Privacy onderzoek

Dit deel van het onderzoek werd geleid door de Data Protection Officer binnen de Dienst Data en Informatie van de Stad Gent en omvat alle informatie omtrent privacy en de relatie met GDPR of AVG.

Doel

In werkpakket 5 gaan we na wat de impact is van de gebruikte IoT-devices, alsook van alternatieven, op de privacy van de bezoeker van het museum. Daarbij leggen we de nadruk op de invloed van de Algemene Verordening Gegevensbescherming (AVG) - in het engels beter bekend als General Data Protection Regulation (GDPR) - op bepaalde technologische en inhoudelijke keuzes. Verder komt ook aan bod in welke mate we IoT-technologie kunnen gebruiken om, afhankelijk van de keuze van IoT-technologie vanuit werkpakketten 2 en 3, op geanonimiseerd of geaggregeerd niveau gegevens kunnen verzamelen die niet onder het werkingsgebied van de AVG vallen. Gezien we er in eerste instantie van uitgaan dat de rechtmatigheidsgrond toestemming, zoals voorzien in de AVG artikel 6, van toepassing zal zijn, gaan we daarnaast dieper in op het menselijk maken van die toestemming. Dit betekent dat we de nodige opt-in zo laagdrempelig mogelijk willen voorstellen aan de bezoeker, zonder af te wijken van de wettelijke bepalingen. Voor dit werkpakket hebben we beroep gedaan op een juridische partner: AContrario.Law.

Dit onderdeel vormt een korte samenvatting vanuit het volledig juridisch advies uitgewerkt door AContrario. Hier willen we kort de belangrijkste conclusies en antwoorden op de vragen die we in het voorstel stelden weergeven. Dit onderdeel dient samen met het juridisch advies gelezen te worden.

Resultaten

Juridische aspecten en GDPR

In eerste instantie heeft AContrario nagegaan welke maatregelen we dienen te nemen opdat de beoogde proefopstelling, zoals vastgelegd in WP2 en 3 in het Design Museum Gent zou voldoen aan de AVG. AContrario stelt 10 stappen voor die nagegaan moeten worden om in overeenstemming te zijn met de AVG. Daarbij moet gecontroleerd worden of er:

  1. Persoonsgegevens verzameld en verwerkt worden;

  2. Welke de wettelijke basis is voor de verwerking;

  3. Of er voldaan is aan de basisprincipes van de AVG: transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslag beperking, integriteit, vertrouwelijkheid en verantwoordingsplicht;

  4. Of de rechten van de betrokkene voldoende worden nageleefd;

  5. Voldoende technische en organisatorische maatregelen genomen zijn om de gegevens goed en correct te beheren ter bewaring van de vertrouwelijkheid en integriteit van de persoonsgegevens;

  6. Voldoende rekening gehouden is met gegevensbescherming door ontwerp en standaardinstellingen;

  7. Er voldoende bewustwording is gecreëerd rond de verwerking;

  8. De gegevenslekken gerapporteerd worden;

  9. Een functionaris voor gegevensbescherming is aangesteld;

  10. De relatie met verwerkers correct is vastgelegd.

Een verdere toelichting van de hierboven vermelde stappen is terug te vinden in het advies van AContrario.

Na deze 10 stappen op de proefopstelling te hebben toegepast concludeerde AContrario dat er binnen MOTFP geen persoonsgegevens van de museumbezoekers worden verwerkt. Dat betekent dat de huidige proefopstelling niet onder de AVG valt. Om die reden is er geen reden om bv. toestemming te vragen. Desondanks hadden we dat wel voorzien. Door de bezoeker effectief een actieve handeling te laten uitvoeren - namelijk zelf de tag aandoen - en op voorhand de nodige informatie te bezorgen via een affiche die bij de sensoren ophing. Op die manier poogden we de toestemming toch menselijker te maken, hoewel die eigenlijk niet nodig was. De gegevens die we verzamelen op deze manier zijn dus anoniem en kunnen verder gebruikt worden voor andere doeleinden, bijvoorbeeld om ervoor te zorgen dat bezoekers beter hun weg vinden door het museum.

image11.jpg

Pancarte ticketbalie met info en privacy statement

Met kleine wijzigingen aan de proefopstelling zou er toch een verwerking van persoonsgegevens kunnen plaatsvinden. Dat zou bijvoorbeeld kunnen door op het einde van het museumbezoek een e-mailadres van de bezoeker te vragen om die het resultaat van het profiel dat werd opgesteld door de proefopstelling door te sturen. Ook in die situatie concludeert AContrario dat de AVG geen fundamenteel bezwaar vormt voor de beoogde verwerking. Uiteraard moet voldaan worden aan de 10 stappen die in het advies besproken worden. De voorwaarden die nodig zijn in dit geval worden uitgebreid besproken in het advies van AContrario.

Ook wanneer we nog verder zouden gaan en bijvoorbeeld een proefopstelling met intelligente camera’s zouden uitwerken, dienen we de 10 stappen te doorlopen. Met dergelijke IoT-technologie vormen er zich echter wel enkele uitdagingen. Camera’s die gezichtsherkenning toepassen zullen namelijk biometrische verzamelen, die onder de zogenaamde “bijzondere categorieën van persoonsgegevens” vallen. Die persoonsgegevens vallen onder strengere eisen volgens de AVG. Zo hebben we de expliciete toestemming van de betrokkene nodig om deze gegevens te kunnen verwerken. In de praktijk zou het erg moeilijk zijn om deze toestemming op een rechtsgeldige manier te kunnen verkrijgen. De grootste uitdaging ligt in het feit of de toestemming al dan niet vrijelijk gegeven kan zijn. Wanneer een bezoeker het museum met intelligente camera’s wil bezoeken, zou het kunnen dat de bezoeker geen toestemming geeft om gezichts afbeeldingen van hem of haar te verwerken. Dan zouden er echter toch gezichtsafbeeldingen van die bezoeker verwerkt moeten worden, net om aan zijn of haar keuze te voldoen. Anders kan het systeem niet herkennen wie er wel of niet toestemming heeft gegeven. Op die manier kan de toestemming niet vrijelijk gegeven worden, gezien de betrokkene het museum gewoon niet kan bezoeken wanneer die geen verwerking van gezichts afbeeldingen wenst te ondergaan. Ook qua proportionaliteit van de gegevens kunnen er vragen gesteld worden. Zo is het niet strikt noodzakelijk om dergelijke bijzondere categorieën van persoonsgegevens te verwerken om het doel van het project. In het advies geeft AContrario nog alternatieven op welke manier er wel gebruik gemaakt zou kunnen worden van intelligente camera’s binnen de AVG.

Conclusie

De keuze van de technologie heeft een invloed in welke mate de AVG van toepassing is, maar het hangt voornamelijk af van welke persoonsgegevens er verzameld worden via die technologie. Voor alle andere technologieën dienen dezelfde 10 stappen doorlopen worden om te bepalen in hoeverre de AVG van toepassing is en welke maatregelen er genomen moeten worden. Het is dus belangrijk om ook het juridisch kader mee te nemen in het begin van dergelijk onderzoeks- en aankooptraject.