Masterclass Privacy en Data Science donderdag 12 januari
1. KING/VNG Masterclass
data protectie voor
gemeentelijke data science
prof.dr. Ronald Leenes
12 januari 2017
programma
• waarom: data science kansen en risico’s
• beginselen van data protectie
• impact assessment, verantwoording
• borging en handhaving
• vragen en wat verder ter tafel komt
basisbeginselen
deel 1
algemene verordening
gegevensbescherming
(Verordening (EU) 2016/679)
2. AlgemeneV Gerordening egevensb
25 mei 2018
doelen
bescherming grondrechten en fundamentele vrijheden
(met name recht op bescherming persoonsgegevens)
bevorderen vrij verkeer van persoonsgegevens
transparantie &
verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde
verwerking gegevens
stap 1
• werk ik met persoonsgegevens?
• ben ik verantwoordelijke of verwerker?
3. persoonsgegevens - art. 4 onder 1
• alle informatie over een geïdentificeerde of identificeerbare natuurlijke
persoon (“de betrokkene”);
• als identificeerbaar wordt beschouwd een natuurlijke persoon die direct
of indirect kan worden geïdentificeerd, met name aan de hand van een
identificator zoals een naam, een identificatienummer, locatiegegevens,
een online identificator
• of van een of meer elementen die kenmerkend zijn voor de fysieke,
fysiologische, genetische, psychische, economische, culturele of sociale
identiteit van die natuurlijke persoon;
identificator
herkennen in een groep
gegevens
identificator
identificator
persoonsgegevens - art. 4 onder 1
• alle informatie over een geïdentificeerde of identificeerbare natuurlijke
persoon (“de betrokkene”);
• als identificeerbaar wordt beschouwd een natuurlijke persoon die direct
of indirect kan worden geïdentificeerd, met name aan de hand van een
identificator zoals een naam, een identificatienummer, locatiegegevens,
een online identificator
• of van een of meer elementen die kenmerkend zijn voor de fysieke,
fysiologische, genetische, psychische, economische, culturele of sociale
identiteit van die natuurlijke persoon;
4. persoonsgegevens
Bron:
Bron:
het verwerken van persoonsgegevens op
zodanige wijze dat ze niet meer aan een
specifieke betrokkene kunnen worden gekoppeld
zonder aanvullende gegevens,
mits deze aanvullende gegevens apart worden
bewaard en niet koppelbaar zijn
pseudonimisering
5. het verwerken van persoonsgegevens op
zodanige wijze dat ze niet (meer) aan een
specifieke betrokkene kunnen worden gekoppeld
anonimisering
geïdentificeerd
pseudoniem
anoniem
2195400 grijs 100
214 7764 zwart 150
252 6012 rood 745
Leenes, R.E. 67 Parent 2195400
Doe, J. 768 Bank 214 7764
Claus, S 1 Koskikatu, Rovaniemi 252 6012
AVR niet van toepassing
AVR van toepassing
anonimisering
• wenselijk, want
• AVG niet van toepassing
• geen risico voor individu
• maar
• in toenemende mate onmogelijk door re-identificatie en koppeling
gegevens
soorten gegevens
• (gewone) persoonsgegevens – art 4 lid 1
• bijzondere persoonsgegevens – art. 9
• ras of ethnische afkomst, politieke opvatting, religie of
levensbeschouwing, lidmaatschap vakbond, genetische gegevens,
biometrie voor identificatie, gezondheid seksueel gedrag of geaardheid
• toestemming, kennelijk openbaar
• gegevens betreffende kinderen (jonger dan 16) – art. 8
• toestemming ouder of voogd
6. stap 1
• werk ik met persoonsgegevens?
• ben ik verantwoordelijke of verwerker?
zo nee, dan is AVG niet van toepassing
verantwoordelijke en verwerker
• “verwerkingsverantwoordelijke”
• bepaalt doel en middelen voor verwerking
• feitelijk, of in wetgeving, bepaald
• verwerker
• verwerkt gegevens ten behoeve van de verwerkingsverantwoordelijke
• verwerking op basis van overeenkomst of andere rechtshandeling die
uitgebreide instructies van verantwoordelijke bevat
• ook zelfstandige verantwoordelijkheden (beveiling ed)
transparantie &
verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde
verwerking gegevens
persoonsgegevens
verantwoordelijke
stap 2 – beginselen (abstract)
• behoorlijk
• eerlijk, rechtmatig en transparant
• finaliteit
• welbepaalde, gerechtvaardigde doelen
• proportionaliteit
• toereikend, ter zake dienend en noodzakelijk
7. stap 2 – beginselen
• rechtmatig, behoorlijk en transparant
• doelbinding
• minimale gegevensverwerking
• juistheid
• opslagbeperking
• integriteit en vertrouwelijkheid
rechtmatigheid – art. 6
a. toestemming betrokkene
b. noodzakelijk voor uitvoering overeenkomst waarbij
betrokkene partij is
c. noodzakelijk voor uitvoering wettelijke plicht
verantwoordelijke
d. noodzakelijk voor vitaal belang betrokkene
e. noodzakelijk voor vervulling publiekrechtelijke taak
f. noodzakelijk voor gerechtvaardigd belang verantwoordelijke,
tenzij inbreuk op rechten disproportioneel
f. is niet van toepassing voor overheid in taakuitoefening
• wettelijke plicht
• art. 7.3.8 eerste lid Jeugdwet – jeugdhulpverlener is verplicht een dossier
over de jeugdige on te richten
• publiekrechtelijke taak
• bestuursorgaan!
• art. 2.11 eerste lid Jeugdwet – vaststelling van rechten en plichten van
jeugdige of zijn ouders
toestemming – art. 7
• toestemming moet
• vrij, welbepaald, geïnformeerd en ondubbelzinnig zijn
• vrij -> er moet vrije keuze mbt verwerking zijn, wanneer er
afhankelijkheidsrelatie bestaat is dit niet het geval
• aantoonbaar door verantwoordelijke
• toestemming kan worden herroepen (effect na herroeping)
8. toestemming – art. 8, 9
• voor kinderen onder 16
• toestemming door ouder of voogd
• inspanningsverplichting controle geldigheid toestemming ouder/voogd
• voor bijzondere gegevens (ethniciteit, geloof, gezondheid, etc)
noodzaak (b. t/m f.)
• proportionaliteitstoets
• doel en middel moeten met elkaar in verhouding zijn
• Staat het besluit om via internet informatie te vergaren in verhouding tot de ernst van het misbruik en het belang van de controle op
de naleving van de wettelijke regels? Hierbij wordt o.a. rekening gehouden met de verwachting van de betrokkene; of hij/zij zich op
internet in een strikt privédomein bevindt bv een social media site of een datingsite. Er vindt geen uitlokking plaats en de onderzoeker
benadert de uitkeringsgerechtigde niet onder een valse naam of hoedanigheid.
• subsidiariteitstoets
• is dit het minst ingrijpende middel?
dus
• toestemming is niet goed bruikbaar voor dienstverlening, mogelijk wel
voor onderzoek en beleidsontwikkeling
• wettelijke plicht is lastig omdat deze voldoende duidelijk moet zijn
bepaald en aanleiding moet geven (proportionaliteit en subsidiariteit) tot
verwerking
• publiekrechtelijke taak is lastig wanneer het gaat om analyse achtige
toepassingen
doelbinding
• welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
• geen verdere verwerking die onverenigbaar is met dit doel
• hierbij spelen redelijke verwachtingen van betrokkenen
• wetenschappelijk onderzoek of statistische doeleinden zijn niet
onverenigbaar
• weinig handvatten over betekenis van ‘wetenschappelijk onderzoek’!
9. theeblaadjes lezen
• overweging 33
Het is vaak niet mogelijk op het ogenblik waarop de persoonsgegevens worden verzameld, het doel van de
gegevensverwerking voor wetenschappelijke onderzoeksdoeleinden volledig te omschrijven. Daarom moet de betrokkenen
worden toegestaan hun toestemming te geven voor bepaalde terreinen van het wetenschappelijk onderzoek waarbij
erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen.
• overweging 159
… wetenschappelijk onderzoek ruim worden opgevat en bijvoorbeeld technologische ontwikkeling en demonstratie,
fundamenteel onderzoek, toegepast onderzoek en uit particuliere middelen gefinancierd onderzoek omvatten.
… de verwerking aan specifieke voorwaarden voldoen, met name wat betreft het publiceren of anderszins openbaar
maken van persoonsgegevens voor wetenschappelijke onderzoeksdoeleinden.
• wat nu:
• aangenomen wordt dat onderzoek niet omvat: besluitvorming over individuen
• Autoriteit persoonsgegevens en rechtspraak moeten plaatje inkleuren
voorbeeld doelspecificatie
• “Het doeleinde van de verwerking is volgens het protocol informatie en
bewijs verzamelen teneinde misbruik en oneigenlijk gebruik van sociale
zekerheidsvoorzieningen aan het licht te brengen.
Het doeleinde van de verwerking is hiermee welbepaald en uitdrukkelijk
omschreven. “
transparantie &
verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde
verwerking gegevens
persoonsgegevens
verantwoordelijke
rechtmatig, behoorlijk en transparant
doelbinding
toestemming
overeenkomst
wettelijke plicht verantwoordelijke
vitaal belang betrokkene
publiekrechtelijke taak
gerechtvaardigd belang verantwoordelijke
transparantie &
verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde
verwerking gegevens
10. stap 2 – beginselen
• rechtmatig, behoorlijk en transparant
• doelbinding
• minimale gegevensverwerking
• juistheid
• opslagbeperking
• integriteit en vertrouwelijkheid
dataminimalisatie – art. 5 lid 1 onder c
• wederom proportionaliteit
• gegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat
noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
• minimale gegevensverwerking
• veel data science is juist gericht op maximalisatie
• rek zit (wellicht) in doelbepaling
stap 2 – beginselen
• rechtmatig, behoorlijk en transparant
• doelbinding
• minimale gegevensverwerking
• juistheid
• opslagbeperking
• integriteit en vertrouwelijkheid
juistheid – art. 5 lid 1 onder d
• gegevens moeten juist zijn en zo nodig worden geactualiseerd
• alle redelijke maatregelen moeten worden genomen om juistheid in het
licht van de doelstellingen te garanderen
• onderscheid besluitvorming – analyse/beleidsvoorbereiding
11. stap 2 – beginselen
• rechtmatig, behoorlijk en transparant
• doelbinding
• minimale gegevensverwerking
• juistheid
• opslagbeperking
• integriteit en vertrouwelijkheid
opslagbeperking – art. 5 lid 1 onder e
• anonimisering wanneer mogelijk
• gegevens moeten worden verwijderd wanneer ze niet meer noodzakelijk
zijn
• opslag voor wetenschappelijk onderzoek mag, onder passende
technische en organisatorische maatregelen
stap 2 – beginselen
• rechtmatig, behoorlijk en transparant
• doelbinding
• minimale gegevensverwerking
• juistheid
• opslagbeperking
• integriteit en vertrouwelijkheid
integriteit – art 5 lid 1 onder f
• passende technische en organisatorische maatregelen dat ongeoorloofde
verwerking of onopzettelijk verlies vernietiging of beschadiging wordt
voorkomen
beveiliging, art. 32
privacy by design, art. 25
melding datalekken, art. 33, 34
13. geautomatiseerde beslissing
geautomatiseerde beslissingen –
art. 27
• de betrokkene heeft het recht niet te worden onderworpen aan
een uitsluitend op geautomatiseerde verwerking, waaronder
profiling, gebaseerd besluit [met serieuze gevolgen]
• tenzij overeenkomst
• tenzij (wettelijke) plicht op verantwoordelijke
• tenzij toestemming betrokkene
profilering – art. 4 onder 4
“elke vorm van geautomatiseerde verwerking van
persoonsgegevens waarbij aan de hand van persoons gegevens
bepaalde persoonlijke aspecten van een natuurlijke persoon
worden geëvalueerd, met name met de bedoeling zijn
beroepsprestaties, economische situatie, gezondheid,
persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag,
locatie of verplaatsingen te analyseren of te voorspellen.”
transparantie – art. 14 lid 2 onder g
verwerker informeert betrokkene over
“het bestaan van geautomatiseerde besluitvorming, met
inbegrip van de in artikel 22, leden 1 en 4, bedoelde
profilering, en, ten minste in die gevallen, nuttige informatie
over de onderliggende logica, alsmede het belang en de
verwachte gevolgen van die verwerking voor de betrokkene.”
onduidelijk wat dit betekent, zeker in geval van machine
learning
14. denken, doen, verantwoorden
deel 2
transparantie &
verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde
verwerking gegevens
minimale gegevensverwerking
juistheid
opslagbeperking
integriteit en vertrouwelijkheid
persoonsgegevens
verantwoordelijke
rechtmatig, behoorlijk en transparant
doelbinding
toestemming
overeenkomst
wettelijke plicht verantwoordelijke
vitaal belang betrokkene
publiekrechtelijke taak
gerechtvaardigd belang verantwoordelijke
informatieplichten
transparantie & accountability
accountability
• duidelijk maken wat de normen zijn waaraan je je houdt
• monitoren hoe je het doet
• discrepanties oplossen
• uitleggen en verantwoorden wat je hebt gedaan
• (is transparantie + verantwoordelijkheid nemen)
15. gegevensbeschermingseffectbeoordeling
definieer project
bepaal risico’s
(dpia)
implementeer maatregelen
(o.m. privacy by design)
documenteer eerst denken, dan doen
als hoog risico dan DPIA
art. 35 lid 1 art. 35
gegevensbeschermingseffectbeoordeling – art. 35
• wanneer:
• hoog risico voor ‘rechten en vrijheden’ van natuurlijke personen door
soort verwerking (bijv. nieuwe technologie), aard, omvang, context,
doeleinden
• profiling, bijzondere gegevens, stelselmatige monitoring etc
• wat:
• doelen, proportionaliteit, subsidiariteit (eigenlijk de beginselen)
• de risico’s en maatregelen om die te beperken
16. gegevensbeschermingseffectbeoordeling – art. 35
• hoe
quick
scan
beschrijf
verwerking
risico’s?
beoordeel
risico’s
bepaal en
implementeer
maatregelen
bepaal
restrisico
ja
nee
consultatie
betrokkenen
klaar
hoog?
ja
nee
klaar
consulteer
AP
documentatie
hoe
(praktisch)
gegevensbeschermingseffectbeoordelingsproces
bepaal wie PIA uitvoert
start
verzamel informatie beantwoord PIA vragenlijst
is PIA noodzakelijk?
stop
bedenk oplossingen bepaal impact/problemen
rapporteer(onafhankelijke) toets
ja
nee
praktische handreikingen
• NOREA pia (van 2015)
• ICO Privacy Impact Assessment
• …
• maar, actualisering is nodig
17. maatregelen
• privacy by design
• Rekening houdend met de stand van de techniek, de uitvoeringskosten,
en de aard, de omvang, de context en het doel van de verwerking alsook
met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de
rechten en vrijheden van natuurlijke personen welke aan de verwerking
zijn verbonden, treft de verwerkingsverantwoordelijke … passende
technische en organisatorische maatregelen
• … ter naleving van de voorschriften van deze verordening en ter
bescherming van de rechten van de betrokkenen.” – art 25 lid 1
• “en te kunnen aantonen dat de verwerking in overeenstemming met
deze verordening wordt uitgevoerd” – art 24 lid 1
privacy design patterns
Jaap-Henk Hoepman h-p://arxiv.org/pdf/1210.6621v1.pdf
maatregelen
• anonimiseren
• verwijdering van alle identificerende kenmerken
• pseudonimiseren
• scheiden van identificerende gegevens van de rest van de gegevens
• minimaliseren
• verwijderen van alle attributen die niet nodig zijn
• aggregeren
• samenvoegen van gegevens zodat ze betrekking hebben op groepen van individuen
• versleutelen en access control
• beperken van toegang tot rechthebbenden
• verwijdering
• zo snel mogelijk weggooien van gegevens
transparantie &
verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde
verwerking gegevens
minimale gegevensverwerking
juistheid
opslagbeperking
integriteit en vertrouwelijkheid
persoonsgegevens
verantwoordelijke
rechtmatig, behoorlijk en transparant
doelbinding
toestemming
overeenkomst
wettelijke plicht verantwoordelijke
vitaal belang betrokkene
publiekrechtelijke taak
gerechtvaardigd belang verantwoordelijke
informatieplichten
DPIA
melding datalekken
privacy by design
18. borging en handhaving
deel 3
borging recht op dataprotectie
• door transparantie- en verantwoordingsverplichtingen (art. 12-14, 15, 24,
30)
• gegevensbeschermingseffectbeoordeling – art. 35
• meldplicht datalekken (art. 33, 34)
• melding binnen (bij voorkeur) 72 uur na ontdekking aan toezichthouder
• aan betrokkene bij hoog risico
• effecten ex-ante (voorkomen) en ex-post (sancties)
borging
• door aanstelling functionaris gegevensbescherming – art. 38 & 39
• verplicht voor overheidsinstanties en -organen
• taken
• verantwoordelijke informeren en adviseren
• toezien op naleving verordening
• contactpunt toezichthouder
sancties - artikel 83
• doeltreffende, evenredige en afschrikkende boetes
• geldboete tot 10 miljoen Euro voor overtreden
‘verantwoordelijkheidseisen’
• (o.m. minderjarigen, PbD, beveiliging, melding datalekken, DPIA, FG)
• geldboete tot 20 miljoen Euro voor overtreden basisbeginselen artt. 5, 6, 7,
9, rechten betrokkenen art 12 .. 22
19. transparantie &
verantwoording
stappenplan
AVG van toepassing?
doelen en grondslag
verantwoorde
verwerking gegevens
minimale gegevensverwerking
juistheid
opslagbeperking
integriteit en vertrouwelijkheid
persoonsgegevens
verantwoordelijke
rechtmatig, behoorlijk en transparant
doelbinding
toestemming
overeenkomst
wettelijke plicht verantwoordelijke
vitaal belang betrokkene
publiekrechtelijke taak
gerechtvaardigd belang verantwoordelijke
informatieplichten
DPIA
melding datalekken
privacy by design
sancties bij non-compliance
slotopmerkingen
• van Wbp naar Avg: veel is hetzelfde gebleven
• nieuw zijn accountability, privacy by design, vergetelheidsrecht, DPIA, …
• meer verantwoordelijkheid ipv checkbox, met echte sancties!
• focus nog steeds op klassieke verwerking, matig toegerust op Big Data
• veel onzekerheid, inkleuring in komende jaren
• AVG is maar 1 van de relevante regelingen (voor gemeenten), samenloop
levert tal van problemen op, zie website Autoriteit persoonsgegevens
domeinoverstijgend gebruik
• problematisch
• publiekrechtelijke taak doorgaans niet bruikbaar
• wettelijke plicht doorgaans niet bruikbaar
• dus: toestemming (of overeenkomst)
• helaas zijn die ook problematisch
prof. dr. Ronald Leenes
Tilburg University
TILT – Tilburg Institute for Law, Technology, and Society
JADS – Jheronimus Academy of Data Science
Postbus 90153, 5000 LE Tilburg
Montesquieu gebouw, kamer M 708 http://www.uvt.nl/contact/bereik/
Mobile +(31) 6 41 700572
E-mail: r.e.leenes@uvt.nl