Masterclass Privacy en Data Science donderdag 12 januari

KING/VNG Masterclass data protectie voor gemeentelijke data science

prof.dr. Ronald Leenes

12 januari 2017

programma• waarom: data science kansen en risico’s

• beginselen van data protectie

• impact assessment, verantwoording

• borging en handhaving

• vragen en wat verder ter tafel komt

basisbeginselen

deel 1

algemene verordening gegevensbescherming

(Verordening (EU) 2016/679)

AlgemeneV G erordening egevensb25 mei 2018

doelen

bescherming grondrechten en fundamentele vrijheden (met name recht op bescherming persoonsgegevens)

bevorderen vrij verkeer van persoonsgegevens

transparantie & verantwoording

stappenplan

AVG van toepassing?

doelen en grondslag

verantwoorde verwerking gegevens

stap 1

• werk ik met persoonsgegevens?

• ben ik verantwoordelijke of verwerker?

persoonsgegevens - art. 4 onder 1

• alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”);

• als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator

• of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

identificator

herkennen in een groep

gegevens

identificator

identificator

persoonsgegevens - art. 4 onder 1

• alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”);

• als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator

• of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

persoonsgegevens

Bron:

Bron:

het verwerken van persoonsgegevens op zodanige wijze dat ze niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder aanvullende gegevens, mits deze aanvullende gegevens apart worden bewaard en niet koppelbaar zijn

pseudonimisering

het verwerken van persoonsgegevens op zodanige wijze dat ze niet (meer) aan een specifieke betrokkene kunnen worden gekoppeld

anonimiseringgeïdentificeerd

pseudoniem

anoniem

2195400 grijs 100

214 7764 zwart 150

252 6012 rood 745

Leenes, R.E. 67 Parent 2195400

Doe, J. 768 Bank 214 7764

Claus, S 1 Koskikatu, Rovaniemi 252 6012

AVR niet van toepassing

AVR van toepassing

anonimisering

• wenselijk, want

• AVG niet van toepassing

• geen risico voor individu

• maar

• in toenemende mate onmogelijk door re-identificatie en koppeling gegevens

soorten gegevens

• (gewone) persoonsgegevens – art 4 lid 1

• bijzondere persoonsgegevens – art. 9

• ras of ethnische afkomst, politieke opvatting, religie of levensbeschouwing, lidmaatschap vakbond, genetische gegevens, biometrie voor identificatie, gezondheid seksueel gedrag of geaardheid

• toestemming, kennelijk openbaar

• gegevens betreffende kinderen (jonger dan 16) – art. 8

• toestemming ouder of voogd

stap 1

• werk ik met persoonsgegevens?

• ben ik verantwoordelijke of verwerker?

zo nee, dan is AVG niet van toepassing

verantwoordelijke en verwerker• “verwerkingsverantwoordelijke”

• bepaalt doel en middelen voor verwerking

• feitelijk, of in wetgeving, bepaald

• verwerker

• verwerkt gegevens ten behoeve van de verwerkingsverantwoordelijke

• verwerking op basis van overeenkomst of andere rechtshandeling die uitgebreide instructies van verantwoordelijke bevat

• ook zelfstandige verantwoordelijkheden (beveiling ed)


stappenplan

AVG van toepassing?

doelen en grondslag


persoonsgegevens verantwoordelijke

stap 2 – beginselen (abstract)

• behoorlijk

• eerlijk, rechtmatig en transparant

• finaliteit

• welbepaalde, gerechtvaardigde doelen

• proportionaliteit

• toereikend, ter zake dienend en noodzakelijk

stap 2 – beginselen

• rechtmatig, behoorlijk en transparant

• doelbinding

• minimale gegevensverwerking

• juistheid

• opslagbeperking

• integriteit en vertrouwelijkheid

rechtmatigheid – art. 6a. toestemming betrokkene

b. noodzakelijk voor uitvoering overeenkomst waarbij betrokkene partij is

c. noodzakelijk voor uitvoering wettelijke plicht verantwoordelijke

d. noodzakelijk voor vitaal belang betrokkene

e. noodzakelijk voor vervulling publiekrechtelijke taak

f. noodzakelijk voor gerechtvaardigd belang verantwoordelijke, tenzij inbreuk op rechten disproportioneel

f. is niet van toepassing voor overheid in taakuitoefening

• wettelijke plicht

• art. 7.3.8 eerste lid Jeugdwet – jeugdhulpverlener is verplicht een dossier over de jeugdige on te richten

• publiekrechtelijke taak

• bestuursorgaan!

• art. 2.11 eerste lid Jeugdwet – vaststelling van rechten en plichten van jeugdige of zijn ouders

toestemming – art. 7

• toestemming moet

• vrij, welbepaald, geïnformeerd en ondubbelzinnig zijn

• vrij -> er moet vrije keuze mbt verwerking zijn, wanneer er afhankelijkheidsrelatie bestaat is dit niet het geval

• aantoonbaar door verantwoordelijke

• toestemming kan worden herroepen (effect na herroeping)

toestemming – art. 8, 9

• voor kinderen onder 16

• toestemming door ouder of voogd

• inspanningsverplichting controle geldigheid toestemming ouder/voogd

• voor bijzondere gegevens (ethniciteit, geloof, gezondheid, etc)

noodzaak (b. t/m f.)

• proportionaliteitstoets

• doel en middel moeten met elkaar in verhouding zijn • Staat het besluit om via internet informatie te vergaren in verhouding tot de ernst van het misbruik en het belang van de controle op

de naleving van de wettelijke regels? Hierbij wordt o.a. rekening gehouden met de verwachting van de betrokkene; of hij/zij zich op internet in een strikt privédomein bevindt bv een social media site of een datingsite. Er vindt geen uitlokking plaats en de onderzoeker benadert de uitkeringsgerechtigde niet onder een valse naam of hoedanigheid.

• subsidiariteitstoets

• is dit het minst ingrijpende middel?

dus

• toestemming is niet goed bruikbaar voor dienstverlening, mogelijk wel voor onderzoek en beleidsontwikkeling

• wettelijke plicht is lastig omdat deze voldoende duidelijk moet zijn bepaald en aanleiding moet geven (proportionaliteit en subsidiariteit) tot verwerking

• publiekrechtelijke taak is lastig wanneer het gaat om analyse achtige toepassingen

doelbinding

• welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden

• geen verdere verwerking die onverenigbaar is met dit doel

• hierbij spelen redelijke verwachtingen van betrokkenen

• wetenschappelijk onderzoek of statistische doeleinden zijn niet onverenigbaar

• weinig handvatten over betekenis van ‘wetenschappelijk onderzoek’!

theeblaadjes lezen • overweging 33

Het is vaak niet mogelijk op het ogenblik waarop de persoonsgegevens worden verzameld, het doel van de gegevensverwerking voor wetenschappelijke onderzoeksdoeleinden volledig te omschrijven. Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van het wetenschappelijk onderzoek waarbij erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen.

• overweging 159

… wetenschappelijk onderzoek ruim worden opgevat en bijvoorbeeld technologische ontwikkeling en demonstratie, fundamenteel onderzoek, toegepast onderzoek en uit particuliere middelen gefinancierd onderzoek omvatten.

… de verwerking aan specifieke voorwaarden voldoen, met name wat betreft het publiceren of anderszins openbaar maken van persoonsgegevens voor wetenschappelijke onderzoeksdoeleinden.

• wat nu:

• aangenomen wordt dat onderzoek niet omvat: besluitvorming over individuen

• Autoriteit persoonsgegevens en rechtspraak moeten plaatje inkleuren

voorbeeld doelspecificatie

• “Het doeleinde van de verwerking is volgens het protocol informatie en bewijs verzamelen teneinde misbruik en oneigenlijk gebruik van sociale zekerheidsvoorzieningen aan het licht te brengen. Het doeleinde van de verwerking is hiermee welbepaald en uitdrukkelijk omschreven. “


stappenplan

AVG van toepassing?

doelen en grondslag



rechtmatig, behoorlijk en transparant doelbinding

toestemming overeenkomst wettelijke plicht verantwoordelijke vitaal belang betrokkene publiekrechtelijke taak gerechtvaardigd belang verantwoordelijke


stappenplan

AVG van toepassing?

doelen en grondslag




• doelbinding


• juistheid

• opslagbeperking


dataminimalisatie – art. 5 lid 1 onder c

• wederom proportionaliteit

• gegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.


• veel data science is juist gericht op maximalisatie

• rek zit (wellicht) in doelbepaling



• doelbinding


• juistheid

• opslagbeperking


juistheid – art. 5 lid 1 onder d

• gegevens moeten juist zijn en zo nodig worden geactualiseerd

• alle redelijke maatregelen moeten worden genomen om juistheid in het licht van de doelstellingen te garanderen

• onderscheid besluitvorming – analyse/beleidsvoorbereiding



• doelbinding


• juistheid

• opslagbeperking


opslagbeperking – art. 5 lid 1 onder e

• anonimisering wanneer mogelijk

• gegevens moeten worden verwijderd wanneer ze niet meer noodzakelijk zijn

• opslag voor wetenschappelijk onderzoek mag, onder passende technische en organisatorische maatregelen



• doelbinding


• juistheid

• opslagbeperking


integriteit – art 5 lid 1 onder f

• passende technische en organisatorische maatregelen dat ongeoorloofde verwerking of onopzettelijk verlies vernietiging of beschadiging wordt voorkomen

beveiliging, art. 32

privacy by design, art. 25

melding datalekken, art. 33, 34

overige zaken: rechten betrokkenen

informatieverstrekking, art. 12, 13, 14

• informatie over identiteit verwerker, verwerkingsdoelen, rechten etc

inzagerecht, art 15

rectificatierecht, art 16

recht op vergetelheid , art. 17

• wanneer gegevens overbodig (doel bereikt), toestemming ingetrokken


stappenplan

AVG van toepassing?

doelen en grondslag


minimale gegevensverwerking juistheid opslagbeperking integriteit en vertrouwelijkheid




invoer uitvoerverwerking invoer

analysetoetsing hypothesehandhavingindividuele beslissing…

verwerking

geautomatiseerde beslissing

geautomatiseerde beslissingen – art. 27

• de betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profiling, gebaseerd besluit [met serieuze gevolgen]

• tenzij overeenkomst

• tenzij (wettelijke) plicht op verantwoordelijke

• tenzij toestemming betrokkene

profilering – art. 4 onder 4

“elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoons gegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.”

transparantie – art. 14 lid 2 onder gverwerker informeert betrokkene over

“het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.”

onduidelijk wat dit betekent, zeker in geval van machine learning

denken, doen, verantwoorden

deel 2 transparantie & verantwoording

stappenplan

AVG van toepassing?

doelen en grondslag






informatieplichten

transparantie & accountability

accountability

• duidelijk maken wat de normen zijn waaraan je je houdt

• monitoren hoe je het doet

• discrepanties oplossen

• uitleggen en verantwoorden wat je hebt gedaan

• (is transparantie + verantwoordelijkheid nemen)

gegevensbeschermingseffectbeoordeling

definieer project bepaal risico’s (dpia)

implementeer maatregelen (o.m. privacy by design)

documenteer eerst denken, dan doen

als hoog risico dan DPIAart. 35 lid 1 art. 35

gegevensbeschermingseffectbeoordeling – art. 35

• wanneer:

• hoog risico voor ‘rechten en vrijheden’ van natuurlijke personen door soort verwerking (bijv. nieuwe technologie), aard, omvang, context, doeleinden

• profiling, bijzondere gegevens, stelselmatige monitoring etc

• wat:

• doelen, proportionaliteit, subsidiariteit (eigenlijk de beginselen)

• de risico’s en maatregelen om die te beperken

gegevensbeschermingseffectbeoordeling – art. 35

• hoe

quick scan

beschrijf verwerking

risico’s? beoordeel risico’s

bepaal en implementeer maatregelen

bepaal restrisico

ja

nee

consultatie betrokkenenklaar

hoog?

ja

nee

klaar

consulteer AP

documentatie

hoe (praktisch)

gegevensbeschermingseffectbeoordelingsproces

bepaal wie PIA uitvoert

start

verzamel informatie beantwoord PIA vragenlijst

is PIA noodzakelijk?

stop

bedenk oplossingen bepaal impact/problemen

rapporteer(onafhankelijke) toets

ja

nee

praktische handreikingen

• NOREA pia (van 2015)

• ICO Privacy Impact Assessment

• …

• maar, actualisering is nodig

maatregelen• privacy by design

• Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke … passende technische en organisatorische maatregelen

• … ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.” – art 25 lid 1

• “en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd” – art 24 lid 1

privacy design patterns

Jaap-HenkHoepmanh-p://arxiv.org/pdf/1210.6621v1.pdf

maatregelen• anonimiseren

• verwijdering van alle identificerende kenmerken

• pseudonimiseren

• scheiden van identificerende gegevens van de rest van de gegevens

• minimaliseren

• verwijderen van alle attributen die niet nodig zijn

• aggregeren

• samenvoegen van gegevens zodat ze betrekking hebben op groepen van individuen

• versleutelen en access control

• beperken van toegang tot rechthebbenden

• verwijdering

• zo snel mogelijk weggooien van gegevens


stappenplan

AVG van toepassing?

doelen en grondslag






informatieplichten DPIA melding datalekken

privacy by design

borging en handhaving

deel 3

borging recht op dataprotectie• door transparantie- en verantwoordingsverplichtingen (art. 12-14, 15, 24,

30)

• gegevensbeschermingseffectbeoordeling – art. 35

• meldplicht datalekken (art. 33, 34)

• melding binnen (bij voorkeur) 72 uur na ontdekking aan toezichthouder

• aan betrokkene bij hoog risico

• effecten ex-ante (voorkomen) en ex-post (sancties)

borging

• door aanstelling functionaris gegevensbescherming – art. 38 & 39

• verplicht voor overheidsinstanties en -organen

• taken

• verantwoordelijke informeren en adviseren

• toezien op naleving verordening

• contactpunt toezichthouder

sancties - artikel 83

• doeltreffende, evenredige en afschrikkende boetes

• geldboete tot 10 miljoen Euro voor overtreden ‘verantwoordelijkheidseisen’

• (o.m. minderjarigen, PbD, beveiliging, melding datalekken, DPIA, FG)

• geldboete tot 20 miljoen Euro voor overtreden basisbeginselen artt. 5, 6, 7, 9, rechten betrokkenen art 12 .. 22


stappenplan

AVG van toepassing?

doelen en grondslag






informatieplichten DPIA melding datalekken

privacy by design

sancties bij non-compliance

slotopmerkingen

• van Wbp naar Avg: veel is hetzelfde gebleven

• nieuw zijn accountability, privacy by design, vergetelheidsrecht, DPIA, …

• meer verantwoordelijkheid ipv checkbox, met echte sancties!

• focus nog steeds op klassieke verwerking, matig toegerust op Big Data

• veel onzekerheid, inkleuring in komende jaren

• AVG is maar 1 van de relevante regelingen (voor gemeenten), samenloop levert tal van problemen op, zie website Autoriteit persoonsgegevens

domeinoverstijgend gebruik

• problematisch

• publiekrechtelijke taak doorgaans niet bruikbaar

• wettelijke plicht doorgaans niet bruikbaar

• dus: toestemming (of overeenkomst)

• helaas zijn die ook problematisch

prof. dr. Ronald LeenesTilburg UniversityTILT – Tilburg Institute for Law, Technology, and Society

JADS – Jheronimus Academy of Data Science

Postbus 90153, 5000 LE TilburgMontesquieu gebouw, kamer M 708 http://www.uvt.nl/contact/bereik/

Mobile +(31) 6 41 700572 E-mail: [email protected]

Government & Nonprofit

Masterclass Privacy en Data Science donderdag 12 januari