Expertisepunt Open Overheid

Goed beschouwd zijn het elkaars tegenpolen: Open Data die vrij beschikbaar gesteld wordt voor iedere vorm van hergebruik, en gegevens die juist beschermd moeten worden. Dat wat het ene niet is, is het andere juist wel, er is wederzijds invloed. Nu is er op het vlak van de gegevensbescherming een nieuwe verordening van kracht vanuit de Europese Commissie die in 2018 in Nederlandse wet en regelgeving moet worden opgenomen. En als die 2 met elkaar te maken hebben is het interessant om er ook eens vanuit een open bril naar te kijken.

Een van de brillen die is opgezet is van het Geo Informatieberaad (GI-beraad). Door de werkgroep ‘Impact assessment van de Algemene Verordening Gegevensbescherming’ is een inschatting gemaakt van de gevolgen van deze verordening voor het GEO werkveld. Op basis van deze inschatting is dit kennisinstrument opgesteld door Marc de Vries, secretaris van de werkgroep. Als eerste de AVG zelf, deze is opgesteld door de Europese Commissie. Deze verordening vervangt de vroegere databeschermingsrichtlijn uit 1995, 88 pagina’s met best ingewikkelde kost.

Is geo-informatie een persoonsgegeven?
De eerste vraag is uiteraard is er bij geo-informatie überhaupt wel sprake van een persoonsgegeven? Immers, als dit niet het geval is, dan is de AVG niet van toepassing en zal deze dus ook geen impact hebben op het geo-werkveld. Deze discussie is uiteraard niet nieuw, onder de werking van de huidige regelgeving (de Wet bescherming persoonsgegevens (Wbp)) werd die ook al gevoerd. Daarbij staat wel vast – of we het nu leuk vinden of niet – dat geo-informatie in toenemende mate het oliemannetje is bij het koppelen van gegevens en koppeling leidt vaak weer tot gemakkelijkere identificering van personen.[1] [2]

De AVG verandert hier niet veel aan: de definitie van het begrip persoonsgegeven in de AVG lijkt erg op die van de Wbp. Wel introduceert de AVG een nieuw element: ‘locatiegegeven’, nader omschreven als een mogelijke ‘identificator’ waarmee een persoon zou kunnen worden geïdentificeerd. Kijkend naar de zogenaamde ‘overwegingen’ bij de AVG dan lijkt het erop dat met dit begrip gedoeld wordt op de locatie van een persoon of randapparatuur (zoals bedoeld in de e-privacy Richtlijn[3]) en niet op locatiegegevens in brede zin zoals topografische informatie, gebouwgegevens, en geologische gegevens. [4]

Aldus lijkt het erop dat de betekenis van het sleutelbegrip ‘persoonsgegeven’ niet verandert onder de AVG: het blijft een open definitie die naar de omstandigheden van het geval ingevuld moet worden. Geo-informatie, waaronder locatie-gegevens, kunnen een rol spelen bij identificatie, net als al het geval was onder de Wbp en kunnen dus persoonsgegevens zijn. In dat geval moeten de regels van de AVG gevolgd worden.

Algemene beginselen
Ook waar het de algemene beginselen aangaat is er een hoge mate van continuïteit tussen de Wbp en de AVG. Net als in de Wbp mogen onder de AVG persoonsgegevens slechts worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen deze vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.[5] De eisen die aan die verdere verwerking worden gesteld zijn in de AVG wel wat verder uitgewerkt dan in de Wbp.[6]

Accountability
De ‘accountability’ is een van belangrijkste nieuwe aspecten van de AVG: veel meer dan onder de Wbp thans het geval is moet de verantwoordelijke steeds kunnen aantonen (dus vooral ook aan de voorkant van verwerkingsprocessen) dat de verwerking van persoonsgegevens in overeenstemming is met de regels uit de AVG. Aldus moeten passende organisatorische en technische maatregelen zijn getroffen, verwerking moeten plaatsvinden voor welbepaalde doelen en de gegevens mogen niet langer bewaard worden dan strikt noodzakelijk is.

Gegevensbescherming by design en default
Daarmee verwant zijn de principes van ‘gegevensbescherming by design’ en ‘by default’ die de AVG introduceert. Dit verplicht de verantwoordelijke voor iedere nieuwe verwerking de bescherming van persoonsgegevens vanaf het begin in het ontwerpproces mee te nemen, om vervolgens ook achteraf te kunnen aantonen dat dit werkelijk gedaan is. Het principe van by default betekent dat, als hoofdregel, de persoonsgegevens niet toegankelijk mogen zijn voor een ongedefinieerd aantal individuen. De standaard wordt dus: niet delen, tenzij. Ook de ‘risk based approach’ past hierin: hierbij ligt de nadruk op enerzijds de eigen verantwoordelijkheid van de verwerker en anderzijds de verplichting tot het vooraf inregelen van de juiste randvoorwaarden, gestoeld op genoemde risico-inschatting.

Ook stelt de AVG strengere eisen aan de verwerking voor persoonsgegevens ‘voor de publieke taak’. Indien namelijk de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting of noodzakelijk is voor de vervulling van een taak van algemeen belang dan moet het doel van de verwerking van de persoonsgegevens bij wet worden vastgesteld.[7] Verder moet de verantwoordelijke een register bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Deze verplichting vervangt de (zeer achterhaalde) meldplicht die onder de Wbp (formeel nog) gold. Tenslotte introduceert de AVG de verplichte voorafgaande ‘Privacy Impact Assessment’ voor verwerkingen met een hoog risicogehalte.

Rechtsbescherming burgers
Daarnaast versterkt de AVG de rechtspositie van de burger wiens persoonsgegevens verwerkt worden. Naast het recht op inzage en een kopie van zijn persoonsgegevens, introduceert de AVG het recht om te worden vergeten: persoonsgegevens die onrechtmatig zijn verwerkt moeten verwijderd worden en dat geldt ook voor de situatie waarin de betrokken persoon achteraf zijn eerder gegeven toestemming intrekt. Geldt dat echt zo onverkort? Verder beschermt de AVG ook tegen ‘profiling’: het nemen van volledig geautomatiseerde besluiten over personen op basis van de algemene eigenschappen (bijvoorbeeld het zijn van een inwoner van een bepaald postcodegebied) is verboden. Verder kunnen burgers ook, met de AVG in de hand, overdraagbaarheid van gegevens afdwingen: een persoon heeft recht op een digitale kopie (machineleesbaar en gestructureerd) van door hemzelf verstrekte persoonsgegevens (bijvoorbeeld aan een zorgverzekeraar) en hij mag deze kopie ook weer aan een andere verwerkingsverantwoordelijke overdragen (dus aan een andere zorgverzekeraar). Dit recht geldt overigens niet tegenover de overheid.

Toezicht, controle en sancties
Het veel strengere toezicht- en controleregime moet bijdragen aan de naleving van al deze verplichtingen. Voor overheden betekent dit onder meer de verplichting tot het instellen van een functionaris voor gegevensbescherming (art. 37 AVG).  Deze moet de betreffende overheid informeren en adviseren over de AVG, en toezien op naleving van de AVG. Verder zijn de tanden van Autoriteit Persoonsgegevens ((AP) voorheen het CBP): deze krijgt veel meer bevoegdheden en kan significant hogere boetes opleggen oplopend tot €10 of 20 miljoen of 2%-4% van de wereldwijde omzet van een organisatie. Dit zal tegenover overheidsorganisaties niet zo snel gebeuren, maar toch…

Komende tijd zet de werkgroep vervolgstappen deze impactassesment. Voor meer informatie of input neem dan contact op met Marc de Vries als secretaris van de werkgroep of met Paul Suijkerbuijk van het leer- en Expertisepunt open overheid.

________________________________

[1] Zie Jong J. de, 2001, Privacybescherming in de geo-informatiesector,  Geodesia, Jaargang: 43, 1, p. 12-1; Zie ook van Loenen, B, Kulk, S. & Ploeger, H. (2016). Data protection legislation: A very hungry caterpillar; The case of mapping data in the European Union.<http://www.sciencedirect.com/science/article/pii/S0740624X16300326> In : Government Information Quarterly: an international journal of information technology management, policies, and practices. 33, p. 338-345

[2] Uitgebreid over de relatie tussen geo-informatie en privacy: ‘Privacy op zijn plaats, tussen willen, weten en wetten<http://www.geonovum.nl/nieuws/witboek-privacy-op-zijn-plaats-verschenen>’.

[3] Richtlijn 2002/58/EC geamendeerd door Richtlijn 2006/24/EC en Richtlijn 2009/136/EC.

[4] Link aan recente uitspraak EvJ.

[5] De auteurs van dit stuk maakten ook een buitengewoon praktische tool die helpt bij het vaststellen van geoorloofdheid van een nieuw gebruik van reeds verzamelde persoonsgegevens. Deze is beschikbaar en downloadbaar op: http://privacy.locatielab.nl

[6] Zie artikel 5 respectievelijk 6 tot en met 10 AVG.

[7] Zie AVG artikel 6 lid 3 sub b.