Posts Under: Nieuws

Problemen bij project voor verbeteren informatieveiligheid

Problemen bij project voor verbeteren informatieveiligheid

Posted on by in Nieuws with no comments

ENSIA is een gezamenlijk project van de VNG, gemeenten en verschillende ministeries. Het project streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid.

ENSIA wordt sinds 1 juli 2017 door verschillende Nederlands gemeenten (WAAR/DOOR WIE) gebruikt om efficiënter te werken. Zes bestaande verantwoordingsprocedures – voor DigiD, de Basisregistratie Personen, de PUN, de BAG, de BGT en Suwinet – werden gebundeld. Gemeenten vullen jaarlijks een zelfevaluatielijst in om zo in één keer verantwoording af te leggen over het gebruik van zes systemen.

Accountantsbureau BDO, dat bij meerdere gemeenten actief is, schreef een rapport naar aanleiding van de recente ervaringen. Hieruit blijkt dat het bewustzijn van én de organisatie rondom informatieveiligheid bij gemeenten fors is toegenomen. Maar dat de verwachte efficiëntieverbetering nog niet is gehaald.

Dit komt doordat het belang van informatieveiligheid nog moet doordringen tot alle werknemers. Medewerkers mijden vaak nog de eigen verantwoordelijkheid. Zoals een medewerker die even wegloopt van zijn pc zonder deze te vergrendelen. Een cultuuromslag is dus nodig om de meerwaarde van ENSIA in te zien.

Daarnaast zijn procedures binnen gemeenten vaak nog versnipperd, waardoor het verzamelen van bewijsstukken voor een audit veel werk en tijd kost.

Volgens BDO zijn het geen onoverkomelijke problemen. In het rapport staan enkele suggesties om problemen te verhelpen:

  • draag het thema breder uit in de organisatie, zodat iedereen zich met het verbeteren van informatieveiligheid bezighoudt;
  • zorg voor eenduidig beleid en eenduidige procedures; en gebruik ENSIA niet alleen om aan verplichtingen te voldoen, maar zie het als een instrument tot verbetering.

Lees het volledige artikel.

Kabinet presenteert nieuwe Nederlandse Cybersecurity Agenda

Kabinet presenteert nieuwe Nederlandse Cybersecurity Agenda

Posted on by in Nieuws with no comments

Het kabinet heeft de nieuwe Nederlandse Cybersecurity Agenda gepresenteerd die moet helpen bij het versterken van de digitale veiligheid. De agenda bestaat uit zeven ambities die zijn uitgewerkt in doelstellingen en maatregelen en samen door overheid en bedrijfsleven zullen worden uitgevoerd.

Volgens het kabinet neemt de dreiging van beroepscriminelen en statelijke actoren toe en zijn gebruikte aanvallen steeds geavanceerder en complexer. Nederlandse overheidsinstellingen en in Nederland gevestigde bedrijven zijn structureel doelwit van digitale spionage door statelijke actoren, zo laat de agenda weten. Zo zijn bijvoorbeeld multinationals en onderzoeksinstellingen in de energie-, hightech-, en chemische sector het slachto?er geworden van digitale spionage. Bij deze digitale inbraken zijn terabytes aan vertrouwelijke gegevens gestolen die een substantiële economische waarde vertegenwoordigen.

De Cybersecurity Agenda moet ervoor zorgen dat Nederland in staat is om op een veilige wijze de economische en maatschappelijke kansen van digitalisering te verzilveren en de nationale veiligheid in het digitale domein te beschermen. Dit moet worden gerealiseerd via de zeven ambities. Eén van de ambities stelt dat Nederland voorop zal lopen in het bevorderen van digitaal veilige hard- en software. Een andere laat weten dat Nederland zijn digitale slagkracht op orde moet krijgen.

Naast het versterken van cybersecurity wordt er ook ingezet op het aanpakken van cybercriminelen en het vergroten van bewustzijn onder gebruikers. “Door fors te investeren in de digitale veiligheid van Nederland, houden we ook cybercriminelen buiten de deur. Het Openbaar Ministerie en de Politie krijgen meer capaciteit om cybercriminelen op te pakken en te vervolgen. Tegelijkertijd mag ook verwacht worden dat burgers zelf meer doen om hun digitale deur op slot te zetten. Daarom wordt geïnvesteerd in voorlichting zodat mensen bekend zijn met de grootste risico’s en belangrijkste maatregelen.”

Image

 

Bron: Security.nl – 21 april 2018

Functionaliteitsvergelijking iNavigator en Key2Control

Functionaliteitsvergelijking iNavigator en Key2Control

Posted on by in Nieuws with no comments

Voor een gemeente in Noord-Nederland is door Peter Tak van Privacy Concepts een korte vergelijking gedaan van de verwerkingsregisters van Key2control en iNavigator. Hierbij is met name gekeken naar het voldoen aan de wettelijke verplichtingen vanuit de AVG en de efficiëntie bij het vullen en onderhouden van het register.

De tekst van het vergelijkend onderzoek vindt u hier. Een overzicht van de onderzochte functionaliteiten kunt hier u vinden.

Conclusie

Beide registers kunnen voldoen aan de minimale wettelijke eisen die de AVG stelt.

Key2control

Het register van Key2control is een gespecialiseerd verwerkingsregister. Het kent aparte velden  voor alle wettelijk verplichte taken en voor een groot aantal optionele zaken die te maken hebben met het registreren van gegevensverwerkingen. Daarop kunt u ook allerlei selecties maken.

Hiermee zijn alle voor een gegevensverwerking relevante zaken vanuit één systeem inzichtelijk.

Daarnaast biedt het de mogelijkheid om zelf het niveau van detaillering te bepalen doordat u zelf de standaardwaarden voor categorieën gegevens kunt aanpassen. Door de wizard-gebaseerde invoer is duidelijk welke informatie vereist is. Met de ingebouwde controle op de wettelijk verplichte informatie en het verlopen van verwerkingsovereenkomsten is in één oogopslag te zien waar u nog niet voldoet aan de registratieverplichtingen. Door de uitgebreide rapportages kunt u veel eenvoudiger voldoen aan inzageverzoeken. Burgers kunnen vanaf april 2018 zelf zien welke verwerkingen u doorvoert in het openbare deel van het register.

iNavigator

Het register van iNavigator is integraal onderdeel van het DSP model met gemeentelijke procesbeschrijvingen en is hier binnen in feite een eenvoudig formulier. Veel informatie moet u in algemene velden opnemen waardoor deze niet makkelijk terug te vinden is en u er geen selecties op kunt maken. U zult een duidelijk proces en externe checklist moeten gebruiken om ervoor te zorgen dat alle verplichte informatie ook geregistreerd wordt. Ook verwerkings- en verstrekkings- overeenkomsten zult u buiten het systeem moeten registreren. Voor een volledig overzicht van een gegevensverwerking zult u dus informatie uit verschillende systemen moeten combineren.

Daarnaast zullen degenen die belast zijn met het bijhouden van het register ook de autorisatie moeten hebben om de beschrijvingen van de processen in het DSP model aan te passen en dienen de informatiearchitecten die het DSP model beheren, er rekening mee te houden dat wijzigingen die zij hierin doen, direct doorwerken in het verwerkingsregister. Het is in dit geval essentieel dat er duidelijke afspraken worden gemaakt en dat er onderlinge afstemming tussen de privacy officer en de informatiearchitect plaatsvindt bij wijzigingen in het model DSP.

Gemeenten zetten vaart achter hun privacy aanpak. “100e gemeente aangemeld op verwerkingsregister FG van Key2Control”.

Gemeenten zetten vaart achter hun privacy aanpak. “100e gemeente aangemeld op verwerkingsregister FG van Key2Control”.

Posted on by in Nieuws with Reacties uitgeschakeld voor Gemeenten zetten vaart achter hun privacy aanpak. “100e gemeente aangemeld op verwerkingsregister FG van Key2Control”.

Vandaag, 21 februari 2018, heeft zich de 100e gemeente aangemeld op het verwerkingsregister FG van Key2Control. Al direct sinds de start van het verwerkingsregister in september 2017 is de interesse van Nederlandse gemeenten, overheden en bedrijven in het register groot.

Vanaf de jaarwisseling neemt de interesse zelfs exponentieel toe en dan vooral bij gemeenten. Volgens de heer Arie Hartog, directeur van Key2Control, is deze ontwikkeling niet echt verrassend.

“Gemeenten zijn momenteel in een snel tempo bezig hun organisatie aan te passen om per 25 mei te voldoen aan de eisen van de AVG”

Dit betekent in de praktijk dat men nu vooral bezig is met het aanstellen van functionarissen gegevensbescherming, het inrichten van een verwerkingsregister FG en het uitvoeren van (D)PIA’s.

De interesse voor het verwerkingsregister FG van key2Control wijdt hij aan de gebruikersvriendelijkheid van de applicatie, de grote hoeveelheid voor de FG belangrijke functionaliteiten en aan het aanbieden van een standaard datastructuur die compliant is met de privacy handreiking van VNG Realisatie. Vanaf 1 maart zal deze dataset structuur uitgebreid worden met inhoud. Daarmee wordt het “klopwerk” voor gemeenten nog verder beperkt.

De applicatie wordt elke drie maanden uitgebreid met nieuwe – standaard- functionaliteiten. De afgelopen maand zijn o.a. 2 factor authenticatie, registreren van datalekken, het kunnen opnemen van PIA-documenten en het ondersteunen van gemeentelijke samenwerkingen toegevoegd. In april zullen functies als het kunnen publiceren van (delen) van de dataset naar de gemeentelijke website, SAML koppelingen en workflow opties opgenomen worden.

Nieuwe functionaliteiten worden vooral in samenwerking met- en op verzoek van de gemeenten zelf ontwikkeld. Ook dit ziet Hartog als een belangrijke meerwaarde.

Geïnteresseerden kunnen zich hier aanmelden voor een gratis proefaccount of kunnen een mailtje sturen naar [email protected]

 

De AVG in Beeld: Toestemming – wanneer – niet (van onze Privacy Management Partners)

De AVG in Beeld: Toestemming – wanneer – niet (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: Toestemming – wanneer – niet (van onze Privacy Management Partners)

 

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het tweede deel van het onderwerp Toestemming en gaan we in op: wanneer moet u uw klant (niet) om toestemming vragen?

In onze vorige blog hebben we de voorwaarden voor een rechtsgeldige toestemming op een rijtje gezet.

De conclusie was dat toestemming vragen best wat om het lijf heeft. In deze blog gaan we in op de vraag wanneer je nu wel en niet om toestemming moet vragen. Ons uitgangspunt is daarbij: vraag zo min mogelijk om toestemming. Niet omdat zware voorwaarden aan rechtsgeldige toestemming worden gesteld, maar omdat het privacyrechtelijk gezien niet redelijk is. In de loop van de voorbereidingen op de AVG is het wellicht een goed idee om eens nauwkeurig na te gaan: vraagt uw organisatie toestemming op momenten waar het eigenlijk niet de bedoeling is?

De grondslagen

Privacywetgeving verplicht de verantwoordelijke na het bepalen en uitdrukkelijk omschrijven van de doelen van de gegevensverwerking een rechtvaardigingsgrondslag te definiëren. Er zijn zes verschillende grondslagen (artikel 6 lid 1 AVG) die niet zo veel verschillen van de grondslagen die we al kenden uit de Wet bescherming persoonsgegevens. Ze houden op hoofdlijnen in dat de verwerking:

a)    akkoord is vanuit uw klant door toestemming voor een of meer specifieke doeleinden;

b)    noodzakelijk is voor de uitvoering van een overeenkomst waarbij uw klant partij is, of om maatregelen te nemen op verzoek van de klant vóór de sluiting   van een overeenkomst;

c)     noodzakelijk is om te voldoen aan een wettelijke verplichting die op uw organisatie rust;

d)    noodzakelijk is om de vitale belangen van uw klant of van een andere natuurlijke persoon te beschermen;

e)    noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan uw     organisatie is opgedragen;

f)     noodzakelijk is voor de gerechtvaardigde belangen van uw organisatie of van een derde, behalve wanneer de belangen of de rechten en vrijheden op het  gebied van gegevensbescherming van uw klant, zwaarder wegen (met name bij een kind).

Om persoonsgegevens te mogen verwerken moet u altijd een van bovenstaande opties kunnen aanwijzen. Nieuw in de AVG is dat de overheid het gerechtvaardigd belang niet meer mag gebruiken bij uitoefening van haar publieke taken. Belangrijk om niet te vergeten is dat uw klant bezwaar mag maken bij de grondslag gerechtvaardigd belang maar ook wanneer de verwerking plaatsvindt op basis van een publieke taak (artikel 21 AVG). Na een dergelijk bezwaar volgt (opnieuw) een belangenafweging, maar dan op basis van de informatie van het individuele geval.

Toestemming als vluchtstrook

De veelbesproken toestemmingsgrondslag is dus slechts één van de mogelijkheden. In de praktijk betekent dit voor veel organisaties dat ze helemaal niet om toestemming hoeven te vragen! Wij schetsen om dat helder te maken de grondslagen als een vijfbaans snelweg (zie afbeelding hieronder).

De privacywetgeving heeft alvast voor u nagedacht wat mogelijke situaties kunnen zijn waarbij u persoonsgegevens zal moeten verwerken. Het resultaat daarvan zijn zes grondslagen op basis waarvan organisaties persoonsgegevens mogen verwerken. Vitaal belang (D) is een grondslag die niet vaak gebruikt kan worden. Daarbij gaat het echt om levensbedreigende situaties. Is een persoon buiten bewustzijn en is medische hulp geboden? Dan kunt u zonder toestemming direct de noodzakelijke persoonsgegevens verwerken om hulp te bieden.

U kunt ook met uw klanten een overeenkomst (B) sluiten voor bijvoorbeeld de koop van een product of dienst. Om te leveren dient u dan persoonsgegevens te verwerken. Let op dat u dan geen persoonsgegevens verwerkt die niet noodzakelijk zijn voor de uitvoering daarvan. Voor extra verwerkingen kan het zijn dat u toch toestemming moet vragen. Bijvoorbeeld wanneer u naast de verkoop analyses wilt uitvoeren op het koopgedrag zodat u persoonsgebonden aanbiedingen kan doen.

 

ToestemmingDan houden we nog twee grondslagen over, die elkaars alternatieven vormen. Vaak wordt het gerechtvaardigd belang (F) genoemd als ‘restcategorie’. Bij het gerechtvaardigd belang wordt een afweging gemaakt door de organisatie die persoonsgegevens verwerkt (weegt het belang, de grondrechten en fundamentele vrijheden van mijn klanten zwaarder dan de gerechtvaardigde belangen van mijn organisatie?). Die afweging wordt niet zo beschreven bij de grondslag toestemming (A). Dan ligt de afweging in principe bij de klant zelf, die hij/zij maakt op basis van de verplichte informatie. Het is maar de vraag of dat, ondanks alle strenge voorwaarden, in de praktijk ook goed lukt.

Er zijn twee goede argumenten om niet te kiezen voor toestemming maar voor het gerechtvaardigd belang. Ten eerste voorkomt u met een goede belangenafweging (inclusief een zorgvuldige DPIA met behulp van deskundigen en stakeholders) dat u zo’n afweging op het bordje van de klant schuift. Die zou met het geven van toestemming ook de voor- en nadelen moeten inschatten, met vaak een complexe achterliggende technologie en bedrijfsvoering en daarin ook risico’s van eventuele toekomstig ander gebruik van de persoonsgegevens moeten meenemen. De kans dat uw klant dat in die split-second lukt is niet groot.

Daarnaast is er een tweede argument gelet op uw bedrijfsvoering. Verwerkingen die voor de bedrijfscontinuiteit essentieel zijn, zijn bij voorkeur niet op toestemming gebaseerd. Deze mag namelijk te allen tijde zonder opgaaf van redenen worden ingetrokken. Bovendien kunnen we de metafoor in bovenstaande afbeelding nog een stukje doortrekken. Bij het kiezen van een grondslag geldt: “keep to your lane”. Je mag niet van grondslag wisselen.

Er zijn echter ook organisaties die bewust wél kiezen voor toestemming. Soms heeft te maken met verwachtingsmanagement van uw klanten. Als je persoonsgegevens wil gebruiken op een manier die uw klant niet verwacht, kan dat ervoor zorgen uw belang niet opweegt tegen het belang van de klant in het kader van het gerechtvaardigd belang. Dat betekent dat toestemming vragen soms de enige optie is om verrassingen te voorkomen en gegevens rechtmatig te verwerken. Omgekeerd zorgt het ervoor dat wanneer de verwerking binnen deze ‘reasonable expectation of privacy’ valt, toestemming dus niet nodig is.

De keuze voor toestemming kan ook te maken hebben met de ‘risk appetite’ van organisaties. We zien steeds vaker dat de Autoriteit Persoonsgegevens toestemming vereist. Af en toe zelfs in gevallen waar je met een zorgvuldige belangenafweging en de juiste maatregelen nog wel had kunnen gaan voor het gerechtvaardigd belang. Om die reden kiezen organisaties af en toe toch voor de zekerheid. Op die manier zullen ze niet de discussie hoeven aan te gaan met de toezichthouder.

Als het echt niet anders kan: (uitdrukkelijke) toestemming

Als u bijzondere gegevens wilt verwerken dan kan het zijn dat u onder specifieke omstandigheden om uitdrukkelijke toestemming van uw klanten moet gaan vragen. Dan gaat het bijvoorbeeld om genetische gegevens, gegevens over gezondheid of gegevens waaruit ras, politieke opvattingen of religieuze overtuigingen uit op te maken zijn. Voor veel van de verwerkingen in deze categorieën geldt echter dat er een uitzonderingen bestaan die geen toestemming vereisen. Wanneer deze niet van toepassing zijn is toestemming dus een laatste redmiddel.

Eenzelfde soort situatie ontstaat als uw organisatie persoonsgegevens buiten de grenzen van de EU en EER wilt verwerken. Er zijn een hoop andere uitzonderingsgronden. Zoals een passend (adequaat) beschermingsniveau, modelcontracten of Binding Corporate Rules. Met uitdrukkelijke toestemming is het in dergelijke situaties alsnog internationale doorgifte mogelijk. Mocht ook dat niet lukken, dan is er nog een uitzondering voor specifieke incidentiele verwerkingen (artikel 49 lid 1 paragraaf 2 AVG).

Ten slotte heeft u de grootste kans op het vragen van uitdrukkelijke toestemming wanneer uw organisatie gebruik maakt van geautomatiseerde besluitvorming (waaronder profilering) op basis van bijzondere persoonsgegevens (artikel 22 lid 4 AVG). Alleen wanneer de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang op grond van Europees of Nederlands recht kunt u op deze manier bijzondere persoonsgegevens verwerken.

Het komt voor dat andere wetgeving dan de AVG u verplicht om toestemming te vragen, bijvoorbeeld de Telecommunicatiewet wanneer het gaat over het versturen van nieuwsbrieven. We zien vaker een spanningsveld ontstaan wanneer in de sectorale wetgeving het vragen om toestemming verplicht wordt gesteld. Dit zullen we in een toekomstige blog nader toelichten.

Toestemming is niet de hamvraag

Bij het overgrote deel van gegevensverwerkingen zal het niet noodzakelijk zijn om toestemming te vragen. De meeste organisaties kunnen zich baseren op een andere grondslag. Bij het verwerken van bijzondere persoonsgegevens zijn er ook uitzonderingen op het verbod waar geen toestemming voor nodig is, zo ook bij internationaal gegevensverkeer. Alleen bij het verwerken van bijzondere persoonsgegevens in de sfeer van geautomatiseerde besluitvorming (profiling) ligt het voor de hand om (uitdrukkelijke) toestemming te vragen aan de betrokkenen.

Bedenk goed dat wanneer blijkt dat toestemming noodzakelijk blijkt, de AVG specifieke voorwaarden stelt aan een rechtsgeldige toestemming. Vergeet daarbij niet om procedureel en op werkinstructie niveau toestemming een plek te geven, zodat áls u om toestemming moet of wil vragen, het geven en intrekken daarvan efficiënt en rechtmatig verloopt!

Bron: pmppartners.nl, 9 januari 2018
De AVG in Beeld: Gegevenswissing (van onze Privacy Management Partners)

De AVG in Beeld: Gegevenswissing (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: Gegevenswissing (van onze Privacy Management Partners)

 

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het recht op gegevenswissing, vaak gelinkt aan het bekendere ‘recht om vergeten te worden’.

Al onder de bestaande privacywetgeving kunnen personen verzoeken doen om gegevens te laten verwijderen.

Dit in drie gevallen: (1) als gegevens feitelijk onjuist zijn, (2) omdat een verwerking onvolledig of ‘niet terzake dienend’ is of (3) als de verwerking op een andere manier in strijd met de wet blijkt. Met de komst van de AVG vinden we in artikel 17 een aangepaste versie van dit recht op gegevenswissing. In deze blog beschrijven wat het precies inhoudt en wat de relatie is met het ‘Recht om vergeten te worden’.

Rechten van betrokkenen zijn verstevigd onder de AVG om meer empowerment te creëren. Het recht op dataportabiliteit was daar een voorbeeld van, daar schreven we al eerder een blog over. Het recht op gegevenswissing is een extra maatregel om te voorkomen dat organisaties persoonsgegeven langer bewaren dan noodzakelijk. Maar vormt bovendien ook een manier om grondrechten op het gebied van privacy in praktijk te waarborgen.

h4>Wanneer moet u wissen?

In de AVG staat dat organisaties verplicht zijn om persoonsgegevens te wissen als er sprake is van een van de volgende situaties:

Wat moet u daarna nog doen?

Wanneer de organisatie de gegevens openbaar heeft gemaakt, geldt het volgende: wanneer blijkt dat de organisatie de gegevens moet wissen, dient hij andere organisaties ervan op de hoogte te stellen dat deze persoon heeft verzocht iedere koppeling naar of kopie of reproductie van de persoonsgegevens te wissen. U moet hierbij (technische) maatregelen nemen om deze verplichting na te komen, maar mag daarbij de beschikbare technologie en middelen in acht nemen. Deze bepaling is geschreven om het recht op vergetelheid te versterken in een online omgeving.

De AVG heeft nog een extra staartje voor het recht op gegevenswissing in artikel 19. U moet als organisatie namelijk iedere ontvanger in kennis stellen van de wissing. Van deze verplichting bent u alleen uitgezonderd wanneer het onmogelijk of onevenredig veel inspanning vergt. Indien uw klant vraagt om een lijst met ontvangers, dient u deze te geven.

Wanneer hoeft u niet te wissen?

Zoals u van wetgeving wellicht inmiddels gewend bent, zijn er ook weer uitzonderingen. Het bovenstaande (zowel de verplichting om te wissen als de verplichting om andere organisaties te laten weten dat iemand heeft verzocht om verwijdering) is niet van toepassing in de volgende gevallen.

Wanneer de verwerking nodig is:

Wat heeft dit te maken met het Recht om vergeten te worden?

In de AVG staat achter de titel van artikel 17 “(Right to be forgotten)” en in de Nederlandse vertaling “(Recht op vergetelheid)”. Enkelen herinneren zich wellicht nog wel vaag een uitspraak tussen een Spaanse ondernemer en een saleskantoor van Google in Spanje. Deze rechtszaak ging over een ondernemer die telkens als hij zijn naam intypte in Google als een van de eerste zoekresultaten werd geconfronteerd met zijn eerdere faillissement.

De informatie in de krant was juist en ook geplaatst in lijn met wettelijke verplichtingen (bij openbare verkoop is maximale publiciteit de bedoeling om zoveel mogelijk bieders te trekken op last van de minister van Arbeid en Sociale Zaken). De hoogste Europese rechter van de Europese Unie sprak zich uit over de vraag of het recht op gegevenswissing (onder de richtlijn) betekent dat de heer Costeja kon eisen van Google de verwijzingen naar dat krantenartikel te verwijderen, omdat de informatie hem schade berokkende en wenste op een gegeven moment vergeten te worden.

De Europese rechter geeft aan dat via het recht op gegevenswissing en het recht op bezwaar Costeja van Google mag eisen dat de links worden verwijderd. Met het oog op de AVG is dit eigenlijk slechts de uitleg van artikel 17 lid 1 sub c AVG. De omstandigheid of hij nu daadwerkelijk schade had speelde daarbij geen rol. De kern van de afweging tussen de (economische) belangen van de zoekmachine en de grondrechten van Costeja in het kader van de gevoeligheid van de informatie over zijn faillissement en het feit dat de informatie zestien jaar daarvoor is gepubliceerd. Sinds die tijd kennen we via de zoekmachine ook citaten als “Sommige resultaten zijn mogelijk verwijderd op grond van Europese wetgeving inzake gegevensbescherming.” Costeja heeft dus op juridisch vlak zijn gelijk behaald, echter zullen inmiddels veel (meer) mensen van zijn situatie afweten dan hij had gewenst.

In een samenleving waar de opslagcapaciteit het bewaren van gegevens niet meer begrensd, hebben we sturing gekregen vanuit de privacywetgeving. Met de AVG is die sturing iets concreter geworden.  Het recht op gegevenswissing stelt personen in staat organisaties alert te houden op wanneer het tijd wordt schoon schip te maken. Tegelijkertijd blijft er de ruimte voor organisaties om gegevens wél te bewaren wanneer daar goede redenen voor zijn. Idealiter zijn organisaties zich daar zelf ook al goed bewust van. Het is aan te raden de komende tijd eens te bekijken wat de status hiervan is binnen uw organisatie, voordat u dat vergeet!

 

Bron: pmppartners.nl, 9 januarai 2018
De AVG in Beeld: Recht van inzage (van onze Privacy Management Partners)

De AVG in Beeld: Recht van inzage (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: Recht van inzage (van onze Privacy Management Partners)

 

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het recht van inzage. Wat zijn de spelregels vanuit de AVG en wat betekent dat voor uw organisatie?

Het is al langer bekend dat personen, waarvan gegevens worden verwerkt, beschikken over bepaalde ‘rechten van betrokkenen’. Na het recht op dataportabiliteit
en gegevenswissing is het in deze blogreeks nu de beurt aan het inzagerecht.

Recht van inzage

Al onder de bestaande privacywetgeving kunnen personen inzageverzoeken doen bij alle organisaties en instanties die hun gegevens gebruiken. In praktijk blijkt dat dit recht soms wordt gebruikt in context van een discussie die weinig te maken heeft met privacy. Daarbij heeft het gros van de organisaties vaak geen efficiënte manier om op dit soort verzoeken in te gaan. Dat leidt tot frustratie en veel extra werk.

Wat valt onder het inzagerecht?

In lijn met de AVG kan een persoon slechts informatie opvragen wanneer dit eigen persoonsgegevens zijn. Gaat het om gegevens van een kind? Dan mag totdat het kind 16 is de ouder(s) of wettelijke vertegenwoordiger een verzoek doen. Daaronder vallen in ieder geval alle persoonsgegevens die geautomatiseerd worden verwerkt. Voor de offline-gegevens geldt dat wanneer ze in een ‘bestand’ (artikel 4 lid 6 AVG) zitten of bedoeld zijn om daarin te worden opgenomen, ook vallen onder de reikwijdte van het inzagerecht.Rechtspraak heeft in het verleden uitgewezen dat juridisch analyses of documenten waarin slechts sporadisch de naam van de persoon voorkomt niet beschikbaar gesteld hoeven te worden als iemand daar om vraagt via het inzagerecht. Persoonlijke interne notities die niet bestemd zijn om in een dossier te worden opgenomen vallen eveneens buiten het inzagerecht.

Is een samenvatting van alle gegevens die u van een persoon heeft in dossiers goed genoeg? Volgens de Autoriteit Persoonsgegevens niet. De toezichthouder heeft in lijn met rechtspraak aangegeven dat daarmee een belangrijk deel van de informatiewaarde verloren gaat.

Wat moet u precies laten inzien?

In uitbreiding van wat er in de huidige privacywet staat, geeft de AVG in artikel 15 een lijst van informatie die u moet verstrekken bij een inzageverzoek:
•doeleinden van verwerking;
• categorie persoonsgegevens;
• (categorie) van ontvangers;
• bewaartermijnen;
• dat de verzoeker het recht heeft gegevens te rectificeren of wissen en de verwerking te beperken of bezwaar te maken;
• dat de verzoeker het recht heeft een klacht in te dienen bij de toezichthouder;
• wanneer u de gegevens van een andere partij heeft verkregen, alle beschikbare informatie over deze bron;
• wanneer de gegevens buiten de grenzen van EU/EER zijn gegaan, welke passende waarborgen zijn genomen.Waar onder de huidige richtlijn lidstaten zelf nog mochten bepalen of een recht op kopie van persoonsgegevens bestond, is de AVG daar helder in. Artikel 15 lid 3 AVG geeft aan dat u een kopie dient te verstrekken.

Mag u inzage weigeren?

Jazeker. Er zijn twee scenario’s denkbaar waarbij u nee kunt verkopen richting personen die hun inzageverzoek indienen. Ten eerste wanneer u geen persoonsgegevens verwerkt van die persoon, of zo minimaal dat ze vallen onder de uitzonderingen zoals hierboven in deze blog geschetst.Ten tweede geldt er een uitzondering voor het recht van kopie. In artikel 15 lid 3 AVG staat dat het recht om een kopie te verkrijgen geen afbreuk mag doen aan de rechten en vrijheden van anderen. Daarbij kunt u denken aan het recht van privacy (bescherming van persoonsgegevens) van een andere persoon, maar ook aan bedrijfsgeheimen of intellectueel eigendom. De weigering dient u wel goed te beargumenteren én te vertellen tegen degene die het inzageverzoek heeft gedaan.In Nederlandse uitvoeringswet AVG is nog een extra uitzondering neergelegd voor archiefbescheiden. Het inzagerecht is niet van toepassing op archieven die in een archiefbewaarplaats zijn opgenomen. Voor de overige archiefbescheiden geldt dat wanneer de verzoeken zodanig ongericht zijn, deze mogen worden geweigerd.

Los van de vraag of u kúnt weigeren met een goede reden, moet u onverwijld maar in ieder geval binnen een maand reageren op het verzoek van uw klant of cliënt. Die termijn ligt vast in de AVG, dus daar zijn geen eigen ruimere termijnen voor mogelijk.

Maar: vergeet niet na te denken

Misschien wel het allerbelangrijkste van de praktische uitvoering van het recht op inzage is het volgende: de identificatie van de verzoeker. Voorkom dat de personen binnen uw organisatie gegevens delen met onbevoegde personen. Het is verleidelijk om klantgericht een persoon aan een balie of telefoon direct te willen helpen. Maar u zult de eerste niet zijn die daarmee onbewust een datalek veroorzaakt.

Zorg voor interne procedures

De AVG staat in lijn met het accountability-principe dat organisaties regelingen moeten treffen om het gemakkelijker te maken voor personen om hun de rechten van betrokkenen uit te oefenen. Daarbij hint de AVG op mechanismen voor recht op inzage, correctie en verwijdering. U kunt daarbij er vanuit gaan dat personen bij u ook digitaal een dergelijk verzoek moeten kunnen indienen. Heldere en bruikbare interne procedures kunnen hierbij helpen zonder de klantvriendelijkheid te ondermijnen.
Bron: pmppartners.nl, 9 januari 2018
De AVG in Beeld: het BSN (van onze Privacy Management Partners)

De AVG in Beeld: het BSN (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: het BSN (van onze Privacy Management Partners)
In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op het burgerservicenummer (BSN). Verandert er iets met de komst van de AVG?
Wanneer u dit leest bent u misschien net zelf op vakantie geweest of staat u aan de vooravond daarvan. Voor de gevorderde privacyprofessional komen daar interessante situaties bij kijken. Want hoe zit dat met het afgeven van uw paspoort of ID bij de receptie? Het kan ook een groot onderwerp zijn in de dagelijkse gang van zaken binnen uw organisatie. Is het BSN voor u de manier om een persoon te authentiseren of werkt het goed om datakwaliteit te borgen? Mag dat wel? En als we het dan toch erover hebben: dat BSN, is dat nu een bijzonder persoonsgegeven of niet?

Wbp versus AVG

In de Richtlijn staat in artikel 8 lid 7 dat lidstaten de voorwaarden vaststellen voor het rechtmatig gebruik van een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard. Lees: ruimte voor lidstaten om eigen voorwaarden te stellen voor het verwerken van dit soort persoonsgegevens. Lidstaten mogen dus al sinds de Richtlijn zelf bepalen óf en zo ja welke voorwaarden gesteld worden aan een nationaal identificatienummer. Het BSN is daar bij uitstek het bekendste voorbeeld van, maar ook andere nationale identificatienummers zoals het BIG-nummer voor geregistreerde beroepen vallen hieronder.

In de Wet bescherming persoonsgegevens (Wbp) staat in artikel 24 dat ‘een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking slechts gebruikt wordt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald’. Oftewel: het BSN mag u alleen gebruiken als er ergens in een wet staat dat uw organisatie die bevoegdheid heeft óf als het in lijn is met doeleinden van de wet. Dit is dus de Nederlandse regel die is opgesteld binnen de ruimte die Europa heeft gegeven.

In de Uitvoeringswet AVG (artikel 44 – nummering volgens consultatieversie van december 2016) staat precies hetzelfde als in de Wbp. Dat is niet gek, want eerder schreven we al dat Nederland de ruimte die lidstaten krijgen van de AVG beleidsneutraal doorvoert. Maar wat verandert er dan?

In de AVG staat dezelfde bepaling als in de Richtlijn, maar nu in artikel 87. Waarom telkens die verwijzingen naar de artikelnummers? Omdat dát eigenlijk de grootste verandering is. Onder de Richtlijn is de bepaling over nationale identificatienummers een lid van het artikel over bijzondere persoonsgegevens. In de Wbp zien we daarom de Nederlandse regel terug in de paragraaf “De verwerking van bijzondere persoonsgegevens.” In de AVG staat de bepaling over nationale identificatienummers (en de ruimte die lidstaten hebben daar voorwaarden voor te stellen) in het hoofdstuk “Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking”. Ook in de Uitvoeringswet AVG zien we geen relatie meer tussen bijzondere persoonsgegevens (ras, etniciteit, politieke opvattingen, etc.) en het nationaal identificatienummer.

Kortom, onder de AVG is het BSN dus géén bijzonder persoonsgegeven meer. Desondanks blijft (voor Nederland) het verbod voor verwerking van BSN gelden zoals we dit al jaren kennen. Dit verbod kan alleen worden opgeheven door een wettelijke bevoegdheid of handelen met BSN naar een doeleinde van zo’n wet. Bijzondere persoonsgegevens hebben nog een lijstje met uitzonderingsredenen waardoor het verbod in sommige gevallen niet meer geldt. Voor nationale identificatienummers gelden deze niet, dus u hoeft niet eens te denken aan de vaak geopperde toestemming, hoe uitdrukkelijk ook!

 

Identiteitsfraude: de waarde van een veilig BSN

De meeste argumenten waarom we het BSN moeten beschermen gaan over (het risico op) identiteitsfraude. Via ANP heeft het Centrum Meldpunt Identiteitsfraude (CMI) dit jaar nog laten weten 1.724 meldingen ontvangen te hebben in 2016 – dit is meer dan het dubbele dan in 2015 werd gemeld. De tweede grootste categorie van meldingen bestond uit fraude met een paspoort (316), gevolgd door de ID-kaart (223) of het rijbewijs (152). De precieze cijfers van 2016 zijn nog niet algemeen beschikbaar, maar kijkend naar het lijstje uit 2015 vallen het ID en het BSN wel op.

bsn

De nieuwe cijfers geven volgens het CMI overigens niet aan dat identiteitsfraude toeneemt, maar in ieder geval dat het vaker wordt gemeld. Overheidscampagnes besteden de laatste jaren meer en meer aandacht in de media aan bescherming van persoonsgegevens (liever gezegd de schandalen daaromtrent) en dragen bij aan een groter bewustzijn en kritische houding. Ook is er de KopieID app van de overheid om gemakkelijk en snel uitgangspunten van richtsnoeren van de Autoriteit Persoonsgegevens uit 2012 (toen nog CBP) te volgen. Daarbij is het wegstrepen van het BSN de vaste prik.

Wat kan nu gebeuren als het BSN van uw klanten verkeerd terecht komt? Of als een haarscherpe kopie van een ID in verkeerde handen komt? Een naam, geboortedatum en BSN is voor kwaadwillende personen voldoende om een lening aanvragen of een telefoonabonnement afsluiten. Maar ook het frauderen met een namaakversie van een ID-bewijs kan nare gevolgen hebben omdat daar een veel vervelendere situatie achter kan zitten, zoals zware criminaliteit waarvoor een andere identiteit uitkomst biedt. Tot slot is het BSN in haar huidige hoedanigheid een nummer dat de spil is in het web in overheidscommunicatie. Dat betekent dat wanneer ergens een foute identiteit schuilt achter een BSN-gebruik, door verschillende koppelingen het probleem voor de echte persoon achter het BSN snel kan groeien.

 

En de praktijk?

Het gebruik van het BSN is vaak een punt van discussie. In de praktijk komt de juridische werkelijkheid soms in de knel. Het strenge regime laat de nummers slechts door wettelijk bevoegde organisaties verwerken. Daarnaast zien we (wettelijke) verplichtingen voor gebruik van het nummer, soms zelfs in openbare communicatie. De Autoriteit Persoonsgegevens heeft onlangs aangegeven om dergelijke situaties te onderzoeken. Daarbij gaat het over het BTW-nummer van zzp’ers dat deels uit hun BSN bestaat.

Hoe dan ook, de AVG (eigenlijk sec de Nederlandse Uitvoeringswet AVG) toont opnieuw een stukje juridische waarheid met daarachter een veel complexere praktijk. Daarvoor worden de meest creatieve oplossingen bedacht, bijvoorbeeld het vervangbaar maken van het BSN zoals je met een pincode mogelijk is . Anderen berusten in de gedachte dat met strengere handhaving het probleem van het BSN zal vervagen.

 

Waarom (en hoe) dan wel?

Bekijk voor uw organisatie of en waar in de wet staat dat het BSN verwerkt moet worden. In de Wet algemene bepalingen BSN of Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg staan de meeste, maar het kan ook dat in sectorale wetgeving de bevoegdheid is toegedicht aan organisaties. De laatste wet heette tot 1 juli overigens de Wet gebruik BSN in de zorg. Werkt u bij een gemeente, zorginstelling, zorgverzekeraar of onderwijsinstelling? Dan zult u het BSN moeten verwerken, maar blijf daarbij wel altijd goed in de gaten houden met welk doel u het BSN verwerkt. Voor onderwijsinstellingen is het gebruik van het BSN verplicht, maar onder de noemer onderwijsnummer of persoonsgebonden nummer (PGN). Het BSN blijft een nummer dat bedoeld is om Nederlandse burgers te identificeren, en kan dus niet als lidnummer in uw systemen of briefkenmerknummer worden gebruikt.

Natuurlijk zijn er ook voordelen van het gebruik van het BSN. Sommige organisaties gebruiken (on)bewust het BSN voor eigen doeleinden of zonder wettelijke grondslag. Het BSN is namelijk een handig nummer, bijvoorbeeld als blijkt dat ouders hun pasgeboren tweeling dezelfde initialen hebben gegeven. Onder de huidige en aankomende wetgeving zorgt deze efficiëntie echter niet voor een rechtmatige verwerking.

Zijn er dan echt geen manieren om het BSN te verwerken zonder wettelijke bevoegdheid? Nee, in principe niet. Ook het vervormen of versleutelen van een BSN blijft een onrechtmatige verwerking zonder grondslag uit de wet. Toch zijn er zijn wel praktische oplossingen denkbaar om het unieke en handige karakter van een BSN te gebruiken. De omslag tussen BSN en een ander uniek nummer moet daarvoor altijd bij een organisatie plaatsvinden die wél deze bevoegdheid heeft.

Bron: pmppartners.nl, 9 januari 2018

De AVG in Beeld: biometrische gegevens (van onze Privacy Management Partners)

De AVG in Beeld: biometrische gegevens (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: biometrische gegevens (van onze Privacy Management Partners)
In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op biometrische gegevens. Een nieuwkomer onder de AVG, in de categorie bijzondere persoonsgegevens. Wat moet u daar over weten?

Kon u het rijtje met bijzondere persoonsgegevens al opdreunen onder de huidige privacywetgeving?

Dan weet u vast ook al dat er twee nieuwe soorten persoonsgegevens bij zijn gekomen onder de AVG. Naast genetische gegevens vinden we ook de zinsnede “biometrische gegevens met het oog op de unieke identificatie van een persoon” in artikel 9 lid 1 AVG. De kwalificatie van een bijzonder persoonsgegeven betekent dat een verbod op verwerking geldt voor deze gegevens. Natuurlijk mogen ze onder omstandigheden wel gebruikt worden, maar dan moet wel aan specifieke voorwaarden voldaan zijn. Daar gaan we in deze blog op in.

Wat zijn biometrische gegevens?

De AVG omschrijft in haar definities biometrische gegevens als “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens” (artikel 4 lid 14).

Kortom, we hebben het over meetgegevens van personen die specifieke eigenschappen bevatten. Andere voorbeelden van biometrische gegevens zijn de iris, het netvlies, de geometrie van een handomtrek, stemgeluid, handschrift en de manier dat iemand zich voortbeweegt.

In de AVG-overwegingen vinden we terug dat foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Het smoelenboek met collega’s zal dus geen verwerking van bijzondere persoonsgegevens zijn. Een nieuw systeem waarbij alle collega’s door middel van gezichtsherkenning hun computer kunnen unlocken, valt wel onder de bijzondere categorie waar een verbod op rust.

Wat zijn de uitzonderingen voor het verwerken van biometrische gegevens?

Naast de uitzonderingsgrondslagen uit de AVG in artikel 9 lid 2 kunnen lidstaten bijkomende voorwaarden of beperkingen stellen voor de verwerking van biometrische gegevens. In de Uitvoeringswet AVG (consultatieversie, december 2016) heeft Nederland voorlopig voorzien in extra uitzonderingsmogelijkheid in artikel 26 Uitvoeringswet AVG.

Het verbod op de verwerking van biometrische gegevens (verwerkt met het oog op unieke identificatie van een persoon) kan voor een specifiek proces worden opgeheven indien dit “geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.” Er dient dus wel een juiste belangenafweging plaats te vinden, maar binnen deze kaders ontstaat er onder deze consultatieversie van de Uitvoeringswet ruimte voor het gebruik van biometrie onder Nederlandse wetgeving.

Deze uitbreiding van de AVG-uitzonderingen is een logische stap gelet op de situatie waarin veel organisaties nu of in nabije toekomst met biometrische toegangscontrole werken voor locaties. Zonder de uitzondering in de Uitvoeringswet AVG is een van de weinige opties voor rechtmatig gebruik van biometrie de uitdrukkelijke toestemming. Die is vaak problematisch gelet op de werkgever-werknemer verhouding. Toestemming is in die gevallen bijna nooit ‘vrij’ gegeven.

Verplichte DPIA bij biometrische gegevens

In overweging 91 van de AVG staat nog iets interessants. Daar wordt uitgelegd wanneer u een Data Protection Impact Assessment (of (D)PIA, of in het Nederlands GEB) moet uitvoeren indien biometrische gegevens worden verwerkt. Daar staat:

“Een gegevensbeschermingseffectbeoordeling dient ook te worden gemaakt wanneer persoonsgegevens worden verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de profilering van deze gegevens, of na de verwerking van bijzondere categorieën van persoonsgegevens, biometrische gegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.”

Met andere woorden:  het lijkt erop dat niet alle biometrische gegevens per definitie bijzondere persoonsgegevens zijn, maar alleen de biometrische gegevens die worden gebruikt met het oog op de unieke identificatie van een persoon. Die bijzin in artikel 9 lid 1 AVG staat daar niet voor niets. Het is goed mogelijk dat de AVG hier dus voor het uitvoeren van een DPIA een bredere interpretatie dan biometrische gegevens als bijzonder persoonsgegeven heeft bedoeld.

Beveiliging met biometrie

Los van het soms nog wat onduidelijke juridische kader, speelt uiteraard ook de praktijk nog een rol. Al een langere tijd tonen veel initiatieven succesvol aan dat ook beveiliging met biometrie niet 100% waterdicht is. Zo kunnen slimme jongens met play-doh, lijm of foto’s van vingerafdrukken al een eind komen. Maar wie weet ziet de AP dat nog door de vingers.

 

Bron: pmppartners.nl, 9 januari 2018
De AVG in Beeld: profilering (van onze Privacy Management Partners)

De AVG in Beeld: profilering (van onze Privacy Management Partners)

Posted on by in Nieuws with Reacties uitgeschakeld voor De AVG in Beeld: profilering (van onze Privacy Management Partners)

<

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op profilering. Als u zich aan de AVG wilt houden, moet u bij profilering datakwaliteit, transparantie en menselijkheid in overweging nemen. Wat moet u hier over weten?
Algoritmes die discrimineren, adverteerders die meer van je weten dan je eigen vader, en fatale fouten als deze:
“Vorige maand is Amerikaanse gevangene Lamonte Mims vrijgelaten op basis van de voorspelling van het algoritme genaamd PSA: Mims kan veilig vrijgelaten worden zonder zorgen voor een terugval. Vijf dagen later vermoordde en beroofde hij een 71 jaar oude man. Een van de medewerkers was vergeten een eerder arrest in het systeem te zetten.” (-Wired.com, vertaald)
Profilering staat vaak in de schijnwerpers, maar niet altijd negatief: het zal bijvoorbeeld niet lang meer duren voor we gepersonaliseerde hotelkamers gaan zien. Dimitri Tokmetzis van de Correspondent noemt het zelfs ‘standaardgereedschap’ (de digitale schaduw). En omdat profilering hand in hand gaat met big data en persoonsgegevens, kan ook de AVG er niet omheen. Artikel 22 behandelt expliciet profilering, als onderdeel van besluitvorming op basis van geautomatiseerde verwerking, wanneer het besluit rechtsgevolgen voor iemand heeft of andere serieuze gevolgen heeft.
De Nederlandse overheid gebruikt nu geen profilering voor vervroegde vrijlatingsbesluiten, maar zet het wel in voor andere gebieden waar serieuze gevolgen mogelijk zijn. Dit zijn bijvoorbeeld Jeugdzorg, de Belastingdienst, fraudedetectie (SyRI), onderwijs, en veiligheid (het raffinaderij-concept bij de Politie) [2]. Profilering is onderdeel van onze samenleving; hoe zorgt de AVG ervoor dat problemen als die van Mims zo veel mogelijk achterwege blijven?
Datakwaliteit
Een vergeten arrest veroorzaakt een onterecht groen licht voor vrijlating: kleine menselijke fouten kunnen grote gevolgen hebben voor de betrokkene of voor anderen. En niet alleen fouten kunnen funest zijn: denk je eens in dat uw kleine zusje/dochter op uw Netflixprofiel series gaat kijken. Zou u de aanbevelingen nog vertrouwen?
Gegevens vormen de basis voor besluiten, en moeten dus correct zijn. Hoe zorg je daarvoor? Periodieke checks, en reminders voor betrokkenen om hun gegevens actueel te houden, zijn een logische eerste stap. Maar ook een efficiënte inrichting van het inzage– en correctierecht, die op het eerste gezicht voor de betrokkene zijn bedoeld, kunnen de organisatie hierin ondersteunen.
Natuurlijk kan geen organisatie al zijn gegevens altijd actueel houden. De AVG vereist ook alleen dat er redelijke maatregelen zijn genomen voor de datakwaliteit, zoals die hierboven beschreven. Wat rest om ernstige gevolgen veroorzaakt door onjuiste informatie te voorkomen, is menselijk bewustzijn. Wanneer een verwerking rechtsgevolgen of andere serieuze gevolgen voor iemand heeft, moet het uiteindelijke besluit altijd genomen worden door een mens. Een persoon die erkent dat ook een algoritme het fout kan hebben.
Transparantie
Iedereen weet wat profilering is, maar niet iedereen heeft door wanneer hij geprofileerd wordt. Volgens de Autoriteit Persoonsgegevens vertellen organisaties niet altijd dat ze aan profilering doen. In de verplichte privacyverklaring wordt profilering verbloemd als:
  • (risico)profiel;
  • gedragsanalyse;
  • persoonlijke/gepersonaliseerde aanbiedingen;
  • op basis van uw (surf)gedrag of (surf)gedrag van anderen;
  • interesse-gebaseerd;
  • gebaseerd op uw voorkeuren;
  • segmentering/segment(en);
  • online behavioural advertising/targeting.

En bij een overheidsorganisatie als:

  • risico-inschatting;
  • risicogericht controleren.

Over profilering moet helder en begrijpelijk worden gecommuniceerd. Naast de informatie die de verantwoordelijke bij een ‘normale’ verwerking aan de betrokkene duidelijk moet maken, is er ook de verplichting om nuttige informatie over de onderliggende logica, en de te verwachten gevolgen voor de betrokkene te geven. Nuttige informatie bestaat bijvoorbeeld uit de gegevens die het algoritme meeneemt in het besluit, hoe zwaar elk van deze gegevens meeweegt, en de (typen) uitkomsten.

Het probleem met transparantie

In het voorbeeld van Mims heeft de ontwikkelaar van de PSA-software, The Arnold Foundation, de code niet willen vrijgeven. Algoritmes zijn vaak commerciële producten, ook als ze door overheden worden gebruikt. De code en logica daarvoor willen de ontwikkelaars begrijpelijkerwijs niet zomaar vrijgeven. Daarbij: wat zou de gemiddelde persoon aan een code hebben? En kan een gemeentemedewerker uitleggen aan een bezorgde betrokkene hoe het algoritme werkt? Het vrijgeven van de code helpt concurrenten waarschijnlijk meer dan betrokkenen. Daarom kan het advies van de AVG hier aangehouden worden: maak de logica van het algoritme duidelijk, en laat alle technische onbegrijpelijkheden achterwege. Het nut van de informatie voor de betrokkene staat voorop.

Menselijkheid

Het belangrijkste principe rondom profilering in de AVG is dat de menselijke waardigheid en empowerment wordt behouden. De organisatie kan niet de verantwoordelijkheid voor het besluit bij het algoritme leggen: Iedere betrokkene heeft recht op een menselijke tussenkomst bij een besluit met significante gevolgen. Daarbij mag na een dergelijk besluit de betrokkene zijn of haar eigen standpunt kenbaar maken aan de verantwoordelijke, en mag het besluit aanvechten. Men moet beseffen dat de inrichting van een algoritme het resultaat is van een keuze voor het meewegen van bepaalde factoren voor een beslissing (en daarmee het weglaten van andere). Kortom, het is goed te realiseren dat een algoritme geen eenduidige waarheid geeft.

Bron:pmppartners.nl, 9 januari 2018