Woensdag 12 juni zijn Mirthe, Eline, Stephanie en ik naar de Oude Sterrenwacht in Leiden geweest voor een basiscursus privacywetgeving en AVG. In deze cursus kwamen we alles te weten over de (U)AVG. De basiscursus duurde twee dagen, wij waren maar voor één dag uitgenodigd, en de totale prijs lag op de 1295,-. Wij hebben overigens ook niet deze prijs hoeven te betalen, we mochten gratis komen.

Een belangrijk punt om mee te beginnen is dat verwerkingen van persoonsgegevens voor persoonlijke of huishoudelijke doeleinde niet onder de AVG vallen. Het is dan wel belangrijk om te melden dat journalistieke doeleinden niet onder persoonlijk of huishoudelijk vallen, je maakt immers iets om te publiceren. Ook een belangrijk gegeven zijn zogenoemde: “bijzondere gegevens”. Een voorbeeld daarvan zijn gezondheidsgegevens. Deze gegevens mag je nooit verwerken tenzij je in de gezondheidszorg de bevoegdheid hebt, zoals een arts.

Als je persoonsgegevens wilt bewerken is het belangrijk dat je uitdrukkelijk toestemming vraagt of de betrokken heeft al toestemming gegeven via bijvoorbeeld internet, denk aan cookies. Ook binnen de arbeidsverhouding kan die toestemming net wat anders lopen. Als werknemer sta je onder het gezag van de werkgever en als je dan weigert toestemming te geven kan dat je later benadelen. Dan zijn er nog uitzonderingssectoren zoals de luchtvaart, hier mogen gezondheidsgegevens wel gedeeld worden. Deze sector mag het onder andere wel, omdat dit anders tot grootschalige gevaren kan leiden. Een voorbeeld daarvan is de piloot van Germanwings die een vliegtuig heeft laten neerstorten om zelfmoord te kunnen plegen.

Maar wat valt er precies onder privacy? Hieronder volgt een lijstje met een aantal voorbeelden van privacy

  • Lichamelijke integriteit, hier valt bijvoorbeeld een drugstest onder. Dit betekent dus vooral dat je fysiek iets moet ondergaan.
  • Territoriale privacy, een voorbeeld hiervan is het huisrecht. Binnen je huis mag heb jij de privacy om te doen wat je wilt, binnen de wet. Let wel op als bijvoorbeeld de politie met een huiszoekingsbevel komt dan mogen zij de territoriale privacy schenden.
  • Communicatiegeheim, voorbeeld hiervan zijn de telex-, brief- en telefoongeheim. Bij het briefgeheim betekent het bijvoorbeeld dat niemand een brief mag openen met jou naam erop. Belangrijk is, is dat een e-mail niet onder deze wet valt. Die valt onder de tele-communicatiewet, een nadeel van deze wet is dat hij minder streng is dan artikel 13 over onder andere briefgeheim.
  • Informationele privacy, heeft betrekking op het recht om zelf te beschikken over je eigen persoonsgegevens en dus ook om zelf te kunnen bepalen wanneer, hoe en in welke mate die gegevens aan anderen beschikbaar worden gesteld.

De rijksoverheid is bezig met een grondwetswijziging die ervoor zorgt dat de telecommunicatiewet neutraal wordt. Dit betekent dat social media er ook onder zal gaan vallen. Nog een praktische tip die wij kregen tijdens de basiscursus. Als je er niet uitkomt bij de AVG, pak dan de Engelse versie. Er zijn namelijk wat vertaalfouten gemaakt in de Nederlandse versie.

De AVG maakt een verschil tussen verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke is de eigenaar van de gegevens. De verwerker handelt op instructie van de verwerkingsverantwoordelijke. Een voorbeeld is een foto uploaden op Facebook. Diegene die de foto upload is de verwerkingsverantwoordelijke en Facebook is in dit geval de verwerker. Maar Facebook wordt de verwerkingsverantwoordelijke als deze foto gedeeld wordt met een derde partij. Een verwerkingsverantwoordelijke en een verwerker kunnen een verwerkingsovereenkomst maken om alles goed op papier te zetten.

Een bedrijf dat met persoonsgegevens werkt moet een functionarispersoonsgegevens (FG) aan stellen volgens de AVG. De FG moet deskundig en onafhankelijk zijn. De AVG is hier alleen niet zo duidelijk over. Iemand binnen je eigen bedrijf die taak geven mag ook.

Om terug te komen op de verwerker. Als je bijvoorbeeld de ICT van je eigen bedrijf de verwerking van persoonsgegevens laat doen. Dan is de ICT-afdeling de verwerkingsverantwoordelijke en niet de verwerker, omdat het immers onder het bedrijf valt die ook verwerkingsverantwoordelijke is. We hebben het pas over een grootschalige persoonsgegevensverwerking als er meer dan 10.000 betrokkene zijn. Tussen de vijf en tienduizend betrokkenen betekent dat het niet grootschalig is, dit is bijvoorbeeld bij de huisarts het geval.

Alle verboden/bijzondere gegevens mogen niet gebruikt worden door journalisten. Een uitzondering daarop zijn de strafrechtelijke gegevens anders zou je niet kunnen schrijven over bijvoorbeeld Willem Holleeder. De andere bijzondere gegevens mag je alleen maar verwerken als het het publiek debat dient. De AVG is voor journalisten dus gedeeltelijk van toepassing.

Wanneer is een gegeven precies een persoonsgegeven noemen?

De Autoriteit Persoonsgegevens (AP) beschrijft het als volgt: “Wanneer je de ene persoon anders kunt behandelen, dan is het een persoonsgegeven.” Een foto is dit bijvoorbeeld al. Ten eerste is het een geautomatiseerd persoonsgegeven en ten tweede iemand anders kan op basis van een foto conclusies trekken. Een ander voorbeeld: een website heeft juridische en wettige middelen om op basis van een IP-adres van een persoon een beeld te vormen wat voor een persoon het is. Bijvoorbeeld iemand die allerlei boeken koopt over klussen, voetbal en bier. Dan is er een mogelijkheid dat het gaat om een volwassen man. Het gaat hier dan om een persoonsgegeven. Het KVK-nummer voor zelfstandigen zonder personeel (zzp’er) is ook een persoonsgegeven. Een belangrijke om in je achterhoofd te houden is het BSN-nummer, ga hier ook vanuit dat het indentificeerbaar is.

Gegevens van overledenen vallen niet onder de AVG. De overledenen zijn namelijk geen natuurlijk persoon meer, wel moet je opletten als de gegevens de nabestaanden kunnen raken. Dan geldt de AVG wel.

Hoe journalisten met de AVG omgaan verschilt per EU-land. Alle landen hebben namelijk de AVG mogen aanpassen naar hun eigen situaties. In Nederland heet de AVG dan ook de UAVG (Uitvoersingswet Algemene Verorderning Gegevensbescherming), als je het over Europa hebt dan spreek je over de AVG.

De AVG werkt met een territoriale werking dat betekent dat bedrijven die een vestiging in de Europese Unie hebben de AVG moeten naleven. Zijn er bedrijven die geen vestiging hebben in de EU, maar wel goederen en diensten leveren aan Europese burgers dan moeten ze zich aan de AVG houden. Wordt het gedrag bijgehouden van burgers in de EU. Ook dan moet het bedrijf zich aan de AVG houden. De EU werkt met mensenrechten en de VS bijvoorbeeld met burgerrechten. Dit is het grote verschil en dat leidt tot andere wetgeving

Datalekken

Een feitje om mee te beginnen: 63% van de datalekken komen voort uit een verkeerd gestuurde bericht die bij een verkeerde ontvanger terecht komt. Er is een meldplicht bij datalekken gekomen omdat er steeds meer zijn en de betrokkene vaak niet weten dat hun persoonsgegevens zijn gelekt. Mogelijke gevolgen kunnen zijn dat er identiteitsfraude, reputatieschade, financiële verliezen, discriminatie, enz. plaatsvindt.

Drie belangrijke vragen die je jezelf moet stellen als er sprake is van een datalek zijn:

  1. Is er sprake van een datalek?
  2. Moet het datalek worden gemeld bij de AP?
  3. Moeten betrokkenen worden geïnformeerd over het datalek?

Eerst is het belangrijk om de definitie van een datalek te weten. Er is sprake van een datalek als er inbreuk in verband met persoonsgegevens plaatsvindt. Er zijn drie soorten inbreuken. Zo is er de vertrouwelijkheidsinbreuk, dit zijn ongeoorloofde of onbedoelde verstrekkingen van of toegang tot persoonsgegevens. Een andere is de integriteitsbreuk, dan gaat het om ongeoorloofde of onopzettelijke wijziging van persoonsgegevens. Als laatste volgt nog de beschikbaarheidsinbreuk, dan gaat het om onopzettelijk of ongeoorloofd verlies van toegang tot persoonsgegevens of een onopzettelijke of ongeoorloofde vernietiging van persoonsgegevens.

Het is de bedoeling dat je een datalek bij het AP meldt, tenzij er geen risico’s voor de betrokken zijn. Stel jezelf altijd de vraag: “Kan het datalek nadelige gevolgen hebben voor de betrokken personen?” Zo ja, meldt het dan bij het AP. Daarnaast moet je deze risico’s nog opdelen in drie groepen voordat je echt pas actie kan ondernemen. Als er geen risico hoef je het alleen maar in je interne meldingsregister te melden. Is er een risico, dan moet je het melden bij het AP. Is er sprake van een hoog risico, dan moet je het zowel bij het AP melden als de betrokkenen.

Een datelek moet je uiterlijk 72 uur later vermelden, anders leidt dit tot een boete. Ook hier zitten haken en ogen aan. De 72 uur gaat pas in als je een duidelijke beeld hebt van wat voor een gegevens er gelekt zijn. Stel je voor de IT-afdeling ontdekt een inbraak om 08:30 dan kan er een onderzoek ingesteld worden. Als dit onderzoek pas om 15:15 dan start de 72 uur om dit tijdstip pas.

Als je het moet melden bij een betrokken dan zijn daar wel regels voor. Zo moet erin gemeld worden wat de aard van de inbreuk is, de naam en contactgegevens van de FG of een ander contactpunt, beschrijving van de waarschijnlijke gevolgen van het datalek en een beschrijving van de maatregelen om het datalek aan te pakken en de mogelijke nadelige gevolgen ervan te beperken. Het melden moet via directe communicatie gaan en moet een specifiek bericht zijn. Daarnaast moet het bericht transparant en duidelijk zijn.

Veel geleerd dus bij deze dag vol wetgeving. Dit zijn allemaal dingen waar wij als journalist mee verder kunnen en ook handig is om het te weten. Het was ook wel eens interessant om te horen wat bedrijven allemaal moeten doen als er een datalek is dat maakt het beeld over datalekken toch wat completer.


0 reacties

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *