Hoe gemeentelijke DPIA’s bijdragen aan privacy by design

Persoonsgegevens verwerken brengt risico’s mee. Zeker bij gemeenten, waar vanuit verschillende taken en bevoegdheden de noodzaak bestaat om (gevoelige of bijzondere) gegevens van burgers te verwerken. Een efficiënte manier om risico’s te beperken is het inrichten van processen en systemen volgens het principe van privacy by design: het organisatorisch en technisch stimuleren van zorgvuldige omgang met persoonsgegevens.[1] Dit doe je door vooraf bepaalde ontwerpstrategieën te doorlopen, bij het ontwerpen van systemen, applicaties, processen, beleid en producten. Hierbij komen bijvoorbeeld dataminimalisatie en transparantie aan bod.

Eén van de manieren waarop invulling wordt gegeven aan privacy by design is het uitvoeren van Data Protection Impact Assessments (DPIA’s). Dit is een inventarisatie en analyse van de risico’s van een verwerking, die voor verwerkingen met een hoog risico verplicht is. Omdat het uitvoeren van een DPIA in de praktijk geregeld uitdagingen met zich mee brengt, zetten we een aantal aandachtspunten op een rij over de verplichting om DPIA’s uit te voeren, welke hulpmiddelen er voor gemeenten zijn en hoe een DPIA bijdraagt aan het privacy by design principe.

Wat is een DPIA en wanneer deze verplicht?
Een DPIA bestaat op hoofdlijnen uit de beschrijving van een proces waarbinnen persoonsgegevens worden verwerkt, een beoordeling van de noodzaak en proportionaliteit van die verwerking, een inventarisatie van de risico’s voor de gegevens van betrokkenen binnen dit proces en het vastleggen van beheersmaatregelen die de risico’s verkleinen.

Een DPIA moet verplicht worden uitgevoerd wanneer een verwerking, gelet op de aard, omvang, context en doeleinden, waarschijnlijk een (hoog) risico inhoudt voor de rechten en vrijheden natuurlijke personen. [2] De Autoriteit Persoonsgegevens (AP) stelde een lijst met 17 soorten verwerkingen op waarbij een DPIA in ieder geval verplicht is. Bijvoorbeeld bij het inzetten van cameratoezicht, of wanneer bijzondere of gevoelige gegevens worden gedeeld binnen een samenwerkingsverband tussen gemeenten en andere publieke of private partijen.

Maakt jouw gemeente stelselmatig gebruik van cameratoezicht, en is er (nog) geen DPIA uitgevoerd op dit proces? Dan voldoe je niet aan de AVG, en dat kan leiden tot een boete. Zo legde de AP eerder een boete van €50.000 op aan de gemeente Rotterdam, vanwege het niet uitvoeren van een DPIA bij de inzet van mobiele camera-auto’s.

Hoe draagt een DPIA (het best) bij aan privacy by design
Het bepalen van een moment om te starten met een DPIA kan lastig zijn. Wanneer een systeem nog niet is ingericht, zijn vaak nog niet alle vragen over de technische en praktische werking ervan te beantwoorden. Toch is de fase van inrichting van een systeem of proces juist een geschikt moment om invloed op de werking ervan uit te oefenen.

Het is daarom aan te raden om een DPIA zo vroeg mogelijk in het proces van een nieuwe verwerking uit te voeren. Zo wordt een proces vanaf de start volgens de uitgangspunten van de AVG ingericht, en dus ook volgens het principe van privacy by design.

Is een proces of systeem al in gebruik, zonder dat er een DPIA op uitgevoerd is (waar dit wel zou moeten)? Start dan zo spoedig mogelijk met de DPIA.

Hulpmiddelen bij de uitvoering van een DPIA
Het uitvoeren van een DPIA kan een complexe en tijdrovende procedure zijn. Gelukkig zijn er hulpmiddelen beschikbaar, die gemeenten ondersteunen bij het doorlopen van deze procedure.

Wij zetten de belangrijkste hulpmiddelen op een rij:

Raadpleeg de FG
Vanuit de AVG is het verplicht om advies van de Functionaris Gegevensbescherming in te winnen, bij het opstellen van de DPIA. De FG kan op voorhand adviseren over de noodzaak tot het uitvoeren van een DPIA, voorzien in tussentijds advies over de uitvoering en meedenken over waarborgen om privacyrisico’s te beperken.

Pre-scan DPIA
Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) stelde in opdracht van het Ministerie van Binnenlandse Zaken een Pre-scan DPIA op. Deze scan helpt bij het afwegen of DPIA noodzakelijk is.

(Rapportage)model DPIA Rijksdienst
In september 2023 lanceerde het CIP het Model DPIA Rijksdienst 3.0, dat samen met Rapportagemodel DPIA Rijksdienst kan worden gebruikt voor de uitvoering van een volledige DPIA. De modellen begeleiden bij het uitvoeren van een DPIA, en helpen om een DPIA op een efficiënte, correcte én volledige wijze tot stand te laten komen.

Collectieve DPIA’s
De Informatiebeveiligingsdienst (IBD) en de Vereniging van Nederlandse gemeenten (VNG) voeren voor gemeenten collectieve DPIA’s uit. Dat zijn DPIA’s die gelden voor een groep van gemeenten of alle gemeenten.[3] Hoewel de collectieve DPIA’s vaak nog toegespitst moeten worden op de specifieke situatie per gemeente, is met de basis die er ligt het grootste werk uit handen genomen.

Vragen?
Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Met een team van specialisten staan we klaar om gemeentes te helpen met deskundig advies en ondersteuning op het gebied van privacy en informatiebeveiliging, zo ook bij het uitvoeren van of ondersteunen bij DPIA’s.

Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via het telefoonnummer 030 – 889 65 75.

[1] Art. 25 AVG

[2] Art. 35 lid 1 AVG

[3] Zo zijn er DPIA’s gepubliceerd voor verwerkingen binnen de Omgevingswet/Digitaal Stelsel Omgevingswet, de Wet verplichte ggz  en voor Whatsapp for business.

Boetes van de Autoriteit Persoonsgegevens met opzet of nalatigheid als voorwaarde?

Het Hof van Justitie van de Europese Unie (hierna: het Hof) heeft 5 december jl. in een persverklaring gesteld dat een boete alleen opgelegd kan worden wanneer de verwerkingsverantwoordelijke op de hoogte is van de onrechtmatige aard van zijn of haar handelen waarbij het zowel kan gaan om opzettelijk handelen als nalaten.[1] Echter, voor overheidsorganisaties en natuurlijke personen die niet namens een bedrijf handelen weegt de Autoriteit Persoonsgegevens (hierna: AP) deze factoren op dit moment enkel mee bij het bepalen van een verhoging of verlaging van de basisboete (dus achteraf),[2] en niet vooraf om te bepalen of de boete überhaupt opgelegd mag worden.[3]

In sommige gevallen komt de toetsing op de opzettelijke of nalatige aard van de inbreuk zelfs helemaal niet aan bod. Bijvoorbeeld in het geval van de boete van 2 november jl., waarbij de AP een boete van €30.000 oplegde aan de gemeente Voorschoten vanwege het te lang bewaren van ‘stortgegevens’ van huishoudens en het gebrekkig informeren van de betrokkenen over deze verwerking van persoonsgegevens.[4] De gemeente Voorschoten verwijst in haar zienswijze naar een eerder besluit, waarbij de AP in een volgens de gemeente vergelijkbare zaak geen boete oplegt aan de gemeente Arnhem.[5] De AP oordeelt over de vergelijking met het eerdere besluit het volgende:

“Onder het oude regime kon voor de door het Arnhemse college overtreden bepalingen geen boete worden opgelegd zonder dat eerst een bindende aanwijzing was gegeven. Dat uitgangspunt leed slechts uitzondering indien de overtreding opzettelijk was gepleegd of het gevolg was van ernstig verwijtbare nalatigheid. Aan het Arnhemse college was niet eerder een bindende aanwijzing gegeven en evenmin was sprake van opzet of ernstige nalatigheid. Alleen al om die reden kon in die zaak geen boete worden opgelegd. Door het van toepassing worden van de AVG op 25 mei 2018 kunnen de in dit besluit geconstateerde overtredingen wél direct worden beboet.”[6]

Hiermee impliceert de AP dus géén toets vooraf van de opzettelijke of ernstig nalatige aard van de inbreuk voor het opleggen van een boete.[7] Vervolgens gaat de AP ook bij de afweging of de basisboete omhoog of omlaag moet worden bijgesteld, voorbij aan de toetsing van de opzettelijke of nalatige aard van de inbreuk.[8] Hierdoor lijkt het huidige boetebeleid van de AP tegenstrijdig te zijn met de nieuwe uitleg van het Hof over de toets vóóraf. Zullen boetes voortaan wél onder voorwaarde van opzet of nalatigheid plaatsvinden?

[1] Judgments of the Court in Cases C-683/21 | Nacionalinis visuomenės sveikatos centras and C-807/21 | Deutsche Wohnen.

[2] Artikel 7 en 8 (b) Boetebeleidsregels Autoriteit Persoonsgegevens 2023.

[3] Zoals artikel 83 lid 2(b) AVG wel voorschrijft.

[4] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.5.

[5] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.1.

[6] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.3. Gemeente Voorschoten stelt: “Ook daar ging het om het te lang bewaren van persoonsgegevens in het kader van de uitvoering van het afvalbeleid. In die zaak heeft de AP een last onder dwangsom opgelegd om de overtreding te beëindigen.”

[7] Met de passage “Alleen al om die reden” suggereert de AP dat er nog meer redenen zouden zijn, maar deze worden inhoudelijk niet aangedragen. Bovendien concludeert de AP vervolgens dat zij geen aanleiding ziet om nu van een boete af te zien, in de enkele omstandigheid dat in het verleden geen bestuurlijke boete kon worden opgelegd vanwege het toen geldende boeteregime.

[8] Boetebesluit Autoriteit Persoonsgegevens 2 november 2023, §4.5.

Even voorstellen: Maxim Scholma

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Maxim Scholma. Hij is deze maand als Werkstudent gestart bij Lumen Group. We stelden hem wat vragen.

Kun je ons iets vertellen over je achtergrond en interesses?

Ik ben 23 jaar oud, kom uit Alphen aan den Rijn en studeer Bedrijfskunde in Rotterdam. Verder wisten al mijn collega’s al voordat ik mijn contract getekend had, dat ik groot fan ben van padel. Ik heb het eigenlijk nergens anders over. Als ik niet op de padelbaan te vinden ben, dan speel ik graag gitaar. Ik speel zowel akoestisch als elektrisch met de focus op rock- en popmuziek. Mijn enthousiasme voor muziek deel ik graag met mijn twee broers. Samen luisteren we regelmatig met z’n drieën naar elkaars favorieten.

Wat is je huidige functie bij Lumen Group en wat houdt deze precies in?

Vanuit mijn studie Bedrijfskunde ben ik op zoek gegaan naar een baan en zodoende ben ik als werkstudent bij Lumen Group begonnen. Als werkstudent heb ik niet één specifieke taak. Ik help overal een beetje mee. Ik werk fulltime, dus ik ondersteun het team waar nodig is. Onder aan de streep levert dat voor mij een gevarieerde baan op waar ik veel van leer.

Waarin hoop jij je te ontwikkelen in je periode bij Lumen?

Het belangrijkste voor mij is momenteel om praktijkervaring op te doen. Mijn studie is voornamelijk veel theorie. De periode bij Lumen Group wil ik gebruiken om de koppeling tussen de theorie en de praktijk te maken. Verder zijn er geen specifieke vaardigheden die ik kan benoemen. Wél wil ik me in algemene zin ontwikkelen en zo veel mogelijk van alle bedrijfsonderdelen zien.

Als je een superkracht zou kunnen hebben op de werkvloer, welke zou je dan kiezen?

Volgens mij red ik me aardig zonder superkracht. Al lijkt vliegen me niet verkeerd, scheelt een hoop reistijd en dan kan ik naar de 9e verdieping zonder op de lift te moeten wachten.

Wat is je favoriete boek/film/Tv-serie en waarom?

Ik kan niet echt een expliciete nummer 1 aanwijzen. Als ik iets kijk, dan doe ik dat vaak met mijn jongere broertje. Toen we beiden nog op de basisschool zaten, hadden we thuis een dvd van Harry Potter die in het Nederlands nagesynchroniseerd was. Er is denk ik niks anders wat we zo vaak gekeken hebben. Destijds hadden we ook geen alternatief, want de ondertiteling ging te snel voor ons. Inmiddels kunnen we de ondertiteling wel volgen, maar toch weigeren we om de film in het Engels te kijken. Dus we hebben het niet over de beste film ooit, maar wel een film waar ik altijd met plezier naar kijk. Op mijn 23e al jeugdsentiment, het kantoorleven is denk ik echt begonnen…

4 tips voor het leerlingdossier vanuit privacy perspectief

Welke persoonsgegevens zet je wel en juist niet in het leerlingdossier en hoe ga je zorgvuldig om met deze informatie, in lijn met de Algemene verordening Gegevensbescherming (AVG)?

Om de leerlingen onderwijs en begeleiding te geven, komen de meeste gegevens in het leerlingdossier in een LAS/LVS-systeem terecht, of in sommige gevallen nog in een papieren dossier. Het leerlingdossier is voor de onderwijsinstellingen enerzijds noodzakelijk om informatie over de onderwijskundige voortgang en administratieve zaken van een leerling in bij te houden en om aan de informatieplicht[1] richting ouders te voldoen. Aan de andere kant ligt overmatige vastlegging van gegevens op de loer, met mogelijk nadelige gevolgen voor de betrokken leerlingen, omdat gevoelige informatie over een leerling een stigmatiserende werking kan hebben. Dat risico speelt met name wanneer gegevens lekken en door onbevoegden worden ingezien. Daarnaast kan er ook een verkeerd beeld van een leerling worden geschetst als de gegevens niet accuraat, actueel of objectief zijn.[2] 

Daarom is het van belang dat scholen goed in beeld hebben welke informatie wel bestemd is voor het leerlingdossier, maar ook waarvoor het leerlingdossier juist níet is bedoeld en hoe hier zorgvuldig mee om te gaan. Lumen Group geeft hiervoor een aantal tips: 

Categorieën persoonsgegevens

Houd rekening met de door de Autoriteit Persoonsgegevens (AP) opgesomde categorieën van persoonsgegevens die het leerlingdossier kan bevatten. Let op: de AP wijst daarnaast op de mogelijke verplichting tot het uitvoeren van een DPIA, wanneer in het leerlingdossier gegevens met een hoog privacyrisico worden verwerkt.[3]

Relevantie

Weeg altijd af of informatie relevant is in het kader van de ontwikkeling van de leerling, dan wel administratief noodzakelijk of wettelijk verplicht is om vast te leggen.[4] Als de informatie geen van deze doelen dient, hoort het niet thuis in het leerlingdossier.

Objectiviteit

Het leerlingdossier is geen plek voor meningen over de leerling. Voorkom daarom subjectiviteit en houd het bij de feiten, bijvoorbeeld bij vastlegging van een incident op het schoolplein.[5]

Actualiteit

Sta periodiek stil bij de actualiteit van de gegevens in het leerlingdossier. Informatie die in het verleden is opgenomen kan verouderd zijn, waardoor het zijn actuele waarde verliest of zelfs feitelijk niet meer correct is. Houd tot slot de wettelijke bewaartermijn in het vizier; het uitgangspunt is dat je een dossier 2 jaar mag bewaren nadat de leerling van school is gegaan.[6]

Meer weten over de AVG aspecten van het leerlingdossier? Neem dan vrijblijvend contact op met een van onze collega’s! Dit kan per e-mail op fg@lumengroup.nl of telefonisch op 030 – 889 65 75.

 

[1] Op basis van artikel 2.97 Wet voortgezet onderwijs 2020.
[2] Naast de informatieplicht van de school, hebben ouders en leerlingen vanaf 16 jaar een aantal rechten vanuit hun rol als betrokkenen. Zo hebben zij onder andere recht op inzage (artikel 15 AVG) en recht op rectificatie en aanvulling (artikel 16 AVG)  van het leerlingdossier.
[3] SIVON voerde al verschillende generieke DPIA’s uit op de meest voorkomende LAS/LVS systemen. Deze moeten scholen wel nog naar hun eigen specifieke situatie beschrijven en aanvullen. De generieke DPIA’s van SIVON zijn hier te vinden.
[4] Bijvoorbeeld op basis van artikel 8 Wet register onderwijsdeelnemers, artikel 8.10 Wet voortgezet onderwijs 2020 en artikel 40b Wet op het primair onderwijs.
[5] Wanneer informatie over gevoelige situaties of gebeurtenissen worden vastgelegd, is het raadzaam om ouders/verzorgers en/of de leerling hiervan op de hoogte te stellen en eventueel in gesprek te gaan over de inhoud.
[6] Zoals bepaald door de AP.

 

Het verwerkingsregister als kloppend hart

Een actueel, volledig en kloppend verwerkingsregister vormt het ‘kloppend’ hart van de privacy compliance van een gemeente.[1] De meeste verwerkingsregisters zijn met de komst van de AVG in 2018 opgezet en staan sindsdien minder onder de aandacht. Daarom hierbij een aantal tips op een rijtje om optimaal van het verwerkingsregister gebruik te kunnen (blijven) maken:

  1. Creëer betrokkenheid

Om de (bestaande) processen te kunnen (blijven) beheren en de juiste informatie te kunnen ontvangen, is er betrokkenheid nodig om dit aan te leveren. Breng in kaart welke (bestaande) projecten, initiatieven en implementaties van wet- en regelgeving een ‘privacycomponent’ bevatten, als deze nog niet in beeld zijn. Processen zijn dynamisch en staan niet op zichzelf. Ga daarom periodiek in gesprek met jouw collega’s op de andere afdelingen om te bespreken wat zij doen met persoonsgegevens. En indien mogelijk: geef proceseigenaren de lead om relevante wijzigingen in het verwerkingsregister door te voeren.

  1. Betrek inkoop erbij

Als dat nog niet gebeurt, pas dan bij het inkopen van diensten ‘aan de voorkant’ privacy by design toe door privacy tot een vast onderdeel van aanbestedings- en inkooptrajecten te maken. Hierdoor kan voorafgaand aan een mogelijk nieuwe persoonsgegevensverwerking nagedacht worden over mogelijke risico’s en de te nemen maatregelen.

  1. Periodieke ‘controls’

Plan een periodiek controle moment in, om de informatie in het verwerkingsregister te controleren. Zet hiervoor een procedure op aan de hand van bestaande werkwijzen, bijvoorbeeld door het een onderdeel te laten zijn van een (interne) audit of plan-do-check-act cyclus (PDCA). Deze PDCA-cyclus zorgt dat de nog benodigde en al gezette inspanningen worden belegd en dat actualiteiten meegenomen worden in bestaande processen. Loop hierbij (bestaande) verwerkersovereenkomsten na en neem eventuele beoordelingen van leveranciers mee. Doe ook een beroep op de afdeling ICT en/of chief information security officer (CISO) door samen te kijken waar er mogelijk nog kan worden geoptimaliseerd qua beveiliging en/of processen.

Op deze manier is het verwerkingsregister niet alleen meer een maatregel om compliant te zijn, maar zal het bijdragen om bepaalde processen juist te optimaliseren en de zwakke plekken in de beveiliging te identificeren.

 

Vragen?

Heb je nog vragen naar aanleiding van deze blog of wil je meer weten? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Onze professionals ondersteunen organisaties met het opstellen, inrichten en actualiseren of reviewen van verwerkingsregisters. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

[1] Gemeenten hebben op grond van artikel 30 AVG de verplichting een verwerkingsregister bij te houden. Onderdelen die daarin onder meer worden opgenomen zijn: wat de specifieke taak is voor een bepaalde verwerking, het doel, maar ook bijvoorbeeld de grondslagen en de naam van de functionaris gegevensbescherming (FG).

 

Even voorstellen: Martijn van der Waal

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Martijn van der Waal. Hij is deze maand als Senior Privacy Consultant gestart bij Lumen Group. We stelden hem wat vragen.

Kun je ons iets vertellen over je achtergrond en interesses?

Ik ben 58 jaar, getrouwd en vader van drie uitwonende zonen van 23, 25 en 27 jaar. Ik woon in Apeldoorn, regelmatig kun je me vinden in de mooie bossen met mijn twee honden. Verder hou ik van lekker eten, gezellige borrels en vooral vrienden ontmoeten. Daarnaast ben ik veel met muziek bezig.

 

Wat is je huidige functie bij Lumen Group en wat houdt deze precies in?

In mijn functie als senior privacy consultant hou ik me bezig met het adviseren van klanten op alle voorkomende gebieden en onderwerpen rondom de Algemene Verordening Gegevensbescherming. Daarnaast begeleid en support ik mijn jongere collega’s, ben ik ook betrokken bij nieuwe klant/product proposities en volg ik AVG ontwikkelingen en jurisprudentie nauwlettend.

 

Wat motiveert jou om te werken in het privacy vakgebied?

Ik vind het werkgebied van privacy enorm uitdagend, zeker omdat de AVG in de praktijk regelmatig nog mogelijkheden, ruimte en interpretaties biedt als het gaat om het nakomen van de wettelijke verplichtingen. Uitspraken van ‘’Het mag niet van de AVG’’, daar geloof ik niet in. Samen met de klant wil ik altijd op zoek gaan naar wat wel kan, zonder de klant daarbij direct te verstikken met allerlei beperkende regels. Een pragmatische en hands-on aanpak, die aansluit bij de mogelijkheden en behoeften van de klant.  Eigenlijk is mijn missie om de AVG minder saai te maken!

 

Welke doelen hoop je nog te bereiken in je loopbaan?

Na jarenlang bij grote financiële instellingen te hebben gewerkt biedt de overstap naar Lumen Group mij een enorme kans en uitdaging. Ik wil de komende jaren graag mijn jarenlange opgebouwde kennis en ervaring op het gebied van privacy, maar ook management en compliance overdragen aan mijn collega’s en klanten. Met de klant in gesprek gaan en samen kijken hoe we op een juiste, maar vooral passende manier invulling kunnen geven aan AVG compliance.

 

Wat is je favoriete boek/film/Tv-serie en waarom?

Eigenlijk heb ik geen favorieten, nou ja, eentje dan. Ik luister ieder jaar met veel plezier naar de Top 2000. Ik hou van alle soorten genres van de jaren 70 tot en met het heden. Bij het opstaan begint het al en wanneer het mogelijk is, luister ik ook graag muziek tijdens het werken. In mijn vrije tijd bezoek ik concerten of  ga ik naar het Top 2000 café. Ik deel mijn muziek graag met anderen.

Even voorstellen: Deniz Deveci

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Deniz Deveci. Hij is deze maand als Senior Privacy Consultant gestart bij Lumen Group. We stelden hem wat vragen.

Kun je ons iets vertellen over je achtergrond en interesses?

Ik ben 31 jaar oud, geboren en getogen in Krommenie. Binnenkort verhuis ik naar het mooie Brabant waar ik samen met mijn vrouw ga wonen. In een ver verleden heb ik een studie Rechtsgeleerdheid aan de Vrije Universiteit te Amsterdam gevolgd, waarna ik aan dezelfde universiteit een master Strafrecht en een master Internet, Intellectueel Eigendom en ICT heb afgerond. Ook heb ik meegedaan aan een uitwisselingsprogramma waar ik voor 6 maanden in Istanbul heb mogen wonen & studeren.

Naast mijn professionele achtergrond heb ik een diepe liefde voor het ontdekken van de wereld. Verre reizen zijn mijn manier om nieuwe culturen te leren kennen, en Zuidoost-Azië en Zuid-Amerika staan bovenaan mijn lijst van favoriete bestemmingen. Het verkennen van exotische plaatsen, leren van lokale tradities en het delen van ervaringen met mensen van over de hele wereld zijn voor mij onbetaalbaar.

Daarnaast ben ik een gepassioneerde fijnproever die geniet van culinaire ontdekkingen. De diversiteit van smaken en de kunst van het koken fascineren me, en ik ben altijd op zoek naar nieuwe culinaire avonturen, zowel tijdens mijn reizen als in mijn eigen keuken. Een belangrijke side note: mijn vakantiebestemmingen kies ik uit door op YouTube te zoeken naar wat er allemaal te eten valt in een bepaald land.

Andere passies die mij drijven zijn sim-racen, waarbij ik de uitdaging van virtueel autoracen aanga, doe ik aan kickboksen en alles wat maar met technologie & gadgets te maken heeft.

Wat is je huidige functie bij Lumen Group en wat houdt deze precies in?

Onlangs ben ik gestart als Senior Privacy Consultant (met focus op Management) bij Lumen Group. In mijn rol als Senior Privacy Consultant zal mijn dagelijkse missie zijn om onze klanten binnen Lumen Group te ondersteunen bij het waarborgen van gegevensbescherming, naleving van privacywetten en het creëren van een omgeving waarin privacy en veiligheid voorop staan. Dit omvat het ontwikkelen en managen van beleid en strategieën, het beoordelen van privacy risico’s, het waarborgen van compliance met wetgeving en het trainen van ons team om bewustzijn en bekwaamheid op het gebied van gegevensbescherming te vergroten.

Wat motiveert jou om te werken in het privacy vakgebied?

Wat me het meest motiveert in het privacy vakgebied, is de mogelijkheid om een positieve impact te hebben op het leven van mensen. Door te werken aan de bescherming van persoonsgegevens en het naleven van privacywetten, draag ik bij aan het waarborgen van de fundamentele rechten van individuen. Dit geeft me een diep gevoel van vervulling en betekenis in mijn werk.

Bovendien is privacy een dynamisch veld met voortdurend veranderende regelgeving en technologische ontwikkelingen. Deze complexiteit daagt me uit om voortdurend te leren en me aan te passen, wat mijn werk spannend en boeiend maakt. Het biedt ook kansen om innovatieve oplossingen te vinden en samen te werken met getalenteerde collega’s en experts in het vakgebied.

Welke doelen hoop je te bereiken in je loopbaan op de lange termijn?

Op de lange termijn wil ik me graag focussen op het opstarten en meebouwen aan startups, scale-ups en vooral focussen op het ontwikkelen van nieuwe technologieën. Wat mij hierin vooral aanspreekt is dat je van zero begint, het onbekende verkent en verloop van tijd iets bijzonders weet te realiseren.

Als je een superkracht zou kunnen hebben op de werkvloer, welke zou je dan kiezen?

Teleportatie. Met een focus op koffie. Het zou toch geweldig zijn om kopjes koffie van de beste koffiehuizen ter wereld direct naar jezelf of je collega’s op de werkplek te teleporteren? Dit zou ervoor zorgen dat je altijd toegang hebt tot de meest heerlijke koffie, ongeacht waar je je bevindt, en het zou koffiepauzes op het werk een heel nieuwe dimensie geven.

Wat is je favoriete boek/film/Tv-serie en waarom?

Ik heb heel lang stilgestaan bij deze vraag, misschien wel langer dan bij de andere vragen. Een favoriet boek, film of Tv-serie heb ik niet, maar ik heb wel een favoriet filmgenre; Sci-Fi!

Sciencefiction-films hebben altijd een speciale plaats in mijn hart ingenomen vanwege hun vermogen om de verbeelding te prikkelen. Ze nemen ons mee naar werelden die buiten onze eigen realiteit liggen, waar buitenaardse beschavingen, geavanceerde technologieën en onbekende horizonnen de norm zijn. De creatieve verbeelding achter deze verhalen is ronduit inspirerend en nodigt ons uit om zelf ook creatief te denken.

Het gaat zelfs verder dan alleen onze verbeelding prikkelen. Het biedt ook een platform voor diepgaande reflectie over complexe ethische en maatschappelijke vraagstukken. Deze verhalen stellen ons in staat om na te denken over de impact van technologie, wetenschap en menselijke keuzes op onze samenleving en op onszelf.

 

Gezichtsherkenning: een inbreuk op privacy of een nuttig hulpmiddel?

Gezichtsherkenning[1] is tegenwoordig  geen onbekend fenomeen meer op vliegvelden.[2] Denk bijvoorbeeld aan de geautomatiseerde controle op Schiphol voor elektronische reisdocumenten zoals paspoorten en identiteitskaarten middels de zogenaamde eGate.[3] Op deze manier kunnen reizigers de douane passeren zonder tussenkomst van een grenswacht van de Marechaussee. Dit kan positief uitpakken in het kader van kortere wachttijden. Ook kan gezichtsherkenning in het algemeen leiden tot een betere beveiliging op vliegvelden (en elders). Niet enkel vliegvelden maken overigens gebruik van deze technologie, maar ook luchtvaartmaatschappijen. Ryanair kwam bijvoorbeeld onlangs nog in het nieuws, omdat zij gezichtsherkenning inzette als verificatiemiddel van contactgegevens. Uit andere hoeken van de maatschappij is er ook belangstelling voor deze technologie. Zo wordt gezichtsherkenning benut voor een variëteit aan toepassingen, zoals voor rechtshandhaving middels cameratoezicht, het opsporen van vermiste personen, het identificeren van (bij de politie bekende) winkeldieven, het verbeteren van de winkelervaring, online bankieren, de gezondheidszorg, en zelfs voor marketing en reclame doeleinden.[4] Vanuit een privacy perspectief blijft de vraag of gezichtsherkenning in haar gebruik als hulpmiddel in genoemde gevallen niet ten koste gaat van onze privacy. In deze blog zullen wij hierom stilstaan bij een aantal vereisten die bij de inzet van gezichtsherkenning gelden.

Biometrische persoonsgegevens

Gezichtsafbeeldingen zijn biometrische persoonsgegevens. Biometrische persoonsgegevens zijn volgens de Algemene Verordening Gegevensbescherming (AVG) persoonsgegevens die het resultaat zijn van een specifiek technische verwerking van fysieke kenmerken, fysiologische kenmerken of gedragskenmerken van een persoon. Denk hierbij bijvoorbeeld aan een vingerafdruk, een iris- of netvliesscan, maar ook stemherkenning. Als biometrisch persoonsgegevens worden gebruikt om iemand uniek te identificeren, gaat het om bijzondere persoonsgegevens. Camera’s met gezichtsherkenning verwerken dus bijzondere persoonsgegevens.

In beginsel is het  verboden om bijzondere persoonsgegevens te verwerken, tenzij er sprake is van een wettelijke uitzondering.[5] Dit betekent dat gezichtsherkenning enkel mag worden ingezet in situaties waarbij er sprake is van een wettelijke uitzondering. De twee meest voor de hand liggende uitzonderingen zijn de volgende in het geval van toepassing van gezichtsherkenning om iemand uniek te identificeren: 

  1. Gezichtsherkenning is noodzakelijk voor authenticatie of beveiliging.[6] Deze noodzakelijkheid is er echter niet snel van toepassing. Het moet namelijk gaan om een zwaarwegend algemeen belang. Bijvoorbeeld in situaties waarbij het om staatsgeheimen gaat of bijvoorbeeld als het de beveiliging van een kerncentrale betreft.
  2. Er is uitdrukkelijke toestemming gegeven door de mensen die worden gefilmd. Deze toestemming moet een actieve handeling van de betrokkene zijn, waaruit blijkt dat deze akkoord gaat met de verwerking van haar/zijn persoonsgegevens.[7] Deze wilsuiting dient voldoende specifiek te zijn. Een voorwaarde hierbij is dat duidelijk moet zijn waar toestemming voor wordt gevraagd. Dit betekent dat de betrokkene vooraf is geïnformeerd over de doeleinden van het gebruik van zijn of haar persoonsgegevens. Een opt-out is bijvoorbeeld een voorbeeld waarin géén toestemming is gegeven. Toestemming kan daarnaast te allen tijde weer worden ingetrokken. Bovendien moet je kunnen aantonen dat er toestemming is gegeven, dus je zult de verlening van toestemming ook vast moeten leggen (schriftelijk of digitaal).

Los hiervan moet er afgewogen worden of bijvoorbeeld een gebouw of een informatiesysteem zó goed beveiligd moet worden dat het gebruik van biometrie de enige optie is. Hierbij spelen de volgende vragen een rol: Is het gebruik van biometrie de minst ingrijpende manier? Staat het gebruik van biometrie in verhouding tot de inbreuk op de privacy? Is er sprake van een zwaarwegend algemeen belang zoals bijvoorbeeld beveiliging?

Is het antwoord op een of meerdere van deze vragen ‘nee’, dan is het niet noodzakelijk om biometrie te gebruiken voor authenticatie- of beveiligingsdoeleinden. En mag gezichtsherkenning dus niet worden ingezet. Als een dergelijke maatregel waarbij gezichtsherkenning wordt gebruikt wél noodzakelijk is, ben je verplicht een Data Protection Impact Assessment (DPIA) uit te voeren op deze verwerking. Ook mag je de gezichtsafbeeldingen niet zelf opslaan, maar moet dat in de vorm van een versleutelde code. De achterliggende gedachte is herleiding van de gezichtsafbeelding voorkomen naar de persoon in kwestie. Tot slot ben je wettelijk verplicht om een goede beveiliging te hebben op het systeem dat deze code opslaat.

Vragen?

Heb je nog vragen naar aanleiding van deze blog of wil je meer weten? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

[1] Gezichtsherkenning is volgens de Algemeen Verordening Gegevensbescherming (AVG) een ‘automatische verwerking van digitale afbeeldingen, die de gezichten van personen bevatten met als doel identificatie, authenticatie/verificatie of categorisering van deze personen’. WP-opinie 02/2012 “On facial recognition in online and mobile devices.”

[2] https://www.theverge.com/2023/7/1/23781040/the-tsa-will-use-facial-recognition-in-over-400-airports

[3] https://www.schiphol.nl/nl/pagina/paspoort-en-reisdocumenten/

[4] https://www.kaspersky.nl/resource-center/definitions/what-is-facial-recognition

[5] Art. 9 AVG

[6] Art. 29 UAVG

[7] Art. 7 AVG

 

Even voorstellen: Ernst Braakman

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Ernst Braakman. Wij stelden hem wat vragen, zodat je hem meteen een beetje leert kennen.

Kun je ons iets vertellen over je achtergrond en interesses?

Mijn naam is Ernst Braakman, 27 lentes jong, geboren in Rotterdam en vlak daarnaast getogen in Nieuwerkerk aan den IJssel. Acht jaar geleden ben ik naar Utrecht verhuisd om de studie Rechtsgeleerdheid te volgen. Deze studie sloot ik af met de master Privaatrecht met als specialisatie Intellectueel Eigendom, waar ook Privacyrecht een onderdeel van was. In mijn vrije tijd houd ik ervan om de krant te lezen en sport te kijken (voornamelijk voetbal maar als dat er niet is kun je elke willekeurige sport voor me aanzetten). Voor mijn laatste verjaardag heb ik van mijn vrienden een platenspeler gekregen dus ook daar ben ik geregeld mee in de weer. Qua sporten vind ik het leuk om te padellen en ben ik daarnaast al jaren met onwijs veel plezier onderdeel van een bowlingteam dat nét iets te lang in een studentenbowlingcompetitie is blijven hangen. Gelukkig niet zonder succes: het afgelopen seizoen stonden we voor het eerst in de finale waarin we vervolgens kansloos ten onder gingen. Er is dus nog ruimte om te groeien en voorlopig nog geen reden om af te haken!

Wat is je huidige functie bij Lumen Group en wat houdt deze precies in?

Onlangs ben ik gestart als Privacy Consultant, een breed begrip en daarom een garantie voor een grote diversiteit in werkzaamheden. Een groot deel van mijn werk bestaat uit het inkleden van de rol van externe Functionaris Gegevensbescherming (FG). De FG is een onafhankelijke privacyfunctionaris ten dienste van de klanten van Lumen Group. De klant is verantwoordelijk voor het opstellen en uitvoeren van het privacybeleid. Vervolgens zie ik als FG toe op de naleving hiervan en breng advies uit over de risico’s van bestaande verwerkingen en voorgenomen nieuwe producten en diensten.

Wat motiveert jou om te werken in het privacy vakgebied?

Privacy heeft op alles en iedereen betrekking, ondanks dat niet iedereen dat dagelijks zo zal ervaren. Werken in het privacy vakgebied betekent bezig zijn met de actualiteit en is ontzettend dynamisch, omdat technologische ontwikkelingen nooit stilstaan. De wijze waarop er met persoonsgegevens om wordt gegaan verandert daardoor continu. De Algemene Verordening Gegevensbescherming (AVG) is inmiddels 5 jaar van kracht, toch zijn veel ondernemingen qua beleid en processen nog onvoldoende ingericht om op een correcte en veilige manier om te gaan met persoonsgegevens. Dit motiveert mij om hierover mee te denken met klanten en samen op zoek te gaan naar praktische en effectieve oplossingen. Het geeft mij voldoening wanneer ik het gevoel heb dat ik iemand daadwerkelijk vooruit heb kunnen helpen, in plaats van enkel te voorzien in advies dat slechts in theorie een antwoord geeft.

Welke doelen hoop je te bereiken in je loopbaan op de lange termijn?

Het is mijn ambitie om me alle ins en outs van het privacy domein eigen te maken. Hiervoor zal ik in ieder geval mijn CIPP/E certificering behalen. In de toekomst lijkt het mij interessant om hier kennis op het gebied van informatiebeveiliging aan toe te voegen, omdat dit vaak hand in hand gaat met privacy vraagstukken. Daarnaast kijk ik er naar uit om een persoonlijke band op de bouwen en te onderhouden met de contactpersonen uit mijn klantenportefeuille. Korte lijntjes met genoeg ruimte voor formele én informele gespreksonderwerpen, daar streef ik naar.

Als je een superkracht zou kunnen hebben op de werkvloer, welke zou je dan kiezen?

De gave om direct iedereens naam te onthouden.

Wat is je favoriete boek/film/TV-serie en waarom?

Game of Thrones! Ik heb eerst de serie gekeken en daarna besloten om ook de boekenreeks te lezen. De boeken zijn zo goed geschreven dat het voor mij niet uitmaakt dat de hoofdlijnen van het verhaal al bekend zijn, door de fantastische manier van schrijven word je namelijk toch weer het boek ingezogen. Ook zijn de boeken en serie gelukkig niet identiek. In het begin lopen de twee nog volledig gelijk maar vanaf het tweede boek beginnen de verhaallijnen al uiteen te lopen. Dus mocht je de serie al hebben gezien en erover twijfelen om de boeken te lezen: wees niet bang, begin bij het begin en laat je verrassen!

‘De Dag van de FG 2023’, digitalisering en Lumen Group was erbij

Met het vijfjarig bestaan van de AVG is de rol van de FG meer van belang binnen onze maatschappij, vanwege deze digitale tijd waarin we leven! Lumen Group heeft een aantal inspirerende deelsessies gevolgd bij de dag van de FG, dit jaar door de Autoriteit Persoonsgegevens georganiseerd.

De “takeaway” is dat we ons moeten richten op de digitalisering van onze wereld en de impact op de privacy daarvan. Denk hierbij aan Human Right Impact Assessments bij nieuwe AI applicaties zoals ChatGPT in het onderwijs. Inge Brattinga heeft verwonderend de mogelijkheden toegelicht.   

Tijdens de deelsessie verzorgd door Vonne Laan en Eliëtte Vaal  kwamen de best practices en inzichten aan bod op het gebied van datalekken, maar ook cyberaanvallen zoals ransomware en phishing.

Paolo Balboni heeft tot slot inspirerend onder de aandacht gebracht wat “Data Protection as a Corporate Social Responsibility” betekent: focus leggen op onze maatschappelijke verantwoordelijkheid met betrekking tot privacy en dat dit onze samenleving kan verbeteren. #GDPR+