Cursus privacyrecht Jeroen Naves 7 september 2017
Juridisch kader 1. Relationele privacy: eer en goede naam (grondwet/evrm), portretrecht (Auteurswet), gezinsleven (EVRM) 2. Communicatie-privacy: briefgeheim (grondwet) 3. Informationele privacy: persoonsgegevens (Wbp/GDPR)
Programma 1. Het begrip "persoonsgegeven" 2. Rollen binnen het privacyrecht 3. Beginselen van het privacyrecht 4. Belangrijkste wijzigingen onder de GDPR 5. Enkele voorbeelden: a. compliant naar de cloud b. persoonsgegevens in een blockchain
1. Het begrip "persoonsgegeven" "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychologische, economische, culturele of sociale identiteit van die natuurlijke persoon" (artikel 4 lid 1 GDPR)
1. Het begrip "persoonsgegeven"
1. Het begrip "persoonsgegeven"
1. Het begrip "persoonsgegeven" Kan de identiteit redelijkerwijs, zonder onevenredige inspanning worden vastgesteld? identificeerbaar of individualiseerbaar? Een intern (juridisch) advies over een te nemen beslissing is als zodanig geen persoonsgegeven (HvJ 17 juli 2014, AB 2014/365) Advies artikel 29-werkgroep 4/2007, WP136 (persoonsgegevens) en 5/2015 (anonimiseringstechnieken)
2. Rollen binnen het privacyrecht
3. Beginselen van het privacyrecht (artikel 5 AVG) 1. "rechtmatigheid, behoorlijkheid en transparantie" 2. "doelbinding" 3. "minimale gegevensverwerking" 4. "juistheid" 5. "opslagbeperking" 6. "integriteit en vertrouwelijkheid"
3a. Rechtmatigheid (art. 6 GDPR) De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan: a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen; e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen; f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
3a. Toestemming (artikel 7 e.v. GDPR) Bewijslast rust op de verantwoordelijke Toestemming moet in eenvoudige bewoordingen worden gevraagd Toestemming moet dubbelzinnig worden gegeven ('vrije wil') Toestemming kan weer worden ingetrokken Advies artikel 29-werkgroep 15/2011, WP187 (toestemming)
3b. Doelbinding "Persoonsgegevens moeten worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt"
3c. Minimale gegevensverwerking "Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt "
3d. Juistheid "Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren "
3e. Opslagbeperking "Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is "
3f. Integriteit en vertrouwelijkheid "Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging "
4. Belangrijke wijzigingen onder de GDPR a) Introductie van "privacy by design" b) Verwerkersovereenkomsten c) Register van verwerkingsactiviteiten d) Meldplicht datalekken e) Gegevensbeschermingseffectbeoordeling (PIA) f) Functionaris voor gegevensbescherming g) Recht om vergeten te worden h) Recht op dataportabiliteit
4a. "Privacy by design" (artikel 25 GDPR)
4b. Verwerkersovereenkomst (artikel 28 GDPR) zie artikel 28 lid 3 GDPR
4c. Register van verwerkingsactiviteiten (artikel 30 GDPR) Bevat de volgende gegevens: a) de naam en contactgegevens verantwoordelijke b) de verwerkingsdoeleinden c) categorieën van betrokkenen en persoonsgegevens d) categorieën van partijen aan wie de gegevens worden verstrekt e) doorgiften aan derde landen f) termijnen van verwijdering g) beveiligingsmaatregelen niet van toepassing op bedrijven kleiner dan 250 werknemers, tenzij het waarschijnlijk is dat de verwerking een risico inhoudt voor de rechten en vrijhouden van betrokkenen, de verwerking niet incidenteel is of sprake is van verwerking van bijzondere persoonsgegevens (lid 5)
4d. Meldplicht datalekken (artikel 33 en 34 GDPR) Binnen 72 uur aan de AP melden, tenzij "het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen" Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, melden aan de betrokkene potentiële boetes worden hoger (nu 820.000,-, straks 20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding) en geen formele drempels meer
4e. Gegevensbeschermingseffectbeoordeling (artikel 35 GDPR) "Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden. "
4f. Functionaris gegevensbescherming (artikel 37 e.v. GDPR) Is verplicht: a) wanneer de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, b) wanneer de verwerkingsverantwoordelijk of de verwerker hoofdzakelijk is belast met verwerkingen die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vergen, of c) de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk belast is met grootschalige verwerking van bijzondere categorieën persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 van de verordening. Guidelines on Data Protection Officers bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.
4g. Recht om vergeten te worden (artikel 17 GDPR) indien persoonsgegevens niet meer nodig zijn voor de doelen waar zij zijn verzameld toestemming wordt ingetrokken betrokkene maakt succesvol bezwaar de persoonsgegevens zijn onrechtmatig verwerkt
4h. Recht op dataportabiliteit (artikel 20 GDPR) Recht op verstrekking van persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm, indien: a) verwerking berust op toestemming of een overeenkomst; b) de verwerking op geautomatiseerde wijze plaatsvindt.
5a. Compliant naar de cloud
"Artikel 76 Wbp Persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na hun doorgifte te worden verwerkt, worden slechts naar een land buiten de Europese Unie doorgegeven indien, onverminderd de naleving van de wet, dat land een passend beschermingsniveau waarborgt." (vgl. artikel 46 en 47 GDPR)
5b. Persoonsgegevens in een blockchain
5b. Persoonsgegevens in een blockchain of 9#$%^@D FAA%#!?
Vragen?