Gegevensbeschermingsrecht

RADAR 7_GEGEVENSBESCHERMINGSRECHT

(Intro met abstracte beelden met daaronder een korte begintune.)

(In beeld verschijnt de tekst: 
microlearnings
Privacy)

(De heer Tijmen Wisman staat voor de camera voor een tafel in een verder lege kantoorruimte en begint een monoloog.)

TIJMEN WISMAN: Gegevensbeschermingsrecht. Wat is dat nou precies? Als je het hoort, zou je  denken: Dat is een recht wat belangrijk is om gegevens te beschermen. Maar als je de wetgeving leest waar het gegevensbeschermingsrecht op is gebaseerd, staat er dat het gaat over de bescherming van natuurlijke personen in relatie tot het verwerken van gegevens van hen.

(In beeld verschijnt de tekst: Gegevensbescherming ≠ 
Gegevensbeveiliging.)

Het gaat dus niet per se over de bescherming van de gegevens. Dat is wel een vergissing die je vaak ziet
waardoor sommige mensen denken dat gegevensbescherming hetzelfde is als gegevensbeveiliging. Maar die twee zijn totaal anders. Gegevensbeveiliging is wel een onderdeel van gegevensbeschermingsrecht, maar binnen gegevensbeschermingsrecht spelen ook vereisten als legaliteit en proportionaliteit een belangrijke rol. Gegevensbeschermingsrecht kwam op bij de introductie van computers. De introductie van computers veroorzaakte een informatieasymmetrie tussen de overheid en de burger. Wat er werd geprobeerd is om met gegevensbeschermingsrecht die informatieasymmetrie enigszins te balanceren en recht te trekken. Geef de burger een aantal rechten,
geef de overheid en dataverwerkende partijen een aantal verplichtingen - en installeer een onafhankelijke toezichthouder, zodat je een soort 'level playing field' krijgt. Je kan je afvragen in hoeverre dat is geslaagd. 

(In beeld verschijnt de tekst Transparantie.)

Een van de belangrijke beginselen in het gegevensbeschermingsrecht is transparantie. Je moet als betrokkene, de burger moet weten welke gegevensverwerkingsoperaties over hem worden uitgevoerd. Dat wordt natuurlijk steeds moeilijker gemaakt. En er zijn ook in de AVG uitzonderingen die mogen worden gemaakt op dat vereiste om een burger te informeren. Zo kan het bijvoorbeeld zijn dat dat een disproportionele inspanning vereist van de verwerkingsverantwoordelijke. Het kan ook zo zijn dat het vrijgeven van die informatie het doel van de verwerking in gevaar brengt. Maar dat is wel een klein beetje een gevaarlijke uitzondering, want als het betekent dat je iets geheim houdt ervoor zorgt dat je het doel dichterbij krijgt, dan is het misschien niet per se goed voor die burger om het geheim te houden. Dan moet je heel goed kijken naar de context of dat eigenlijk wel mag. Ik zou zelf aanraden: Doe dat vooral niet, tenzij je bezig bent met een strafvorderlijk onderzoek, bijvoorbeeld. Een van de hoekstenen van het gegevensbeschermingsrecht is doelbinding.

(In beeld verschijnt de tekst: Doelbinding.)

Doelbinding betekent dat gegevens alleen voor een welbepaald expliciet en gelegitimeerd doel mogen worden verwerkt. En dat die gegevens niet verder mogen worden verwerkt op een wijze die onverenigbaar is met het oorspronkelijke doel. Het bestaat dus uit twee subvereisten, zou je kunnen zeggen. Doelspecificatie en het principe van verenigbare verwerking. Het vereiste om het doel te specificeren is erg belangrijk. Als je het doel niet specificeert, kan je vervolgens een hele hoop andere gegevensbeschermingsprincipes, zoals dataminimalisatie en het vereiste dat je gegevens alleen opslaat
zo lang als je ze nodig hebt voor het doel, moeilijk uitvoeren. Want als je het doel heel vaag maakt, is het heel moeilijk om te kijken of het middel in relatie staat tot het doel. Een heel vaag doel maakt dus in wezen een proportionaliteitstoets onmogelijk.

(In beeld verschijnen de woorden:
Dataminimalisatie
Opslagbeperking
Juistheid van gegevens)

Naast dataminimalisatie en de opslagbeperking heb je ook het vereiste van de juistheid van de gegevens. Dit is ook iets wat heel belangrijk is en ook iets wat met de toenemende vervlechting van overheidssystemen steeds belangrijker wordt. Als er eenmaal iets over iemand bekend is, en die informatie gaat z'n eigen leven leiden, kan je het dan nog wel uit je systemen krijgen? Dat is iets waar je absoluut naar moet kijken. Ik zal u een pijnlijk voorbeeld geven uit het leven van de heer Kowsoleea.
U kunt dit allemaal online vinden. Het klinkt namelijk wellicht een beetje onwaarschijnlijk, maar dit is echt gebeurd. De heer Kowsoleea werd op een goede nacht uit zijn bed gehaald door het  arrestatieteam. Hij zou namelijk een drugscrimineel zijn. Aangekomen op het politiebureau kwamen ze erachter dat de heer Kowsoleea geen drugscrimineel was, maar dat een voormalige klasgenoot van hem de naam van de heer Kowsoleea had gebruikt op een moment dat hij werd aangehouden. Er was dus sprake van identiteitsfraude. De politie bood zijn excuses aan aan de heer Kowsoleea. En een half jaar later werd hij weer uit zijn bed gehaald. Weer ging hij naar het politiebureau en weer werden excuses aangeboden. En u raadt het al, enige tijd later werd hij weer uit zijn bed gehaald en weer werden excuses aangeboden. In deze zaak is er betrokkenheid geweest van de minister, van een ombudsman, van allerlei partijen vanuit de overheid, maar ze zijn er niet in geslaagd om zijn naam uit die systemen te krijgen. Ik ben geen ICT'er, dus ik zou niet weten hoe dit mogelijk is, maar op de een of andere manier kon dat niet. Dit laat zien hoe de nauwkeurigheid van dataverwerkingsoperaties en ook het vermogen van de overheid om fouten te corrigeren essentieel is voor de bescherming van burgerlevens en dus iets waar je altijd voor je een systeem gaat bouwen, over na moet denken. Waar eindigt mijn informatie? En kan ik er een einde aan maken als die informatie niet klopt. Een ander aspect van gegevensbeschermings-recht zijn de rechten van de betrokkene. Een betrokkene moet zijn inzagerecht kunnen uitoefenen. Dat betekent dat hij inzage moet krijgen over zijn gegevens. En normaal gesproken moet ook een betrokkene hierover worden geïnformeerd, voordat je begint met de gegevensverwerking. Op die manier creëer je transparantie en creëer je de mogelijkheid om de informatie-asymmetrie tussen de burger en de overheid enigszins te herstellen. Een ander recht van de betrokkene is om niet te worden onderworpen aan automatische besluitvorming. Maar dit recht kent vele uitzonderingen. Zo kan het zijn dat er geen sprake is van automatische besluitvorming, maar dat er wel gegevens worden verwerkt die de burger op een bepaalde manier raken. Alleen als deze verwerkingen een aanmerkelijk effect hebben op het leven van de burger, alleen dan is de AVG, het verbod op automatische besluitvorming, van toepassing. De gegevensbeschermingsprincipes zijn principes waar uitvoering aan moet worden gegeven door de partij die de gegevens verwerkt. Die verantwoordelijkheid ligt bij de overheid. Aangezien dat principes zijn die ook voor een wetgever belangrijk zijn, is het ook belangrijk om die principes zo serieus te nemen op het moment dat ze worden geïnterpreteerd en toegepast. Daarvoor raad ik aan om ook een jurist te betrekken bij de vragen die je hebt.

(Outro met abstracte beelden en korte eindtune.)

(In beeld verschijnt de tekst:
microlearnings
Privacy)

(Het laatste beeld bevat het logo van de Rijksoverheid met daaronder de tekst:
Deze microlearning is tot stand gekomen door een samenwerking tussen de Leer- en Ontwikkelcampus (LOC) van UBR, de directie CIO Rijk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BKZ) en de Rijksacademie voor Digitalisering en Informatisering Overheid (RADIO))