Factsheet: Hoe zit het met privacy en Open Data?

DE GEMEENTE ALS REGIEVOERDER
GEMEENTE
ALS
WETGEVER		 GEMEENTE
ALS
BESCHERMER		 GEMEENTE
ALS
INNOVATOR		 GEMEENTE
ALS
OPEN DATA
SENSOR DATAVERORDENING IN APV FACTSHEET RECHTSBESCHERMING DATAPARAGRAAF IN INKOOPVOORWAARDEN FACTSHEETS
WBP-TOOLS DATAPARAGRAAF IN SUBSIDIEVERORDENING STAPPENPLAN JURIDISCHE CHECK OPEN DATA
HERGEBRUIK PERSOONSGEGEVENS TOOLS CHECKLIST SAMENWERKINGSVERBANDEN

Waarom zou je dit willen weten?

Overheidsinformatie bevat vaak gegevens over personen en dat geldt zeker voor informatie die gehouden wordt door gemeentes. Deze persoonsgegevens mogen in de regel niet als Open Data vrijgegeven worden en het levert een hoop gedoe op als dat toch gebeurt. Maar hoe herken je ze? En wat kan je er vervolgens wel mee? Hieronder enkele simpele trucks om het goed te doen.

  1. Wat is een persoonsgegeven en hoe herken je die?
    Volgens de Wet bescherming persoonsgegevens (Wbp), waarin (grotendeels) het gebruik van persoonsgegevens is geregeld, is ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’ een persoonsgegeven.
iedere informatie betreffende een persoon
  • Alleen mensen (natuurlijke personen) vallen hieronder, geen rechtspersonen (BV’s, verenigingen etc.)
  • niet alleen namen of andere personalia, maar ook om gegevens die indirect iets vertellen over de persoon, zoals informatie over goederen of gebeurtenissen: zo kan de waarde van de auto een persoonsgegeven zijn of ongeluk dat iemand gehad heeft
  • een handig hulpmiddel is je af te vragen of het gegeven bepalend kan zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld: zo ja, dan heb je zeker te maken met een persoonsgegeven.
een geïdentificeerde of identificeerbare persoon
  • een geïdentificeerd persoon kan je aanwijzen
  • een identificeerbare persoon is iemand waarbij je dat niet kan, maar van wie je de identiteit zonder veel inspanning kan vaststellen.
  • De makkelijk herkenbare groep is ‘direct identificerende gegevens’: namen, adressen en geboortedatum. Die zijn in combinatie met elkaar zo uniek en kenmerkend voor een bepaalde persoon dat deze daarmee kan worden geïdentificeerd.
  • De lastige groep is de ‘indirect identificerende gegevens’: deze kan je niet direct aan een persoon hangen, wel via nadere stappen, in combinatie met andere personen, zoals: leeftijd, woonplaats en beroep. Hierbij is dus de beschikbaarheid van die andere gegevens bepalend of het om identificerende gegevens gaat.
  • Het onderscheidende vermogen van dergelijke (combinaties van) gegevens is mede afhankelijk van de context waarbinnen ze worden gebruikt. Ze zijn bijvoorbeeld afhankelijk van de omvang van de bevolkingsgroep waarop de gegevensverwerking betrekking heeft.

  1. Wat betekent de aanwezigheid van persoonsgegevens voor het doen aan Open Data?

    In de regel betekent de aanwezigheid van systematisch bijgehouden persoonsgegevens dat je de data niet als Open Data beschikbaar mag stellen. Wil je dat toch doen, raadpleeg dan een juridisch expert. Uiteraard kan je ook de gegevens anonimiseren aggregeren – bijvoorbeeld van adresniveau naar postcode 4 niveau – zodat identificatie niet langer (makkelijk) mogelijk is.

  1. Wat als er toch iets mis is gegaan?

    Waar gewerkt wordt, worden fouten gemaakt: niet iedere schending van de Wbp leidt tot aansprakelijkheid of sancties van het Autoriteit Persoonsgegevens (voorheen CBP). Sterker nog, als het om een incident gaat, dat direct geadresseerd wordt na constatering, zeker als dit gebeurt met de nobele doelstelling van het vrijgeven van Open Data, zal dit over het algemeen geen consequenties hebben. Wel uiteraard direct een juridische brandweerman erbij halen.