1/ Uitstekende column van @TijmenWisman.
Met kanttekening dat NL er juist voor heeft geijverd om de volledige doorbreking van de doelbinding zoals voorgesteld door de EurCie in art. 6.4 #AVG af te zwakken naar de regeling die we al kenden in art. 9(2) Wbp. bijvoorbaatverdacht.nl/het-dreigende-…
2/ In het oorspronkelijke voorstel (2012) stond in art. 6.4 #AVG dat IEDER nevengebruik van gegevens was toegestaan, zolang er maar een nieuwe grondslag was. NL heeft er voor geijverd om dit in lijn te brengen met het advies WP 203 van de Art. 29 Werkgroep (en art. 9 lid 2 Wbp)
3/ Nevengebruik mag ex art. 6.4 #AVG maar in 3 gevallen: 1. Wettelijk verplichting (mits binnen grenzen art. 8 EVRM en art. 52 Handvest). 2. Restrictieve belangenafweging, waarbij de contextuele integriteit en de waarborgen voorop staan, of 3. Toestemming van de betrokkene.
4/ Art. 6(4) #AVG is dus een apart stel grondslagen voor nevengebruik van data, dat in hoofdregel wordt toegestaan door art. 5.1.b AVG. Het uitgebreidere art. 6.1 is, anders dan velen denken, dus niet relevant voor nevengebruik.
5/ Daarmee is de regeling voor nevengebruik in de AVG hetzelfde als in de Wbp. Het problematische nevengebruik waar @TijmenWisman op doelt volgt vooral uit wetgeving waarvan men zich mag afvragen of die binnen de grenzen van het EVRM/Handvest blijft (SyRI bijvoorbeeld niet dus).
6/ De Tweede en Eerste Kamer en de Raad van State moeten daar veel beter op gaan letten. Maar het begint er al mee dat in de PIA die op de departementen wordt uitgevoerd, meer aandacht is voor de grondrechtelijke aspecten van overheidsverwerkingen en niet alleen maar voor de #AVG
7/ En dat de keuzes die de regering maakt over datawerkingen expliciet in een grondrechten- en #AVG paragraaf in de Memories van Toelichting worden opgenomen. #privacy
8/ Ook niet onbelangrijk is dat wetsvoorstellen niet alleen doeleinden en bevoegdheden moeten regelen, maar als het spannend is ook een informatie(uitwisselings)regeling moeten bevatten.
9/ Voorbeeld: Art. 107 lid 7 Vreemdelingenwet. Ja, de politie mag gegevens opvragen bij het COA in het kader van het vreemdelingentoezicht, maar dat kan uit grondrechtelijk oogpunt dus niet iedere dag de hele database zijn. nrc.nl/nieuws/2021/01…
10/ #Privacy- en #gegevensbescherming is bij veel departementen helaas nog steeds geen Chefsache. Met alle respect voor de hardwerkende Privacy Officers en FG’s, zolang de politieke leiding, de SG’s en DG’s hier geen oog voor hebben, zullen er ongelukken blijven gebeuren. #AVG
11/ Even terug komend op de column van @TijmenWisman: de oorspronkelijke regeling van art. 6.4 #AVG zou de deur voor ongebreideld nevengebruik van data wagenwijd hebben opengezet. Juist binnen de overheid is dat problematisch. Democratische controle zou een illusie zijn geworden.
12/ Nu mag de overheid alleen binnen de grenzen van de restrictieve belangenafwegingseisen van art. 6.4 #AVG gegevens uitwisselen met andere instanties. Voor bredere gegevensdeling moet ze eerst een wet maken met alle waarborgen die het EVRM en het Handvest eisen.
13/ Maar je mag van art. 6.4 #AVG toch ook toestemming vragen? Ja, maar dat kan de overheid dus in beginsel niet (zie overweging 43 AVG over machtsongelijkheid).
Slechte woordkeus, bedenk ik me nu. Beter was geweest: Nederland heeft zich juist ingespannen om de doelbinding in art. 6.4 #AVG te versterken in lijn met art. 9 lid 2 Wbp.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Voor de duidelijkheid: je kan niet kiezen of de #AVG van toepassing is of niet. Dat volgt uit de feiten. Het wetsvoorstel verbiedt impliciet al ‘herleidbaarheid’. En dus zijn de gegevens in de backend van de #CoronaMelder app geen persoonsgegevens en is de AVG dus nu al nvt. 1/x
Mijn advies in de second opinion is om dat explicieter in het wetsvoorstel op te schrijven, zodat alle twijfel over de vraag of de #AVG van toepassing is of niet wordt weggenomen. 2/x
Verder is het natuurlijk niet zo dat #privacy en informatiebeveiliging in en om de #CoronaMelder app alleen maar kunnen worden gewaarborgd als de #AVG van toepassing is. Dat dat kan worden bereikt zonder de AVG hebben de bouwers wel laten zien. 3/x
Bij het begin beginnen: 1) Waarom is de AVG hierop überhaupt van toepassing? Data van EU burgers harvesten in de VS triggert de AVG niet. Dan ook geen rep in Hamburg nodig. 2) Hoezo PrivacyShield? Er worden zo te zien geen data geëxporteerd. #AVG#privacy@RKain@Jan_Middendorp
3) LinkedIn laat gebruikers bepaalde data, zoals telefoonnummer, afschermen (raadpleging én/of download). Als dit goed werkt, zie ik het door @trouw geschetste probleem niet. Als dit niet goed werkt, heeft LinkedIn een datalek.
4) NL bedrijven die persoonsgegevens kopen die op deze manier zijn verzameld, hebben in ieder geval met de #AVG te maken, dus ook met de informatieplicht ex art. 14 AVG.
This was published 129 years and 50 days ago: "Enterprise have invaded the sacred precincts of private and domestic life; and numerous mechanical devices threaten to make good the prediction that "what is whispered in the closet shall be proclaimed from the house-tops"." #privacy
Reading this, one may wonder how common law deals with predictive analytics: "The common law secures to each individual the right of determining, ordinarily, to what extent his thoughts, sentiments, and emotions shall be communicated to others." #privacy#ArtificialIntelligence
"The existence of this right does not depend upon the particular method of expression adopted. It is immaterial whether it be by word or by signs, in painting, by sculpture, or in music." 129 years later, we should add "or by algorithm". #privacy#ArtificialIntelligence
Here is a little thread you need to know about the #GDPR and accountability 👇👇 #eudatap#privacy
Chapters 2, 5 and 9 #GDPR contain the rules for processing personal data. However, 100% compliance with these rules is impossible in practice. #eudatap#privacy
So, during the #GDPR negotiations, the EU Council of Ministers pushed hard on the accountability principle enshired in Chapter 4. They called it "the risk-based approach". #eudatap#privacy