één jaar AVG privacy

Is er meer aandacht voor privacy na één jaar AVG?

Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. IP maakte toen een rondgang langs bibliotheken, archieven en erfgoedinstellingen om te zien hoe deze zich hierop hadden voorbereid. Nu, een jaar later, blijken er nog steeds heel veel vragen te zijn over de verwerking en bescherming van persoonsgegevens.

Voor wie het alweer vergeten was: de Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse uitwerking van de Europese richtlijn – de General Data Protection Regulation (GDPR) – die burgers meer zeggenschap geeft over hun eigen persoonlijke data.

Deze ‘Europese wet’ (wettekst in PDF formaat) is op 25 mei 2018 in werking getreden, samen met de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG – wettekst in PDF formaat) die specifiek voor de Nederlandse situatie een gedetailleerde invulling geeft aan de AVG. Hierbij moet je denken aan het formeel intrekken van de (vorige) Wet bescherming persoonsgegevens, het instellen van de Autoriteit Persoonsgegevens als toezichthouder maar ook het benoemen van Nederlandse uitzonderingen op het niet mogen verwerken van bijzondere persoonsgegevens.

Belangrijkste bepalingen van (U)AVG

Met 99 artikelen in de AVG en 54 artikelen in de UAVG kun je gerust spreken van een uitgebreide en complexe privacywetgeving waarin veel details geregeld zijn. Je kunt echter op hoofdlijnen wel de belangrijkste bepalingen redelijk eenvoudig samenvatten:

  • Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet. Voor degene van wie de persoonsgegevens verwerkt worden moet het transparant zijn hoe en waarom de persoonsgegevens verwerkt worden. Deze persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel dat vooraf uitdrukkelijk moet zijn omschreven.
  • Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke) en van het doel van de gegevensverwerking.
  • Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij als uitgangspunt hanteren dat er niet meer gegevens verzameld en verwerkt worden dan strikt noodzakelijk is om het doel te bereiken waarvoor ze verwerkt worden. De verwerkende organisatie of persoon moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd.
  • De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.

Eén jaar AVG

Tijdens de behandeling van het voorstel voor de UAVG beloofde Sander Dekker, minister voor Rechtsbescherming, vorig jaar de ervaringen met betrekking tot de nieuwe privacywetgeving te gaan inventariseren. Begin april 2019 verstuurde hij een brief naar de Tweede Kamer met het resultaat van deze inventarisatie. Volgens Dekker leven er nog steeds veel vragen over hoe de AVG en UAVG uitgelegd moeten worden en is er daarom een blijvende behoefte aan goede voorlichting en ondersteuning. In die behoefte wordt volgens de minister al grotendeels voorzien door de voorlichting die de Autoriteit Persoonsgegevens verstrekt, door koepel-, branche- en vakorganisaties maar ook door voorzieningen als een AVG helpdesk Zorg, Welzijn & Sport zoals het ministerie van VWS heeft ingericht.

Desondanks blijkt uit de inventarisatie dat er zorgen zijn over de ruimte die nog gegeven wordt om persoonsgegevens te mogen verwerken, zoals het plaatsen van foto’s op de websites van sportclubs. Dekker stelt dat er vaak meer ruimte is om dit te doen dan aangenomen wordt en dat het eveneens een kwestie van voorlichting is om niet alleen de beperkingen maar ook de mogelijkheden van de wetgeving duidelijk te maken.

Een ander punt dat naar voren komt is dat organisaties behoefte hebben aan meer duidelijkheid of men in specifieke gevallen de (U)AVG goed naleeft en of de eigen interpretatie dus wel de juiste is. Hiervoor verwijst de minister naar de mogelijkheid om (als sector of branche) een gedragscode op te stellen en deze te laten goedkeuren door de Autoriteit Persoonsgegevens.

Rondje langs de velden

Maar hoe zit het dan met de voorlichting die door de branche- of vakorganisaties gegeven wordt aan bibliotheken, archieven en erfgoedinstellingen? Wat is er bij deze informatie-instellingen gebeurd op het gebied van de implementatie van de nieuwe privacyregels? Zijn er knelpunten en onbeantwoorde vragen?

IP stelde die vragen aan een aantal bibliotheken, maar ook aan diverse branche- en vakverenigingen voor de bibliotheek- en archiefsector. Uit de antwoorden blijkt dat er, ook bij bibliotheken en archieven, nog veel vragen zijn over hoe er in de praktijk met de privacyregels omgegaan dient te worden.

De Koninklijke Vereniging van Archivarissen in Nederland (KVAN) en de Branchevereniging Archiefinstellingen Nederland (BRAIN) constateren dat er een grijs gebied is tussen de Archiefwet en de AVG. De Archiefwet levert een verplichting op om te bewaren maar aangezien er geen archieven zijn zonder persoonsgegevens botst dat met de AVG. In de AVG wordt weliswaar (in artikel 89) een uitzondering gemaakt voor ‘archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden’ maar is de verwerking onderworpen aan ‘passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene’. En over wat die passende waarborgen zijn wordt nog steeds veel gediscussieerd.

Beide verenigingen hebben samen een werkgroep AVG in het leven geroepen om dit soort vraagstukken te adresseren. De werkgroep houdt zich thans bezig met het maken van een een model privacy impact analyse (PIA) op de gezinskaarten van het bevolkingsregister 1920-1939. Deze zijn de afgelopen twintig jaar op grote schaal online gezet als veelgevraagde bron voor familie- en andere geschiedvorsers. Maar ze bevatten ook een bijzonder persoonsgegeven, de religie, van soms nog levende personen. Er wordt uitgezocht welke maatregelen er genomen moeten en kunnen worden om aan de AVG te voldoen. Het model moet een hulpmiddel voor archiefinstellingen worden, ook voor andere archieven met persoonsgegevens. Er is ook regelmatig overleg met de Autoriteit Persoonsgegevens.

Ook ontwikkelt de werkgroep AVG een richtlijn voor het zowel AVG- als Archiefwet-proof inrichten van je informatiehuishouding, zodat alle archiefbestanden vanaf hun ontstaan aan allebei voldoen. Alle casussen en vragen worden ook nog eens actief gedeeld via de website van het (openbare) Kennisnetwerk Informatie en Archief.

De Vereniging van Openbare Bibliotheken (VOB) verwijst naar de Provinciale Ondersteuningsinstellingen (POI’s) voor inhoudelijke ondersteuning op privacygebied. Door de negen POI’s is een werkgroep samengesteld die ervaringen deelt en kwesties uit de praktijk in gezamenlijkheid oppakt. De individuele POI’s hebben elk eigen vormen van ondersteuning van de bibliotheken in hun werkgebied, uiteenlopend van een privacyservicedesk tot het organiseren van bijeenkomsten over privacygerelateerde onderwerpen.

In een handreiking op de eigen website verwijst de VOB overigens wel naar de ‘Bibliotheek en privacy’-handreiking van de FOBID uit 2007. Deze zou geactualiseerd gaan worden naar aanleiding van de inwerkingtreding van de AVG, maar dit lijkt vooralsnog niet gebeurd te zijn.

De Koninklijke Bibliotheek heeft het afgelopen jaar de eigen processen en procedures nagelopen en aangepast. Er is een ‘AVG in 10 stappen’-project uitgevoerd, een Functionaris gegevensbescherming (FG) is benoemd en er zijn modellen voor verwerkersovereenkomsten en PIA’s opgesteld. Op de website van de KB staat uitgebreid vermeld hoe er met persoonsgegevens omgegaan wordt en gebruikers kunnen eenvoudig verzoeken indienen om hun persoonsgegevens in te zien, te wijzigen of te verwijderen.

Er zijn het afgelopen jaar ook een beperkt aantal verzoeken tot het verwijderen van persoonsgegevens binnengekomen met betrekking tot de vermelding ervan in Delpher en de Digitale Bibliotheek voor de Nederlandse Letteren (DBNL), aldus de FG van de KB. Aangezien er echter een uitzondering in de (U)AVG is opgenomen voor journalistieke doeleinden, waarbij de KB expliciet in de Memorie van Toelichting van de UAVG als voorbeeld wordt genoemd, is het recht tot verwijdering niet van toepassing. Daarom neemt de KB deze verzoeken niet in behandeling.

Veel aandacht is uitgegaan naar bewustwording binnen de eigen organisatie met een loket waar vragen gesteld kunnen worden, spreekuren om dieper op bepaalde vragen in te kunnen gaan en een elearningmodule om de basiskennis over privacy te verhogen. De Koninklijke Bibliotheek legt daarmee de nadruk op permanente voorlichting zodat in processen en systemen steeds vooraf nagedacht wordt over de verwerking van persoonsgegevens.

Hoewel hogescholen en universiteiten (en daarmee de hogeschool- en universiteitsbibliotheken) elk een eigen beleid voeren, heeft SURF – als organisatie waarin hoger onderwijsinstellingen met elkaar samenwerken – het afgelopen jaar ‘AVG-ondersteuning’ geboden aan de instellingen. Er zijn onder andere modellen voor verwerkersovereenkomsten en impactassessment ontwikkeld, een model privacybeleid en een stappenplan meldplicht datalekken. Alles wordt hierbij beschikbaar gemaakt via de SURF-website.

Daarnaast ziet SURF ook het belang in van het delen van kennis en ervaringen. Er is een wiki gemaakt met informatie over de verschillende aspecten van de AVG, er worden regelmatig kennissessies georganiseerd en er is een trainingsmodule Privacy ontwikkeld. Informatiebeveiligers en privacy officers in het hoger onderwijs werken samen, en delen ervaringen uit, in een werkgroep SCIPR (SURF Community voor Informatiebeveiliging en PRivacy).

Een van de onderwerpen die binnen hogescholen en universiteiten nu speelt is het voorlichten van onderzoekers over de gevolgen van de AVG voor hun onderzoek. Van het maken van duidelijke afspraken vooraf over het verzamelen van persoonsgegevens en het maken van een impact assessment tot het veilig opslaan, archiveren en verwijderen van persoonsgegevens na afloop van het onderzoek. Eén jaar na de invoering van de AVG begint nu pas een beetje duidelijk te worden wat er allemaal geregeld en gefaciliteerd moet worden om ervoor te zorgen dat aan de wetgeving voldaan wordt.

Voorbeeld van een gespecialiseerde bibliotheek: Dedicon

Dedicon is producent en distributeur voor de landelijke dienst van aangepast lezen. Aangepast lezen is een van de stelseltaken die KB uitvoert en behelst het ontwikkelen en in stand houden van een bibliotheekdienst voor mensen met een leesbeperking. Bibliotheekklanten met een leesbeperking doen hun bestellingen bij het landelijke servicepunt van BPL (Bibliotheekservice Passend Lezen) waar zij zich identificeren en inschrijven. Bestellingen uit de catalogus worden doorgegeven aan Dedicon met inbegrip van de NAW gegevens van de klant. Daarnaast is Dedicon ook producent, distributeur en direct verantwoordelijke voor studie en vakmaterialen in aangepast leesvormen.

In termen van de AVG is Dedicon dus zowel gegevensverwerker (voor BPL) als gegevensverantwoordelijke voor de educatieve (school-)boeken. Uiteraard is er een gegevensbewerkers overeenkomst tussen BPL en Dedicon opgesteld en is ook besloten dat het bibliotheeksysteem (ILS) dat voorheen bij Dedicon draaide, aan BPL wordt overgedragen.  Op deze manier zijn de persoonsgegevens waaronder het speciale gegeven van handicap exclusief in handen bij de verantwoordelijk BPL.

Dedicon heeft van KB ook de specifieke opdracht de producten en diensten van aangepast lezen te innoveren. Daarvoor is klantgericht onderzoek nodig. Het wel of niet mogen benaderen van de klanten van BPL die de producten van Dedicon ontvangen, levert hoofdbrekens op waarvoor ook juridisch advies is ingeroepen. De huidige inzichten rond de toepassing van de AVG in deze specifieke “keten“-situatie leiden er toe dat per klantonderzoek of verzoek tot aanmelding voor een testpanel een expliciete toestemming van de klant nodig is.

Dedicon doet jaarlijks al gauw meer dan tien projecten of onderzoeken waarbij de mening van de BPL-klant onontbeerlijk is. Overvragen van de klant, – de klantengroep is relatief klein,-  ook op het gebied van privacy-toestemming ligt op de loer. Het uitzoeken van een AVG conforme werkwijze heeft  aantoonbaar geleid tot vertraging in het uitvoeren van de onderzoeken. Een oplossing lijkt nu gevonden te worden door in de toekomst de klant in de gelegenheid te stellen een vinkje te zetten in de mijnbieb-omgeving van de BPL website voor het wel of niet benaderd te mogen worden door Dedicon voor onderzoeksdoeleinden. Ook wordt nagedacht over toegang voor Dedicon tot een geanonimiseerde databank van uitleengegevens waarop analyses kunnen worden gedaan omtrent uitleen-aantallen en populariteit van titels.

De AVG is nu bijna een jaar oud en sommige werkwijzen tussen BPL en Dedicon moeten in de praktijk nog worden uitgewerkt, maar een heldere verdeling tussen verantwoordelijke (BPL) en verwerker (Dedicon) is binnen handbereik. (tekst: Koen Krikhaar, Dedicon)

Nog lang niet klaar

De komst van de AVG en UAVG heeft het afgelopen jaar overduidelijk tot veel aandacht voor de bescherming van persoonsgegevens geleid. Het is een van de conclusies van minister Dekker naar aanleiding van de inventarisatie en het is ook duidelijk af te leiden uit het rondje langs de branche- en vakorganisaties.

De (U)AVG is geen wetgeving die precies dicteert wat er in welke specifieke situatie geregeld moet gaan worden, maar is een algemene verplichting voor iedereen die persoonsgegevens verwerkt om zorgvuldig om te gaan met de belangen van betrokkenen.

Dat kan alleen door kennis en ervaringen uit te wisselen en gezamenlijk antwoorden te zoeken op soms lastige kwesties uit de praktijk. Het is niet voor niets dat de branche- en vakorganisaties allemaal met spreekuren, communities, werkgroepen, vraagbakens of servicedesks aan de slag zijn gegaan.

De behoefte aan uitwisseling van kennis, voorlichting en uitleg zal voorlopig wel blijven bestaan want één ding is zeker na één jaar AVG: bibliotheken, archieven en erfgoedinstellingen zijn nog lang niet klaar met het onderwerp privacy.

Dit artikel is ook gepubliceerd in IP 4 (2019). Afbeelding uit header via Pixabay en gebruikt onder een Pixabay licentie.

#

Juridische kwesties: Een e-Privacyverordening met impact

De meeste bedrijven in Europa zijn nog druk bezig met de gevolgen van de Algemene Verordening Gegevensbescherming. Maar ondertussen staat de volgende privacywet alweer voor de deur: de e-Privacyverordening.

Alle aandacht rondom privacy gaat nog steeds uit naar de Algemene Verordening Gegevensbescherming (AVG) die in mei 2018 van kracht werd. De Autoriteit Persoonsgegevens (AP) is namelijk pas sinds kort begonnen met actief handhaven nu de ‘gewenningsperiode’ wel een beetje voorbij is. Bedrijven en instanties worden gecontroleerd en de AP neemt duizenden meldingen van burgers in behandeling.

Nieuwe richtlijn

Maar er is nog een strenge privacywet waar niet alleen bedrijven maar ook burgers mee te maken hebben. De huidige Europese e-Privacyrichtlijn uit 2002 regelt de bescherming van privacy en persoonsgegevens in de telecomsector. In Nederland is deze richtlijn verwerkt in de Telecommunicatiewet en er zijn (strenge) regels over onder andere het verwerken van zoek- en klikgedrag via cookies.

Het was de bedoeling om de aangescherpte e-Privacyrichtlijn tegelijk met de AVG te laten ingaan. Dat ging niet door omdat de discussies in het Europees Parlement niet op tijd waren afgerond. Inmiddels is er een conceptversie die dit jaar waarschijnlijk goedgekeurd gaat worden. De definitieve teksten volgen in 2020, waarna de nieuwe verordening van start kan gaan.

Verordening

Het is goed om te beseffen dat de oude e-Privacyrichtlijn wordt omgezet in een e-Privacyverordening. Een Europese verordening wordt rechtstreeks geldend recht in alle Europese lidstaten zonder dat deze verwerkt hoeft te worden in lokale wet- en regelgeving, zoals dat met een richtlijn wel moet gebeuren. Er is dus geen traject van (maximaal) twee jaar nodig om tot inwerkingtreding van de nieuwe privacyregels te komen, zoals dat met de AVG en de huidige e-Privacyrichtlijn wel het geval was.

Wat staat erin?

De e-Privacyverordening (ePV) heet voluit: ‘Verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie)’. Simpel gezegd komt het neer op strenge(re) regels voor de verwerking van persoonsgegevens voor elektronische communicatiediensten. Denk daarbij aan internet maar ook alle diensten van Facebook en Google.

Regelt de AVG alles rondom het verwerken van persoonsgegevens als algemene wet (lex generalis), de ePV gaat dat specifieker invullen voor alle online diensten (lex specialis). Mocht er een overlap zijn, dan is de ePV bepalend. Daarom zal de impact zo mogelijk nog groter zijn dan de invoering van de AVG.

Vooral cookies

De ePV bevat nieuwe regels over onder andere de minimumeisen van ‘privacy by design’, hoe apparaten van gebruikers herkend mogen worden en wat er commercieel (niet) mag met verzamelde persoonsgegevens. Maar bovenal moet het de problemen rondom cookies en cookiewalls gaan oplossen. Een enorme uitdaging. Zo blijkt uit door de EU uitgevoerde evaluaties dat burgers niet willen nadenken over toestemming geven voor elke website die ze bezoeken – ze drukken klakkeloos op de knoppen in cookiewalls. Ondertussen leunen bedrijven steeds zwaarder op cookies om nieuwe functionaliteiten en webdiensten mogelijk te maken.

Hoe moeten websites bijvoorbeeld zorgen voor toestemming van alle bezoekers en gebruikers, op een manier die ervoor zorgt dat mensen een afgewogen keuze maken? Op die vraag geeft de ePV helaas geen antwoord. Hoe dan ook, de invoering van de e-Privacyverordening gaat een forse impact hebben op alle bedrijven, marketeers en burgers. Het lijkt aannemelijk dat de invoering van de e-Privacyverordening een forse impact gaat hebben op alle bedrijven, marketeers en burgers.

Deze Juridische kwesties is ook gepubliceerd in IP 2 (2019).
#

Gastcollege auteursrecht en privacywetgeving voor marketingcommunicatie

Vanochtend gaf ik een gastcollege aan een groep 4e jaars studenten Commerciële Economie in het kader van een reeks workshops die ingaan op de actualiteit. Aangezien auteursrecht altijd actueel is en met de AVG (plus de komende ePrivacy verordening) ook privacywetgeving flinke aandacht krijgt, kwamen deze thema’s natuurlijk terug in mijn verhaal.

Hoewel het geven van gastcolleges niet meer nieuw voor me is – ik gaf afgelopen maandag voor het vijfde achtereenvolgende jaar een gastcollege over IE- en consumentenrecht bij Windesheim Flevoland – moest ik wel even goed nadenken toen ik gevraagd werd om één van de workshops te verzorgen in Zwolle voor 4e jaars studenten CE over auteursrecht en privacywetgeving. Twee grote onderwerpen die bij voorkeur dan beknopt voorbij zouden moeten komen en waar studenten vervolgens ook nog zelf mee aan de slag mee zouden moeten middels een opdracht.

Daar kwam ik voor mezelf ook niet goed uit en ik besloot het dan ook op mijn eigen manier te doen. Niet beknopt en met veel voorbeelden uit de actualiteit van rechtszaken rondom auteursrechtkwesties en meldingen/incidenten over privacyschendingen.

Dat bleek achteraf ook de goede keuze te zijn want ik bleek in een collegezaal te zitten met plek voor 30 studenten die ook helemaal gevuld was. Zonder plek om een opdracht uit te voeren zeg maar.

Met een verhaal over auteursrecht in het eerste uur en privacywetgeving in het tweede uur – en met deze keer een pauze ingebouwd om op adem te komen – heb ik hopelijk de studenten kunnen bijbrengen dat ze bij de meeste online activiteiten onvermijdelijk tegen zowel auteursrecht als privacyzaken gaan aanlopen. Waar op te letten bij andermans auteursrecht op tekst en beeld en vooral om nooit zo maar andermans materiaal te gaan photoshoppen en aan te passen :)

De AVG, de cookiewet en de komende e-Privacy verordening moest ik in hoog tempo behandelen maar dat bleek ook echt nog wel onbekende materie te zijn. Nu de Autoriteit Persoonsgegevens heeft aangegeven de komende maanden te gaan beginnen met het handhaven (en opleggen van boetes) zal het echter een stuk concreter worden wat het betekent als je je niet aan de eisen van de AVG houdt.

Het wordt iedere keer als ik een gastcollege geef gemakkelijker om te focussen op het vertellen van een verhaal in plaats van de slides als leidraad te gebruiken. Dat maakt het wel wat nuttelozer voor anderen om de Powerpoint hierboven als vervanging van mijn verhaal te gebruiken want de voorbeelden werk ik daar niet uit. Ik denk echter wel dat het leuker maakt om naar mijn verhaal te luisteren dan simpelweg de Powerpoint terug te lezen.

Ik zag er best wel een beetje tegenop vanmorgen maar wat ben ik weer blij dat ik het gedaan heb. En dat het weer goed ging ;-)

#

  • © 2006- 2019 Vakblog – werken met informatie
    Aangedreven door WordPress en duizenden liters koffie // Theme: Tatami van Elmastudio
Top