Privacy-aandachtspunten bij

e-portfoliotoepassingen

Jan Peter Bergfeld

Indeling

• Introductie Inlichtingenbureau

“Wij zorgen dat burgers krijgen waar ze recht op hebben”

• Definities Wet bescherming persoonsgegevens

• Privacy-uitgangspunten

• Afronding: privacy als kwaliteitsaspect van de dienstverlening

Juridisch kader

• Grondwet artikel 10

• EU-richtlijn dataprotectie

• Wet bescherming persoonsgegevens (Wbp)

Verwerking van persoonsgegevens:

Elke handeling of elk geheel van handelingen met betrekking

tot persoonsgegevens, waaronder in ieder geval het:

Verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen,

raadplegen, gebruiken, verstrekken d.m.v. doorzending, verspreiding of enige

andere vorm van ter beschikkingstelling, samenbrengen, met elkaar in verband

brengen, alsmede het afschermen, uitwissen of vernietigen van

persoonsgegevens.

Verantwoordelijke: stelt alleen of tezamen met anderen het doel van en

de middelen voor de verwerking van persoonsgegevens vast.

Bewerker: degene die t.b.v. de verantwoordelijke persoonsgegevens verwerkt,

zonder aan diens rechtstreeks gezag te zijn onderworpen.

Wbp-definities

Doelspecificatie / doelbinding

Wbp art. 7: Persoonsgegevens worden voor welbepaalde,

uitdrukkelijk omschreven en gerechtvaardigde doeleinden

verzameld.

E-portfolio: een verzameling van doelgericht bij elkaar gebrachte

elektronische gegevens en documenten (bestanden), die wordt

beheerd door het lerende en werkende individu. Het doel van het

samenstellen van een e-portfolio is het tonen van resultaten (en

eventueel het leerproces) aan anderen.

Verzamelbeperking / gebruikersbeperking

Wbp art. 11 lid 1: Persoonsgegevens worden slechts verwerkt voor zover zij

toereikend, ter zake dienend en niet bovenmatig zijn.

Wbp art. 9 lid 1: Persoonsgegevens worden niet verder verwerkt op

een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn

verkregen.

Verzamelbeperking / gebruikersbeperking

Linked In: We use the information you provide to (…..) send you

service or promotional communications through email (…..)

Gegevenskwaliteit

Artikel 11 lid 2 Wbp: “De verantwoordelijke treft de nodige

maatregelen opdat persoonsgegevens, gelet op de doeleinden

waarvoor zij worden verzameld of vervolgens worden verwerkt,

juist en nauwkeurig zijn”.

Informatiebeveiliging

Artikel 13 Wbp: draagt de verantwoordelijke op om passende

technische en organisatorische maatregelen ten uitvoer te leggen om

persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van

onrechtmatige verwerking. Deze maatregelen garanderen, rekening

houdend met (1.) de stand van de techniek en (2.) de kosten van de

tenuitvoerlegging, een passend beveiligingsniveau.

Informatiebeveiliging

(…) However, since the internet is not a 100% secure environment,

we cannot ensure or warrant the security of any information you

transmit to Linked in

Verantwoordelijkheid / aansprakelijkheid

Het uitgangspunt is dat de verantwoordelijke verantwoordelijk en

aansprakelijk is voor de gegevensverwerking.

Transparantie / inzagerecht

Art. 27 Wbp: verwerking melden bij College bescherming persoonsgegevens

of bij door verantwoordelijke door de verantwoordelijke benoemde

Functionarisvoor de gegevensbescherming.

Art. 35/36 Wbp: inzage- en correctierecht voor betrokkene

Conclusie

Privacy kan en moet een kwaliteitsaspect van de dienstverlening zijn. Dat

dwingt tot heldere keuzes en afwegingen door de leiding van de organisatie.

Een privacyjurist kan daarbij ondersteunen maar kan dat niet overnemen.

Een op schrift gestelde privacy policy kan invulling geven aan de privacy-

uitgangspunten.