Juridische aspecten van, privacy in (wireless) sensor netwerk toepassingen
Workshop Wiscy sept. 2011 Bram D’hooghe – Legal Counsel Barco NV
Overzicht
1. Wat is privacy ? 2. Wettelijk Kader ivm Persoonsgegevens 3. Toepassing Wet verw. Persoonsgegevens 4. Concrete toepassing op Sensor networking
1. Wat is privacy?
Europees Verdrag rechten van de mens (EVRM) Art. 8: 1. Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. 2. […]
1. Wat is privacy? (vervolg) Art. 8: 1. […] 2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht TENZIJ: - Wettelijk voorzien (maw steeds parlementaire toets)
EN - Noodzakelijk in een democratische samenleving voor:
1. nationale veiligheid 2. openbare veiligheid 3. economisch welzijn van het land 4. voorkomen van wanordelijkheden / strafbare feiten 5. bescherming van de gezondheid of de goede zeden of 6. bescherming van de rechten en vrijheden.
1. Wat is privacy? (vervolg) Privacy is ook bevestigd in: - VN verdrag burger- en politieke rechten (1966) - EU verdrag van Lissabon 2009 - artikel 22 Belgische Grondwet
=> Privacy = RUIM BEGRIP => Zeer veel aandacht in EU / zeer zwaar “gebetonneerd” (maar persoonlijke nonchalence ….. )
=> Sensornetworking verzamelt gegevens => maw mogelijke collectie van Persoonsgegevens => Verwerking van Persoonsgegevens: => meest gereglementeerde onderdeel van “privcay”
2. Wettelijk Kader ivm Persoonsgegevens Europa Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. - Richtlijn is van toepassing ten opzichte van alle EU lidstaten - De EU lidstaten moeten elk deze regelgeving omzetten in hun nationale wetgeving => +/- zelfde regelgeving in heel EU.
2. Wettelijk Kader ivm Persoonsgegevens Europa Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. - Richtlijn is van toepassing ten opzichte van alle EU lidstaten - De EU lidstaten moeten elk deze regelgeving omzetten in hun nationale wetgeving => +/- zelfde regelgeving in heel EU.
België - Wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Privacywet) - Koninklijk Besluit van 13 februari 2001 ter uitvoering van de Wet van 8 december 1992 - Zeer getrouwe weergave van de Europse regelgeving
2. Wettelijk Kader ivm Persoonsgegevens (vervolg)
USA - Geen algemene privacy regelgeving, “sectoral approach” combinatie van regelgeving en zelf-regulatie (eg Safe Harbour principle). - Clinton adm.: "Framework for Global Electronic Commerce” “the private sector should lead, and companies should implement selfregulation in reaction to issues brought on by Internet technology.” - Enkel ad hoc regelgeving (voorbeelden): the Video Privacy Protection Act (1988) the Cable Television Protection and Competition Act (1992) the Massachusetts Data Privacy Regulations (2010) - US Supreme court: Privacy = “implicit constitutional right”
2. Wettelijk Kader ivm Persoonsgegevens (vervolg)
USA - Geen algemene privacy regelgeving, “sectoral approach” combinatie van regelgeving en zelf-regulatie (eg Safe Harbour principle). - Clinton adm.: "Framework for Global Electronic Commerce” “the private sector should lead, and companies should implement selfregulation in reaction to issues brought on by Internet technology.” - Enkel ad hoc regelgeving (voorbeelden): the Video Privacy Protection Act (1988) the Cable Television Protection and Competition Act (1992) the Massachusetts Data Privacy Regulations (2010) - US Supreme court: Privacy = “implicit constitutional right”
ROW Europese regelgeving is een toetssteen voor vele landen waar Privacy is gereglementeerd (!! Reglementering ≠ afdwingen !!)
3. Toepassing Wet verw. Persoonsgegevens 1. Definitie “Persoonsgegevens”: Iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan. Als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. Voorbeelden: foto's, radiografieën, video- en filmbeelden, klankopnames, vingerafdrukken, individuele gedragingen (incl. Coockies – zie Facebook), pincodes, bankrekeningnummer, telefoonnummers & -gesprekken ....
Dus niet: Bedrijfsinfo, technische gegevens, info niet mbt het individu, ...
3. Toepassing Wet verw. Persoonsgegevens (vervolg) OPGELET: VERBOD OP VERW. GEVOELIGE PERS. GEGEVENS - Raciale / ethnische afkomst - politieke opvattingen - godsdientsige / levenbeschouwelijke overtuiging - lidmaatschap vakvereniging - sexueel leven - gezondheid - rechtbankgeschillen - strafrechtelijke sfeer (veroordleing, verdenking, ...) Verbod wordt terzijde geschoven indien onder strikte voorwaarden van toezicht en gebruik !!
3. Toepassing Wet verw. Persoonsgegevens (vervolg) OPGELET: VERBOD OP VERW. GEVOELIGE PERS. GEGEVENS - Raciale / ethnische afkomst - politieke opvattingen - godsdientsige / levenbeschouwelijke overtuiging - lidmaatschap vakvereniging - sexueel leven - gezondheid - rechtbankgeschillen - strafrechtelijke sfeer (veroordleing, verdenking, ...) Verbod wordt terzijde geschoven indien onder strikte voorwaarden van toezicht en gebruik !! UITZ: verwerking van persoonsgegevens voor persoonlijke of huishoudelijke activiteiten / staatsveiligheid / Krijgsmacht / (Gerechtelijk) politie
3. Toepassing Wet verw. Persoonsgegevens (vervolg) 2. Definitie “Verwerking”:
elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens.
=> hoeft niet perse het aanleggen te zijn van een databank
3. Toepassing Wet verw. Persoonsgegevens (vervolg) 3. Verplichtingen voor de verwerker van de persoonsgegevens: 1° eerlijke en rechtmatige verwerking; 2° voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en verwerkt. 3° toereikend, terzake dienend en niet overmatig te zijn [...] 4° nauwkeurig te zijn en, zo nodig, te worden bijgewerkt [...]; 5° in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is [...]. 6° verwerking moet voldoende technische en organisatorische waarborgen bieden qua bescherming van de gegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens 7° Aangifte doen bij privacycommissie van de verwerking (tenzij uitzondering van KB vb VZW ledenadmin, loonadmin, toegangscontrole, beheer klanten & leveranciers, onderwijsinstellingen ivm admin leerlingen, ...)
3. Toepassing Wet verw. Persoonsgegevens (vervolg) 4. Rechten van de betrokkene: 1° verkrijgen van naam & contactgegevens houder gegevens 2° informatie over de doeleinden van de verwerking 3° informatie van het bestaan van een recht om zich op verzoek en kosteloos tegen de voorgenomen verwerking van hem betreffende persoonsgegevens te verzetten, indien de verwerking verricht wordt met het oog op direct marketing; 4° informatie ivm het bestaan van een recht op toegang en op verbetering van de persoonsgegevens die op hem betrekking hebben 5° Andere relevante informatie [er zijn uitzonderingen]
3. Toepassing Wet verw. Persoonsgegevens (vervolg) 5. Voorwaarden om te kunnen verwerken Gewone persoonsgegevens:
1° toestemming betrokkene (vaak in alg. Vw-den) 2° noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voorafgaande maatregelen daartoe 3° noodzakelijk om een verplichting na te komen waaraan de verantwoordelijke voor de verwerking is onderworpen door of krachtens een wet, een decreet of een ordonnantie; 4° noodzakelijk ter vrijwaring van een vitaal belang betrokkene 5° noodzakelijk voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag; 6° noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking [...] mits het belang of de fundamentele rechten en vrijheden van de betrokkene [...], niet zwaarder doorwegen.
3. Toepassing Wet verw. Persoonsgegevens (vervolg) 5. Voorwaarden om te kunnen verwerken Gewone persoonsgegevens: (vervolg)
vb clausule: Ziekenhuisopname (≠ altijd gelijk aan medische gegevens)) “Deze informatie van persoonlijke aard wordt u gevraagd door de beheerder van het ziekenhuis met het oog op een correcte behandeling van uw dossier en de facturatie van uw ziekenhuisopname. De Wet van 08-12-1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, verleent u toegang tot uw gegevens en geeft u het recht deze te corrigeren”. Wedstrijdreglement “[X] mag alle inlichtingen verzamelen die ze noodzakelijk acht voor de organisatie van de wedstrijden en de uitreiking van de prijzen. Deze gegevens worden verwerkt in een bestand waarvan [X] de houder is. De gegevens worden bewaard door [X] o.m. met het oog op commerciële promoties. Door de deelname aan de wedstrijd erkent elke deelnemer dat hij door [X] in kennis werd gesteld van de inzameling van deze gegevens en van het gebruik dat ervan gemaakt kan worden. Eenieder heeft het recht om kosteloos kennis te krijgen van de hem betreffende gegevens en om onjuiste gegevens te verbeteren mits een aanvraag per aangetekend schrijven aan [X] . De wet tot de bescherming van de privacy wordt gerespecteerd.“
3. Toepassing Wet verw. Persoonsgegevens (vervolg) 5. Voorwaarden om te kunnen verwerken Medische Gegevens:
1° Specifieke schriftelijke toestemming 2° Noodzakelijk voor doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten handelend in het belang van de betrokkene EN de gegevens worden verwerkt onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg; 3° Wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene zijn openbaar gemaakt; 4° Specifieke wettelijke verplichtingen (arbeidsrecht / Soc. Zek.) [...]
3. Toepassing Wet verw. Persoonsgegevens (vervolg) 5. Voorwaarden om te kunnen verwerken Medische Gegevens: (Vervolg)
- Steeds verwerkt worden onder de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg, tenzij mits schriftelijke toestemming / dringend gevaar / beteugeling strafr. inbreuk. + categorieën van personen die toegang hebben moeten duidelijk worden aangeduid + deze personen MOETEN gebonden zijn door geheimhouding (wettelijk / statuut / contract) + in geval van toestemmming bij geschrift, redenen van verwerking moeten vermeld worden - Medische gegevens moeten worden ingezameld bij de betrokkene tenzij absoluut niet anders kan (comateus / kind / ...)
3. Toepassing Wet verw. Persoonsgegevens (vervolg) 5. Voorwaarden om te kunnen verwerken Medische Gegevens: (vervolg)
vb clausule: AG Insurance inzake Europe Assistance “- De verwerking van persoonsgegevens heeft tot doel de verzekeringsnemer, de verzekerden en de begunstigden te identificeren in het kader van het beheer van de overeenkomsten, met inbegrip van het beheer van de verzekeringen, kostenbeheer, de afwikkeling van de verwerking en eventuele geschillen. [...] - Elke persoon die zijn identiteit bewijst heeft het recht op inzage in de gegevens die over hem worden bewaard en heeft het recht de rechtzetting van zijn persoonsgegevens te eisen indien deze incorrect zijn. - Tenslotte heeft de verzekeringsnemer het recht om zich kosteloos te verzetten tegen de verwerking van zijn persoonsgegevens voor direct marketing doeleinden. - Om deze rechten uit te oefenen, richt de betrokken persoon een gedateerde en ondertekende aanvraag aan AG Insurance [...].
- De verzekeringsnemer geeft hierbij eveneens zijn toestemming aan de verzekeraar om zijn medische en/ of andere gevoelige persoonsgegevens voor zover dit nodig is, te verwerken voor de doeleinden zoals [hierboven] vermeld. Medische gegevens en/ of andere gevoelige gegevens worden steeds verwerkt onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg. Een lijst van de categorieën van personen die toegang hebben tot de persoonsgegevens is consulteerbaar bij [...].“
4. Concrete toepassing op Sensor Networking Sensor network Verwerking persoonsgegevens Nee
Ja
4. Concrete toepassing op Sensor Networking Sensor network Verwerking persoonsgegevens Nee
Machine monitoring Vehicle monitoring & telemetrics Seismologic monitoring Animal Monitoring
…
Ja
4. Concrete toepassing op Sensor Networking Sensor network Verwerking persoonsgegevens Nee
Ja Onderhevig aan privacy Nee
Machine monitoring Vehicle monitoring & telemetrics Seismologic monitoring Animal Monitoring
…
Ja
4. Concrete toepassing op Sensor Networking Sensor network Verwerking persoonsgegevens Nee
Ja Onderhevig aan privacy Nee
Machine monitoring Vehicle monitoring & telemetrics Seismologic monitoring Animal Monitoring
… No Privacy Issue
Battlefield networking …
Ja
4. Concrete toepassing op Sensor Networking Sensor network Verwerking persoonsgegevens Nee
Ja Onderhevig aan privacy Nee
Ja gevoelige persoonsgegevens Nee
Machine monitoring Vehicle monitoring & telemetrics Seismologic monitoring
Ja
Battlefield networking …
Animal Monitoring
… No Privacy Issue
Privacy regulations
Strict Privacy regul.
4. Concrete toepassing op Sensor Networking Sensor network Verwerking persoonsgegevens Nee
Ja Onderhevig aan privacy Nee
Ja gevoelige persoonsgegevens Nee
Machine monitoring Vehicle monitoring & telemetrics Seismologic monitoring Animal Monitoring
… No Privacy Issue
Battlefield networking …
Smart meters
Ja
Medical monitoring
RFID traject ctrl RFID shopping
…
… Privacy regulations
Strict Privacy regul.
Meer informatie www.privacy.fgov.be
Vragen?
