PERCA Security & Investigations

Uw recht op privacy.

×

Privacy-recht beschermt u tegen inbreuk op uw persoonlijke levenssfeer en ontwikkeling. 

Privacy creëert zones waarin een norm – hetzij publiek, hetzij sociaal, hetzij persoonlijk – geen werking heeft”. (Bron: Platform voor de Informatiesamenleving).

Benamingen die in het kader van bescherming van persoonsgegevens worden gebruikt:

  • Nederlands; Algemene verordening gegevensbescherming (AVG),
  • Engels; General Data Protection Regulation (GDPR).

Context privacy-recht.

Persoonlijke identificeerbare informatie (PII) betreft alle gegevens, wanneer deze los van/ of in combinatie met andere relevante gegevens worden gebruikt, een specifieke persoon (individu) zouden kunnen identificeren. Deze gegevens vallen per definitie binnen de kaders van de Algemene verordening gegevensbescherming (actief sinds 05-2018).

De AVG is weliswaar een verordening* vanuit de Europese Unie opgelegd aan de lidstaten, echter binnen de lidstaten kunnen verschillen ontstaan door lokale wetgeving die zwaarder weegt of belangrijke nuanceverschillen die de lidstaten mogen toepassen. In Duitsland is bijvoorbeeld het consumenten- en arbeidsrecht zwaarder verankerd in de “Datenschutz-Grundverordnung” (DSGVO). In andere lidstaten zijn andere wet- en regelgeving zwaarwegender. In Italië moet een onderzoeker zelfs aan de eigenaar van een emailadres toestemming vragen of het mag worden gebruikt voor verwerking. Kortom, één Europese AVG is lastig te definiëren aangezien de lidstaten individueel mogen aanpassen.

Duidelijk voorbeeld is het leeftijdscriterium t.a.v. kinderen.

In beginsel stelt de AVG voor de verwerking van persoonsgegevens voor het aanbieden van onlinediensten, zoals sociale media, muziekplatforms of games, dat kinderen meestal toestemming nodig hebben van een ouder of voogd. Kinderen moeten die ouderlijke toestemming blijven vragen tot ze 16 (in sommige EU-landen 13) zijn. Lidstaten kunnen kiezen voor een afwijkende leeftijd, maar niet onder 13 jaar. Nederland houdt de minimumleeftijd van 16 jaar aan. In Duitsland ligt het 2 jaar hoger, namelijk 18 jaar, maar met een uitzondering bij voldoende inzichtelijk vermogen.

Kortom er zijn veel nuanceverschillen die van invloed kunnen zijn op het verwerken van persoonsgegevens.

* wettelijke regels van algemene strekking die door de Europese Commissie zijn uitgevaardigd en die de burgers in de EG rechtstreeks, dus zonder tussenkomst van de lidstaten, binden.

Concrete voorbeelden van persoonsgegevens:

  • Volledige naam.
  • Huisadres.
  • E-mailadres (indien privé van een vereniging/clublidmaatschap, etc.).
  • Nationaal identificatienummer (NIN)(BSN).
  • Paspoortnummer.
  • IP-adres (uw internetadres).
  • Kenteken van het voertuig.
  • Rijbewijsnummer.
  • Gezicht, vingerafdrukken, handschrift of handtekening. 
  • Creditcardnummers.
  • Digitale identiteit.
  • Geboortedatum.
  • Geboorteplaats.
  • Genetische informatie.
  • Telefoonnummer.
  • Loginnaam, schermnaam, bijnaam of andere alias.

Kortom een behoorlijke lijst met kenmerken die kunnen lijden tot de identificatie van een persoon.

Wat zijn bijzondere kenmerken die u meedraagt.

Bijzondere persoonsgegevens zijn gegevens die iemands privacy ernstig kunnen beïnvloeden, zoals ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, gegevens over gezondheid, seksueel gedrag of seksuele geaardheid, genetische gegevens (DNA), biometrische gegevens (vingerafdruk /Irisscan).

Deze categorie heeft een bijzondere status binnen de AVG. Onder strikte voorwaarden en met absoluut 100% veilige verwerking mogen deze gegevens worden verwerkt. Voorbehouden aan bijvoorbeeld om medische redenen (ziekenhuizen), beveiliging (biometrisch), geloof (kerken), enzovoort. Alleen de overheid mag binnen domeinen meer persoonsgegevens verwerken zolang aan vereiste wettelijke kaders en beveiliging tot toegang e.d. wordt voldaan. Opsporingsdiensten vallen onder een andere privacywetgeving en hebben andere voorwaarden waaraan ze moeten voldoen. Deze voorwaarden zijn zeker niet minder strikt.

Welke gegevens laat u achter voor anderen als digitaal spoor?

Persoonsgegevens kun je vaak herleiden uit het virtuele DNA. Dit is uw onlinegedrag, verzameld door meestal onbekende partijen voor de gebruiker. Kortom, het is het dataspoor met persoonsgegevens dat je op het internet achterlaat. We weten allemaal dat gegevens informatie zijn. Deze informatie, wordt geregistreerd en zal nooit het internet verlaten.

Om enkele voorbeelden te noemen van hoe we een spoor achterlaten;

Zoekopdrachten: voor een baan, vakantie, nieuwe auto, enz.

Uw stem: t.b.v. commando’s via Bixby (Samsung), Siri (Apple), Google..

Vingerafdrukken: ontgrendeling van apparaten, apps of deuren. 

Foto’s: opgeslagen op apparaten, apps, berichten en sociale media.

Persoonlijke voorkeuren: vrienden, geaardheid, kleuren, muziek, enz.

Berichten en publicaties: foto, memo, artikel, video, tag, activiteit.

Check-ins: Welk restaurant eet je, met wie of wanneer.

Allemaal sporen die met voldoende kennis kunnen worden gevolgd om een completer beeld te creëren van een persoon en zijn houding, gedragingen, inzichten, voorkeuren, enzovoorts.

Sociale Media, hoe zit het daarmee?

Zodra we ons aanmelden op een platform met het kenmerk Sociale Media hebben we een overeenkomst met de provider/ eigenaar van het platform. De hamvraag is wie is dat en waar is die gevestigd? Het is belangrijk om vooraf te bepalen wat je gaat delen op het moment dat je op het vakje akkoord klikt. Enorme lappen tekst zijn beschikbaar waarin beschreven staat wat de voorwaarden zijn en welke huisregels men aan moet voldoen. Wie leest die teksten überhaupt?

Zelfs juristen beginnen vaak niet aan deze tekstvelden. Kortom, veel zand in de ogen strooien en hopen dat 99% klikt en upload. Data uploaden betekent in 99,99% eigenaarschap overdragen aan anderen. Fotomateriaal uploaden naar Facebook betekend beschikbaar stellen aan de databank van Facebook (eigenaar van Whatsapp, Instagram, enz.). Je hebt er geen controle/ zeggenschap meer over. Een foto van je kind uploaden (vakantiekiekjes) betekend dat je kind 20 jaar later nog foto’s van haarzelf op het internet kan terugvinden terwijl ze dat misschien niet wilt. Ze kan het niet meer zomaar terugdraaien. Er zijn weliswaar opties om ze verwijderd te krijgen, echter is dat een lange weg voor de doorsnee gebruiker. Wees ervan bewust dat “Afgeschermd is niet zomaar afgeschermd”. Facebook en andere platforms verkopen data aan derden. Deze partijen kunnen het materiaal bijvoorbeeld gebruiken voor advertenties. Mooie vakantiekiekjes gaan op deze manier een eigen leven leiden.

Privacy betekend niet alleen je eigen gegevens bewaken, maar ook gegevens van je dierbaren en vrienden. Zomaar delen van gegevens zonder toestemming is wel een “dingetje”. Zolang het binnen huislelijke kring valt te kwalificeren is er geen vuiltje aan de lucht. Ga je echter zonder toestemming allerlei persoonsgegevens delen via Sociale Media of andere kanalen heb je iets te verantwoorden.

Bewustwording van de gevolgen op termijn is een belangrijke voorwaarde in mijn optiek. Je deelt niet voor die seconde dat je upload maar je deelt voor “altijd”. Er is geen of nauwelijks een weg teug.

Heb je als eigenaar dan helemaal geen rechten?

Vooropgesteld moet worden dat u uw toestemming voor de verwerking van uw persoonsgegevens altijd kunt intrekken.

Je hebt meer rechten dan je misschien denkt.

  • Recht op inzage > welke gegevens hebben ze van mij?
  • Recht op vergetelheid > ik wil dat jullie mijn verwerkte gegevens wissen!
  • Het recht op data portabiliteit > mijn gegevens moeten naar een andere provider (bijvoorbeeld je telecomprovider).
  • Het recht op beperking van de verwerking > ik wil dat jullie niet meer verwerken dan strikt noodzakelijk.
  • Het recht met betrekking tot geautomatiseerde besluitvorming en profilering > CV die 100% geautomatiseerd worden “gelezen”.
  • Het recht op bezwaar > ik protesteer tegen jullie verwerking
  • Het recht op duidelijke informatie > heel erg duidelijk in Jip en Janneke taal uitleggen wat jullie doen met mijn gegevens.

Helaas kost het veel tijd en moeite voordat je bijvoorbeeld je recht op vergetelheid kunt uitoefenen. Soms is het eenvoudig door je af te melden voor een nieuwsbrief waarin de provider netjes vraagt (zoals het hoort) of ze je gegevens volgens een wettelijk vastgelegde periode mogen bewaren. Als je nee invult en je uitschrijft, maak je gebruik van je recht. Probeer je echter data te wissen bij een verzekeraar waar je de autoverzekering opzegt, zal dat niet lukken. Er bestaat in zo’n geval een wettelijke verplichting bij de verzekeraar vanwege contractuele verplichting, om je data te bewaren. Hetzelfde geld voor medische gegevens die moeten worden bewaard bij de huisarts of een specialist.

Ben je echter ingeschreven bij een vacaturebank en je hebt werk gevonden, kun je wel gebruik maken van je rechten om verstrekte gegevens te laten vernietigen. Helaas vergeten mensen heel erg vaak waar ze gegevens hebben achtergelaten en wie ze heeft verwerkt. Gelukkig heeft de AVG hiervoor spelregels bedacht en moet de verwerker jaarlijks de keuze laten aan de eigenaar van de gegevens (U!) of ze de persoonsgegevens langer mogen bewaren. Een verwerker moet namelijk altijd aangeven waarvoor de gegevens worden gebruikt en of ze bijvoorbeeld door derden worden verwerkt. Als ze door derden worden verwerkt moeten deze gegevens worden verstrekt.

Meent u dat uw rechten gegevensbescherming geschonden zijn, dan kun je altijd een klacht indienen bij de Autoriteit Persoonsgegevens. Die moet de klacht dan onderzoeken en u binnen drie maanden een antwoord sturen.

Als een verwerker zich niet aan de spelregels houdt?

U kunt altijd zelf naar de rechter stappen als u door een inbreuk van een bedrijf of organisatie materiële schade (zoals extra kosten) of immateriële schade (reputatieschade) ondervindt, dan kunt u recht hebben op een schadeloosstelling. De Autoriteit Persoonsgegevens, kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Enkele voorbeelden;

  • Boete BKR voor kosten bij inzage: 830.000 euro (6 juli 2020)
  • Boete bedrijf voor vingerafdrukken personeel: 725.000 euro (30 april 2020)
  • Boete KNLTB voor verkoop ledengegevens: 525.000 euro (3 maart 2020)
  • Boete Haga Ziekenhuis voor slechte beveiliging patiëntendossiers: 460.000 euro (16 juli 2019)
  • Boete Uber voor te laat melden datalek: 600.000 euro (27 november 2018).

Corona en privacy?

Een lastig onderwerp. In principe gaat het Nationale gezondheidsbelang boven de bescherming van persoonsgegevens. Zo werkt de AVG nu eenmaal. Er zijn soms zwaarder wegende belangen en wetten die de AVG op een lager plan zetten. Echter, betekent dit niet dat de AVG niet van toepassing is. Jazeker moet een app die de overheid wil gebruiken voldoen aan allerlei voorwaarden. De borging van medische gegevens is tenslotte weer een ander doel waar de wetgever heel duidelijk over is. Zo ben je als Privacy specialist altijd aan het wegen welke belangen zwaarder wegen of welke belangen je voorrang moet geven boven de AVG. Complex is het soms zeker maar continu in beweging en de dynamiek hierin is als een schaakwedstrijd op 8 borden tegelijk.

Conclusie

Uiteindelijk bent u als eigenaar altijd zelf verantwoordelijk voor de verstrekking /delen van uw persoonsgegevens! Uw persoonsgegevens zijn onderdeel van uw identiteit.

Ga terug naar het overzicht

Wat kan ik voor u betekenen?

Bent u benieuwd of mijn expertise aansluit op uw vraagstuk? Ik kom graag vrijblijvend met u kennismaken.

Neem contact op

PERCA Security & Investigations