Faculteit der Rechtsgeleerdheid
SIG Research Data veiligheid Privacy om te beginnen, grondrecht of farce Utrecht, 27 november
Rob van den Hoven van Genderen Computer/Law Institute, Vrije Universiteit Amsterdam Switchlegal advocaten Amsterdam
[email protected] [email protected]
Faculteit der Rechtsgeleerdheid
Westin “Privacy and Freedom” 1967 • “Privacy is the claim of individuals, groups or institutions to determine for themselves when, how, and to what extent information about them is communicated to others” • ‘right to be let alone’?(to beforgotten/erased?) • ‘right to determine, when, how and to what extent personal data will be disclosed’ • Privacy is not an absolute right
Faculteit der Rechtsgeleerdheid
Hoe absoluut? • Duitse Grondwet„In keinem Falle darf ein Grundrecht in seinem Wesensgehalt angetastet werden“ • Maar privacy is geen absoluut recht • Aristoteles: belang van individu “öikos”t.o. het belang van allen “polis’ • Locke: een ieder bezit een intrisiek recht in hemzelf en is gerechtigd dit te handhaven tegenover de maatschappij voor zover hij dit niet laat behartigen door de maatschappij (binnen het natuurrecht).
Faculteit der Rechtsgeleerdheid
Privacy als een proces • “Elk individu is continu bezig in een persoonlijk aanpassings proces in welk hij de wens van privacy afweegt tegenover openbaarmaking , verspreiding en ….” (Alan Westin) • En verder weegt hij af welke maatschappelijke belangen gediend zijn met vrijgifte van persoonsgegevens (onder dwang?)
Faculteit der Rechtsgeleerdheid
Art. 8 EVRM • Respect privé-leven, familie- en gezinsleven, woning, correspondence • Inmenging door openbaar gezag – Bij wet voorzien, noodzakelijk in een democratische samenleving en alleen voor bepaalde legitieme belangen • Criterium: Betrokkene bevindt zich in een situatie waarin hij een “Reasonable expectation of privacy” mag koesteren
Faculteit der Rechtsgeleerdheid
Artikel 10 Grondwet • 1.Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. • 2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. • 3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.
Faculteit der Rechtsgeleerdheid
persoonsgegevens • Een persoonsgegeven is alle informatie betreffende geïdentificeerde of identificeerbare natuurlijke personen. Het gaat dus om alle gegevens die informatie kunnen verschaffen over een bepaald persoon, zoals gegevens over diens eigenschappen, opvattingen of gedragingen. Al wordt de naam van die persoon niet met zoveel worden genoemd dan kan er toch sprake zijn van een persoonsgegeven als de identiteit van de persoon redelijkerwijs, zonder al te veel inspanning kan worden vastgesteld.
Faculteit der Rechtsgeleerdheid
Art 1.b. verwerking van persoonsgegevens • elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen vangegevens
Faculteit der Rechtsgeleerdheid
KERN WBP •
Art. 6 WBP: persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.(zorgvuldigheid)
•
Art. 7 WBP: persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.(doelbinding)
•
Art. 8 WBP: limitatieve opsomming van gronden die gegevensverwerking rechtvaardigen.(rechtmatigheid) Op basis van proportionaliteit en subsidiariteit
•
Faculteit der Rechtsgeleerdheid
Art.8 WBP: verwerking • •
• • • •
a. ondubbelzinnige toestemming betrokkene; b. noodzakelijk is voor de uitvoering van een overeenkomst of voor het sluiten van een overeenkomst; c. noodzakelijk is om een wettelijke verplichting na te komen d. noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene; e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak f. noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
Faculteit der Rechtsgeleerdheid
Wet is niet van toepassing • a. persoonlijke of huishoudelijke doeleinden; • b. door of ten behoeve van de inlichtingen- en veiligheidsdiensten • c. ten behoeve van de uitvoering van de politietaak, • d. die is geregeld bij of krachtens de Wet GBA • e. ten behoeve van de uitvoering van de Wet justitiële en strafvorderlijke gegevens en • f. ten behoeve van de uitvoering van de Kieswet.
Faculteit der Rechtsgeleerdheid
Beginselen art.5 Europese Richtlijn • rechtmatig, eerlijk en transparant • transparantiebeginsel, de verduidelijking van het beginsel van minimale gegevensverwerking • welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden • Adequaat, juist en bijgewerkt • en de vaststelling van alomvattende verantwoordelijkheid en aansprakelijkheid
Faculteit der Rechtsgeleerdheid
Artikel 23 lid 2 WBP Het verbod om persoonsgegevens als bedoeld in artikel 16, te verwerken ten behoeve van wetenschappelijk onderzoek of statistiek is niet van toepassing voor zover: a. het onderzoek een algemeen belang dient, b. de verwerking voor het betreffende onderzoek of de betreffendestatistiek noodzakelijk is, c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en d. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
Faculteit der Rechtsgeleerdheid
Artikel 25 WBP • Gedragscodes • VSNU gedragscode (niet geaccordeerd door VSNU) – – – –
Rechtmatig doelbindinding Zoveel mogelijk anonimiseren “verrijken” van publicaties (persoonsgegevens/plagiaat?)
Faculteit der Rechtsgeleerdheid
Artikel 13 WBp: beveiliging • De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
• NEN 7510 • Human Tissue and Medical Research: Code of conduct for responsible use (2011)
Faculteit der Rechtsgeleerdheid
Eprivacyrichtlijn (2009/139/EG) • Wijziging RL 2002/58/EG • Artikel 4: beveiliging van de verwerking;(datalekken):alleen gemachtigd personeel; beschermd tegen onbedoelde of onwettige wijziging, opslag, verwerking toegang, vrijgave; aanbieder meldt bevoegde instantie en individuele personen in kwestie met verwachte effecten/schade behalve als versleuteld • Artikel 13: spamverbod: DM met opt in • cookieregeling
Faculteit der Rechtsgeleerdheid
Telecommunicatiewet • Artikel 11.2: bescherming persoonsgegevens en persoonlijke levenssfeer: • Artikel 11. 2a – vertrouwelijkheid van communicatie: DPI en cookies: geen inbreuken tappen, andere middelen ter controle
• Artikel 11. 3 en 3 a: • Beveiliging datalekken en gevolgen
Faculteit der Rechtsgeleerdheid
Belang privacy t.o.v. wetenschappelijke dataverzameling • Onderzoek van groot maatschappelijk belang? • Privacy gegevensbescherming? • Welke persoonsgegevens
Faculteit der Rechtsgeleerdheid
Sprookje uit?