Vergetelheid geen wereldwijd recht

Onlangs deed het Europese Hof van Justitie uitspraak dat het recht op vergetelheid geen wereldwijd recht is. Dat terwijl het Hof een aantal jaar eerder van mening was dat iemand dankzij de inwerkingtreding van de AVG het recht had vergeten te worden.

Hoe zit het?
In september 2019 voegde het Europese Hof aan artikel 17 van de AVG toe dat het recht op bescherming van de persoonlijke levenssfeer geen absoluut recht is maar moet worden afgewogen tegen andere grondrechten.

Het Hof zegt dat “met name moet worden onderzocht of de betrokkene recht erop heeft dat de aan de orde zijnde informatie over hem thans niet meer met zijn naam wordt verbonden, zonder dat de vaststelling van een dergelijk recht evenwel veronderstelt dat de opneming van die informatie in de resultatenlijst deze betrokkene schade berokkent… Dit zal echter niet het geval zijn indien de inmenging in de grondrechten van de betrokkene wegens bijzondere redenen… wordt gerechtvaardigd door het overwegende belang dat het publiek erbij heeft om, door deze opneming, toegang tot de betrokken informatie te krijgen.”

Het Hof vindt dat het evenwicht tussen het recht op eerbiediging van het privéleven en op bescherming van persoonsgegevens enerzijds en de vrijheid van informatie van internetgebruikers anderzijds wereldwijd aanzienlijk kan variëren. De Europese wetgever kent aan de in die bepalingen neergelegde rechten geen werkingssfeer toe die verder reikt dan het grondgebied van de lidstaten.

‘Ontgooglen’?
Hiermee kunnen partijen zoals Google niet gedwongen worden om de zoekresultaten wereldwijd te verbergen, en is dit recht beperkt tot de lidstaten. Wel laat het Hof de mogelijkheid open aan de lidstaten om in hun nationale wetgeving hiervan af te wijken.

Door: Carolien Jobse
Partner en Jurist Privacy, ICT en Aanbestedingsrecht
+31 (0)6 22928625
c.jobse@chvv.nl

Rechtbank vindt veiligheid, gezondheid en welzijn zorgbehoevenden belangrijker dan privacy

Onlangs zijn er twee belangrijke[1] uitspraken gedaan over het opvragen van een overzicht van personeelsleden en hun beroepskwalificaties zoals BIG-nummer bij WMO (Wet maatschappelijke ondersteuning) aanbestedingen. De discussie is of het overleggen van persoonsgegevens bij een WMO-inschrijving in strijd is met de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

Uitwisseling persoonsgegevens bij inschrijving WMO niet in strijd
In beide uitspraken wordt geoordeeld dat het opvragen van een overzicht van opleidingsniveau en registraties van het personeel niet in strijd is met de (U)AVG. De rechtbank overweegt:

“…Het recht op bescherming van de persoonlijke levenssfeer, zoals dat is uitgewerkt in de AVG, is geen absoluut recht, maar een recht dat in relatie tot andere fundamentele rechten en vrijheden moet worden beschouwd. Tegenover het privacybelang van de zorgverleners staat het belang van veiligheid, gezondheid en welzijn van de zorgbehoevenden… Dat belang kwalificeert als een “taak van algemeen belang”…  om die (gerechtvaardigde) taak te kunnen uitvoeren is het noodzakelijk dat de aanbieders de verzochte informatie over het opleidingsniveau en de registraties van hun personeel verstrekken zodat controle ten aanzien van de geschiktheidseis kan plaatsvinden… ”

GGZ’s mogen deze gegevens ook verstrekken nu ze ruimte hebben om persoonsgegevens van hun medewerkers te verwerken, zolang dit verenigbaar is met het doel waarvoor deze gegevens verkregen zijn. Het doel is het kunnen inzetten van voldoende geschikt personeel en is daarmee in lijn met het doel waarvoor de gegevens door GGZ zijn verkregen.

Geen vrijbrief
Deze uitspraken geven geen vrijbrief om nu voor iedere aanbesteding zomaar allerlei persoonsgegevens van personeel op te vragen. Het gaat erom dat het privacybelang van de zorgverlener moet wijken voor de zwaarderwegende taak van algemeen belang: de veiligheid, gezondheid en welzijn van de zorgbehoevenden. Daarnaast constateren beide uitspraken dat de benodigde gegevens niet op een andere wijze kunnen worden verkregen dan door het verwerken van persoonsgegevens.

Wat nu?
Wil je bij een aanbesteding persoonsgegevens bij inschrijving laten overleggen? Dan moet je altijd een afweging maken tussen de verschillende privacybelangen van de diverse betrokkenen.

1 Rechtbank Noord Nederland 16 december 2019 ECLI:NL:RBNNE:2019:5195 / Rechtbank Noord-Nederland, 13 december 2019, ECLI:NL:RBNNE:2019:5168

Door: Carolien Jobse
Partner en Jurist Privacy, ICT en Aanbestedingsrecht
+31 (0)6 22928625
c.jobse@chvv.nl

Volgens The Financial Times werkt de Europese Unie aan een wetsvoorstel om de gegevens van burgers tijdens verkiezingen beter te beschermen. Begin dit jaar kwam het privacy schandaal rondom Cambridge Analytics naar buiten. Dit bedrijf heeft gegevens van miljoenen Amerikaanse Facebookgebruikers misbruikt om zeer gerichte verkiezingsbeïnvloedingscampagnes te maken. Hierdoor zijn waarschijnlijk de Amerikaanse verkiezingen van 2016 beïnvloed. Op welke termijn het wetsvoorstel zal worden ingediend is niet bekend. Wel meldt de Financial Times dat boetes kunnen oplopen tot 5% van de jaarlijkse omzet van de politieke partij.

https://www.nu.nl/internet/5432798/eu-wil-politieke-partijen-beboeten-misbruik-persoonsdata.html

Heeft u vragen over de ontwikkelingen op het gebied van privacy op het internet neem dan contact op met Carolien Jobse (ICT en privacy jurist) via c.jobse@chvv.nl.

Het is twee weken geleden dat de AVG van kracht is geworden. De voorbeelden van het niet voldoen aan de privacy wet- en regelgeving evenals de nodige datalekken zijn inmiddels legio.

De overheid zelf heeft ook moeite om te voldoen aan de AVG. Maar liefst tien van de twaalf ministeries voldoet nog niet aan de AVG. Ook de belastingdienst is nog niet compliant.

Veel partijen denken compliant te zijn, maar zijn dit niet. Reden hiervoor is dat partijen zich vaak niet realiseren hoe ver de AVG reikt en zich onvoldoende realiseren wat AVG compliant inhoud. Vier voorbeelden die vaak in de praktijk voordoen.

Overheidsorganisaties moeten een Functionaris Gegevensverwerking (FG) hebben. Slechts 4% van de 400 gecontroleerde overheidsorganisaties heeft een FG aangemeld. De AP had overheidsorganisaties tot 11 juni de tijd gegeven alsnog een FG aan te melden anders volgen er sancties. Momenteel is (nog) niet duidelijk of er al sancties zijn opgelegd.

Websites zijn niet op orde. De consumentenbond heeft vlak na het van kracht worden van de AVG een onderzoek gedaan naar de privacy compliance van 150 bekende websites. De schokkende uitkomst is dat maar liefst 2/3e van de onderzochte websites niet voldoet aan de toestemmingsvereiste. Deze websites plaatsen cookies voordat er toestemming is gevraagd.

Archieven vallen ook onder de wet- en regelgeving. De AVG heeft bij veel partijen geleid tot het opschonen van archieven. Deze vaak zeer omvangrijke klus is door veel partijen nog niet afgerond.

De beveiliging is niet op orde. Datalekken worden vaak veroorzaakt door een menselijke fout, maar ook door een zwak wachtwoordbeleid of het niet up-to-date zijn van software. Onder de AVG is het niet op orde hebben van de beveiliging strafbaar.

Heeft u het idee dat uw organisatie AVG compliant is of twijfelt u nog of uw organisatie AVG compliant is, dan is het verstandig om dit door een onafhankelijke partij te laten vaststellen.

Mocht u vragen hebben over uw AVG compliance of hoe u kunt toetsen dat u compliant bent, neem dan contact op met Carolien Jobse (ICT en privacy jurist) via c.jobse@chvv.nl.

Op 6 februari heeft De Article 29 Workingparty op het gebied van Privacy een nieuw beleidsdocument vastgesteld met betrekking tot datalekken. De artikel 29 werkgroep adviseert de Europese Commissie over gegevensbeschermingskwesties en streeft naar het harmoniseren van beleid binnen de `EU lidstaten. De Autoriteit Persoonsgegevens vertaalt deze documenten in het Nederlands.

In Nederland hadden wij al beleidsregels aangezien Nederland vooruitlopend op de AVG de datalekkenwet al op 1 januari 2016 heeft ingevoerd. Deze beleidsregels zijn verouderd en zullen worden aangepast naar het nieuwe beleid.

In de nieuwe beleidsregels wordt de volgende definitie gebruikt voor een datalek:

“Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”
Er kunnen drie typen datalekken worden onderscheiden:

  1. Een datalek waarbij de vertrouwelijkheid is geschonden;
  2. Een datalek waarbij de integriteit van de gegevens is geschonden ze zijn aangepast.
  3. Een datalek waardoor gegevens niet langer beschikbaar of beschikbaar zijn voor ongeautoriseerde personen.

Om de ernst van een datalek te bepalen en te bepalen of er melding moet plaatsvinden aan de autoriteit persoonsgegevens of de betrokkenen heeft de European Union Agency for Network and Information Security (ENISA) een document opgesteld waarnaar de Article 29 Workingparty verwijst. Voor meer informatie over het bepalen van de ernst van een datalek klik hier. De beleidsdocumenten zijn hier te vinden.

Mocht u vragen hebben over datalekken of privacy neem dan contact met ons op.