Hoorcolleges privacy en
gegevensbescherming
Week 1a 6-9-21
Persoonlijk/huishoudelijk gebruik (of de AVG van toepassing is):
-Camera op eigen weg
-Contactpersonen
-Instagram account: ligt eraan of privé of publiek account. Publiek kan je kijken naar linqvist, als je
het plaatst is het niet meer huishoudelijk of persoonlijk gebruik. Privé account is nog niet echt
bekend in de rechtspraak.
Wanneer sprake van verwerking? Art. 4 sub 2. Docent vat het samen als ongeveer alles wat je kan
doen met persoonsgegevens.
Is het verwijderen/anonimiseren van gegevens ook een verwerking? Ja, je kan bijvoorbeeld
anonimiseren maar dan weer reanonimiseren zodat het weer herleid kan worden. De AVG is dan
weer van toepassing, dus blijft dan van toepassing. Dus het verwijderen of anonimiseren van
persoonsgegevens is een verwerking van persoonsgegevens, dat valt dus wel onder de AVG.
Stel je bent BKR en verwerkt persoonsgegevens omdat je een publieke taak/wettelijke plicht hebt om
schulden te registreren. Als er vervolgens gegevens verwijderd moeten worden, dan doe je dat niet
om die schulden te registreren dus valt het niet onder dat doel (verwerkingsgrondslag). Heb je dan
een andere verwerkingsgrondslag nodig? Gaan een andere college hier verder naar kijken.
Deurbelcameras die ook de openbare stoep filmen, is er dan nog sprake van persoonlijk of
huishoudelijk gebruik? Nee niet toegestaan, je valt onder de AVG, je bent
verwerkingsverantwoordelijke en moet je aan alle gronden van AVG houden. Je hebt een aparte
verwerkingsgrondslag nodig.
Daschamcameras, vallen die onder de uitzondering persoonlijk en huishoudelijk gebruik?
Bij vrije nieuwsgaring (art. 10 evrm, kranten enzo) geldt de AVG dan? Artikel 85 AVG. Blogger, krant,
online krant of vlogger valt hieronder. AVG mag niet in de weg staan van publiceren beelden van
deze personen. Maar voor je lol even op youtube zetten dat je een uurtje even hebt gereden daar
ziet de docent geen gerechtvaardigd belang voor.
Stap 1: is er een uitzondering?
Stap 2: waarom doe je het? Artikel 6 (noodzakelijkheidstoets)
,Stap 3: mag het wel? Verdere normen toepassen van avg.
IND arrest en NOWAK arrest zijn van belang voor begrip persoonsgegeven.
IND: of een juridische analyse over iemands situatie een persoonsgegeven was? IND wilde niet
zeggen waarom iemand wel of niet verblijfsvergunning krijgt. Advocaten deden beroep op WBP
(voorganger AVG). IND zei is persoonsgegeven. Hvjeu zei zon juridische analyse is geen
persoonsgegeven. Het zou onder omstandigheden wel een persoonsgegeven kunnen zijn, maar
onder deze omstandigheden niet.
NOWAK: student wilde inzage in tentamen maar kreeg ie niet. Nowak zei mijn tentamenantwoorden
zijn toch persoonsgegevens? Hvjeu zei ja, tentamenantwoorden geven namelijk weer je kennis en
kunde en dat is een persoonsgegeven. Daarbij is er een handschrift en dat is ook een
persoonsgegeven. Dan heb je dus recht op inzage in tentamenantwoorden. Het recht op correctie
door je docent geldt dan natuurlijk niet.
HR: medische analyse een persoonsgegeven? Hr volgde heel strak hvjeu in IND arrest en zei als een
juridische analyse geen persoonsgegeven is dan is een medische analyse dat ook niet.
Vraag: › Leg uit waarom een juridische analyse niet en tentamenantwoorden wel een
persoonsgegeven zijn volgens het HvJ EU. Antwoord: Analyse gaat over persoonsgegevens, bevat
persoonsgegevens maar het is niet alleen persoonsgegevens. Tentamenantwoorden zijn door jezelf
geschreven.
Hof: ging om inzage in gegevens. Waarom vraag je dat? Dat vraag je omdat je ze wilt corrigeren of in
eerste instantie wil kunnen controleren of de gegevens wel juist zijn. Voor je gegevens heb je dat
recht om te controleren op juistheid. Bij analyse kan je op zichzelf niet controleren, wel je gegevens
die erin staan. Je hebt dus niet per se recht in de analyse waarin je gegevens staan, maar wel een
overzicht van je persoonsgegevens. Ze brengen het heel strikt terug tot wat een persoonsgegeven is
en of het over specifiek een natuurlijk persoon is. En wat je van die persoonsgegevens maakt is dan
geen persoonsgegeven.
Hc 1b basisbegrippen en uitgangspunten
Voorbeeld verwerkingsverantwoordelijke:
Salarisadministratie is toch nog een verwerker, alhoewel in de video werd gezegd toch van niet. Is
recent veranderd.
Medewerkers onder gezag van verwerkingsverantwoordelijke worden intern beheer genoemd.
Art 28 lid 3 avg. Art. 26 avg.
Meer dan twee vwv kunnen ook afspraken maken ogv art. 26, niet alleen twee zoals er op de sheet
staat.
,Een verwerker die zelf doel en middelen gaat vaststellen wordt vwv, dus als je je als vwv gedraagt.
Hoe stel je vast wie vwv is? Soms staat dat in een bijzondere wet, of iemand vwv of verwerker is. Kan
impliciet vastgesteld worden, of je kan ook kijken naar de feitelijke invloed (contractuele
verhoudingen).
Waarom is het advies google g suite for education z2021-08230 zo ernstig? Ja want Er is niet duidelijk
wie verwerkingsverantwoordelijke en wie verwerker is. Als google vindt dat ze zelf vwv is dan kan
google alles doen met data van studenten en medewerkers van rug en dan heb je daar als rug geen
invloed op.
Eigenlijk zou je als universiteit als je zon club inhuurt om allerlei diensten voor je te doen dan ben jij
vwv en moet je voor zorgen dat dat goed contractueel vastgelegd is, dat is dus niet goed gebeurd
want kennelijk was dat niet goed vastgelegd wat de rol van google was en wat van de uni, dus google
ging zelf doelen en middelen voor de verwerking vaststellen en gedragen als vwv.
De normen, basisbeginselen van gegevensverwerking kan je vinden in artikel 5 avg. Deze
basisbeginselen worden verderop uitgewerkt in de avg.
In dit advies zijn de basisbeginselen dus geschonden. Doelbinding, transparantie. De AP zegt eigenlijk
je weet niet waar je heen moet als je je gegevens wilt opvragen, is onduidelijk.
De basisnormen staan ook in artikel 8 handvest eu.
Het recht op transparantie is belangrijker dan recht op verwijderen, want je moet dus weten dat er
gegevens van jou verwerkt worden. Het verwijderen is pas een tweede.
De doelen in art 6 AVG is sinds 2001 onveranderd. Op sommige doelen heb je als betrokkene heel
weinig invloed, zoals wettelijke plicht. Op toestemming of overeenkomst heb je bijvoorbeeld wel
invloed. Het moet dus wel noodzakelijk zijn, als dat niet het geval is mag het niet.
Noodzakelijkheidstoets, en daarin zit de belangenafweging.
Bij dashcam bijvoorbeeld moet er sprake zijn van een gerechtvaardigd belang. Want avg van
toepassing. Je moet een gerechtvaardigde grondslag hebben en dat is het gerechtvaardigd belang
(art. 6 avg). En daarna of jouw belang zwaarder weegt dan de fundamentele belangen van een ander.
Eigenlijk twee afwegingen dus.
Vitaal belang dan moet er sprake zijn van een echt vitaal belang en geen andere grondslagen, bijv je
bent aangereden door auto en ambulance moet komen en mensen gaan dan gegevens van jou
verwerken. Er moet dus geen andere verwerkingsgrondslag zijn.
Bij toestemming moet je ook een belangenafweging doen volgens HR, de santander toets. Dus elke
verwerking moet voldoen aan proportionaliteit en subsidiariteit, hoeft niet altijd als je bijv. een grote
bank bent. Maar als een betrokkene zich wendt tot de bank en zegt dat de gegevensverwerking niet
meer proportioneel is, dan zul je toch als er alsnog toestemming is gegeven een belangenafweging
moeten doen.
Vragen over casus sheet:
1:
, 2: de wet op het hoger onderwijs (Whw). Omdat de wet de publieke taak van de onderwijsinstelling
regelt. Je kan dus niet alleen naar de avg kijken voor antwoord op deze gehele vraag.
Er is sprake van een publieke taak en geen wettelijke taak omdat als er een wettelijke taak is staat er
heel precies welke gegevensverwerking er plaats moeten vinden, dat staat niet in de whw. Er staat
gewoon iets vaags dat er onderwijs moet worden gegeven en dat studenten moeten voldoen aan
eisen. Dus hier sprake van algemeen belang artikel 6 onder e. Wettelijke plicht geldt niet alleen voor
overheidsinstanties maar ook private instelling. Dus 6 onder c is niet alleen voor overheid of publieke
sector.
Studenten zeiden dit willen we niet tegen uva (proctoring). Welke afweging moet je dan maken als
rechter? Of het noodzakelijk is. Noodzakelijk is om het doel te bereiken, een fatsoenlijke
tentaminering. Studenten zeggen is privacy en kan ook op een andere manier tentamen afnemen.
Dus dan moet je als rechter zelf bepalen hoe je op een goede manier tentamens kunt afnemen, daar
wou hij zijn vingers niet aan branden, niet op stoel van uni zitten. Die belangenafweging zie je hier
dus redelijk abstract (terughoudend) blijven. Als Uva zegt kan niet op andere manier dan gaat de
rechter hier zich niet uitspreken over andere middelen die geschikt zijn. De rechter vond proctoring
dus toch noodzakelijk.
Stel als coronapandemie voorbij is, is het dan noodzakelijk? Nee want er is een ander alternatief
(fysiek) want minder privacy inbreuk voor studenten. Als de uni dan alsnog vasthoudt aan de
proctoring, dan moet de rechter kijken naar de noodzakelijkheidstoets weer.
HC 2a rechtsbescherming
Er moet voorzien zijn in een onafhankelijke toezichthouder (AVG en handvest). In de avg staat ook
dat deze toezichthouders (van elk land) met elkaar samenwerken om bij te dragen aan de
consequente toepassing van de AVG. In comite voor gegevensbescherming (european data
protection board) werken ze samen (Art. 29 werkgroep was het voorheen).
Avg regelt het niet zelf want heeft te maken met procedurele autonomie. Lidstaten regelen het zelf
en in NL is dat geregeld in uitvoeringswet avg, art. 6 staat dat de autoriteit daarvoor is opgericht.
Duitsland heeft bijv. meerdere toezichthouders want meerdere lÄnder, federale toezichthouder (nog
verder gedecentraliseerd).
5:11 awb voor de toezichthouders op basis van art 15 uitvoeringswet. En ook art. 16 uitvoeringswet
icm 5:32.
Belangrijk om te weten dat in de avg last onder bestuursdwang is geregeld en op basis van awb is
dan de last onder dwangsom geregeld, dat kan je ook opleggen. Je moet als privacyjurist goed op de
hoogte zijn van nationaal recht zoals de awb dus.
Ap is een bestuursorgaan en dan geldt de hele bestuursrechtelijke rechtsbescherming, dan geldt de
awb dus en kun je bezwaar en beroep tegen maken, of klacht nationale ombudsman.
Bestuurlijke boetes gelden ook volgens de AWB regels. De boetes moeten volgens de avg
doeltreffend, evenredig en afschrikkend zijn.
Herstel en punititieve sanctie mag je naast elkaar opleggen.