450 likes | 652 Views
wet bescherming persoonsgegevens. Is er sprake van persoonsgegevens ?. WBP n.v.t. nee. ja. uitzondering?. Is er sprake van bijzondere persoonsgegevens?. nee. ja. nee. toestemming?. Is er sprake van verwerking ?. WBP n.v.t. ja. nee. ja. nee. verwerking: X.
E N D
wet bescherming persoonsgegevens Is er sprake vanpersoonsgegevens? WBP n.v.t. nee ja uitzondering? Is er sprake van bijzondere persoonsgegevens? nee ja nee toestemming? Is er sprake van verwerking? WBP n.v.t. ja nee ja nee verwerking: X Is er sprake van rechtmatige verwerking? X nee ja zonder melding: X Is er sprake van meldplicht? ja nee ja verwerking: X Heeft verantwoordelijke gemeld? nee ja Verkrijging van gegevens van betrokkene? nee ja informeren op moment van vastlegging / eerste verstrekking aan derde informeren voor moment van verkrijging
Verkrijging van gegevens van betrokkene? nee ja informeren op moment van vastlegging / eerste verstrekking aan derde informeren voor moment van verkrijging Heeft de verantwoordelijke voldaan aan zijnoverige verplichtingen Kan de betrokkene van zijn rechten gebruik maken?
Wet bescherming persoonsgegevens (WBP) Sancties: strafrechtelijk; bestuurlijke boete; bestuursdwang; privaatrechtelijke schadeactie; negatieve publiciteit. Toezicht: college bescherming persoonsgegevens; rechter.
Wet bescherming persoonsgegevens (WBP) Strafrechtelijke sancties Art. 75 WBP • De verantwoordelijke die in strijd handelt met hetgeen bij of krachtens art. 4 derde lid,27, 28 of 78, tweede lid, onder a, is bepaald, wordt gestraft met geldboete van de tweede categorie. • De verantwoordelijke die een feit als bedoeld in het eerste lid, opzettelijk begaat, wordt gestraft met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie. • De in het eerste lid strafbaar gestelde feiten zijn overtredingen. De in het tweede lid strafbaar gestelde feiten zijn misdrijven. • Met de opsporing van de in dit artikel omschreven feiten zijn behalve de bij of krachtens artikel 141 van het Wetboek van Strafvordering aangewezen ambtenaren belast, de door Onze Minister daartoe aangewezen ambtenaren van het secretariaat van het College. • Het recht tot strafvervolging vervalt indien het College reeds een boete heeft opgelegd.
Wet bescherming persoonsgegevens (WBP) Strafrechtelijke sancties Art. 4 lid 3 WBP De verantwoordelijke zonder vestiging in de E.U. mag pas met gebruik van middelen die zich in Nederland bevinden persoonsgegevens verwerken, indien hij in Nederland een persoon of instantie aanwijst die namens hem handelt overeenkomstig de WBP. Art. 27 WBP Melden bij CBP of de functionaris voordat met de (geautomatiseerde) verwerking van persoonsgegevens wordt begonnen. Art. 28 WBP De melding moet bepaalde gegevens bevatten. Wijziging, van meer dan incidentele aard, van gemelde gegevens moet binnen bepaalde tijd worden gemeld. Bij of krachtens AMvB kunnen nadere regels worden gesteld over de wijze waarop de melding moet plaatsvinden. Een verwerking die afwijkt van gemelde gegevens moet bepaalde tijd worden bewaard. Art. 78 lid 2 sub a WBP Indien dit op grond van een besluit van de Europese Commissie door de Minister is bepaald, is doorgifte naar een land buiten de E.U. verboden.
Voorwaarden voor rechtmatigheid van de verwerking Behoorlijk en zorgvuldig,art. 6 Welbepaald doel,art. 7 Rechtmatige grondslag,art. 8 Verenigbaar gebruik,art. 9 Bewaartermijnen,art. 10 Toereikend, ter zake dienend en niet bovenmatig,art. 11 Juist en nauwkeurig,art. 11 Geheimhoudingsplicht,art. 12 Beveiliging,art.13 Zie ook internationaal gegevensverkeer Bewerkerscontract,art. 14
Beveiliging Technische en organisatorische maatregelen tegen verlies of enige vorm van onrechtmatige verwerking die een passend beveiligingsniveau garanderen. • Gelet op de risico’s van de verwerking en • De aard van de te beschermen gegevens. Uiteraard, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging.
Privacy-regels & Het elektronisch berichtenverkeer dr mr H.J.A. Mentink maart 2002
Privacy In juridische zin gaat het om de bescherming van de persoonlijke levenssfeer Privacy kan worden omschreven in drie dimensies: o.a in de grondwet: Art. 11 grondwet: onaantastbaarheid menselijk lichaam. Art. 12 grondwet: huisrecht. Art. 13 grondwet: brief-telefoon en telegraafgeheim (relationeel). Art. 10 grondwet: eerbiediging van de persoonlijke levenssfeer, in het bijzonder het beschermen van persoonsgegevens (informationeel • lichamelijk • ruimtelijk • Ruimtelijk / informationeel
Privacy In juridische zin gaat het om de bescherming van de persoonlijke levenssfeer Privacy kan worden omschreven in drie dimensies: • lichamelijk Electronic monitoring • ruimtelijk • Ruimtelijk / informationeel
Privacy Electronic Monitoring Met behulp van elektronische (hulp)middelen data(verkeer) in computernetwerken observeren.1 • Sniffen • Redirecten • Real-time monitoring Vb. Onderscheppen van een e-mail bericht dat wordt verzonden. • Ex post monitoring 1 P. Kolkman e.a., Privacy in Bits en bytes blz. 32.
Computernetwerken / datacommunicatie Communicatie Aan menselijke communicatie is inherent dat er een en ander moet zijn afgesproken. Bijvoorbeeld: • Wie tijdens een vergadering het woord mag voeren en wanneer; • De taal waarin gesproken wordt; • De betekenis die aan bepaalde woorden en of gebaren moet worden gehecht. Deze afspraken worden vastgelegd in een protocol Dit is ook zo bij datacommunicatie
Computernetwerken / datacommunicatie Communicatie In het kader van datacommunicatie moet de data geschikt worden gemaakt voor communicatie. Dit proces vind plaats op een aantal conceptuele niveaus.1 Voor ieder niveau zijn afspraken gemaakt welke in protocollen zijn vastgelegd. In het OSI-referentiemodel (Open Systems Interconnection) is door het ISO vastgelegd welke niveaus in de datacommunicatie tussen computers onderscheiden worden. 1 Men kan een mens bekijken als een hoeveelheid cellen, maar ook als een hoeveelheid organen dan wel een mens in zijn totaliteit. Op ieder niveau gebeurt het een en ander. Een dergelijk iets speelt ook bij datacommunicatie en bij het geschikt maken voor communicatie.
Computernetwerken / datacommunicatie Datacommunicatie In het OSI-referentiemodel is door het ISO vastgelegd welke niveau’s in de datacommunicatietussen computers onderscheiden worden. Het gaat hierbij niet om de protocollen zelf, maar om een raamwerk waarin de protocollen geplaatst kunnen worden. Hetzelfde geldt voor het TCP/IP-referentiemodel.1 1 Transmission Control Protocol / Internet Protocol. Protocolstack in vier lagen die gebruikt wordt voor het Internet en een aantal LAN’s.
Deze laag is bestemd voor het toepassingsgebied. • Application In deze laag kan de manier waarop de data gepresenteerd wordt, veranderd worden (datacompressie / encryptie) • Presentation Deze laag zorgt voor het aangaan van de verbinding: inloggen, autorisatie en dergelijke. • Session De transportlaag onderneemt alle acties die nodig zijn om te zorgen dat de verbinding klaar staat voor de gebruiker. • Transport Deze laag betreft onnder meer het opsplitsen van de boodschap in packets en het transport van de packets door het netwerk heen. • Network Deze laag verschaft een foutvrije communicatie tussen computers. • Datalink Deze laag betreft het medium (draden, glasvezel en dergelijke waarmee de data getransporteerd wordt. Deze laag zorgt er bijv. voor, dat een uitgezonden 1 ook door de ontvanger als een 1 wordt beschouwd. • Physical
OSI-model TCP / IP-model Protocol • Application TCP / IP-model Telnet SMTP FTP DNS HTTP • Presentation • Session • Transport Transport TCP UDP • Network Internet IP • Datalink Host to network LAN WAN • Physical
Monitoring op het Internet De basis van een Internetsessie is de overdracht van informatie in de vorm van data-packets van een computer naar een andere computer, waarbij gebruik wordt gemaakt van het TCP/IP model. Elke actie tijdens zo’n sessie (dus ook het intypen van een password) wordt in de vorm van data-packets verzonden. Deze data-packets leggen daarbij een bepaalde route af. Deze route kan op Unix-computers met het programma Traceroute en op Windows-systemen met het programma Tracert inzichtelijk worden gemaakt. Tijdens het afleggen van de \route passeert een packet een aantal andere computers. Er zijn dus verschillende momenten waarop electronic monitoring succesvol kan worden toegepast.
Monitoring op het Internet, ex post ‘Bij Internetsessiesmet applicaties zoals FTP, X-500, Gopfer, telnet wordt vaak bijgehouden vanaf welk IP-adres wordt ingelogd en uitgelogd. Bovendien kan worden gelogd welke bestanden of pagina’s worden opgevraagd van een FTP-machine of een webserver. Alhoewel de naam van een computergebruiker over het algemeen niet (direct) kan worden gelogd, wordt wel het IP-adres van de machine van de computergebruiker gelogd en waar deze vandaan komt. Met enige moeite kan vervolgens de identiteit van de computergebruiker vastgesteld worden. (…) Ook op het Internet komen logbestanden voor. Zo houden webservers vaak een overzicht bij van de bestanden die worden opgevraagd. Automatisch kan daarbij ook het IP-adres worden opgeslagen waarvandaan een pagina is opgevraagd.’1 1 P. Kolkman, privacy in bits en bytes, blz. 38-39.
Monitoring op het Internet ‘Het IP-adres als zodanig zegt slechts iets over de computer die is gebruikt om de website te bezoeken, maar niets omtrent de persoon die deze computer heeft gebruikt. (…) de identiteit van de afnemer kan worden achterhaald. Hiervan kan bijvoorbeeld sprake zijn, indien de afnemer zich bij het eerste bezoek aan de website moest aanmelden en daarbij identificerende gegevens heeft verstrekt. Aan de hand van deze gegevens kan in samenhang met het IP-adres bij een volgend bezoek de identiteit van de afnemer worden vastgesteld. Voorts zou kunnen worden gedacht aan het koppelen van de gegevens in IP-adresbestanden met bestanden, waarin een combinatie van IP-adressen en identificerende gegevens zijn opgenomen.’1 1 R.E. Van Esch, Electronic Commerce, Privacyregulering in theorie en praktijk, blz. 341-342.
Relevante Privacy-wetgeving Voor uitwisseling van elektronische berichten • EU-privacyrichtlijn 95/46/EG • EU-richtlijn privacy en telecommunicatie 97/66/EG • Wet bescherming persoonsgegevens • Art. 13 Grondwet • Telecommunicatiewet • Wet computercriminaliteit II • Verenigde Staten
Inventariseren • Is er sprake van verwerking. • Is er sprake van persoonsgegevens. • Is er sprake van bijzondere persoonsgegevens. • Heeft de zorgvuldigheidsnorm nader inhoud gegeven. • Zijn de actoren en hun rol vastgesteld. • Is er sprake van meldingsplicht en informatieplicht. • Is er sprake van internationaal gegevensverkeer. • Is controle en toezicht georganiseerd. • Noodzaken de rechten van betrokkenen tot organisatorische maatregelen?
hoog Voor de burger direct werkende bepalingen uit of op grond van verdragen. Grondwet Wet in formele zin Algemene Maatregel van bestuur etc. laag Verdragen
E.U.-Verdragen E.U. Richtlijnen Doel: harmonisatie. Adres: de overheid in principe Dus de burger pas gebonden als er nationale wet is (implementatie).
E.U.-privacyrichtlijn 95/46/EG Mede gericht op de verduidelijking en versterking van de beginselen uit het verdrag van de Raad van Europa tot bescherming van personen in verband met de geautomatiseerde verwerking van persoonsgegevens. Doel:harmonisatie van Europese regelgeving gericht op wegnemen belemmeringen die het vrije verkeer van persoonsgegevens binnen de interne markt in de weg staan. Gelijkwaardig hoog beschermings niveau bieden aan de peroonlijke levenssfeer in verband met verwerking van persoonsgegevens.
Wetpersoonsregistraties (WPR) EU-privacyrichtlijn 95/46/EG implementatie Wetbescherming persoonsgegevens(WBP)
Wet bescherming persoonsgegevns (WBP) toepasselijkheid WBP Vinden verwerkingen plaats in het kader van de activiteiten van een in Nederland gevestigde verantwoordelijke, dan is de WBP van toepassing op die verwerkingen. (art. 4 lid 1 sub a) In welk land de verwerkingen (via informatiesystemen) plaatsvinden is dus niet relevant! Is de verantwoordelijke gevestigd in meer dan één lidstaat, dan moet zo’n vestiging voldoen aan toepasselijke nationale wetgeving. (art. 4 lid 1 sub a) Indien de verantwoordelijke buiten de E.U. is gevestigd, wordt aangeknoopt bij de locatie waar de verwerkingen plaatsvinden (art. 4 lid 1 sub c en lid 2). Hij moet in genoemde locatie een verantwoordelijke voor de naleving van de WBP aanwijzen.
Wetbescherming persoonsgegevens (WBP) Rijkweidte (1) Nietvan toepassing op: o.a. verwerking van persoonsgegevens met uitsluitend persoonlijke of huishoudelijke doeleinden. (artt. 2 t/m 4 WBP) Wel van toepassing op: de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. (art. 2 WBP)
Wetbescherming persoonsgegevens (WBP) Rijkweidte (2) In vergelijking met de WPR Ook de geautomatiuseerde verwerking van persoonsgegevens van een enkele persoon. Dus ook bijvoorbeeld het opslaan van persoonsgegevens op een chipkaart. Ook de fase van gegevensverzameling bestaande uit het vragen en verkrijgen van gegevens. Doel Moment van aanmelding Moment van informeren betrokkene
Wetbescherming persoonsgegevens (WBP) Rijkweidte (3) Waar het om draait is dus: de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. (Art. 2 WBP) Verwerking……..persoonsgegevens
Persoonsgegevens in de zin van de WBP (1) Bevat elektronisch bericht ‘persoonsgegevens’ zoals gedefinieerd in de Wet bescherming persoonsgegevens. ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’ ‘dat informatie verschaft over een natuurlijke persoon’ ‘herleidbaar is tot een natuurlijke persoon’
Persoonsgegevens Elk gegeven …. Bijzondere persoonsgegevens • Seksuele leven, art. 16 • Godsdienst, art. 17 • Ras, art. 18 • Politieke gezindheid, art. 19 • Vakbondslidmaatschap, art. 20 • Gezondheid, art. 21 • Strafrechtelijke gegevens, art. 22 • Persoonsnummer, art. 24
Bijzondere persoonsgegevens De verwerking hiervan is niet toegestaan (art. 16), tenzij: • dit bij wet is geregeld; • er sprake is van een onderdeel van WBP (art. 17- 22), let wel; seksuele leven staat slechts in art. 16; • er sprake is van een uitzondering conform art. 23. Bijvoorbeeld uitdrukkelijke toestemming van de betrokkene. Double click, zie dia…
Bezoeken van een bepaalde seks-website Levert een dergelijk bezoek op zich al een gevoelig gegeven over de bezoeker op, m.a.w. een bijzonder persoonsgegeven betreffende het seksuele leven van de betrokkene? Volgens van Esch e.a., behoeft dit niet noodzakelijkerwijs zo te zijn. Verkoopgegevens over producten die via een dergelijke site zijn verhandeld kunnen wel als bijzondere persoonsgegevens worden opgevat.
Bijzondere persoonsgegeven betreffende de gezondheid Bevat elektronisch bericht ‘bijzonder persoonsgegeven’ betreffende de gezondheid. Draag zorg voor toestemming van betrokkene (bijv. via klik-systeem).
Bijzonder persoonsgegeven: de gezondheid betreffende. Bijvoorbeeld door een verzekeraar. Verwerking is onder meer toegestaan, indien dit geschiedt met uitdrukkelijke toestemming van de betrokkene. Toestemming kan geacht te zijn verkregen door middel van een aparte klik of een combinatie van klikken, TK 25892, nr. 6, p. 41
Wetbescherming persoonsgegevens (WBP) toepassingsgebied Nietvan toepassing op: o.a. verwerking van persoonsgegevens met uitsluitend persoonlijke of huishoudelijke doeleinden. (artt. 2 t/m 4 WBP) Wel van toepassing op: de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. (art. 2 WBP)
Verwerking, art. 1 sub b Elke handeling of elk geheel van handelingen m.b.t. persoonsgegevens, waaronder in ieder geval: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Niet limitatief dus!
Verwerking: vervolg Zodra er enige feitelijke macht over persoonsgegevens is, is de Wbp van toepassing. Ook volledig geautomatiseerde vormen van verwerking kunnen onder de wettelijke regeling vallen. Cruxiaal blijft dat de verwerking gepaard moet gaan met de mogelijkheid daarop (enige) invloed uit te kunnen oefenen. Niet relevant is of de invloed ook daadwerkelijk wordt uitgeoefend. Een telecomoperator die enkel gegevens doorvoert zonder daarop enige invloed uit te kunnen oefenen, verwerkt daarmee geen gegevens.Beveiligingsvoorschriften moet hij dan nakomen op grond van de Wet op de telecommunicatievoorzieningen. Wanneer echter bijvoorbeeld een Internet service provider de mogelijkheid heeft het verspreiden van onrechtmatige berichten tegen te gaan, is er wel sprake van mogelijke invloed en daarmee van gegevensverwerking en is daarom de Wbp volledig van toepassing.
Beveiliging is dus o.a. relevant o.g.v: • Art. 138a Sr • Art. 13 WBP • Telecommunicatiewet