Privacy intro at SETUP's "16.8 miljoen Nederlanders in één verjaardagskalender" sprint

Transcript

1. ann wuyts UX at @vintfalken - keek.be privacy voor 16.8

   miljoen Nederlanders in één verjaardagskalender? Utrecht, maart 2014 Voor setup.nl / @SETUPutrecht

2. privacy = breed privacy gaat over meer dan alleen “je

   data” persoonsgegevens lichaam en woning familie en gezinsleven communicatie Privacywet oa. Wet bescherming persoonsgegevens (NL, Wbp, 2001) – Uitv Directive 95/46/EC (EU, binnenkort de GDPR) - Uitv “No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks.” - Universal Declaration of Human Rights, Article 12 ann wuyts UX at @vintfalken - keek.be privacy recht

3. CBPL (be) Commissie voor de Bescherming van de Persoonlijke Levenssfeer

   CBP (nl) Centrum Bescherming Persoonsgegevens Verwerking persoonsgegevens? à Aangifteplicht ann wuyts UX at @vintfalken - keek.be (verplicht melding te doen vóór je met verwerken begint, en dus ook voordat je gegevens gaat verzamelen – vrijstellingen zijn mogelijk: administratie, ledenlijsten, marketing, .. )

4. ann wuyts UX at @vintfalken - keek.be persoonsgegeven elk gegeven

   betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Geschreven tekst, ook beeld & geluid Persoon = levend Betreffende hangt vaak af van de context Objectgevens of persoonsgegevens? (bv nummerplaat) Direct identificeerbaar (bv naam + geboortedatum + woonplaats) Indirect identificieerbare gegevens Unieke biometrische gegevens = persoonsgegeven (bv vingerafdruk, DNA)

5. ann wuyts UX at @vintfalken - keek.be nn@ persoonlijke emailaddressen

   een e-mailadres is (vaak) een persoonsgegeven Een e-mailadres is weliswaar (vaak) een persoonsgegeven maar niet een persoonsgegeven van gevoelige aard. Het is een minder publiek gegeven dan een gewoon adres. “Dat betekent enerzijds dat het minder gemakkelijk te achterhalen is en de bekendheid daarvan in hoge mate afhangt van bekendmaking door de persoon die dat adres aanhoudt. Anderzijds betekent dat dat aan een e-mailadres ook na bekendmaking een zeker vertrouwelijk karakter niet kan worden ontzegd. Ontdekking van een e-mailadres dat verborgen had moeten blijven, heeft evenwel in het algemeen minder ingrijpende gevolgen dan ontdekking van een reëel adres. Iemand kan immers meestal relatief gemakkelijk van e-mailadres veranderen zonder sporen na te laten en zonder al te veel kosten of nadelige gevolgen. “ Jurisprudentie Gerechtshof Amsterdam 18 juli 2002, LJN: AE5514 (XS4ALL vs AB.FAB , een e-DM (email direct marketing) bedrijf.

6. ann wuyts UX at @vintfalken - keek.be Identificeerbaar evolueert Een

   gegeven dat NU nog "redelijkerwijs niet identificeerbaar" is omdat identificatie een disproportionele aanwending van geld en middelen zou vergen (geen persoonlijke gegevens), kan met betere technologie toch een persoonsgegeven worden omdat de identificatie makkelijker is geworden.

7. ann wuyts UX at @vintfalken - keek.be maatregelen Geen persoonlijke

   gegevens wanneer er maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van individuele natuurlijke personen redelijkerwijs wordt uitgesloten Pseudonimisatie vs anonimisatie technieken – bv gegevenscodering met sleutels bij wetenschappelijk onderzoek – verwijderen begin- & eindstuk route data MAAR.. . (verdere info: Article 29 Working Party - Opinion 05/2014 "Anonymisation Techniques onto the web”)

8. ann wuyts UX at @vintfalken - keek.be toestemming De betreffende

   persoon moet toestemming hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf geïnformeerd worden over opname in het bestand… . scrapen? Bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden geïnformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. (Niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden.) + informatieplicht (soms niet als het té tijdrovend is adres te achterhalen) + databankenrecht (Directive 96/9/EG – 15 jaar na voltooiing. Substantiele wijziging => restart count.) + auteursrecht (fotos)

9. ann wuyts UX at @vintfalken - keek.be (her)publicatie online “

   Maar deze gegevens stonden reeds online ! ” Foto’s en persoonlijke gegevens die reeds op het internet staan mogen enkel mits toestemming hergebruikt worden, ook al zijn deze reeds openbaar gemaakt. Je mag deze niet zomaar elders op het internet plaatsen. De gegevens worden dan namelijk in een andere context gebruikt en voor een ander doel. (verdere info: cpbweb.nl)

10. ann wuyts UX at @vintfalken - keek.be inzage Personen die

    in een bestand zijn opgenomen hebben het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden.

11. ann wuyts UX at @vintfalken - keek.be beveilingsplicht Technisch &

    organisatorisch

12. ann wuyts UX at @vintfalken - keek.be gevoelige gegevens Die

    informatie verschaffen over iemands: godsdienst of levensovertuiging / ras / politieke gezindheid / gezondheid / seksuele leven / lidmaatschap van een vakvereniging / strafrechtelijke persoonsgegevens Context is belangrijk (maaltijdvoorkeur, ledenlijst, ..), en wat met namen? (bv probeer niet hier etnische afkomst uit af te leiden).

13. ann wuyts UX at @vintfalken - keek.be bij twijfel.. CPB

    •  Wet bescherming persoonsgegevens (Wbp) nader toegelicht https://cbpweb.nl/nl/over-privacy/wetten/wbp-naslag •  FAQ persoonsgevens op het internet https://cbpweb.nl/nl/onderwerpen/internet-telefoon-tv/persoonsgegevens-op-internet Article 29 Working Party •  Opinions and recommendations http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm + gebruik je gezond verstand, én de minimale hoeveelheid data. (Ook interessant: lobbyplag.eu, bof.nl, privacyfirst.nl & privacycommission.be)

14. ann wuyts UX at @vintfalken - keek.be Tenslotte, nog wat

    jurisprudentie.. Als de Kerstman dit mag ? ;-) (Al kan het geargumenteerd worden dat dit manuele verwerking is, als hij zijn boek nog niet geupgrade heeft naar big data / geautomatiseerde verwerking mits laptop voor zijn cadeau ideetjes.) THX. En nu, on with the data.. !