Privacy aspecten van apps

Privacy aspecten van apps mr. Peter van der Veen Senior juridisch adviseur e: [email protected] t : @pvdveee

Over Considerati

•  Considerati is een juridisch adviesbureau gespecialiseerd in ICT-recht en beleid •  Het team van Considerati bestaat uit experts op het gebied van: privacy, cybersecurity, ISP aansprakelijkheid, ecommerce, auteursrecht en nieuwe technologieën •  Winnaar HP-IAPP Privacy Innovation Award 2013 voor online platform ‘www.privacychecker.eu’

Technologie en recht

Snelle technologische ontwikkelingen •  •  •  • 

Toepassing technologie in de praktijk

Algemene kaders Vaak open normen Weinig jurisprudentie (behalve octrooirecht) Vaak discussie mogelijk

Maatschappelijke opvattingen

Beleidsvorming

Wet- en regelgeving •  Vaste kaders •  Weinig discussie mogelijk

Privacy aspecten van apps: Waar hebben we het over?

Privacy

Impact

•  Grondrecht op respect voor persoonlijke levenssfeer

•  Persoonlijke sfeer wordt (deels) opzij gezet t.b.v. ander belang

•  Omvat de bescherming van persoonsgegevens •  En meer...

•  Dit heeft weerslag op alle betrokkenen, positief en negatief

Apps •  Technische aspecten •  Onderzoek privacyrisico’s •  Inventariseren van gegevensverwerkingen •  Juridische onderbouwing

Inzet apps in de overheidsdienst

Automatisering •  Niet zomaar automatisering proces A bij dienst B door ICT #C. •  Complex ecosysteem

Interacties •  Verbonden met internet? •  Communicatie met collega’s? •  Communicatie met betrokkene? •  Black box?

Mobiel •  Techniek is 1-0, gebruik in verschillende contexten •  Laagdrempelig, Makkelijk •  Niet informeel in dit geval •  Niet simpel in dit geval

Belangrijk om te weten

• 

Privacy is subjectief en sterk context gebonden

• 

Veiligheid klanten, consumentenbescherming, waarborg burger vs. overheidshandelingen zijn in de praktijk de drie belangrijkste drijfveren (doelen) van privacybeleid

• 

Wettelijke taak is belangrijke grondslag, maar niet voldoende voor privacy compliance

Een app inzetten, mag dat?

•  Meestal geen probleem als u zich goed voorbereid, duidelijk bent naar uw omgeving en gezond verstand gebruikt •  Normen verschillen per context

Belangrijkste toetsingskader is Wbp Logica van de Wbp:

Hebben we een grondslag?

Wat willen we gaan doen?

Gerechtvaardigd doel

Hoe gaan we zorgvuldig om met de gegevens?

Materiële eisen Wbp

Overwegingen komen vaak neer op:

Effectiviteit •  (Hoe) Werkt mijn product? •  Is de dienst effectief?

Proportionaliteit

Subsidiariteit

•  Weegt het belang van oplossen mijn probleem op tegen nadelen?

•  Zijn er minder ingrijpende werkwijzen denkbaar?

•  Begrijpelijke uitleg naar publiek, klanten, toezichthouder, én de boekhouder

•  Kan ik risicobeperkende maatregelen nemen?

Verscherpt toezicht op mobiele apps

College bescherming persoonsgegevens

Europa: Data Protectie Verordening en Artikel 29 Werkgroep

Maatschappelijke Organisaties

Waarom?

Toename dataverwerking leidt tot bezorgdheid publiek

Te weinig oog voor menselijke maat

Behoefte aan meer controle en toezicht op gegevensverwerkingen neemt toe

Risico’s

Toetsingskader: Materiële eisen Wbp

• 

Verzamel  niet  meer  gegevens  dan  nodig  (ar2kel  11  Wbp)  

• 

Zorg  dat  de  gegevens  toereikend  en  correct  zijn  (ar2kel  11  Wbp)  

• 

Zorg  dat  de  gegevens  veilig  zijn  (ar2kel  13  Wbp)!!!  

• 

Bewaar  de  gegevens  niet  langer  dan  nodig  (ar2kel  10  Wbp)  

• 

Wees  open  en  transparant  (ar2kel  27  e.v.  Wbp)  

• 

Zorg  voor  juiste  procedures  voor  betrokkenen    

NB: Normen waaraan je toetst zijn open en context-afhankelijk!

    Vereist  belangenafweging,  verantwoording  van  keuzes.    

Aanvullende normen mogelijk van toepassing

• 

Bijzondere  wetgeving:  bijv.  financiële  sector,  telecomsector,  poli2e  &  jus22e  

• 

Ethische  codes  en  tuchtrecht:  bijvoorbeeld  beroepsgeheim,  arts,  advocaat  

• 

Sectorale  wet-­‐  en  regelgeving:  WMO,  BSN    

• 

Buitenlands  recht?    

• 

Met  betrekking  tot  de  gegevens  die  u  mag  verwerken  en  onder  welke  voorwaarden  

Vertalen naar praktijk: Welke gegevens?

• 

NAW  

• 

Loca2e?  

• 

Kinderen,  rela2es  

• 

Zorg,  Medisch  

• 

BSN  

• 

Inkomen  &  Financiën  

• 

En  meer......    Kenteken?  Waterverbruik?

Willekeurig?

98238347

Identificerend !

98238347

Wat levert privacy check op?

Bewustwording intern •  Welke activiteiten hebben een privacy impact? •  Inzicht in het nut van privacybeleid + naleven daarvan •  Vanwege de open normen is deze stap nodig om compliant te zijn

Inventarisatie risico’s

Externe verantwoording

•  Privacy risico’s op een rij

•  Toezichthouder vereist dit

•  •  •  • 

•  Klanten willen dit weten •  Data subjecten hebben recht op inzage •  Basis voor (crisis)communicatie!

Inzicht in alle data-stromen Risicobeperkende mogelijkheden Basis voor privacybeleid Basis voor compliance

Conclusies:

Informeren

Verzeker je van een grondslag

Verantwoordelijkheid

Onze ervaring met privacykaders bij inzet apps

•  Administratieve last? Ja, dit proces kost tijd Maar… •  •  •  •  •  • 

Privacy kaders toepassen: Het is goed te doen Verantwoordelijkheden duidelijk, meer controle Betere sturing gebruiker, samenwerkingspartners Vermijd kapitaalvernietiging: niet inzetbare ICT Beperk weerstand tegen je project Interactie met toezichthouder verbetert

Contactgegevens

Contact Peter van der Veen + 31 6 34 97 50 24 + 31 20 737 00 69 [email protected] Twitter: @pvdveee

Bezoekadres Meeuwenlaan 106 F 1021 JL Amsterdam www.considerati.com