Seminar: Big Data en privacy Sprekers: - mr. Marten van Hasselt Big Data in de praktijk: lust of last? - mr. Vincent Rutgers Big Data en privacy: bescherming persoonsgegevens in kort bestek
mr. Marten van Hasselt advocaat sinds 2003 Specialisaties: Intellectueel eigendomsrecht Verbintenissenrecht Procesrecht MNVH 2
mr. Vincent Rutgers advocaat sinds 1999 Specialisaties: Ondernemingsrecht Privacy recht Media-, entertainment en ICT MNVH 3
Wat is Big data eigenlijk? Een hoeveelheid gegevens die de capaciteit van de gebruikelijke databases en die van de software die nodig is voor inlezen, beheer en analyse verre te boven gaat. Big data is het aan elkaar koppelen van gegevens en het leggen van verbanden die eerder nog niet voor mogelijk werden gehouden "Chocola maken van data uit vele verschillende bronnen. Dus niet alleen het ontsluiten, bij elkaar brengen en visualiseren ervan, maar vooral de laatste slag naar het distilleren van zinvolle insights uit al die data" Etc. 4
Big data in de praktijk Producenten van consumentengoederen en retailorganisaties: monitoren van sociale media, zoals Facebook en Twitter om een zicht op het gedrag, voorkeuren, en beleving van klanten te krijgen. Fabrikanten en dienstverleners: monitoren van sociale netwerken, maar met een ander doel dan marketeers: Ze gebruiken het om supportvraagstukken op te sporen. Financiële diensten organisaties: gegevens uit interactie met klanten om hun gebruikers te positioneren in beter afgestemde segmenten om steeds relevanter en verfijnder aanbod creëren. Reclame- en marketingbureaus: bijhouden van conversaties op sociale media om de response beter te begrijpen van campagnes en promotieacties. Verzekeringsmaatschappijen: analyseren welke aanvragen voor een opstalverzekering direct verwerkt kunnen worden en welke een validatie dienen te krijgen door een bezoek van een agent. Ziekenhuizen: analyseren van medische gegevens en patiëntendossiers om te besparen op de zorg. De overheid: opsporingsdiensten (politie / justitie), Belastingdienst (innen van belasting), verkeer en infrastructuur (mobiliteit en parkeren) etc. 5
Wat merken wij ervan? Handig bij het shoppen, surfen, kortingen, spaaracties, aanbiedingen op maat 6
Handig, toch..? 7
Minder leuk. 8
Toenemend verzet! Misbruik! 9
Big data en privacy Hoe zit het eigenlijk met 10
Plannen ING Ophef rond plannen ING om big data te gaan gebruiken Dialoogmarketing is een vorm van marketing gericht op het tot stand brengen, ontwikkelen en onderhouden van een relatie tussen een organisatie en haar (potentiële) klant waarbij de laatste tot een actie wordt aangezet. Dialoogmarketing kenmerkt zich door rechtstreekse en gerichte communicatie, van direct mail tot social marketing, die veelal plaatsvindt op basis van beschikbare data (datadriven marketing). 11
Wet- en regelgeving bij big data Wet- en regelgeving o.a.: Europese wetgeving en richtlijnen Grondwet Wet bescherming persoonsgegevens (WBP) Telecommunicatiewet Algemene Wet inzake Rijksbelasting (AWR) Wetboek van Strafrecht (div opsporing) Burgerlijk Wetboek (BW) 12
WAT = ALLE GEGEVENS NATUURLIJKE PERSOON Wat zijn persoonsgegevens? gegevens t.a.v. een natuurlijk persoon (mens van vlees en bloed): elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (art.1 sub a. Wbp). Klantgegevens = persoonsgegevens volgens de Wbp
VERWERKEN = ALLE HANDELINGEN Wat is het verwerken van persoonsgegevens: Elke handeling of elk geheel van handeling met betrekking tot persoonsgegevens (art. 1 sub b). Dus het verzamelen, opslaan, bewaren en gebruiken van klantgegevens = verwerken en valt onder de WBP.
VERANTWOORDELIJKE, BETROKKENE EN BEWERKER Wet maakt onderscheid tussen verantwoordelijke, betrokkene en bewerker. Bij klantgegevens gaat het om de klant, degene die verzamelt en verwerkt, en degene die ten behoeve van de verantwoordelijke verwerkt.
4. WANNEER: NEE TENZIJ: Wanneer is verwerken toegestaan, nee tenzij! Alleen in limitatief in de wet uitzonderingen (art. 8 Wbp): -ondubbelzinnige toestemming door betrokkene; verwerking noodzakelijk voor de uitvoering van een overeenkomst; noodzakelijk ivm de nakoming van een wettelijke verplichting; noodzakelijk ter vrijwaring van een vitaal belang van een betrokkene; noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door bestuursorgaan; noodzakelijk voor behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt.
5. VERZAMELEN ALLEEN VOOR PRECIEZE DOELEINDEN Persoonsgegevens alleen voor welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzamelen (art. 7 WBP). Dus niet zonder precieze doelomschrijving verzamelen. In privacy statements, algemene voorwaarden.
6. VERWERKEN VERENIGBAAR MET DOELEINDEN VAN VERKRIJGEN Verwerking van persoonsgegevens niet op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (art. 9 WBP). Persoonsgegevens bovendien toereikend, ter zake dienend en niet bovenmatig (art. 11 WBP). Dus toestemming t.b.v. een bepaalde doeleinde = geen toestemming t.a.v. andere doeleinde. T.a.v. onverenigbaarheid = van belang = verwantschap doel verkrijgen, doel (beoogde) verwerking, gevolgen, wijze van verkrijgen, en passende waarborgen.
7. BIJZONDERE PERSOONSGEGEVENS = NEE Bijzondere persoonsgegevens verwerken is (in beginsel) verboden, tenzij uitdrukkelijke toestemming of wettelijke uitzonderingen (art. 16 WBP). Gaat om privacy gevoelige gegevens: godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele levens, lidmaatschap van een vakvereniging en strafrechtelijke persoonsgegevens of persoonsgegevens over onrechtmatig of hinderlijk gedrag, tenzij.
8. VERPLICHTINGEN AAN GEBRUIK behoorlijke en zorgvuldige wijze (art. 6 WBP) Niet langer bewaard dan noodzakelijk (art. 10 WBP) voldoende beveiliging (art. 14 WBP) indien geautomatiseerde verwerking = melden bij CBP (art. 27 WBP) informatieverstrekking bij verkrijging (identiteit, doeleinden voor de verwerking) (art. 33 WBP) inzagerecht: wat, hoe en aan wie (art. 35 WBP) correctierecht (36 WBP) recht van verzet (art. 40 en 41 WBP)
9. TOEZICHT EN SANCTIES
10. ZELFREGULERING = DDMA PRIVACY CODE
11. PIJNPUNTEN BIG DATA VERWERKING EN DE WET Stemmen doeleinden verzamelen en gebruik met elkaar overeen? Doeleinden mogelijk niet altijd vooraf duidelijk. Is toestemming wel gegeven voor de achteraf bepaalde doeleinde. Toestemming achteraf mogelijk? Risico meer data verzamelen, dan (in eerste instantie) nodig? Ism het niet bovenmatig verzamelen. In hoeverre voldoe je aan de bewaarverplichting? Oplossing: anonimiseren?
Dank voor uw aandacht! B.V. Keizersgracht 442 1016 GD Amsterdam The Netherlands P. +31 (0)20 521 01 30 F. +31 (0)20 521 01 31 E. vrutgers@flib.nl en mvanhasselt@flib.nl 24