Privacy en Gegevensbescherming Collegeaantekeningen 2018/2019
Privacy en Gegevensbescherming:
Collegeaantekeningen
1
Edwin van der Velde Rijksuniversiteit Groningen
,Privacy en Gegevensbescherming Collegeaantekeningen 2018/2019
Inhoudsopgave
Privacy en Gegevensbescherming college 1a: Introductie en reikwijdte van de AVG ........................... 4
Introductie AVG .................................................................................................................................. 4
Toepassingsbereik en begrippen.......................................................................................................... 5
Privacy en Gegevensbescherming college 1b: De werking van de AVG ............................................... 8
Basisnormen ........................................................................................................................................ 8
Gerechtvaardigde doeleinden .............................................................................................................. 8
Verwerkingsverantwoordelijke en verwerker ..................................................................................... 9
Privacy en Gegevensbescherming college 2a: Bescherming persoonsgegevens .................................. 10
Uitwerking basisnormen: doelbinding .............................................................................................. 10
Verplichtingen verwerkingsverantwoordelijke ................................................................................. 10
Uitzonderingen en beperkingen ......................................................................................................... 11
Privacy en Gegevensbescherming college 2b: Bescherming persoonsgegevens/health data ................ 13
Bijzondere persoonsgegevens ........................................................................................................... 13
Gegevens over gezondheid ................................................................................................................ 13
Privacy en Gegevensbescherming college 3a: Rechten van betrokkene ............................................... 15
Rechten van betrokkene algemeen .................................................................................................... 15
Recht op informatie ........................................................................................................................... 15
Inzagerecht ........................................................................................................................................ 15
Rectificatie en verwijdering .............................................................................................................. 16
Dataportabiliteit ................................................................................................................................. 17
Geautomatiseerde besluitvorming ..................................................................................................... 17
Privacy en Gegevensbescherming college 3b: Rechtsbescherming: toezicht & handhaving ................ 18
Introductie ......................................................................................................................................... 18
Rechtsbescherming ............................................................................................................................ 18
Extern toezicht................................................................................................................................... 19
Intern toezicht .................................................................................................................................... 19
Privacy en Gegevensbescherming college 4a: Verwerkersovereenkomst en doorgifte naar derde landen
............................................................................................................................................................... 20
Toezichthouders en samenwerking ................................................................................................... 20
Doorgifte van persoonsgegevens naar derde landen ......................................................................... 20
Privacy en Gegevensbescherming college 4b: Privacy Impact Assessment (PIA) en uitzonderingen . 22
Opdracht ............................................................................................................................................ 22
Gegevensbeschermingseffectbeoordeling ((D)PIA).......................................................................... 24
Privacy en Gegevensbescherming college 5a: ePrivacy........................................................................ 26
Dataratentie ....................................................................................................................................... 26
2
Edwin van der Velde Rijksuniversiteit Groningen
,Privacy en Gegevensbescherming Collegeaantekeningen 2018/2019
Voorstel voor een ePrivacy-verordening ........................................................................................... 28
Privacy en Gegevensbescherming college 5b: Privacy by design ......................................................... 29
Technologische ontwikkeling en invloed op privacy: historisch perspectief .................................... 29
Waarom staat juist nu privacy zo onder druk? .................................................................................. 29
Bescherming van privacy vanuit technisch perspectief..................................................................... 30
De Privacy by design filosofie .......................................................................................................... 31
Privacy en Gegevensbescherming college 6b: Privacyontwerpstrategieën ........................................... 32
Waarom is privacy by design zo lastig? ............................................................................................ 32
Privacyontwerpstrategieën ................................................................................................................ 33
Privacy by design en gegevensbeschermingseffectbeoordeling (DPIA) ........................................... 34
Privacy en Gegevensbescherming college 6b: Privacy enhancing technologies ................................... 36
Authenticatie ..................................................................................................................................... 36
Cryptografie....................................................................................................................................... 36
Onlinkbaarheid (niet besproken; gebaseerd op sheets) ..................................................................... 38
Varia (niet besproken; gebaseerd op sheets) ..................................................................................... 39
Privacy en Gegevensbescherming college 7a: Politie- en Justitiegegevens .......................................... 40
Richtlijn politie- en justitiegegevens: reikwijdte ............................................................................... 40
Richtlijn politie- en justitiegegevens: materiële normen ................................................................... 41
Big Brother Watch............................................................................................................................. 41
Privacy en Gegevensbescherming college 7b: Cameratoezicht ............................................................ 43
Inleiding ............................................................................................................................................ 43
Openbare orde ................................................................................................................................... 43
Beveiliging van eigendommen .......................................................................................................... 43
Persoonlijk of huishoudelijk gebruik................................................................................................. 44
Cameratoezicht op de werkplek ........................................................................................................ 44
Strafbaarstelling................................................................................................................................. 45
3
Edwin van der Velde Rijksuniversiteit Groningen
,Privacy en Gegevensbescherming Collegeaantekeningen 2018/2019
Privacy en Gegevensbescherming college 1a: Introductie en reik-
wijdte van de AVG
Introductie AVG
De nieuwe Algemene Verordening Persoonsgegevens (AVG) kent veel inhoudelijke normen die over-
eenkomen met diens voorganger, de Richtlijn Bescherming Persoonsgegevens (geïmplementeerd in de
Wet bescherming persoonsgegevens (Wbp). De Wet bescherming persoonsgegevens is als gevolg van
de AVG vervallen, maar veel oude jurisprudentie van het Hof van Justitie is nog steeds van belang. De
wetgever van Europese Unie (EU) vond het noodzakelijk om de bescherming van persoonsgegevens bij
verordening te regelen, aangezien verschillende implementaties tussen lidstaten zo veel mogelijk moes-
ten worden voorkomen. Anders dan Europese richtlijnen werken verordeningen namelijk rechtstreeks,
zonder implementatie. Dat neemt echter niet weg dat Europese verordeningen zich soms lenen voor
uitwerking in een nationale wet. In dat verband spreekt men niet van implementatie, maar van operati-
onalisering. Zo zijn procedurele aangelegenheden en toezichthouders geregeld in de Uitvoeringswet
AVG. Tot op zekere hoogte bestaan er dus nog steeds wel verschillen tussen lidstaten, maar materieel
gezien is het recht omtrent gegevensbescherming goeddeels geharmoniseerd.
De AVG is in werking getreden op 25 mei 2016, maar van kracht geworden op 25 mei 2018.
Tegelijkertijd met de vaststelling van de AVG is de richtlijn Politie- en justitiegegevens aangenomen,
die op 6 mei 2018 moest zijn geïmplementeerd. Op politie- en justitiegegevens is de AVG dus niet van
toepassing. Dit heeft als gevolg dat men voor politie- en justitiegegeven primair de nationale implemen-
tatiewetgeving moet raadplegen. Pas wanneer sprake is van gebrekkige implementatie wordt de richtlijn
zelf van belang. In het kader van andersoortige persoonsgegevens geldt het omgekeerde: men moet pri-
mair de AVG raadplegen, secundair de delegatiebepalingen uit de Uitvoeringswet AVG. De AVG laat
de lidstaten vrij veel ruimte om de AVG te operationaliseren, zodat de AVG de facto trekken krijgt van
een richtlijn.
De reden voor de invoering van de AVG is dat de oude richtlijn van 1995 enigszins verouderd
was. Er is de afgelopen decennia sprake geweest van snelle technologische ontwikkelingen en globali-
sering. De toenmalige Europese wetgever had bijvoorbeeld geen rekening gehouden met de mogelijk-
heid dat via het internet persoonsgegevens ter beschikking konden worden gesteld aan eenieder. Hieruit
blijkt dat technologieneutrale wetgeving noodzakelijk is. Een tweede reden is de ontwikkeling in het
bedrijfsleven dat persoonsgegevens erg waardevol zijn voor het verbeteren van diensten en het gericht
adverteren. In de derde plaats was nieuwe wetgeving noodzakelijk voor strengere handhaving en onder-
linge bijstand van toezichthouders. Het blijkt namelijk lastig voor individuen om hun afzonderlijke rech-
ten onder de privacywetgeving uit te oefenen. Onderlinge bijstand van toezichthouders moet voorkomen
dat ondernemingen de plaats opzoeken met de laagste bescherming.
De grondslag van de AVG is niet langer art. 114 van de Verdrag inzake de werking van de
Europese Unie (VwEU), maar art. 16 VwEU. In plaats van de bevordering van de interne markt met een
identiek hoog beschermingsniveau vormt nu dus rechtstreeks de bescherming van persoonsgegevens de
grondslag. Art. 16 VwEU is namelijk een veel meer grondrechtelijke grondslag, zo blijkt ook uit de
verwijzing naar art. 8 van het Handvest voor de Grondrechten. Art. 8 van het Handvest verschaft eenie-
der het recht op bescherming van de hem betreffende persoonsgegevens en kan worden gezien als een
specialis van art. 7 Handvest (eerbiediging van het privéleven en het familie- en gezinsleven in het
algemeen). Dat wil echter niet zeggen dat iedere verwerking van persoonsgegevens raakt aan de privacy.
Anders dan in art. 8 EVRM wordt in art. 7 en 8 van het Handvest dus een onderscheid gemaakt tussen
eerbiediging van het privéleven en bescherming van persoonsgegevens (vgl. ook art. 10-13 van de
Grondwet). Dit correspondeert met het onderscheid tussen ruimtelijke, relationele (art. 7) en informati-
onele privacy (art. 8). Het recht op informationele privacy is weliswaar niet absoluut, maar beperkingen
moeten wel aan voorwaarden voldoen. Art. 8 lid 2 Handvest bepaalt bijvoorbeeld dat de gegevens eerlijk
moeten worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis
van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot
de over hem verzamelde gegevens en op rectificatie daarvan. In oude rechtspraak van het Hof van Jus-
titie wordt ook nog wel verwezen naar de criteria van art. 8 lid 2 EVRM, namelijk dat een beperking
moet beantwoorden aan een legitiem doel en noodzakelijk moet zijn in een democratische samenleving.
4
Edwin van der Velde Rijksuniversiteit Groningen
, Privacy en Gegevensbescherming Collegeaantekeningen 2018/2019
Sinds 2003 wordt in plaats daarvan gebruik gemaakt van het Handvest, maar dat neemt niet weg dat het
Hof van Justitie bij de invulling van grondrechten nog steeds het EVRM in acht neemt (vgl. ook art. 52
lid 3 Handvest).
De grondslag voor de AVG wordt dus primair gevonden in de bescherming van grondrechten
van levende natuurlijke personen (art. 1 AVG), en secundair het vrij verkeer in het kader van de interne
markt. Tussen deze twee doelstellingen moet een evenwicht worden gevonden. Daarnaast moet de AVG
het vertrouwen van de burger in de digitale economie, de controle over persoonsgegevens en de rechts-
zekerheid vergroten en praktische zekerheid bieden.
Toepassingsbereik en begrippen
Materieel bezien is de AVG van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking
van persoonsgegevens of gegevens die (bestemd zijn om) in een bestand (te) worden opgenomen (art. 2
lid 1 AVG). Het begrip ‘geautomatiseerde verwerking’ moet ruim worden uitgelegd (vgl. ook de be-
leidsregels van de Autoriteit Persoonsgegevens). Een ‘bestand’ wordt in art. 4 sub 6 AVG gedefinieerd
als ‘elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, on-
geacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gron-
den is verspreid’. Het Hof van Justitie overwoog in Jehova todistajat dat het gaat om gegevens die zijn
gestructureerd volgens specifieke criteria die het mogelijk maken deze gemakkelijk terug te vinden voor
een later gebruik ervan. Het enkele feit dat de verwerkingsverantwoordelijke er zelf voor zorgt dat de
gegevens niet gestructureerd zijn kan echter niet aan de toepasselijkheid van de AVG in de weg staan
(vgl. ook Dexia)
Een persoonsgegeven wordt in art. 4 sub a gedefinieerd als ‘alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een na-
tuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een iden-
tificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een
of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, econo-
mische, culturele of sociale identiteit van die natuurlijke persoon’. Men maakt onderscheid tussen twee
soorten persoonsgegevens, namelijk normale en bijzondere persoonsgegevens (art. 4 sub 13-15 en art.
9 AVG). Laatstgenoemde categorie ziet voornamelijk op gevoelige persoonsgegevens, zoals gezond-
heidsgegevens. Voorbeeld uit de jurisprudentie die onder het begrip ‘persoonsgegeven’ vallen zijn een
arbeidstijdenregister (Worten Equipamentos). Geen persoonsgegevens zijn de juridische of medische
analyses waarin persoonsgegevens zijn te vinden. Gevolg daarvan is dat men in dergelijke analyses
geen inzage kan krijgen. In Examenresultaten oordeelde het Hof van Justitie daarentegen dat schrifte-
lijke antwoorden op beroepsexamen wel persoonsgegevens zijn, zodat men recht heeft op inzage in die
resultaten. Reden voor het verschil is vermoedelijk dat de examens zowel direct als indirect informatie
gaven over de identiteit van de betrokkene (denk aan naam, identificatienummer en meningen). Ook
vaste IP-adressen en variabele IP-adressen die de identificatie faciliteren zijn persoonsgegevens. Hieruit
blijkt dat ook gegevens die niet direct tot een natuurlijke persoon te herleiden zijn maar mogelijk in de
toekomst wel aan identificatie kunnen bijdragen als persoonsgegeven moeten worden beschouwd.
Niet onder de werkingssfeer van de AVG valt de verwerking van persoonsgegevens (art. 2 lid 2 AVG):
1. in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen. Daaronder
vallen alleen expliciet uitgezonderde verwerkingen; zie Österreichischer Rundfunk;
2. in het kader van extern optreden van de Unie en gemeenschappelijk buitenlands- en veiligheids-
beleid;
3. door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke
activiteit. Daaronder vallen niet bijvoorbeeld het openbaarmaken van persoonsgegevens via in-
ternet (Lindqvist), het gebruik van camerabeelden van een openbare weg en het verzamelen van
persoonsgegevens voor geloofsbelijdenis (Jehova Todistajat);
4. door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en
de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de
bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.
Deze uitzonderingen moeten volgens het Hof van Justitie strikt worden uitgelegd. De constatering dat
de AVG van toepassing is, heeft tot gevolg dat de daarin vastgelegde normen moeten worden nageleefd.
5
Edwin van der Velde Rijksuniversiteit Groningen