SIG Research Data veiligheid

Transcriptie

1 SIG Research Data veiligheid Privacy om te beginnen, grondrecht of farce Utrecht, 27 november Rob van den Hoven van Genderen Computer/Law Institute, Vrije Universiteit Amsterdam Switchlegal advocaten Amsterdam

2 Westin Privacy and Freedom 1967 Privacy is the claim of individuals, groups or institutions to determine for themselves when, how, and to what extent information about them is communicated to others right to be let alone?(to beforgotten/erased?) right to determine, when, how and to what extent personal data will be disclosed Privacy is not an absolute right

3 Hoe absoluut? Duitse Grondwet In keinem Falle darf ein Grundrecht in seinem Wesensgehalt angetastet werden Maar privacy is geen absoluut recht Aristoteles: belang van individu öikos t.o. het belang van allen polis Locke: een ieder bezit een intrisiek recht in hemzelf en is gerechtigd dit te handhaven tegenover de maatschappij voor zover hij dit niet laat behartigen door de maatschappij (binnen het natuurrecht).

4 Privacy als een proces Elk individu is continu bezig in een persoonlijk aanpassings proces in welk hij de wens van privacy afweegt tegenover openbaarmaking, verspreiding en. (Alan Westin) En verder weegt hij af welke maatschappelijke belangen gediend zijn met vrijgifte van persoonsgegevens (onder dwang?)

5 Art. 8 EVRM Respect privé-leven, familie- en gezinsleven, woning, correspondence Inmenging door openbaar gezag Bij wet voorzien, noodzakelijk in een democratische samenleving en alleen voor bepaalde legitieme belangen Criterium: Betrokkene bevindt zich in een situatie waarin hij een Reasonable expectation of privacy mag koesteren

6 Artikel 10 Grondwet 1.Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. 2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. 3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

7 persoonsgegevens Een persoonsgegeven is alle informatie betreffende geïdentificeerde of identificeerbare natuurlijke personen. Het gaat dus om alle gegevens die informatie kunnen verschaffen over een bepaald persoon, zoals gegevens over diens eigenschappen, opvattingen of gedragingen. Al wordt de naam van die persoon niet met zoveel worden genoemd dan kan er toch sprake zijn van een persoonsgegeven als de identiteit van de persoon redelijkerwijs, zonder al te veel inspanning kan worden vastgesteld.

8 Art 1.b. verwerking van persoonsgegevens elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen vangegevens

9 KERN WBP Art. 6 WBP: persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.(zorgvuldigheid) Art. 7 WBP: persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.(doelbinding) Art. 8 WBP: limitatieve opsomming van gronden die gegevensverwerking rechtvaardigen.(rechtmatigheid) Op basis van proportionaliteit en subsidiariteit

10 Art.8 WBP: verwerking a. ondubbelzinnige toestemming betrokkene; b. noodzakelijk is voor de uitvoering van een overeenkomst of voor het sluiten van een overeenkomst; c. noodzakelijk is om een wettelijke verplichting na te komen d. noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene; e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak f. noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

11 Wet is niet van toepassing a. persoonlijke of huishoudelijke doeleinden; b. door of ten behoeve van de inlichtingen- en veiligheidsdiensten c. ten behoeve van de uitvoering van de politietaak, d. die is geregeld bij of krachtens de Wet GBA e. ten behoeve van de uitvoering van de Wet justitiële en strafvorderlijke gegevens en f. ten behoeve van de uitvoering van de Kieswet.

12 Beginselen art.5 Europese Richtlijn rechtmatig, eerlijk en transparant transparantiebeginsel, de verduidelijking van het beginsel van minimale gegevensverwerking welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden Adequaat, juist en bijgewerkt en de vaststelling van alomvattende verantwoordelijkheid en aansprakelijkheid

13 Artikel 23 lid 2 WBP Het verbod om persoonsgegevens als bedoeld in artikel 16, te verwerken ten behoeve van wetenschappelijk onderzoek of statistiek is niet van toepassing voor zover: a. het onderzoek een algemeen belang dient, b. de verwerking voor het betreffende onderzoek of de betreffendestatistiek noodzakelijk is, c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en d. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

14 Artikel 25 WBP Gedragscodes VSNU gedragscode (niet geaccordeerd door VSNU) Rechtmatig doelbindinding Zoveel mogelijk anonimiseren verrijken van publicaties (persoonsgegevens/plagiaat?)

15 Artikel 13 WBp: beveiliging De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. NEN 7510 Human Tissue and Medical Research: Code of conduct for responsible use (2011)

16 Eprivacyrichtlijn (2009/139/EG) Wijziging RL 2002/58/EG Artikel 4: beveiliging van de verwerking;(datalekken):alleen gemachtigd personeel; beschermd tegen onbedoelde of onwettige wijziging, opslag, verwerking toegang, vrijgave; aanbieder meldt bevoegde instantie en individuele personen in kwestie met verwachte effecten/schade behalve als versleuteld Artikel 13: spamverbod: DM met opt in cookieregeling

17 Telecommunicatiewet Artikel 11.2: bescherming persoonsgegevens en persoonlijke levenssfeer: Artikel 11. 2a vertrouwelijkheid van communicatie: DPI en cookies: geen inbreuken tappen, andere middelen ter controle Artikel en 3 a: Beveiliging datalekken en gevolgen

18 Belang privacy t.o.v. wetenschappelijke dataverzameling Onderzoek van groot maatschappelijk belang? Privacy gegevensbescherming? Welke persoonsgegevens

19 Sprookje uit? Faculteit der Rechtsgeleerdheid