Seminar: “Big Data en privacy”
Sprekers: - mr. Marten van Hasselt Big Data in de praktijk: lust of last? - mr. Vincent Rutgers Big Data en privacy: bescherming persoonsgegevens in kort bestek
Fruytier Lawyers in Business
mr. Marten van Hasselt advocaat sinds 2003
Specialisaties: Intellectueel eigendomsrecht Verbintenissenrecht Procesrecht
MNVH
Fruytier Lawyers in Business
2
mr. Vincent Rutgers advocaat sinds 1999
Specialisaties: Ondernemingsrecht Privacy recht Media-, entertainment en ICT
MNVH
Fruytier Lawyers in Business
3
Wat is ‘Big data’ eigenlijk? “Een hoeveelheid gegevens die de capaciteit van de gebruikelijke databases en die van de software die nodig is voor inlezen, beheer en analyse verre te boven gaat.” “Big data is het aan elkaar koppelen van gegevens en het leggen van verbanden die eerder nog niet voor mogelijk werden gehouden…” "Chocola maken van data uit vele verschillende bronnen. Dus niet alleen het ontsluiten, bij elkaar brengen en visualiseren ervan, maar vooral de laatste slag naar het distilleren van zinvolle insights uit al die data" Etc.
Fruytier Lawyers in Business
4
Big data in de praktijk Producenten van consumentengoederen en retailorganisaties: monitoren van sociale media, zoals Facebook en Twitter om een zicht op het gedrag, voorkeuren, en beleving van klanten te krijgen. Fabrikanten en dienstverleners: monitoren van sociale netwerken, maar met een ander doel dan marketeers: Ze gebruiken het om supportvraagstukken op te sporen. Financiële diensten organisaties: gegevens uit interactie met klanten om hun gebruikers te positioneren in beter afgestemde segmenten om steeds relevanter en verfijnder aanbod creëren. Reclame- en marketingbureaus: bijhouden van conversaties op sociale media om de response beter te begrijpen van campagnes en promotieacties. Verzekeringsmaatschappijen: analyseren welke aanvragen voor een opstalverzekering direct verwerkt kunnen worden en welke een validatie dienen te krijgen door een bezoek van een agent. Ziekenhuizen: analyseren van medische gegevens en patiëntendossiers om te besparen op de zorg. De overheid: opsporingsdiensten (politie / justitie), Belastingdienst (innen van belasting), verkeer en infrastructuur (mobiliteit en parkeren) etc.
Fruytier Lawyers in Business
5
Wat merken ‘wij’ ervan? Handig bij het ‘shoppen’, surfen, kortingen, spaaracties, aanbiedingen op maat
Fruytier Lawyers in Business
6
Handig, toch…..?
Fruytier Lawyers in Business
7
Minder leuk….
Fruytier Lawyers in Business
8
Toenemend verzet! Misbruik!
Fruytier Lawyers in Business
9
Big data en privacy Hoe zit het eigenlijk met…
Fruytier Lawyers in Business
10
Plannen ING Ophef rond plannen ING om big data te gaan gebruiken
Dialoogmarketing is een vorm van marketing gericht op het tot stand brengen, ontwikkelen en onderhouden van een relatie tussen een organisatie en haar (potentiële) klant waarbij de laatste tot een actie wordt aangezet. Dialoogmarketing kenmerkt zich door rechtstreekse en gerichte communicatie, van direct mail tot social marketing, die veelal plaatsvindt op basis van beschikbare data (datadriven marketing).
Fruytier Lawyers in Business
11
Wet- en regelgeving bij big data Wet- en regelgeving o.a.: Europese wetgeving en richtlijnen Grondwet
Wet bescherming persoonsgegevens (WBP) Telecommunicatiewet Algemene Wet inzake Rijksbelasting (AWR) Wetboek van Strafrecht (div opsporing) Burgerlijk Wetboek (BW)
Fruytier Lawyers in Business
12
WAT = ALLE GEGEVENS NATUURLIJKE PERSOON • Wat zijn persoonsgegevens? gegevens t.a.v. een natuurlijk persoon (mens van vlees en bloed):
• elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (art .1 sub a. Wbp). • Klantgegevens = persoonsgegevens volgens de Wbp
VERWERKEN = ALLE HANDELINGEN
Wat is het verwerken van persoonsgegevens: • Elke handeling of elk geheel van handeling met betrekking tot persoonsgegevens (art. 1 sub b). • Dus het verzamelen, opslaan, bewaren en gebruiken van klantgegevens = verwerken en valt onder de WBP.
VERANTWOORDELIJKE, BETROKKENE EN BEWERKER
• Wet maakt onderscheid tussen verantwoordelijke, betrokkene en bewerker.
• Bij klantgegevens gaat het om de klant, degene die verzamelt en verwerkt, en degene die ten behoeve van de verantwoordelijke verwerkt.
4. WANNEER: NEE TENZIJ: • • • • • • •
Wanneer is verwerken toegestaan, nee tenzij! Alleen in limitatief in de wet uitzonderingen (art. 8 Wbp): -ondubbelzinnige toestemming door betrokkene; verwerking noodzakelijk voor de uitvoering van een overeenkomst; noodzakelijk ivm de nakoming van een wettelijke verplichting; noodzakelijk ter vrijwaring van een vitaal belang van een betrokkene; noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door bestuursorgaan; • noodzakelijk voor behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt.
5. VERZAMELEN ALLEEN VOOR PRECIEZE DOELEINDEN
• Persoonsgegevens alleen voor welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzamelen (art. 7 WBP).
• Dus niet zonder precieze doelomschrijving verzamelen. • In privacy statements, algemene voorwaarden.
6. VERWERKEN VERENIGBAAR MET DOELEINDEN VAN VERKRIJGEN
• Verwerking van persoonsgegevens niet op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (art. 9 WBP).
• Persoonsgegevens bovendien toereikend, ter zake dienend en niet bovenmatig (art. 11 WBP). • Dus toestemming t.b.v. een bepaalde doeleinde = geen toestemming t.a.v. andere doeleinde. T.a.v. onverenigbaarheid = van belang = verwantschap doel verkrijgen, doel (beoogde) verwerking, gevolgen, wijze van verkrijgen, en passende waarborgen.
7. BIJZONDERE PERSOONSGEGEVENS = NEE
• Bijzondere persoonsgegevens verwerken is (in beginsel) verboden, tenzij uitdrukkelijke toestemming of wettelijke uitzonderingen (art. 16 WBP).
• Gaat om privacy gevoelige gegevens: godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele levens, lidmaatschap van een vakvereniging en strafrechtelijke persoonsgegevens of persoonsgegevens over onrechtmatig of hinderlijk gedrag, tenzij.
8. VERPLICHTINGEN AAN GEBRUIK • • • • •
behoorlijke en zorgvuldige wijze (art. 6 WBP) Niet langer bewaard dan noodzakelijk (art. 10 WBP) voldoende beveiliging (art. 14 WBP) indien geautomatiseerde verwerking = melden bij CBP (art. 27 WBP) informatieverstrekking bij verkrijging (identiteit, doeleinden voor de verwerking) (art. 33 WBP) • inzagerecht: wat, hoe en aan wie (art. 35 WBP) • correctierecht (36 WBP) • recht van verzet (art. 40 en 41 WBP)
9. TOEZICHT EN SANCTIES
10. ZELFREGULERING = DDMA PRIVACY CODE
11. PIJNPUNTEN BIG DATA VERWERKING EN DE WET • Stemmen doeleinden verzamelen en gebruik met elkaar overeen? Doeleinden mogelijk niet altijd vooraf duidelijk. • Is toestemming wel gegeven voor de achteraf bepaalde doeleinde. Toestemming achteraf mogelijk? • Risico meer data verzamelen, dan (in eerste instantie) nodig? Ism het niet bovenmatig verzamelen. • In hoeverre voldoe je aan de bewaarverplichting? • Oplossing: anonimiseren?
Dank voor uw aandacht!
Fruytier Lawyers in Business B.V. Keizersgracht 442 1016 GD Amsterdam The Netherlands P. +31 (0)20 521 01 30 F. +31 (0)20 521 01 31 E.
[email protected] en
[email protected]
Fruytier Lawyers in Business
24
