Randvoorwaarden Privacy & Security Iris Koetsenruijter 17 juni 2015
Wet bescherming persoonsgegevens 2
Wat is een persoonsgegeven? Artikel 1 sub a Wbp: persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Geïdentificeerd: natuurlijke persoon uniek te onderscheiden van andere personen op basis van de gegevens (bijv. NAW, maar ook to single out ). Identificeerbaar: mogelijkheid tot identificatie op basis van beschikbare gegevens en/of mogelijkheden verantwoordelijke. 3
Op wie is de wet van toepassing? Artikel 1 sub d: de verantwoordelijke verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt Artikel 1 sub e: de bewerker bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen 4
De achtergrond van de Wet bescherming persoonsgegevens 5
Logica van de Wbp 6
Logica van de Wbp Verwerk geen persoonsgegevens zonder duidelijk doel (artikel 7 Wbp) Zorg dat het doel gebaseerd is op een legitieme grondslag (artikel 8 Wbp): a) ondubbelzinnige toestemming b) noodzakelijk voor uitvoering contract met betrokkene c) wettelijke plicht d) vrijwaring vitaal belang betrokkene e) noodzakelijk voor goede uitoefening publiekrechtelijke taak f) gerechtvaardigd belang van de betrokkene Gebruik de gegevens alleen voor dit doel, of verenigbare doelen (artikel 7 jo. art 9 Wbp) Verwerk geen bijzondere persoonsgegevens, tenzij (artikel 16 Wbp) 7
Ondubbelzinnige toestemming (opt-in) als grondslag Eisen aan de toestemming: Moet vrij gegeven zijn (er mag geen afhankelijkheidsrelatie zijn); Op informatie berusten (men moet weten waarvoor men toestemming geeft); Afgebakend zijn (beperkt tot de verwerkingen genoemd in de informatie). Toestemming moet voorafgaand aan de verwerking worden gegeven Er mag geen twijfel bestaan over de verleende toestemming. Bewijslast voor verkregen toestemming ligt bij de verantwoordelijke. Vorm: Toestemming kan geuit worden in woord, schrift of gedrag De toestemming moet voldoende robuust zijn om de twijfel weg te nemen Implied consent is niet ondubbelzinnig. De toezichthouders hebben aanvullende eisen geformuleerd (bijv. instemmen met algemene voorwaarden niet voldoende). 8
Materiële eisen Wbp Verzamel niet meer gegevens dan nodig (artikel 11 Wbp) Zorg dat de gegevens veilig zijn (artikel 13 Wbp) Bewaar de gegevens niet langer dan nodig (artikel 10 Wbp) Wees open en transparant (artikel 27 e.v. Wbp) 9
Beveiliging van persoonsgegevens Adequate beveiliging van persoonsgegevens (artikel 13 Wbp) Sluit aan bij erkende standaarden (bijv. ISO 27001 en 27002) Plan, Do, Check, Act (Deming circle) Technische, fysieke en organisatorische maatregelen Sluit bewerkersovereenkomsten met je bewerkers 10
Cookiewet 11
Cookiewet: toestemming en informatieplicht Toestemming Vrije, specifieke en op informatie berustende wilsuiting Partijen mogen zelf bepalen op welke wijze de toestemming wordt verkregen en informatie wordt verstrekt. Voor het verkrijgen van een adequate toestemming is vereist dat de benodigde informatie gemakkelijk vindbaar is en tevens gemakkelijk te begrijpen moet zijn. Dit kan afhankelijk zijn van de doelgroep die men tracht te bereiken. 12
Cookiewet: toestemming en informatieplicht Informatieplicht De volgende informatie moet worden gegeven in de cookie policy: de soorten persoonsgegevens die via de cookies worden verzameld en verwerkt, de doeleinden van de gegevensverwerking: de categorieën bedrijven aan wie u de gegevens verstrekt: de bewaartermijn: zoveel nadere informatie als nodig is om uw bezoekers een eerlijk beeld te geven van de gegevensverwerking. Deze informatie moet altijd op een direct zichtbare plek getoond worden Informeren in een bij de doelgroep aansluitend taalgebruik. Informeren door middel van een globale verwijzing naar algemene voorwaarden, privacy en/of permission statements is onvoldoende. 13
3 uitzonderingen op de toestemming- en informatieplicht In de volgende drie gevallen hoeft niet aan de eis van toestemming en informatie te worden voldaan: Technisch noodzakelijke functies -> bijv. loadbalancing cookies. Functionele cookies: deze cookies zijn nodig omdat de gevraagde dienst zonder het gebruik van deze cookies niet of minder goed functioneert. Bijv. afrekening bij web shop, taalinstellingen, valuta instellingen. Zuiver analytische cookies: analytische cookies die gebruik van de app analyseren en in kaart brengen, zodat kwaliteit en/of effectiviteit kan worden verbeterd affiliate cookies: om bij te houden welke advertentie leidt tot aankoop van een bepaald product, zodat degene die deze advertentie heeft getoond (de affialiate) daarvoor een bepaalde beloning kan ontvangen van de adverteerder. NB: alleen uitzondering indien de cookie slechts geen of slechts geringe gevolgen voor de persoonlijke levenssfeer van de gebruiker heeft. 14
Voorbeeld juiste toestemming 15
TomTom App Duidelijke vorm van toestemming vragen na installatie van de app en alvorens gegevens te gaan verwerken 16
Voorbeelden onjuiste toestemming 17
Verkeerplaza Niet specifiek genoeg Geen privacy policy 18
Flitsmeister Niet specifiek genoeg Privacy policy is aanwezig, maar is niet specifiek genoeg m.b.t. Doelen Gegevens Gegevensdeling met derden Bewaartermijnen 19
Anonimisering en pseudonimisering 20
Anonimisering Anonieme gegevens = gegevens waarvan de persoon niet geïdentificeerd kan worden door de verantwoordelijke of een derde, rekening houdend met alle aannemelijke technieken die gebruikt kunnen worden om iemand te identificeren. Er bestaan meerdere technieken voor anonimisering, de Wbp schrijft echter geen specifieke techniek voor. De optimale keuze dient per casus te worden bepaald. 21
Anonimisering Bij volledige anonimisering wordt voldaan aan de volgende 3 criteria: 1. het is niet meer mogelijk een individu uit een dataset te halen 2. het is niet meer mogelijk om de gegevens te linken aan een individu 3. er kan geen informatie over een individu worden afgeleid Indien niet aan 1 van deze criteria kan worden voldaan: breng de risico s van identificatie in kaart! 22
Pseudonimisering Pseudonimisering = het vervangen van direct identificerende kenmerken (naam, voornaam etc.) door een niet-identificerend gegeven (XYZ of 123 etc.) Maakt het mogelijk extra gegevens te verwerken met betrekking tot betrokkene, zonder dat zijn identiteit bekend is. Reduceert de mogelijkheid om de dataset te linken aan het individu -> nuttige beveiligingsmaatregel maar geen methode van anonimisering. Verschil met anonimisering is dat het voor de verantwoordelijke mogelijk is om het proces weer om te draaien (de verantwoordelijke heeft de 'sleutel'). 23
Vragen? 24