05-06-14 Wegnemen van privacy issues Bouwen aan vertrouwen voor big data Mr S.H. Katus sergej.katus@pmpartners.nl www.pmpartners.nl Big Mr. data S.H. in Katus de zorg 3 sergej.katus@pmpartners.nl juni 2014 www.pmpartners.nl License to operate Invalshoek Formeel* Gebruik van data Small data Big data Bestuurlijke accountability, meldplichten, bewerkersafspraken, opt-out / opt-in, internationale aspecten, aanwijzing DPO Ethisch * Evenwichtig omgaan met belangen van betrokkenen, passende privacywaarborgen Maatschappelijk Toezicht Rekening houden met maatschappelijke en politieke standpunten Rekening houden met zienswijzen nationale toezichthouders, met name College Bescherming Persoonsgegevens * Scope Wet Bescherming Persoonsgegevens (WBP) / Algemene Verordening Gegevensbescherming (AVG). NB: Ook andere wetgeving kan privacybepalingen bevatten (privacywetgeving is breed) Privacy begint met PR 1
05-06-14 Doel privacywetgeving Zie (EU-)beleidstukken: bescherming van natuurlijke personen in verband met de verwerking van persoonsgerelateerde data én het vrije verkeer van data 1. Vrij dataverkeer 2. Speelruimte (publieke taakuitoefening, ondernemerschap, optimalisatie, innovatie) 3. Respect voor het individu (passende waarborgen) Maatschappelijk Verantwoord Omgaan met data Balanswetgeving? Met privacywaarborgen omklede dataverwerking 2
05-06-14 Data privacy Artikel 10 Grondwet 1. Ieder heeft, uitgezonderd wettelijke beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. 2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met [de verwerking van persoonsgerelateerde data]. 3. De wet stelt regels over de aanspraken van personen op kennisneming van over hen vastgelegde data en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van die data. Ethiek De essentie Legitimiteit 1. Behoorlijke en zorgvuldige Proportionaliteit gegevensverwerking in overeenstemming Subsidiariteit met de wet Doelbinding 2. Open vizier Noodzakelijkheid 3. Aanspraken van personen Kwaliteit 4. Bewijs/rekenschap (accountability) Veiligheid Transparantie Inzage en correctie Recht van verzet (opt-out) Toestemming (opt-in) Verantwoording Groen licht 3
05-06-14 Belang van dejuridisering Multidisciplinair vraagstuk Toestemming Opt-out regel Algemeen: - goede reden - wettelijke plicht - publieke taak - levensbelang Opt-in uitzondering Oneigenlijke activiteit toestemming strijdig met de wet Medische gegevens: - behandeling - bedrijfsvoering - verzekering Medewerkingsplicht: - commercieel - profiling* toestemming wettelijk verplicht Na opt-out Sommige internetcookies * Volgens AVG Bron van misverstanden en discussie 4
05-06-14 De wet WBP EU-richtlijn 95/46/EG WBP+ EU-richtlijn 95/46/EG 810.000 10% AVG EU-brede superwet 100.000.000 5% Nu 2015 2017 In dialoog PIA Toepassingsniveau Belangenafweging Consultatie van betrokkenen* Consultatie van doelgroepen* Klankbord Organisatieniveau Representatieve medezeggenschap* Ondermemingsraad Service Recordniveau Informatie Vragen Klachten Inzage Correctie (RtbF**) Bezwaar Data-portabiliteit** * Niet verplicht, wel verstandig ** Nu nog wetsvoorstel Privacy = klantgerichtheid 5
05-06-14 PIA big data Persoonlijke impact ü Profijt Veiligheid / gezondheid Prettig geholpen / welzijn Nieuwe opties / voordeel Sociale versterking ü Risico s Veiligheid / gezondheid Gevangen in het systeem Beperkingen / discriminatie Beschadiging Organisatie impact ü Noodzaak Continuïteit Data als asset Innovatie / Efficiency / Klantgerichtheid ü Risico s Afbreuk / aansprakelijkheid Inspecties Reparatie Persoonlijke behandeling Doelgroepen analyse Managementinformatie Belang om te data te personaliseren Privacy by Design Legitimiteit Proportionaliteit Doelbinding Geaggregeerd Anoniem Pseudoniem Data kwaliteit IT-security Access management Business process design Ketenregie Service level afspraken Trusted third parties Intrinsiek privacybestendige big data-toepassingen 6
05-06-14 Ge(waar)borgd Good governance / accountability DPO: 2-toezicht 1 College Bescherming Persoonsgegevens 2 Functionaris voor de Gegevensbescherming (Data Protection Officer) 64 WBP - De DPO ziet toe op de verwerking van persoonsgegevens. Aanbevolen onder de WBP Vaak verplicht onder de AVG Reputatieversterkend (blijk van good governance) Externe DPO krachtiger dan interne DPO Privacy Management Partners Met Privacy Management Partners staat u sterker ü Privacy expertise en praktijkervaring van professionals die hun sporen hebben verdiend in het bedrijfsleven, bij de overheid en bij het College Bescherming Persoonsgegevens. Hoe presteert uw organisatie? Doe de Privacy Quick Scan Zie voor de Privacy Quick Scan www.pmpartners.nl. 100% anoniem en vrijblijvend 7