- Datajournalistiek, Evenementen, informatie en colleges

Basiscursus privacywetgeving

(U)AVG

Sinds ik me inlees in datajournalistiek, weet ik dat je te maken kan krijgen met vertrouwelijke informatie. Een voorbeeld daarvan zijn persoonsgegevens. Op 25 mei 2018 werd de geüpdatete Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) ingevoerd. De UAVG geldt voor Nederland, de AVG voor landen binnen de Europese Unie. Sinds de opkomst van internet en social media is het een en ander veranderd qua privacy. Met de invoer van de nieuwe AVG zijn veel regels strenger geworden met grotere consequenties. 

Het leek Cédric handig om een expert te raadplegen over het gebruik van persoonsgegevens. In hoeverre mogen journalisten deze verwerken en wat mag er gepubliceerd worden? We werden uitgenodigd om een basiscursus privacywetgeving bij te wonen aan de Universiteit Leiden, bij het Juridisch Post Academisch Onderwijs (Juridisch PAO). Woensdag 12 juni en 19 juni werd deze cursus ter waarde van 1295 euro gegeven in de Oude Sterrewacht in Leiden. Wij mochten bij de eerste dag aanwezig zijn, gratis. Op voorwaarde dat we de wet van 98 pagina’s van het Ministerie van Justitie en Veiligheid door hadden genomen en wisten wat erin stond. Dat was een flinke klus, aangezien ik totaal geen juridische kennis heb en het document in jargon was opgesteld. Neem het woord ‘gegevensbeschermingseffectbeoordeling’ als voorbeeld. Ik heb de grote lijnen doorgelezen in de hoop dat ik tijdens de cursus alles beter zou snappen.

De Oude Sterrewacht in Leiden

Die woensdag kwamen we verregend aan in de Oude Sterrewacht in Leiden. Wij – Stephanie, Eline, Cédric en ik – waren de enige studenten in de collegezaal. Ik wierp snel een blik op de presentielijst en zag mensen van gemeenten, bedrijven en advocatenkantoren staan. We werden welkom geheten door prof. Dr. Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij. 

De cursus bestond die dag uit vier delen. De eerste drie gedeelten werden gegeven door prof. Dr. Zwenne en bestonden uit de inhoud van de AVG-wet (met voorbeelden). Dat was in het begin best ingewikkeld. Maar uiteindelijk volgde alles elkaar steeds logischer op en begon ik de verbanden met elkaar te zien. Het laatste uur werd er verteld over datalekken door Jeroen Koëter. Al met al heb ik veel meer inzicht gekregen in de AVG-wet. Ik ben me meer bewust van hoe ik als (data)journalist juridisch juist kan en moet handelen.

De cursus over de (U)AVG

Persoonsgegevens
Wanneer is iets een persoonsgegeven? De AP (Autoriteit Persoonsgegevens): “Wanneer je de ene persoon anders kunt behandelen, dan is het een persoonsgegeven.” Een foto is dat bijvoorbeeld al, want het is een verwerkt geautomatiseerd persoonsgegeven. Een ander voorbeeld: een website heeft juridische en wettige middelen om op basis van een IP-adres van een persoon een beeld te vormen wat voor persoon het is. Bijvoorbeeld iemand die allerlei boeken koopt over klussen, voetbal en bier. Dan is er een mogelijkheid dat het gaat om een volwassen man. Dat is ook al een persoonsgegeven. Hetzelfde geldt voor een KVK-nummer van een ZZP’er. Persoonsgegevens slaan alleen op natuurlijke, levende mensen; overledenen behoren hier dus niet toe. 

Heel veel meeschrijven tijdens de cursus

Verwerking van persoonsgegevens
Wanneer is er sprake van verwerking van persoonsgegevens? ‘Denken’ valt ook al onder verwerking, maar bij de AVG moet er sprake zijn van automatische of systematische verwerkingen. Niet alle persoonsgegevens vallen onder verwerking, maar ga er bij voorbaat uit dat het een persoonsgegeven is om op die manier geen risico te nemen. Factoren als de grootte van de groep, achtergrond, tijdstip en de locatie van de opslag van de gegevens spelen mee. Het is de vraag welke informatie je verder nog bezit. 

De verwerkingsgronden voor rechtmatige verwerking:
– toestemming
– overeenkomst tussen verwerker en betrokkene
– wettelijke plicht
– vitaal belang
– taak van algemeen belang
– gerechtvaardigd belang (belangenafweging)

Bestand-handmatige gegevensverwerking valt niet onder geautomatiseerde persoonsgegevens. Het is geen computertaal, maar bijvoorbeeld een goedgeordende dossierkant.

Prof. dr. Zwenne

Afweging: privacyschending of publicatie?
In hoeverre moet je privacy beschermen ten koste van publicatie? Het heeft geen zin om privacy te beschermen als er een kans bestaat dat een betrokkene in gevaar kan komen als het niet wordt gepubliceerd. Welke vragen worden er in de Tweede Kamer eerder gesteld? Het schandaal wat is gepubliceerd over het verbreken van de privacywet of de manier waarop de gegevens zijn verkregen? Zolang het een belangrijke verwerkingsgrond heeft, zit je goed. Hacken is overigens geen wettig middel.

De spelers van de (U)AVG
– de betrokkene: van wie de persoonsgegevens zijn.
– de verwerkingsverantwoordelijke: heeft de verantwoordelijkheid (aanspreekpunt), bepaalt het doel en heeft de zeggenschap over het verwerken van persoonsgegevens.
– de verwerker: verwerkt de persoonsgegevens in opdracht van de verwerkingsverantwoordelijke.
– AP: Autoriteit Persoonsgegevens, toezichthouder. Meldpunt voor datalekken. 
– FG: Functionaris voor de Gegevensbescherming (is een persoon, vaak een speciale functie binnen een bedrijf). 

Uitzonderingen
– Voor journalisten gelden beperkte uitzonderingen, vanwege de vrijheid van meningsuiting. De AVG is voor hen gedeeltelijk van toepassing. 
– In Nederland heerst er een andere opvatting dan in andere landen. In Nederland wordt die diversiteit ook gekoesterd. 
– Alle werkzaamheden die privé worden uitgevoerd, vallen buiten de wet. Dit is inclusief social media posts (maar dan wel als ze afgeschermd zijn voor alleen eigen vrienden). 

Werken met notitieboekjes van Universiteit Leiden

En verder
– Het is ideaal om een technologisch neutrale wetgeving op te stellen; met oog op flexibiliteit, de toekomst en dynamiek. Zo kan de wet breed van toepassing zijn voor langere tijd.
– De AVG is vertaald uit het Engels naar het Nederlands, terwijl sommige onderhandelingen in het Frans waren. Hierdoor zijn er meerdere fouten gemaakt in de Nederlandse versie van de AVG. 
– Territoriale werking. De AVG is van toepassing als er een verwerkingsverantwoordelijke zonder een vestiging in Nederland of Europa, goederen of diensten aanbiedt en het gedrag van betrokkenen in de Europese Unie monitort (of als er dus sprake is van een vestiging in Nederland of Europa). 
– Bij de wetgeving in Europa en de Verenigde Staten is er een groot verschil: in Europa is er sprake van mensenrechten, in de VS is er juist sprake van burgerrechten. In Europa is dus de nationaliteit niet van belang, in de VS wel.
– De burger mag alles, tenzij verboden bij wet. De overheid mag niks, tenzij ten behoeve van de wet. 

Datalekken

Een datalek is een inbreuk in verband met persoonsgegevens en komt redelijk vaak voor. Er zijn verschillende soorten inbreuken: 
– Vertrouwelijksheidsinbeuk: ongeoorloofde of onbedoelde verstrekking/toegang van persoonsgegevens. Dit geldt voor zowel intern als extern.
– Integriteitsinbreuk: ongeoorloofde op onopzettelijke wijziging van persoonsgegevens. Dit komt niet zo vaak voor. 
– Beschikbaarheidsinbreuk: onopzettelijk of ongeoorloofd verlies van toegang of verlies van persoonsgegevens.

Meldingen van datalekken
Sinds de invoer van de nieuwe AVG-wet is er een flinke stijging van datalekken geweest bij de Autoriteit Persoonsgegevens. Slechts bij 1,5% van deze meldingen is er actie ondernomen. Onder een datalek valt bijvoorbeeld al het versturen van persoonsgegevens naar de verkeerde ontvanger (63% van de datalektypes) via bijvoorbeeld de mail. Maar waarschijnlijk ligt het totaal aantal datalekken in werkelijkheid nog veel hoger, doordat de betrokken partijen hierover zwijgen (ze kunnen een hoge boete riskeren, afhankelijk van de ernst van het datalek). Een datalek moet binnen 72 uur na de ontdekking (wees dus voorbereid, het is een korte tijdsperiode) door de verwerkingsverantwoordelijke worden gemeld bij het AP. De drie hoofdvragen voor het melden van een datalek:
1. Is er sprake van een datalek?
2. Moet het datalek worden gemeld bij de AP? (Kan het nadelige gevolgen hebben voor de betrokken personen en wat gebeurt er als het niet wordt gemeld?)
3. Moeten betrokkenen worden geïnformeerd over het datalek? In ernstige gevallen wel. 

Jeroen Koëter over datalekken

Bij wie moet het datalek gemeld worden?
– Geen risico: niet melden bij AP (maar alles moet ook intern worden gedocumenteerd)
– Risico: melden bij AP
– Hoog risico: melden bij AP en aan de betrokkenen (Welke gegevens zijn er gelekt, gegevens van een contactpersoon doorgeven en waarschijnlijke gevolgen benoemen en maatregelen.) 

Wat voor impact heeft het?Hoe meer gegevens er zijn verzameld, hoe hoger het risico.Betrokkenen moeten in de gelegenheid kunnen zijn om maateregelen te nemen. Daarom moet het gemeld worden.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.