Aanbevelingen voor de bescherming van persoonsgegevens van natuurlijke personen en intellectuele eigendomsrechten
Persoonsgegevens kunnen onderdeel uitmaken van overheidsinformatie die beschikbaar wordt gesteld voor hergebruik. Persoonsgegevens zijn beschermd onder de AVG en het grondrecht op gegevensbescherming is ook gecodificeerd in artikel 8 van het Handvest van de grondrechten van de Europese Unie
Het doel van de Wet hergebruik overheidsinformatie is om openbare overheidsinformatie voor zo veel mogelijk doeleinden te kunnen hergebruiken. Voor gevoelige informatie zoals persoonsgegevens in openbare informatie geldt echter dat deze niet verwerkt mogen worden in gevallen waarin het hergebruik wettelijk onverenigbaar is verklaard. Zie (verwijzen naar par. 10.1.4) en in andere gevallen alleen verwerkt mogen worden als dat verenigbaar is met de doelen waarvoor ze verzameld zijn. Dit volgt uit het doelbindingsprincipe van de AVG en dit vormt de kern van het fundamentele recht op de bescherming van persoonsgegevens van natuurlijke personen.
Doelbinding en hergebruik zijn, voor persoonsgegevens, vaak elkaars tegenpolen. Dat betekent dat persoonsgegevens zich zeer beperkt lenen voor hergebruik. Dat is terecht, omdat hergebruik van persoonsgegevens kan leiden tot vele risico's voor de rechten en vrijheden van natuurlijke personen zoals misbruik, zoals doxing en identiteitsfraude.
Niet ieder hergebruik van openbare persoonsgegevens is echter op voorhand uitgesloten. Omdat de Who toeziet op een zeer breed palet aan gegevens, is er ruimte nodig om daarover van geval tot geval een afweging te kunnen maken. Daarom geldt de hoofdregel dat hergebruik van persoonsgegevens aan de Algemene Verordening Gegevensbescherming (AVG) en in het bijzonder aan het doelbindingsprincipe van de AVG voldaan moet worden. Dat vergt een (onderbouwde) beoordeling van geval tot geval door de verantwoordelijke organisatie die persoonsgegevens ter beschikking stelt voor hergebruik. Zie ook de de (algemene) informatie over de AVG.
Dat kan praktisch betekenen dat overheidsinformatie geanonimiseerd of gepseudonimiseerd moet worden om ervoor te zorgen dat het hergebruik van persoonsgegevens in lijn met de AVG is. Wanneer een dataprovider als Verwerkingsverantwoordelijke tot de conclusie komt dat bepaalde overheidsinformatie geanonimiseerd of voldoende gepseudonimiseerd is en voor hergebruik beschikbaar kan worden, is het aan te raden om deze onderbouwde conclusie vastleggen en bewaren.
De Who bevat een aantal aanvullende waarborgen om de persoonsgegevens van mensen te beschermen, waaronder een verbod om mensen te heridentificeren of pseudonimisering of andere waarborgen ter bescherming van persoonsgegevens teniet te doen. Hergebruikers dienen passende (beveiligings-)maatregelen te treffen conform de AVG om dit te waarborgen. Dit verbod geldt voor de hele keten van hergebruik. Bij een inbreuk op deze voorwaarden moet een hergebruiker dit direct melden aan de met een publieke taak belaste instellingen, overheidsondernemingen of publiek gefinancierde onderzoeksorganisaties van wie de gegevens afkomstig zijn. Vervolgens kan de betreffende dataset worden aangepast of ingetrokken door de verantwoordelijke organisatie die persoonsgegevens ter beschikking stelt voor hergebruik. Dit laat onverlet de verplichting om datalekken conform artikelen 33-34 AVG te melden aan betrokkenen en de Autoriteit Persoonsgegevens. Kijk op de website van de Autoriteit Persoonsgegevens] voor meer informatie over het melden van datalekken.
De uitvoering van de Who kan risico’s voor de rechten en vrijheden van natuurlijke personen opleveren. Op grond van de AVG kunnen Verwerkingsverantwoordelijken die overwegen om persoonsgegevens voor hergebruik beschikbaar te stellen, verplicht zijn om een data protection impact assessment (DPIA) uit te voeren, wanneer het waarschijnlijk is dat er een hoog risico is voor de rechten en vrijheden van natuurlijke personen.
Voor meer informatie over het bepalen of een DPIA verplicht is, zie de website van de Autoriteit Persoonsgegevens.
Zie hier het Model DPIA Rijksdienst (Model DPIA Rijksdienst).
Verschillende risico’s kunnen waarschijnlijk zijn bij de uitvoering van de Who, waaronder maar niet beperkt tot, het faciliteren van profilering, bedreiging, stalking, afpersing, doxing; een gebrek aan transparantie en de uitvoering van de rechten van betrokkenen en re-identificatie na anonimisering of ongedaanmaking van pseudonimisering.
Het is van belang dat bij het openbaar maken van overheidsinformatie al rekening gehouden wordt met de mogelijkheid van hergebruik. Met hergebruik wordt overheidsinformatie, waaronder ook persoonsgegevens, nog toegankelijker gemaakt, voor een vooraf onbepaalde groep ontvangers. Zo kunnen privacyrisico’s door het (per ongeluk) foutief lakken van overheidsinformatie op grond van de Wet Open Overheid vergroot worden wanneer deze onder de Who voor hergebruik beschikbaar worden gesteld.
Het is aan de dataprovider als Verwerkingsverantwoordelijke om een eigen beoordeling te maken en hier verantwoording over af te leggen. Betrek volgens de eigen procedures en beleid een privacy officer en/ of de functionaris gegevensbescherming.
De Who is niet van toepassing op persoonsgegevens in bij of krachtens de wet ingestelde registers voor zover deze openbaar toegankelijk zijn (zowel gratis of tegen betaling), tenzij het persoonsgegevens betreft in bij algemene maatregel van bestuur aangewezen registers, dan wel tenzij bij of krachtens de wet anders is bepaald. Op dit moment is van deze twee uitzonderingsmogelijkheden nog geen gebruik gemaakt en geldt deze regel dus voor alle openbare persoonsgegevens in bij of krachtens de wet ingestelde registers.
Voorbeelden van bij of krachtens de wet ingestelde openbare registers zijn: het Handelsregister, de Basisregistratie Kadaster, het Kentekenregister en rechterlijke registers zoals het Boedelregister, Centraal insolventieregister, Centraal register voor collectieve vorderingen, Centraal Curatele- en bewindregister, Gezagsregister, Huwelijksgoederenregister en Register van Nevenfuncties van rechters.
Voorbeelden van niet bij of krachtens de wet ingestelde openbare registers zijn: registers die worden genoemd op de website www.rechtspraak.nl/registers, te weten het Uitsprakenregister en het Zaakverloopregister.
Het feit dat de Who niet van toepassing is op openbare persoonsgegevens in bij of krachtens de wet ingestelde registers, werkt ook door in de specifieke hoogwaardige gegevenssets die tevens zo’n register zijn. Door de genoemde persoonsgegevens uit te zonderen van de werking van de Who, zijn ze namelijk ook uitgezonderd van de werking van de Open data richtlijn als zodanig. De HVD-uitvoeringsverordening is alleen van toepassing op documenten waarop de richtlijn van toepassing is. Daardoor is de HVD-uitvoeringsverordening dus ook niet van toepassing op de gedeelten van documenten waarin deze persoonsgegevens zich bevinden. Wat de richtlijn precies bedoelt met een ‘gedeelte’ van een document, is niet helemaal duidelijk. Maar het is logischerwijs in ieder geval meer dan alleen de persoonsgegevens zelf. Een grote kolom of rij met daarin zowel niet-persoonsgegevens als persoonsgegevens die niet gemakkelijk te filteren zijn, valt daarom naar alle waarschijnlijkheid in z’n geheel buiten de regels over de specifieke hoogwaardige gegevenssets.
Anonimisering van informatie (met persoonsgegevens) is een middel om de voordelen van een zo groot mogelijke herbruikbaarheid van overheidsinformatie te verzoenen met de verplichtingen van de AVG. Een aantal punten zijn hierbij van belang:
- De AVG is ook van toepassing op het proces van anonimiseren. Na goede anonimisering is de AVG niet meer van toepassing.
- Anonimisering blijkt in de praktijk een uitdaging omdat door nieuwe technieken en het streven naar meer beschikbare open data het steeds gemakkelijker is om persoonsgegevens af te leiden uit datasets die dergelijke gegevens op het eerste gezicht niet lijken te bevatten, daarom moet periodiek herbeoordeeld worden of de gegevens nog steeds geanonimiseerd zijn.
- Anonimisering kan kosten meebrengen. Die kostprijs mag meegenomen worden als één van de componenten van de marginale kosten voor hergebruik.
- Anonimisering van informatie is volgens de wet geen verplichting (artikel 2, lid 5 Who). De verplichtingen om gegevens voor hergebruik beschikbaar te maken, houden geen verplichting in om documenten te creëren of aan te passen of om uittreksels te verstrekken indien dit een onevenredig grote inspanning vereist die verder gaat dan een eenvoudige handeling. Het anonimiseren van persoonsgegevens, vereist in de regel wel zo’n onevenredig grote inspanning die verder gaat dan een eenvoudige handeling en is daarom niet verplicht. Indien een organisatie overweegt om persoonsgegevens beschikbaar te maken voor hergebruik, kan de organisatie doorgaans dus simpelweg besluiten om hergebruik daarvan te weigeren. De organisatie hoeft de gegevens niet te anonimiseren met het doel om de gegevens geschikt te maken voor hergebruik.
- Wanneer persoonsgegevens afdoende geanonimiseerd zijn volgens de AVG, dan is de AVG niet meer van toepassing. Anonimiseren vergt van dataproviders dat zij regelmatig controleren of een geanonimiseerde dataset nog afdoende is geanonimiseerd. Wanneer deze controle en het adequaat handelen bij geconstateerde gebreken daarop uitblijft is er een risico dat de dataprovider onrechtmatig persoonsgegevens aan het beschikbaar stellen is, met risico’s voor betrokkenen daaraan verbonden. Het wetsvoorstel breidt niet de verantwoordelijkheid van de dataprovider uit met een actieve zorgplicht ten aanzien van geanonimiseerde gegevens als de AVG niet meer van toepassing is. Het wetsvoorstel bevat wel een (reactieve) verplichting om een melding van een inbreuk op de voorwaarden, zoals het verbod op reidentificatie van betrokkenen, in behandeling te nemen en hierop maatregelen te nemen zoals het terugtrekken of beter beveiligen van de dataset.
In de Memorie van Toelichting bij de Wet implementatie open data richtlijn (paragraaf 11.8.2) wordt uitgebreid ingegaan op het proces van anonimisering en wat er van organisaties verwacht wordt.
Voor het beoordelen of het hergebruik van persoonsgegevens verenigbaar is met het oorspronkelijke verzameldoel van de dataprovider moet rekening gehouden worden met in ieder geval de volgende factoren uit artikel 6, lid 4 AVG:
a. ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b. het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c. de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d. de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e. het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.
Hieronder wordt een toelichting gegeven op deze factoren en worden deze factoren toegepast op het hergebruik van persoonsgegevens volgens de Who:
Ad. a: Bij hergebruik van persoonsgegevens is het de bedoeling dat de betreffende gegevens/documenten algemeen beschikbaar komen op data.overheid.nl en dat hergebruikers de gegevens verder kunnen gebruiken zonder zich te hoeven identificeren of toestemming hoeven te vragen. Dat betekent dat er vaak geen nauw verband zal zijn tussen het verzamel- en hergebruik doel. Bovendien hoeven hergebruikers geen belang of doel aan te geven. Dat maakt dat hergebruik van persoonsgegevens in veel gevallen onverenigbaar zal zijn, tenzij de overige factoren dit anders maken.
Ad. b: Hierbij moet met name worden gekeken naar de relatie tussen de (overheids-) organisatie/dataprovider en de betrokkenen. Verder moet rekening gehouden worden met de redelijke verwachtingen die de betrokkene heeft ten aanzien van eventuele verdere gebruik van zijn persoonsgegevens. Bij hergebruik geldt dat er een ongelijke en dwingende verhouding is tussen overheid en burger waarbij de gegevensverwerking in de meeste gevallen gebaseerd is op een wettelijke bevoegdheid of verplichting. De burger heeft weinig zicht en controle op de gegevensverwerking en zal het hergebruik ervan waarschijnlijk niet verwachten. Wanneer duidelijk wordt geïnformeerd voorafgaand aan het hergebruik, bijvoorbeeld als onderdeel van een zienswijzeprocedure op grond van de Awb, kan aan dit gebrek tegemoet gekomen worden. Dat is echter alleen mogelijk als de belanghebbende/ betrokkene identificeerbaar is, wat in veel gevallen niet (direct) aan de orde is. Dat maakt dat hergebruik van persoonsgegevens in veel gevallen onverenigbaar zal zijn, tenzij de overige factoren dit anders maken.
Ad. c: Wanneer het gevoelige persoonsgegevens betreft, geldt dat deze een hoger beschermingsniveau verdienen en vereisen. Hierdoor kunnen deze gegevens minder snel voor andere doelen mogen worden gebruikt. Bijzondere of strafrechtelijke gegevens mogen in principe niet openbaar gemaakt worden. Mochten deze wel aanwezig zijn in de openbare overheidsinformatie, dan zal daar niet snel een uitzondering op het verwerkingsverbod voor aanwezig zijn. Voor bijvoorbeeld bij onderzoek op basis van (gepseudonimiseerde) medische gegevens en/of strafrechtelijke gegevens zijn er andere wettelijke regimes dan de Who. Beargumenteerd kan worden dat de – in bepaalde gevallen – mate van identificeerbaarheid van de gegevens ook een rol kan spelen bij de beoordeling van de gevoeligheid van de gegevens. Dit aspect is ook relevant bij de beoordeling van de mogelijke gevolgen van hergebruik.
Ad. d: De gevolgen van het hergebruik van persoonsgegevens zijn moeilijk te overzien, dit is onder meer afhankelijk van de aard van de gegevens. Hoe beter de gegevens gebruikt kunnen worden om iemand te identificeren en hoe gevoeliger deze gegevens zijn, hoe negatiever de gevolgen door hergebruik kunnen zijn. (hoe meer identificeerbaar en hoe gevoeliger, hoe negatiever de gevolgen kunnen zijn) Verder hebben ook het doelen de motivatie van de hergebruiker impact op mogelijke gevolgen. Eventuele nieuwsgierigheid of kwade bedoelingen met gegevens kunnen afhankelijk zijn van de aard, context en nieuwswaardigheid van de gegevens. Het maakt bijvoorbeeld uit of de gegevens gebruikt kunnen worden voor laster, doxing, stalking,bedreiging, afpersing of surveillance doeleinden. Door het opstellen van profielen met als doel ongevraagde direct marketing kunnen ook negatieve gevolgen optreden voor betrokkenen.
Ad. e:
Op het gebied van passende waarborgen valt waarschijnlijk het meest te doen om verenigbaarheid toch mogelijk te maken. In de eerste plaats is er ter bescherming van persoonsgegevens een set aan voorwaarden in art. 6, derde lid, Who die moeten worden opgelegd aan de hergebruiker.
Ten tweede kunnen waarborgen worden getroffen zoals versleuteling. Gegevens kunnen bijvoorbeeld worden gepseudonimiseerd dat ze vanuit het perspectief van de hergebruiker (praktisch) anoniem zijn. De maatstaf hiervoor is dat de verstrekker van deze gegevens niet met redelijke en/of wettelijke middelen is te heridentificeren). Of ze kunnen volledig worden geanonimiseerd en dan gelden ze niet meer als persoonsgegevens.
De gegevens kunnen ook geanonimiseerd worden, waar ze niet meer gelden als persoons gegevens en waardoor in principe de AVG niet meer van toepassing is. Dit laatste punt wordt bemoeilijkt doordat volledige anonimisering technisch gezien onmogelijk is en het gebrek aan horizon - tot wanneer in de keten van hergebruik rekening moet worden gehouden op identificatie - betekent dat je in principe ook alle mogelijke toekomstige ontwikkelingen op het gebied van cryptografie moet meewegen en de beschikbaarheid van andere gegevens.
Er zijn ook nog andere passende waarborgen mogelijk. Zo kunnen bijvoorbeeld andere privacybeschermende technieken (Privacy Enhancing Technologies) ingezet worden. Ook extra transparantie en controlemechanismen zoals duidelijke en eenvoudige bezwaarmogelijkheden dragen bij aan privacy. Een zienswijzeprocedure gecombineerd met een privacy verklaring waarin uitdrukkelijk op de AVG-rechten wordt gewezen, verhoogt ook de bescherming van de persoonsgegevens.
De Who doet geen afbreuk aan de rechten van derden die rechthebbende zijn in de zin van de Auteurswet, de Wet op de naburige rechten of de Databankenwet. Wanneer er bijzondere afspraken zijn gemaakt met IE-rechthebbenden, zoals CC-BY-licenties, dan moeten deze volgens het wetsvoorstel worden gerespecteerd. Dat kan praktisch betekenen dat de naam van de auteur of de bron vermeld moet worden. Die naamsvermelding zal zijn grondslag meestal vinden in het auteursrecht en het zal hergebruikers niet vrij staan om die naam te gebruiken voor andere doeleinden dan bronvermelding.