je kunt erachter komen - 'een studente met medische problemen' - je kunt immers veel databases met elkaar koppelen - ligt natuurlijk ook aan hoe groot een groep is! - Direct: naam, of direct naar identiteit kan herleiden - Indirect: student die van tennis houdt en vader met gele auto heeft. -heel indirect, maar te achterhalen. - Pseudonimiseren (ovw 26, 28, 29 jo. art. 4): geen naam, maar 'student met vader met gele auto', 'jongen met krullen' - unieke informatie, waar andere informatie voor nodig is om identiteit te achterhalen - het is dus wel een persoonsgegeven, maar als er een lek is hoef je minder te doen als je hiermee hebt gewerkt. - Anonimiseren = het strippen van database van ALLE identificatoren - dan is het GEEN persoonsgegeven en AVG niet van toepassing - vraag isL wanneer is iets nou echt anoniem? - Aggregeren: een statistiekje van alle gegevens - de statistiek / de geaggregeerde persoonsgegevens zijn dan geen persoonsgegevens en de AVG is niet van toepassing, TENZIJ: de groep HEEL klein is (VOOR aggregatie natuurlijk ook persoonsgegevens) EN tenzij je de statistieken gaat gebruiken om in te mengen in het leven van datasubject. - Encryptie: ook dit zijn persoonsgegevens - is wel goed om te beveiligen, maar nog steeds identificerend of identificeerbaar. - Overleden/ongeboren (ovq 27): AVG niet van toepassing, maar discussie over 'eenmanszaken', soms zegt info van overledene iets over levenden - familiaire banden: erfelijke ziekten - ongeboren vrucht; kun je daar van zeggen die moet beschermd worden: dat wordt steeds meer gezegd. - Gevoelig/ongevoelig (bijzondere: ongevoelig = man met rode hoed op - gevoelig = geaardheid, ras et cetera - extra zwaar regime die mag je NIET verwerken. Alles verwerken (ook wissen), misschien met uitzondering van puur passief doorvoeren van gegevens). - Geautomatiseerd: alles wat met telefoons of pc's gaat - waar digitale technieken van toepassing zijn - Niet geautomatiseerd: dan is de AVG eigenlijk niet van toepassing, TENZIJ in bestand opgenomen. - Bestand: is een gestructureerd iets (ovw 15).
- Verwerkingsverantwoordelijke
- Verwerker (of sub- of sub-)
- Ontvanger & derde
Definities, art. 4 AVG:
- Verwerkingsverantwoordelijke (natuurlijke/rechtspersoon die
- doel (waarom verzamel je), en
- middelen vaststelt (hoe doe je dat) - eigenlijk gewoon de persoon die het bedenkt en de opdracht geeft.
- alleen of gezamenlijk (gezamenlijke verantwoordelijkheid)
- Verwerker (of sub- of sub-): deze verwerkt in opdracht van de verwerkingsverantwoordelijke (zoals een cloud provider die gegevens opslaat). Deze kan ook ontbreken!
- Gradueel - mate van zelfstandigheid & mate van eigen belang bij het verwerken van persoonsgegevens;
- Diffuus - kan voor het ene proces de verwerker zijn en voor de andere de verantwoordelijke
Art. 28 regelt nog de overeenkomst/verhouding tussen verwerkingsverantwoordelijke en verwerker, en ook ovw 81 heeft er wat over te zeggen. - Ontvanger & derde: zie je in de praktijk nauwelijks.
Klopt het dat de verhouding tussen verwerkingsverantwoordelijke en verwerker alleen effect heeft naar binnen toe? Dus in onderlinge verhouding? Want als je de AVG leest, dan hebben zij beiden steeds dezelfde positie: het is steeds ‘verwerkingsverantwoordelijke of verwerker’?
Het idee achter bovenstaande rollen is dat er eimand de verantwoordelijkeheid moet dragen: per verwerking kan een andere rol aangenomen worden. Als er iets fout gaat, dan wordt de verantwoordelijke erop aangesproken. De kern achter de artikelen: als meer dan EEN partij bij de verwerking betrokken is, moet je ALTIJD afsprake contractueel vastleggen wie voor wat verantwoordelijk is; hoe lang, waar, wie - ALLES, art. 26, ovw 79, ovw 81, art. 29. Nu in de AVG veel plichten ook voor verwerker (die voorheen voor verantwoordelijke waren).
In Google/Span werd Google voor de indexering die ze deed als verantwoordelijke aangemerkt.
Waar is de AVG van toepassing? Art. 3 territoriaal toepassingsgebied
Dit houdt de territoriale toepassing in. Er zijn 4 situaties die nopen tot gehoorzamen! (art. 3 ovw 2 , ovw 22)
Lid 1: een organisatie (verwerkingsverantwoordelijke of verwerker) die activiteiten in de Unie (reclames, diensten, pizza bezorgers etc.) verricht - de verwerking zelf hoeft dus niet hier plaats te vinden. Als domino’s (verwerking in Amerika) pizza’s bezorgt in de Unie is de AVG dus van toepassing.
Lid 2: iemand (ook toerist) die in de Unie is en er het volgende gebeurt door een buiten Unie gevestigde organisatie:
- sub a: aanbieden goederen of diensten aan betrokkene in de Unie
- Sub b: monitoren van gedrag van betrokkene in de Unie
Lid 3: dit ziet meer op ambassades: mogen we vergeten. Ook overwegingen 2, 22, 23, 24 en 25 gaan hierover.
Vertegenwoordiger
Wanneer gericht op Uniemarkt?
Art. 4: schriftelijk aangewezen (natuurlijk/rechts) persoon in de Unie door verwerkingsverantwoordelijke uit hoofde van art. 27 - moet indien art. 3 lid 2 van teopassing is (hierboven), tenzij incidentele verwerking e.a. gronden (art. 27 lid 2). Moet zodat er een aanspreekpunt is voor betrokkenen.
Wanneer gericht op Uniemarkt? Google Spain. Is het op de Unie gericht of bereikte de dienst ‘toevallig’ de unie? Uit externe omstandigheden proberen af te leiden, valuta van een webshop, maar doorslaggevend is het DOEL van de verwerkingsverantwoordelijke; is dat bereik hebben in de Unie?
Wanneer gericht op de Uniemarkt, uitzonderingen?
Uitzonderingen staan in art. 27 - er zijn veel utizonderingen. Soms is een gedeelte niet van toepassing of soms geldt een lichter regime dan het regime van de AVG:
Artikel 2 (belangrijkst)
AVG is niet van toepassing als:
- Lid 2:
a: buiten de werkingssfeer van EU (zoals terrorisme of oorlog) (ovw 16)
b. door lidstaten uitvoering activiteiten in het kader van titel V, VEU (ovw 16)
Let wel: art. 8 EVRM is wel gewoon van teopassing. EHRM erkent niet alle verwerkingsprincipes die in Unie worden gehanteerd, maar hanteert wel soortgelijke standaarden. Daarom zijn veel privacy- en gegevensverwerkingsprincipes toch gewoon van toepassing op inlichtingen- en veiligheidsdiensten.
c. Zuiver persoonlijk of huishoudelijke dingen (adres boekje, afgesloten fb pagina/webshop, Linqvist, persoonlijke camera filmend in openbaarheid - wel verwerken Rynes) (ovw 18)
d. Voorkoming etc. strafbare feiten (voor politie en justitie) (ovw 19) - er is een politierichtlijn van kracht gegaan tegelijkertijd met de AVG. Daarin staan de utigangspunten van de AVG.
- Lid 3: verwerking door organen van de Unie zelf; andere verordening is van toepassing (ovw 17)
- Lid 4: aansprakelijkheden van internetproviders. (ovw 21)
Art. 23 AVG
Weer een beetje een vaag artikel; hierin staat weer dat de verordening niet van toepassing is met voorkoming strafbare feiten, nationale veiligheid, maar daar was toch ook een andere richtlijn voor? Blijft onduidelijk dus. Belangrijker: taken. Dan kan iets worden ingeperkt. Denk bijv. als jij inzage wil van gegevens die de belastingdienst heeft, dt ze die niet per se hoeven te geven. (Ovw 20 en 73, Geoffrey, Englebert)
Art. 85-91 (hoofdstuk IX - specifieke situaties)
Hoofdstuk 9 geeft een serie van artikelen in situaties waarbij de nationale wetgever aparte regels mag stellen: dit zijn punten waarop de AVG een uitgangspunt geeft, maar geen definitief antwoord en op deze gronden mag de nationale wetgever eigen regel stellen: het gaat voornamelijk over publieke waarden waarvoor het verwerken van persoonsgegevens van groot belang is. Bijv. verwerkingen in kader van vrijheid van meningsuiting: journalisten die gegevens verwerken van burgers en politici (persvrijheid). Onze overheid kan dus uitzonderingen geven voor journalisten. Per artikel staat dat bepaalde artikelen met bepaalde doeleinden beperkt mogen worden. (overweging 153 AVG)
- Art. 85: vrijheid van meningsuiting (journalisten) (HvJEU Tietosuojavaltuutettu)
- Art. 86: recht op toegang officiele documenten (ovw 154). Soms worden rapporten en verslagen persoonsgegevens genoemd, maar het is belangrijk dat het publiek de rapporten kan zien/lezen.
- Art. 87: identificatienummer
- Art. 88: arbeidsverhouding (ovw 155)
- Art. 89: archivering algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden (ovw 156 t/m 162). Stel ensen geven info t.b..v wetenschappelijk onderzoek, dan kun je die info niet later laten verwijderen want dan zijn de onderzoeksresultaten niet meer betrouwbaar: de overheid mag dus beperkingen aanbrengen als dat nodig is. Zulke dingen komen in de uitvoeringswet van de AVG.
- Art. 90: geheimhoudingsplicht (ovw 163, 164)
- Art. 91: kerken en religieuze verenigingen (ovw 165)
Artikel 95
Artikel 95:
Hierin staat, dat wanneer persoonsgegevens worden verwerkt, de AVG het belangrijkste document is. Maar, als de e-privacyrichtlijn specifiekere regels op bepaalde punten heeft, dan gaat die voor: lex specialis. Als de e-privacy toestemming vereist, en de AVG vereist o.a. toestemming, dan is de e-privacy specifieker en is er toestemming nodig (ovw 173).
GROSSO MODO AVG IS VAN TOEPASSING ALS…
- Persoonsgegevens (bijna alles is een persoonsgegeven)
- worden verwerkt (bijna alles is verwerken, iig niet ongestructureerde verwerking offline)
- Door een verantwoordelijke (er is altijd een verantwoordelijke, maar de vraag is wie.
- Unierecht moet van toepassing zijn (dat is doorgaans zo - zo niet, dan is het van toepassing als dat bedrijf heir goederen diensten aanbiedt - zich op deze markt richt - of gedrag in de unie monitort)
- Geen uitzondering van toaepassing (uitzonderingen: veiligheidszaken & puur persoonlijke verwerkingen (huishoudelijk) zijn de grootste uitzonderingen).
a. Er zijn beperkingen - gedeeltelijke uitzonderingen
i. Publiek belang (belastingdienst)
ii. Vrijheid van meningsuiting (journalistiek)
Dit gedeelte gaat over algemene beginselen, fair information principles, -> 3 specifieke punten over verwerking
- Verwerking van persoonsgegevens; wanneer mag het wel en op basis van welke gronden?
- Verwerken van bijzondere persoonsgegevens, wanneer mag dat wel, wanneer niet?
- Doorvoeren van persoonsgegevens naar buiten de EU; hoe zit dat?
Algemene beginselen, de hoogste rechten in de unie zie je in het EVRM (Raad van Europa) en het EU Handvest (EU)?
- Art. 8 EVRM: recht op eerbiediging van privé, familie- en gezinsleven
- Art. 7 EU Handvest: eerbiediging van het privéleven en het familie- en gezinsleven
- Art. 8 EU Hanvest: bescherming van persoonsgegevens > AVG is een invulling hiervan
- Art. 52 EU Handvest: Reikwijdte vna de gewaarborgde rechten)
Daarbij zijn aantal punten van belang waaraan altijd moet zijn voldaan. Alle wetten, al het beleid, alle handelingen van overheden en bedrijven moeten aan de hoogste rechten voldoen.
De hoogste rechten in de Unie in het EVRM en het Eu- Handvest, zijn niet absoluut, ze kunnen worden ingeperkt, onder de volgende voorwaarden:
- Noodzakelijk: wanneer dat is, is niet zeker te zeggen. Een popo mag niet even een bekende Nederlander checken. Organisaties moeten eigenlijk toezien dat niet iedereen erbij kan die het niet nodig heeft.
- Proportionaliteit: het moet in verhouding staan; heel veel verzamelen voor een klein doel, mag niet.
- Subsidiariteit: kies het minst ingrijpende middel
- Effectiviteit: dit volgt eigenlijk van bovenstaande, maar wordt vergeten in het kader van Big Data: soms is het volstrekt onduidelijk of het wel werkt.
- Wettelijke basis (EVRM)
- Algemeen belang (EVRM)
Fair information principles, waar te vinden? Wat houdt het in?
Dit is de ruggengraat van de AVG, dit staat allemaal in art. 5 (ovw 4, 39, 50): het belangrijkste artikel van de AVG. ALle rechten en plichten zijn terug te voeren op deze beginselen (dit artikel moet je kunnen kennen), er staan 12 vereisten:
- Rechtmatig:
A. Gegevens moeten stoelen op een van de gronden die in de AVG zijn genoemd; (voor overheid = moet op een wet zijn gebaseerd)
B. De gegevensverwerking moet uiteraard ook aan andere wetgeving voldoen, zoals de Grondwet, Wet ongelijke behandeling en het Wetboek van Strafrecht. - Verantwoordingsplicht: de verantwoordelijke is de eindverantwoordelijke en doorgaans ook aansprakelijk voor fouten, ook door verwerkers, hij moet erop toezien dat alles goed gaat.
- Behoorlijk: eerlijk, of goed, of deugdelijk! Wat is eerlijk/fair? In een contract voor horloge zetten dat je ook organen moet doneren. Of: je download een zaklamp app, en moet met de terms and conditions toestemming geven dat 100 bedrijven toegang hebben tot jouw gehele telefoon - het heeft niets te maken met de zaklamp app, dan is het dus niet fair. en FB of Google; is het doorgeven van allerlei gegevens aan andere bedriven noodzakelijk voor het verstrekken van de dienst?
- Doelspecificatie: de gegevensverwerking moet een specifiek doel dienen (innoveren, ontwikkelen, klanttevredenheid = allemaal neit specifiek genoeg; wel: wat is je adres om de pizza te bezorgen). Zo specifiek zijn omschreven van de betrokkene kan begrijpen en uitleggen dat het belangrijk is.
A. Ten eerste betekent dit dat nog vóórdat er wordt aangevangen met het verwerken van persoonsgegevens er een doel moet worden afgesproken.
B. Ten tweede moet dat doel uitdrukkelijk zijn vastgelegd, zodat achteraf eenvoudig kan worden gecontroleerd of het oorspronkelijke doel inderdaad gerespecteerd is.
C. Tot slot moet het doel specifiek zijn
- Doelbinding: de gegevens mogen vervolgens in principe alleen voor het vastgelegde doel worden verwerkt. Als je hele algemene doelen hebt, kan er niet zomaar iets buiten vallen. Over wat als ‘verenigbaar’ of ‘onverenigbaar’ doel moet worden gezien bestaat een rijke en complexe discussie. Uitzondering daarbij in art. 89 lid 1; wetenschappelijk onderzoek; dit principe kan worden beperkt omdat het niet altijd duidelijk is waarvoor het gebruikt gaat worden; het doel van het onderzoek zelf is niet altijd duidelijk.
Art. 6 lid 4 geeft uitleg van dit beginsel: als gegevens worden verwerkt voor een ander doel en het datasubject heeft daarvoor toestemming gegeven, dan mag dat. Want: dan heb je opnieuw toestemming gevraagd en mag je het nog gebruiken om advertenties te sturen. Of het mag van de wet (unie of lidstaat). Ander geval? 5 criteria die je kunnen helpen om te oordelen of sprake is van een verenigbaar doel:
a. Verband tussen de doeleinden
b. Het kader waarin dat gebeurt
c. Aard van de persoonsgegevens
d. Mogelijke gevolgen
e. Passende waarborgen
Ook dit zijn weer ‘vage’ punten. Het idee erachter: stel je hebt HELE kleine dataset met ongevoelige gegevens die je GOED beschermd, kun je sneller een uitzondering maken op dit principe - maar het is gradueel, geen helder punt.
- Dataminimalisatie; het uitgangspunt is dat er in principe zo min mogelijk persoonsgegevens worden verzameld. Het dataminimalisatie principe uit de AVG is in wezen een uitwerking van het algemene noodzakelijkheidsvereiste en subsidiariteitsprincipe.
- Correctheid; de gegevens die je verzamelt en opslaat moeten correct zijn. Het is best lastig; want een datasubject kan een reden hebben om te liegen over zijn gegevens. De verantwoordelijke hoeft niet blind te varen op wat het datasubject zegt.
- Up-to-date; als persoonsgegevens voor een langere tijd worden bewaard, dan heb je als verantwoordelijke de plicht om ervoor te zorgen dat de gegevens up to date blijven. Dat is belangrijk! Je hebt als datasubject het recht om incorrecte gegevens te laten verwijderen/corrigeren. Maar de verantwoordelijke heeft zelf ook een plicht om dat te doen! Hoe vaak moet je updaten hangt af van hoe groot en hoe gevoelig de dataset is.
- Opslagbeperking: als je de persoonsgegevens die je hebt verzameld niet langer nodig hebt, bijvoorbeeld omdat je het doel waarvoor je ze verzameld hebt, hebt bereikt, dan moet je ze in principe verwijderen of volledig anonimiseren. Bewaar alleen voor archivering of onderzoek: dan kan het belangrijk zijn gegevens langer te bewaren.
- Technologische veiligheid; als gegevens worden opgeslagen, bijv. in een database, register of bestand, dan zul je technische veiligheidsmaatregelen moeten treffen; ervoor zorgen dat je niet gehackt kunt worden bijv, of encryptie.
- Organisatorische veiligheid; als de gegevens worden opgeslagen, bijv. in een database, register of bestand, dan zul je organisatorische veiligheidsmaatregelen moeten treffen. Enkel toegang verschaffen met passwords, loggen van mensen die in de database gaan, etc.
- Transparantie: de gegevensverwerkingsprocessen moeten transparant zijn: weer eerlijk en open naar de datasubjecten; maar beter zet je een privacy policy op de website ofzo.
Je moet ALTIJD voldoen aan ALLE fair information principles. Een daarvan is rechtmatigheid. Voor de rechtmatigheid werkt de AVG DRIE SITUATIES uit wanneer verwerking rechtmatig is, met nog een aantal specifieke regels daarvoor:
- Verwerking van persoonsgegevens
- Verwerking van bijzondere persoonsgegevens;
- Doorvoeren van persoonsgegevens naar buiten de EU.
- Verwerking van persoonsgegevens
- Verwerking van bijzondere persoonsgegevens;
- Doorvoeren van persoonsgegevens naar buiten de EU.
Bij alle drie moet je voldoen aan de fair information principles, maar ook andere voorwaarden per geval, welke bij ‘verwerking van persoonsgegevens’?
- Verwerking van gewone persoonsgegevens (art. 6 AVG)
a. Toestemming
b. Contract
c, e. Wettelijke verplichting en algemeen belang
d. Vitaal belang van betrokkene
f. Gerechtvaardigde belang van verantwoordelijke is hoger dan van het datasubject
- Verwerking van persoonsgegevens
- Verwerking van bijzondere persoonsgegevens;
- Doorvoeren van persoonsgegevens naar buiten de EU.
Bij alle drie moet je voldoen aan de fair information principles, maar ook andere voorwaarden per geval, welke bij ‘verwerking van bijzondere persoonsgegevens’?
Art. 9 AVG. Ras, etnische afkomst, etc. verwerken mag NIET! Tenzij hele goede redenen, zie overwegingen 51 t/m 56 en 161. Lindqvist laat zien hoe breed die categorie ‘bijzonder’ is. HvJEU zegt dat ‘medische gegevens’ zelfs gaat om een gebroken voet. Uitgangspunt is dus een verbod, uitzondering als het direct relateert aan je werkzaamheden als verantwoordelijke.
A. Er bestaat een bijzondere relatie tussen het datasubject en de verantwoordelijke
a. Arbeids- socialezekerheidsrecht, en socialebeschermingsrecht;
b. Gezondheid werknemer;
c. Kerk, politieke partij of vakbond
d. Vitale belangen van het datasubject
B. Het datasubject is akkoord
a. UITDRUKKELIJKE toestemming (naast vrij, specifiek etc. moet het uitdrukkelijk zijn)
b. KENNELIJK openbaar gemaakt (andere principes zoals doelbinding gelden wel gewoon - als iemand uit de kast komt mag je die info niet ineens gebruiken om advertentie te sturen)
C. verwerking is nodig voor algemeen belang of publieke taak
a. Zwaarwegend algemeen belang (verspreiding van virussen voorkomen)
b. Volksgezondheid
c. Rechtsvordering of rechtspraak
d. Statistische analyse en wetenschappelijk onderzoek
Grond J geeft weer een uitzondering voor archivering in algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig art. 89 lid 1. Grond g spreekt weer van het algemeen belang boven het betrokkene belang.
