Gemeentedagen 2015

Martin Hemmer

Vakgroep IP & Technology

Privacy en overheid

Agenda

1. Inleiding;

2. Hoofdzaken Wbp;

3. Big data en privacy;

4. Ontwikkelingen op regelgeving en handhavingsgebied;

Wet datalekken / verruiming boetebevoegdheden;

Ontwikkelingen Cameratoezicht ex. art. 151c Gemeentewet;

Focus Cbp op overheden;

Komende Privacyverordening;

5. Decentralisatie en privacy.

Inleiding: Privacy speelt overal

3

Kan het recht de technologie bijhouden?

1989 1995 2001 2016?

Antwoord: ja, redelijk goed dankzij gebruik vage termen

4

Wet persoonsregistraties

(Wpr)

Europese privacyrichtlijn

Wet bescherming persoonsgegevens

(Wbp)Privacyverordening

Privacy en gemeenten in het nieuws3 Oktober app-lek: privacygevoelige gegevens op straat (oktober 2014)

DigiD in tiental gemeenten onvoldoende beveiligd, erkent overheid(oktober 2014)

CBP: Persoonsgegevens Suwinet niet goed beveiligd(december 2014)

NRC-onderzoek over decentralisatie:

Wie kunnen straks allemaal je dossier inzien? (augustus 2014)

5

Art. 16 Wbp-

gegeven?

Hoofdzaken WbpArt. 17 IVBPR, Art. 8 EVRM / Grondwet: grondrecht bescherming persoonlijke levenssfeer

Beginselen van gegevensbescherming (OECD Guidelines on the protection of privacy 1980)

• Doelbinding;

• Kwaliteit;

• Transparantie;

• Rechten van betrokkene;

• Beveiliging;

• Verantwoordelijkheid.

6

Hoofdzaken WbpEnkele kernbegrippen:

Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Verwerking: elke handeling of geheel van handelingen (behalve erover nadenken);

Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

7

Hoofdzaken WbpArt. 7

Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden gebruikt.

Een doelomschrijving kan meerdere onderdelen bevatten en naast elkaar staande doelen. Deze moeten alle aan art. 7 voldoen. Nevendoelen moeten voldoen aan art. 9:

Art. 9

Persoonsgegevens worden niet verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

Hou rekening met: verwantschap, aard gegevens, gevolgen voor betrokkenen, de wijze waarop gegevens zijn verkregen en de mate waarin wordt voorzien in passende waarborgen.

Verwerking blijft achterwege voor zover een geheimhoudingsplicht daaraan in de weg staat (lid 3). Bij artsen dient dus eerst de vraag gesteld te worden of hun geheimhouding überhaupt doorbroken kan worden.

8

Hoofdzaken WbpArt. 8 Grondslagen

a) Ondubbelzinnige toestemming; vrije, specifieke op informatie berustende wilsuiting (let op art. 5 lid 2)

Zeer terughoudende toepassing vereist in afhankelijkheidssituaties.

De verschillende decentralisatiewetten schrijven op enkele plaatsen expliciet toestemming voor. Het gebruik van toestemming als ‘restgrondslag’ voor ‘restverwerkingen’ die niet expliciet wettelijk geregeld zijn, zal vaak niet mogen. Het Cbp lijkt op dat punt een kritische houding te willen innemen. In die gevallen zal dus een andere grondslag gehanteerd dienen te worden.

Ook kan bovenmatige verwerking niet gelegitimeerd worden met toestemming.

9

Hoofdzaken WbpArt. 8 grondslagen

b) Noodzakelijk voor uitvoeren overeenkomst;

c) Noodzakelijk voor nakomen wettelijke verplichting;

Iedere verplichting tot gegevensverwerking krachtens een wettelijk voorschrift, of breder?

De vraag is of zonder de gegevensverwerking het nakomen van de verplichting onmogelijk is.

b) Noodzakelijk ter vrijwaring van een vitaal belang van betrokkene (lees: leven of dood);

c) Noodzakelijk ter goede vervulling publiekrechtelijke taak;

Cbp: de taak: organisatie van zorg omvat niet per definitie het verlenen van zorg.

b) Noodzakelijk ter behartiging gerechtvaardigd belang van verantwoordelijke of derde aan wie gegevens worden verstrekt, tenzij belangen betrokkene zwaarder wegen.

Kan beïnvloed worden door gestelde doel.

10

Hoofdzaken WbpArt. 7 / 10 / 11 / 12

• Verwerking geschiedt op behoorlijke en zorgvuldige wijze;

• Niet langer bewaren dan noodzakelijk voor verwezenlijking doeleinden;

• Slechts verwerking indien de gegevens gelet op de doeleinden toereikend, niet ter zake dienen en niet bovenmatig zijn;

• Maatregelen zodat gegevens juist en nauwkeurig zijn;

• Plicht tot geheimhouding voor personeel indien dit niet uit ambt of wettelijk voorschrift volgt.

11

Hoofdzaken WbpArt. 13 Beveiliging

Passende technische en organisatorische maatregelen.

Rekening houdend met de stand van de techniek, kosten risico’s verwerking en aard van de gegevens. Het is niet noodzakelijk om steeds de zwaarste beveiligingsmaatregelen te nemen er dient sprake te zijn van proportionaliteit tussen beveiliging en belangen betrokkenen.

Discussie: gebruik DigiD binnen uw gemeente.

Sluit aan bij standaarden:

Baseline Informatiebeveiliging Gemeenten (BIG)

In sommige gevallen geldt: Comply or explain

12

Hoofdzaken WbpArt. 16 Bijzondere persoonsgegevens

• Godsdienst;

• Ras;

• Politieke gezindheid;

• Gezondheid;

• Seksuele leven;

• Lidmaatschap vakvereniging;

• Strafrechtelijke persoonsgegevens.

Specifieke uitzonderingen per onderdeel en algemeen in art. 23 Wbp

Art. 24: verwerking persoonsnummer zoals BSN nummer, wettelijke grondslag vereist

13

Hoofdzaken WbpArt. 21 Gegevens betreffende de gezondheid

Verbod is niet van toepassing tussen hulpverleners, instellingen voor maatschappelijke dienstverlening indien noodzakelijk met het oog op de goede behandeling en /of het beheer van gegevens.

Wat kan allemaal onder instellingen van maatschappelijke dienstverlening geschaard worden?

Stel altijd de vraag of de uitwisseling wel verband houdt met (1) behandeling of verzorging en of de uitwisseling (2) daarvoor noodzakelijk is en of niet met (3) minder gegevens kan worden volstaan.

Geheimhouders mogen op grond van de WGBO slechts gegevens delen met professionals die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst.

14

Hoofdzaken WbpArt. 27 – 30

Meldingsplicht, tenzij verwerking als beschreven in het vrijstellingsbesluit.

Art. 33 – 34

Uitwerking informatieplicht, tenzij onmogelijk of dit een onevenredige inspanning kost.

Art. 35 – 41

Rechten betrokkene: inzage, verbetering, aanvulling, afscherming, verzet

Art. 42 (Geautomatiseerde individuele besluiten)

Niemand kan worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden alleen gebaseerd op een geautomatiseerde verwerking behoudens uitzonderingen.

Vb. beschikbaar profiel op basis van internetgegevens geen uitkering.

15

Hoofdzaken Wbp

Art. 43

De verantwoordelijke kan de artikelen 9, eerste lid, 30, derde lid, 33, 34 en 35 buiten toepassing laten voor zover dit noodzakelijk is in het belang van:

a. de veiligheid van de staat;

b. de voorkoming, opsporing en vervolging van strafbare feiten;

c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen;

d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of

e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

16

Big data• 90% van alle data wereldwijd is in de laatste twee jaar gecreëerd;

• Big Data is de kunst van het slim combineren van datasets om daar waardevolle informatie uit te halen. De toepassingen lijken eindeloos;

• Veel gegevens zijn geen persoonsgegevens. Veel big data leveren dus geen privacy issues op. Door middel van Big Data kunnen echter ook gegevens die geen persoonsgegeven waren, tot persoonsgegeven worden gepromoveerd.

17

Big data

• Privacy kernwaarden: Doelbinding, dataminimalisatie en transparantie moeilijk compatibel

• Het dynamische persoonsgegeven / profiling“Als iemand voor een dubbeltje is geprofileerd, zal hij nooit een kwartje kunnen worden.” (J. Kohnstamm, 3 oktober 2014 in speech Nationale Denktank Big Data)

• Anonimisering

18

Big data: mogelijkheden overhedenDiscussie:

Wordt binnen de gemeente gebruik gemaakt van Big Data?

Bestaan daartoe plannen?

Hoe worden privacy-risico’s benaderd?

19

Ontwikkeling wetgeving / handhavingWet meldplicht datalekken (hoofdpunten)

Meldplicht bij Cbp van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

Informatieplicht betrokkene indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Inhoud kennisgeving / melding :

• de aard van de inbreuk;

• de instanties waar meer informatie over de inbreuk kan worden verkregen;

• aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.

Voorts bevat de melding bij het Cbp:

• een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

• De verantwoordelijke dient een overzicht bij te houden van alle inbreuken die zijn gemeld.

• Ook met de bewerker moeten afspraken worden gemaakt over de nakoming van de verplichtingen rondom beveiligingsinbreuken.

20

Ontwikkeling wetgeving / handhavingUitbreiding boetebevoegdheid;

Verhoging boetebedrag voor veel situaties tot € 810.000,-;

Probleem: de vele open normen van de Wbp;

In verband met het Lex certa beginsel dient daarom in de meeste gevallen eerst een bindende aanwijzing door het Cbp te worden gegeven, behalve bij opzet of ernstige verwijtbaarheid.

21

Ontwikkeling wetgeving / handhaving Cameratoezicht

2005: introductie art. 151c Gemeentewet‘Vast’ cameratoezicht, een wettelijke grondslag voor langdurig ensystematisch bewaken van gebieden, in belang openbare orde.

Laat ander cameratoezicht (bijv. beveiliging eigendommen) onverlet.Slechts als minder zware middelen geen alternatief bieden.

Behoefte aan flexibiliteit bijvoorbeeld bij verplaatsing overlast.Hierin voorziet het wetsvoorstel.

Verplichting om een gebiedsaanwijzing in te trekken zodra de noodzakelijkheid komt te vervallen.

22

Ontwikkeling wetgeving / handhaving Cameratoezicht

Uitdagingen op implementatiegebied bij flexibilisering toezicht:

Continue afweging proportionaliteit, nutteloze camera’s weghalen.

Uitkijken beelden onder regie politie. Politie dient kennis te hebben over grenzen bevoegdheden. Als blijkt dat een camera ergens naar binnen kijkt dient de politie dit te melden en dient de fout zo snel mogelijk te worden hersteld.

Goede informatie van burgers, kenbaar maken dat sprake is van flexibel cameratoezicht (benadrukt door Cbp).

23

Ontwikkeling wetgeving / handhaving Cameratoezicht / DronesBrief inzake drones d.d. 3 maart 2015

Voordelen op volgende publieke gebieden:

1. Veiligheid (opsporing, handhaving van de openbare orde, search and rescue, calamiteiten, branden en rampen, hulpverlening);

2. Infrastructuur (onderhoud windmolens, dijken, bruggen, hoogspanningsmasten, bovenleidingen, grote installaties);

3. Bewaken en beveiligen (beveiligen publieke en private objecten).

Risico: meer te zien dan nodig

Risico: Function creep (geldt algemeen bij privacy en zeker ook bij cameratoezicht)

Risico: voldoende communicatie

24

Ontwikkeling wetgeving / handhavingToezichtagenda Cbp 2015:

Specifieke aandachtsgebieden zullen zijn:

• profiling;

• bijzondere persoonsgegevens;

• persoonsgegevens bij lokale overheden;

• persoonsgegevens in de arbeidsrelatie; en

• beveiliging van persoonsgegevens.

25

Ontwikkeling wetgeving / handhavingPrivacyverordening, hoofdpunten

Introductie hoge boetes

Het recht om vergeten te worden / gegevens te laten wissen

Verantwoordelijken die samenwerken dienen afspraken vast te leggen

Profilering

Zorgplicht

Meldplicht vervalt

Verplichte Data Protection Officer / FG

One stop shop

Meldplicht datalekken (ernstige datalekken?)

26

Ontwikkeling wetgeving / handhavingVerslag onderhandelingsronde Q4 (brief Teeven d.d. 2 februari)

Onderhandelaars wensen ruimte te behouden voor nationale wetgeving

voor verwerkingen in de publieke sector. Sommige landen wensen

ruimte om strengere voorschriften voor overheden op te kunnen leggen.

Belangrijk strijdpunt is nog het bereiken van een akkoord over de onderlinge

samenwerking van toezichthouders, en de vraag onder welk regime politiegegevens vallen

(eind) 2016 2018

27

Decentralisatie en privacyUitvoering van de wetten is ook op privacygebied een enorme opgave.

Wetgever hanteert een vrij relaxed standpunt: Richting geven aan de lerende praktijk.

Cbp komt met harde reactie op dit rapport (brief 3 juni 2014):

“Het Cbp hecht eraan te benadrukken dat gemeenten de naleving van de Wbp niet kunnen opschorten als gevolg van een ‘lerende praktijk’ die na enige tijd zal worden geëvalueerd. Temeer niet daar het hier vrijwel altijd de verwerking van bijzondere persoonsgegevens betreft.”

“blijft echter een naar het oordeel van het CBP essentieel punt (nog steeds) onderbelicht. Dit betreft het probleem van het ontbreken van een deugdelijke wettelijke basis voor de verwerking van persoonsgegevens voor de nieuwe werkwijzen bij de uitvoering van taken uit de Jeugdwet. Dit probleem doet zich niet alleen voor bij de verwerking van persoonsgegevens in het jeugddomein, maar ook in andere sectoren van het gedecentraliseerde sociale domein. Hoewel dit probleem zich het meest pregnant manifesteert bij een ontkokerde, domeinbrede taakuitvoering in het sociaal domein, kan het zich dus ook manifesteren bij nieuwe werkwijzen binnen een bepaalde sector van het sociaal domein. “ (uit: beoordeling PIA door Cpb, oktober 2014)

28

Decentralisatie en privacy• VNG modellen en aanbevelingen uit PIA hebben een algemeen karakter, zijn weinig

oplossingsgericht en weinig concreet richtinggevend

• Een deugdelijke grondslag ontbreekt in domeinoverstijgende (rand)gevallen

Toestemming kan vaak niet worden benut als grondslag wegens de afhankelijkheidsrelatie van betrokkenen

Goede vervulling van een publiekrechtelijke taak slechts gedeeltelijk (niet als gemeente daadwerkelijk zorgtaken op zich neemt)

• Reactie regering: ook sub b (contract met betrokkene) sub c, wettellijke dossierplicht bieden grondslag. Daarnaast bevatten de wetten wel degelijk concrete opdrachten tot grensoverschrijdende dienstverlening ((art. 5.1.1. Wmo, art. 2.1f Jeugdwet) en als de gemeente zelf zorg, verleent worden medewerkers “jeugdhulpverleners” in de zin van de wet.

• Kabinet kiest praktische benadering om geen overactieve overheid te creëren.

29

Decentralisatie PIA

"Eén gezin, één plan, één regisseur behoeft [..] nuancering. Het gaat daarbij uitdrukkelijk om één plan en één regisseur en niet om één dossier. De wet verzet zich uitdrukkelijk tegen dat laatste. [..] Een 'integrale aanpak' door gemeenten mag ook niet betekenen dat over het hoofd van de cliënt met ‘een druk op de knop’ gegevens uit allerlei voor de gemeente beschikbare bronnen worden betrokken. De wettelijke bepalingen over doelbinding en vertrouwelijkheid staan daaraan in de weg.“

Anderzijds: Zorg en niet gegevensbescherming moet voorop staan.

Grondrechten in brede zin spelen, ook het recht op een gezinsleven en een zo klein mogelijke inbreuk daarop. Het geven van regie aan de burger en uitgaan van eigen kracht past daarbij

De open normen uit de wet leiden tot risico’s bij toepassing. Zelfregulering en best practiceskunnen hier invulling aan geven.

30

Algemene aanbevelingen conform PIA 3D

• Laat privacy wezenlijk onderdeel zijn van uitvoeringsplannen en overeenkomsten met partners

• De wijze waarop omgegaan wordt met privacy moet inzichtelijk zijn.

• Leg afspraken over gegevensuitwisseling en bevoegdheidsverdeling uitgebreid vast

• Zorg bij (vergaande) integratie van taken voor goede afscherming van gegevens en logging

• Laat het niet bij plannen en intenties Plan Do Check Act, als continue onderdeel van het bedrijfsproces

• Zorg voor privacybewustwording / trainingen in alle onderdelen van de keten

• Kijk geregeld met een frisse blik of de uitvoering met minder bewerkingen toe kan

• Volledig geïntegreerde dossiers zijn niet toegestaan, zorg voor koppelbare dossiers.

• Kies voor een passend autorisatieniveau

31

Martin Hemmer

Advocaat IP & Technology

Telefoon +31 88 253 5916

Mobiel +31 6 27 74 27 27

E-mail: mhemmer@akd.nl

@IP_Hemmer