AKD Gemeentedagen 2017

1. Privacy: de AVG voor decentrale overheden
AKD-Gemeentedagen
Martin Hemmer / Annet de Rooij

2. Agenda
1. Algemene hoofdpunten AVG
2. Misbruikrisico’s: Kansen voor querulanten?

4. Belangrijkste nieuwe punten
• Algemene uitgangspunten ongewijzigd
• Enkele nieuwe begrippen
• Gewijzigde grondslagen?
• Nieuwe rol verwerker / verwerker-overeenkomsten
• PIA’s / privacy by design
• Uitgebreidere informatieverplichtingen / rechten betrokkene
• Meldplicht datalekken
• Boeterisico’s
• Deadline: 25 mei 2018
4

5. Algemene uitgangspunten ongewijzigd
Handvest grondrechten EU
Artikel 7 De eerbiediging van het privé-leven en van het familie- en gezinsleven
Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning
en zijn communicatie.
Artikel 8 De bescherming van persoonsgegevens
1. Eenieder heeft recht op bescherming van zijn persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming
van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet.
Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan.
3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd.
5

6. Enkele nieuwe begrippen
6
Oud Nieuw
Verantwoordelijke Verwerkingsverantwoordelijke
Bewerker Verwerker
PIA Gegevensbeschermingseffectbeoordeling
Privacy by Design / Default Gegevensbescherming door ontwerp /
standaardinstellingen

7. Enkele nieuwe begrippen
7
Profilering (zie ook art. 22 AVG) elke vorm van geautomatiseerde verwerking van
persoonsgegevens waarbij aan de hand van
persoonsgegevens bepaalde persoonlijke aspecten
van een natuurlijke persoon worden geëvalueerd, met
name met de bedoeling zijn beroepsprestaties,eco-
nomische situatie, gezondheid, persoonlijke voor-
keuren, interesses, betrouwbaarheid, gedrag, locatie
of verplaatsingen te analyseren of te voorspellen
Beperken van de verwerking
(zie ook art. 18 AVG)
het markeren van opgeslagen persoonsgegevens met
als doel de verwerking ervan in de toekomst te
beperken;
Data-portabiliteit (zie ook art. 20 AVG) Recht op overdraagbaarheid van gegevens
Vergetelheid (zie ook artikel 17 AVG) Recht op gegevenswissing

8. Grondslagen voor overheden (I)
Toestemming
Is dit een wenselijke grond voor overheden?
O. 43: toestemming mag geen geldige rechtsgrond zijn voor de verwerking van
persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke
wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer
de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt
dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend.
Gevolgen intrekking gewijzigd?
8

9. Grondslagen voor overheden (II)
de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op
de verwerkingsverantwoordelijke rust (sub c);
de verwerking is noodzakelijk voor de vervulling van een taak van algemeen
belang of van een taak in het kader van de uitoefening van het openbaar
gezag dat aan de verwerkingsverantwoordelijke is opgedragen (sub e);
Lid 2:
de Lidstaten kunnen specifieke bepalingen voorstellen met betrekking tot de
verwerking met het oog op de naleving van lid 1, punten c) en e) (Uitvoeringswet?).
Lid 3:
De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden
vastgesteld bij Unierecht of Lidstatelijk recht.
9

10. Grondslagen voor overheden (III)
Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels
van deze verordening aan te passen, met inbegrip van de algemene voorwaarden
inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de
types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden
waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de
opslagperioden; en de verwerkingsactiviteiten en -procedures (…).
(Zie ook art. 23 AVG).
O. 41:
Wanneer in deze verordening naar een rechtsgrond of een wetgevingsmaatregel wordt
verwezen, vereist dit niet noodzakelijkerwijs dat een door een parlement vastgestelde
wetgevingshandeling nodig is, onverminderd de vereisten overeenkomstig de
grondwettelijke orde van de lidstaat in kwestie
Waar de Verordening ruimte biedt voor Lidstatelijk recht, moet dit i.o.m. art. 10 Gw.
10

11. Gebruik ANPR-data HR 24-02-2017
Hof: het verzamelen en gebruiken van de door de ANPR-camera’s vastgelegde
gegevens past binnen de wettelijke taak
HR: (1) Beperkingen van art. 10 Gw kunnen slechts worden gerechtvaardigd door of
krachtens een wet in formele zin. (2) er is sprake van systematisch vastleggen van
persoonsgegevens met het doel een beeld te krijgen van verplaatsingen (3) voor de
inbreuk is een voldoende precieze wettelijke grondslag vereist. De algemene
taakstelling van de Belastingdienst noch de regeling privégebruik auto’s voldoet aan
dit vereiste.
11

12. Grondslagen voor overheden (IV)
de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen
van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen
of de grondrechten en de fundamentele vrijheden van de betrokkene die tot
bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met
name wanneer de betrokkene een kind is (sub f).
De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in
het kader van de uitoefening van hun taken.
12

13. Verwerkers vs. Bewerkers
13

14. Gegevensbeschermingseffectbeoordeling (art. 35)
Bij: - een systematische en uitgebreide beoordeling van persoonlijke
aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde
verwerking, waaronder profilering, en waarop besluiten worden gebaseerd
waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de
natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
- grootschalige verwerking van bijzondere categorieën van
persoonsgegevens
- stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
De AP dient met een lijst te komen van situaties waarin PIA’s vereist zijn.
14

15. Privacy by design / default (art. 25)
“….treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de
verwerkingsmiddelen als bij de verwerking zelf, passende technische en
organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel
de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een
doeltreffende manier uit te voeren….”
15

16. Aanscherping Informatieplicht o.a.
• Bewaartermijn
• Volledige info over rechten betrokkene (inzage, rectificatie, wissen, bezwaar en
portabiliteit)
• Klachtrecht bij AP
• Uitleg doel / gerechtvaardigd belang
• profiling, reden daarvan en mogelijke gevolgen
Belangrijkste uitzonderingen
• Verwerking voorgeschreven bij wet
• Onmogelijk / onevenredig
• Of informeren maakt doeleinde onmogelijk
16

17. Voorkom hoge boetes
Boete oplegging houdt rekening met opzettelijke / nalatige aard /
schadebeperkingsmaatregelen / accountability gezien beveiligingsmaatregelen (art.
83 AVG)
• Ken uw datastromen (zie ook op het register voor verwerkingen (art. 30 AGV))
• Check (bewerkers)overeenkomsten
• Check informatieplichten / procedures voor uitoefening rechten
• Vergeet niet de organisatorische beveiliging / awareness over privacyrecht
• Doe (indien nodig) aan gegevensbescherming bij ontwerp / standaardinstelling
• Meld meldingsplichtige inbreuken (meldingsprotocol)
17

18. Misbruik

19. Misbruik van de Wbp
 Gemeentes worden geconfronteerd met
oneigenlijke Wbp-verzoeken
 AVG verruimt rechten betrokkenen: mogelijke
toename misbruik
 Wob-jurisprudentie kan van pas komen
19

20. De werkwijze van de misbruiker
 De Wob-misbruiker: pestkoppen en geldwolven
 Methode
‒ Omvangrijk verzoek
‒ Verkapt verzoek
 Wob staat niet in de weg aan deze methodes
‒ Vormvrij
‒ Geen belang
‒ Geringe ‘investeringen’
 Verdienmodel – Misbruik loont
20

21. Wob-misbruikers worden Wbp-misbruikers
 Wet tot wijziging van de
Wet openbaarheid van
bestuur in verband met
aanvullingen ter
voorkoming van misbruik
 Gevolg: misbruikers
richten zich op andere
wetten
21

22. Wat te doen tegen Wbp-misbruik?
 Artikel 35 Wbp biedt weinig waarborgen tegen misbruik
 Artikel 3:13 jo. 3:15 BW
‒ HR 29 juni 2007, ECLI:NL:HR:2007:AZ4663 (Dexia van
Steenhoven): de deur op een (kleine) kier
 Hoge drempel
 Gebruik maken van Wob-jurisprudentie
22

23. Relevante omstandigheden
 Handelingen die een tijdige besluitvorming bemoeilijken
 Verzoek kennelijk zonder redelijk doel
 Creëren van procedures
 Stukken kunnen op andere wijze worden opgevraagd
 Algemene machtiging
 Beruchte gemachtigde
 Samenloop financiële belangen
 Financieel motief
 Onnodig inschakelen van een gemachtigde
23

24. Alternatieven
24
 Weigeren gemachtigde (artikel 2:2 en 8:25 Awb)
 Niet kwalificeren als Wbp-verzoek
 Civiele procedures
 Proceskostenveroordeling

25. Annet de Rooij
aderooij@akd.nl
T: +31 88 253 5931
M: +31 6 52 33 2057
Martin Hemmer
mhemmer@akd.nl
T: +31 88 253 5916
M: +31 6 27 24 2727