Korte privacy introductie gegeven op Medialab SETUP's '16.8 miljoen cadeausuggesties' hackathon/sprint:
"Hoe moeilijk is het om een database van alle Nederlanders te bouwen? Medialab SETUP onderzoekt de kansen en risico's van big data en bouwt De Nationale Verjaardagskalender; een database met de verjaardagen van alle 16.8 miljoen Nederlanders. Inclusief cadeausuggesties voor iedereen, op basis van ieders persoonlijke interesses. Zodat jouw cadeau altijd in de smaak valt!"
Meer info hierover op http://setup.nl/content/168-miljoen-cadeausuggesties-sprint
Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaardagskalender" Sprint
1. ann wuyts
UX at
@vintfalken - keek.be
privacy
voor 16.8 miljoen Nederlanders
in één verjaardagskalender?
Utrecht, maart 2014
Voor setup.nl / @SETUPutrecht
2. privacy = breed
privacy gaat over meer dan alleen “je data”
persoonsgegevens
lichaam en woning
familie en gezinsleven
communicatie
Privacywet oa.
Wet bescherming persoonsgegevens (NL, Wbp, 2001) – Uitv
Directive 95/46/EC (EU, binnenkort de GDPR) - Uitv
“No one shall be
subjected to arbitrary
interference with his
privacy, family, home or
correspondence, nor to
attacks upon his honour
and reputation.
Everyone has the right
to the protection of the
law against such
interference or attacks.”
- Universal Declaration of Human
Rights, Article 12
ann wuyts
UX at
@vintfalken - keek.be
privacy recht
3. CBPL (be)
Commissie voor de Bescherming
van de Persoonlijke Levenssfeer
CBP (nl)
Centrum Bescherming
Persoonsgegevens
Verwerking persoonsgegevens? à Aangifteplicht
ann wuyts
UX at
@vintfalken - keek.be
(verplicht melding te doen vóór je met verwerken begint, en dus ook voordat je gegevens gaat
verzamelen – vrijstellingen zijn mogelijk: administratie, ledenlijsten, marketing, .. )
4. ann wuyts
UX at
@vintfalken - keek.be
persoonsgegeven
elk gegeven betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon
Geschreven tekst, ook beeld & geluid
Persoon = levend
Betreffende hangt vaak af van de context
Objectgevens of persoonsgegevens? (bv nummerplaat)
Direct identificeerbaar (bv naam + geboortedatum + woonplaats)
Indirect identificieerbare gegevens
Unieke biometrische gegevens = persoonsgegeven (bv vingerafdruk, DNA)
5. ann wuyts
UX at
@vintfalken - keek.be
nn@
persoonlijke emailaddressen
een e-mailadres is (vaak) een persoonsgegeven
Een e-mailadres is weliswaar (vaak) een persoonsgegeven maar niet een persoonsgegeven van
gevoelige aard. Het is een minder publiek gegeven dan een gewoon adres.
“Dat betekent enerzijds dat het minder gemakkelijk te achterhalen is en de bekendheid daarvan in hoge mate afhangt van
bekendmaking door de persoon die dat adres aanhoudt. Anderzijds betekent dat dat aan een e-mailadres ook na bekendmaking een
zeker vertrouwelijk karakter niet kan worden ontzegd. Ontdekking van een e-mailadres dat verborgen had moeten blijven, heeft evenwel
in het algemeen minder ingrijpende gevolgen dan ontdekking van een reëel adres. Iemand kan immers meestal relatief gemakkelijk van
e-mailadres veranderen zonder sporen na te laten en zonder al te veel kosten of nadelige gevolgen. “
Jurisprudentie Gerechtshof Amsterdam 18 juli 2002, LJN: AE5514
(XS4ALL vs AB.FAB , een e-DM (email direct marketing) bedrijf.
6. ann wuyts
UX at
@vintfalken - keek.be
Identificeerbaar evolueert
Een gegeven dat NU nog "redelijkerwijs niet identificeerbaar" is omdat
identificatie een disproportionele aanwending van geld en middelen zou
vergen (geen persoonlijke gegevens), kan met betere technologie toch een
persoonsgegeven worden omdat de identificatie makkelijker is geworden.
7. ann wuyts
UX at
@vintfalken - keek.be
maatregelen
Geen persoonlijke gegevens wanneer er maatregelen zijn getroffen
waardoor een daadwerkelijke identificatie van individuele natuurlijke
personen redelijkerwijs wordt uitgesloten
Pseudonimisatie vs anonimisatie technieken
– bv gegevenscodering met sleutels bij wetenschappelijk onderzoek
– verwijderen begin- & eindstuk route data MAAR.. .
(verdere info: Article 29 Working Party - Opinion 05/2014 "Anonymisation Techniques onto the web”)
8. ann wuyts
UX at
@vintfalken - keek.be
toestemming
De betreffende persoon moet toestemming hebben gegeven voor de
verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet
deze vooraf geïnformeerd worden over opname in het bestand… .
scrapen?
Bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon
worden geïnformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking
aan derden. (Niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden.)
+ informatieplicht (soms niet als het té tijdrovend is adres te achterhalen)
+ databankenrecht (Directive 96/9/EG – 15 jaar na voltooiing. Substantiele wijziging => restart count.)
+ auteursrecht (fotos)
9. ann wuyts
UX at
@vintfalken - keek.be
(her)publicatie online
“ Maar deze gegevens stonden reeds online ! ”
Foto’s en persoonlijke gegevens die reeds op het internet staan mogen enkel
mits toestemming hergebruikt worden, ook al zijn deze reeds openbaar
gemaakt. Je mag deze niet zomaar elders op het internet plaatsen. De gegevens
worden dan namelijk in een andere context gebruikt en voor een ander doel.
(verdere info: cpbweb.nl)
10. ann wuyts
UX at
@vintfalken - keek.be
inzage
Personen die in een bestand zijn opgenomen hebben het recht om hun
geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens
verbeterd, aangevuld, verwijderd of afgeschermd worden.
11. ann wuyts
UX at
@vintfalken - keek.be
beveilingsplicht
Technisch & organisatorisch
12. ann wuyts
UX at
@vintfalken - keek.be
gevoelige gegevens
Die informatie verschaffen over iemands:
godsdienst of levensovertuiging / ras / politieke gezindheid / gezondheid / seksuele
leven / lidmaatschap van een vakvereniging / strafrechtelijke persoonsgegevens
Context is belangrijk (maaltijdvoorkeur, ledenlijst, ..), en wat met namen? (bv probeer
niet hier etnische afkomst uit af te leiden).
13. ann wuyts
UX at
@vintfalken - keek.be
bij twijfel..
CPB
• Wet bescherming persoonsgegevens (Wbp) nader toegelicht
https://cbpweb.nl/nl/over-privacy/wetten/wbp-naslag
• FAQ persoonsgevens op het internet
https://cbpweb.nl/nl/onderwerpen/internet-telefoon-tv/persoonsgegevens-op-internet
Article 29 Working Party
• Opinions and recommendations
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm
+ gebruik je gezond verstand, én de minimale hoeveelheid data.
(Ook interessant: lobbyplag.eu, bof.nl, privacyfirst.nl & privacycommission.be)
14. ann wuyts
UX at
@vintfalken - keek.be
Tenslotte, nog wat jurisprudentie..
Als de Kerstman dit mag ? ;-)
(Al kan het geargumenteerd worden dat dit manuele verwerking is, als hij zijn boek nog niet geupgrade
heeft naar big data / geautomatiseerde verwerking mits laptop voor zijn cadeau ideetjes.)
THX. En nu, on with the data.. !