8,4 / 10 201 beoordelingen op Springest
030-2308900 info@cibit.nl

Privacy: Wat mag er eigenlijk verwerkt worden?


In deze blogreeks over privacy ga ik in op de verschillende onderdelen van een goed privacy management framework. Uitgebreide juridische verhandelingen laat ik zoveel mogelijk achterwege. Graag geef ik je een aantal praktische handvatten om te komen tot een verantwoorde omgang met persoonsgegevens.

Het eerste deel ging over persoonsgegevens, wat is nu eigenlijk een persoonsgegeven, en waarom zijn er specifieke regels bedacht voor die gegevens, in het tweede deel van de blogreeks werd de term verwerken uitgediept.

In dit blog ga ik in op wanneer persoonsgegevens eigenlijk verwerkt mogen worden. Er zijn duidelijke grenzen in de wetgeving die aangeven wanneer welke gegevens van natuurlijke personen verwerkt mogen worden. De juridische grenzen komen later aan bod. In deze blog een inhoudelijk betoog over verwerken van persoonsgegevens.

Wanneer mag een persoonsgegeven verwerkt worden?

Omdat het niet goed omgaan met persoonsgegevens een grote inbreuk kan hebben op de levenssfeer van een persoon, heeft de wetgever een aantal strikte regels gesteld aan het verzamelen, hebben en houden van privacygevoelige gegevens. De wetgever heeft hier, in mijn persoonlijke opvatting, mee bedoeld dat voor wij, als personen, ervan op aan moeten kunnen dat als wij er zelf voor kiezen (rechtstreeks zoals op facebook, of indirect zoals door wetgeving) gegevens in handen te geven van een verwerker, dat deze er zorgvuldig mee omgaat.

Hoewel wij ons niet altijd bewust zijn van het geven van persoonsgegevens aan derden, denk bijvoorbeeld maar eens aan snelwegcamera’s die onze kentekens registreren, is er altijd een mogelijkheid dat de rechtsprekende macht een blokkade opwerpt tegen het buiten het originele doel van de verzameling gebruiken van die gegevens (casus Belastingdienst en gebruik ANPR systemen t.b.v. bijtelling).

Een ander voorbeeld hiervan is wederom de Belastingdienst die op verzoek van de woningcorporaties loongegevens van huurders overhandigde omdat de woningcorporaties verplicht waren gesteld de huren inkomensafhankelijk te maken. Ten tijde van de beoordeling door de rechter was deze overdracht van gegevens niet goed geregeld. Hierdoor kon er formeel bezwaar worden gemaakt. De rechter heeft dit bezwaar ook toegewezen.

Verwachting van privacy

Een ander belangrijk punt om over na te denken bij een verwerking van persoonsgegevens is de verwachting die een betrokkene heeft van de geboden privacy (Reasonable Expectation of Privacy). Is het logisch, vanuit het oogpunt van een persoon wiens gegevens verwerkt worden dat de gegevensverzameling bestaat?

Een klein voorbeeld, het is redelijk logisch dat de bibliotheek bijhoudt welk boek ik heb geleend, waar ik woon en hoe ik heet. Het is vreemd als diezelfde bibliotheek die gegevens gaat verkopen aan de boekhandel om mij relevante aanbiedingen te doen. Dit is niet iets wat ik verwacht. Of in ieder geval iets waarvoor ik verwacht toestemming te moeten geven.

Maar zelfs als aan alle formele regeltjes is voldaan, er toestemming is gegeven voor de verwerking, kan een verwerking onder druk van de publieke opinie toch nog onwenselijk zijn. Een mooi voorbeeld hiervan is een Nederlandse grootbank, die gegevens van pin-transacties wilde verkopen ten behoeve van marketing. Onder druk door derden werd dit plan teruggetrokken, terwijl (vanaf afstand beoordeeld) de bank aan alle wettelijke eisen had voldaan.

De eerste echte vermelding van privacy in de Harvard Law Review van 15 december 1890! in een juridisch kader benoemt privacy primair als “het recht om met rust gelaten te worden”.

Ook de AVG heeft dit principe nog steeds in enige vorm in de wettekst staan.

Alle rechten die wij als personen hebben op dit vlak, helpen ons om onze persoonlijke levenssfeer te beschermen tegen storende invloeden van buitenaf. Deze beginselen zijn ook verwoord in het Europees Verdrag voor de Rechten van de Mens (artikel 8), het VN-verdrag voor Burgerlijke en Politieke rechten (artikel 17) en ze hebben onder andere geleid tot acht privacy principes van de Organization of Economic Cooperation and Development (OECD). Deze kunnen nog steeds worden gebruikt als handvatten voor de beoordeling van een verwerking.

De acht principes zijn: (in de originele taal)

  • Collection Limitation: Data collection should occur only with knowledge and consent of a concerned individual (data subject).
  • Data Quality: One should only collect information which is relevant and accurate for a particular aim.
  • Individual Participation: The concerned individual should know if their information has been collected and must be able to access it if such data exists.
  • Purpose Specification: The intended use for a particular piece of information must be known at the time of collection.
  • Use Limitation: Collected data must not be used for purposes other than the ones specified at the time of collection.
  • Security Safeguards: Reasonable measures must be taken to protect data from unauthorized use, destruction, modification, or disclosure of personal information.
  • Openness: Individuals should be able to avail themselves of data collection and be able to contact the entity collecting this information.
  • Accountability: Data collector should be held accountable for failing to abide by any of the above rules. There needs to be a dedicated person.

Hoewel er voor de wet en regelgeving nog meer moet worden geregeld, en zeker in het kader van de AVG moet worden vastgelegd, zijn deze acht principes op dit moment goede basisregels die kunnen worden uitgelegd en worden gehanteerd bij de verwerking van privacygevoelige gegevens. Als bij elke verwerking aan alle acht de principes wordt voldaan, dan zijn we op de goede weg.


De volgende keer

In mijn volgende blog ga ik weer dieper in op de wet- en regelgeving en wat er moet worden bepaald voordat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens. Ik ga verder met doelbinding, grondslagen voor verwerking en de begrippen proportionaliteit en subsidiariteit.

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Informatiebeveiliging uit een doosje?

    Hoe komt het toch dat er nog steeds een trend lijkt te bestaan dat informatiebeveiliging kan worden gekocht door een mooi nieuw doosje of product aan te schaffen? Het zou natuurlijk ook mooi zijn als die belofte eindelijk bewaarheid zou kunnen worden, maar ik zie steeds meer parallellen met de verkooptrucjes van allerlei prullaria die overdag op TV worden verkocht.

    Lees verder
  • Privacy: De AVG? Wij verzekeren ons wel

    De AVG? Wij verzekeren ons wel. Er gaan op verschillende plaatsen discussies rond met als strekking deze stelling. In deze blog een betoog waarom dit moreel (en juridisch) een verwerpelijk standpunt is.

    Lees verder
  • ​Privacy: Stand van zaken

    Tijdens deze blog gaat Jacques Eding het hebben over zijn bemerkingen rondom privacy nu we nog minder dan een jaar hebben voordat we aantoonbaar in control en compliant moeten zijn aan de Algemene Verordening Gegevensbescherming (AVG).


    Lees verder
  • Privacy: Bewaartermijnen uitgelegd

    In deze blog over privacy gaat Jacques Eding in op de verschillende onderdelen van een goed privacy management framework.

    Lees verder
  • Privacy: Wat is een Functionaris Gegevensbescherming?

    We zijn aangekomen bij deel zes van de blog serie. Zoals vorige week aangekondigd wordt deze blog weer iets praktischer van aard.

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking (vervolg)

    Dit is al weer het vijfde deel. We zijn gevorderd tot artikel 6 van de Algemene Verordening Gegevensbescherming (AVG), de rechtmatigheid van de verwerking. Wat er moet worden bepaald voor dat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens.

    Lees verder
  • Privacy: wat is nu eigenlijk een persoonsgegeven?

    In deze blogreeks over privacy en privacymanagement gaat Jacques Eding in op de verschillende onderdelen van een goed privacymanagement framework.

    Lees verder
  • Privacy: Wat betekent “verwerken”?

    Jacques Eding blogt over privacy: Wanneer ben ik nu persoonsgegevens aan het verwerken en wanneer ook niet?

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking

    In dit vierde deel behandelt Jacques weer meer formele insteek, wat er moet worden bepaald voordat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens. Hij gaat verder met doelbinding, grondslagen voor verwerking en de begrippen proportionaliteit en subsidiariteit.

    Lees verder

Cookies op de website van Cibit

Wij plaatsen functionele cookies, om deze website naar behoren te laten functioneren, analytische cookies
waarmee wij het gebruik van de website kunnen meten en cookies van derden voor het weergeven van emdeded
media (YouTube en GoogleMaps) Hieronder kan je aangeven welke andere soorten cookies je wilt accepteren:

Meer informatie