jun 23, 2016 / door Jan-Willem Ligtelijn / In Piwik, Privacy

Overheid, de publieke sector en privacy

De onderwerpen privacy en bescherming van persoonsgegevens zijn steeds vaker een onderwerp van discussie. Wat mag u als overheid of instantie binnen de publieke sector nou wel en niet? Mag u gebruik maken van Google Analytics? Moet ik een cookie melding op de website hebben staan? Opt-in of opt-out? Hoe weet u wanneer u privacy compliant bent met betrekking tot uw online aanwezigheid? Is er een eenduidig decreet vanuit de overheid of vanuit het AP als het gaat om gebruik van webstatistiek en het opslaan van gebruikersgegevens? In dit blog proberen we hier duidelijkheid in te scheppen.

Wat mag de overheid en de publieke sector expliciet niet?

Vanuit de overheid wordt op dit moment nog geen “gij zult” decreet uitgesproken. Dit hoeft de overheid namelijk ook niet te doen gezien er voldoende privacy waakhonden zijn zoals het AP (Autoriteit Persoonsgegevens, vroeger het CBP) die schendingen van privacy pro-actief aanpakken. Waar de meeste instanties mee te maken krijgen is de Wet bescherming persoonsgegevens (Wbp). De Wbp is gebaseerd op de Europese richtlijn bescherming persoonsgegevens. In de Wbp staat ook beschreven wat de AP wel en niet mag.

De Wbp hanteert de volgende belangrijkste bepalingen (Bron AP):

  • Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
  • Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  • Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
  • De gegevensverwerking moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.

Op basis van de Wbp is ook de cookie wetgeving opgesteld. Hierin staat expliciet vermeld wanneer u wel en geen cookies mag plaatsen en wanneer u toestemming voor het gebruik van cookies moet vragen (expliciete opt-in). Meer informatie hierover vindt u in dit blogbericht.

Het AP kijkt als volgt naar het gebruik van tracking cookies:

  • (nagenoeg) Alle individualiseerbare gegevens zijn te beschouwen als persoonsgegevens. Directe herleidbaarheid tot een persoon is niet vereist;
  • Indien de mogelijkheid van heridentificatie blijft bestaan is de Wbp nog steeds van toepassing;
  • Zo is ook het verwijderen van het laatste octet van een IP-adres nog geen anonimisering;
  • Niet-functionele cookies mogen pas worden geplaatst na het geven van informatie en verkrijging van toestemming van de gebruiker (dus tot het akkoord geen cookies);
  • Toestemming voor het plaatsen van een cookie is nog geen toestemming voor het verder verwerken van persoonsgegevens met behulp van dat cookie;
  • Gegevens over surfgedrag zijn gevoelige gegevens, die een indringend beeld kunnen geven van iemands (communicatie)gedrag en belangstelling en soms ook iets zeggen over de inhoud van de communicatie.

Overigens geldt voor veel van de uitgangspunten dat het CBP hierbij verwijst naar de eigen mening van de artikel 29 werkgroep. Deze werkgroep wordt voorgezeten door het AP zelf. De verwijzingen naar jurisprudentie is vaak wel erg “ruim”. De boodschap van het AP is: De privacywetgeving heeft een ruime strekking en het AP acht zich bevoegd om die (ruim geïnterpreteerde) wet te handhaven.

Hoe zit het met gebruik van Google Analytics binnen de overheid en publieke sector?

Het wel of niet mogen gebruiken van Google Analytics is een hot topic binnen de overheid. Het staat als een paal boven water dat Google Analytics gegevens gebruikt voor verrijking van gebruikersprofielen. Door het gebruik van Google Analytics accepteert u de gebruikersvoorwaarden van Google waarin dit expliciet vermeldt staat. U kunt als uitweg wel de “bewerkersovereenkomst” met Google sluiten, maar deze voldoet volgens het AP niet aan de wettelijke vereisten en is dus niet voldoende. Het AP schrijft hierover:

“De standaard gebruikersvoorwaarden van Google kwalificeren niet als een bewerkersovereenkomst of vergelijkbare rechtshandeling die betrekking heeft op de bescherming van persoonsgegevens in de zin van artikel 14, tweede lid, van de Wbp. De overeenkomst moet naar zijn aard betrekking hebben op de gegevensverwerking. De overeenkomst mag niet betrekking hebben op een vorm van dienstverlening waar de gegevensverwerking slechts een uitvloeisel van is. Daarvan is in casu sprake. De verplichtingen moeten over en weer bovendien duidelijk zijn neergelegd en de overeenkomst moet op dat punt voldoende gedetailleerd zijn. Uitgangspunt daarbij is dat de bewerker daadwerkelijk op instructie van de verantwoordelijke kan handelen. Aan deze vereisten van een bewerkersovereenkomst voldoen bovengenoemde algemene voorwaarden niet.”

Google geeft aan dat zij de webstatistieken niet als persoonsgegevens zien en dat daarom de bewerkersovereenkomst wel juridisch juist is. Recentelijk heeft Google onder druk van het AP wel de gebruikersvoorwaarden aangepast zodat er duidelijker wordt uitgelegd wat Google precies doet met de verzamelde data. Dit betekent echter niet dat ze stoppen met het gebruiken van deze data.

Wat kunnen we concluderen uit de verschillende individuele casussen die het AP heeft gevoerd tegen onder andere de NPO, TP Vision en diverse (semi)overheidsinstellingen?

Het gebruik van Google diensten wordt niet expliciet uitgesloten maar op individuele basis door het AP beoordeeld. Als we kijken naar wat “best practice” en wenselijk is, is het duidelijk dat zeker overheidsinstellingen en organisaties binnen de publieke sector er goed aan doen om naar alternatieven te kijken die data ownership garanderen. Zo weet u zeker dat de verzamelde data alleen voor uw organisatie is bestemd. Het meest gangbare alternatief is Piwik. Dit open source alternatief zorgt direct voor compliancy met Nederlandse en Europese wet- en regelgeving. Inmiddels hebben wij al een tal van overheidsinstanties, gemeentes en andere organisaties in onderwijs en zorg zien overstappen of helpen overstappen naar Piwik. Denk hierbij aan Rijksoverheid, SURF, het Kadaster, Gemeente Utrecht etc.

Voor een uitgebreide vergelijking tussen Piwik en Google Analytics bevelen wij u onderstaande drieluik aan om te lezen.

Heeft u nog vragen over data compliancy, data ownership of webstatistieksystemen? Wilt u weten of uw organisatie compliant is en wat u moet doen om dit te worden? Maak dan een afspraak met één van onze specialisten!