Recht en Informatica HC5/HC6: Privacybescherming Henry Prakken 28 mei / 4 juni 2018 1
Inleiding/historie Inhoud Hoofdlijnen Algemene Verordening Gegevensbescherming (AVG) Enkele thema s uitgediept Speciale regelingen Spam Cookies 2
Historie 1983: Recht op privacy in Grondwet incl. opdracht tot nadere wetgeving 1990: Wet persoonsregistraties 1995: Europese richtlijn privacybescherming 2001: Wet bescherming persoonsgegevens 2002 - : EU richtlijnen over o.a. spam, cookies, 9/11: alles werd anders Nieuwe bevoegdheden politie, justitie en AIVD Nieuwe bewaar- en afgifteplichten Nieuwe technologieën: Internet, GPS, camera s, gezichtsherkenning, RFID, biometrie, drones, wifi-tracking, wearables... 25 mei 2018: EU-verordening gegevensbescherming vervangt Wbp 3
Art. 10 Grondwet / Art. 8 EVRM Ieder heeft, behoudens bij of krachtens wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer Art 8 EVRM: beperkingen mogen alleen als bij wet voorzien en noodzakelijk in een democratische samenleving in het belang van de nationale veiligheid, openbare veiligheid of het nationale welzijn van het land, het voorkomen van wanordelijkheden of strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van rechten en vrijheden van anderen 4
AVG: wat wordt beschermd? (1) Verwerking van persoonsgegevens Ruime definitie persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ( de betrokkene ); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon Pseudonimisering: verhullen van iemands identiteit door derden, bijv. door vervangen naw-gegevens patiënt door uniek patiëntennummer (nog steeds persoonsgegeven!) Anonimisering: zorgen dat een gegeven geen persoonsgegeven meer is. 5
AVG: wat wordt beschermd? (2) Verwerking van persoonsgegevens Ruime definitie verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; 6
Enkele actoren Betrokkene: op wie gegevens betrekking hebben (Verwerkings)verantwoordelijke: wie doel en middelen van verwerking bepaalt Verwerker: wie de gegevens verwerkt AP: Autoriteit Persoonsgegevens Tot 1-1-2016 CBP: College Bescherming Persoonsgegevens 7
Art 5 AVG: beginselen verwerking persoonsgegevens Rechtmatig, behoorlijk en transparant Doelbinding Minimaliteit: toereikend, ter zake dienend en noodzakelijk voor de doeleinden Opslagbeperking: niet langer bewaren dan nodig Juistheid: gegevens moeten juist en actueel gehouden worden Integriteit en vertrouwelijkheid: o.a. beveiliging Verantwoordingsplicht: kunnen aantonen dat je de AVG naleeft 8
Hoe krijgt privacybescherming vorm in de AVG? Plichten voor verantwoordelijke: Informatieplichten aan betrokkene Beveiligings- en geheimhoudingsplichten Onderzoeksplichten bij risicovolle verwerkingen Verantwoordingsplichten Rechten van betrokkene inzage, correctie, verzet wissing, vergeten worden dataportabiliteit Normen voor rechtmatigheid van verzamelen en verwerken persoonsgegevens 9
Toepassingsbereik AVG Niet van toepassing op o.a.: Niet geautomatiseerde verwerkingen (tenzij in bestand) Persoonlijke of huishoudelijke activiteiten Inlichtingen- en veiligheidsdiensten Uitvoering politietaak Speciale wetgeving Beperkt toepasbaar op o.a.: Verwerking voor journalistieke, artistieke of literaire doeleinden Rechtmatigheidseisen gelden wel O.a. informatieplichten en verbod verwerking bijzondere gegevens gelden niet. 10
Informatieplichten (artt. 13+14 AVG) In duidelijke en eenvoudige taal! Identiteit verantwoordelijke Doel verwerking Aan welke derden worden de gegevens verstrekt? Rechtsgronden van de verwerkingen Hoe lang worden de gegevens bewaard? Rechten van betrokkene (o.a. dat toestemming altijd ingetrokken kan worden) 11
Andere plichten verantwoordelijke Beveiligingsplichten (aangescherpt(?) t.o.v. Wbp) Meldplicht datalekken Bij AP en soms bij betrokkenen Bijhouden verwerkingsregister (soms) functionaris voor gegevensbescherming aanstellen Bij risicovolle verwerkingen: Gegevensbeschermingseffectbeoordeling uitvoeren (soms) AP vooraf raadplegen 12
Rechten van betrokkenen (1) (Inclusief faciliteringsplichten verantwoordelijke, maar ook uitzonderingen) Recht op inzage, correctie Recht op verzet Belangenafweging, behalve bij direct marketing Recht op gegevenswissing bij intrekken toestemming, als niet meer nodig voor doel, als onrechtmatig, 13
Rechten van betrokkenen (2) Recht om vergeten te worden Bij openbaarmaken van gegevens door verantwoordelijke: doe wat redelijk is om andere verantwoordelijken in te lichten enz.. Recht op dataportabiliteit Recht op kopie persoonsgegevens in gestructureerde, gangbare machineleesbare vorm Alleen als door betrokkene verstrekt en bij verwerking o.g.v toestemming of uitvoeren overeenkomst Recht op uitleg en informatie bij geautomatiseerde besluitvorming 14
Voorbeeld recht op verzet/correctie: Het recht om vergeten te worden EU Hof van J 13-5-2014: Google moet op verzoek links naar oude en niet meer relevante informatie uit de zoekresultaten verwijderen, zelfs als de informatie op zich niet onrechtmatig is, als: De informatie ontoereikend, bovenmatig en niet (meer) ter zake dienend is; of Er zwaarwegende en gerechtvaardigde redenen m.b.t. betrokkene zijn. 15
Rechtmatigheid verzamelen: doelbeginsel Art 5 lid 1b AVG (Art 7 Wbp): Verzamelen persoonsgegevens mag alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden Niet welbepaald: voor marketingdoeleinden 16
Rechtmatigheid verwerken (1): gerechtvaardigde doeleinden Art 6 lid 1 AVG (Art 8 Wbp): Verwerken van gegevens mag alleen: na toestemming betrokkene (of ouder als < 16jr); of als noodzakelijk voor: vervulling wettelijke plicht bescherming van iemands vitale belangen Vervulling taak van algemeen belang of uitoefenen openbaar gezag Uitvoeren of sluiten overeenkomst met betrokkene behartiging gerechtvaardigd belang van verantwoordelijke of ontvanger van gegevens, tenzij strijd met belang, rechten, vrijheden enz van betrokkene (met name wanneer de betrokkene een kind is) 17
Algemeen belang / openbaar gezag Moet altijd op een wet berusten Bij grote privacyinbreuk een speciale wet Voorbeeld: Belastingdienst moet van wet controleren op belastingfraude, en heeft bevoegdheden Maar mocht van HR 24-2-2017 kentekens van politie niet gebruiken om fraude van leaserijders op te sporen Disproportioneel, dus schending art 8 EVRM Speciale wettelijke basis nodig 18
Art 4(11) AVG: Toestemming (1) Toestemming: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt Vrije, specifieke, geïnformeerde stond al in Wbp 19
Toestemming: Art 7 AVG: Toestemming (2) Moet aantoonbaar zijn; Als onderdeel van verklaring over iets anders (bijv. aanvaarden AV) dan moet verzoek om toestemming in begrijpelijk, gemakkelijk toegankelijk en in eenduidige en eenvoudige taal zijn, zodat onderscheid met rest van de verklaring duidelijk is. Toestemming via verplichte aanvaarding AV waarin toestemmingsbepalingen staan is niet vrij. Kan altijd ingetrokken worden (en moet even eenvoudig zijn als toestemming geven) 20
Art 6 lid 1f AVG: gerechtvaardigde belangen Verwerken van gegevens mag als noodzakelijk voor de behartiging gerechtvaardigd belang van verantwoordelijke of ontvanger van gegevens, tenzij strijd met belang, rechten, vrijheden etc van betrokkene Commercieel belang (noodzakelijk = redelijkerwijs nodig voor reguliere activiteit) Maar opt-out bij direct marketing Vrijheid van meningsuiting Naming and shaming? AP: Nee! Veiligheid Educatieve belangen 21
Rechtmatigheid verwerken (2): afwijken van doel Art 5 lid 1b AVG (Art 9 lid 1 Wbp): verdere verwerking persoonsgegevens moet verenigbaar zijn met doeleinden waarvoor gegevens verkregen zijn Bijv. reclame voor product verwant aan doel Art 6 lid 4 AVG (Art 9 lid 2 Wbp) Verenigbaarheid bepaald door wegen volgende criteria: Verwantschap met oorspronkelijke doel Aard gegevens Gevolgen voor betrokkene Wijze van verkrijging gegevens Mate van passende waarborgen 22
Rechtmatigheid verwerken (4): Bijzondere gegevens Verwerking van bijzondere gegevens (ras of etnische afkomst, godsdienst of levensovertuiging, politieke opvattingen, gezondheid, sexueel leven, lidmaatschap vakbond, gezondheid, genetische gegevens, biometrische gegevens voor identificatie) is verboden tenzij uitdrukkelijke toestemming, wettelijke plicht, zwaarwegend algemeen belang, vitaal belang van betrokkene En uitzonderingen voor specifieke categorieën bijzondere gegevens Deze regels gelden niet voor verwerking voor journalistieke, artistieke of literaire doeleinden 23
Rechtmatigheid verwerken (5): gegevens van strafrechtelijke aard In Wbp nog bijzonder gegeven, nu aparte categorie, met eigen regels Burgers mogen zonder toestemming strafrechtelijke gegevens verwerken mits nodig voor: de beoordeling van een verzoek van betrokkene om beslissing over hem te nemen of prestatie te leveren; of de bescherming van eigen belangen als strafbare feiten jegens u zijn of dreigen te worden gepleegd. 24
Zijn foto s en camerabeelden bijzondere gegevens? Tonen iemands ras, en als gebruikt ter identificatie, dan (volgens AVG) biometrisch gegeven HR 2007: Ja (maar lagere rechters volgen vaak AP 2016) AP 2016: niet als Verwerking niet gericht is op verwerken van bijzondere gegevens of maken onderscheid naar ras; en Niet voorzienbaar is dat dat zal gebeuren; en De verwerking van die bijzondere persoonsgegevens onvermijdelijk is bij die verwerking Soortelijk voor andere categorieën, zoals medische of godsdienstige gegevens 25
Profiling o.g.v. big data bij de overheid Patronen zijn persoonsgegevens als ze gebruikt (kunnen?) worden voor de evaluatie van persoonlijke aspecten van een gebruiker Zulk gebruik heet profilering Bij profilering gelden alle eisen van AVG Informatieplichten Geen verwerking bijzondere gegevens 26
Geautomatiseerde besluitvorming en profilering (1) Art. 13 lid 2.f en 15 AVG: Recht op informatie over: Nuttige informatie over de onderliggende logica en over het belang en de verwachte gevolgen van de verwerking voor de betrokkene Art. 22 AVG: Betrokkene heeft het recht om hier niet aan onderworpen te worden Als besluit rechtsgevolgen voor hem heeft of hem anderszins in aanmerkelijke mate treft Tenzij uitdrukkelijke toestemming, of noodzakelijk voor totstandkoming of uitvoering overeenkomst En tenzij de geautomatiseerde besluitvorming noodzakelijk is voor voldoen aan wettelijke plicht of uitvoering taak van algemeen belang. 27
Geeft AVG recht op uitleg van specifieke automatische beslissingen? Twijfelachtig: Soortgelijke artikelen in Wbp hebben niet tot die conclusie geleid Drie niveau s van uitleg: 1. Functionaliteit en werking van systeem 2. Het kennismodel (geleerd of gerepresenteerd) 3. Toepassing van het kennismodel op een concreet geval Volgens sommige juristen bedoelt AVG eerste niveau van uitleg 28
Handhaving Uitoefening rechten door betrokkene Klachtrecht betrokkene Elke klacht moet onderzocht worden Toezicht AP boetes en dwangsommen door AP Boetes tot 20 miljoen euro of 4% wereldwijde jaaromzet Beroep op rechter: Tegen bedrijven: civiele rechter Tegen overheid: bestuursrechter 29
Werking AVG buiten de EU Art 3 lid 1 AVG: van toepassing op verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van de verantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaats vindt. Art 3 lid 2 AVG: van toepassing op verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, wanneer de verwerking verband houdt met: aanbieden van goederen en diensen aan hen in de Unie; of monitoren van hun gedrag voorzover dat gedrag in de Unie plaatsvindt 30
Internationale aspecten Doorgifte gegevens aan landen buiten EG mag zonder vergunning alleen bij adequaat beschermingsniveau privacy (of als aanvullende waarborgen bij doorgifte) VS biedt i.h.a. geen passend beschermingsniveau! 2000: Safe Harbourbeschikking EC: bedrijven die aan safe harbour principles voldoen, hebben dat wel. 2015 door EU Hof vj ongeldig verklaard 1-8-2016: nieuw Privacy Shield (maar geldt ook alleen voor wie in de VS dit aanvaard heeft) April 2010: akkoord EU-VS over doorgifte bankgegevens April 2012: akkoord EU-VS over doorgifte vluchtgegevens Maart 2018: CLOUD act in VS verplicht internetproviders om op verzoek van overheid data van betrokkenen af te staan, waar ook ter wereld opgeslagen. Spanning met AVG en Privacy Shield. 31
Spam: speciale regeling in Tw Hoofdregel: Spam voor commerciële, ideële of charitatieve doeleinden mag alleen na toestemming ontvanger Maar spam over soortgelijke producten en diensten aan bestaande klant mag met opt-out mogelijkheid Melding identiteit verzender en wijze van afmelding verplicht 32
Handhaving spamregeling Tw Bestuursrechtelijk door ACM: bestuursrechtelijke boetes tot EUR 450.000 Dwangsommen Algemeen burgerlijk recht: onrechtmatige daad Versturen spam is niet strafbaar! Maar niet melden identiteit en afmeldingsmogelijkheid wel. 33
Cookies Moeten voldoen aan rechtmatigheidsgronden AVG Bijv. gebruik van door cookie verzamelde gegevens Nieuwe wet 1-1-2013: (in Tw): Informatie vooraf aan betrokkene vereist O.a. doeleinden Bijv. in privacy- of cookiereglement Betrokkene moet ondubbelzinnig toestemming na duidelijke informatie geven voor de cookies Behalve bij functionele cookies (nodig voor communicatie of strikt noodzakelijk voor de gevraagde dienst). Sinds 11-3-2015 ook uitzondering voor first party analytic cookies. Gebruikt om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst; en geen of geringe gevolgen voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker 34