Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarAlmereDataCapital
Slides van Prof. mr. Jaap Sijmons (hoogleraar Gezondheidsrecht UU). Huidige wet- en regelgeving belemmert externe data/cloudopslag in de zorg niet! Van wie zijn die zorgdata nu eigenlijk?
Gepresenteerd tijdens Privacy, Identity & Security (PIDS) seminar van Almere DataCapital, zie www.almeredatacapital.nl.
Presentatie op de 4e cartodag, 6 april 2016. De jaarlijkse bijeenkomst van cartografen. Prikkel voor cartografen na te denken over persoonsgegevens op de kaart in de wereld van smart cities, internet of things......de data economy.
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarAlmereDataCapital
Slides van Prof. mr. Jaap Sijmons (hoogleraar Gezondheidsrecht UU). Huidige wet- en regelgeving belemmert externe data/cloudopslag in de zorg niet! Van wie zijn die zorgdata nu eigenlijk?
Gepresenteerd tijdens Privacy, Identity & Security (PIDS) seminar van Almere DataCapital, zie www.almeredatacapital.nl.
Presentatie op de 4e cartodag, 6 april 2016. De jaarlijkse bijeenkomst van cartografen. Prikkel voor cartografen na te denken over persoonsgegevens op de kaart in de wereld van smart cities, internet of things......de data economy.
Big Data in de praktijk: lust of last?
Big Data en privacy: bescherming persoonsgegevens in kort bestek
Door:
mr. Marten van Hasselt advocaat sinds 2003 Specialisaties:
- Intellectueel eigendomsrecht
- Verbintenissenrecht
- Procesrecht
mr. Vincent Rutgers advocaat sinds 1999 Specialisaties:
- Ondernemingsrecht
- Privacy recht
- Media-, entertainment en ICT
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data OrangeValley
Beveiliging van persoonsgegevens, meldplicht datalekken, big data & profilering staan dit jaar opnieuw hoog op de agenda van onze privacytoezichthouder. Daarnaast wordt alsmaar benadrukt dat organisaties in onze data driven samenleving de verantwoordelijkheid hebben om zorgvuldig met data om te gaan én dat de consument het recht heeft goed en volledig geïnformeerd te worden. Hoe zorgt u als organisatie dat u daaraan voldoet? Waartoe bent u op basis van privacywetgeving verplicht? Sabine Straver, jurist bij DDMA, vertelt wat dit voor uw organisatie betekent.
Lecture DPO S 2018 - March 5th, 2018 of the professional association DPO-pro
Privacy Policies - Legal requirements & Best practices
Plain language / du langage clair / Heerlijk helder
Privacy is een thema dat door de digitalisering van de maatschappij en de populariteit van sociale media meer leeft dan ooit. Ook in het onderwijs gebeurt steeds meer digitaal en scholen lopen dan ook steeds vaker tegen privacyvraagstukken aan. Hoe ga ik om met leerlinggegevens? En kan ik foto's zomaar delen via de schoolwebsite? Op dit soort vragen gaf jurist Job Vos van Kennisnet antwoord in de webinar Privacy - niet bang maar bewust op 3 juli in samenwerking met HEMA academie.
Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaard...Ann Wuyts
Korte privacy introductie gegeven op Medialab SETUP's '16.8 miljoen cadeausuggesties' hackathon/sprint:
"Hoe moeilijk is het om een database van alle Nederlanders te bouwen? Medialab SETUP onderzoekt de kansen en risico's van big data en bouwt De Nationale Verjaardagskalender; een database met de verjaardagen van alle 16.8 miljoen Nederlanders. Inclusief cadeausuggesties voor iedereen, op basis van ieders persoonlijke interesses. Zodat jouw cadeau altijd in de smaak valt!"
Meer info hierover op http://setup.nl/content/168-miljoen-cadeausuggesties-sprint
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Lecture DPO S 2018 - March 5th, 2018 of the professional association DPO-pro
The position and the responsibilities of the DPO.
Some contractual clauses to protect the DPO
Professionals in welzijn en zorg gaan steeds beter samenwerken en steeds meer maatwerk bieden. Daarvoor is het nodig dat ze informatie delen, met elkaar, met de klanten, met vrijwilligers, met mensen in de omgeving van klanten. Tegelijk is het zaak de persoonsgegevens goed te beschermen en te beantwoorden aan de eisen die de wet hieraan stelt. Ziie voor meer informatie http://privacy.zorgvoorelkaarbreda.nl
Big Data in de praktijk: lust of last?
Big Data en privacy: bescherming persoonsgegevens in kort bestek
Door:
mr. Marten van Hasselt advocaat sinds 2003 Specialisaties:
- Intellectueel eigendomsrecht
- Verbintenissenrecht
- Procesrecht
mr. Vincent Rutgers advocaat sinds 1999 Specialisaties:
- Ondernemingsrecht
- Privacy recht
- Media-, entertainment en ICT
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data OrangeValley
Beveiliging van persoonsgegevens, meldplicht datalekken, big data & profilering staan dit jaar opnieuw hoog op de agenda van onze privacytoezichthouder. Daarnaast wordt alsmaar benadrukt dat organisaties in onze data driven samenleving de verantwoordelijkheid hebben om zorgvuldig met data om te gaan én dat de consument het recht heeft goed en volledig geïnformeerd te worden. Hoe zorgt u als organisatie dat u daaraan voldoet? Waartoe bent u op basis van privacywetgeving verplicht? Sabine Straver, jurist bij DDMA, vertelt wat dit voor uw organisatie betekent.
Lecture DPO S 2018 - March 5th, 2018 of the professional association DPO-pro
Privacy Policies - Legal requirements & Best practices
Plain language / du langage clair / Heerlijk helder
Privacy is een thema dat door de digitalisering van de maatschappij en de populariteit van sociale media meer leeft dan ooit. Ook in het onderwijs gebeurt steeds meer digitaal en scholen lopen dan ook steeds vaker tegen privacyvraagstukken aan. Hoe ga ik om met leerlinggegevens? En kan ik foto's zomaar delen via de schoolwebsite? Op dit soort vragen gaf jurist Job Vos van Kennisnet antwoord in de webinar Privacy - niet bang maar bewust op 3 juli in samenwerking met HEMA academie.
Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaard...Ann Wuyts
Korte privacy introductie gegeven op Medialab SETUP's '16.8 miljoen cadeausuggesties' hackathon/sprint:
"Hoe moeilijk is het om een database van alle Nederlanders te bouwen? Medialab SETUP onderzoekt de kansen en risico's van big data en bouwt De Nationale Verjaardagskalender; een database met de verjaardagen van alle 16.8 miljoen Nederlanders. Inclusief cadeausuggesties voor iedereen, op basis van ieders persoonlijke interesses. Zodat jouw cadeau altijd in de smaak valt!"
Meer info hierover op http://setup.nl/content/168-miljoen-cadeausuggesties-sprint
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Lecture DPO S 2018 - March 5th, 2018 of the professional association DPO-pro
The position and the responsibilities of the DPO.
Some contractual clauses to protect the DPO
Professionals in welzijn en zorg gaan steeds beter samenwerken en steeds meer maatwerk bieden. Daarvoor is het nodig dat ze informatie delen, met elkaar, met de klanten, met vrijwilligers, met mensen in de omgeving van klanten. Tegelijk is het zaak de persoonsgegevens goed te beschermen en te beantwoorden aan de eisen die de wet hieraan stelt. Ziie voor meer informatie http://privacy.zorgvoorelkaarbreda.nl
Als we de de media moeten geloven is AVG de afkorting voor voor Alles Verandert Gigantisch. Vanuit de optiek van informatiebeveiligers staat AVG voor Alleen Voor Gevorderden. De overheid, waaronder de Autoriteit Persoonsgegevens presenteert de AVG als Aandacht Voor Gegevensbescherming. Is sprake van oude wijn in nieuwe zakken? In deze workshop worden de essentials van de Algemene Verordening Gegevensbescherming besproken voor (bedrijfs)beveiliging, integriteit en fraude.
Minicongres over privacy en de meldplicht datalekken waarin de volgende onderwerpen aan bod kwamen:
-Op welke gegevens is de Wet bescherming persoonsgegevens van toepassing? Wat mag wel en wat niet?
-Welke effecten heeft de nieuwe meldplicht datalekken op uw bedrijf?
-Wie is er aansprakelijk als de Wet bescherming persoonsgegevens niet wordt gevolgd en welke risico’s loopt u?
-Welke maatregelen moeten worden genomen om te voldoen aan de Wbp?
Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...verzekeringsbranchedag
Googelende verzekeraars en privacybescherming
Juridische valkuilen en nieuwe ontwikkelingen
Het is aan de orde van de dag: verzekeraars die internetonderzoek doen naar verzekerden. Het gebeurt in het kader van een gericht fraudeonderzoek, maar ook in het kader van de afhandeling van een claim, of in het kader van het acceptatiebeleid. Of gewoon gedurende de looptijd van een verzekering. Via Facebook, Hyves en andere sociale netwerksites vertellen mensen details over hun privé-leven die voor een verzekeraar bijzonder interessant kunnen zijn. De vraag is echter of het geoorloofd is om gericht het internet af te zoeken naar privé-gegevens van verzekerden. Verzekeraars dienen zich bij het verzamelen van persoonsgegevens immers te houden aan de Wet bescherming persoonsgegevens (Wbp) en de Gedragscode Financiële Instellingen, die is goedgekeurd door het College Bescherming Persoonsgegevens (CBP). Welke regels gelden voor het verzamelen, registreren en analyseren van via het internet verkregen persoonsgegevens? Welke sancties kunnen aan een verzekeraar worden opgelegd wegens een overtreding van de Wbp en de Gedragscode? En wanneer is sprake van onrechtmatig verkregen bewijsmateriaal?
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
Korte presentatie @ infosecurity 2018 beurs, 14 maart 2018 in de Brussels Expo. De organisatie vroeg me om in te vallen voor de oorspronkelijke spreker Eddy Vanderstock. Poging om op een bevattelijke manier met mijn beperkte kennis GDPR praktisch te duiden.
AKD verzorgde voor haar relaties het seminar 'Privacy in het arbeidsrecht’ op 17, 19 en 23 april 2012. Dit is de presentatie van Eva van den Krommenacker, advocaat van AKD.
This presentation gives an overview of all important rules in the area of social media and privacy settings. It helps companies and marketeers working in or with the Netherlands, to get a better understanding of the legal issues they are facing with.
Seminar General Data Protection RegulationAxon Lawyers
The document summarizes key points from a seminar on data protection and the new General Data Protection Regulation (GDPR). It discusses definitions of personal data and health data, consent requirements, privacy by design, data transfers, security obligations, data breaches, the data protection officer role, and impact assessments. The new GDPR brings significant changes including tougher consent standards, higher fines for violations, additional rights for data subjects, and new responsibilities for processors. Member states still have flexibility in some implementation areas, and full compliance will require preparation.
Vitafoods B2C communication in the funtional food Axon Lawyers
1) The document discusses the legal framework for health, nutrition, and medical claims regarding functional foods and nutraceuticals in B2C communication in the EU.
2) It outlines the differences between nutrition claims, health claims, and medical claims and the conditions for using each type of claim. Nutrition claims relate to nutrient content while health claims relate the relationship between a food and health. Medical claims are not allowed for foods.
3) The document also discusses requirements for food information to consumers regarding ingredients, legibility, and nutrition declarations according to the Food Information to Consumers Regulation.
Vitafoods marketing functional food to childrenAxon Lawyers
The document discusses marketing functional foods to children in the EU. It outlines WHO recommendations to reduce marketing of unhealthy foods to children. In the EU, health claims must meet strict criteria and not mislead consumers. National self-regulatory bodies in countries like the Netherlands set rules for food advertising to children, generally prohibiting advertising of foods high in fat, sugar, or salt for children under 12. Effectiveness of self-regulation is debated as some find additional restrictions are still needed.
Vitafoods eu clinical trials regulationAxon Lawyers
The document discusses the key changes to the legal framework for clinical trials in the EU under the new Clinical Trials Regulation, including streamlined application procedures, a single submission process, increased transparency requirements, and clarification around what products are considered medicinal products versus food or dietary supplements.
This document summarizes key aspects of data protection regulations including the transition from the Data Protection Directive (DPD) to the General Data Protection Regulation (GDPR). It discusses definitions of personal data and health data, requirements around anonymization and pseudonymization, consent requirements, research data protections, data transfer and security rules, and new obligations to notify authorities of data breaches. The presentation concludes with contact information for Sofie van der Meulen of Axon Advocaten law firm in Amsterdam.
The document summarizes the current status and future changes to novel food regulations in the EU. It discusses the four categories of novel foods, the authorization procedures, examples of novel foods that have received authorization, and how specific novel foods like algae, insects and duckweed are currently treated. It notes that the new regulations will centralize the authorization process and create a simplified procedure for traditional foods, while introducing provisions around nanomaterials and cloned animals.
Vitafoods Europe 2015: Clearer labels for consumersAxon Lawyers
The document summarizes the key aspects of the EU Food Information for Consumers Regulation, which aims to modernize and clarify food labeling requirements for consumers. It overviews the scope of the regulation, mandatory food information that must be included like ingredients and country of origin, new legibility requirements, and the upcoming mandatory nutrition declaration. It concludes that the regulation will increase administrative burden for industry but is intended to better support consumer choice and rebuilt trust following food scandals.
Paperless Lab Academy 'legal aspects of big data analytics' Axon Lawyers
This document provides an overview of legal aspects related to big data analytics. It defines big data and discusses legal perspectives on data protection and privacy in the context of big data. The document outlines how the collection and analysis of large datasets can constitute processing of personal data, raising issues of consent, data minimization, anonymization, and security. It also discusses how regulations like the EU's General Data Protection Regulation aim to address privacy challenges from big data while balancing opportunities for innovation.
Hacking Health Camp Strasbourg health data & data protection in the Netherlands Axon Lawyers
This document summarizes key points about data protection and privacy in the Netherlands. It discusses the legal framework for data protection in the EU and Netherlands, including the Data Protection Directive, upcoming General Data Protection Regulation, and the Dutch Data Protection Authority. It covers definitions of personal data, parties involved in processing, rules around health data, data security, and recent developments around data breaches. The document also flags other legal issues that may be relevant for digital health technologies, like software qualifying as a medical device.
Conveying food innovations by health claimsAxon Lawyers
This document provides an overview of the legal framework for nutrition and health claims in the European Union and examples of how food innovations have conveyed through claims. It begins with definitions of nutrition claims and health claims and the authorization process. Two case studies are presented: a proprietary claim for plant sterol esters lowering cholesterol, and a claim for lycopene supporting platelet aggregation. The document concludes with a quiz to test understanding of claim types and conditions of use.
5. “I was Patient Zero,” said Lewinsky, now 41, to an auditorium full of 1,000-
plus high-achieving millennials at Forbes’ inaugural 30 Under 30 summit in
Philadelphia. “The first person to have their reputation completely
destroyed worldwide via the Internet.”
https://www.ted.com/talks/monica_lewinsky_the_price_of_shame?languag
e=en
‘(…)…Don't matter if I step on the scene
Or sneak away to the Philippines
They still gon' put pictures of my derriere in the magazine
You want a piece of me?
You want a piece of me’
(Britney Spears – Lyrics ‘Piece of me’)
Vraag het Monica Lewinsky…
Vraag het Britney Spears…
Vraag het Jennifer Lawrence…
6. Wat is privacy?
• Lichamelijke privacy
Artikel 11 Grondwet: recht op onaantastbaarheid van het lichaam.
• Relationele privacy
Artikel 13 Grondwet: briefgeheim en telefoon- en telegraafgeheim.
• Ruimtelijke privacy
Artikel 12 Grondwet: het binnentreden van een woning.
• Informationele privacy
Artikel 8 Handvest van de Grondrechten van de Europese Unie:
‘1. Eenieder heeft recht op bescherming van zijn persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde
doeleinden en met toestemming van de betrokkene of op basis van een
andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft
recht van inzage in de over hem verzamelde gegevens en op rectificatie
daarvan.’ 6
7. Artikel 10 Grondwet
1. Ieder heeft, behoudens bij of krachtens de wet te stellen
beperkingen, recht op eerbiediging van zijn persoonlijke
levenssfeer.
2. De wet stelt regels ter bescherming van de persoonlijke
levenssfeer in verband met het vastleggen en verstrekken van
persoonsgegevens.
3. De wet stelt regels inzake de aanspraken van personen op
kennisneming van over hen vastgelegde gegevens en van het
gebruik dat daarvan wordt gemaakt, alsmede op verbetering van
zodanige gegevens.
7
9. Privacy
• Richtlijn 95/46/EG betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens
en betreffende het vrije verkeer van die gegevens.
In Nederland geïmplementeerd in:
• De Wet bescherming persoonsgegevens (WBP)
De WBP legt verplichtingen op aan verwerkers van
persoonsgegevens en geeft rechten aan betrokkenen. Daarnaast is
toezicht op de verwerking van persoonsgegevens geregeld.
• Op Europees niveau wordt nu gewerkt aan een
Privacyverordening (GDPR).
9
10. You want a piece of me?
• Privacy policy
Vertel mensen WAAROM (doel) je persoonsgegevens wil verwerken, leg
uit HOE je met de gegevens omgaat en WAT je ermee gaat doen.
• Privacy by design
Maak privacy en beveiliging van persoonsgegevens onderdeel van de
ontwikkeling van de dienst of product.
11. Wet bescherming persoonsgegevens
Centrale begrippen
11
Persoonsgegeven:
‘Elk gegeven betreffende een geïdentificeerde of identificeerbare
natuurlijke persoon’ (artikel 1, sub a Wbp)
1. Hoe worden gegevens gebruikt?
2. Aard gegevens (kenmerkend?) en mogelijkheden tot
identificatie? Pseudonimiseren? Anonimiseren?
Verwerking van persoonsgegevens:
‘Elke handeling of elk geheel van van handelingen met betrekking
tot persoonsgegevens, waaronder in ieder geval het verzamelen,
vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen,
raadplegen, gebruiken, verstrekken door middel van doorzending,
verspreiding of enige andere vorm van terbeschikkingstelling,
samenbrengen, met elkaar in verband brengen, alsmede het
afschermen, uitwissen of vernietigen van gegevens’ (artikel 1, sub b
Wbp)
12. Big Data & Data Protection - issues
Niet meer data verzamelen dan nodig vs. zoveel
verzamelen als mogelijk
• Datasets combineren en op zoek gaan naar patronen
en correlaties/
Anonimiseren?
• Volledig anonimiseren is waarschijnlijk onmogelijk->
focus op verkleining risico identificatie
Pseudonimiseren = beveiligingsmaatregel. Onder
GDPR: persoonsgegevens
13. Wet bescherming persoonsgegevens
Centrale begrippen
13
Verantwoordelijke:
‘de natuurlijke persoon, rechtspersoon of ieder ander die of het
bestuursorgaan dat, alleen of tezamen met anderen, het doel van
en de middelen voor de verwerking van persoonsgegevens
vaststelt’ (artikel 1, sub d Wbp)
Bewerker:
‘degene die ten behoeve van de verantwoordelijke
persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te
zijn onderworpen’ (artikel 1, sub e Wbp)
Betrokkene:
‘degene op wie een persoonsgegeven betrekking heeft’ (artikel 1,
sub f Wbp)
14. Rechten van de betrokkene
• Recht op inzage (artikel 35 Wbp en WGBO)
• Recht op verbetering, aanvulling, verwijdering en afscherming
(artikel 36 Wbp).
• Recht van verzet (artikel 40 en 41 Wbp). Als verzet wordt
aangetekend tegen direct-marketingdoeleinden moet het gebruik
door de organisatie direct beëindigd worden.
14
15. Wet bescherming persoonsgegevens
Centrale begrippen
Toestemming van de betrokkene:
‘elke vrije, specifieke en op informatie berustende wilsuiting
waarmee de betrokkene aanvaardt dat hem betreffende
persoonsgegevens worden verwerkt’
1. In vrijheid verstrekt?
2. Betrekking op specifieke gegevensverwerking
(bepaalbaarheidsvereiste)?
3. Beschikt betrokkene over noodzakelijke informatie om tot
oordeel te komen?
Ondubbelzinnige toestemming (artikel 8, sub a Wbp)
Bewijslast voor verantwoordelijke:
1. Bewijzen dat toestemming is verleend;
2. Waarvoor toestemming is verleend.
! Leg verstrekte informatie, doel verwerking en toestemming
schriftelijk vast!
15
16. Big Data & Data Protection - issues
Informed consent (toestemming) vs. doelbinding
• Consent: “…any freely given specific and informed
indication of his wishes by which the data subject
signifies his agreement to personal data relating to
him being processed”. Special data? Explicit consent
(see article 29 WP Opinion 15/2011).
Is het nieuwe doel verenigbaar met originele doel(en)?
Nee? -> aanvullende toestemming vereist, tenzij andere
grondslag (behandeling).
17. Persoonsgegevens betreffende
iemands gezondheid
Persoonsgegevens betreffende iemands gezondheid zijn
bijzondere persoonsgegevens.
Verwerking van bijzondere persoonsgegevens is verboden in
artikel 16 Wbp, tenzij sprake is van een uitzondering in artikel 21
Wbp.
Het verbod is niet van toepassing als de verwerking geschiedt door:
• Hulpverleners, instellingen of voorzieningen voor
gezondheidszorg of maatschappelijke dienstverlening voor zover
dat met het oog op een goede behandeling of verzorging van de
betrokkene noodzakelijk is (artikel 21, eerste lid, sub a Wbp) en
• de verwerker onderworpen is aan een beroepsgeheim (Wet op
de Beroepen in de Individuele Gezondheidszorg, Wet BIG)
• Ondubbelzinnige toestemming is gegeven door de betrokkene. 17
18. Reikwijdte
‘gezondheidsgegevens’?
European Court of Justice in Case C-101/01 (Lindqvist):
‘In the light of the purpose of the directive, the expression “data
concerning health” used in Article 8(1) thereof must be given a wide
interpretation so as to include information concerning all aspects,
both physical and mental, of the health of an individual.’
Brief WP29 van 5 februari 2015 data verzameld door mHealth apps:
‘Health data includes:
• Medical data: ‘data about the physical or mental health status of
a data subject (…) generated in a professional, medical context
• Health related data used in an administrative context
(information to public entities)
• Data about the purchase of medical products and services
provided that the health status can be determined’
19. Persoonsgegevens delen met
derden
• Buiten EU: passend beschermingsniveau vereist (artikel 76
Wbp)
• Uitzonderingen: artikel 77 Wbp (o.a. ondubbelzinnige
toestemming en via een vergunning van de minister van justitie)
Safe Harbor
- Zelfcertificering door bedrijven.
- Heeft alleen betrekking op de overdracht van de EU naar een
andere jurisdictie, niet op verdere compliance door de
verantwoordelijke of bewerker.
- Sinds oktober 2015 ongeldig verklaard! -> Privacy Shield
Meer lezen:
https://www.medzineapp.com/nl/artikel/blogbijdrage-privacyschild-nieuwe-basis-
gegevensoverdracht-eu-vs-door-sofie
https://www.medzineapp.com/nl/artikel/privacy-shield-een-varken-met-lippenstift
19
21. Smart apps
• Opinie van de Groep Gegevensbescherming artikel 29 – WP 202
• Naast Wbp is ook e-Privacyrichtlijn (2002/58/EG) van toepassing
(artikel 5, derde lid, toestemming nodig voor plaatsen en lezen
van alle informatie op apparaat)
Gegevensverwerking door apps
• Ondubbelzinnige toestemming voor verwerking ontbreekt vaak
• Gebrek aan transparantie over de verwerking van
persoonsgegevens
• Slechte beveiligingsmaatregelen (lekken, ongeautoriseerde
verwerking)
• Maximale gegevensverzameling
• Fragmentatie verantwoordelijkheden door groot aantal spelers:
App-ontwikkelaars – privacy by design
App-eigenaars
App-winkels
Fabrikanten van besturingssystemen
Derden die betrokken zijn bij verzameling gegevens 21
22. Smart apps
Welke persoonsgegevens?
• Locatie
• Contacten
• Identificatiegegevens van het apparaat (IMEI, mobiele nummer)
• Identiteit betrokkene
• Naam telefoon ‘iPhone van Sofie van der Meulen’
• Creditcard- en betalingsgegevens
• Registeren van gesprekken, sms-berichten of instant messaging
• Browsergeschiedenis
• E-mail
• Inloggegevens voor diensten op internet
• Foto’s en video’s
• Biometrische informatie (bijv. gezichtsherkenning,
vingerafdrukken)
22
23. Smart apps – compliance in de
praktijk
• Toestemming voorafgaand aan installatie en verwerking.
Vrije wilsuiting
Knoppen ‘accepteren’ en ‘weigeren’
NIET: ‘ik ga akkoord’
Specifiek
Mogelijkheid om apart akkoord te gaan met specifieke verwerking per
functie van de app.
NIET: algemene machtiging door knop ‘installeren’ of verzoek akkoord te
gaan met lange lijst voorwaarden
Geïnformeerd
Wie verzamelt, welke gegevens, voor welke doeleinden, voor wie en welke
rechten voor betrokkene
Doelbinding
Geen tussentijdse wijziging van verwerkingsdoelen zonder
ondubbelzinnige toestemming
23
24. Rapporten CBP (nu AP)
‘Beveiliging persoonsgegevens onvoldoende’
1. Rapport Okki-app in september 2014
2. Rapport beveiliging netwerk Groene Hart Ziekenhuis
3. Rapport Nike+ Running app
www.autoriteitpersoonsgegevens.nl
Privacyverordening (GDPR): striktere regels met een grote
impact op onderzoek!!
25. Sofie van der Meulen
Axon Advocaten
Piet Heinkade 183
1019 HC Amsterdam
+31 88 650 6500
+31 6 53 44 05 67
sofie.vandermeulen@axonadvocaten.nl