Gegevensbeschermingseffectbeoordeling: verschil tussen versies
k |
k |
||
Regel 7: | Regel 7: | ||
'''Gewone ondertekeningen''' | '''Gewone ondertekeningen''' | ||
− | In het eerste geval geeft een ondertekenaar naam, e-mailadres en woonplaats op. De ondertekenaar houdt zelf toegang tot de gegevens die in onze database staan genoteerd via de 'persoonlijke pagina'. Op verzoek kunnen de gegevens ook altijd gewist worden. De uiteindelijke lijst met ondertekenaars die de petitionaris overhandigt aan de ontvanger van de petitie bevat alleen naam en woonplaats en eventuele optionele toevoegingen. | + | In het eerste geval geeft een ondertekenaar naam, e-mailadres en woonplaats op. De ondertekenaar houdt zelf toegang tot de gegevens die in onze database staan genoteerd via de 'persoonlijke pagina'. Op verzoek kunnen de gegevens ook altijd gewist worden. De uiteindelijke lijst met ondertekenaars die de petitionaris overhandigt aan de ontvanger van de petitie bevat alleen naam en woonplaats en eventuele optionele toevoegingen door de ondertekenaar. |
De lijst mag nergens anders voor gebruikt worden dan voor een controle van de ondertekeningen (achtergrond, echtheid). In de praktijk kan de lijst ook nergens anders voor gebruikt worden omdat er geen adresgegevens bij staan. Communicatie met de ondertekenaars gaat via de Stichting Petities.nl. | De lijst mag nergens anders voor gebruikt worden dan voor een controle van de ondertekeningen (achtergrond, echtheid). In de praktijk kan de lijst ook nergens anders voor gebruikt worden omdat er geen adresgegevens bij staan. Communicatie met de ondertekenaars gaat via de Stichting Petities.nl. |
Versie van 13 dec 2024 om 13:47
Voor onze klanten is een Gegevensbeschermingseffectbeoordeling een verplichting op basis van de Algemene verordening gegevensbescherming.
De vraag waar het om draait: is er een hoog of een laag risico op privacyschending?
Om die vraag te beantwoorden moeten we eerst een onderscheid maken tussen de verzameling van ondertekeningen voor reguliere petities en die waarbij extra persoonsgegevens worden gevraagd.
Gewone ondertekeningen
In het eerste geval geeft een ondertekenaar naam, e-mailadres en woonplaats op. De ondertekenaar houdt zelf toegang tot de gegevens die in onze database staan genoteerd via de 'persoonlijke pagina'. Op verzoek kunnen de gegevens ook altijd gewist worden. De uiteindelijke lijst met ondertekenaars die de petitionaris overhandigt aan de ontvanger van de petitie bevat alleen naam en woonplaats en eventuele optionele toevoegingen door de ondertekenaar.
De lijst mag nergens anders voor gebruikt worden dan voor een controle van de ondertekeningen (achtergrond, echtheid). In de praktijk kan de lijst ook nergens anders voor gebruikt worden omdat er geen adresgegevens bij staan. Communicatie met de ondertekenaars gaat via de Stichting Petities.nl.
We ontmoedigen de lijst te overhandigen omdat de argumenten in en het aantal ondertekenaars van een petitie het belangrijkst zijn voor de ontvanger. In de toekomst zullen we die lijst waarschijnlijk alleen op nadrukkelijk verzoek van de ontvanger ter inzage geven, ook om te voorkomen dat het in een (online) archief terecht komt en opgevraagd kan worden.
Ondertekeningen met adresgegevens
De tweede soort van gegevensverzameling is kwetsbaarder. De gegevens worden namelijk gebruikt om de identiteit van de ondertekenaars te controleren omdat dit nodig is om vast te stellen of de petitie (een referendumverzoek, burgeriniatief, burgeramendement of iets dergelijks) in behandeling wordt genomen. De persoonsgegevens van de ondertekenaars worden vergeleken met de registratie van inwoners die volgens de regels van de ontvanger gerechtigd zijn om te ondertekenen.
Wij als Stichting Petities.nl kunnen een dergelijke controle niet uitvoeren. De standaardafspraak met dergelijke ontvangers is:
- dat de gegevens via beveiligde kanalen en versleuteld worden overhandigd
- aan de uiteindelijke individuele werknemer van de organisatie die de controle uitvoert,
- kort voor aanvang van de controle,
- met het verzoek de gegevens direct na de controle te wissen en
- alleen een proces-verbaal over die controle te produceren.
In dat proces-verbaal mogen dan geen tot op de persoon herleidbare gegevens komen, maar bijvoorbeeld:
- hoeveel ondertekeningen zijn er gecontroleerd,
- hoeveel voldoen aan de criteria,
- hoeveel zijn op welke grond afgewezen en dergelijke.
Maar ook bij deze tweede soort wordt niet voldaan aan minstens 2 van de 9 criteria die Autoriteit Persoonsgegevens geeft.[1]
1. Beoordelen van mensen op basis van persoonskenmerken is beperkt tot het instemmen met een petitie, wij oordelen daar niet over, het heeft geen consequenties tenzij het individu er zelf toe besluit het te publiceren en er ook nog eens derden zijn die er consequenties aan kunnen verbinden. Om te voorkomen dat men zich onbewust profileert worden de namen van ondertekenaars buiten de zoekresultaten van zoekmachines gehouden.
2. Geautomatiseerde besluiten op basis van de ondertekening van een petitie gaat nooit over individuen, maar alleen over de petitie. Bijvoorbeeld 'er zijn 100 ondertekeningen van inwoners gezet'.
3. Stelselmatige en grootschalige monitoring is ook niet het geval want dat slaat op fysieke monitoring in openbare ruimten.
4. Gevoelige gegevens: bijzondere persoonsgegevens; strafrechtelijke gegevens; gegevens die over het algemeen als privacygevoelig worden beschouwd. [2] slaat vooral op de bijzondere persoonsgegevens, want afhankelijk van de petitie die men ondertekent kan daarmee een persoonsgegeven gesuggereerd worden: etniciteit, politieke opvatting, religie, lidmaatschap, gezondheid, seksueel gedrag/geaardheid, en zelfs genetische gegevens (bijvoorbeeld een petitie die vraagt om de vergoeding van medicijnen bij een erfelijke ziekte). Wel wordt ondertekenaars (standaard) aangeboden de ondertekening niet publiekelijk te tonen. Zichtbaar op de website ondertekenen vergt een keuze door een vinkje te zetten.
5. Grootschalige gegevensverwerkingen [3] slaat wel op het aantal ondertekeningen die worden geregistreerd, maar niet op de organisatie. Die valt eerder in de categorie 'eenpitter' zoals advocaten of artsen, die uitgezonderd worden in dit verband. Ja, er zijn veel (bijzondere) persoonsgegevens geregistreerd maar de organisatie kan en doet er niks mee behalve tellen en tonen als optelsom.
6. Gekoppelde databases is ook niet het geval. Niemand buiten de kleine Stichting Petities.nl heeft toegang tot de database, laat staan dat die gedeeld wordt met derden.
7. Gegevens over kwetsbare personen is ook niet het geval. Er is geen afhankelijkheidsrelatie tussen Stichting Petities.nl en de ondertekenaar, zoals bij een behandelend arts. Iedereen kan in vrijheid besluiten wel of niet op petities.nl een petitie te ondertekenen.
8. Gebruik van nieuwe technologieën is ook niet het geval. De toepassing is niets meer dan een online database.
9. Blokkering van een recht, dienst of contract is ook niet het geval. Een ondertekening van een petitie geeft geen recht tot bepaalde diensten, een privilege of wat dan ook.
Kortom, hoogstens grootschalig en bijzondere gegevens.
Typerend voor onze verwerking van persoonsgegevens is dat er wel sprake is van 'gerechtvaardigd belang' [4] naast de proportionaliteit en subsidiariteit van ons handelen. Het kan niet anders.
Risico's
Wat zijn mogelijke risico's? Een bijzonder persoonsgegeven kan in handen komen van iemand die er wel consequenties aan kan verbinden. Bijvoorbeeld een werkgever die een werknemer op grond van een ondertekening niet aanneemt. Die ondertekening moet dan wel op zichtbaar staan en de werkgever moet er doelgericht naar zoeken.
De lijst ondertekenaars kan misbruikt worden voor een nauwkeurige mailing voor exact die doelgroep. Maar dan moet de namenlijst nog wel eerst verrijkt worden met adresgegevens. Toegang tot de database zelf is beperkt tot een paar personen van de Stichting Petities.nl in combinatie met sleutels, versleuteling, geauthentiseerde, gekoppelde hardware ontsloten via beveiligde kanalen door biometrische kenmerken en wachtwoorden.