privacy Flashcards

Question

Wanneer is de AVG van toepassing?

Answer 1

Wanneer: wanneer - persoonsgegevens worden - verwerkt door - een verantwoordelijke (wie is dat dan) - binnen EU en op EU burgers (behoudens uitzonderingen)

Answer 2

'Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.' ``` Art. 4 definities: - Geïdentificeerde: je weet wie de persoon is, kan naam zijn, kan ook 'die jongen hier met die groene trui' zijn - soms weet bedrijf niet via internet wie de persoon is, maar hebben concreet beeld van die persoon. - Identificeerbaar (ovw 30): als je het nu nog niet weet, maar je kunt erachter komen - 'een studente met medische problemen' - je kunt immers veel databases met elkaar koppelen - ligt natuurlijk ook aan hoe groot een groep is! - Direct: naam, of direct naar identiteit kan herleiden - Indirect: student die van tennis houdt en vader met gele auto heeft. -heel indirect, maar te achterhalen. - Pseudonimiseren (ovw 26, 28, 29 jo. art. 4): geen naam, maar 'student met vader met gele auto', 'jongen met krullen' - unieke informatie, waar andere informatie voor nodig is om identiteit te achterhalen - het is dus wel een persoonsgegeven, maar als er een lek is hoef je minder te doen als je hiermee hebt gewerkt. - Anonimiseren = het strippen van database van ALLE identificatoren - dan is het GEEN persoonsgegeven en AVG niet van toepassing - vraag isL wanneer is iets nou echt anoniem? - Aggregeren: een statistiekje van alle gegevens - de statistiek / de geaggregeerde persoonsgegevens zijn dan geen persoonsgegevens en de AVG is niet van toepassing, TENZIJ: de groep HEEL klein is (VOOR aggregatie natuurlijk ook persoonsgegevens) EN tenzij je de statistieken gaat gebruiken om in te mengen in het leven van datasubject. - Encryptie: ook dit zijn persoonsgegevens - is wel goed om te beveiligen, maar nog steeds identificerend of identificeerbaar. - Overleden/ongeboren (ovq 27): AVG niet van toepassing, maar discussie over 'eenmanszaken', soms zegt info van overledene iets over levenden - familiaire banden: erfelijke ziekten - ongeboren vrucht; kun je daar van zeggen die moet beschermd worden: dat wordt steeds meer gezegd. - Gevoelig/ongevoelig (bijzondere: ongevoelig = man met rode hoed op - gevoelig = geaardheid, ras et cetera - extra zwaar regime die mag je NIET verwerken. Alles verwerken (ook wissen), misschien met uitzondering van puur passief doorvoeren van gegevens). - Geautomatiseerd: alles wat met telefoons of pc's gaat - waar digitale technieken van toepassing zijn - Niet geautomatiseerd: dan is de AVG eigenlijk niet van toepassing, TENZIJ in bestand opgenomen. - Bestand: is een gestructureerd iets (ovw 15). ```

Answer 3

Definities, art. 4 AVG: - Verwerkingsverantwoordelijke (natuurlijke/rechtspersoon die * doel (waarom verzamel je), en * middelen vaststelt (hoe doe je dat) - eigenlijk gewoon de persoon die het bedenkt en de opdracht geeft. * alleen of gezamenlijk (gezamenlijke verantwoordelijkheid) - Verwerker (of sub- of sub-): deze verwerkt in opdracht van de verwerkingsverantwoordelijke (zoals een cloud provider die gegevens opslaat). Deze kan ook ontbreken! * Gradueel - mate van zelfstandigheid & mate van eigen belang bij het verwerken van persoonsgegevens; * Diffuus - kan voor het ene proces de verwerker zijn en voor de andere de verantwoordelijke Art. 28 regelt nog de overeenkomst/verhouding tussen verwerkingsverantwoordelijke en verwerker, en ook ovw 81 heeft er wat over te zeggen. - Ontvanger & derde: zie je in de praktijk nauwelijks.

Answer 4

Het idee achter bovenstaande rollen is dat er eimand de verantwoordelijkeheid moet dragen: per verwerking kan een andere rol aangenomen worden. Als er iets fout gaat, dan wordt de verantwoordelijke erop aangesproken. De kern achter de artikelen: als meer dan EEN partij bij de verwerking betrokken is, moet je ALTIJD afsprake contractueel vastleggen wie voor wat verantwoordelijk is; hoe lang, waar, wie - ALLES, art. 26, ovw 79, ovw 81, art. 29. Nu in de AVG veel plichten ook voor verwerker (die voorheen voor verantwoordelijke waren). In Google/Span werd Google voor de indexering die ze deed als verantwoordelijke aangemerkt.

Answer 5

Dit houdt de territoriale toepassing in. Er zijn 4 situaties die nopen tot gehoorzamen! (art. 3 ovw 2 , ovw 22) Lid 1: een organisatie (verwerkingsverantwoordelijke of verwerker) die activiteiten in de Unie (reclames, diensten, pizza bezorgers etc.) verricht - de verwerking zelf hoeft dus niet hier plaats te vinden. Als domino's (verwerking in Amerika) pizza's bezorgt in de Unie is de AVG dus van toepassing. Lid 2: iemand (ook toerist) die in de Unie is en er het volgende gebeurt door een buiten Unie gevestigde organisatie: - sub a: aanbieden goederen of diensten aan betrokkene in de Unie - Sub b: monitoren van gedrag van betrokkene in de Unie Lid 3: dit ziet meer op ambassades: mogen we vergeten. Ook overwegingen 2, 22, 23, 24 en 25 gaan hierover.

Answer 6

Art. 4: schriftelijk aangewezen (natuurlijk/rechts) persoon in de Unie door verwerkingsverantwoordelijke uit hoofde van art. 27 - moet indien art. 3 lid 2 van teopassing is (hierboven), tenzij incidentele verwerking e.a. gronden (art. 27 lid 2). Moet zodat er een aanspreekpunt is voor betrokkenen. Wanneer gericht op Uniemarkt? Google Spain. Is het op de Unie gericht of bereikte de dienst 'toevallig' de unie? Uit externe omstandigheden proberen af te leiden, valuta van een webshop, maar doorslaggevend is het DOEL van de verwerkingsverantwoordelijke; is dat bereik hebben in de Unie?

Answer 7

Artikel 2 (belangrijkst) AVG is niet van toepassing als: - Lid 2: a: buiten de werkingssfeer van EU (zoals terrorisme of oorlog) (ovw 16) b. door lidstaten uitvoering activiteiten in het kader van titel V, VEU (ovw 16) Let wel: art. 8 EVRM is wel gewoon van teopassing. EHRM erkent niet alle verwerkingsprincipes die in Unie worden gehanteerd, maar hanteert wel soortgelijke standaarden. Daarom zijn veel privacy- en gegevensverwerkingsprincipes toch gewoon van toepassing op inlichtingen- en veiligheidsdiensten. c. Zuiver persoonlijk of huishoudelijke dingen (adres boekje, afgesloten fb pagina/webshop, Linqvist, persoonlijke camera filmend in openbaarheid - wel verwerken Rynes) (ovw 18) d. Voorkoming etc. strafbare feiten (voor politie en justitie) (ovw 19) - er is een politierichtlijn van kracht gegaan tegelijkertijd met de AVG. Daarin staan de utigangspunten van de AVG. - Lid 3: verwerking door organen van de Unie zelf; andere verordening is van toepassing (ovw 17) - Lid 4: aansprakelijkheden van internetproviders. (ovw 21)

Answer 8

Weer een beetje een vaag artikel; hierin staat weer dat de verordening niet van toepassing is met voorkoming strafbare feiten, nationale veiligheid, maar daar was toch ook een andere richtlijn voor? Blijft onduidelijk dus. Belangrijker: taken. Dan kan iets worden ingeperkt. Denk bijv. als jij inzage wil van gegevens die de belastingdienst heeft, dt ze die niet per se hoeven te geven. (Ovw 20 en 73, Geoffrey, Englebert)

Answer 9

Hoofdstuk 9 geeft een serie van artikelen in situaties waarbij de nationale wetgever aparte regels mag stellen: dit zijn punten waarop de AVG een uitgangspunt geeft, maar geen definitief antwoord en op deze gronden mag de nationale wetgever eigen regel stellen: het gaat voornamelijk over publieke waarden waarvoor het verwerken van persoonsgegevens van groot belang is. Bijv. verwerkingen in kader van vrijheid van meningsuiting: journalisten die gegevens verwerken van burgers en politici (persvrijheid). Onze overheid kan dus uitzonderingen geven voor journalisten. Per artikel staat dat bepaalde artikelen met bepaalde doeleinden beperkt mogen worden. (overweging 153 AVG) - Art. 85: vrijheid van meningsuiting (journalisten) (HvJEU Tietosuojavaltuutettu) - Art. 86: recht op toegang officiele documenten (ovw 154). Soms worden rapporten en verslagen persoonsgegevens genoemd, maar het is belangrijk dat het publiek de rapporten kan zien/lezen. - Art. 87: identificatienummer - Art. 88: arbeidsverhouding (ovw 155) - Art. 89: archivering algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden (ovw 156 t/m 162). Stel ensen geven info t.b..v wetenschappelijk onderzoek, dan kun je die info niet later laten verwijderen want dan zijn de onderzoeksresultaten niet meer betrouwbaar: de overheid mag dus beperkingen aanbrengen als dat nodig is. Zulke dingen komen in de uitvoeringswet van de AVG. - Art. 90: geheimhoudingsplicht (ovw 163, 164) - Art. 91: kerken en religieuze verenigingen (ovw 165)

Answer 10

Artikel 95: Hierin staat, dat wanneer persoonsgegevens worden verwerkt, de AVG het belangrijkste document is. Maar, als de e-privacyrichtlijn specifiekere regels op bepaalde punten heeft, dan gaat die voor: lex specialis. Als de e-privacy toestemming vereist, en de AVG vereist o.a. toestemming, dan is de e-privacy specifieker en is er toestemming nodig (ovw 173). GROSSO MODO AVG IS VAN TOEPASSING ALS... 1. Persoonsgegevens (bijna alles is een persoonsgegeven) 2. worden verwerkt (bijna alles is verwerken, iig niet ongestructureerde verwerking offline) 3. Door een verantwoordelijke (er is altijd een verantwoordelijke, maar de vraag is wie. 4. Unierecht moet van toepassing zijn (dat is doorgaans zo - zo niet, dan is het van toepassing als dat bedrijf heir goederen diensten aanbiedt - zich op deze markt richt - of gedrag in de unie monitort) 5. Geen uitzondering van toaepassing (uitzonderingen: veiligheidszaken & puur persoonlijke verwerkingen (huishoudelijk) zijn de grootste uitzonderingen). a. Er zijn beperkingen - gedeeltelijke uitzonderingen i. Publiek belang (belastingdienst) ii. Vrijheid van meningsuiting (journalistiek)

Answer 11

1. Verwerking van persoonsgegevens; wanneer mag het wel en op basis van welke gronden? 2. Verwerken van bijzondere persoonsgegevens, wanneer mag dat wel, wanneer niet? 3. Doorvoeren van persoonsgegevens naar buiten de EU; hoe zit dat?

Answer 12

- Art. 8 EVRM: recht op eerbiediging van privé, familie- en gezinsleven - Art. 7 EU Handvest: eerbiediging van het privéleven en het familie- en gezinsleven - Art. 8 EU Hanvest: bescherming van persoonsgegevens > AVG is een invulling hiervan - Art. 52 EU Handvest: Reikwijdte vna de gewaarborgde rechten) Daarbij zijn aantal punten van belang waaraan altijd moet zijn voldaan. Alle wetten, al het beleid, alle handelingen van overheden en bedrijven moeten aan de hoogste rechten voldoen.

Answer 13

1. Noodzakelijk: wanneer dat is, is niet zeker te zeggen. Een popo mag niet even een bekende Nederlander checken. Organisaties moeten eigenlijk toezien dat niet iedereen erbij kan die het niet nodig heeft. 2. Proportionaliteit: het moet in verhouding staan; heel veel verzamelen voor een klein doel, mag niet. 3. Subsidiariteit: kies het minst ingrijpende middel 4. Effectiviteit: dit volgt eigenlijk van bovenstaande, maar wordt vergeten in het kader van Big Data: soms is het volstrekt onduidelijk of het wel werkt. 5. Wettelijke basis (EVRM) 6. Algemeen belang (EVRM)

Answer 14

Dit is de ruggengraat van de AVG, dit staat allemaal in art. 5 (ovw 4, 39, 50): het belangrijkste artikel van de AVG. ALle rechten en plichten zijn terug te voeren op deze beginselen (dit artikel moet je kunnen kennen), er staan 12 vereisten: 1. Rechtmatig: A. Gegevens moeten stoelen op een van de gronden die in de AVG zijn genoemd; (voor overheid = moet op een wet zijn gebaseerd) B. De gegevensverwerking moet uiteraard ook aan andere wetgeving voldoen, zoals de Grondwet, Wet ongelijke behandeling en het Wetboek van Strafrecht. 2. Verantwoordingsplicht: de verantwoordelijke is de eindverantwoordelijke en doorgaans ook aansprakelijk voor fouten, ook door verwerkers, hij moet erop toezien dat alles goed gaat. 3. Behoorlijk: eerlijk, of goed, of deugdelijk! Wat is eerlijk/fair? In een contract voor horloge zetten dat je ook organen moet doneren. Of: je download een zaklamp app, en moet met de terms and conditions toestemming geven dat 100 bedrijven toegang hebben tot jouw gehele telefoon - het heeft niets te maken met de zaklamp app, dan is het dus niet fair. en FB of Google; is het doorgeven van allerlei gegevens aan andere bedriven noodzakelijk voor het verstrekken van de dienst? 4. Doelspecificatie: de gegevensverwerking moet een specifiek doel dienen (innoveren, ontwikkelen, klanttevredenheid = allemaal neit specifiek genoeg; wel: wat is je adres om de pizza te bezorgen). Zo specifiek zijn omschreven van de betrokkene kan begrijpen en uitleggen dat het belangrijk is. A. Ten eerste betekent dit dat nog vóórdat er wordt aangevangen met het verwerken van persoonsgegevens er een doel moet worden afgesproken. B. Ten tweede moet dat doel uitdrukkelijk zijn vastgelegd, zodat achteraf eenvoudig kan worden gecontroleerd of het oorspronkelijke doel inderdaad gerespecteerd is. C. Tot slot moet het doel specifiek zijn 5. Doelbinding: de gegevens mogen vervolgens in principe alleen voor het vastgelegde doel worden verwerkt. Als je hele algemene doelen hebt, kan er niet zomaar iets buiten vallen. Over wat als 'verenigbaar' of 'onverenigbaar' doel moet worden gezien bestaat een rijke en complexe discussie. Uitzondering daarbij in art. 89 lid 1; wetenschappelijk onderzoek; dit principe kan worden beperkt omdat het niet altijd duidelijk is waarvoor het gebruikt gaat worden; het doel van het onderzoek zelf is niet altijd duidelijk. Art. 6 lid 4 geeft uitleg van dit beginsel: als gegevens worden verwerkt voor een ander doel en het datasubject heeft daarvoor toestemming gegeven, dan mag dat. Want: dan heb je opnieuw toestemming gevraagd en mag je het nog gebruiken om advertenties te sturen. Of het mag van de wet (unie of lidstaat). Ander geval? 5 criteria die je kunnen helpen om te oordelen of sprake is van een verenigbaar doel: a. Verband tussen de doeleinden b. Het kader waarin dat gebeurt c. Aard van de persoonsgegevens d. Mogelijke gevolgen e. Passende waarborgen Ook dit zijn weer 'vage' punten. Het idee erachter: stel je hebt HELE kleine dataset met ongevoelige gegevens die je GOED beschermd, kun je sneller een uitzondering maken op dit principe - maar het is gradueel, geen helder punt. 6. Dataminimalisatie; het uitgangspunt is dat er in principe zo min mogelijk persoonsgegevens worden verzameld. Het dataminimalisatie principe uit de AVG is in wezen een uitwerking van het algemene noodzakelijkheidsvereiste en subsidiariteitsprincipe. 7. Correctheid; de gegevens die je verzamelt en opslaat moeten correct zijn. Het is best lastig; want een datasubject kan een reden hebben om te liegen over zijn gegevens. De verantwoordelijke hoeft niet blind te varen op wat het datasubject zegt. 8. Up-to-date; als persoonsgegevens voor een langere tijd worden bewaard, dan heb je als verantwoordelijke de plicht om ervoor te zorgen dat de gegevens up to date blijven. Dat is belangrijk! Je hebt als datasubject het recht om incorrecte gegevens te laten verwijderen/corrigeren. Maar de verantwoordelijke heeft zelf ook een plicht om dat te doen! Hoe vaak moet je updaten hangt af van hoe groot en hoe gevoelig de dataset is. 9. Opslagbeperking: als je de persoonsgegevens die je hebt verzameld niet langer nodig hebt, bijvoorbeeld omdat je het doel waarvoor je ze verzameld hebt, hebt bereikt, dan moet je ze in principe verwijderen of volledig anonimiseren. Bewaar alleen voor archivering of onderzoek: dan kan het belangrijk zijn gegevens langer te bewaren. 10. Technologische veiligheid; als gegevens worden opgeslagen, bijv. in een database, register of bestand, dan zul je technische veiligheidsmaatregelen moeten treffen; ervoor zorgen dat je niet gehackt kunt worden bijv, of encryptie. 11. Organisatorische veiligheid; als de gegevens worden opgeslagen, bijv. in een database, register of bestand, dan zul je organisatorische veiligheidsmaatregelen moeten treffen. Enkel toegang verschaffen met passwords, loggen van mensen die in de database gaan, etc. 12. Transparantie: de gegevensverwerkingsprocessen moeten transparant zijn: weer eerlijk en open naar de datasubjecten; maar beter zet je een privacy policy op de website ofzo.

Answer 15

1. Verwerking van persoonsgegevens 2. Verwerking van bijzondere persoonsgegevens; 3. Doorvoeren van persoonsgegevens naar buiten de EU.

Answer 16

1. Verwerking van gewone persoonsgegevens (art. 6 AVG) a. Toestemming b. Contract c, e. Wettelijke verplichting en algemeen belang d. Vitaal belang van betrokkene f. Gerechtvaardigde belang van verantwoordelijke is hoger dan van het datasubject

Answer 17

Art. 9 AVG. Ras, etnische afkomst, etc. verwerken mag NIET! Tenzij hele goede redenen, zie overwegingen 51 t/m 56 en 161. Lindqvist laat zien hoe breed die categorie 'bijzonder' is. HvJEU zegt dat 'medische gegevens' zelfs gaat om een gebroken voet. Uitgangspunt is dus een verbod, uitzondering als het direct relateert aan je werkzaamheden als verantwoordelijke. A. Er bestaat een bijzondere relatie tussen het datasubject en de verantwoordelijke a. Arbeids- socialezekerheidsrecht, en socialebeschermingsrecht; b. Gezondheid werknemer; c. Kerk, politieke partij of vakbond d. Vitale belangen van het datasubject B. Het datasubject is akkoord a. UITDRUKKELIJKE toestemming (naast vrij, specifiek etc. moet het uitdrukkelijk zijn) b. KENNELIJK openbaar gemaakt (andere principes zoals doelbinding gelden wel gewoon - als iemand uit de kast komt mag je die info niet ineens gebruiken om advertentie te sturen) C. verwerking is nodig voor algemeen belang of publieke taak a. Zwaarwegend algemeen belang (verspreiding van virussen voorkomen) b. Volksgezondheid c. Rechtsvordering of rechtspraak d. Statistische analyse en wetenschappelijk onderzoek Grond J geeft weer een uitzondering voor archivering in algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig art. 89 lid 1. Grond g spreekt weer van het algemeen belang boven het betrokkene belang.

Answer 18

Art. 44 AVG Uitgangspunt weer hier: doe het gewoon niet! Ovw 101, 102, 114 De AVG zet de hoogste standaard op gegevensbescherming; je kunt niet snel even je data verhuizen naar het buitenland. Uitzondering daarop is weer duidelijk: als je zorgt dat die waarborgen er wel zijn, kan het op 2 manieren: 1. Adequatiesbesluit: art. 45 AVG De EC heeft afspraken gemaakt met een bepaald land dat haar wetgeving gaat updaten zodat het hetzelfde niveau heeft als de AVG. Eigenlijk heel weinig landen hebben zo'n adequatebeslissing (ovw 103-107) VS had een soort tussenvariant (tussen wat?). Er was een zelfcertificeringsmechanisme bedacht: veel bedrijven vonden natuurlijk dat zij voldeden. 2. Passende waarborgen, art. 46 AVG (= contract met andere organisatie) De organisatie hier maakt een contract met organisatie DAAR, waar de organisatie DAAR aangeeft dat ze zich min of meer houden aan de regels van de AVG (ovw 108-110). Toen kwam er een rechtszaak, Max Schrems, (was dit een contract of adequaatheidsbesluit? Tussenvariant?) de regeling tussen VS en EU: de HvJEU verklaarde deze regeling niet rechtsgeldig: er moet een nieuwe regeling komen: de EU heeft toen met redelijke spoed een nieuwe regeling met iets meer waarborgen gemaakt. Experts twijfelen of deze regeling rechtsgeldig is. Ook deze standaardcontracten, opgesteld voor dit doel door de Europese commissie: die worden in twijfel getrokken, zijn ze rechtsgeldig en bieden ze volodende waarborgen? Dat nieuwe privacy Scheild: de nieuwe overeenkomst tussen EU en VS wordt waarschijnlijk weer aangevochten. Afwachten hoe lang dat stand houdt: waarschijnlijk niet. (in art. 46 lid 1 lijkt je te lezen dat het alleen kan als art. 45 niet kan? (ontstentenis)). In art. 47 staat nog wat over bindende bedrijfsvoorschriften.

Answer 19

Passende waarborgen kunnen op TWEE MANIEREN worden geboden: met of zonder voorafgaande toestemming van de toezichthouder, de AP: (onderstaande - tot uitzonderingen - niet behandeld in het college) 1. Expliciete toestemming van de AP zal soms lastig en tijdrovend zijn, maar biedt wel meer rechtszekerheid. De kans dat er dan achteraf iets misgaat is klein. De AP kan bijv. expliciete contractuele overeenkomsten tussen een verantwoordelijke en een verwerker accorderen. De relevante nationale toezichthoudende autoriteit is in principe de toezichthouder van het land waar de verantwoordelijke is gevestigd. 2. Zonder voorafgaande toestemming van de AP kunnen er ook passende waarborgen worden getroffen. Dat kan wederom op twee manieren. a. Ofwel, de passende waarborgen worden getroffen op basis van vooraf vastgestelde bepalingen door de EX, de toezichthouder of op basis van een al door de toezichthoudende autoriteit of een andere autoriteit goedgekeurde gedragscode of certificeringsmechanisme. Het algemene kader is hiermee dus al vastgesteld, de specifieke invulling van dat kader en de regels doe je dan zelf voor je organisatie en de specifieke doorvoer van persoonsgegevens. Dit biedt dus iets minder rechtszekerheid dan vooraf geaccordeerde contracten, maar als je redelijk binnen het gestelde kader blijft dan zal dit over het algemeen geen probleem opleveren. b. Ofwel, de afspraken worden los van vastgestelde kaders opgesteld voor de specifieke organisaties. In dit geval geeft de AVG wel tal van specifieke punten die in deze zogenoemde bindende bedrijfsvoorschriften (Binding Corporate Rules) moeten worden opgenomen.

Answer 20

Uitzonderingen, art. 49 AVG Het mag ZELFS ZONDER adequaatheidsbepaling. EN geen contractuele afspraken. Maar als je maar in incidentele gevallen, een klein aantal persoonsgegevens doorvoert. Je hoeft dus geen contract te hebben, maar kan beroep doen op een van de uitzonderingen. Die uitzonderingen doen weer denken aan art. 6 en 9 met toestemming en belangen etc. (ovq 111, 112, 113). - UITSPRAAK OF BESLUIT ADMINISTRATIEVE AUTORITEIT: Art. 48 AVG (ovw 115): een uitspraak of besluit van een derde land op grond waarvan de verantwoordelijke of de verwerker persoonsgegevens moet verschaffen: het verwerken mag enkel als daarvoor een internationale overeenkomst is. -> klopt dit? - INTERNATIONALE SAMENWERKEING BESCHERMING PERSOONSGEGEVENS Art. 50 AVG (ovw 116). De EC en AP's moeten maatregelen nemen voor procedures met derde landen zodat deze wetgeving gehandhaafd kan worden; en hierbij moeten ze belanghebbende betrekken. - VERHOUDING TOT EERDER GESLOTEN OVEREENKOMSTEN: art. 96 AVG. Deze ovk's (over doorgifte van gegevens) gesloten vóór 24 mei 2016 blijven van kracht tót de wijziging, vervanging of intrekking daarvoor mits in overeenstemming met de AVG.

Answer 21

Art. 30 AVG (ovw 13, 82) Je moet een register bijhouden van de data die je hebt: verwerkingsdoeleinden, welke data, welke categorie. Je hoeft dat niet specifiek per datapunt te doen, maar het gaat om een beschrijving van de categorieën zijn; hoe specifiek dat zegt de AVG niet. Je moet een redelijk beeld creëren. Waarom handig? Voor de organisatie zelf (waarom heb ik die gegevens eigenlijk – en weggooien wat je niet nodig hebt), én voor de functionaris gegevensbescherming en de AP (die checks / audits willen doen: klopt het, waar kunnen we het vinden en is het goed uitgelegd). Hierin moet je de fips beschrijven; welke, waarom, hoe lang, met wie delen, welke doeleinden, hoe beveiligd. Dat soort zaken moeten erin. Lid 5: uitzondering. Kleine organisaties die niet veel en niet gevoelige persoonsgegevens verwerken, die hoeven niet zo’n register bij te houden. Bijv. de pizzakoerier hoeft dat niet. Tilburg University wel. (overheid kan uitzonderingen geven: Volker und Markus Schecke GbR) Dat register moet je bijhouden, waardoor deze plicht bestaat uit de volgende stappen: - Inventarisatie: inventariseer welke gegevens, bestanden en databases er binnen je organisatie zijn - Categorisatie: categoriseer de gegevens en geef aan waarom je de gegevens hebt, op welke wijze je hebt verkregen, of de gegevens worden gedeeld met derden, hoe lang je ze bewaart, welke veiligheidsmaatregelen er zijn getroffen, wie toegangsrechten heeft, etc. - Optimalisatie: zorg dat verouderde databases worden verwijderd, duplicerende gegevens worden opgeschoond en dat gegevens die nog noodzakelijk zijn worden upgedate. - Verificatie: loop alle verplichtingen uit de AVG nog een keertje na en zorg dat waar er knelpunten zijn die worden opgelost of anders de gegevens worden verwijderd. - Actualisatie: Zorg dat als er nieuwe gegevens worden verzameld en verwerkt, dit hele proces opnieuw wordt doorlopen.

Answer 22

Gegevensbeschermingsbeleid, art. 24 AVG (ovw 74 t/m 77) Dit is eigenlijk het eerste artikelen zoals dat in de AVG staat als het gaat om ‘plichten van de verantwoordelijkheden’. Blok III gaat hierover. Dit is het uitgangspunt van de AVG. Waar het eigenlijk om gaat is lid 2: Je moet een gegevensbeschermingsbeleid voeren (dat heeft weer een uitzondering). Hoe kleiner hoe kleiner het beleid hoeft te zijn. Je moet in ieder geval IETS hebben: hoe gaan we om met klachten, welke procedure hebben we voor klachten, hoe beschermen we dat. - Art. 26 – het vastleggen van afspraken tussen verantwoordelijkheden onderling - Art. 28 lid 3 – het vastleggen van afspraken tussen de verantwoordelijke en de verwerker – verwerkersovereenkomst - Art. 28 lid 4 – het vastleggen van afspraken tussen de verwerken en de sub-verwerker

Answer 23

Art. 25: Gegevensbescherming door ontwerp en door standaardinstellingen. (ovw 78) De AVG zegt: voor zover het mogelijk is, bouw je de fips in je technische systeem in. Je kunt wel zeggen ‘we verwijderen na een jaar want dan hebben we ze niet meer nodig’, maar beter bouw je in het systeem in dat dat automatisch gaat (of inbouwen dat onbevoegden er niet in kunnen) – dat is door ontwerp: dan staat het vast. Door standaardinstellingen: in principe worden gegevens na een jaar verwijderd – maar er is nog een beslismoment of uitzonderingsmogelijkheid. Net als in art. 24, dat er rekening wordt gehouden met de stand van de techniek, aard, omvang, doel etc. Dus eigenlijk staat er hoe belangrijker en wezenlijker en gevoeliger de verwerking is, hoe hoger de veiligheid moet zijn. Als het maar klein en ongevoelig is, mag ook gewoon een medewerker aangewezen worden die ff één keer per jaar de gegevens verwijdert. Voorbeelden hoe je dit kunt bewerkstelligen: - Bewaartermijn: de persoonsgegevens worden automatisch verwijderd na een jaar (gegevensbescherming by design) of de persoonsgegevens worden automatisch verwijderd na een jaar, tenzij de functionaris expliciet aangeeft dat de gegevens langer mogen worden bewaard (gegevensbescherming by default). - Doelbinding: de toegang tot persoonsgegevens wordt alleen toegestaan voor vooraf bepaalde doeleinden (gegevensbescherming by design) of de toegang tot persoonsgegevens wordt alleen toegestaan voor vooraf bepaalde doeleinden, tenzij het datasubject aangeeft akkoord te zijn met de verwerking voor de nieuwe doeleinden (gegevensbescherming by default). - Doorvoer: de persoonsgegevens worden automatisch geblokkeerd als er wordt gepoogd ze door te voeren naar landen buiten de EU (gegevensbescherming by design) of de persoonsgegevens worden automatisch geblokkeerd als er wordt gepoogd ze door te voeren naar landen buiten de EU, tenzij er een expliciete keuze wordt gemaakt dat wel te doen, bijvoorbeeld als er goede binding corporate rules zijn afgesproken (gegevensbescherming by default) - Kwaliteit: de persoonsgegevens worden automatisch verwijderd als ze een jaar lang niet zijn upgedate (gegevensbescherming by design) of de persoonsgegevens worden automatisch verwijderd als ze een jaar lang niet zijn upgedate, tenzij het datasubject expliciet aangeeft dat de gegevens correct en up to date zijn (gegevensbescherming by default) - Documentatie: er wordt een automatische rapportage gemaakt als de gegevens worden geraadpleegd en die rapportage wordt automatische doorgestuurd naar het desbetreffende datasubject (gegevensbescherming by design) of er wordt een automatische rapportage gemaakt als de gegevens worden geraadpleegd en die rapportage wordt automatische doorgestuurd naar het desbetreffende datasubject, tenzij het datasubject aangeeft daar geen prijs op te stellen (gegevensbescherming by default) - Encryptie: de gegevens worden automatisch geëncrypteerd (gegevensbescherming by design) of de gegevens worden automatisch geëncrypteerd, tenzij de ICT specialist aangeeft dat dat in een specifiek geval niet nodig is (gegevensbescherming by default) - Toegang: de gegevens kunnen alleen worden ingezien door personen die daar expliciet toe zijn geautoriseerd (gegevensbescherming by design) of de gegevens kunnen alleen worden ingezien door personen die daar expliciet toe zijn geautoriseerd, tenzij er expliciete goedkeuring is van de functionaris voor de gegevensbescherming om daar in een specifiek geval van af te wijken (gegevensbescherming by default).

Answer 24

Transparantie, art. 5 AVG Dit staat er niet heel expliciet, maar je ziet het eigenlijk alleen in de fips. In de rest van de AVG staat eigenlijk dat er transparantie moet zijn jegens het datasubject. Maar er moet ook een algemene openheid zijn; en dat wordt betracht met de privacy policy; enigszins openbaar maken welke data een organisatie heeft en wat ze er mee doet. Ze kan ook gewoon haar register openbaar maken. De AVG juicht een algemene openbaarheid toe. Waarom? Er zijn uitzonderingen op een moment waarop een verantwoordelijke het datasubject niet kan bereiken; als die onvindbaar is. dan helpt het als het datasubject op de hoogte zou kúnnen zijn als die een register kan raadplegen. Het is een vrij zwakke plicht.

Answer 25

Gegevensbeschermingseffectbeoordeling, art. 35 AVG (ovw 84, 89 t/m 93) Hier gaat blok III ook over. Wat doe je hiermee? Voor je een nieuwe verwerking begint, ga je de risico’s na. Daarbij worden verschillen stappen geïdentificeerd. Als je van tevoren weet; de risico’s zijn zó laag, dan hoef je niet te beginnen aan zo’n beoordeling. Voel je dat er risico’s kunnen zijn, moet je dit doen. In de AVG staan weer punten genoemd die je moet meenemen. Lid 3: in deze gevallen is zo’n beoordeling verplicht. Kernidee: als het gevoelig, belangrijk is, fout kan gaan dan moet je dit doen. Lid 7 zegt wat dat in ieder geval moet bevatten. Blijkt er uit de analyse dat er hoge risico’s zijn, dan moet je kijken of je dat plan / beleid zó kan hervormen dat die risico’s er niet meer zijn. Dan heb je een nieuw plan en ga je weer beoordelen. Blijkt het niet mogelijk en blijven er hoge risico’s, dan kun je 2 dingen doen, art. 36 AVG. (ovw 94 t/m 96) - Ermee stoppen; - Naar de AP gaan. Die kan daar dan een oordeel over vellen. Hierbij betrek je altijd de functionaris voor de gegevensbescherming; die adviseert over de risico’s: de interne waakhond. Dit is weer zo’n plicht waarbij je ziet dat er een verschuiving plaats heeft gevonden – verschil in de richtlijn en de AVG. In de richtlijn was ook een registerplicht, en een soort evaluatie opgenomen, maar die plicht lag bij de Cbp. Bedrijven moesten álle verwerkingen melden bij de Cbp en die kon oordelen of het was toegestaan. De handhavende organisaties zeiden; dat is niet te doen voor ons en voor organisaties niet – het werd ook niet gevolgd in de praktijk. Voorbeeld van een goede leidraad (8 stappen) voor het model van de effectbeoordeling: - Verzamelen: Verzamel alle relevante informatie over je plan of project - Bespreken: Bespreek het plan in een team waarin expertise is op alle relevante punten – bijvoorbeeld de functionaris voor het juridische perspectief, de ICT-specialist op het gebied van informatiebeveiliging, de projectmanager die weet welke gegevens noodzakelijk zijn en waarom, etc. - Vastleggen: Stel de bevindingen op en leg die vast in een rapport. - Consultatie datasubjecten: Als dat mogelijk en wenselijk is, consulteer de datasubjecten of hun vertegenwoordigers (bij een medische organisatie kan het bijvoorbeeld gaan om de patiëntvertegenwoordigers). Neem hun adviezen serieus en geef in je rapportage aan hoe je hun adviezen hebt verwerkt. - Consultatie functionaris: Leg je bevindingen voor aan de functionaris. Wederom neem je de adviezen serieus en geef je in de rapportage aan wat je met de adviezen hebt gedaan. - Consultatie ICT-specialist: Als je project of plan leidt tot de introductie van een nieuw of aangepast ICT-systeem, dan moet je de ICT specialist betrekken. Wederom neem je de adviezen serieus en geef je in de rapportage aan wat je met de adviezen hebt gedaan. - Consultatie Autoriteit Persoonsgegevens: Als uit de effectbeoordeling blijkt dat de verwerking een hoog risico oplevert en je er niet in slaagt om maatregelen te nemen om de risico’s te beperken tot een acceptabel niveau, moet de Autoriteit Persoonsgegevens voorafgaande aan de voorgenomen verwerking worden geraadpleegd. Die kan adviseren om te stoppen met het project of bijvoorbeeld in afgeslankte vorm door te gaan. - Transparantie: Stuur je uiteindelijke rapport over de effectbeoordeling naar alle betrokkenen. In feite zijn er dus 5 inschattingen die je moet doen als organisatie met betrekking tot deze beoordeling: 1. Zijn er substantiële risico’s te verwachten? Zo ja, dan moet je een effectbeoordeling doen. Als dat niet het geval is, bijvoorbeeld als je een adressenbestand van je klanten wilt bijhouden, dan hoef je geen effectbeoordeling te doen. 2. Zijn de risico’s die uit de effectbeoordeling blijken laag of verwaarloosbaar, dan kun je doorgaan met het plan. 3. Zijn de risico’s die uit de effectbeoordeling blijken hoog, dan zul je extra maatregelen moeten treffen om die risico’s te vermijden of in te perken. 4. Zijn de risico’s die uit de effectbeoordeling blijken hoog en kun je geen maatregelen treffen om die te vermijden, dan moet je de Autoriteit persoonsgegevens raadplegen. Je zult aan de aanwijzingen van de AP moeten voldoen. 5. Zijn de risico’s die uit de effectbeoordeling blijken te hoog en onvermijdbaar, dan zul je niet door mogen gaan met je plan.

Answer 26

Informatie aan het datasubject art. 13 en 14 AVG (ovw 60 t/m 62) Dit betekent: wie ben je, waarom wil je de gegevens, wat ga je er mee doen, etc. Alle fips moet je communiceren aan het datasubject. Ga je het doorgeven, (Smaranda Bara) zitten ze binnen de Unie, hoe is dat geregeld? Hiervoor zijn eigenlijk 2 situaties: art. 13 en 14: - Art. 13: ofwel gegevens zijn direct van het datasubject gekregen (je vraagt een naam en krijgt het)  hier is die informatieplicht vrij absoluut. Lid 3: Je moet melden wanneer je gegevens gaat gebruiken voor een ander doel. De enige uitzondering voor deze plicht: als datasubject al weet wat er gaat gebeuren; de informatie is reeds verstrekt. - Art. 14: ofwel gegevens zijn indirect verkregen (Colette weet jij nog hoe zij heet?) -> hier is die informatieplicht wat minder absoluut want er zijn wat uitzonderingen. Je moet hetzelfde verstrekken aan het datasubject als in art. 13, alleen die uitzonderingen zijn groter. Bovendien worden termijnen genoemd en gevallen waarin info verstrekken onmogelijk kan zijn. Lid 4: als verwerkt gaat worden voor een ander doel. Lid 5: Uitzonderingen, die zijn er 4: * (a) Betrokkene beschikt reeds over die informatie; * (b) Bijvoorbeeld wanneer iets onmogelijk is. Stel een onderzoeker krijgt een database van mensen in een stad om te onderzoeken. Als het duizenden personen zijn dan kost het onevenredig veel moeite hen te achterhalen. Dat is eigenlijk de belangrijkste uitzondering. Kun je mensen niet direct bereiken, dan moet je het openbaar maken zoals een advertentie in de krant: ik heb die en die database en ik ga er dat en dat mee doen. Is het héél gevoelig, dan moet je tot het uiterste gaan om mensen te bereiken.; * (c) wanneer het wettelijk voorgeschreven is (kán gaan over overheidsdiensten, kán zijn dat overheid zegt; belastingdienst met data kopen en hoeft dat niet te zeggen tegen de betrokkenen) * (d) Wanneer gegevens vertrouwelijk moeten blijven – beroepsgeheim.

Answer 27

FG, art. 37 en 38 AVG (ovw 97) Dit is een minihandhaving binnen de organisatie. Deze houdt toezicht binnen de organisatie op alle gegevensverwerkingsprocessen. Deze wordt aangesteld door een organisatie, maar heeft een onafhankelijke rol; kan niet onder druk worden gezet. Wanneer moet je deze hebben: - Overheid - Als het gaat om iets belangrijks: veel gegevens, stelselmatige observatie, bijzondere persoonsgegevens op grote schaal. Eigenlijk zie je in de praktijk zie je dat veel organisaties onverplicht een functionaris instellen: hij kan je helpen, het is handig. Je kunt ook parttime worden aangesteld. Art. 38: Positie: een directeur mag dus geen functionaris zijn; deze kan niet onafhankelijk zijn. Het mag niet zo zijn dat ie ontslagen wordt ofzo als ie zegt dat het beleid niet voldoet aan de AVG. Werkt dat in de praktijk zo; dat is de vraag.. Een functionaris moet in ieder geval aan de volgende voorwaarden voldoen: - Capabel: De functionaris moet capabel zijn en expertise hebben op het gebied van gegevensbescherming. Het mag dus niet gaan om de conciërge die een driedaagse cursus heeft gevolgd – schijnt moeilijk te zijn in de praktijk. Er worden spoedcursussen aangeboden die natuurlijk nergens op slaat.. - Onafhankelijk: De functionaris moet onafhankelijk zijn. Het mag niet zo zijn dat het management of de board een functionaris kan opbellen om hem te bewegen bepaalde handelingen wel of niet te verrichten. De functionaris mag ook geen andere functie binnen de organisatie hebben die zou kunnen leiden tot belangenverstrengeling – bijvoorbeeld het hoofd van de afdeling business and development die één dag per week ook als functionaris voor de gegevensbescherming optreedt. De functie van functionaris is in deze zin te vergelijken met die van een bedrijfsarts. De functionaris mag dan ook niet worden ontslagen of onder druk worden gezet als hij onwelgevallige beslissingen neemt of adviezen uitbrengt. - Middelen: De functionaris moet voldoende middelen en mogelijkheden hebben om zijn taken uit te voeren. Het aanstellen van een functionaris voor 0,2 fte binnen een grote medische organisatie is bijvoorbeeld niet afdoende. - Toegang: De functionaris moet toegang hebben tot alle relevante databases, registers en bestanden waarin persoonsgegevens (kunnen) staan – hij mag niet worden afgesloten van belangrijke databases or whatever. - Betrokkenheid: De functionaris wordt altijd vroegtijdig op de hoogte gesteld van plannen en beslissingen op het gebied van het verwerken van persoonsgegevens. De functionaris is zodoende betrokken bij het inrichten van het gegevensverwerkingsproces – hij moet betrokken worden bij alle keuzes van een organisatie., - Contactpersoon: De functionaris wordt als contactpersoon vermeld op de website en in andere communicatie voor klanten en andere datasubjecten, zodat die zich met vragen of klachten kunnen wenden tot de onafhankelijke functionaris voor de gegevensbescherming. - Contactpersoon binnen de organisatie: de functionaris verstrekt informatie en adviseert binnen de organisatie over de Algemene Verordening Gegevensbescherming en de daarin vervatte regels. Hij fungeert als vraagbaak binnen de organisatie en wordt betrokken als er beslissingen worden genomen die betrekking hebben op het verwerken van persoonsgegevens. - Contactpersoon voor datasubjecten: de functionaris is het eerste aanspreekpunt voor datasubjecten die vragen of klachten hebben met betrekking tot de wijze waarop een organisatie persoonsgegevens verwerkt. Gezien zijn onafhankelijkheid en expertise wordt zo gewaarborgd dat de eventuele vragen en klachten goed en adequaat worden afgehandeld – eerste aanspreekpunt voor datasubjecten. Als je een klacht hebt, dan ga je daarheen. - Contactpersoon voor de Autoriteit Persoonsgegevens: de functionaris is het primaire aanspreekpunt voor de AP binnen een organisatie. De functionaris werkt samen met de Autoriteit Persoonsgegevens als dat wordt vereist, bijvoorbeeld bij audits of controles. - Toezicht en controle: De functionaris controleert of en in hoeverre de organisatie zich houdt aan de AVG.

Answer 28

32 AVG (ovw 83) Organisatorische en technische veiligheidsmaatregelen zijn 2 onafhankelijke plichten maar staan samen in artikel 32 AVG. Je ziet weer context, aard, omvang, verwerkingsdoeleinden; dingen die bepalen hoe ver je moet gaan in het treffen van veiligheidsmaatregelen. Bij organisatorisch gaat het om bínnen de organisatie, zorgen dat het daar niet fout kan gaan. Voorbeelden: - Authenticatie: Zorg dat er alleen toegang kan worden verkregen tot persoonsgegevens, bestanden en databases door middel van een persoonlijke code. - Beperking: Zorg dat alleen die personen binnen je organisatie authenticatie- en toegangsrechten krijgen die dat ook echt nodig hebben. - Logging: Hou goed bij wie er binnen je organisatie toegang heeft gekregen tot de persoonsgegevens. - Automatisch uitloggen: Een andere maatregel kan zijn dat een computer waarop is ingelogd automatisch na een aantal minuten uitlogt als die niet meer wordt gebruikt; dit voorkomt dat als iemand is ingelogd en even naar een vergadering gaat, een ander persoon de computer kan gebruiken om toegang tot een database te krijgen. - Clean desk: Ook doen steeds meer organisaties aan een clean-desk policy; na sluitingstijd worden alle documenten die niet zijn opgeborgen achter slot en grendel in de versnipperaar gegooid of alsnog opgeborgen, om zo te voorkomen dat gevoelige informatie rondslingert. - Fysieke beveiliging: Natuurlijk is ook een fysieke vorm van veiligheid van belang. Als je als huisarts in een maatschap werkt, moet je zorgen dat het pand extra goed is beveiligd tegen inbrekers en dat de kast met patiëntendossiers niet met een eenvoudige hamer en bijtel is open te breken.

Answer 29

Art. 32 AVG Het is voornamelijk zorgen dat mensen van búiten de organisatie er niet in kunnen, gebeurt dat wel dan zorgen dat ze maar een klein deel van de database kunnen inzien, en zelfs daardoor, door encryptie bijv. zo weinig mogelijk kunnen met de data die ze hebben. Voorbeeld: - Versleuteling: Zorg dat hackers geen onbevoegde toegang kunnen krijgen tot de databases. - Automatische blokkade: Zorg dat als er drie keer een fout wachtwoord wordt ingevoerd, het apparaat dat poogt toegang te krijgen tot de database automatisch wordt geblokkeerd. - Voorlichting: Zorg dat je zowel je medewerkers als je klanten waarschuwt over de gevaren van hackers. - Encrypteren: Zorg dat als het toch fout gaat, de schade minimaal blijft. Dat kan bijvoorbeeld door de gegevens te encrypteren – daardoor kunnen de hackers die onbevoegde toegang hebben gekregen tot de database alsnog niets met de gegevens, omdat ze niet de sleutel hebben om de gegevens te decrypteren, of duurt het een tijd voordat zij de gegevens hebben gedecrypteerd, wat je tijd geeft om maatregelen te treffen. - Compartimentaliseren: Zorg dat je schotten plaatst tussen verschillende databases binnen je organisatie, die elk op een verschillende locatie staan, op verschillende servers staan en met verschillende technische maatregelen zijn beveiligd. Zo voorkom je dat als het hackers lukt een wachtwoord te bemachtigen en onbevoegd toegang te krijgen, zij slecht een klein deel van de gegevens kunnen zien en niet in een keer alle gegevens. - Blokkades: Zorg dat als het toch fout gaat, er obstakels worden opgeworpen, zodat het bijvoorbeeld onmogelijk of lastig wordt gemaakt om de database in zijn geheel te kopiëren of down te loaden. - Melding: Zorg dat als het toch fout gaat, je aan de meldplicht voldoet.

Answer 30

Art. 33 en 34 AVG (ovw 85 t/m 88) Stel het gaat tóch mis: je hebt de laptop in de trein laten staan, criminelen hebben gehackt: dan moet je weer een risicoanalyse doen. Als het gaat om een miniem lek, met niet zo bijzondere gegevens, dan hoef je dat niet te doen maar moet je wel ff intern kijken hoe het lek heeft kunnen ontstaan. Een voorbeeld van veel voorkomend lek: je verzendt je e-mail naar een verkeerde persoon, of zendt het naar CC in plaats van BCC. Vaak is het niet problematisch: als het niet zo gevoelig was, dan e-mail je gewoon; kun je ‘m verwijderen. Wel gevoelig? Dan melden aan AP. En als er echt een risico is voor datasubjecten, of het is aannemelijk dat criminelen er wat mee gaan doen: zoals bij hack bij dating sites zoals Second Love, dan kan die informatie tegen de personen worden gebruikt door middel van chantage. In deze gevallen moet de organisatie zelf de datasubjecten op de hoogte stellen dat data is gejat en welke data dat waren. Altijd moet gekeken worden hoe het lek is ontstaan en hoe dat voorkomen moet worden in de toekomst. Kortom: dit zijn de plichten waar de verwerkingsverantwoordelijke zich aan moet houden. Opgeteld: - Aan de fair information principles; - Een rechtmatige grondslag hebben voor het verwerken van persoonsgegevens; - Indien bijzonder: óók nog een bijzondere grondslag hiervoor hebben; - Indien doorvoeren: óók nog zorgen dat ze dáár een grondslag voor hebben; - Voldoen aan alle 10 vereisten hierboven genoemd. Het is veel, maar vrij algemene bepalingen, “boerenwijsheden”, het zijn logische principes.

Answer 31

Vrijwel alle rechten van het datasbubject correleren aan plichten van de verantwoordelijke of aan één van de Fair Information Principles. Zo is het recht op informatie van het individu de spiegelzijde van de plicht om informatie te verstrekken aan het individu. Het recht om gegevens aan te vullen en te rectificeren is de spiegelzijde van het beginsel dat gegevens correct en up to date moeten worden gehouden. Het recht om gegevens te verwijderen mag alleen worden ingeroepen als de verantwoordelijke gegevens onrechtmatig verwerkt en dus in strijd met de beginselen van de AVG handelt. En het recht om niet te worden onderworpen aan automatische besluitvorming is in wezen een plicht van de verantwoordelijke. Kortom, als vuistregel kan worden genomen dat individuen niet of nauwelijks hun rechten zullen hoeven inroepen als de verantwoordelijke zich netjes aan alle vereisten uit de AVG houdt.

Answer 32

De communicatie met het datasubject moet goed en helder verlopen. De informatie die aan het datasubject wordt verschaft moet helder en begrijpelijk zijn - als een individu een vraag of klacht heeft mag er mag dus niet worden geantwoord in juridisch of technisch jargon. De EC bevordert zelfs icoontjes: dat je heel gemakkelijk kunt zien wat er gaat gebeuren met je gegevens. Bijv. icoontjes hoe goed het beschermingsniveau is. Als een kind één van zijn rechten inroept moet daar in de communicatie en het taalgebruik rekening mee worden gehouden. Communicatie geschiedt in principe schriftelijk en bij voorkeur digitaal. Waar mogelijk wordt de digitale infrastructuur zo ingericht dat het datasubject direct toegang heeft tot de over hem verwerkte gegevens, zodat hij kan zien waarom, door wie en hoe die gegevens worden verwerkt en zodat hij eventuele fouten zelf kan corrigeren. Een reactie op verzoeken en klachten van een individu moet binnen een redelijke termijn plaatsvinden. Een maand is het uitgangspunt. Verzoeken mogen worden geweigerd als: (rechten worden dan niet gehonoreerd) - Ze niet kloppen - bijvoorbeeld, iemand zegt dat gegevens moeten worden veranderd omdat ze niet up to date zijn, maar de verantwoordelijke is er van overtuigd dat ze wel kloppen. Soms heeft iemand er belang bij om te liegen. Als er geen overeenstemming kan worden bereikt is het uiteindelijk aan de Autoriteit Persoonsgegevens of de rechter om hier een oordeel over te vellen. - De identiteit van het datasubject kan niet worden vastgesteld. Bijvoorbeeld, er is iemand die toegang wil tot het medisch dossier van meneer De Wit, maar de zorginstelling kan niet achterhalen of degene die dat verzoek doet meneer De Wit zelf is. De verantwoordelijke mag natuurlijk geen gegevens over personen meegeven aan derden. - Het verzoek is duidelijk ongegrond. Naar alle diensten van de overheid mailen dat al je gegevens verwijderd moeten worden. Dan mag de verantwoordelijke ervoor kiezen om geen gehoor te geven aan het verzoek of kosten in rekening te brengen. Bijvoorbeeld een persoon mailt de belastingdienst dat zij geen grondslag heeft om belastinggegevens over de persoon in kwestie te verwerken. - Het verzoek is buitensporig, met name door het repetitieve karakter. Bijvoorbeeld, iemand wil om het uur toegang tot het dossier of dient iedere dag een verzoek in dat telkens wordt afgewezen. Waarom is dit in de AVG gezet: mensen hadden een hobby gemaakt van verzoeken indienen met verbeurte van dwangsommen: werd altijd overschreden dus mensen ontvingen geld – als het buitensporig is, dan hoef je daar dus niet op te reageren of je mag de kosten vragen. Artikel 11 AVG, (ovw 57), Rijkeboer arrest: Verwerking waarvoor identificatie niet is vereist Gaat erover: als je de identiteit van een persoon niet meer nodig hebt voor de verwerking, moet je die dan nog opslaan? In Rijkeboer conflicteerde twee beginselen: dataminimalisatie (verwijderen indien niet meer nodig) en recht om te weten wat verwerkt wordt en wat ermee werd gedaan. HvJEU: je kunt niet zómaar alle persoonsgegevens verwijderen als dat betekent dat je niet meer kan voldoen aan informatieaanvraag van een datasubject. AVG heeft tegengas gegeven; die zegt wel dat je dat mag verwijderen. Artikel 12 AVG, (ovw 58, 59): Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene Dit gaat over algemene uitgangspunten: wanneer communiceer je helder, wanneer zijn er uitgangspunten etc.

Answer 33

1. Recht op inzage, art. 15 AVG (ovw 63, 64) Dit is heel traditioneel. Je krijgt bijvoorbeeld toegang tot een portal; welke gegevens heb je, waarvoor, met wie deel je het. Je hebt ook het recht op kopie. Uitganspunt blijft: als het schriftelijk kan dan heeft dat de voorkeur boven telefonisch. Als het digitaal kan, dan heeft dat de voorkeur boven analoog.

Answer 34

Recht op inzage, art. 15 AVG (ovw 63, 64) Dit is heel traditioneel. Je krijgt bijvoorbeeld toegang tot een portal; welke gegevens heb je, waarvoor, met wie deel je het. Je hebt ook het recht op kopie. Uitganspunt blijft: als het schriftelijk kan dan heeft dat de voorkeur boven telefonisch. Als het digitaal kan, dan heeft dat de voorkeur boven analoog.

Answer 35

Hoi belastingdienst, wat hebben jullie eigenlijk voor gegevens en wat doen jullie ermee? Het individu heeft het recht om te weten welke gegevens er over hem worden verwerkt, hoe, waarom en door wie. Globaal kan hij vragen om de volgende informatie: - De verwerkingsdoeleinden; - De categorieën van persoonsgegevens; - De ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt; - De bewaartermijn; - De rechten van het datasubject; - Hoe de verantwoordelijke aan de gegevens is gekomen; - Als er computergestuurde besluiten worden genomen – de logica achter die besluiten; - Als de gegevens worden doorgevoerd naar buiten de EU, welke waarborgen daarvoor gelden.

Answer 36

Het individu heeft het recht op een kopie van de over hem verwerkte persoonsgegevens. Een voorbeeld is het opvragen van een patiëntendossier. Het kopie wordt bij voorkeur digitaal verstrekt, maar dat hoeft niet. Redelijke kosten die worden gemaakt kunnen bij het individu in rekening worden gebracht. De verantwoordelijke moet wel alle informatie verwijderen uit het dossier die de rechten van anderen in het gevaar kunnen brengen. Het kan dan gaan om informatie waarop intellectueel eigendom rust of om informatie die schade toebrengt aan de positie van anderen. Dat laatste kan bijvoorbeeld het geval zijn als in het dossier van een kind ook gevoelige en compromitterende informatie staat over de stiefvader. Die informatie moet dan worden weggelakt als het kind zijn dossier opvraagt. Lid 4: dit is de uitzondering: ‘doet geen afbreuk aan de rechten en vrijheden van anderen’. Bij al die rechten, kán de verantwoordelijke zeggen; ‘ik doe het niet, want het kan in jouw belang zijn maar dít schendt de rechten van anderen’. Voorbeeld: je wil toegang (inzage, kopie etc.) als ouder tot het rapport van de gezinssituatie. Dan mag Jeugdzorg dat geven, maar geen info erin laten die over je ex gaat. Ander voorbeeld IE recht. Zaken waar persoonsgegevens in staan (foto’s) daar kunnen rechten op liggen, bijv. van de fotograaf. Recht op kopie is een onafhankelijk recht: dit correleert niet met een plicht van de verantwoordelijke.

Answer 37

Recht op dataportabiliteit, art. 20 AVG (ovw 68) Dit is een van de nieuwe rechten in de AVG. Interessant in de retoriek van de EU: in 2012 werd voorstel gepubliceerd van de AVG waarna hard van de toren werd geroepen over nieuwe rechten van het datasubject. Uiteindelijk zijn die dingen maar heel beperkt geworden. Je mag altijd je data meenemen: is een flutidee want is lastig te regelen. Dus er zijn allemaal uitzonderingen en voorwaarden. Lid 1: daar staat het recht van de portabiliteit, doorgeven aan nieuwe verantwoordelijkheid; FB zou de plicht hebben je gehele profiel door te geven als je naar een andere social media wil gaan. Dit kent twee beperkingen: - Lid 1: ‘Die hij aan een verwerkingsverantwoordelijke heeft verstrekt’ maar de kern van FB is de extrapolarisatie die ze doet: zaken afleiding uit jouw gegevens: die inferred data gaat hier niet om. Gegevens die anderen over jou hebben verstrekt, dat heb jíj dus niet verstrekt: geen zeggenschap. - Sub a: Het gaat enkel om verwerkingen op basis van toestemming of overeenkomst: van alle verwerkingsgronden van artikel 6 (gewone) artikel 9 (bijzondere) is dit recht alleen van toepassing als de verwerkingsverantwoordelijke zich heeft beroept op toestemming of overeenkomst. Bij alle andere niet. Stel FB beroept zich op een gerechtvaardigd belang (art. 6 sub f), of gegevens waren al openbaar, dan is dit gehele artikel niet van toepassing. - Sub b: Het moet gaan om verwerking via geautomatiseerde procedés. Wat dat is weet niemand. Bart denkt zelf: alle pc-verwerkingen zijn geautomatiseerde procedés, maar daarover is discussie. - Lid 4: wederom geen afbreuk aan de rechten of vrijheden van anderen: dit is de bom. Op jouw FB staat mega veel info over ook anderen; foto’s en tags. FB zegt dan ja sorry dit doet afbreuk af aan rechten van vrijheden en anderen. Dit is een onafhankelijk recht: dit correleert niet met een plicht van de verantwoordelijke.

Answer 38

Rectificeren en aanvullen van persoonsgegevens Art. 16 em 19 AVG Dit correleert met de plicht om gegevens correct en up-to-date te houden. Je kunt het wel vragen, maar dat betekent dat de plicht eigenlijk reeds is geschonden. Bij het aanvullen van gegevens, ja daar is ook eenzelfde discussie: hoe ver gaat dat eigenlijk? Alle data initiatieven die nu worden gestart zoals profilering, hebben vaak niet als uitgangspunt dat er zoveel mogelijk gegevens worden verzameld, maar het gaat om een versimpeling van de werkelijkheid: niet zo volledig mogelijk beeld, maar zo duidelijk mogelijk profiel mogelijk waarbij je juist dingen weglaat. Hoe ver mag je gaan om te zeggen ik wil aanvullende informatie aanleveren. Stel een bank heeft internetprofiel gezien, datapunten gecorreleerd, zag dat iemand veel pils drinkt en rookt: je bent onverantwoordelijk en je krijgt daarom geen lening of hogere premie. Als je dat gaat aanvechten met: ja oké dat doe ik wel eens, maar ik ben best gezond! Hoe ver gaat dat: kun je dan heel dossier op gaan sturen waaruit blijkt dat ze hun mening / beoordeling zouden moeten veranderen? Dat is de vraag. Interessant: artikelen 16, 17 en 18: daar is een kennisgevingsplicht voor. Stel je hebt gelijk en de verantwoordelijk zegt oke was inderdaad stomme oude gegevens en ze verweken dat, dan moeten ZIJ ook zorgen dat ánderen dat doen. Als zij de gegevens hebben gedeeld met andere organisaties (Belastingdienst had oude gegevens aan politie verstrekt) – dan moeten zij ervoor zorgen dat die andere organisaties het ook rectificeren of aanvullen.

Answer 39

Recht om niet onderworpen te worden aan automatische besluitvorming, art. 22 AVG (ovw 71, 72) Dit is een veel gebruikt artikel als zijnde een recht, maar het is eigenlijk een plicht. Denk aan “computer says no”. Dit is wanneer de computer een beslissing neemt en de mens hier eigenlijk niet tussenkomt. Er is een profiel gemaakt en op basis daarvan wordt een besluit genomen: geen individuele beoordeling van persoon. Als de bank een lening wil geven; moet hij jou als persoon beoordelen, en niet alleen op je computer profiel. Het moet altijd een individueel besluit zijn. Het wordt dus een recht genoemd, maar het is een plicht: de verantwoordelijke mag niet iemand onderwerpen aan uitsluitend geautomatiseerde verwerking. De reikwijdte is dus best beperkt: er is bijna altijd wel een mens betrokken bij besluitvorming. Soms nemen verzekeringen volledig automatisch een keuze: alleen maar op rekenmethoden besluiten of je een verzekering of lening krijgt. Dan mag het niet, maar het geldt wel: als het besluit wat daarop volgt rechtsgevolgen zijn verbonden, of anderszins in aanmerkelijke mate treft. Dus het moet wel gaan om iets wezenlijks; niet zomaar iets kleins zoals een verkeersboete: dat mag wel geautomatiseerd. Lid 1: verbod op geautomatiseerde verwerking geldt niet ter uitvoering van overeenkomst Sub c: berust op uitdrukkelijke toestemming van betrokkene – als je vraagt om iets te doen en je weet dat het op basis van automatische besluitvorming gaat zijn Sub d: als het in een wet staat Lid 3: geeft daar weer een uitzondering op: toestemming of contract, passende waarborgen. Lid 4: bijzondere gegevens, dan mag het weer niet dat profileren, tenzij weer a of c: toestemming of publiek belang. Onthoudt: dit artikel is in strikte zin heel weinig van toepassing: het komt bijna nooit voor dat iets uitsluitend geautomatiseerd verwerkt wordt. Maar misschien gaat dat meer voorkomen door technologie.

Answer 40

Art. 17 en 19 AVG (ovw 65, 66) Er stond eigenlijk al zo’n soort recht in. Het is eigenlijk het recht op gegevenswissing. Het wissen daarvan stond allang in de Richtlijn (1995). Het correleert direct aan de plicht dat er altijd een legitieme grond moet zijn voor verwerking, en dataminimalisatie, en opslagbeperkingsbeginsel (doel bereikt: gegevens verwijderen). Dat correleert hier direct aan. In Google Spain is dit verder uitgewerkt – persoon failliet, dat kwam in de krant, dat werd gedigitaliseerd en Google had dat weer geïndexeerd. Man spande rechtszaak tegen Google aan. Het probleem was: de hele oude informatie kwam helemaal bovenaan de hits met zoeken op zijn naam. Problemen: - Zijn de gegevens überhaupt nog relevant? - Geven ze wel een volledig en correct beeld van die persoon?  dat is eigenlijk waar het in essentie om draaide. Als je iemand beoordeeld op iets wat iemand 10 jaar lang deed en dat beeld geef je door aan anderen, dan is dat een incorrect beeld: en plichten zijn correctheid en up-to-date. Vervolgens werd gepoogd om dit in de AVG te krijgen. Nog verder uitbouwen lukte niet. Sterker nog; het is maar een heel klein beperkt recht. Waarom? Dit recht plaatst een enorme drempel voor de vrijheid van meningsuiting; het is belangrijk om ook oude gegevens te vinden. Het kan heel beperkend zijn als internetbedrijven daarin restricties gaan aanbrengen – dit recht is super erg uitgekleed. Wanneer is dit recht van toepassing? Er wordt een aantal gronden genoemd: a. Persoonsgegevens zijn niet langer meer nodig voor de doeleinden waarvoor ze zijn verzameld (in strijd met opslagbeperking – plicht) b. Betrokkene trekt zijn toestemming in – er bestaat geen legitieme grond meer voor de verwerking (niet strijdig met art. 7 lid 3 – want verwerkingsgrond is niet met terugwerkende kracht onrechtmatig) c. Er wordt bezwaar gemaakt; d. De persoonsgegevens zijn onrechtmatig verwerkt – de verantwoordelijke hééft al een schending gemaakt, en pas dán kun je dit recht inroepen e. Ze moeten worden gewist vanwege wettelijke bepaling – als de verantwoordelijke in strijd heeft gehandeld daarmee, pas dan kun je het inroepen De gronden daarvoor zijn beperkt voor de gevallen waarin de verantwoordelijke zelf al een eigen zelfstandige plicht heeft geschonden. Lid 2: De verwerkingsverantwoordelijke moet als hij verwijderd ook alle andere partijen op de hoogte stellen dat verwijderd moet worden, denk aan Geen Stijl – het is bijna ondoenlijk te achterhalen waar het heengaat. Lid 3: geeft uitzonderingen voor wanneer leden 1 en 2 niet van toepassing zijn: a. Het is niet van toepassing wanneer verwerking nodig is voor uitoefening van recht van vrijheid op meningsuiting – dit is dus weer een afweging, er is geen grens om te bepalen wanneer het belangrijker is om te publiceren dan bescherming van persoonsgegevens. Als het gaat om publieke figuren dan mag meer, en het is ook weer anders met bijzondere gegevens. b. Nakomen wettelijke plicht c. Algemeen belang etc. d. Archivering: maar sommigen stellen dat het internet een groot digitaal archief is dus dat je daar niet mag aankomen. Dit recht kent dus veel uitzonderingen en is daarom echt heel beperkt. Artikel 19 is weer van toepassing (staat eigenlijk ook al in lid 2) – de verantwoordelijke moet derden op de hoogte stellen van verwijdering als er een terecht beroep op is gedaan.

Answer 41

art. 21 AVG (ovw 69, 70) Dit is eigenlijk een specifieke bepaling. Betrokkene kan bezwaar maken indien wordt verwerkt op gronden: art. 6 lid 1 onder e (algemeen belang) of f (prevalerend belang). De verantwoordelijke kan zich hier echt gemakkelijk op beroepen. Dit artikel geeft het datasubject het recht om verwerking op basis van die gegevens in twijfel te trekken. Wederom kan de verantwoordelijke zeggen; het is wél zo! Dus eigenlijk is het alleen een recht om iets in twijfel te trekken (of verantwoordelijke een legitieme grond heeft) – stel een beroep slaagt, dan betekent dat de verantwoordelijke geen legitieme grond heeft dus eigenlijk zijn plicht al heeft geschonden. Als je oneens blijft, dan ga je naar de AP of naar de rechter.

Answer 42

Art. 18 en 19 AVG (ovw 67) Je kunt zeggen; je moet het ff tijdelijk niet gebruiken. Dat is niet wissen, niet permanent verwijderen, maar je kunt zeggen: hou ze maar, maar gebruik ze niet. Kan handig zijn als je een rechtszaak daarover gaat voeren. Als je dus denkt dat gegevens incorrect zijn; dan moet verantwoordelijke ze wel houden maar mag ie er niets mee doen en dan kan je dat als bewijs gebruiken. Of: stel je wil wel dat hij ze gaat verwerken, maar je wil wachten tot het moment dat er een legitieme verwerkingsgrond geboden kan worden. Wederom geldt de kennisgevingsplicht van art. 19. Iedereen moet op de hoogte gesteld worden van die beperking.

Answer 43

10. Klachtrecht, art. 77 , 78, 79, 80, 81, 82 AVG Dit is best wel uitgebreid in de AVG. Art. 77 (ovw 141): Je kunt een klacht indienen tegen de verantwoordelijke, bij de toezichthoudende autoriteit: AP. Deze AP heeft de plicht om de klacht in behandeling te nemen, maar niet om daar uiteindelijk echt iets aan te doen. Ze moet er dus serieus naar kijken en jou op de hoogste stellen. Art. 78, 79, 80 (ovw 142, 143): Je kunt vragen aan een rechter of hij daar naar kijkt. Je kunt dus klacht indienen bij de rechtbank over de verantwoordelijke, ofwel over de keuze die de AP heeft gemaakt. Stel je hebt klacht ingediend over website bij de AP en zij oordeelt dat het in kader van vrijheid van meningsuiting mag; dan kun je daarmee naar de rechter. Artikel 80, belangrijk artikel: per land wordt dit anders ingericht. Je kúnt worden vertegenwoordigd als persoon door een belangenorganisatie. In Nederland hebben we paar mensenrechten organisaties die namens ons op kunnen komen voor onze rechten. Mensen hebben vaak niet genoeg geld, en het zijn vaak grote partijen zoals overheid of FB of Google – die hebben kei veel geld en kunnen gemakkelijk jaren vooruit. Als individueel datasubject is het ondoenlijk om je te weren. Er zijn ook in Nederlands recht steeds meer mogelijkheden om een massaclaim in te dienen tegen bedrijven. Vaak treffen de keuzen van FB of Google héél veel mensen; beter bundel je samen klachten. Dat vind je dan weer in de Uitvoeringswet AVG in Nederland. Art. 81 (ovw 144, 145): Schorsing van de procedure. Art. 82 (ovw 146, 147): Je kunt zowel materiële als immateriële schadevergoeding vragen, in Nederland is die immateriële schadevergoeding heel erg laag. Dan moet je echt denken aan € 1.000,-, maar advocaten gaan kijken of er meer uit te halen valt. Als er een schadevergoeding van € 1.5000 p.p. wordt gevorderd voor een datalek wat 50.000 mensen trof, dan wordt dat een groot bedrag waarvan een deel wel naar een goede advocaat kan. Die verantwoordelijke is zelf aansprakelijk: Lid 2: je moet altijd contracten opstellen tussen verwerkingsverantwoordelijke onderling en tussen hun verwerkers, sub verwerkers, etc. waarin staat wie wat doet. In dit lid staat dat de verwerkingsverantwoordelijke altijd verantwoordelijk is voor alle gehele schade, ook voor wat de verwerker doet, zolang de verwerker doet wat in het contract staat. Treedt verwerker daarbuiten, en de verantwoordelijke wist dat niet en had dat niet kunnen en behoren te weten (lid 3), dan is de verwerker wel zelf verantwoordelijk. Lid 4: wanneer meerdere verantwoordelijken/verwerkers betrokken zijn bij dezelfde verwerking: dan kan de schade op één van de partijen worden verhaald. Dan kan díe partij het weer doorberekenen aan andere partijen. Stel je lijdt schade door aantal partijen, dan kan het datasubject zelf kiezen wie hij in rechte aanspreekt. Je kunt dus de gemakkelijkste partij kiezen (die in Nederland is) of de allerrijkste (daar valt het meest te halen).

Answer 44

Dat zijn er 2, afdeling 5, artikel 40 AVG: 1. Gedragscodes, art. 40 en 41 AVG (ovw 98, 99) Per sector ga je nadere invulling geven aan wat die AVG nou betekent. Je maakt dan nog een stap dieper naar concrete praktijkvoorbeelden. Er is bijvoorbeeld een gedragscode in de maak voor de wetenschappelijke sector. Er zijn wel veel bepalingen die uitzonderingen maken op wetenschap. In zo’n code kan staan hoe daarmee wordt omgegaan, en hoe die uitzonderingen zijn uitgelicht. Ze worden door een vertegenwoordigden orgaan opgesteld: VSNU en dat wordt naar de AP gestuurd die dat accordeert. Dan is díe gedragscode waarnaar wordt verwezen in díe sector. Daar geldt ook weer toezicht op en zo. 2. Certificeringsmechanismen, art. 42 en 43AVG (ovw 100) Deze mogen we vergeten: niemand weet echt goed wat dit nu is. Het idee: je kunt een organisatie aanwijzen die certificaten kan afgeven. Bijvoorbeeld certificering over de veiligheid van een technisch systeem. Stel er is een overheidsorganisatie die heel goed een bedrijf kan doorlichten ‘heeft het een op orde systeem’ en dan kan zij op dat onderdeel een certificaat krijgen. Er zijn ook gedachten dat er een organisatie is die een gehele AVG check doet zodat de consument kan zien of een organisatie AVG-proef is. Niemand weet hoe dit gaat werken.

Answer 45

Art. 51, toezichthoudende autoriteit Er staat veel in de AVG over toezichthoudende autoriteiten (AP), het kunnen dus ook meerdere organisaties zijn, maar in Nederland hebben we er maar één. Art. 52, onafhankelijkheid Deze moeten onafhankelijk zijn, en dat is één van de kernzaken in de AVG: deze autoriteit moet onafhankelijk zijn van de overheid. Deze kan dus niet onder een minister vallen! Het is een overheidsorganisatie maar is onafhankelijk van de overheid (ZBO). Art. 53, algemene voorwaarden voor de leden van de toezichthoudende autoriteit Hierin staan o.a. procedurele voorschriften: hoe worden die leden (bestuur, directeur, niet alle medewerkers) benoemd – parlement of regering ofzo. Lid 2: moet beschikken over ervaring, kwalificaties etc. Art. 54, oprichting Lees maar na, gaan we niet allemaal in colleges doen. Afdeling 2 Art. 55, competentie Belangrijk punt hier: territoriale reikwijdte; wanneer is de AVG van toepassing, dat is vaak best wel duidelijk. Als verwerking hier in Nederland plaatsvindt, als het een EU-burger treft, en hier bij competentie heb je hetzelfde vraagstuk: welke autoriteit is nou competent om ergens over te oordelen? Bijv. bij internationale organisaties als FB: welke autoriteit in Europa heeft daar de competentie over? Vroeger: werd heel erg gedifferentieerd, maar nu iets meer open. Het kán zo zijn dat er een leidende handhavende organisatie wordt aangenomen: kan zijn dat de Franse autoriteit competent wordt geacht om toezicht te houden op de handelingen van een bedrijf op de gehele Unie. Omdat er bijv. veel expertise in die autoriteit daarover is, en het bedrijf heeft één lijn die het moet aanhouden – dit zie je in art. 56 ‘competentie van de leidende toezichthoudende autoriteit’. Art. 56, competentie van de leidende toezichthoudende autoriteit Zien we zo. Art. 57, taken De taken zijn er heel erg veel; monitoren, info verschaffen, etc. Er worden er veel genoemd. De belangrijkste is de laatste, de restclausule; ‘alle andere taken die verband houden met de bescherming van persoonsgegevens’, dus: de AP heeft álle taken die nodig zijn om te zorgen dat alles een beetje goed verloopt. Art. 58, bevoegdheden Hierin staan bevoegdheden die aan die taken relateren. Er zijn eigenlijk 3 soorten bevoegdheden: 1. Onderzoeksbevoegdheden – kunnen zijn: info vragen aan verantwoordelijke (welke gegevens, waarom, met wie), documenten opvragen, naar locatie gaan ter controle, registers bekijken; 2. Corrigerende maatregelen – waarschuwen, berispen, boeten opleggen: dit is een escalatieladder: eerst een advies geven, dan vragen tijdelijk even te stoppen, een verbod opleggen, boete opleggen. 3. Adviesbevoegdheden, autorisatiebevoegdheden – gaan we niet te diep op in (dat gaat over certificering, contracten opstellen Je moet onthouden: de toezichthoudende autoriteit is belast met een veelvoud aan verschillende taken. Informeren van publiek, van parlement, van bedrijven, adviezen geven, richtsnoeren aannemen, advies over wetgevingsvoorstellen, onderzoek doen, lesgeven op scholen, boetes opleggen, technische standaarden maken, etc. etc. Dat betekent: a. Dat ze keuzen moeten gaan maken  dat leidt wel tot verschil in lidstaten: iedere autoriteit geeft andere invulling van zijn taken. b. Dat er altijd een soort conflict is met de taakopvatting  in het begin was het Cbp een meedenkend orgaan. Het doel was om aan de voorkant al te sturen zodat er achteraf niet gecorrigeerd hoefde te worden. rond 5/6 jaar geleden kwam een koerswijziging. Ze ging vooral boetes opleggen. Het werd meer een straffende organisatie. Nú zijn er verschillende afdelingen; van alles proberen ze een beetje te doen. Art. 59, activiteitenverslagen Ook dit niet behandeld, maar beter ff nalezen.

Answer 46

Hoofdstuk VII: samenwerking en coherentie: gaan we niet diep op in: het is namelijk niet duidelijk hoe dat precies gaat werken. Samenwerking, art. 60 t/m 62: Kernidee: het kan zijn dat de Franse autoriteit bevoegd is om hier in Nederland onderzoek te doen, maar dat dan wel de AP betrokken moet zijn met die activiteiten Coherentie, art. 63 t/m 66: Wat gebeurt er als er conflicten zijn tussen verschillende handhavende organisaties? Dan oordeelt commissie het comité (comité voor de gegevensverwerking – afgevaardigden van elke toezichthoudende autoriteit = samenwerkingsverband op Europees niveau en heeft veel bevoegdheden die de afzonderlijke autoriteiten ook hebben: richtsnoeren, goedkeuring geven etc.) Het is de vraag hoe de verhouding daartussen zou zijn. neem standaardcontractbepalingen of gedragscode: nu zijn die codes nog meestal op nationaal niveau. In principe moet dus de AP toestemming geven hier. Maar er is toenemende trend dat dat soort dingen ook op Europees niveau gebeuren; Unie gedragscode voor de wetenschappelijke sector. Dan zou het comité verantwoordelijk zijn. Uitwisseling van informatie, art. 67.

Answer 47

``` Art. 68: Europees comité voor gegevensbescherming Art. 69: Onafhankelijkheid Art. 70: Taken van het comité Art. 71: Rapportage Art. 72: Procedure Art. 73: Voorzitter Art. 74: Taken van de voorzitter Art. 75: Secretariaat Art. 76: Vertrouwelijkheid ``` Hebben we niet in het college behandeld.

Answer 48

Dit is de regering van de EU. Deze heeft een aantal taken. Ze mag nadere regels stellen op specifiek aantal punten. Bijvoorbeeld icoontjes vaststellen. Art. 92: Uitoefening van de bevoegdheidsdelegatie Art. 93: Comitéprocedure Art. 97: Comitéverslagen Art. 98: Toetsing van andere Unierechtshandelingen inzake gegevensbescherming Hebben we verder niet in het college behandeld

Answer 49

Art. 77: Recht om klacht in te dienen bij een toezichthoudende autoriteit Art. 78: Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit Art. 79: Recht om een doeltreffende voorziening in rechte te stelen tegen een verwerkingsverantwoordelijke of een verwerker Art. 80: Vertegenwoordiging van betrokkenen Art. 81: Schorsing van de procedure Art. 82: Recht op schadevergoeding en aansprakelijkheid Hebben we allemaal niet behandeld tijdens college.

Answer 50

Art. 83: Algemene voorwaarden voor het opleggen van administratieve geldboeten Dit is echt een van de kernartikelen die we echt moeten kennen. Dit zijn de artikelen die gaan over administratieve boeten. Hierin staan verschillende mogelijkheden: Lid 4: Boete van 10 miljoen is mogelijk of 2% wereldwijde jaaromzet. Wanneer kunnen ze deze opleggen? Overtreding van de meest specifieke rechten en specifieke plichten. Lid 5: Boete van 20 miljoen is mogelijk of 4% wereldwijde jaaromzet. Wanneer kunnen ze deze opleggen? Overtreding van: Kernbepalingen: - Art 5 – Fair Information Principles; - Art. 6 – De 6 gronden voor legitieme verwerkingsgrondslagen - Art. 7 – Geeft verder invulling aan toestemming - Art. 9 – Gaat over verwerken van bijzondere persoonsgegevens Rechten: - Art. 12 t/m 22 – Aantal rechten van datasubjecten Lid 6: - Als het bevel van een toezichthoudende autoriteit niet wordt nageleefd. Lid 2: Waar moet rekening mee gehouden worden als een boete wordt opgelegd? - Aard, ernst, duur inbreuk - Opzettelijk of nalatigheid - Eventueel genomen schadebeperkende maatregelen - Verleden verantwoordelijke - Etc. In de praktijk zal eerst een advies, berisping, waarschuwing, schorsing etc. volgen. Pas in het uiterste geval een boete opleggen, en dan zal ie ook niet ineens 20 miljoen zijn.

Answer 51

Is de AVG van toepassing op deze situatie? Er zijn vijf vragen die moeten worden doorlopen: 1. Zijn er persoonsgegevens? Persoonsgegevens zijn alle gegevens die direct of indirect een persoon kunnen identificeren. Daaronder vallen ook identificeerbare gegevens: gegevens die op dit moment nog niet, maar in de toekomst waarschijnlijk wel iemand kunnen identificeren. Naast identificatie wordt in toenemende mate ook ‘individualisatie’ meegenomen: de mogelijkheid om iemand een gepersonaliseerde behandeling te geven, zonder diens exacte identiteit te kennen. In deze casus: Van belang is in deze casus dat er een pseudoniem lijkt te worden gebruikt, namelijk ‘de tiran’; pseudonieme gegevens zijn in principe ook persoonsgegevens. (art. 4(1) & (5)) (ovw. 26-29) 2. Worden die verwerkt? Verwerking in principe alles wat er met gegevens kan worden gedaan, ook het corrigeren of verwijderen. De uitzondering is als de gegevens niet autonomistisch en bovendien niet gestructureerd worden verwerkt. In deze casus: In deze casus lijkt er overduidelijk sprake te zijn van verwerking. (art. 2.1, 4(2) & (6)) (ovw. 15) 3. Wie is de verantwoordelijke? De verantwoordelijke is degene die het doel en de middelen bepaalt voor de verwerking. Er is altijd een verantwoordelijke. Er kan een verwerker zijn. De verwerker is degen die in opdracht van de verantwoordelijke gegevens verwerkt. Een sub-verwerker verwerkt persoonsgegevens in opdracht van de verwerker. Bij een gezamenlijke verantwoordelijkheid bepalen twee of meer partijen het doel en de middelen van de verwerking. Alle relaties en de verschillend verantwoordelijkheden moeten in een overeenkomst worden vastgelegd. In deze casus: De vraag is of FB, de zoon, of beiden de verantwoordelijken zijn. De leraren lijken de zoon aan te spreken (afhankelijk van de leeftijd kan ook de moeder worden aangesproken), maar de moeder stelt dat FB volledig verantwoordelijk is. Waarschijnlijk is er in casu gezamenlijke verantwoordelijkheid. (art. 4 (7), (8), (9) & (10), 26, 28 & 29) (ovw. 79 & 81) 4. Is de AVG territoriaal van toepassing? De AVG is van toepassing als (1) de verwerking plaatsvindt in verband met activiteiten van een vestiging van een verantwoordelijke in de EU, of (2) in het geval de verantwoordelijke geen vestiging heeft in de EU (2a) als de ze goederen of diensten aanbieden aan EU burgers of (2b) het gedrag van EU burgers in de EU monitoren In het laatste geval (2) moet de verantwoordelijke een vertegenwoordiger aanstellen. In deze casus: Natuurlijk is de zoon gevestigd in de EU; FB heeft ook kantoren in de EU en biedt diensten aan, specifiek gericht op EU publiek, wat bijvoorbeeld uit taal en advertenties kan worden afgeleid. (art. 3, 4(17) & 27) (ovw. 2, 22-25) 5. Is er een uitzondering? De AVG is niet van toepassing op verwerking in het kader van nationale veiligheid en EU buitenlandbeleid, door de strafrechtketen, EU organisaties en natuurlijke personen voor puur persoonlijke doeleinden. Daarnaast zijn er gedeeltelijke uitzonderingen voor onder meer verwerking in het kader van de uitingsvrijheid, openbaarheid van bestuur, arbeidsverhoudingen, archivering en wetenschappelijk en statistisch onderzoek, religieuze organisaties en verwerking in het kader van algemene belangen zoals openbare veiligheid en de landsverdediging. In deze casus: De vraag is hier met name of er sprake is van zogenoemde huishoudelijke uitzondering. Het lijkt hier te gaan om een gesloten FB profiel waar slechts enkelen toegang tot hebben. De vraag is hoe groot die groep is. Bovendien is de vraag waar de grens ligt van de ‘persoonlijke doeleinden’, is het roddelen over leraren echt een persoonlijk doeleinde? (art. 2, 23, 85-91 & 95) (ovw. 16-21 & 73 & 153-165 & 173)

Answer 52

Voor een legitieme verwerking moet aan vijf stappen zijn voldaan: 1. Vereisten van noodzakelijkheid, proportionaliteit, subsidiariteit en effectiviteit 2. Alle FIPS: rechtmatig, verantwoordelijk, behoorlijk, doelspecificatie, doelbinding, dataminimalisatie, correctheid, up-to-date, opslagbeperking, technologische en organisatorische veiligheid en transparantie. 3. Een van de zes legitieme verwerkingsgronden: a. Specifieke, geïnformeerde, uitdrukkelijke en vrijwillige toestemming; b. Noodzakelijk voor aangaan of uitvoeren contractuele bepaling; c. Noodzakelijk om aan een wettelijk voorschrift te voldoen; d. Noodzakelijk om de vitale belangen van een datasubject te beschermen; e. Noodzakelijk in het algemeen belang; f. Noodzakelijk om de belangen van de verantwoordelijke of derde te behartigen, waarbij die belangen boven die van het datasubject uitgaan. 4. Verbod op het verwerken van bijzondere persoonsgegevens zoals geloof, ras, geaardheid en medische data, al zijn er uitzonderingen voor specifieke situaties 5. Als er gegevens naar buiten de EU worden doorgevoerd, dan mag dat als (1) de Europese Commissie het land waaraan wordt doorgevoerd als adequaat heeft aangemerkt (2) doordat de ontvangende partij zich heeft gecommitteerd aan een AVGachtig beschermingsniveau ofwel (3) er slechts incidenteel persoonsgegevens worden doorgevoerd en er een uitzonderingsgrond opgaat, zoals de toestemming van het datasubject.

Answer 53

Datasubjecten kunnen een klacht indienen bij de Autoriteit Persoonsgegevens; als de AP inderdaad een gunstige beslissing neemt kan dat als basis dienen voor een verdere juridische procedure. De AP kan niet als zodanig een verplichting tot schadevergoeding opleggen, wel kunnen er sancties worden getroffen zoals het opleggen van boetes en het opleggen van verplichtingen aan de verantwoordelijke, zoals het staken van de verwerking. Ook kunnen lidstaten additionele regels voor sancties neerleggen. Als de AP een onwenselijke beslissing neemt kan daar bezwaar tegen worden aangetekend bij de rechter. Het datasubject heeft het recht om een voorzienig te vragen van de rechter en zich daarbij te laten vertegenwoordigen door een organisatie, als dat in het nationale recht is toegestaan (in Nederland de Uitvoeringswet AVG). Het datasubject kan zowel materiële als immateriële schadevergoeding vragen. In deze casus: De leraren kunnen een beroep doen op hun recht op schadevergoeding. Wellicht dat de leraar die autist is genoemd immateriële schade heeft geleden. Als er ook over andere leraren is geroddeld kunnen ook die een klacht indienen. Het lijkt het meest voor de hand liggen om FB aan te spreken, omdat die partij vermoedelijk draagkrachtiger is (art. 82.4); FB kan dat evt. weer verhalen op de zoon of de moeder. De leraren kunnen ook een verzoek doen bij de AP of de rechter om de gegevensverwerking te staken. Mevrouw X kan wellicht stellen dat de relatie tussen haar zoon en FB op een onrechtmatige vorm van toestemming berust (art. 7-8 AVG), maar het is de vraag of dat soelaas biedt. (art. 58, 77-80, 82-84)

Answer 54

Het feit dat informatie wordt verstrekt als onderdeel van een professionele activiteit betekent niet dat het niet kan worden gekarakteriseerd als een reeks persoonlijke gegevens.

Answer 55

De exploitant van de zoekmachine moet worden beschouwd als" voor de verwerking verantwoordelijke "in de zin van artikel 2, onder d)

Answer 56

Artikel 4, lid 1, sub a, van richtlijn 95/46 moet aldus worden uitgelegd dat de verwerking van persoonsgegevens plaatsvindt in het kader van de activiteiten van een vestiging van de voor de verwerking verantwoordelijke op het grondgebied van een lidstaat, binnen de in die zin, wanneer de exploitant van een zoekmachine in een lidstaat een bijkantoor of dochteronderneming opricht die door die motor aangeboden advertentieruimte moet bevorderen en verkopen en die zijn activiteiten richt op de inwoners van die lidstaat.

Answer 57

Het doorverwijzen, op een internetpagina, naar verschillende personen en het identificeren door middel van naam of anderszins, bijvoorbeeld door het geven van hun telefoonnummer of informatie over hun werkomstandigheden en hobby's, vormt de verwerking van persoonlijke gegevens geheel of gedeeltelijk door automatische betekent in de zin van artikel 3, lid 1, van Richtlijn 95/46 / EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens . Een dergelijke verwerking van persoonsgegevens valt niet onder een van de uitzonderingen in artikel 3, lid 2, van richtlijn 95/46.

Answer 58

Verwijzing naar het feit dat een persoon haar voet heeft verwond en op rust is om medische redenen, vormt persoonsgegevens met betrekking tot de gezondheid in de zin van art. 8 lid 1 van de richtlijn.

Answer 59

Artikel 12, sub b, en artikel 14, eerste alinea, sub a, van richtlijn 95/46 moeten aldus worden uitgelegd dat, om te voldoen aan de in die bepalingen gestelde rechten en voor zover de voorwaarden die door deze bepalingen zijn vastgesteld, daadwerkelijk zijn vervuld, is de exploitant van een zoekmachine verplicht om uit de lijst met resultaten die wordt getoond na een zoekopdracht op basis van iemands naam links naar webpagina's, gepubliceerd door derden, informatie te aan die persoon, ook in een geval waarin die naam of informatie niet van tevoren of gelijktijdig van die webpagina's wordt gewist, en zelfs, in voorkomend geval, wanneer de publicatie ervan op die pagina's wettig is. 4. Artikel 12, sub b, en artikel 14, eerste alinea, sub a, van richtlijn 95/46 moeten aldus worden uitgelegd dat bij de beoordeling van de toepassingsvoorwaarden van die bepalingen onder meer moet worden onderzocht of de betrokkene heeft het recht dat de betreffende informatie die op hem betrekking heeft, op dit moment niet langer aan zijn naam moet worden gekoppeld door een lijst met resultaten die wordt weergegeven na een zoekopdracht op basis van zijn naam, zonder dat het nodig om een dergelijk recht te vinden dat de opname van de betreffende informatie in die lijst schade toebrengt aan de betrokkene. Aangezien de betrokkene, in het licht van zijn grondrechten overeenkomstig de artikelen 7 en 8 van het Handvest, kan verzoeken dat de betrokken informatie niet langer aan het grote publiek beschikbaar wordt gesteld omdat hij in een dergelijke lijst met resultaten is opgenomen, rechten vervangen in de regel niet alleen het economische belang van de exploitant van de zoekmachine, maar ook het belang van het grote publiek bij toegang tot die informatie bij een zoekopdracht die betrekking heeft op de naam van de betrokkene. Dat zou echter niet het geval zijn als het om bijzondere redenen, zoals de rol van de betrokkene in het openbare leven, is gebleken dat de aantasting van zijn fundamentele rechten wordt gerechtvaardigd door het overwegend belang van het grote publiek om op rekening houdend met de opname ervan in de lijst met resultaten, de toegang tot de informatie in kwestie.

Answer 60

Het idee is controle. Het staat niet in de AVG, maar overal in de Richtsnoeren zie je het terug. Je moet werkelijke controle hebben. Dat reflecteert de manier waarop toestemming wordt gedefinieerd, art. 4.11 AVG. 1. Vrij gegeven Werkelijke keuze en controle – dwang, druk, invloed, negatieve gevolgen, geen alternatieven (je moet de cookies accepteren, anders kom je niet op de website) - Nadeel: ondervind je nadeel als je geen toestemming geeft – is het echt een nadeel als je díe website niet kan bezoeken? Wanneer er precies ‘nadeel’ is, is nog niet helemaal duidelijk. Maar op het moment dat je een publieke omroep bent, dan mag het niet: er is namelijk geen alternatief. Momenteel: FB is gratis, en we betalen met onze data. Is er dan sprake van toestemming bij FB? Was die toestemming vrij? - Conditionaliteit: art. 7 lid 4 Toestemming mag niet conditioneel zijn. Bij FB is er sprake van een overeenkomst – verlenen van een dienst. Dan hebben ze data nodig om de dienst te kunnen verlenen. Wat nu gebeurt: FB heeft data nodig om dienst te leveren, maar verzamelen nog véél meer. Op het moment dat je die AV accepteert, geef je niet per definitie toestemming voor alles wat niet nodig is. Die toestemming wordt dus vaak samengenomen met het aanvaarden van de overeenkomst. Wat zegt de wet: er is een vermoeden dat dat niet mag: “ten sterkste rekening houden met”. Je ziet dus: oké dit heb ik nodig voor de dienst, maag ik wil ook dit en dit. Mag je dan zeggen; ik wil niet m’n verjaardag geven, maar wel de dienst: het moet gesplitst worden – er is een vermoeden dat dat niet mag. Het gaat vaak om echt de juridische vraag: is dat noodzakelijk voor de uitvoering van een overeenkomst? o Samenvoeging niet-onderhandelbaar deel van de voorwaarden – “ten sterkste rekening houden met” o “Noodzakelijk voor de uitvoering van een overeenkomst”? - Wanverhouding Overheidsinstanties (gemeente en de afvalpas) of arbeidsverhouding (werkgever en camera’s op de werkvloer). Daar zit een afhankelijkheidsrelatie tussen en is toestemming eigenlijk geen legitieme grond. Soms mag het wel met toestemming: updates over wegwerkzaamheden, dat hoeft niet, maar dat mag je zelf kiezen. - Granulariteit Toestemming moet eigenlijk per doel gegeven worden. Soms kun je niet éen van de doeleinden uitsluiten: FB wil je locatie voor dit en dit en dit: allow / don’t allow. Hoe meer het bij elkaar is genomen, 2. Specifiek Toestemming moet worden verleend ten aanzien van éen of meer specifieke doeleinden: - Vrij: afzonderlijke opt-in - Geïnformeerd: afzonderlijke informatie – als je niet weet van alle doelen, dan ben je niet goed geïnformeerd. - Om controle en transparantie mogelijk te maken - Maar ook: function creep (doeleinden) – voorkomen dat ineens van alles met andere doeleinden wordt gebruikt. 3. Geïnformeerd Welke informatie moet vooraf aan de toestemming gaan? (lijkt op de informatieplicht in art. 13 en 14 en bevat ongeveer wel hetzelfde, maar is niet helemaal hetzelfde). Wat moet erin? - Identiteit (wie is de verantwoordelijke?) - Doel (waarvoor?) - Soort gegevens - Recht om toestemming in te trekken (art. 7 lid 3) - Geautomatiseerde besluitvorming - Risico’s doorgifte (als je toestemming geeft voor doorgifte, wat zijn de risico’s daar dan van?) - … Wijze van verstrekken: - Vormvrij (kan in filmpje, icoontjes, plaatje, kan van alles zijn) - Duidelijke taal: begrijpelijkheid, gemiddelde persoon / publiek (art. 7 lid 2) - Toegankelijk van de vorm (art 7 lid 2) o Gelaagdheid (“meer weten, meer weten – dat is beter, als je meer wil weten kun je doorklikken) o Toestemming onderscheiden van overeenkomst (art. 7 lid 2) Dient de betrokkene de informatie daadwerkelijk te begrijpen? Je zult rekening moeten houden met je publiek hierin: maar wie is de gemiddelde betrokkene? 4. Ondubbelzinnige wilsuiting Verklaring of ondubbelzinnige actieve houding - Geen vooraf aangevinkte hokjes – zoals de cookies van de BBC - Stilzwijgen - Doorgaan met gebruiken van een dienst – de dienst blijven gebruiken zónder iets te veranderen is geen toestemming - Niet onnodig verstorend (denk aan fok) Worden we genudged? Alles is erop gericht dat het gemakkelijker is als je gewoon die cookies accepteert..

Answer 61

* Uitdrukkelijke toestemming: De uitdrukkelijke toestemming heb je nodig in de volgende gevallen (er zijn grote risico's) - Bijzondere categorieën van persoonsgegevens (art. 9) - Geautomatiseerde besluitvorming (art. 22) - Doorgifte (art. 49 lid 1) Hoe gebeurt dat? Voorbeelden: - Schriftelijke verklaring - Invullen formulier - Versturen e-mail - nog een keer bevestigen - Uploaden scan met handtekening - Tweestapsverificatie LET OP: - Bewijslast (art. 7 lid 1) - de verantwoordelijke moet bewijzen dat er toestemming is gegeven - Toestemming intrekken (art. 7 lid 3) - na het intrekken is er andere legitieme grond nodig, anders wordt de verwerking onrechtmatig - Wettelijk vertegenwoordiger (art. 5 uitvoeringswet) - als toestemming van kinderen/onder curatele gestelde nodig is * toestemming * rechten hs 3 - Migreren naar een andere grond? We zien vaak dat toestemming eigenlijk onrechtmatig is. En als je dan een zaak start, dan mag het bedrijf niet ineens zeggen: oh nee, maar gerechtvaardigd belang. Dus bedrijf moet van tevoren een keuze maken voor een legitieme grond.

Answer 62

Het geven van toestemming, is het moment dat er controle is, maar hoe kun je checken of het allemaal goed gaat. We hebben de rechten van de betrokkene uit hoofdstuk 3 AVG – dat zijn geen fundamentele rechten ofzo. Dit zijn gewoon subjectieve rechten uit de AVG: - Informatieplicht - Recht van inzage - Recht op rectificatie (juistheid – wat betekent dat t.o.v. profielen – je herkent je er vast niet altijd in) - Recht op gegevenswissing - Recht op beperking van de verwerking - Recht op overdraagbaarheid - Recht van bezwaar - Rechten en plichten t.a.v. geautomatiseerde individuele besluitvorming, waaronder profilering

Answer 63

1. Recht op bezwaar, voorwaarden: Je kunt bezwaar (bezwaar mag je tegen alle soort verwerkingen indienen) maken tegen de verwerking, en dat behoort in principe gehonoreerd te worden: - Er is gebruik gemaakt van de legitieme grond e of f (art. 6 lid 1) – geen sprake van toestemming of wettelijk voorschrift: o (e) publiek belang o (f) gerechtvaardigd belang - Met zijn specifieke situatie verband houdende redenen. De gronden bevatten een normatief moment waarop wordt bepaald dat een belang zwaarder weegt. Er moet een jou persoonlijk treffende reden zijn. - Gehonoreerd, tenzij de verwerkingsverantwoordelijke dwingende gerechtvaardigde gronden aanvoert: o Die zwaarder wegen dan de belangen, rechten en vrijheden van betrokkene o Of die verband houden met de instelling, uitoefening en onderbouwing van een rechtsvordering  Awb/burgerlijk recht (art. 34 en 35 Uitvoeringswet) Bij bepaalde sectoren kan het anders zijn: o Direct marketing: jouw wil is doorslaggevend, dus als jij bezwaar maakt is het gehonoreerd o Wetenschappelijk of historisch onderzoek of statistische doeleinden: tenzij noodzakelijk voor de uitvoering van een taak van algemeen belang o Verwerking ras en etnische afkomst voor positieve discriminatie (art. 25 Uitvoeringswet) o Verwerking religie/levensovertuiging voor geestelijke verzorging (art. 27 Uitvoeringswet)

Answer 64

Hier heb je mogelijkheid om recht aan te vechten (hier gaat het alleen om het besluit, dus niet al de verwerking), dus in principe heb je een algemeen verbod, maar dat verbod is vrij beperkt; want het komt bijna nooit voor dat iets volledig geautomatiseerd is. - Algemeen verbod (mits rechtsgevolg / serieus gevolg) - Behalve als: uitdrukkelijke toestemming, wettelijke bepaling met waarborgen, overeenkomst - Dan: waarborgen, waaronder menselijke tussenkomst, het recht om eigen standpunt kenbaar te maken, en de mogelijkheid het besluit aan te vechten - Transparantie, inclusief: onderliggende logica, belang van de verwerking, verwachte gevolgen van de verwerking

Answer 65

Dit bestaat in een aantal situaties: - Niet langer nodig voor het doel; - Er is geen rechtsgrond; - Toestemming ingetrokken en er is geen andere rechtsgrond; - Succesvol bezwaar; - Wettelijke verplichting - Aanbod van diensten van de informatiemaatschappij aan kinderen Uitzonderingen incl. recht op vrijheid van meningsuiting en informatie – er is natuurlijk een afweging. Wat is het punt? Het recht op gegevenswissing wordt soms gepresenteerd als een echte controle. Maar als je zegt: wis het, dan ben je meer aan het handhaven: want éigenlijk had de verantwoordelijke zélf al moeten wissen.

Answer 66

“Waar onder richtlijn 95/46/EG met name de ‘objectieve’ onjuistheid van de gegevens redenen kunnen zijn voor rectificatie, uitwissing of afscherming, staat in de verordening de subjectieve wens van de betrokkene centraal.” Bart zei dat het inroepen van een recht bijna altijd per definitie het schenden van een plicht impliceert, maar Claudia ziet het anders omdat info objectief juist kan zijn, maar jij er toch een subjectieve wens aan overhoudt die gegevens te wissen of aan te passen. Is het dus controle of handhaving?

Answer 67

Warren & Brandeis spraken over het ‘right to be let alone’ – dit werd een eeuw geleden gezegd. In de jaren ’60 kwam: privacy gaat over controle: wel of niet bekend aan derden. Het recht om zelf te beslissen of, wanneer en onder welke voorwaarden informatie aan anderen beschikbaar wordt gesteld (Westin)  dit zijn 2 visies, die corresponderen met de tijd. Verklaring: het gaat erom waar het individu ín de maatschappij ligt: - Reputatie was vroeger heel belangrijk: aan een bepaald beeld voldoen - Retreat: je moet jezelf terug kunnen trekken, ontwikkeling in de vrijheid van je huis - Control: het is mooi dat je allerlei dingen kúnt zijn, niet alleen docent maar ook feestneus; het is daarom belangrijk dat je kunt splitsen - Profilering vernauwt de toekomst: er wordt bepaald welk nieuws jij ziet en zo wordt je toekomst beperkt. Nu gaat privacy erom om deze beperkingen weg te halen. Denk aan: soort netflix dat dacht dat iemand homo was, totdat hij WOII films keek: toen kreeg hij hetero aanbiedingen “fuzzy self”. Kun je norm waaraan je onderhevig bent aanpassen?

Answer 68

Artikel 10 Gw: de persoonlijke levenssfeer Niet: afzondering en controle Maar: een nauw afgebakend gebied waar de overheid zich niet zomaar mee mag bemoeien – zoals woning, gezinsleven, correspondentie, lichaam Op het moment dat we dat willen beschermen (extra vereisten voor woning inval) dan moet er een definitie komen van ‘persoonlijke levenssfeer’! Wat valt daaronder: woning, lichaam etc. Andere grondwettelijke kijk, wat meer op zelfbeschikking ziet, is de informationele zelfbeschikking. BVerfGH: “Iedereen die er niet zeker van kan zijn dat gegevens over maatschappelijk afwijkend gedrag voor langere tijd worden geregistreerd en kunnen worden gebruikt op een manier waarvan hij niets weet, zal proberen om dat gedrag niet te vertonen. Dat is in strijd met de elementaire functie van zelfbeschikking in een democratische samenleving waarin de burgers de mogelijkheid moeten hebben om deel te nemen aan het maatschappelijke en politieke leven zonder risico te lopen op een voor hem ondoorzichtige manier te worden geregistreerd.” Het gaat over autonomie. Duitsland vindt democratie blijkbaar heel belangrijk. Wat ze bedoelden: als je wil gaan betogen en er is een lijst van aanwezigen, dan moet je weten dat die lijst niet ineens wordt gebruikt voor wat anders. Het heeft dus veel met je grondrecht (demonstreren) te maken. In Engeland worden betogers extra goed in de gaten gehouden, ook al gaat het niet om terroristen. Dan gaat het niet eens meer om controle, maar meer om behoorlijke machtsuitoefening. De nadruk ligt niet om wat jij zelf nou wil, maar meer op die waarborgen: Blok 2002: ”Behoorlijke machtsuitoefening in overeenstemming met democratische wetten?” – individuele controle (beschikkingsmacht) over de machthebbende? We zien beide tendensen in de AVG -> CONTROLE IN DE AVG (private handhaving – beschikkingsmacht) We zien het beide. Enerzijds zien we rechtsstatelijke beperkingen (rechtmatigheid, doelbinding, juistheid, transparantie – je moet wéten op moment dat je gaat betogen wáár de data heengaat en of dat voldoet aan de wet). Anderzijds hebben we meer beschikkingsmacht (toestemming geven op basis van je eigen wil, recht op bezwaar etc.)

Answer 69

Vernieuwing AVG, waarom hebben we dat gedaan? - Fragmentatie – vóór de AVG was er die richtlijn. Uit de impact assessment die de commissie heeft gedaan, bleek dat de richtlijn niet meer goed werkte. Fragmentatie komt doordat verschillende lidstaten anders implementeerden; - Bestaande regels zijn onduidelijk en moeilijk om toe te passen op nieuwe situaties – social media en smartphones bestonden nog niet – wel dezelfde beginselen, maar tóch moeilijk toe te passen op de nieuwe technieken - Gebrek aan controle door betrokkenen: – dat werkte niet meer zo goed, die controle. o Gebrek aan kennis van gegevensverwerking en de risico’s voor privacy o Gebrek aan vertrouwen o Moeite rechten uit te oefenen (e.g. gegevenswissing)

Answer 70

Verschuiving van verantwoordelijkheid Nu is het beter: we verschuiven van recht van betrokkene, die hun rechten niet meer moeten gebruiken om ervoor te zorgen dat alles in orde is (dat doet de verwerkingsverantwoordelijken) én we zien een verschuiving van verantwoordelijkheid van toezichthouder naar verwerkingsverantwoordelijke  dit staat in hoofdstuk 4. Verantwoordingsplicht, art. 5 lid 2: 1. Verantwoordelijkheid voor naleving Het is toch logisch dat je moet naleven? Maar goed. a. Art. 24: welke verantwoordelijkheid b. Art. 25: gegevensbescherming door ontwerp (organisatorisch en technisch beschermen) c. Art. 26: verantwoordelijker d. Art. 28: verwerker e. Art. 32: beveiliging 2. Verantwoordelijkheid voor aantonen van naleving 3. Middelen om naleving te bereiken -> gegevenseffectenbeoordeling, functionarissen etc. 4. Middelen om verantwoordelijken tot verantwoording te roepen

Answer 71

Verantwoordelijkheid, art. 24 AVG - De verantwoordelijke treft passende technische en organisatorische maatregelen o om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd - Evaluatie - Passend gegevensbeschermingsbeleid – als het allemaal ingewikkeld is dan moet je passend beleid hebben. Gegevensbescherming door ontwerp, art. 25 AVG Hier ligt de nadruk op de keuze voor verwerkingsmiddelen: soort software bijvoorbeeld. De gevensbeschermingsbeginselen moeten op een doeltreffende manier worden beschermd. - Bij de keuze voor verwerkingsmiddelen en de verwerking zelf worden passende technische en organisatorische maatregelen genomen o Zoals pseudonimisering - Opgesteld op de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren en de nodige waarborgen in te bouwen o Zoals dataminimalisatie - Ter naleving van de voorschriften in de AVG en de bescherming van de rechten van betrokkenen Beveiliging, art. 32 AVG Je moet zorgen dat het goed beveiligd is – het beginsel van art. 5 wordt verder uitgewerkt in art. 32 AVG. - Artikel 5(f): passende beveiliging van persoonsgegevens o bescherming tegen ongeoorloofde of onrechtmatige verwerking (vertrouwelijkheid – in het dossier van Barbie kijken) o bescherming tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit – iemand kan gegevens bewerken of verwijderen)  De inbreuk op de integriteit + de inbreuk op de beschikbaarheid - Artikel 32: verplichting voor verantwoordelijke en verwerker o Passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen  Let op verwerkingrisico’s als gevolg van vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of toegang tot gegevens • Per ongeluk of onrechtmatig  Je moet sowieso stappen zetten om ervoor te zorgen dat mensen onder jouw gezag alleen gegevens verwerken op grond van jouw instructie of als vereist door de wet

Answer 72

Je moet aan kunnen tonen dat je de juiste stappen hebt gezet, en daar hebben we maar één artikel voor: art. 30 AVG: register van de verwerkingsactiviteiten. De verantwoordelijke is natuurlijk verantwoordelijk voor de doeleinden, maar de verwerker heeft óók een verantwoordelijkheid voor doorgiften en beveiliging. Uitzondering: minder dan 250 werknemers, behalve als er sprake is van een risico, niet incidentele verwerking, of gevoelige gegevens

Answer 73

Nu wordt het interessant: we willen ervoor zorgen dat het goed is geregeld: - Art. 35 en 36: gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging; - Art. 37-39: functionaris voor gegevensbescherming; - Art. 41 en 42: gedragscodes; - Art. 43 en 44: certificeringsmechanismen (middel verantwoording?)

Answer 74

Er zijn dus bepalingen over de verantwoordelijkheid op zich, er zijn bepalingen over het kunnen aantonen (register), je hebt bepalingen over de manier waarop je dat bereikt, en nu de middelen: - Betrokkenen: o Artikel 5(1): transparantie o Artikelen 12-14: informatieplichten o Artikel 34: meldplicht datalekken o Artikelen 43 en 44: certificeringsmechanismen - Toezichthoudende autoriteit: o Artikel 27: vertegenwoordiger in de EU (probleem natuurlijk dat bedrijven buiten de Unie zitten) o Artikel 31: verplichting tot medewerking o Artikel 33: meldplicht datalekken o Artikel 36: voorafgaande raadpleging (middel tot naleving?) o Artikel 58: onderzoeksbevoegdheden

Answer 75

Wanneer kun je geaggregeerde data zo gebruiken dat het toch persoonsgegevens worden? Herleidbaarheid, of identificeerbaarheid. Het bedrijfje zelf haalt gegevens op bij bedrijven, ze haalt dus gegevens op. en dat zijn waarschijnlijk geaggregeerde datasets. Wat ze er vervolgens mee doen is ervoor zorgen dat deze sets iets zeggen over groepen tot 35 individuen of kleiner. Op dat moment kan het herleidbaar zijn. Want ván die 35 mensen kan het goed zijn dat er maar één uit die straat, van díe leeftijd is. Een persoonsgegeven ís al een persoonsgegeven als het als zodanig wordt gebruikt. Het heeft 3 elementen: 1. Waar gaat het gegeven over – ‘ik heb een zwarte jurk aan’ 2. Of als de verwerking betrekking heeft op een individu, en dat kan op twee manieren: a. Doel van de verwerking is op specifiek persoon te beïnvloeden; b. Los van het doel heeft het nog steeds een invloed op de individu Over – Doel – Effect: bepalen of het een persoonsgegeven is. In principe zijn geaggregeerde data anoniem. Maar het kán een persoonsgegeven zijn, als het óver een specifieke persoon gaan, als het doel betrekking heeft een specifieke persoon, óf als het doel effect heeft op een specifieke persoon. Het is dus een persoonsgegeven, het kan ook nog een bijzonder persoonsgegeven zijn als dit over politieke overtuiging gaat. Een postcode gaat niet zomaar over politieke overtuiging.

Answer 76

Wanneer kun je geaggregeerde data zo gebruiken dat het toch persoonsgegevens worden? Herleidbaarheid, of identificeerbaarheid. Het bedrijfje zelf haalt gegevens op bij bedrijven, ze haalt dus gegevens op. en dat zijn waarschijnlijk geaggregeerde datasets. Wat ze er vervolgens mee doen is ervoor zorgen dat deze sets iets zeggen over groepen tot 35 individuen of kleiner. Op dat moment kan het herleidbaar zijn. Want ván die 35 mensen kan het goed zijn dat er maar één uit die straat, van díe leeftijd is. Een persoonsgegeven ís al een persoonsgegeven als het als zodanig wordt gebruikt. Het heeft 3 elementen: 1. Waar gaat het gegeven over – ‘ik heb een zwarte jurk aan’ 2. Of als de verwerking betrekking heeft op een individu, en dat kan op twee manieren: a. Doel van de verwerking is op specifiek persoon te beïnvloeden; b. Los van het doel heeft het nog steeds een invloed op de individu Over – Doel – Effect: bepalen of het een persoonsgegeven is. In principe zijn geaggregeerde data anoniem. Maar het kán een persoonsgegeven zijn, als het óver een specifieke persoon gaan, als het doel betrekking heeft een specifieke persoon, óf als het doel effect heeft op een specifieke persoon. Het is dus een persoonsgegeven, het kan ook nog een bijzonder persoonsgegeven zijn als dit over politieke overtuiging gaat. Een postcode gaat niet zomaar over politieke overtuiging.

Answer 77

- Doelbinding – deze moet vooraf zijn aangegeven, expliciet bepaald en gerechtvaardigd Dataminimalisatie – om een advertentie te sturen is ’t misschien niet nodig om heel medische achtergrond te weten - Transparantie en de daarmee samenhangende informatieplicht - Behoorlijkheid – open norm  waarom is dat belangrijk? Je mag geen gebruikmaken van mensen die geestelijk minder scherp zijn. - Rechtmatigheid – zie grondslagen art. 6 AVG of art. 9 AVG

Answer 78

Verwerkingen die spelen Élke verwerking moet aan alle beginselen voldoen! - Analytics bedrijf verzamelt open data - Analytics stelt een profiel op – kán al persoonsgegeven zijn - Advertenties tonen – verwerken van persoonsgegevens door doel of effect  specifiek richten op specifieke personen is dus zéker het verwerken van persoonsgegevens.

Answer 79

- Verzamelen open data – behoeft geen rechtsgrond wat het gaat niet om persoonsgegevens. De data is geanonimiseerd en zodoende niet identificeerbaar, niet herleidbaar tot een individu; - Opstellen van profielen – het gaat hier om hergebruik (het creëren van profielen op basis van al gebruikte data) van de open data. Hiervoor moet het opstellen van profielen in overeenstemming zijn met het doel waarvoor de gegevens zijn verzameld, art. 6 lid 4 AVG. Kan dit niet, dan is er een nieuwe rechtsgrond nodig als bedoeld in art. 6 lid 1 AVG. o Data zijn dus al verzameld, voor waarschijnlijk statistische doeleinden o Opstellen van profielen is een gegevensverwerking, met het doel om advertenties te tonen Die grond kan gelegitimeerd zijn op basis van:  Verenigbaarheid (dan mag je hergebruiken)  dat is dus niet zo: advertenties tonen is een ander doel dan statistische doeleinden, het ligt er een beetje aan hoe problematisch dit hergebruik is.  Nieuwe rechtsgrond nodig Voor het tonen van de advertenties op basis van de profielen is er geen hergebruik, het is immers niet verenigbaar met het doel waarvoor de gegevens zijn verzameld. Derhalve zal er een nieuwe rechtsgrond gevonden moeten worden. Hoe zoeken we die? Dan moeten we eerst weten wat voor gegevens het zijn; gewone of bijzondere. In casu is sprake van advertenties met een politiek doel, zodra je een profiel hebt met stemgedrag, dan zijn het bijzondere persoonsgegevens, art. 9 AVG: - Sub d: dit artikel is best beperkt, want dit ‘mag’ enkel als iemand contact houdt met de vereniging - Sub e: gegevens die al openbaar zijn - Sub a: uitdrukkelijke toestemming  dat is heel erg lastig. Het accepteren van de term and conditions betekent niet dat je hier toestemming voor hebt gekregen. Als het gewone persoonsgegevens waren – hoezo was hier sub f gerechtvaardigd belang dan ineens van toepassing? Belang van politieke partij weegt toch niet op tegen belang van privacy? Onthoud: hergebruik strookt niet met doelbinding, en daarom moet het ófwel een verenigbaar doel zijn, ofwel een nieuwe rechtsgrond.

Answer 80

Artikel 35 AVG – als er een hoog risico is, lid 3 – grootschalige verwerking van bijzondere gegevens etc. Dan weten we ook: (lid 3 sub a: advertenties tonen op basis van profielen gebeurt in beginsel automatisch – maar dat het specifieke persoon niet wezenlijk treft  dit staat bijv. ook in de richtsnoeren) - De AP heeft een meer specifieke lijst gemaakt - De werkgroep ook  de richtsnoeren staan voorgeschreven! Belangrijk voor tentamen. Als die effectbeoordeling is vereist, dan gaan we kijken naar de risico’s op de rechten en vrijheden. Wat zijn die rechten en vrijheden? Wat doe je met zo’n casus: 1. Is een gegevensbeschermingseffectbeoordeling vereist? (grootschalig – hoeveel data; hoeveel betrokkene; omvang geografisch gebied enkel Amsterdam of enkel Nederland?) 2. Ziet op heel bovenstaande verhaal 3. Risico’s 4. Rechten en vrijheden in het beding? a. Recht op privacy – op moment dat je in je persoonlijke levenssfeer wordt geraakt, als je advertenties krijgt die je achtervolgen, of persoonlijke informatie, of je wordt getrackt: dat is allemaal vrij indringend. b. Vrijheid van meningsuiting – het is niet per se een risico, maar wel een relevant recht. Je hebt het recht om informatie te ontvangen en dán is het wel interessant of je constant in een filterbubbel mag zitten. Wat belangrijk is, is dat partijen ook vrijheid hebben om meningen te verspreiden. c. Controle d. Er moeten ook echt eerlijke verkiezingen zijn; dan maakt het een beetje uit of het gemanipuleerd wordt of niet. Zie voor deze stappen het laatste college ook. Is verplicht wanneer er sprake is van een ‘waarschijnlijk hoog risico’, hiervan is onder andere sprake in situaties genoemd in art. 35 lid 3 AVG  Richtsnoeren artikel 19 werkgroep voor DPIA goed bestuderen! https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf

privacy Flashcards

(104 cards)