Privacy: Wat mag er eigenlijk verwerkt worden?

In deze blogreeks over privacy ga ik in op de verschillende onderdelen van een goed privacy management framework. Uitgebreide juridische verhandelingen laat ik zoveel mogelijk achterwege. Graag geef ik je een aantal praktische handvatten om te komen tot een verantwoorde omgang met persoonsgegevens.

Het eerste deel ging over persoonsgegevens, wat is nu eigenlijk een persoonsgegeven, en waarom zijn er specifieke regels bedacht voor die gegevens, in het tweede deel van de blogreeks werd de term verwerken uitgediept.

In dit deel ga ik in op wanneer persoonsgegevens nu eigenlijk verwerkt mogen worden. Er zijn duidelijke grenzen in de wetgeving die aangeven wanneer welke gegevens van natuurlijke personen verwerkt mogen worden. De juridische grenzen komen in de volgende blog aan bod. In deze blog een inhoudelijk betoog over verwerken van persoonsgegevens.

Wanneer mag een persoonsgegeven verwerkt worden

Omdat het niet goed omgaan met persoonsgegevens een grote inbreuk kan hebben op de levenssfeer van een persoon, heeft de wetgever een aantal strikte regels gesteld aan het verzamelen, hebben en houden van privacygevoelige gegevens. De wetgever heeft hier, in mijn persoonlijke opvatting, mee bedoeld dat voor wij, als personen er van op aan moeten kunnen dat als wij er zelf voor kiezen (rechtstreeks zoals op facebook, of indirect zoals door wetgeving) gegevens in handen te geven van een verwerker dat deze er zorgvuldig mee omgaat. Hoewel wij ons niet altijd bewust zijn van het geven van persoonsgegevens aan derden, denk bijvoorbeeld maar eens aan snelweg camera’s die onze kentekens registreren, is er altijd een mogelijkheid dat de rechtsprekende macht een blokkade opwerpt tegen het buiten het originele doel van de verzameling gebruiken van die gegevens (casus belastingdienst en gebruik ANPR systemen t.b.v. bijtelling). Een ander voorbeeld hiervan is wederom de belastingdienst die op verzoek van de woningcorporaties loongegevens van huurders overhandigde omdat de woningcorporaties verplicht waren gesteld de huren inkomensafhankelijk te maken. Ten tijde van de beoordeling door de rechter was deze overdracht van gegevens niet goed geregeld. Hierdoor kon er formeel bezwaar worden gemaakt. De rechter heeft dit bezwaar ook toegewezen.

Verwachting van privacy

Een ander belangrijk punt om over na te denken bij een verwerking van persoonsgegevens is de verwachting die een betrokkene heeft van de geboden privacy (Reasonable Expectation of Privacy). Is het logisch, vanuit het oogpunt van een persoon wiens gegevens verwerkt worden dat de gegevensverzameling bestaat? Een klein voorbeeld, het is redelijk logisch dat de bibliotheek bijhoudt wel boek ik heb geleend, waar ik woon, en hoe ik heet. Het is vreemd als diezelfde bibliotheek die gegevens gaat verkopen aan de boekhandel om mij relevante aanbiedingen te doen. Dit is niet iets wat ik verwacht. Of in ieder geval iets waarvoor ik verwacht toestemming te moeten geven.

Maar zelfs als aan alle formele regeltjes is voldaan, er toestemming is gegeven voor de verwerking kan een verwerking onder druk van de publieke opinie toch nog onwenselijk zijn. Een mooi voorbeeld hiervan is een Nederlandse grootbank die gegevens van Pin-transacties wilde verkopen ten behoeve van marketing door derden dit plan onder druk heeft teruggetrokken, terwijl (vanaf afstand beoordeeld) de bank aan alle wettelijke eisen had voldaan.

De eerste echte vermelding van privacy (Harvard law review van 15 december 1890!) in een juridisch kader benoemt privacy primair als “het recht om met rust gelaten te worden”.

Ook de huidige WBP en Europese AVG hebben dit principe nog steeds in enige vorm in de wettekst staan.

Alle rechten die wij als personen hebben op dit vlak, helpen ons om onze persoonlijke levenssfeer te beschermen tegen storende invloeden van buitenaf. Deze beginselen zijn ook verwoord in het Europees Verdrag voor de Rechten van de Mens (artikel 8), het VN-verdrag voor Burgerlijke en Politieke rechten (atikel 17) en ze hebben onder andere geleid tot acht privacy principes van de OECD. Deze kunnen nog steeds worden gebruikt als handvatten voor de beoordeling van een verwerking.

De acht principes zijn: (In de orginele taal)

  1. Collection Limitation: Data collection should occur only with knowledge and consent of a concerned individual (data subject).
  2. Data Quality: One should only collect information which is relevant and accurate for a particular aim.
  3. Individual Participation: The concerned individual should know if their information has been collected and must be able to access it if such data exists.
  4. Purpose Specification: The intended use for a particular piece of information must be known at the time of collection.
  5. Use Limitation: Collected data must not be used for purposes other than the ones specified at the time of collection.
  6. Security Safeguards: Reasonable measures must be taken to protect data from unauthorized use, destruction, modification, or disclosure of personal information.
  7. Openness: Individuals should be able to avail themselves of data collection and be able to contact the entity collecting this information.
  8. Accountability: Data collector should be held accountable for failing to abide by any of the above rules. There needs to be a dedicated person.

Hoewel er voor de wet en regelgeving nog meer moet worden geregeld, en zeker in het kader van de AVG worden vastgelegd zijn deze acht principes op dit moment goede basisregels die kunnen worden uitgelegd en worden gehanteerd bij de verwerking van privacygevoelige gegevens. Als bij elke verwerking aan alle acht de principes wordt voldaan dan zijn we op de goede weg.

De volgende keer

In mijn volgende blog ga ik weer dieper in op de wet- en regelgeving en wat er moet worden bepaald voordat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens. Ik ga verder met doelbinding, grondslagen voor verwerking en de begrippen proportionaliteit en subsidiariteit.

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Controle is van gisteren, vertrouwen is van nu

    Het Security team van inspearit hanteert als motto “Sturen op vertrouwen, bouwen aan vertrouwen”. Die nadruk op vertrouwen, dat klinkt vreemd voor een team dat zich met security bezig houdt.

    Lees verder
  • Informatiebeveiliging uit een doosje?

    Hoe komt het toch dat er nog steeds een trend lijkt te bestaan dat informatiebeveiliging kan worden gekocht door een mooi nieuw doosje of product aan te schaffen? Het zou natuurlijk ook mooi zijn als die belofte eindelijk bewaarheid zou kunnen worden, maar ik zie steeds meer parallellen met de verkooptrucjes van allerlei prullaria die overdag op TV worden verkocht.

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking (vervolg)

    Dit is al weer het vijfde deel. We zijn gevorderd tot artikel 6 van de Algemene Verordening Gegevensbescherming (AVG), de rechtmatigheid van de verwerking. Wat er moet worden bepaald voor dat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens.

    Lees verder
  • Privacy: wat is nu eigenlijk een persoonsgegeven?

    Jacques Eding blogt over privacy: Wat is nu eigenlijk een persoonsgegeven en waarom zijn er specifieke regels bedacht voor die gegevens?

    Lees verder
  • Privacy: Wat betekent “verwerken”?

    Jacques Eding blogt over privacy: Wanneer ben ik nu persoonsgegevens aan het verwerken en wanneer ook niet?

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking

    In dit vierde deel behandel ik weer meer formele insteek, wat er moet worden bepaald voordat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens. Ik ga verder met doelbinding, grondslagen voor verwerking en de begrippen proportionaliteit en subsidiariteit.

    Lees verder