“Bescherming van persoonsgegevens” mobiliteitsprojecten

Slides:



Advertisements
Verwante presentaties
Werkbijeenkomst Resultaatafspraken Vroegschools
Advertisements

Privacywetgeving - toegang tot het schooldossier
Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem
Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem
Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem
‘PRIVACY IN DE KETEN’ Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem.
Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
Werkvergunning nu: veiligwerkvergunning
Schade-expertisebureaus en de Wet bescherming persoonsgegevens
Art. 60 en welzijnwetgeving Werkgroep activering 7 juli 2012.
Juridische aspecten van eHealth Startconferentie INPREZE 25 juni 2013 mr. dr. Anton Ekker.
Wie beschermt onze privacy?
De juridische kant Hoe zit de uitwisseling van patiëntgegevens juridisch in elkaar; wat mag er wel en wat mag niet? Eric Schreuders Net2Legal Consultants.
Informatiebeveiliging
Geef uw zorgverlener toestemming voor het delen van uw medische gegevens! Informatiefolder gegevensuitwisseling voor zorgconsumenten in Zuid-Holland.
Aan deze presentatie kunnen geen rechten worden ontleend Gegevensbescherming CQI-metingen 16 september 2010 CKZ mr Alexander J.J.T. Singewald © Singewald.
Gastcollege Utrecht 17 oktober 2013 Thomas van Essen Spam & social media.
Testdata Management Ketentest
Samenwerken aan Zorg en Veiligheid Naar een nieuw juridisch kader Drs. P.J. Gunst Projectleider.
passend onderwijs en zorgplicht
Hoofdstuk 3 – Gegevens verzamelen
Vraag 1) juist/onjuist. De plichten van de patiënt:
‘PRIVACY IN DE KETEN’ Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem.
Roadmap Toekomstbeeld 2016 Informatievoorziening Zorg en Ondersteuning
Traditionele voorstelling totstandkoming rechtsnormen Overheidswet- en regelgevers ( Democratisch gelegitimeerd) Overheidsrechtspraak.
september 2009 Aanbevelingen van Compliance professionals
Spam & Social media Thomas van Essen Gastcollege Utrecht 7 oktober 2014.
Information Ethics DE TREND IN TESTEN IS NIET IN TESTEN.
Wetgeving digitale overheid (GDI)
Scoring in het licht van de WBP Serge van Nuijs DMSA,
Persoonsgegevens en de Wbp
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
PRIVACY ENHANCING TECHNOLOGIES Sergej Katus Bussum, 22 april 2008 Strategische informatiebeveiliging.
Open data en Wet hergebruik overheidsinformatie Utrecht 29 oktober 2015 Tjeerd Schiphof /
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
1Het begint met een idee DE BEWERKERSOVEREENKOMST: NUT EN NOODZAAK.
Gij zult openbaren: privacy en de open overheid
Meld plicht Datalekken
Datacenter versus Cloud
Klachtenregeling Actan adviseurs & accountants
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Stichting van de Arbeid
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
In 7 stappen uw organisatie klaar voor AVG
Privacy in wetgeving: wat mag wel en wat mag niet
Presentatie ‘Privacy & CRM’
Algemene Verordening Gegevensbescherming youtube
Mw. mr. S. (Sanne) Kleerebezem
Algemene verordening gegevensbescherming
Hergebruik van overheidsinformatie
Algemene Verordening Gegegevensbescherming (AVG)
Privacy en Leerplicht/RMC
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
Volmacht data goud waard: De grenzen aan het gebruik van persoonsgegevens Bart van der Sloot Tilburg Institute for Law, Technology, and Society (TILT)
GDPR/AVG General Data Protection Regulation /
Privacy en Leerplicht/RMC
Wet op de privacy.
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
GDPR.
het Naoberhuis Algemene Verordening Gegevensbescherming
IBP en AVG, wat moet wij er op school mee?
ELAN Datawarehouse FHA 2 juli 2019
Transcript van de presentatie:

“Bescherming van persoonsgegevens” mobiliteitsprojecten

Bescherming van persoonsgegevens De wet bescherming persoonsgegevens Belang van bescherming van persoonsgegevens Betrokken partijen Wettelijke grondslag gegevensverzameling Aspecten per fase: 1. Projectomschrijving a. melding bij CBP 2. Werving a. plaatsing van camera's b. selectie en aanschrijving van deelnemers c. aanmelding van deelnemers 3. Deelname a. registratie b. beveiliging c. fraudepreventie 4. Beëindiging a. bewaarregels

Wet Bescherming Persoonsgegevens (1) Ten aanzien van persoonsgegevens zoals deze worden verzameld in het kader van de mobiliteitsprojecten, regelt de Wet bescherming persoonsgegevens: dat deze op behoorlijke en zorgvuldige wijze worden verwerkt (art. 6); dat deze alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld (art. 7) en verwerkt (art. 9) en daarvoor dan ook uitsluitend dienen (en dus niet bovenmatig zijn) (art. 11). In dit kader wordt wel gesproken over de proportionaliteit en subsidiariteit van de gegevensverwerking; dat verwerking van de gegevens noodzakelijk is voor de behartiging van een gerechtvaardigd belang, of dat de betrokkene hiervoor ondubbelzinnige toestemming heeft verleend (art. 8); dat aan de betrokkene wordt voorzien in passende waarborgen (art. 9);

Wet Bescherming Persoonsgegevens (2) dat deze niet langer worden bewaard dan noodzakelijk, behalve indien deze later nog voor wetenschappelijk onderzoek bedoeld zijn (art. 10), mits natuurlijk passend binnen de doelen waarvoor de gegevens zijn verzameld (zie b); dat passende technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking (art. 13); dat voordat deze worden verzameld en verwerkt, hiervan melding wordt gedaan bij het College Bescherming Persoonsgegevens (CBP) of een daartoe in de organisatie aangestelde functionaris die geregistreerd staat bij het CBP (art. 27); dat voordat deze worden verzameld en verwerkt, betrokkenen hiervan op de hoogte worden gesteld (art. 31).

Belang van bescherming van persoonsgegevens Nakoming wetgeving In de Wbp wordt een ruime uitleg van het begrip “persoonsgegeven” gegeven. Onder persoonsgegeven wordt elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon begrepen (Wbp. Art. 1, onderdeel a). Gegevens over mobiliteitsgedrag, indien zij gekoppeld worden aan kentekens en/of de NAW-gegevens van (potentiële) deelnemers aan de mobiliteitsprojecten, te weten de kentekenhouder, vallen hieronder. Op deze informatie is derhalve de Wet bescherming persoonsgegevens van toepassing. Vertrouwen Deelname aan het mobiliteitsproject is afhankelijk van het vertrouwen in de wijze waarop de overheid omgaat met bescherming van persoonsgegevens. Een helder verhaal met duidelijke afspraken over de bevoegdheden van diverse actoren is onontbeerlijk.

Partijen (1) De opdrachtgevers van de regionale mobiliteitsprojecten zijn zelf verantwoordelijk voor het naleven van de Wet bescherming persoonsgegevens. Dit is nog eens bevestigd in de uitvoeringsconvenanten (onder de kernverplichtingen). Opdrachtgevers dienen de verwerking van persoonsgegevens dan ook zelf te melden bij het CBP; Het Ministerie van Verkeer en Waterstaat (mede)financiert en ondersteunt de mobiliteitsprojecten. Zij wil opdrachtgevers bijstaan bij het uitvoeren van de mobiliteitsprojecten (regiomanagers). Ook op het gebied van bescherming van persoonsgegevens, bijv. het ter beschikking stellen van de functionaris gegevensbescherming voor advisering; Het College Bescherming Persoonsgegevens (CBP) ziet toe op de toepassing van de Wet bescherming persoonsgegevens en heeft een adviserende rol bij de totstandkoming van wetgeving die geheel of voor een belangrijk deel betrekking heeft op de verwerking van persoonsgegevens.

Partijen (2) De functionaris gegevensbescherming (FG): de Wet bescherming persoonsgegevens biedt organisaties - zowel in de publieke als de private sector - de mogelijkheid om een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze houdt binnen de organisatie toezicht op de verwerking van persoonsgegevens en daarmee op de toepassing en naleving van de Wbp. Meldingen van verwerkingen van persoonsgegevens kunnen dan bij deze functionaris worden gedaan. (In bijlage: brochure “De functionaris gegevensbescherming – een handreiking” van het CBP); De FG van het ministerie van Verkeer en Waterstaat (nu: Wilbert Vrouwenvelder) is beschikbaar voor advies richting projectpartners (“op basis van welwillendheid”); RDW: levert de NAW gegevens van geregistreerde kentekens.

Wettelijke grondslag gegevensverzameling RWS en de RDW hebben een gezamenlijke melding gedaan voor de gegevensverzameling voor alle mobiliteitsprojecten bij het CBP: kentekenregistraties en gegevensuitwisseling voor verkeersonderzoeken. Persoonsgegevens worden verzameld, beheerd en verwerkt voor: - het benaderen van weggebruikers voor het anoniem invullen van vragenlijsten - het werven van deelnemers en het meten en analyseren van reisgedrag.   Kentekens van potentiële deelnemers mogen worden gekoppeld aan persoonsgegevens (WVW art. 43. lid 1 en Wbp artikel 8: noodzaak voor uitoefening van publieke taak). Mobiliteitsprojecten vallen onder dezelfde definitie.

Aspecten per fase 1a. Melding bij CBP In de mobiliteitsprojecten moeten de volgende maatregelen genomen worden om de bescherming van persoonsgegevens te waarborgen: Het opstellen van een goede doelomschrijving: Deze doelomschrijving moet alle gegevensverwerking binnen het mobiliteitsproject kunnen beargumenteren. Verder moet de doelomschrijving voldoende breed zijn, om ook toekomstig wetenschappelijk onderzoek met de Monitoring & Evaluatie (M&E) gegevens mogelijk te maken. Data minimalisatie: Alleen die gegevens mogen worden verzameld, die noodzakelijk zijn het omschreven doel te realiseren. Dit valt dus uiteen in twee delen, namelijk a) de uitvoering van het mobiliteitsproject zelf en b) de Monitoring en Evaluatie door de Minister van Verkeer en Waterstaat. Voor dit tweede deel moeten gegevens kunnen worden ontdaan van hun persoonskenmerken. Aanmelding bij CBP: aanmeldingsprotocol (bijlage) ministerie bij CBP (1. Soort gegevens, 2. Bewaartermijn, 3. Beveiliging?).

Aspecten per fase 2a. Werving: plaatsing van camera’s De wet stelt dat de opdrachtgever vóór de start van de nulmeting en vóór het plaatsen van de camera’s, de gegevensverzameling en –verwerking kenbaar moet maken. Zo worden weggebruikers bekend gemaakt met het feit dat hun mobiliteitsgedrag op bepaalde locaties wordt gemeten. Dit kan bijvoorbeeld door het plaatsen van advertenties en/of de uitgifte van persberichten (In de bijlage is een voorbeeld van een persbericht opgenomen. Rijkswaterstaat heeft hiervoor een contactpersoon, deze kan benaderd worden via de contactpersonen van ABvM, cluster mobiliteitsprojecten) Voorbeelden van belangrijke beleidsregels: Geen verborgen cameratoezicht (zonder melding)

Aspecten per fase 2.b: Selectie en aanschrijving van deelnemers (1) RDW levert NAW-gegevens van geregistreerde de kentekens aan gecontracteerde uitvoerende partij (niet de overheid). Automobilisten kunnen bij het RDW aangeven dat hun kentekengegevens niet verspreid mogen worden. Informatieplicht aan de deelnemers: - “Wie doet wat met welke gegevens?”; - de rol van de opdrachtgever (als verantwoordelijke in de zin van de Wbp) en die van de provider (bewerker in de zin van de Wbp) dient te worden toegelicht; - deelnemers dienen gewezen worden op hun rechten (zoals het inzagerecht) en de wijze waarop zij die kunnen uitoefenen. In elke vorm van directe communicatie moet de mogelijkheid tot opt-out worden geboden. De database voor de registratie van deelnemers moet de optie hebben om te registeren of deelnemers wel/niet (meer) benaderd willen worden.

Aspecten per fase 2.b: Selectie en aanschrijving van deelnemers (2) Het waarborgen van vrijwilligheid van deelnemers – dit moet expliciet worden gecommuniceerd. Indien deelnemers zich gedwongen weten of (kunnen) voelen, komt deze vrijwilligheid in het geding. Dit is bijvoorbeeld het geval indien de deelnemers worden geworven via de werkgevers, waarbij de rol van de werkgever verder gaat dan alleen het leveren van namen van potentiële deelnemers. Werkgevers kunnen natuurlijk wel een mobiliteitsproject aanbevelen en/of een uitnodiging tot deelname aankondigen; Communicatie met (toekomstige) deelnemers moet worden ingericht volgens de normale omgangsvormen ( beleidsregel RWS/RDW: “Deelnemers mogen maximaal tweemaal aangeschreven worden”); Toon is belangrijk: niet “U bent gesignaleerd” maar “Uw kenteken is gesignaleerd”.

Aspecten per fase 2.C: Aanmelding van deelnemers Zorg ervoor dat de te contracteren service provider zich houdt aan de Wet bescherming persoonsgegevens, en dat daar door de opdrachtgever op mag worden getoetst. Het ministerie heeft hiervoor een standaard “bewerkerovereenkomst” (zie bijlage), als basis voor maatwerk; Toestemming van de deelnemer: In de overeenkomst met de individuele deelnemers aan de mobiliteitsprojecten, moet worden geregeld dat deze instemmen met het verzamelen en verwerken van gegeven over hun mobiliteitsgedrag (conform de doelen!).

Aspecten per fase 3a. Deelname: registratie De opdrachtnemer registreert van alle deelnemers de naam, adres, contactgegevens, kenteken en rekeningnummer. Deze gegevens zijn nodig om de dienstverlening aan de deelnemer aan te kunnen bieden. De gegevens worden gebruikt voor: - het geven van informatie - het toesturen van een smartphone - het overschrijven van het saldo naar de bankrekening van deelnemer Daarnaast worden deze gegevens gebruikt bij het opsporen van misbruik van de dienstverlening.

Aspecten per fase 3b. Deelname: beveiliging De beveiliging van gegevens moet reeds in de melding aan het CBP duidelijk omschreven en geregeld zijn: versleuteling van gegevens (die worden verzonden van OBU naar backoffice); beveiliging van databases met wachtwoorden; scheiding van functionele rollen; alleen de deelnemer heeft toegang tot zijn/haar persoonlijke gegevens via een met een wachtwoord beveiligde website.

Aspecten per fase 3c. Deelname: fraudepreventie Opdrachtnemer (private partij) maakt in opdracht van opdrachtgever (overheid) cameraregistraties van alle kentekens op een bepaald traject; RWD levert de NAW-gegevens van alle kentekens aan opdrachtnemer; Opdrachtnemer matcht deze verzamelde NAW-gegevens tegen de NAW-gegevens van de deelnemers; Kenteken die geregistreerd staan op het adres van een deelnemer, maar niet aangemeld zijn worden aangemerkt als mogelijke fraudegevallen; Opdrachtnemer stelt gegevens van mogelijk fraudegevallen beschikbaar aan opdrachtgever. Belangrijk! Vooraf melding maken bij CBP van het registeren van no-hits No-hits volgens planning vernietigen (zo snel mogelijk en met minimale verwerking) Vooral: handhaving toetsen aan proportionaliteit: gericht op fraudeurs, ontzien van no-hits

Aspecten per fase 4a.Beëindiging: bewaarregels Gegevens mogen niet langer bewaard worden dan nodig voor een goede uitvoering van de dienstverlening; Dit betekent dat verplaatsingsgegevens van deelnemers maximaal zolang bewaard worden als de termijn die geldt voor het aantekenen van bezwaar; maximaal twee periodes (van 6 weken); Statistische gegevens, die worden verzameld voor onderzoeksdoelstellingen kunnen langer worden bewaard. Deze gegevens zijn nooit terug te voeren op een persoon (alleen op recordnummer).

Bijlagen Aanmeldingsprotocol CBP Sjabloon bewerkerovereenkomst Brochure “De functionaris gegevensbescherming – een handreiking” van het CBP Brochure “Handleiding voor verwerkers persoonsgegevens” van het CBP