Privacy aspecten van apps mr. Peter van der Veen Senior juridisch adviseur e: vanderveen@considerati.com t : @pvdveee
Over Considerati Considerati is een juridisch adviesbureau gespecialiseerd in ICT-recht en beleid Het team van Considerati bestaat uit experts op het gebied van: privacy, cybersecurity, ISP aansprakelijkheid, e- commerce, auteursrecht en nieuwe technologieën Winnaar HP-IAPP Privacy Innovation Award 2013 voor online platform www.privacychecker.eu
Technologie en recht Snelle technologische ontwikkelingen Toepassing technologie in de praktijk Maatschappelijke opvattingen Beleidsvorming Wet- en regelgeving Algemene kaders Vaak open normen Weinig jurisprudentie (behalve octrooirecht) Vaak discussie mogelijk Vaste kaders Weinig discussie mogelijk
Privacy aspecten van apps: Waar hebben we het over? Privacy Impact Apps Grondrecht op respect voor persoonlijke levenssfeer Omvat de bescherming van persoonsgegevens En meer... Persoonlijke sfeer wordt (deels) opzij gezet t.b.v. ander belang Dit heeft weerslag op alle betrokkenen, positief en negatief Technische aspecten Onderzoek privacyrisico s Inventariseren van gegevensverwerkingen Juridische onderbouwing
Inzet apps in de overheidsdienst Automatisering Interacties Mobiel Niet zomaar automatisering proces A bij dienst B door ICT #C. Complex ecosysteem Verbonden met internet? Communicatie met collega s? Communicatie met betrokkene? Black box? Techniek is 1-0, gebruik in verschillende contexten Laagdrempelig, Makkelijk Niet informeel in dit geval Niet simpel in dit geval
Belangrijk om te weten Privacy is subjectief en sterk context gebonden Veiligheid klanten, consumentenbescherming, waarborg burger vs. overheidshandelingen zijn in de praktijk de drie belangrijkste drijfveren (doelen) van privacybeleid Wettelijke taak is belangrijke grondslag, maar niet voldoende voor privacy compliance
Een app inzetten, mag dat? Meestal geen probleem als u zich goed voorbereid, duidelijk bent naar uw omgeving en gezond verstand gebruikt Normen verschillen per context
Belangrijkste toetsingskader is Wbp Logica van de Wbp: Wat willen we gaan doen? Hebben we een grondslag? Hoe gaan we zorgvuldig om met de gegevens? Gerechtvaardigd doel Materiële eisen Wbp
Overwegingen komen vaak neer op: Effectiviteit Proportionaliteit Subsidiariteit (Hoe) Werkt mijn product? Is de dienst effectief? Weegt het belang van oplossen mijn probleem op tegen nadelen? Begrijpelijke uitleg naar publiek, klanten, toezichthouder, én de boekhouder Zijn er minder ingrijpende werkwijzen denkbaar? Kan ik risicobeperkende maatregelen nemen?
Verscherpt toezicht op mobiele apps College bescherming persoonsgegevens Europa: Data Protectie Verordening en Artikel 29 Werkgroep Maatschappelijke Organisaties
Waarom? Toename dataverwerking leidt tot bezorgdheid publiek Te weinig oog voor menselijke maat Behoefte aan meer controle en toezicht op gegevensverwerkingen neemt toe
Risico s
Toetsingskader: Materiële eisen Wbp Verzamel niet meer gegevens dan nodig (ar2kel 11 Wbp) Zorg dat de gegevens toereikend en correct zijn (ar2kel 11 Wbp) Zorg dat de gegevens veilig zijn (ar2kel 13 Wbp)!!! Bewaar de gegevens niet langer dan nodig (ar2kel 10 Wbp) Wees open en transparant (ar2kel 27 e.v. Wbp) Zorg voor juiste procedures voor betrokkenen
NB: Normen waaraan je toetst zijn open en context-afhankelijk! Vereist belangenafweging, verantwoording van keuzes.
Aanvullende normen mogelijk van toepassing Bijzondere wetgeving: bijv. financiële sector, telecomsector, poli2e & jus22e Ethische codes en tuchtrecht: bijvoorbeeld beroepsgeheim, arts, advocaat Sectorale wet- en regelgeving: WMO, BSN Buitenlands recht? Met betrekking tot de gegevens die u mag verwerken en onder welke voorwaarden
Vertalen naar praktijk: Welke gegevens? NAW Loca2e? Kinderen, rela2es Zorg, Medisch BSN Inkomen & Financiën En meer... Kenteken? Waterverbruik?
Willekeurig? 98238347
Identificerend! 98238347
Wat levert privacy check op? Bewustwording intern Inventarisatie risico s Externe verantwoording Welke activiteiten hebben een privacy impact? Inzicht in het nut van privacybeleid + naleven daarvan Vanwege de open normen is deze stap nodig om compliant te zijn Privacy risico s op een rij Inzicht in alle data-stromen Risicobeperkende mogelijkheden Basis voor privacybeleid Basis voor compliance Toezichthouder vereist dit Klanten willen dit weten Data subjecten hebben recht op inzage Basis voor (crisis)communicatie!
Conclusies: Informeren Verzeker je van een grondslag Verantwoordelijkheid
Onze ervaring met privacykaders bij inzet apps Administratieve last? Ja, dit proces kost tijd Maar Privacy kaders toepassen: Het is goed te doen Verantwoordelijkheden duidelijk, meer controle Betere sturing gebruiker, samenwerkingspartners Vermijd kapitaalvernietiging: niet inzetbare ICT Beperk weerstand tegen je project Interactie met toezichthouder verbetert
Contactgegevens Contact Peter van der Veen + 31 6 34 97 50 24 + 31 20 737 00 69 vanderveen@considerati.com Twitter: @pvdveee Bezoekadres Meeuwenlaan 106 F 1021 JL Amsterdam www.considerati.com