Dienst Uitvoering Onderwijs (DUO)

Dienst Uitvoering Onderwijs (DUO) Privacytoezicht in de praktijk

Aramis Jean Pierre Functionaris gegevensbescherming (FG) DUO/OCW [email protected]

Functionaris voor de gegevensbescherming (FG)

2

Nationaal Privacy Event 18-06-2015

3


Privacy staat ons toe te controleren wie, wanneer, over welke informatie over ons kan beschikken. Dat is namelijk een keuze die bij de betrokkenen hoort te liggen, niet bij een derde.

4


10 redenen • • • • • • • • • •

Beperking overheidsmacht en commerciële organisaties Respect voor het individu Reputatie management Handhaven sociale grenzen Vertrouwen Controle over je eigen leven Vrijheid van meningsuiting en gedachte Vrijheid bij sociale en politieke activiteiten Mogelijkheid om te veranderen en een tweede kans Niet hoeven uit te leggen of jezelf te verantwoorden

Daniel J. Solove, Professor of Law at George Washington University Law School 5


Eén van de belangrijkste taken van de FG:

Bewustwording!

6


Functionaris voor de gegevensbescherming DUO

7


Wettelijke verplichting tot aanstelling FG Wet op het onderwijstoezicht: Art. 24g tweede lid: Basisregister Onderwijs Art. 24j tweede lid: Meldingenregister relatief verzuim Art. 24s tweede lid: Diplomaregister Art. 6 lid 4 Regeling Inburgering

8


Formele vereisten op grond van Wbp (artt. 62 /64) • Een organisatie kan een FG aanstellen • Een natuurlijke persoon die voor de vervulling van zijn taak over toereikende kennis beschikt en voldoende betrouwbaar kan worden geacht • Aangemeld bij het CBP en opgenomen in het openbare register

• Beschikt over bevoegdheden die gelijkwaardig zijn aan de bevoegdheden zoals geregeld in Titel 5.2 van de Algemene wet bestuursrecht. M.a.w. Regeling toezichtsbevoegdheden functionarissen voor de gegevensbescherming OCW 2010

9


Bescherming van de persoonlijke levenssfeer • Artikel 10 lid van de Grondwet; • Artikel 8 van het Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM); • Artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR)

10


Wet bescherming persoonsgegevens (Wbp) Algemene Verordening Gegevensbescherming (AVG) Wet Meldplicht Datalekken

11


Criteria art. 15 Wbp • In overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt (art. 6) • Welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld (art. 7) • Verwerkingsgronden: toestemming, overeenkomst, vitaal belang, vervulling publiekrechtelijke taak of behartiging gerechtvaardigd belang (art. 8) • Geen verdere verwerking indien onverenigbaar met oorspronkelijke doeleinden (art. 9) • Proportionaliteit / subsidiariteit (art. 11)

12


Maatregelen • • • • • • • •

13

Geheimhoudingsplicht (art. 12) Bewerker en bewerkersovereenkomst (art. 14) Inrichting technische en organisatorische maatregelen (art. 13) Inrichting meldingenregister en meldingenprocedure (artt. 27 en 30) Informatieverstrekking aan betrokkene (art. 33) Inzage (art. 35) Gegevens verbeteren, aanvullen, wijzigen, verwijderen of afschermen (art. 36) Mogelijkheden voor verzet (art. 40)


Algemene Verordening Gegevensbescherming (AVG)

14


Audit

EU

CIO

Verantwo ordelijke

Integriteit Privacy officers

OCW e.a

Betrokkene

Klachten HRM

FG

Archief

Inkoop beleid

analisten

CBP Manage ment

BVA

ICT 15

Belangen partijen

Medewerkers Nationaal Privacy Event 18-06-2015

AR

Toezichtsinstrumentarium • Privacymonitor t.b.v. huidige Wbp vereisten • Rondetafelconferenties ter voorbereiding van de AVG • Interne procedures en procesbeschrijvingen • Project Anonimiseringstool • Interne ontheffingsprocedure t.b.v. testen met persoonsgegevens

• Privacybeleid 16


Huidig effect AVG Privacy Impact Assessment (PIA) Wet Meldplicht Datalekken Right to forget (Google arrest)

17


Privacy Impact Assessment (PIA) Een PIA is een hulpmiddel om bij ontwikkeling van beleid, en de daarmee gepaard gaande wetgeving of bouw van ICT-systemen en aanleg van databestanden, privacyrisico’s op gestructureerde en heldere wijze in kaart te brengen. Toetsmodel / vragenlijst Richtinggevend en corrigerend Stimuleren bewustwording Per 1 september 2013 verplicht bij Rijksoverheden

18


Wet Meldplicht Datalekken 26 mei 2015 aangenomen EK Inwerkingtreding naar verwachting 1 januari 2016 Maximale boete per incident 810.000 Euro (geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht)

19


Right to forget Google mag sommige gegevens van gebruikers niet meer opslaan. Volgens het Europese Hof van Justitie hebben internetgebruikers soms “het recht om vergeten te worden” door Google. Links naar verouderde irrelevante informatie moeten daarom uit de zoekresultaten worden verwijderd. Volgens het Luxemburgse Hof heeft Google de privégegevens van internetgebruikers in beheer. De zaak tegen Google was aanhangig gemaakt door een Spanjaard. Hij had zijn huis via internet verkocht, maar zag nog steeds berichten daarover uit 1998 bij Google opduiken. De man verkocht destijds zijn huis omdat hij schulden had. Hij diende een klacht in bij het Spaanse bureau voor de bescherming van persoonsgegevens, die vervolgens een zaak aanspande tegen de Spaanse vestiging van Google.

Bron: WWW.NRC.NL, 13 mei 2014

20


Tenslotte "Ik zeg altijd tegen mensen die zeggen dat ze niets te verbergen hebben: 'Hier is een e-mailadres. Stuur me even al je wachtwoorden van je e-mailaccounts, niet alleen het nette werkaccount, maar die andere, zodat ik kan lezen wat ik wil lezen en er uit kan publiceren wat ik wil. Het is erg leeg gebleven in die mailbox."

Glenn Greenwald, Ted Talks, 15-10-2014

21


Dienst Uitvoering Onderwijs (DUO)

Recommend Documents