Overzicht 2 Seminar Onderzoekdata en privacy Keynote Datum : Plaats : Utrecht Teacher : Prof. dr J.M. Smits LL.M. Paar voorbeelden Waar staan we nu? Hoever is EU met Algemene Verordening Gegevensbescherming Soorten privacy Soorten data Persoonsgegevens: de spelregels Persoonsgegevens: de geadresseerden Meer wetten (en regels) dan alleen de WBP Bijzonderheden, zoals vrijstellingen Initiatiefgroep Privacy Koezenders If This, Then That 3 4 1
Waar staan we nu 5 In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacyrichtlijn nr. 95/46/EG 6 Persoonsgegevens zijn alle gegevens waarmee een bepaald individu geïdentificeerd kan worden. - Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft - Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Verwerking van persoonsgegevens "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens http://code.waag.org/buildings/#52.0923,5.1238,15 http://waag.org/nl/nieuws/geluidsmetingen-amsterdam-kaart In EU Waar zit het op vast 7 1. Wat betekent precies: informed consent Gebruik van data Sancties Privacy by design, en De bureacratie 8 2. Wanneer toestemming Parlement en Europese Commissie: explicit consent vs Lidstaten: consent moet unambiguous zijn http://www.euractiv.com/sections/infosociety/eu-lawmaker-warns-data-protection-rules-delay-till-2016-311100 3. Hoogte Boete EU Commissie, + Lidstaten: maximum boete max 2% of wereldwijde omzet vs Leden Parlement: maximale boete drempel 5%. 2
Soorten privacy Soorten privacy 9 Relationele privacy recht om met rust gelaten te worden Communicatiegeheim aanspraken tav vertrouwelijkheid gebruikte medium Informationele privacy aanspraak van individu tav informatie over haar/hem 10 Bescherming persoonlijke levensfeer Grondwet beschermt verschillende deelaspecten: 11 12 Zo is er het briefgeheim (art. 13, lid 1) waarop slechts na tussenkomst van de rechter een inbreuk mag worden gemaakt Inbreken op huisrecht (art. 12) is pas na vele voorwaarden, waaronder toestemming van de bewoner toegestaan Aantasting van de lichamelijke integriteit (art. 11) en de persoonlijke levenssfeer in algemene zin (art. 10, lid 1) behoeft op z n minst een wettelijke basis Ten aanzien van de informationele privacy in art. 10, leden 1 en 2, hier heeft de wetgever heeft in belangrijke mate de vrije hand De minste bescherming wordt geboden aan persoonsgegevens, de informationele privacy. Deze aparte status van de informationele privacy is ook op een andere wijze relevant. Bij de meeste vormen van de bescherming van de privacy staat de bescherming van de burger centraal, terwijl bij dataprotectie vooral de transparantie, controleerbaarheid en accountability van machthebbers voorop staan Soorten (persoons)data en onderzoek 3
Soorten persoonsdata Soorten data Bijzondere persoonsgegevens Herleidbaar vanwege bijzondere kenmerken tot natuurlijke persoon Persoonsgegegevens Herleidbaar tot natuurlijke persoon Sensorgegevens Verkeersgegevens Big Data Gepseudonimiseerde (persoons)gegevens Herleidbaar via sleutel tot natuurlijke persoon Geprofileerde gegevens persoonsgegevens Geprofileerde (persoons)gegevens Niet langer meer herleidbaar tot natuurlijke persoon Gegevens Bijzondere persoonsgegevens Geanonimiseerde (persoons)gegevens Niet herleidbaar tot natuurlijke persoon Soorten data Privacy: Soorten data 15 16 Laag1: Informatie afkomstig uit het lichaam Laag 2: Informatie afkomstig van op het lichaam Laag 3: Informatie afkomstig van aanhet lichaam (kleding, horloge, etc) Laag 4: Informatie afkomstig uit het huis Laag 5: Informatie afkomstig van rondom het huis 4
Persoonsgegevens: spelregels Persoonsgegevens 17 Verzameldoel: 2 Doelbinding: 3 - Welbepaald - Verdere verwerking niet - Gerechtvaaardigd, én onverenigbaar met - Uitdrukkelijk omschreven verzameldoel Verwerkingsgronden: - Toestemming 1 - Overeenkomst - Wettelijke plicht - Publiekrechtelijke taak, etc Bewaren: 4 - Niet langer dan nodig voor verzameldoel 18 Meer wetten waarin privacy rol speelt Wie worden geadresseerd Grondwet, EVRM Privacy, communicatiegeheim Beperking nodig in democratische samenleving Telecomwet Verkeers- en locatie (vaak afkomstig van sensoren), spyware, cookies, spam, telemarketing etc. Wet geneeskundige Behandelingsovereenkomst (wordt wkkgz) WOB WvSr/WvSv AWRijksbelastingen Algemene Wet Bestuursrecht 19 Betrokkene Degene op wie gegevens betrekking hebben Natuurlijke persoon Verantwoordelijke Heeft zeggenschap over doel en wijze verwerking Natuurlijke persoon, rechtspersoon of bestuursorgaan Bewerker Bewerkt gegevens tbv verantwoordelijke CBP College Bescherming persoonsgegevens Toezichthouder met betrekking tot verwerking persoonsgegevens FG Functionaris voor de gegevensbescherming 20 5
Bijzondere gegevens 21 22 Paar dingen om op te letten CBP: Vrijstellingen Abonnementen uitgevers van publicaties, hoeven niet te melden, maar ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is Wetenschappelijk onderzoek en statistiek wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden Communicatiebestanden verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. Netwerksystemen - wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer 23 CBP: Handreiking-vrijstellingsbesluit https://cbpweb.nl/nl/contact-met-hetcbp/melden/handreiking-vrijstellingsbesluit-wbp 24 6
DANS 25 26 https://cbpweb.nl/nl/wetenschappelijk-onderzoek-enstatistiek DANS: Gebruiksvoorwaarden KNAW Persoonlijk gebruik Een gebruiker mag de dataset alleen voor persoonlijk gebruik downloaden Bibliografische referentie van de dataset Wanneer in publicaties gebruik gemaakt wordt van datasets afkomstig uit EASY moet daar met een bibliografische referentie naar verwezen worden Publicaties gebaseerd op de dataset DANS verzoekt elke gebruiker om de bibliografische informatie over alle publicaties (officieel, grijs of in welke vorm ook) waarbij gebruik is gemaakt van datasets uit EASY aan DANS door te geven via info@dans.knaw.nl. DANS zorgt dan voor opname van die gegevens in EASY Persoonsgegevens Voor datasets met persoonsgegevens volgens de Wet Bescherming Persoonsgegevens (WBP) gelden speciale beperkingen. Deze data zijn daarom in de praktijk niet via EASY raadpleegbaar. Ze kunnen wel, onder strikte voorwaarden, voor wetenschappelijk onderzoek ter beschikking worden gesteld. De gebruiker heeft dan altijd de plicht om de vertrouwelijkheid van de data te waarborgen, óók wanneer eventuele koppeling van op zichzelf anonieme gegevens zou kunnen leiden tot identificatie van personen 27 28 7
Drie benaderingen 29 30 Negatief Positief Reëel = van het recht mag t nooit = van het recht mag het altijd = het recht maakt het mogelijk Contact 31 32 Dank U voor Uw aandacht 8