Gebruikershulpmiddelen

Site-hulpmiddelen


privacy

Privacy

Persoonsgegevens worden als de belangrijkste uitzondering gezien waar het open data aangaat.1) Daarom wordt al in de eerste vraag van de beslisboom open data stilgestaan bij de aard van gegevens.

Wanneer blijkt dat het om gegevens gaat die te herleiden zijn naar personen, doemen verschillende vraagstukken op over privacy en de bescherming van de gegevens.Er bestaan verschillende internationale verdragen met bepalingen over gegevensbescherming en de openbaarheid van informatie die hierop van toepassing kunnen zijn.

In artikel 10 van de Grondwet2) is het recht op privacy geregeld.

Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer’.

In andere wetten staan regels over wat wel en niet mag in het kader van privacy. Onder meer de Wet Bescherming Persoonsgegevens 3) (Wbp), de Wet Openbaarheid van Bestuur (WOB) en de initiatiefwet Open Overheid (WOO) zijn van toepassing bij vragen over privacy. In Europese context wordt ook de Algemene Verordening Gegevensbescherming 4) voorbereid. De complexiteit van dit geheel aan regels is groot.

Zoals ook in het interview met Hugo van Haastert aan bod kwam:

'Er komen de laatste jaren diverse verordeningen uit, zoals de AVG en de PSD2. Daar zit ontzettend veel spanning op. Pas in jurisprudentie en rechtszaken zal uiteindelijk de verstrengeling van deze verschillende wetten aan bod komen; met de vraag welke boven elkaar gaan. Ik verwacht dat de invoering van de verordeningen slechts het begin vormen van een heel lang, nieuw proces'.

Op deze pagina wordt deze complexiteit verduidelijkt, te beginnen met de risico's op privacy bij open data. Na een toelichting over definities van persoonsgegevens en de toepassing van bovengenoemde verdragen en bepalingen wordt afgesloten met de casus over taxidata in New York.

Definitie Persoonsgegevens

Bij persoonsgegevens gaat het om:

'Iedere informatie (of zoals de Wbp is opgenomen 'elk gegeven') betreffende een geïdentificeerde of identificeerbare natuurlijke persoon'.

De twee elementen 'iedere informatie betreffende' en 'geïdentificeerd of identificeerbare' staan dus centraal bij de beantwoording van de vraag of een gegeven tevens een persoonsgegeven 5) is. Daarnaast is het denkbaar dat er weliswaar geen direct tot personen herleidbare gegevens zijn, maar dat men met een combinatie van gegevens wel personen kan identificeren.

Openbaarmaking van persoonsgegevens

Als data persoonsgegevens bevat dan moet de open data-aanbieder aan wettelijke verplichtingen voldoen om de privacy van anderen te waarborgen. Openbaarmaking van persoonsgegevens is geregeld in de Wet bescherming persoonsgegevens (Wbp). Openbaarmaking vindt niet plaats als het belang van openbaarheid niet zwaarder weegt dan het belang van eerbiediging van de persoonlijke levenssfeer (Artikel 10, tweede lid onder de WOB ). Een open data-aanbieder die niet aan die verplichtingen voldoet en daarmee schade veroorzaakt, kan tot schadevergoeding verplicht zijn.

Bijzondere persoonsgegevens

Aan deze afweging van belangen komt men in zijn geheel niet toe als het gaat om (bijzondere) persoonsgegevens. Dit zijn bijvoorbeeld gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, het lidmaatschap van een vakvereniging, strafrechtelijke aangelegenheden en onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, aldus Art. 10 eerste lid onder WOB). Met andere woorden, in dat geval is sprake van een absolute weigeringsgrond.

Bedrijfsgegevens

Het is voor bedrijven geen verplichting om data open beschikbaar te stellen. Voor overheidsorganisaties is er wel een verplichting om overheidsinformatie openbaar te maken als er een beroep op de Wob wordt gedaan. Een beroep op de Wob levert niet altijd direct open data op. De informatie kan in verschillende vormen worden geleverd. Indien data of informatie reeds openbaar is, dan is aan te raden om een beroep te doen op de Wet Hergebruik van Overheidsinformatie.

Algemene uitwerking

In het algemeen kan een datahouder de regel toepassen dat openbaarmaking van gegevensbestanden waarin systematisch persoonsgegevens zijn opgenomen, nooit openbaar gemaakt mogen worden. Reden hiervoor is dat de belangenafweging die onder de Wob gemaakt worden praktisch altijd in het voordeel van de bescherming van de persoonlijke levenssfeer moet uitvallen. Dit is slechts anders als er een wettelijke plicht tot openbaarheid ligt, anders dan op grond van de Wob. Dit is bijvoorbeeld het geval bij openbare registers, zoals het Nieuwe Handelsregister. 6)

Anonimiseren en pseudonimiseren

Wanneer een organisatie gegevens wil gebruiken voor analytische of statistische doeleinden, maar herleiden tot individuen niet rechtmatig is, kan gebruik worden gemaakt van technieken om de gegevens te anonimiseren of pseudonimiseren.

Het belangrijke verschil tussen geanonimiseerde en gepseudonimiseerde gegevens zit hem in navolging van de Hert et al. (2016) 7) en Tasevki (2016)8) in het volgende.

Wanneer sprake is van volledig geanonimiseerde data, is privacywetgeving niet meer van toepassing. Op gepseudonimiseerde data is privacywetgeving wel van toepassing. Anonimiseren kan een nuttig middel zijn bij het ontnemen van het privacygevoelige karakter van data. Maar de praktijk toont dat succesvol anonimiseren erg lastig is. Zelfs bij een project waarin aandacht is besteed aan privacy, blijft het risico op de-identificatie bestaan. Daarmee ook het risico op privacyschendingen. Ter illustratie van dit probleem is de casus taxidata aan deze pagina toegevoegd.

Anonimiseren

De Artikel 29 Werkgroep - het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders- stelt dat anonimiseringstechnieken privacy waarborgen leveren, mits de toepassing van dergelijke technieken volledig zijn ontwikkeld en uitgevoerd 9) .

Pseudonimiseren

De Autoriteit Persoonsgegevens heeft vastgesteld dat pseudonimisering een goede methode is om gegevens te gebruiken zonder daardoor de privacy of bescherming van persoonsgegevens in het geding te brengen. Wel stelt de AP daaraan een aantal voorwaarden:

  1. Er wordt vakkundig gebruik gemaakt van pseudonimisering, waarbij de eerste pseudonimisering plaatsvindt bij de aanbieder;
  2. Er zijn technische en organisatorische maatregelen genomen om herhaalbaarheid van de versleuteling (‘replay attack’) te voorkomen;
  3. De verwerkte gegevens zijn niet indirect identificerend;
  4. In een onafhankelijk deskundig oordeel (audit) wordt vooraf en daarna periodiek vastgesteld dat aan voorwaarden 1), 2) en 3) is voldaan;
  5. De werkwijze wordt beschreven en gepubliceerd.

Risico’s

Gegevens kunnen, ook als ze geanonimiseerd, of geaggregeerd zijn, toch nog persoonsgegevens zijn. Daar komt nog bij dat in Nederland de toezichthouder een strikte uitleg van deze ruime uitleg van het begrip persoonsgegeven hanteert. De Wbp zal daarmee snel van toepassing zijn.

Profiling

Profiling houdt in dat organisaties profielen opstellen van personen op basis waarvan zij hen verschillend kunnen behandelen. Doordat profiling vaak onzichtbaar gebeurt kunnen betrokkenen hier vaak geen of weinig invloed op uitoefenen. Het wordt daarnaast steeds makkelijker om persoonsgegevens te verzamelen en er ontstaan steeds meer knooppunten waar partijen persoonsgegevens uitwisselen. De Autoriteit Persoonsgegevens stelt dat organisaties betrokkenen moeten informeren over de gegevens die zij verzamelen en wat zij vervolgens met die gegevens doen. Mogelijke privacy risico's bij open data Bij het openbaar maken van overheidsdata is het van belang dat rekening wordt gehouden met de volgende privacy risico’s:

  • Anonimiseren is geen garantie dat de gegevens niet terug te herleiden zijn naar personen. Zelfs wanneer data op een meer abstract niveau worden geanalyseerd, moet men zich realiseren dat ook in deze informatie bepaalde groepen of personen herkenbaar kunnen zijn. Dit kan bijvoorbeeld door verschillende datasets met elkaar te combineren. Geanonimiseerde gegevens blijken dan vaak te herleiden naar individuele personen.
  • Data die in beginsel helemaal geen persoonsgegevens bevatten, kunnen door ze te koppelen aan andere data mogelijk maken dat er wel een of meerdere personen uit de gegevens worden herleid.
  • Door grote hoeveelheden datasets over personen te analyseren en aggregeren, kunnen profielen worden opgesteld (profiling) waaraan gevolgtrekkingen verbonden worden die soms voor individuen ingrijpend kunnen zijn. Wanneer dit onzorgvuldig gebeurt, zonder de rechten van individuen te beschermen, is dit in strijd met privacy wetgeving.

Profiling: AVG versus Wbp

Vooral in de AVG wordt aan profiling veel strengere eisen gesteld dan in de Wbp. Overheden zouden het privacy-argument soms gebruiken als argument voor het uitstellen van het beschikbaar stellen van data. Hans de Zwart (Bits of Freedom) zeg hierover in een Interview:

‘Er is super veel overheidsdata die je zonder privacyprobleem openbaar zou kunnen maken. Ik kan me voorstellen dat je als overheid heel huiverig bent met het open maken van persoonsgegevens, maar zoveel gegevens zijn geen persoonsgegevens. Het kan een reëel probleem zijn, maar het hangt wel af van de data.'

Het beschikbaar stellen van open data kan onder voorwaarden ingebed worden in de reguliere werkprocessen. Hierbij dienen beheer en opslag van de gegevens aan de strenge technische beveiligingseisen in Nederland en Europa te voldoen. Ook moeten de juiste anonimiserings technieken worden toegepast. De ervaring leert echter dat dit slechts een eerste (technische) voorwaarde is om data te ontsluiten. Organisaties die open data ontsluiten kunnen op de volgende manier direct aandacht aan privacy besteden:

  • Intern goed de rollen en verantwoordelijkheden met betrekken tot privacy benoemen (governance): wie voert de regie, wie controleert, hoe wordt verantwoording afgelegd en op welke wijze;
  • De werkprocessen voor de omgang met persoonsgegevens goed beschrijven;
  • Een kader ontwikkelen waarbinnen de verwerking en uitwisseling van persoonsgegevens plaatsvindt. Het kader betreft niet alleen het juridisch kader, maar vooral ook het beleidsmatige kader. Hierin wordt beschreven hoe de organisatie, zowel intern als extern, om moet gaan met persoonsgegevens.

Casus: Taxiritten in New York

taxi_s_nyc.jpgAnonimiseren kan een nuttig middel zijn bij het ontnemen van het privacygevoelige karakter van data. Maar de praktijk toont dat succesvol anonimiseren zeer lastig is. In de casus taxiritten in New York10) bleek open data over miljoenen taxiritten niet anoniem te zijn. Taxichauffeurs, personen en hun reisgedrag konden herleid worden. Online zijn tal van databronnen en tools vindbaar om ogenschijnlijk anonieme data te de-anonimiseren. Ook de toegenomen computerkracht speelt een belangrijke rol. Werd voorheen het analyseren van grote datasets voor de gemiddelde mens gezien als een onwaarschijnlijk scenario (dit proces duurt te lang, kost teveel computerkracht, etc.), nu kan iedereen grote datasets analyseren om persoonsgegevens te achterhalen.

Casus Taxi Data Privacy Schending


Wat als er toch wat mis is gegaan?

Wanneer persoonsgegevens vrij zijn gegeven en dit in strijd met de Wbp blijkt te zijn, kunnen risico's gelegen zijn in aansprakelijkheid, schadevergoeding en sancties.

(Zie voor een toelichting op algemene consequenties ook: Schade)

Aansprakelijkheid

In verband met aansprakelijkheid voor privacyschendingen zijn vooral de artikelen 49 en 50 Wbp van belang. In artikel 49 Wbp wordt een recht op schadevergoeding toegekend wanneer in strijd is gehandeld met de bepalingen van de Wbp. In artikel 50 Wbp wordt de mogelijkheid gegeven tot het vorderen van een verbod om te voorkomen dat (nog verder) in strijd met deze wet wordt gehandeld. De bepaling van artikel 49 Wbp sluit aan bij het aansprakelijkheidsrecht. In beginsel zal schending van de verplichtingen uit de Wbp een handelen in strijd met een wettelijke plicht als bedoeld in artikel 6:162 lid 2 BW opleveren.

Schadevergoeding

De schade bij een inbreuk op de privacy van een burger bestaat veelal uit niet-vermogensschade (immateriële schade). Artikel 49 lid 2 Wbp bepaalt dat voor andere schade dan vermogensschade een vergoeding naar billijkheid wordt toegekend. Tot op heden zijn procedures die uiteindelijk tot een schadevergoeding leiden echter zeer uitzonderlijk. Wel is er een toenemende aandacht voor rechterlijke procedures waarin een verbod op het verwerken van gegevens geëist wordt. Voor zover een privacyschending heeft plaatsgevonden, speelt het vereiste van toerekenbaarheid zoals dat is neergelegd in de artikelen 6:74 en 6:162 BW 11) nog een rol, zij het dat de verantwoordelijke voor de gegevensverwerking krachtens artikel 49 lid 4 12) dient te bewijzen dat de schending hem niet kan worden toegerekend (en niet omgekeerd).

Sancties

Bij sancties staat uiteraard de vraag voorop of er inderdaad wel sancties gesteld zijn op een mogelijke inbreuk of bij een mogelijk tekort bij naleving. Ten aanzien van mogelijke dwangsommen kan opgemerkt worden dat het CBP de afgelopen jaren meer en meer bereid is tot het dreigen en het daadwerkelijk opleggen van een dwangsom. In de praktijk betekent dit dat een organisatie een bepaalde termijn krijgt om de tekortkomingen te herstellen. Op dit moment kunnen bestuurlijke boeten nog slechts voor een zeer beperkt aantal handelingen opgelegd kunnen worden bij het niet naleven van de meldingsplicht. Er is thans echter wel een duidelijke ontwikkeling waarbij de mogelijkheden voor het CBP boetes op te leggen (sterk) uitgebreid zullen worden. Van strafrechtelijke vervolgingen wegens bepaalde overtredingen van de Wbp zijn geen voorbeelden bekend. Evenals bij boetes is slechts een zeer beperkt aantal handelingen strafbaar. Wel is er (in beperkte mate) sprake van strafrechtelijke vervolging wegens het schenden van een met name op een ambt of een beroep gebaseerde geheimhoudingsverplichting.


In de praktijk adviseert Marieke Schenk (uit interview C) publieke organisaties om:

“.. niet té voorzichtig met open data te zijn, als je daarbij de risico’s goed afweegt en zelf geen persoonsgegevens beschikbaar stelt. Je kunt ook de grondregel van het CBS gebruiken: als een eigenschap van personen minder dan 5 keer voorkomt, dan publiceren ze daar geen gegevens over omdat mensen dan wellicht te herleiden zijn”.

Er zijn volgens Marieke momenteel weinig voorbeelden bekend in Nederland waar het echt is misgegaan met open data. Zij stelt dat als het misgegaan is, de WBP niet goed nageleefd is of er echt een (technische) fout is gemaakt, waardoor bijvoorbeeld teveel data gepubliceerd is.

Privacy in de EU versus in de VS

Ook in de VS is er beleidsaandacht voor de bescherming van persoonsgegevens. In een vergelijking tussen de aandacht voor privacy in open data beleid van de EU en de VS constateert de Hert et al. (2016) 13) dat de EU striktere regels hanteert dan de VS.

Op bepaalde sectoren na (bijv. zorg), kan in de VS bijvoorbeeld vrij gebruik worden gemaakt van persoonlijke gegevens. In de EU daarentegen is dit, zoals in de voorgaande alinea’s beschreven, alleen het geval als sprake is van geanonimiseerde gegevens.

Onder leiding van Obama zijn pogingen gedaan om gegevensbescherming meer te laten vallen onder consumentenrecht. Dit heeft echter niet tot concrete resultaten kunnen leiden. Vooral de spanning tussen een verder ontwikkelde data gedreven economie, waardeketens en business cases voor open data versus gegevensbescherming speelt hier op. In zowel de EU als de VS wordt gepoogd om met open data publieke diensten te verbeteren. Het meest uiteenlopende verschil op dit gebied is dat er specifiek in de EU meer aandacht is voor grensoverschrijdende interoperabiliteit.

Conclusie

Persoonsgegevens worden als de belangrijkste uitzondering gezien waar het open data aangaat. Er bestaan verschillende internationale verdragen met bepalingen over gegevensbescherming en de openbaarheid van informatie. Wanneer een organisatie gegevens wil gebruiken voor analytische of statistische doeleinden, maar herleiden tot individuen niet rechtmatig is, kunnen anonimiserings technieken toegepast worden.

Anonimiseren is geen garantie dat de gegevens niet terug te herleiden zijn naar personen (anonimiseren, pseudonimiseren). Dit is verduidelijkt met de casus taxiritten in New York. Zelfs wanneer data op een meer abstract niveau worden geanalyseerd, moet men zich realiseren dat ook in deze informatie bepaalde groepen of personen herkenbaar kunnen zijn. Dit kan bijvoorbeeld door verschillende datasets met elkaar te combineren. Door grote hoeveelheden datasets over personen te analyseren en aggregeren, kunnen profielen worden opgesteld (profiling) waaraan gevolgtrekkingen verbonden worden die soms voor individuen ingrijpend kunnen zijn. Wanneer dit onzorgvuldig gebeurt, zonder de rechten van individuen te beschermen, is dit in strijd met privacy wetgeving. Met name in de AVG wordt aan profiling veel strengere eisen gesteld dan in de Wbp. Wanneer opengestelde gegevens tegenstrijdig blijken te zijn met het juridisch kader, zijn consequenties gelegen in aansprakelijkheid, schadevergoeding en sancties. Organisaties die open data ontsluiten kunnen op de volgende manier direct aandacht aan privacy besteden: governance met betrekking tot rollen en verantwoordelijkheden, heldere beschrijving van werkprocessen en een juridisch en beleidsmatig kader voor de omgang met persoonsgegevens.

Over het algemeen kan een datahouder de regel toepassen dat openbaarmaking van gegevensbestanden waarin systematisch persoonsgegevens zijn opgenomen, nimmer openbaar gemaakt mogen worden omdat de belangenafweging die onder de Wob gemaakt moet worden praktisch altijd in het voordeel van de bescherming van de persoonlijke levenssfeer moet uitvallen. Dit is slechts anders als er een wettelijke plicht tot openbaarheid ligt, anders dan op grond van de Wob.

2)
Nederlandse Rechtstaat, Grondwet, artikel 10: Grondwet Artikel 10
3)
Autoriteit Persoonsgegevens, Definitie persoonsgegevens: Definitie Persoonsgegevens
4)
Autoriteit Persoonsgegevens, Algemene Verordening Persoonsgegevens:Algemene Verordening Persoonsgegevens
6)
Kamer van Koophandel, Het Nieuwe Handelsregister, Nieuwe Handelsregister
7)
Hert, P. d., Gutwirth, S., Leenes, R. (2016): Data protection on the move : Current developments in ICT and privacy/data protection (Law, governance and technology series. Issues in privacy and data protection, volume 24]
8)
Juridisch adviesbureau Considerati, Interview met jurist Tasevki, Tasevki
9)
Autoriteit Persoonsgegevens, Uitleg Artikel 29 Werkgroep, Artikel 29 werkgroep
10)
Technologieplatform Numrush, Casus Taxidata in New York, Casus Taxi in New York
11)
Overheid.nl, overzicht Burgerlijk Wetboek, BW
12)
Rechtenmedia, Wet Bescherming Persoonsgegevens, Wbp
13)
Hert, P. d., Gutwirth, S., Leenes, R. (2016). Data protection on the move : Current developments in ICT and privacy/data protection (Law, governance and technology series. Issues in privacy and data protection, volume 24
privacy.txt · Laatst gewijzigd: 2017/04/03 12:33 door richard