Post on 12-Apr-2017
KING/VNG Masterclass data protectie voor gemeentelijke data science
prof.dr. Ronald Leenes
12 januari 2017
programma• waarom: data science kansen en risico’s
• beginselen van data protectie
• impact assessment, verantwoording
• borging en handhaving
• vragen en wat verder ter tafel komt
basisbeginselen
deel 1
algemene verordening gegevensbescherming
(Verordening (EU) 2016/679)
AlgemeneV G erordening egevensb25 mei 2018
doelen
bescherming grondrechten en fundamentele vrijheden (met name recht op bescherming persoonsgegevens)
bevorderen vrij verkeer van persoonsgegevens
transparantie & verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde verwerking gegevens
stap 1
• werk ik met persoonsgegevens?
• ben ik verantwoordelijke of verwerker?
persoonsgegevens - art. 4 onder 1
• alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”);
• als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator
• of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
identificator
herkennen in een groep
gegevens
identificator
identificator
persoonsgegevens - art. 4 onder 1
• alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”);
• als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator
• of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
persoonsgegevens
Bron:
Bron:
het verwerken van persoonsgegevens op zodanige wijze dat ze niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder aanvullende gegevens, mits deze aanvullende gegevens apart worden bewaard en niet koppelbaar zijn
pseudonimisering
het verwerken van persoonsgegevens op zodanige wijze dat ze niet (meer) aan een specifieke betrokkene kunnen worden gekoppeld
anonimiseringgeïdentificeerd
pseudoniem
anoniem
2195400 grijs 100
214 7764 zwart 150
252 6012 rood 745
Leenes, R.E. 67 Parent 2195400
Doe, J. 768 Bank 214 7764
Claus, S 1 Koskikatu, Rovaniemi 252 6012
AVR niet van toepassing
AVR van toepassing
anonimisering
• wenselijk, want
• AVG niet van toepassing
• geen risico voor individu
• maar
• in toenemende mate onmogelijk door re-identificatie en koppeling gegevens
soorten gegevens
• (gewone) persoonsgegevens – art 4 lid 1
• bijzondere persoonsgegevens – art. 9
• ras of ethnische afkomst, politieke opvatting, religie of levensbeschouwing, lidmaatschap vakbond, genetische gegevens, biometrie voor identificatie, gezondheid seksueel gedrag of geaardheid
• toestemming, kennelijk openbaar
• gegevens betreffende kinderen (jonger dan 16) – art. 8
• toestemming ouder of voogd
stap 1
• werk ik met persoonsgegevens?
• ben ik verantwoordelijke of verwerker?
zo nee, dan is AVG niet van toepassing
verantwoordelijke en verwerker• “verwerkingsverantwoordelijke”
• bepaalt doel en middelen voor verwerking
• feitelijk, of in wetgeving, bepaald
• verwerker
• verwerkt gegevens ten behoeve van de verwerkingsverantwoordelijke
• verwerking op basis van overeenkomst of andere rechtshandeling die uitgebreide instructies van verantwoordelijke bevat
• ook zelfstandige verantwoordelijkheden (beveiling ed)
transparantie & verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde verwerking gegevens
persoonsgegevens verantwoordelijke
stap 2 – beginselen (abstract)
• behoorlijk
• eerlijk, rechtmatig en transparant
• finaliteit
• welbepaalde, gerechtvaardigde doelen
• proportionaliteit
• toereikend, ter zake dienend en noodzakelijk
stap 2 – beginselen
• rechtmatig, behoorlijk en transparant
• doelbinding
• minimale gegevensverwerking
• juistheid
• opslagbeperking
• integriteit en vertrouwelijkheid
rechtmatigheid – art. 6a. toestemming betrokkene
b. noodzakelijk voor uitvoering overeenkomst waarbij betrokkene partij is
c. noodzakelijk voor uitvoering wettelijke plicht verantwoordelijke
d. noodzakelijk voor vitaal belang betrokkene
e. noodzakelijk voor vervulling publiekrechtelijke taak
f. noodzakelijk voor gerechtvaardigd belang verantwoordelijke, tenzij inbreuk op rechten disproportioneel
f. is niet van toepassing voor overheid in taakuitoefening
• wettelijke plicht
• art. 7.3.8 eerste lid Jeugdwet – jeugdhulpverlener is verplicht een dossier over de jeugdige on te richten
• publiekrechtelijke taak
• bestuursorgaan!
• art. 2.11 eerste lid Jeugdwet – vaststelling van rechten en plichten van jeugdige of zijn ouders
toestemming – art. 7
• toestemming moet
• vrij, welbepaald, geïnformeerd en ondubbelzinnig zijn
• vrij -> er moet vrije keuze mbt verwerking zijn, wanneer er afhankelijkheidsrelatie bestaat is dit niet het geval
• aantoonbaar door verantwoordelijke
• toestemming kan worden herroepen (effect na herroeping)
toestemming – art. 8, 9
• voor kinderen onder 16
• toestemming door ouder of voogd
• inspanningsverplichting controle geldigheid toestemming ouder/voogd
• voor bijzondere gegevens (ethniciteit, geloof, gezondheid, etc)
noodzaak (b. t/m f.)
• proportionaliteitstoets
• doel en middel moeten met elkaar in verhouding zijn • Staat het besluit om via internet informatie te vergaren in verhouding tot de ernst van het misbruik en het belang van de controle op
de naleving van de wettelijke regels? Hierbij wordt o.a. rekening gehouden met de verwachting van de betrokkene; of hij/zij zich op internet in een strikt privédomein bevindt bv een social media site of een datingsite. Er vindt geen uitlokking plaats en de onderzoeker benadert de uitkeringsgerechtigde niet onder een valse naam of hoedanigheid.
• subsidiariteitstoets
• is dit het minst ingrijpende middel?
dus
• toestemming is niet goed bruikbaar voor dienstverlening, mogelijk wel voor onderzoek en beleidsontwikkeling
• wettelijke plicht is lastig omdat deze voldoende duidelijk moet zijn bepaald en aanleiding moet geven (proportionaliteit en subsidiariteit) tot verwerking
• publiekrechtelijke taak is lastig wanneer het gaat om analyse achtige toepassingen
doelbinding
• welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
• geen verdere verwerking die onverenigbaar is met dit doel
• hierbij spelen redelijke verwachtingen van betrokkenen
• wetenschappelijk onderzoek of statistische doeleinden zijn niet onverenigbaar
• weinig handvatten over betekenis van ‘wetenschappelijk onderzoek’!
theeblaadjes lezen • overweging 33
Het is vaak niet mogelijk op het ogenblik waarop de persoonsgegevens worden verzameld, het doel van de gegevensverwerking voor wetenschappelijke onderzoeksdoeleinden volledig te omschrijven. Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van het wetenschappelijk onderzoek waarbij erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen.
• overweging 159
… wetenschappelijk onderzoek ruim worden opgevat en bijvoorbeeld technologische ontwikkeling en demonstratie, fundamenteel onderzoek, toegepast onderzoek en uit particuliere middelen gefinancierd onderzoek omvatten.
… de verwerking aan specifieke voorwaarden voldoen, met name wat betreft het publiceren of anderszins openbaar maken van persoonsgegevens voor wetenschappelijke onderzoeksdoeleinden.
• wat nu:
• aangenomen wordt dat onderzoek niet omvat: besluitvorming over individuen
• Autoriteit persoonsgegevens en rechtspraak moeten plaatje inkleuren
voorbeeld doelspecificatie
• “Het doeleinde van de verwerking is volgens het protocol informatie en bewijs verzamelen teneinde misbruik en oneigenlijk gebruik van sociale zekerheidsvoorzieningen aan het licht te brengen. Het doeleinde van de verwerking is hiermee welbepaald en uitdrukkelijk omschreven. “
transparantie & verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde verwerking gegevens
persoonsgegevens verantwoordelijke
rechtmatig, behoorlijk en transparant doelbinding
toestemming overeenkomst wettelijke plicht verantwoordelijke vitaal belang betrokkene publiekrechtelijke taak gerechtvaardigd belang verantwoordelijke
transparantie & verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde verwerking gegevens
stap 2 – beginselen
• rechtmatig, behoorlijk en transparant
• doelbinding
• minimale gegevensverwerking
• juistheid
• opslagbeperking
• integriteit en vertrouwelijkheid
dataminimalisatie – art. 5 lid 1 onder c
• wederom proportionaliteit
• gegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
• minimale gegevensverwerking
• veel data science is juist gericht op maximalisatie
• rek zit (wellicht) in doelbepaling
stap 2 – beginselen
• rechtmatig, behoorlijk en transparant
• doelbinding
• minimale gegevensverwerking
• juistheid
• opslagbeperking
• integriteit en vertrouwelijkheid
juistheid – art. 5 lid 1 onder d
• gegevens moeten juist zijn en zo nodig worden geactualiseerd
• alle redelijke maatregelen moeten worden genomen om juistheid in het licht van de doelstellingen te garanderen
• onderscheid besluitvorming – analyse/beleidsvoorbereiding
stap 2 – beginselen
• rechtmatig, behoorlijk en transparant
• doelbinding
• minimale gegevensverwerking
• juistheid
• opslagbeperking
• integriteit en vertrouwelijkheid
opslagbeperking – art. 5 lid 1 onder e
• anonimisering wanneer mogelijk
• gegevens moeten worden verwijderd wanneer ze niet meer noodzakelijk zijn
• opslag voor wetenschappelijk onderzoek mag, onder passende technische en organisatorische maatregelen
stap 2 – beginselen
• rechtmatig, behoorlijk en transparant
• doelbinding
• minimale gegevensverwerking
• juistheid
• opslagbeperking
• integriteit en vertrouwelijkheid
integriteit – art 5 lid 1 onder f
• passende technische en organisatorische maatregelen dat ongeoorloofde verwerking of onopzettelijk verlies vernietiging of beschadiging wordt voorkomen
beveiliging, art. 32
privacy by design, art. 25
melding datalekken, art. 33, 34
overige zaken: rechten betrokkenen
informatieverstrekking, art. 12, 13, 14
• informatie over identiteit verwerker, verwerkingsdoelen, rechten etc
inzagerecht, art 15
rectificatierecht, art 16
recht op vergetelheid , art. 17
• wanneer gegevens overbodig (doel bereikt), toestemming ingetrokken
transparantie & verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde verwerking gegevens
minimale gegevensverwerking juistheid opslagbeperking integriteit en vertrouwelijkheid
persoonsgegevens verantwoordelijke
rechtmatig, behoorlijk en transparant doelbinding
toestemming overeenkomst wettelijke plicht verantwoordelijke vitaal belang betrokkene publiekrechtelijke taak gerechtvaardigd belang verantwoordelijke
invoer uitvoerverwerking invoer
analysetoetsing hypothesehandhavingindividuele beslissing…
verwerking
geautomatiseerde beslissing
geautomatiseerde beslissingen – art. 27
• de betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profiling, gebaseerd besluit [met serieuze gevolgen]
• tenzij overeenkomst
• tenzij (wettelijke) plicht op verantwoordelijke
• tenzij toestemming betrokkene
profilering – art. 4 onder 4
“elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoons gegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.”
transparantie – art. 14 lid 2 onder gverwerker informeert betrokkene over
“het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.”
onduidelijk wat dit betekent, zeker in geval van machine learning
denken, doen, verantwoorden
deel 2 transparantie & verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde verwerking gegevens
minimale gegevensverwerking juistheid opslagbeperking integriteit en vertrouwelijkheid
persoonsgegevens verantwoordelijke
rechtmatig, behoorlijk en transparant doelbinding
toestemming overeenkomst wettelijke plicht verantwoordelijke vitaal belang betrokkene publiekrechtelijke taak gerechtvaardigd belang verantwoordelijke
informatieplichten
transparantie & accountability
accountability
• duidelijk maken wat de normen zijn waaraan je je houdt
• monitoren hoe je het doet
• discrepanties oplossen
• uitleggen en verantwoorden wat je hebt gedaan
• (is transparantie + verantwoordelijkheid nemen)
gegevensbeschermingseffectbeoordeling
definieer project bepaal risico’s (dpia)
implementeer maatregelen (o.m. privacy by design)
documenteer eerst denken, dan doen
als hoog risico dan DPIAart. 35 lid 1 art. 35
gegevensbeschermingseffectbeoordeling – art. 35
• wanneer:
• hoog risico voor ‘rechten en vrijheden’ van natuurlijke personen door soort verwerking (bijv. nieuwe technologie), aard, omvang, context, doeleinden
• profiling, bijzondere gegevens, stelselmatige monitoring etc
• wat:
• doelen, proportionaliteit, subsidiariteit (eigenlijk de beginselen)
• de risico’s en maatregelen om die te beperken
gegevensbeschermingseffectbeoordeling – art. 35
• hoe
quick scan
beschrijf verwerking
risico’s? beoordeel risico’s
bepaal en implementeer maatregelen
bepaal restrisico
ja
nee
consultatie betrokkenenklaar
hoog?
ja
nee
klaar
consulteer AP
documentatie
hoe (praktisch)
gegevensbeschermingseffectbeoordelingsproces
bepaal wie PIA uitvoert
start
verzamel informatie beantwoord PIA vragenlijst
is PIA noodzakelijk?
stop
bedenk oplossingen bepaal impact/problemen
rapporteer(onafhankelijke) toets
ja
nee
praktische handreikingen
• NOREA pia (van 2015)
• ICO Privacy Impact Assessment
• …
• maar, actualisering is nodig
maatregelen• privacy by design
• Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke … passende technische en organisatorische maatregelen
• … ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.” – art 25 lid 1
• “en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd” – art 24 lid 1
privacy design patterns
Jaap-HenkHoepmanh-p://arxiv.org/pdf/1210.6621v1.pdf
maatregelen• anonimiseren
• verwijdering van alle identificerende kenmerken
• pseudonimiseren
• scheiden van identificerende gegevens van de rest van de gegevens
• minimaliseren
• verwijderen van alle attributen die niet nodig zijn
• aggregeren
• samenvoegen van gegevens zodat ze betrekking hebben op groepen van individuen
• versleutelen en access control
• beperken van toegang tot rechthebbenden
• verwijdering
• zo snel mogelijk weggooien van gegevens
transparantie & verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde verwerking gegevens
minimale gegevensverwerking juistheid opslagbeperking integriteit en vertrouwelijkheid
persoonsgegevens verantwoordelijke
rechtmatig, behoorlijk en transparant doelbinding
toestemming overeenkomst wettelijke plicht verantwoordelijke vitaal belang betrokkene publiekrechtelijke taak gerechtvaardigd belang verantwoordelijke
informatieplichten DPIA melding datalekken
privacy by design
borging en handhaving
deel 3
borging recht op dataprotectie• door transparantie- en verantwoordingsverplichtingen (art. 12-14, 15, 24,
30)
• gegevensbeschermingseffectbeoordeling – art. 35
• meldplicht datalekken (art. 33, 34)
• melding binnen (bij voorkeur) 72 uur na ontdekking aan toezichthouder
• aan betrokkene bij hoog risico
• effecten ex-ante (voorkomen) en ex-post (sancties)
borging
• door aanstelling functionaris gegevensbescherming – art. 38 & 39
• verplicht voor overheidsinstanties en -organen
• taken
• verantwoordelijke informeren en adviseren
• toezien op naleving verordening
• contactpunt toezichthouder
sancties - artikel 83
• doeltreffende, evenredige en afschrikkende boetes
• geldboete tot 10 miljoen Euro voor overtreden ‘verantwoordelijkheidseisen’
• (o.m. minderjarigen, PbD, beveiliging, melding datalekken, DPIA, FG)
• geldboete tot 20 miljoen Euro voor overtreden basisbeginselen artt. 5, 6, 7, 9, rechten betrokkenen art 12 .. 22
transparantie & verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde verwerking gegevens
minimale gegevensverwerking juistheid opslagbeperking integriteit en vertrouwelijkheid
persoonsgegevens verantwoordelijke
rechtmatig, behoorlijk en transparant doelbinding
toestemming overeenkomst wettelijke plicht verantwoordelijke vitaal belang betrokkene publiekrechtelijke taak gerechtvaardigd belang verantwoordelijke
informatieplichten DPIA melding datalekken
privacy by design
sancties bij non-compliance
slotopmerkingen
• van Wbp naar Avg: veel is hetzelfde gebleven
• nieuw zijn accountability, privacy by design, vergetelheidsrecht, DPIA, …
• meer verantwoordelijkheid ipv checkbox, met echte sancties!
• focus nog steeds op klassieke verwerking, matig toegerust op Big Data
• veel onzekerheid, inkleuring in komende jaren
• AVG is maar 1 van de relevante regelingen (voor gemeenten), samenloop levert tal van problemen op, zie website Autoriteit persoonsgegevens
domeinoverstijgend gebruik
• problematisch
• publiekrechtelijke taak doorgaans niet bruikbaar
• wettelijke plicht doorgaans niet bruikbaar
• dus: toestemming (of overeenkomst)
• helaas zijn die ook problematisch
prof. dr. Ronald LeenesTilburg UniversityTILT – Tilburg Institute for Law, Technology, and Society
JADS – Jheronimus Academy of Data Science
Postbus 90153, 5000 LE TilburgMontesquieu gebouw, kamer M 708 http://www.uvt.nl/contact/bereik/
Mobile +(31) 6 41 700572 E-mail: r.e.leenes@uvt.nl