Add to collection(s) Add to saved
  1. Wetenschap
  2. Health Science
  3. Oogheelkunde

Privacy vs. archiveren: hoe wenselijk en

advertisement 
Privacy vs. archiveren: hoe
wenselijk en rechtmatig is
openbaarmaking?
Bart van der Sloot
www.bartvandersloot.nl
Senior Researcher
Tilburg Institute for Law, Technology, and Society (TILT)
Tilburg University, Netherlands
Overzicht
• (1) Wetgeving archivering en openbaarmaking
• (2) Archief 2020
• (3) Wetgeving privacy en gegevensbescherming
• (4) Privacy 2020
(1) Wetgeving archivering en
openbaarmaking
• Wet van 28 april 1995, houdende vervanging van de Archiefwet 1962
(Stb. 313) en in verband daarmede wijziging van enige andere wetten
• Wet Openbaarheid van Bestuur
• Wet Open Overheid
• Wet Hergebruik Overheidsinformatie
(2) Archief 2020
• Doelstellingen
• Digitale duurzaamheid. De overheid borgt op een duurzame manier de
toegankelijkheid van overheidsinformatie.
• Openbaarheid. De overheid maakt overheidsinformatie beter inzichtelijk
en beschikbaar voor iedereen.
• Toegankelijkheid. De samenleving haalt maximaal maatschappelijk
rendement uit gezamenlijke archieven.
• Documenteren van de samenleving. Naast de primaire archieftaak zorgt
de archiefsector gezamenlijk voor veiligstelling van belangrijke particuliere
archieven.
• Kwaliteitszorg en bestelversterking. Samen vormen we een kennisnetwerk
van toekomstvaste archiefinstellingen
Archief 2020
E-depot & standaardisatie
Metadatering
Actieve openbaarheid
Openheid by design
Algemeen
Open toegang
Hergebruik
Open data
Linked open data
(3) Wetgeving privacy & gegevensbescherming
• Richtlijn bescherming persoonsgegevens
• Wet bescherming persoonsgegevens
• Algemene Verordening Gegevensbescherming
• Handvest van de Grondrechten van de Europese Unie
• Artikel 7 Eerbiediging van het privé-leven en het familie- en gezinsleven
• Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning
en zijn communicatie.
• Artikel 8 Bescherming van persoonsgegevens
• 1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens.
• 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met
toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin
de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op
rectificatie daarvan.
• 3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.
(3) Wetgeving privacy & gegevensbescherming
• Artikel 4.1 Algemene Verordening Gegevensbescherming:
“persoonsgegevens”: alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon („de betrokkene”); als
identificeerbaar wordt beschouwd een natuurlijke persoon die direct
of indirect kan worden geïdentificeerd, met name aan de hand van
een identificator zoals een naam, een identificatienummer,
locatiegegevens, een online identificator of van een of meer
elementen die kenmerkend zijn voor de fysieke, fysiologische,
genetische, psychische, economische, culturele of sociale identiteit
van die natuurlijke persoon;
(3) Wetgeving privacy & gegevensbescherming
• Zelfs de ligging van gewone kabels kan al iets zeggen over personen: als
een huis bijvoorbeeld geen aansluiting heeft op riolering, elektriciteit en
water dan vertelt dit iets over de leefomstandigheden van de bewoners en
wellicht hun financiële situatie.
• Verreweg de meeste data van de overheid betrekking hebben op mensen,
op menselijke handelingen of gedragingen. Het probleem is dat het vaak
onduidelijk is welke informatie in dergelijke databases als identificerend
moet worden bestempeld en welke niet.
• Wil de overheid, archivaris of private organisatie dit goed uitzoeken om te
voorkomen dat direct identificerende gegevens worden gepubliceerd of
verstrekt aan een hergebruiker, dan zal ze alle databases nauwkeurig
moeten napluizen.
• Dit veronderstelt echter zulke sisyfusarbeid dat het de vraag is of het nog
economisch rendabel is om het hergebruik van dergelijke
overheidsinformatie na te streven.
(3) Wetgeving privacy &
gegevensbescherming
• ‘Data can be either useful or perfectly
anonymous but never both’
(3) Wetgeving privacy & gegevensbescherming
• Zelfs als het lukt om een database volledig te anonimiseren en
gegevens te de-identificeren, dan nog moet er rekening mee worden
gehouden dat het omgekeerde proces vaak evenzogoed mogelijk zal
zijn.
• Zo blijkt uit onderzoek dat het zelfs bij zware anonimisering van zeer
gevoelige medische gegevens het nog mogelijk is om zo’n 40% van de
deelnemers aan een DNA-onderzoek te reïdentificeren.
(3) Wetgeving privacy & gegevensbescherming
• Gegevensbeschermingsregels zijn ook van toepassing zijn op
‘identificeerbare’ gegevens, dat wil zeggen gegevens die op dit moment
niet, maar in de toekomst wel, met relatief eenvoudige middelen, tot een
identificerend gegeven kunnen worden gemaakt.
• Het zal, zeker met de voortschrijdende technische middelen, in
toenemende mate eenvoudig zijn voor bedrijven om anonieme gegevens
te koppelen aan data die al in hun bezit zijn, om zo identificerende
persoonsgegevens te verkrijgen.
• Stel bijvoorbeeld dat een archief openbaar maakt over milieu- en
omgevingsfactoren en dat daaruit blijkt dat een fabriek een bepaalde
giftige stof heeft gelekt, waarbij de wijken in de omgeving zijn getroffen.
• Dit is op zich geen persoonlijke informatie, maar koppel dit aan het relatief
publieke gegeven van iemands woonadres en er ontstaat een zeer gevoelig
profiel, met informatie over mogelijke gezondheidsrisico’s. Ook hiermee
moet rekening worden gehouden bij het vrijgegeven van archieven.
(3) Wetgeving privacy & gegevensbescherming
• Tot slot moet worden opgemerkt dat zelfs als een dergelijke koppeling niet
mogelijk is, de anonieme gegevens toch kunnen worden gebruikt voor de
beïnvloeding van personen en hun levenssfeer (ook al zijn de personen die
worden geraakt niet direct geïdentificeerd).
• Vrijgegeven data over een groep of een categorie personen, bijvoorbeeld in het
geval dat de overheid geaggregeerde of statistische gegevens openbaar maakt,
kunnen immers worden gebruikt door instanties en bedrijven om beleid te
formuleren en ten uitvoer te brengen die bepaalde groepen of categorieën
privilegiëren, terwijl anderen juist worden beperkt in hun rechten of
mogelijkheden.
• Dergelijke praktijken zullen dan weliswaar buiten het gegevensbeschermingsrecht
vallen, maar desalniettemin binnen het recht op bescherming van de persoonlijke
levenssfeer.
• Kortom, er moet rekening mee worden gehouden dat als een dataset meer
informatie bevat dan slechts de ligging van zeekabels en de wandelroutes in
Utrecht west, het recht op privacy en gegevensbescherming al snel van
toepassing zullen zijn.
(3) Wetgeving privacy & gegevensbescherming
• Artikel 5 Algemene Verordening Gegevensbescherming
• Persoonsgegevens moeten
• (a) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
worden verzameld en mogen vervolgens niet verder op een met die doeleinden
onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op
archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of
statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als
onverenigbaar met de oorspronkelijke doeleinden beschouwd
• (d) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet
langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens
worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden
worden opgeslagen voor zover de persoonsgegevens louter met het oog op
archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of
statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de
bij deze verordening vereiste passende technische en organisatorische
maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te
beschermen („opslagbeperking”)
(3) Wetgeving privacy & gegevensbescherming
• Algemene Verordening Gegevensbescherming
• Artikel 9.1: Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen,
religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en
verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een
persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele
gerichtheid zijn verboden.
• de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek
of statistische doeleinden overeenkomstig artikel 89, lid 1, op grond van Unierecht of lidstatelijk recht, waarbij de
evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van
persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de
grondrechten en de belangen van de betrokkene.
• Artikel 14: Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de
verwerkingsverantwoordelijke de betrokkene de volgende informatie…..
• het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij
verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische
doeleinden, behoudens de in artikel 89, lid 1, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel
bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het
gedrang dreigt te brengen. In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de
rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken
van de informatie;
• Artikel 17: De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke
vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke
is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende
gevallen van toepassing is….
• met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden
overeenkomstig artikel 89, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die
verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;
(3) Wetgeving privacy &
gegevensbescherming
• Artikel 89 Algemene Verordening Gegevensbescherming
• Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of
historisch onderzoek of statistische doeleinden
• 1. De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische
doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden
van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de
inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering
omvatten, mits aldus die doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die doeleinden kunnen worden
verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden
verwezenlijkt.
• 2. Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden
verwerkt, kan in het Unierecht of het lidstatelijke recht worden voorzien in afwijkingen van de in de artikelen 15, 16, 18 en 21
genoemde rechten, behoudens de in lid 1 van dit artikel bedoelde voorwaarden en waarborgen, voor zover die rechten de
verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke
afwijkingen noodzakelijk zijn om die doeleinden te bereiken.
• 3. Wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht of het
lidstatelijke recht worden voorzien in afwijkingen van de in de artikelen 15, 16, 18, 19, 20 en 21 genoemde rechten, behoudens de
in lid 1 van dit artikel bedoelde voorwaarden en waarborgen, voor zover die rechten het verwezenlijken van de specifieke
doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die
doeleinden te bereiken.
• 4. Wanneer verwerking als bedoeld in de leden 2 en 3 tegelijkertijd ook een ander doel dient, zijn de afwijkingen uitsluitend van
toepassing op verwerking voor de in die leden bedoelde doeleinden.
(3) Wetgeving privacy &
gegevensbescherming
• Artikel 86 Algemene Verordening Gegevensbescherming
• Verwerking en recht van toegang van het publiek tot officiële documenten
• Persoonsgegevens in officiële documenten die voor de uitvoering van een
taak van algemeen belang in het bezit zijn van een overheidsinstantie, een
overheidsorgaan of een particulier orgaan, mogen door de instantie of het
orgaan in kwestie worden bekendgemaakt in overeenstemming met het
Unierecht of het lidstatelijke recht dat op de overheidsinstantie of het
orgaan van toepassing is, teneinde het recht van toegang van het publiek
tot officiële documenten in overeenstemming te brengen met het recht op
bescherming van persoonsgegevens uit hoofde van deze verordening.
(3) Wetgeving privacy & gegevensbescherming
• Artikel 5 Algemene Verordening Gegevensbescherming
• Persoonsgegevens moeten
• (b) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de
doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
• (c) juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten
worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor
zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren
(„juistheid”);
• (e) door het nemen van passende technische of organisatorische maatregelen op
een dusdanige manier worden verwerkt dat een passende beveiliging ervan
gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of
onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of
beschadiging („integriteit en vertrouwelijkheid”).
(3) Wetgeving privacy &
gegevensbescherming
• Artikel 25: Gegevensbescherming door ontwerp en door
standaardinstellingen
• Artikel 30: Register van de verwerkingsactiviteiten
• Artikel 32: Beveiliging van de verwerking
• Artikel 35: Gegevensbeschermingseffectbeoordeling
• Artikel 37: Aanwijzing van de functionaris voor gegevensbescherming
• Artikel 83: Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2
onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor
een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het
voorgaande boekjaar, indien dit cijfer hoger is:
Privacy 2020
• Is archivering 2020 realistisch en doelmatig?
• Waar zullen de baten terechtkomen?
• Ondermijning van het sociaal contract tussen burger en overheid?
• Ondermijning van de legitimiteit van archieven?
Related documents
op weg naar gdpr-naleving in topvorm komen voor de
op weg naar gdpr-naleving in topvorm komen voor de
Privacy beleid - De beste Fleurop bloemist
Privacy beleid - De beste Fleurop bloemist
1.1. Vastleggen en verwerking van gegevens 1.2
1.1. Vastleggen en verwerking van gegevens 1.2
Jouw privacy en persoonlijke gegevens Wij delen
Jouw privacy en persoonlijke gegevens Wij delen
Gij zult openbaren: privacy en de open overheid
Gij zult openbaren: privacy en de open overheid
Verzoek tot inzage gegevens
Verzoek tot inzage gegevens
European Commission
European Commission
TichelaarADadvies Privacy reglement TichelaarADadvies heeft een
TichelaarADadvies Privacy reglement TichelaarADadvies heeft een
General Data Protection Regulation
General Data Protection Regulation
Seminar Privacy in Zorg: `zorginstellingen moeten
Seminar Privacy in Zorg: `zorginstellingen moeten
Inschrijfformulier nieuwe patiënten Persoonlijke gegevens
Inschrijfformulier nieuwe patiënten Persoonlijke gegevens
Aan: - Tweede Kamer
Aan: - Tweede Kamer
Decentralisaties - Shared Services Netwerk Twente
Decentralisaties - Shared Services Netwerk Twente
Download
advertisement