Onderzoek naar privacywetgeving
Het doel van de betaaltool die ik ga ontwerpen is het verzamelen van data en inzichten in de lezers van een artikel, de doelgroep. Om hierachter te komen zijn er een aantal dingen die kunnen worden gemeten: Waar komt iemand vandaan? Wat is het geslacht van die gebruiker? Welke browser gebruikt hij? Allemaal zaken die inbreuk kunnen doen op de privacy van de gebruiker.
Naast de demografische en technische data wordt het ook een tool die vragen gaat stellen aan de gebruiker. Vragen die door het medium die the Playwall gebruikt zelf moeten kunnen worden opgesteld. Denk bijvoorbeeld aan mening vragen. De antwoorden daarop kun je natuurlijk heel goed combineren met de daarbij verzamelde data over een gebruiker. Maar wat mag er eigenlijk allemaal? Wat is privacy precies? Dit onderzoek moet een antwoord gaan geven op de vraag 'Met welke privacywetgeving moet rekening worden gehouden bij de ontwikkeling van de betaal tool?'
Navigatie
- Wat is privacy?
- Wat zijn persoonsgegevens?
- Bijzondere persoonsgegevens
- De geïdentificeerde
- De identificeerbare
- Pseudonimisering en anonimisering
- Autoriteit Persoonsgegevens
- Algemene Verordening Gegevensbescherming
- Wanneer geldt de AVG-wetgeving?
- Wat zijn de plichten van een verwerkingsverantwoordelijke?
- Welke data zou voor the Playwall interessant zijn om te verzamelen?
- Conclusies
Wat is privacy?
Het is lastig om te zeggen wat privacy precies inhoud. De verklaringen van het begrip lopen erg uiteen. Het begrip is in ieder geval gericht op het individu. De meest voorkomende verklaring van het woord is persoonlijke vrijheid.
Privacy is dus gericht op de privésfeer. Volgens de Nederlandse wet (PDC, n.d.) vallen de volgende zaken onder de privésfeer:
- Het huis
- De communicatie via telefoon en andere communicatiemiddelen
- Het recht om niet te worden bespied of afgeluisterd
- Het recht op zorgvuldige behandeling van persoonlijke gegevens
- Het recht op eerbiediging van het innerlijk leven
- Het recht op eerbiediging van de lichamelijke integriteit
Wat privacy is ligt dus voor een groot deel vastgelegd in wetgevingen. Toch kan privacy door ieder individu anders worden geïnterpreteerd. Ik ga in dit onderzoek vooral uit van de wetgevingen rondom privacy. In Nederland ligt in artikel 10 van de grondwet vastgelegd wat privacy precies inhoud:
- Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbieding van zijn persoonlijke levenssfeer.
- De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
- De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgestelde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.
Ik wil mij tijdens dit onderzoek meer gaan verdiepen in de drie dik gedrukte punten in de lijst met zaken die onder de privésfeer vallen. Dit zijn namelijk zaken waarmee rekening moet worden gehouden bij het ontwerpen van de betaal tool voor the Playwall.
Wat zijn persoonsgegevens?
Persoonsgegevens hebben altijd direct of indirect betrekking op een persoon. De gegevens moeten dus over een persoon gaan en iets over die persoon zeggen. Als gegevens dus niets zeggen over een persoon en niet te herleiden zijn naar een persoon, dan zijn het geen persoonsgegevens.
Voorbeeld: De prijzenlijsten met voorraad gegevens van een supermarkt zijn geen persoonsgegevens. Zodra je die lijst aanvult met de namen of bankrekeningnummers van de personen die het product hebben gekocht, spreek je wel van persoonsgegevens.
Waar gegevens betrekking op kunnen hebben is verdeeld over een aantal categorieën. Ik licht hieronder de categorieën die betrekking kunnen hebben tot the Playwall toe.
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gegevens die zo gevoelig zijn, dat de verwerking ervan iemands privacy en veiligheid ernstig kan beïnvloeden. Dit soort gegevens mogen daarom ook alleen maar onder strenge voorwaarden worden verzameld (Justitia, 2018). Hieronder een lijst met bijzondere gegevens (Autoriteit Persoonsgegevens).
- Godsdienst of levensovertuiging
- Ras
- Politieke voorkeur
- Gezondheid
- Seksuele leven
- Lidmaatschap van een vakbond
- Strafrechtelijk verleden
- Burgerservicenummer
De geïdentificeerde
Deze gegevens hebben alleen betrekking op een natuurlijke persoon als deze identificeerbaar is of al is geïdentificeerd. Iemand is geïdentificeerd als deze persoon uniek van andere personen binnen een groep te onderscheiden is.
Bij een geïdentificeerd persoon zijn 'identificatoren' bekend als bijvoorbeeld hun naam, adres, en geboortedatum. Omdat dit (bijna) altijd unieke gegevens zijn, kun je zonder enige moeite die specifieke persoon identificeren. Deze gegevens worden over het algemeen ook gebruikt om personen van elkaar te kunnen onderscheiden. Het zijn direct identificeerbare gegevens.
De identificeerbare
Je bent identificeerbaar als je identiteit nog niet bekend is, maar je kunt wel achter die identiteit komen door bepaalde gegevens met elkaar te combineren. Door bepaalde gegevens met elkaar te combineren kunnen deze zo uniek zijn dat ze toch tot een bepaald persoon te herleiden zijn. Dit heeft niet alleen betrekking op de data die je zelf verzamelt, maar ook de data die op het internet openbaar toegankelijk zijn.
Voorbeeld van een identificeerbaar persoon op basis van data: En 24-jarige vierdejaars student CMD uit Amsterdam met een eigen bedrijf die een paar keer per week sport en het liefst de hele wereld over reist.
Deze data op zich verwijst niet direct naar een individueel persoon. Maar als ik een beetje moeite zou doen, is er een grote kans dat ik dan uiteindelijk toch bij, in dit geval mijzelf, uitkom.
Toch verschilt het per gegevensverwerker of een dataset uit persoonsgegevens bestaat. Het moet gemakkelijk zijn om een persoon aan gegevens te kunnen koppelen. Zodra het weken de tijd kost om iemand te achterhalen dan, ook al is iemand te achterhalen, zijn het geen persoonsgegevens. Als ik als verwerkingsverantwoordelijke niet over de technologieën, middelen en mogelijkheden beschik die het redelijk eenvoudig maken om iemand te identificeren, dan zijn de gegevens geen persoonsgegevens.
Pseudonimisering en anonimisering
Om ervoor te zorgen dat gegevens niet meer te herleiden zijn naar een persoon, en er dus voor te zorgen dat dit geen persoonsgegevens zijn, kun je maatregelen nemen. Ook daarin wordt een onderscheid gemaakt.
Pseudonimisering
Bij pseudonimisering verhul je iemands identiteit voor derden. Je scheidt daarbij de identificeerbare gegevens van de niet-identificerende gegevens. Je identificeerbare gegevens worden dan vervangen door kunstmatige identificatoren.
Voorbeeld van pseudonimisering: The Playwall slaat naar een persoon herleidbare gegevens in een andere database op dan de meningen die via de tool binnenkomen. The Playwall geeft haar klanten alleen maar toegang tot de database met meningen. De meningen zijn nog wel te herleiden door middel van een uniek nummer waar de klant niet bij kan. Met dat nummer kunnen de antwoorden worden gekoppeld aan bijvoorbeeld demografische data.
Het is op bovenstaande manier voor de derde partij, in dit geval de klant van the Playwall, niet mogelijk om de mening te herleiden naar bijvoorbeeld de locatie van die persoon. Toch kan the Playwall nog steeds die verbindingen leggen, dus spreek je in het geval van pseudonimisering nog steeds van persoonsgegevens. Het wordt door organisaties die bezig zijn met de handhaving van de persoonsgegevenswet wel gezien als goede stap in de richting van goed beveiligde persoonsgegevens.
Anonimisering
Bij anonieme gegevens spreek je over gegevens die op geen enkele manier meer zijn te herleiden naar een persoon. De gegevens mogen volgens de wet niet te herleiden, koppelen of middels deductie te koppelen zijn aan een persoon. Als je aan al die voorwaarden voldoet is er geen sprake meer van persoonsgegevens. Wel is het zo dat de partij die de gegevens anonimiseert nog wel een verwerkingshandeling uitvoert, en zich dus aan alle relevante wetten moet houden.
Autoriteit Persoonsgegevens
De autoriteit persoonsgegevens (AP) is een organisatie waar elke gegevensverwerker mee te maken krijgt. De AP houdt toezicht op de naleving van de wetten die de persoonsgegevens moeten beschermen. Daarnaast adviseren ze de overheid over nieuwe relevante regelgeving (Autoriteit Persoonsgegevens, n.d.).
De AP is een onafhankelijke organisatie. Dat wil zeggen dat ze niet handelen in opdracht van de overheid. Binnen de kaders van de wet bepalen zij hun eigen koers, is in hun kernwaarden te lezen.
AP houdt toezicht op wetten, besluiten en regelingen die de verwerking van persoonsgegevens regelen. Die vier belangrijkste zijn volgens de organisatie:
- Wet bescherming persoonsgegevens (WPB), die overigens op 25 mei 2018 wordt vervangen door de Algemene Verordening Gegevensbescherming (AVG)
- Wet politiegegevens
- Wet basisregistratie personen
- Wet justitiële en strafvorderlijke gegevens
Van die wetten moet the Playwall rekening gaan houden met de nieuwe AVG wet die in 2018 de oude WPB wet gaat vervangen.
Algemene Verordening Gegevensbescherming
Om ervoor te zorgen dat iedereen die data verwerkt de privacy van hun klanten niet in gevaar brengt zijn er verschillende wetten opgesteld. The Playwall krijgt vooral te maken met de wetgeving rondom persoonsgegevens. Op het moment van schrijven is dat de wet bescherming persoonsgegevens, maar op 25 mei 2018 gaat deze over in de wet Algemene verordening gegevensbescherming (AVG). Ik ga mij tijdens dit onderzoek dan ook focussen op die wet.
De AVG wet heeft betrekking op alle lidstaten van de Europese unie. De inhoud ervan is gebaseerd op de Europese privacyrichtlijn die is opgesteld in 1995 (Autoriteit Persoonsgegevens, n.d.). De wet komt op voor de belangen en rechten van gegevensverwerking van individuele personen en het vrije verkeer van persoonsgegevens binnen de Europese Unie (EU).
Wanneer geldt de AVG-wetgeving?
Om snel te kunnen achterhalen of jouw organisatie moet voldoen aan de AVG-wetgeving heeft de AP een stroomdiagram opgesteld.
Uit het diagram blijkt dat elk bedrijf dat op een geautomatiseerde manier persoonsgegevens verwerkt, waarbij de verwerking valt binnen landen van de EU en niet valt onder een van de uitzonderingen, zich moet houden aan de AVG-wetgeving.
Binnen de wetgeving wordt er een onderscheid gemaakt tussen de verwerkingsverantwoordelijke en de verwerker.
De verwerkingsverantwoordelijke
Je valt binnen deze groep als je degene bent die het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. Je bepaalt dan dus waarom en hoe persoonsgegevens worden verzameld (Flegal, 2018).
In het geval van the Playwall willen wij antwoorden op vragen verzamelen om zo meer inzicht aan de doelgroep van een medium te krijgen en deze data voor hun inzichtelijk te maken (de waarom). We doen dit door middel van een nieuwe vorm van een paywall, betalen met antwoorden op vragen voor toegang tot premium content (de hoe).
De verwerkingsverantwoordelijke kan een natuurlijk persoon (particulier), een rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan zijn. Iedereen kan dus onder deze groep vallen. Er wordt bijvoorbeeld ook geen onderscheid gemaakt tussen een kleine onderneming en een multinational (Flegal, 2018).
De verwerker
De verwerker is vaak een externe partij. Daaronder vallen ook niet medewerkers van de verwerkingsverantwoordelijke. De verwerker heeft als doel om de door de verwerkingsverantwoordelijke partij bepaalde persoonsgegevens te verwerken. Ondanks dat het twee verschillende soorten partijen zijn, kan één organisatie onder beide begrippen vallen.
In het geval van the Playwall bepalen wij het doel en het middel om bepaalde gegevens te verzamelen. Deze gegevens slaan wij op bij een externe partij, de verwerker. Deze partij bepaalt dus niet waarom deze gegevens worden verzameld, of hoe dat gebeurd. Die partij slaat de data alleen op en mag niets anders met deze gegevens doen dan wat de opdracht is vanuit de verwerkingsverantwoordelijke.
De opslag van data
The Playwall is de verwerkingsverantwoordelijke, maar toch bepaald de partij die de data opslaat op welke manier zij dit doen. Dit zou je kunnen zien in de 'hoe' van deze kwestie. In dit geval gaat het erom wie het doel heeft bepaald. De partij die de data opslaat is in dit geval dus alsnog de verwerker. De verwerker bepaalt namelijk alleen het middel of de technische opslag van de data.
Wat zijn de plichten van een verwerkingsverantwoordelijke?
Als the Playwall persoonsgegevens gaat verzamelen is de startup verwerkingsverantwoordelijke. Elk bedrijf die aan deze categorie voldoet moet zich houden aan de onderstaande punten (Autoriteit Persoonsgegevens, 2018).
- De verwerking van de gegevens moet rechtmatig, behoorlijk en transparant zijn.
- De verwerking moet gebonden zijn aan specifieke verzameldoelen
- De gegevens moeten toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is
- De gegevens moeten juist zijn
- De gegevens mogen niet langer worden bewaard dan nodig
- De gegevens moeten goed beveiligd zijn en vertrouwelijk blijven
Naast de regels waar een verwerkingsverantwoordelijke zich aan moet houden, zijn er ook punten waarvan moet kunnen worden aangetoond dat de partij daaraan voldoet. Ik benoem hieronder de punten die relevant zijn voor de betaal tool voor the Playwall.
- Er moet een register worden bijgehouden met de verwerkingsactiviteiten, dit zijn de doelen en middelen die worden gebruikt en valt onder de registerplicht
- Voordat er wordt begonnen met risicovolle verwerkingsactiviteiten moet er een zogenaamde gegevensbeschermingseffectbeoordeling worden uitgevoerd. Hierbij worden de effecten voor betrokkenen in kaart gebracht en beoordeeld (Rijksoverheid, 2017)
- Voorafgaand aan nieuwe, risicovolle verwerkingsactiviteiten moet de AP worden geraadpleegd
- Bij het inrichten van verwerkingen moet rekening worden gehouden met het principe van privacy door ontwerp en standaardinstellingen
- Er moeten passende beveiligingsmaatregelen worden genomen met oog op de bescherming van persoonsgegevens
- In geval van een datalek moet er zo snel mogelijk een melding van worden gemaakt bij de AP. Onder bepaalde omstandigheden moeten ook de betrokkenen worden geïnformeerd
- Er moeten afspraken worden gemaakt met de verwerker
- Er moet ten alle tijden medewerking worden verleend aan de AP
Welke informatie moet worden verstrekt aan betrokkenen?
In het geval van de betaal tool van the Playwall zijn de betrokkenen de personen die hebben betaald voor een artikel door middel van het beantwoorden van vragen. Het is verplicht om aan deze personen te vermelden waarom, hoe en wat er aan gegevens worden verzameld. Hieronder staat een lijst van punten waar de betaal tool aan moet voldoen.
- De contactgegevens van the Playwall moeten worden verwerkt
- De doelen waarvoor persoonsgegevens worden verzameld moeten duidelijk zijn
- De ontvangers, of categorieën van ontvangers moeten duidelijk worden gemaakt.
- De bewaartermijn van data, of als dat niet mogelijk is de criteria om die te bepalen moeten zijn vermeld
- De rechten van de gebruiker moeten duidelijk zijn
- Het recht dat gebruikers een klacht kunnen indienen bij de AP
- Bij geautomatiseerde besluitvorming moet informatie over onderliggende logica in het belang van de verwerking en de verwachten gevolgen duidelijk zijn voor de gebruiker.
Naast alle punten hierboven moet ook alle informatie kunnen worden verstrekt die nodig is om een transparante verwerking te kunnen garanderen. Als gegevens uiteindelijk worden verwerkt voor een ander doel dan beoogd, moet deze informatie aan de gebruiker worden verstrekt.
Welke data zou voor the Playwall interessant zijn om te verzamelen?
| Soort data | Doel | Middel | Persoonsgegevens |
|---|---|---|---|
| IP-Adres | Kunnen achterhalen of iemand al eerder een Playwall heeft beantwoord, en hoe vaak | IP-gegevens vanuit browser, beschikbaar in server info. | Ja, hiermee kunnen antwoorden worden gekoppeld aan gevoelige data |
| Device | Voor the Playwall, om conclusies te kunnen trekken. Stel iedereen met een Android device maakt de vragenlijst niet af, dan is duidelijk dat er mogelijk iets mis is | Kan worden achterhaald middels het navigator object | Nee, tot op zekere hoogte. Als er andere data wordt verzameld waarbij kennis dat iemand een Android device heeft wel |
| Browser | Zelfde redenatie als het device | Kan worden achterhaald middels het navigator object | Nee, vaak hebben mensen meerder browsers. Als dit wordt gecombineerd met device mogelijk wel. |
| Tijdstip start invullen vragen | Voor Playwall en klant interessant. Op welke tijdstippen komen gebruikers? Ook om achteraf te bepalen hoelang er over een Playwall is gedaan | Aan het begin van een questionnaire wordt de huidige timestamp geregistreerd. | Nee, deze data op zich, en zelfs in combinatie met andere data is niet herleidbaar |
| Tijdstip eind invullen vragen | Om te bepalen hoelang, vergeleken met starttijd, iemand over het invullen van de vragen heeft gedaan | Aan het eind van een questionnaire wordt de huidige timestamp geregistreerd. | Nee, deze data op zich, en zelfs in combinatie met andere data is niet herleidbaar |
| Locatie | Om antwoorden op vragen te kunnen indelen op lokaal niveau. Dit geeft meer inzichten | Kan middels een koppeling met Google Analytics worden bepaald | Ja, iemand zou in combinatie met antwoorden en andere data kunnen worden geïdentificeerd. |
| Geslacht | Om antwoorden te kunnen indelen op basis van geslacht | Kan middels een koppeling met Google Analytics worden bepaald | Ja, iemand zou in combinatie met antwoorden en andere data kunnen worden geïdentificeerd. |
| Leeftijd | Om antwoorden te kunnen indelen op basis van leeftijd | Om antwoorden te kunnen indelen op basis van leeftijd | Ja, iemand zou in combinatie met antwoorden en andere data kunnen worden geïdentificeerd. |
| Totale tijdsduur invullen vragenlijst | Om validiteit te kunnen garanderen. Als iemand een vragenlijst in 5 seconden voltooid, terwijl de rest er 3 minuten over doet, kun je ervan uit gaan dat de data niet valide is | Op basis van begin- en eindtijd van de vragenlijst | Nee, deze data op zich, en zelfs in combinatie met andere data is niet herleidbaar |
| Algemene mening vragen | Geeft algemeen inzicht in de gebruiker, maar geen inzicht in persoonlijke voorkeuren | De betaal tool | Omdat het algemene vragen zijn waarschijnlijk niet, maar dat moet worden bekeken per vraag en de data die daarbij beschikbaar is |
| Voorkeursvragen | Vragen die inzicht geven in iemands voorkeur, voor targeting en doelgroep inzicht doeleinden | De betaal tool | Ja, vooral als deze met alle bovenstaande gegevens kunnen worden gecombineerd |
| E-mailadres | Om data zonder enige moeite te kunnen herleiden naar een specifiek persoon | De betaal tool | Ja, dit maakt meteen duidelijk wie iemand is, vooral in combinatie met bovenstaande gegevens |
| Beroepsgroep | Om antwoorden te kunnen indelen op basis van beroepsgroep | De betaal tool | Ja, vooral als deze met alle bovenstaande gegevens kunnen worden gecombineerd |
Conclusies
Er zijn veel wetgevingen en regels rondom het verzamelen van data. The Playwall moet dan ook erg opletten wat voor soort data er wordt verzameld, welke effecten dit kan hebben voor de gebruiken, en aan welke wetten moet worden voldaan.
Op dit moment lijkt het erop dat the Playwall een verwerkingsverantwoordelijke wordt. Wij bepalen het doel en de middelen om bepaalde data te verzamelen. Het is dan ook aan ons om te bepalen met welke wetgevingen rekening moet worden gehouden. Een ding is nu al duidelijk, bijzondere persoonsgegevens zijn data die wij niet kunnen vragen aan onze gebruikers.
Tijdens het ontwerpproces moet rekening worden gehouden met alle aspecten van de besproken punten. De data moet interessant zijn voor de klant, maar niet de privacy van de gebruiker in gevaar brengen. Ook moet de opslag goed worden geregeld en moeten er protocollen komen in het geval van een datalek. De manier van vraagstellingen moet voor een groot deel worden gebaseerd op basis van dit onderzoek. Welke data met de antwoorden op vragen wordt gecombineerd moet ook zeker worden mee gewogen.
Buiten de wetten om hebben de gebruikers ook hun eigen mening over privacy. Ik moet verder gaan onderzoeken hoe wij hen kunnen overtuigen dat wij verantwoordelijk met die data om gaan, en dat het inderdaad op zo'n manier wordt verwerkt dat het hen nooit problemen kan opleveren.
Ook met de partijen met wie the Playwall in zee gaan, moeten goede afspraken worden gemaakt. Als zij de data opslaan zijn zij ook de verwerker.
Alles wat wij doen, waarom en wat er met data gebeurd moet inzichtelijk worden gemaakt voor de gebruiker. Ze moeten altijd contact kunnen opnemen, en indien mogelijk een verzoek kunnen indienen om alle data die over hun bekend is te kunnen laten verwijderen.
Ik zal dit onderzoek in alle vervolgstappen van dit onderzoek meenemen. Op elk vlak, zowel voor the Playwall en hun klanten, als voor de gebruiker is dit erg relevant.