Gegevensbeschermingseffectbeoordeling

Uit Petities
Ga naar: navigatie, zoeken

Voor onze klanten is een Gegevensbeschermingseffectbeoordeling een verplichting op basis van de Algemene verordening gegevensbescherming.

De vraag waar het om draait: is er een hoog of een laag risico op privacyschending?

Om die vraag te beantwoorden moeten we eerst een onderscheid maken tussen de verzameling van ondertekeningen voor reguliere petities en die waarbij extra persoonsgegevens worden gevraagd.

Gewone ondertekeningen

In het eerste geval geeft een ondertekenaar naam, e-mailadres en woonplaats op. De ondertekenaar houdt zelf toegang tot de gegevens die in onze database staan genoteerd via de 'persoonlijke pagina'. Op verzoek kunnen de gegevens ook altijd gewist worden. De uiteindelijke lijst met ondertekenaars die de petitionaris overhandigt aan de ontvanger van de petitie bevat alleen naam en woonplaats en eventuele optionele toevoegingen door de ondertekenaar.

De lijst mag nergens anders voor gebruikt worden dan voor een controle van de ondertekeningen (achtergrond, echtheid). Immers, het is een doelgerichte verzameling van persoonsgegevens. Het doel is de controle van de geloofwaardigheid van de petitie. Daarvoor zijn er ondertekeningen nodig van daadwerkelijk bestaande burgers. In de praktijk kan de lijst ook nergens anders voor gebruikt worden omdat er geen adresgegevens bij staan. Communicatie met de ondertekenaars gaat via de Stichting Petities.nl.

We ontmoedigen de lijst te overhandigen omdat de argumenten in en louter het aantal ondertekenaars van een petitie het belangrijkst zijn voor de ontvanger. In de toekomst zullen we die lijst waarschijnlijk alleen op nadrukkelijk verzoek van de ontvanger ter inzage geven, ook om te voorkomen dat het in een (online) archief (zoals een raadsinformatiesysteem) terecht komt en opgevraagd kan worden.

Wel merken we dat als een organisatie een petitie is begonnen ze ons vragen om de persoonsgegevens omdat ze daarvan gebruik willen maken, bijvoorbeeld om ze te benaderen voor donaties of een lidmaatschap. Dat weigeren we dan. Alleen de ondertekenaars die hebben aangegeven e-mail te willen ontvangen kunnen een e-mail ontvangen. Wij verzorgen de mailing dan.

Ondertekeningen met adresgegevens

De tweede soort van gegevensverzameling is kwetsbaarder. De gegevens worden namelijk gebruikt om de identiteit van de ondertekenaars te controleren omdat dit nodig is om vast te stellen of de petitie (een referendumverzoek, burgeriniatief, burgeramendement of iets dergelijks) in behandeling wordt genomen. De persoonsgegevens van de ondertekenaars worden vergeleken met de registratie van inwoners die volgens de regels van de ontvanger gerechtigd zijn om te ondertekenen.

Wij als Stichting Petities.nl kunnen een dergelijke controle niet uitvoeren. De standaardafspraak met dergelijke ontvangers is:

  • dat de gegevens via beveiligde kanalen en versleuteld worden overhandigd
  • aan de uiteindelijke individuele werknemer van de organisatie die de controle uitvoert,
  • kort voor aanvang van de controle,
  • met het verzoek de gegevens direct na de controle te wissen en
  • alleen een proces-verbaal over die controle te produceren.

In dat proces-verbaal mogen dan geen tot op de persoon herleidbare gegevens komen, maar bijvoorbeeld:

  • hoeveel ondertekeningen zijn er gecontroleerd,
  • hoeveel voldoen aan de criteria,
  • hoeveel er op welke grond zijn afgewezen en dergelijke.

Maar ook bij deze tweede soort wordt niet voldaan aan minstens 2 van de 9 criteria die Autoriteit Persoonsgegevens geeft.[1]

1. Beoordelen van mensen op basis van persoonskenmerken is beperkt tot het instemmen met een petitie, wij oordelen daar niet over, het heeft geen consequenties tenzij het individu er zelf toe besluit het te publiceren en er ook nog eens derden zijn die er consequenties aan kunnen verbinden. Ons is een geval bekend van iemand die haar petitie over een vermoeidheidsziekte niet meer aan haar naam gekoppeld wilde zien. Ze ging namelijk solliciteren en wilde op het juiste moment in die procedure haar ziektegeschiedenis en verloop delen. Maar ze wilde voorkomen dat ze niet uitgenodigd zou worden hierom. Om te voorkomen dat men zich onbewust profileert worden de namen van ondertekenaars buiten de zoekresultaten van zoekmachines gehouden.

2. Geautomatiseerde besluiten op basis van de ondertekening van een petitie gaat nooit over individuen, maar alleen over de petitie. Bijvoorbeeld 'er zijn 100 ondertekeningen van inwoners gezet'. Meer besluiten nemen wij niet.

3. Stelselmatige en grootschalige monitoring is ook niet het geval want dat slaat op fysieke monitoring in openbare ruimten.

4. Gevoelige gegevens: bijzondere persoonsgegevens; strafrechtelijke gegevens; gegevens die over het algemeen als privacygevoelig worden beschouwd. [2] slaat vooral op de bijzondere persoonsgegevens, want afhankelijk van de petitie die men ondertekent kan daarmee een persoonsgegeven gesuggereerd worden: etniciteit, politieke opvatting, religie, lidmaatschap, gezondheid, seksueel gedrag/geaardheid, en zelfs genetische gegevens (bijvoorbeeld een petitie die vraagt om de vergoeding van medicijnen bij een erfelijke ziekte). Wel wordt ondertekenaars (standaard) aangeboden de ondertekening niet publiekelijk te tonen. Zichtbaar op de website ondertekenen vergt een keuze door een vinkje te zetten. Het is een zelfgekozen publicatie.

5. Grootschalige gegevensverwerkingen [3] slaat wel op het aantal ondertekeningen dat wordt geregistreerd, maar niet op de organisatie. Die valt eerder in de categorie 'eenpitter' zoals advocaten of artsen, die uitgezonderd worden in dit verband. Ja, er zijn veel (bijzondere) persoonsgegevens geregistreerd maar de organisatie kan en doet er niks mee behalve tellen en tonen als optelsom.

6. Gekoppelde databases is ook niet het geval. Niemand buiten de kleine Stichting Petities.nl heeft toegang tot de database, laat staan dat die gedeeld wordt met derden. De gegevens verlaten de server niet.

7. Gegevens over kwetsbare personen is ook niet het geval. Er is geen afhankelijkheidsrelatie tussen Stichting Petities.nl en de ondertekenaar, zoals bij een behandelend arts. Iedereen kan in vrijheid besluiten wel of niet op petities.nl een petitie te ondertekenen.

8. Gebruik van nieuwe technologieën is ook niet het geval. De toepassing is niets meer dan een online database.

9. Blokkering van een recht, dienst of contract is ook niet het geval. Een ondertekening van een petitie geeft geen recht tot bepaalde diensten, een privilege of wat dan ook.

Kortom, hoogstens grootschalig en bijzondere gegevens.

Typerend voor onze verwerking van persoonsgegevens is dat er wel sprake is van 'gerechtvaardigd belang' [4] naast de proportionaliteit en subsidiariteit van ons handelen. Het kan niet anders.


Risico's

Wat zijn mogelijke risico's? Een bijzonder persoonsgegeven kan in handen komen van iemand die er wel consequenties aan kan verbinden. Bijvoorbeeld een werkgever die een werknemer op grond van een ondertekening niet aanneemt. Die ondertekening moet dan wel op zichtbaar staan en de werkgever moet er doelgericht naar zoeken.

De lijst ondertekenaars kan misbruikt worden voor een nauwkeurige mailing voor exact die doelgroep. Maar dan moet de namenlijst nog wel eerst verrijkt worden met adresgegevens. Toegang tot de database zelf is beperkt tot een paar personen van de Stichting Petities.nl in combinatie met sleutels, versleuteling, geauthentiseerde, gekoppelde hardware ontsloten via beveiligde kanalen door biometrische kenmerken en wachtwoorden.

De server staat in een beveiligd datacentrum met camerabewaking in een afgesloten kast. Er zijn weinig personen die toegang hebben tot dit datacentrum en nog minder die weten in welke kast onze server staat en welk sleuteltje er nodig is om die te openen. Daarnaast geeft toegang tot de fysieke hardware geen voordeel omdat de data daarop alsnog ontoegankelijk is.

Er is ook geen off-site backup van de server. We nemen het risico dat deze lokatie geen gevaar loopt. De drie machines die we hier draaien zijn onderling met elkaar verbonden en er kan er zonder problemen een tussenuit vallen.

Mocht alle hardware wel ooit allemaal in vlammen of in water op gaan dan installeren we de software opnieuw en beginnen we met een lege website met het verzamelen van gegevens.