Informatieavond Algemene verordening gegevensbescherming op 21 september 2016
Een gezelschap van werkgroep leden en geïnteresseerde GroenLinksers is naar het Landelijk Bureau in Utrecht gekomen voor een boeiende presentatie van David Korteweg, jurist voor Bits of Freedom.
Het onderwerp van de informatieavond betreft, de Algemene verordening Gegevensbescherming (AVG) in het Engels, de General Data Protection Regulation (de GDPR).
Bits of Freedom is een burgerrechtenorganisatie welke bestaat uit 8 medewerkers en vele vrijwilligers. Zij is politiek onafhankelijk en zet zich voornamelijk in voor de bescherming van de digitale burgerrechten. Vooral de 3 hoofdpijlers communicatievrijheid, privacy en veiligheid zijn daarbij hun speerpunten. De financiering is onafhankelijk van subsidies maar bestaat voornamelijk uit fondsen, donaties en (selectieve) bedrijfssupporters.
De privacy van burgers is digitaal een steeds groter onderwerp van gesprek op alle politieke agenda’s. De privacy van mensen is grondwettelijk geregeld in diverse wet- en regelgeving. In Nederland in artikel 10 en 13 van de Grondwet. In Europa in artikel 8 van het Europees Verdrag voor de Rechten van de Mens en tevens in artikel 7 en 8 van het Handvest van de grondrechten van de Europese Unie.
Artikel 8 Handvest EU:
1. Eenieder heeft recht op bescherming van zijn persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan
3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd.
Ondanks vele lobby’s van de grote internationale bedrijven is de nieuwe verordening nu definitief op 25 mei 2016 in werking getreden. De lidstaten van de Europese Unie hebben tot 25 mei 2018 de tijd om volledig aan de verordening te voldoen. Belangrijk daarbij is, gezien de internationale discussie, de reikwijdte van de AVG. Deze geldt voor alle bedrijven gevestigd in de EU, alle bedrijven welke diensten/producten aanbieden in de EU en voor bedrijven welke burgers volgen in de EU.
In navolging van de afkondiging van de AVG is het nu nog wachten op de E-privacyrichtlijn. Afwachten daarbij is vooral of dit ook een verordening wordt of dat het een richtlijn blijft. Een verordening zou de voorkeur hebben voor Bits of Freedom en veel privacy voorvechters. In een verordening is minder “speelruimte” voor de individuele lidstaten. Een verordening is in zijn geheel verbindend en rechtstreeks van toepassing in alle lidstaten, terwijl een richtlijn alleen verbindend is ten aanzien van het te bereiken resultaat. Elke lidstaat maakt daarvoor afzonderlijk zijn eigen regelgeving.
Uitgezonderd van de nieuwe AVG zijn: nationale veiligheid, opsporing en persoonlijk/huishoudelijk gebruik van data.
In de presentatie wordt stilgestaan bij voorbeelden van grenzen die bits of freedom bewaakt en waar zij strijdt om de gevolgen van deze schendingen bij de burgers en overheid onder de aandacht te brengen. Dit gaat over voorbeelden als tracking (via websites) maar ook wifi-tracking, zoals de zaak waar winkels recent mee in het nieuws kwamen waarbij zij niet alleen klanten in de winkels tracken maar ook winkelend publiek buiten de winkel en omwonenden.
Het dominante verdienmodel voor Data verzameling voor commerciële bedrijven ligt in het in kaart brengen, voorspellen en beïnvloeden van gedrag. Dit dan voornamelijk door het aanbieden van advertenties en eigen producten. Er volgt over dit onderwerp ook wat discussie op de bijeenkomst. Vooral de risico’s van beïnvloeding van de burgers is een aandachtspunt. De selectieve beïnvloeding van burgers gaat in tegen de vrijheid van nieuwsgaring, bijvoorbeeld bij commerciële nieuwsites etc.
Voor overheden ligt het hoofddoel om big data te verzamelen ongeveer gelijk, het in kaart brengen, voorspellen en beïnvloeden van gedrag. Zij doen dit echter voornamelijk vanuit de beleidsdoeleinden opsporing, fraude, risico’s in kaart brengen en onderzoek. Maar moet alles wat kan?
Privacy is een fundament voor zelfontplooiing.
Bedreigingen van de data analyse die tegenwoordig wordt uitgevoerd zijn: machtassymetrie en informatieassymetrie, autonomie wordt aangetast, oneerlijke behandeling en uitsluiting. Denk aan verzekeraars die op basis van bepaalde profilering van data goedkopere premies verstrekken. Dit ondermijnt het solidariteitsprincipe van verzekeringen en zorgt uiteindelijk voor uitsluiting. Of gemeentes die enkel op basis van profilering van data controles uitvoeren bij bepaalde bevolkingsgroepen of wijken. Zo passeren nog meer voorbeelden de revue.
Inhoudelijke onderwerpen in de AVG
Stapsgewijs neemt de presentatie de bijeenkomst mee in de definities zoals deze in de AVG worden gehanteerd. Links en rechts bevat de AVG wel wat scherpere stellingen dan de huidige WBP.
Belangrijk is dat bij verwerking van persoonsgegevens (alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon) de kernwoorden zijn: Rechtvaardig, eerlijk en transparant. Daarvoor geldt aantoning van -rechtmatigheid, -doelbinding, -dataminimalisatie, -juistheid, -opslagbeperking, -transparantie en -integriteit & vertrouwelijkheid. Er geldt altijd een verantwoordingsplicht. De rechtmatige grondslag kan worden verkregen door middel van: -toestemming (vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting), - overeenkomst, wettelijke verplichting, algemeen belang/publieke taak, vitaal belang, gerechtvaardigd belang.
Bij toestemming is nu wel duidelijk geworden dat zogenaamde Opt-out GEEN toestemming is volgens deze definitie. Transparant; dus in begrijpelijke, gemakkelijke en toegankelijke vorm en in eenvoudige taal. Vrij geeft bijvoorbeeld aan dat bij een duidelijke wanverhouding deze toestemming nooit vrij is. Bijvoorbeeld een arbeidsrelatie, overheid, uitvoering overeenkomst/levering dienst afhankelijk van niet noodzakelijke toestemming. Deze zijn dus NIET vrij verkregen en tellen niet als toestemming.
Bijzondere persoonsgegevens zijn in de AVG ook wederom zwaarder aangewezen zoals dat ook in de huidige WBP al was. Hiervoor geldt NEE tenzij…. Bijzondere persoonsgegevens zijn; ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap vakbond, genetische gegevens*, biometrische gegevens*, gezondheidsgegevens*, seksueel gedrag of geaardheid. (*=bijkomende voorwaarden op nationaal niveau mogelijk)
Belangrijke rechten van een betrokkene in de AVG: Transparantie en informatie bij verzamelen, Inzagerecht, Rectificatie, Beperking/verzet, Recht op vergetelheid(right to be forgotten), Dataportabiliteit (overdraagbaarheid van persoonsgegevens, Profilering. Beperkingen mogelijk via nationale/EU wetgeving.
Wat is profilering: het evalueren van bepaalde persoonlijke aspecten met als doel analyseren/voorspellen. Denk aan beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie, verplaatsingen. Denk aan partijen als de arbeidsmarkt, verzekeraars, fabrikanten van smart-cars die uit deze gegevens veel informatie kunnen verzamelen. => De AVG regelt nu dat beslissingen die uitsluitend zijn gebaseerd op geautomatiseerde verwerking van gegevens, zoals profilering, niet zijn toegestaan wanneer voor betrokkenen daaraan rechtsgevolgen zijn verbonden of dat het hem in aanmerkelijke mate treft. Let op, het is wel een tenzij bepaling. De tenzij: met toestemming, met overeenkomst of via nationale/EU wetgeving!
Waarborgen ten aanzien van profilering, betrokkenen informeren over; bestaan van geautomatiseerde besluitvorming, onderliggende logica en het belang en de verwachte gevolgen voor betrokkene. Passende maatregelen (overeenkomst/toestemming) zijn recht op menselijke tussenkomst, recht om standpunt kenbaar te maken en het recht om besluit aan te vechten. Profilering mag niet op basis van bijzondere persoonsgegevens (uitzondering mogelijk).
Technische en organisatorische maatregelen in de AVG: -de verantwoordelijke, -Privacy bij design, -bewerkersovereenkomst, -passende beveiligingsmaatregelen, -Privacy Impact assessment, -Functionaris voor gegevensbescherming, -administratieplicht.
Een direct gevolg is de Meldplicht datalekken welke reeds is ingevoerd in Nederland. Inbreuk op de beveiliging (vernietiging, verlies, wijziging of ongeoorloofde verstrekking/toegang verwerkte gegevens. Melding aan toezichthouder <72uur na kennisneming. Melden bij betrokkende bij waarschijnlijk hoog risico.
Vervolgens wordt nog stil gestaan bij de doorgifte van data buiten de EU/EER. Dat uitsluitend mogelijk indien: -Besluit Europese commissie (safe harbour is doorgestreept, nu privacy shield=>ligt ook onder vuur), -middels EU Modelcontracten, -Goedgekeurde gedragscode, certificeringsmechanisme, bepalingen, -Binding Corporate Rules, -Uitzonderingen. Belangrijk is dat de basis altijd is dat er een onafhankelijke toezichthouder is, daarop Safe Harbour voornamelijk onderuit gehaald. Nationale toezichthouder Nederland is de Autoriteit Persoonsgegevens. Toezichthouder hoofdvestiging is verantwoordelijk leidend. Het coherentiemechanisme is van toepassing. Hiervoor is de Eurpean Data Protection Board in het leven geroepen. Uitspraken zijn bindend en boetes kunnen oplopen tot 10 mln euro / 2% wereldwijde omzet en 20 mln euro / 4% wereldwijde omzet.
De AVG geeft ook nog nationale speelruimte. Specifieke gevallen zijn: -arbeid, -journalistieke doeleinden, academische, artistieke of literaire uitdrukkingsvormen, -archivering, onderzoek, statistiek, -nationale identificatienummers, -geheimhoudingsplicht. Buiten de reikwijdte van dus o.a. nationale veiligheid & opsporing. Beperking art 23 AVG: nationale U wetgeving:- Algemeen belang.
De politiek is nu aan zet! Wordt de verordening door de lidstaten goed ingevoerd en vooral, welke nationale afwijkingen worden er in nieuwe wetten opgenomen? Bits of freedom volgt deze ontwikkelingen kritisch.
Een kleine waarschuwing volgt nog vanuit Bits of freedom, de “loopholes’ zoals zij deze zien. De profilering door overheid, welke rechten en verplichtingen? Nu start verder in Europa de lobby van alle kanten rondom de de ePrivacyrichtlijn. Deze gaat Europese richtlijnen opstellen rondom –vertrouwelijkheid van communicatie, Tracking, Internet of things (semi-intelligente systemen, koppelingen tussen alledaagse voorwerpen verbonden met netwerken, embedded systems)
Concluderend kan gesteld worden dat de presentatie zeer informatief en verhelderend was en de voorbeelden die op tafel kwamen waren leuk voor reflectie en discussie. De slides van de presentatie zijn opvraagbaar via de privacywerkgroep voor intern gebruik binnen GroenLinks. Meer informatie kan verkregen worden via de werkgroep of via de website van bits of freedom waar ook handige toolbox en apps in ontwikkeling zijn die je kunnen helpen met je beveiliging.
Geschreven door Janneke van de Laak