Samenvatting Recht en security
Les 1
Bedrijfsproces
Identificeren van juridische kaders
Van A naar D (bedrijfsproces): burgerlijk, bestuurs- en strafrecht relevant voor securitymanager?
Burgerlijk recht: als het gaat om contracten
- Wat je hebt beloofd
- Of onrechtmatige daad
Bestuurs- en strafrecht:
- Als het gaat om normen van de overheid
Bestuursrecht: regels tussen overheid en burgers, om de burgers te beschermen tegen de overheid.
Verdienmodel
1. Beloven
2. Waarmaken
3. Afrekenen
Van beloven naar afrekenen: burgerlijk, bestuurs- en strafrecht relevant voor securitymanager?
Burgerlijk recht:
- Wat beloof je en hoe beloof je dat?
- Hoe reken je af?
Bestuurs- en strafrecht:
- Mag je die dingen wel afspreken?
- Ben je wel in staat om dat te leveren zonder normen te schenden?
Als securitymanager moet je dus allerlei regelgeving in de gaten houden, maar in alles gevallen wordt
van jou verwacht dat je de regels omtrent beveiliging van persoonsgegevens kent….
WBP Wet Bescherming Persoonsgegevens
Is bestuursrecht (2e bundel publiekrecht)
WBP is een bijzonder bestuursrecht
Hoofdstukken:
1: Definities
2: Voorwaarden voor verwerking
(3: Gedragscodes)
4: Meldingsplicht
5-6: Rechten van de betrokkene
(7: Uitzonderingen)
(8: Rechtsbescherming organisatie)
9-10: Toezicht en handhaving
(11: Internationaal)
12: Slotbepaling
Proeftentamen
Casus 1
AVB bewaart evaluaties die studenten van docenten hebben gemaakt mag dit?
1. Is er sprake van persoonsgegevens?
Ja, art. 1 lid a wet bescherming persoonsgegevens
2. Is er sprake van verwerking?
Ja, art. 1 lid b wet bescherming persoonsgegevens bewaren
3. Wie is verantwoordelijke?
, Art. 1 lid d wet bescherming persoonsgegevens AVB
4. Wie is betrokkene?
Art. 1 lid f wet bescherming persoonsgegevens de studenten die de evaluatie hebben gemaakt
over docenten
5. Pas art. 2 toe, door in art. 1 het begrip bestand op te zoeken en dat toe te passen
Wet bescherming persoonsgegevens is van toepassing art. 2 geautomatiseerde verwerking
(als het een bestand is art. 1 lid c)
Casus 2
Apple verkoopt computers die het zelf produceert. Het ‘tagt’ alle onderdelen en alle computers, en
medewerkers hebben een code. Zo weet Apple precies wie wanneer wat heeft gedaan, en kan dus
alle fraude opsporen. Mag dit?
1. Is er sprake van persoonsgegevens?
Ja, art. 1 lid a wet bescherming persoonsgegevens
2. Is er sprake van verwerking?
Ja, art. 1 lid b wet bescherming persoonsgegevens taggen
3. Wie is verantwoordelijke?
Art. 1 lid d wet bescherming persoonsgegevens Apple
4. Wie is betrokkene?
Art. 1 lid f wet bescherming persoonsgegevens klanten die de computers hebben gekocht
5. Pas art. 2 toe, door in art. 1 het begrip bestand op te zoeken en dat toe te passen
Wet bescherming persoonsgegevens is van toepassing art. 2 geautomatiseerde verwerking
(als het een bestand is art. 1 lid c)
Les 2
Artikel 8
Persoonsgegevens mogen slechts worden verwerkt indien:
A. De betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
(bijvoorbeeld algemene voorwaarden geven geen recht aan een bedrijf)
B. De gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de
betrokkene partij is (koopovereenkomst), of voor het nemen van precontractuele maatregelen
naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van
een overeenkomst;
C. De gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de
verantwoordelijke onderworpen is; (alcohol verkopen in supermarkten vragen om
persoonsgegevens ID)
D. De gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
(in geval van leven of dood bijvoorbeeld in coma etc.)
E. De gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak
door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens
worden verstrekt, (verlenen van vergunningen of de politie vraag om ID voor bevestiging
persoonsgegevens of opsporingsgegevens) of
F. De gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van
de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang
of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op
bescherming van de persoonlijke levenssfeer, prevaleert. (bedrijfsbelang is groter dan
privacybelang, h&m mag naast je gegevens voor een aankoop gebruiken ook voor bijvoorbeeld
reclame gebruiken omdat het bedrijf zo kan voortbestaan)
,Proeftentamen
Is er een grond voor rechtmatige verwerking?
Casus 1
AVB bewaart evaluaties die studenten van docenten hebben gemaakt. Mag dit?
Ja, art. 8 lid f > bedrijfsbelang dat docenten beter les geven
Casus 2
Apple verkoopt computers die het zelf produceert. Het ‘tagt’ alle onderdelen en alle computers, en
medewerkers hebben een code. Zo weet Apple precies wie wanneer wat heeft gedaan, en kan dus
alle fraude opsporen. Mag dit?
Nee,
Casus 3
Avans bewaakt met camera’s de garage. Mag dit?
Ja, art. 8 lid f > bedrijfsbelang voor avans want ze moeten hun medewerkers beschermen
Casus 4
Facebook bewaard jouw gegevens. Mag dit?
Nee, art. 8 lid a > ondubbelzinnige toestemming
Les 3
Stappen
1. Is de WBP (Wet Bescherming Persoonsgegevens) van toepassing?
Persoonsgegevens
Verwerking
Geautomatiseerd/bestand
Art. 2 WBP
Ja = door naar stap 2, nee = niet van toepassing
2. Is er sprake van een uitzondering?
Art. 2 t/m 5
Defensie, huishoudelijk gebruik, boeken/schriftelijke publicaties, politietaak zij kunnen hun
werk niet doen als zij zich aan deze wet moeten houden.
Ja = uitzondering, nee = door naar stap 3
3. Is er een gerechtvaardigd doel?
Art. 7 + 8
a t/m f. Noodzakelijkheid aantonen!
o Proportionaliteit (doel en middel)
o Subsidiariteit (is er geen ander middel?)
Ja = door naar stap 4, nee = onrechtmatig
4. Regels voor verwerking?
Art. 9 e.v.
Art. 9: niet verder gebruiken dan doel
Art. 10: zo snel mogelijk vernietigen
Art. 11: zo weinig mogelijk gegevens verzamelen
Art. 12: geen verwerkingshandelingen door bewerker zonder opdracht verantwoordelijke
Art. 13: technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen
verlies of onrechtmatige verwerking
Art. 16: sommige persoonsgegevens mogen behoudens uitzonderingen nooit verwerkt worden
zie bijv. gezondheidsgegevens, art. 21 WBP
…en met een verplichting tot melden van (gedeeltelijk) geautomatiseerde verwerking: Art. 27
(meldingsplicht) en Art. 29 (vrijstelling van meldingsplicht via vrijstellingsbesluit).
, Proeftentamen
1. Je schrijft de leeftijd van alle studenten van Avans op, zonder hun naam erbij te zetten.
WBP niet van toepassing. Want in art. 1 lid 1 sub a staat dat het om persoonsgeven moet gaan,
maar aan leeftijd alleen kun je niet achterhalen wie het is.
2. Je plakt vakantiefoto’s in een album en schrijft de namen van degenen die het betreft, erbij.
WBP niet van toepassing, want dit is een uitzondering art. 2 lid 2 sub a
3. De politie verwerkt persoonsgegevens van verdachten
WBP niet van toepassing, want art. 2 lid 2 sub c.
4. Een 15-jarige geeft je toestemming voor verwerking van zijn persoonsgegevens.
WBP wel van toepassing want gaat om persoonsgegevens art. 1 lid 1 sub a. Maar hij geeft
toestemming. maakt geen reet uit want hij is nog maar 15. Art. 5 lid 1 staat dat zijn wettelijke
vertegenwoordigers toestemming moeten geven.
5. Je filmt bezoekers in het theater om diefstal te voorkomen.
Camera’s is altijd moeilijk. Maar als het alleen voor dat doeleinde gebruikt wordt mag het en
het noodzakelijk is. Let ook op proportionaliteit en subsidiariteit. Moet wel aangegeven zijn.
artikel 8f
6. Je verzamelt studiefoto’s van je medestudenten en maakt er collecties van in albums, gesorteerd
per student en per maand, en zet die in een dossierkast. Dit doe je omdat je hen graag wilt
verrassen met een studieoverzicht aan het eind van de studie. a) Mag dit? Leg uit.
Nee dit mag niet, ze hebben geen toestemming gegeven en het gaat om meerdere persoonlijke
gegevens. Je komt bij stap 3 en daaruit volgt dat het doel niet noodzakelijk is. Maar als
toestemming wordt gegeven (van 16+) is er niets aan de hand, maar hier dus geen toestemming.
b) Mag je zelf kopieën bewaren?
Ja, uitzondering persoonlijk gebruik art. 2 lid 2 sub a
Les 4
Proeftentamen
1. De bouwmarkten in Ede laten de politie meekijken met beveiligingscamera’s als iemand grote
hamers of iets dergelijks koopt, mag dit?
- Er is sprake van persoonsgegevens
- Er is sprake van verwerking door het opslaan
- Er is sprake van automatisering omdat het camera’s betreft
- Er is geen sprake van een uitzondering omdat de bouwmarkt geen politietaak heeft art. 2 lid c
- Er is sprake van een publiek rechtelijke taak art. 8 lid e
ja, volgens art. 8 lid e
2. Het ziekenhuis wil gegevens betreffende Pietjes gezondheid doorsturen naar de apotheek. Mag
dit?
- Er is sprake van persoonsgegevens, gezondheidsgegevens maar art. 21 lid a
- Er is sprake van verwerking door het doorsturen
> als er toestemming wordt gegeven wel art. 8 lid a
> als het noodzakelijk is mag het wel art. 8 lid b
- Er is sprake van automatisering omdat het een bestand is
nee, tenzij Pietje toestemming geeft art. 8 lid a
3. AVB bewaart evaluaties die studenten van docenten hebben gemaakt. Moet dit gemeld worden
bij het CBP?
- Er is sprake van persoonsgegevens
- Er is sprake van verwerking omdat de evaluatie bewaart worden
- Er is sprak van automatisering omdat het in een bestand bewaart wordt
- Er is geen sprake van een uitzondering omdat art. 2 niet van toepassing is
- Er is geen sprake van art. 8
