Juridisch Advies Acontrario

Dit juridisch advies van Acontrario werd op aanvraag van Stad Gent opgesteld om de impact van IoT in musea context ook op vlak van GDPR te onderzoeken.

1. Inleiding

1.1. Museum of Things for People

Museum of Things for People (MOTFP) is een vooronderzoek, inhoudelijk getrokken door het Design Museum Gent, naar hoe IoT-technologie kan bijdragen tot een verbetering van de aangeboden diensten en een verrijking van de bezoekerservaring. Dit project is een samenwerking tussen Stad Gent, Stad Oostende,Design Museum Gent, Digipolis Gent en de Waalse Krook.

MOTFP start, zoals de naam aangeeft, vanuit een Smart Space-setting die zal gebouwd worden in het Design Museum Gent om een aantal business cases en technische vereisten onder de loep te nemen. Aan de hand van de “living lab”- methodologie wilt MOTFP met echte bezoekers zoeken naar hun specifieke noden en hoe de vooropgestelde opzet daartoe een oplossing kan bieden. Niet enkel dat, maar ook hoe bepaalde keuzes voor technologie de privacy van de bezoekers kunnen vrijwaren en hoe MOTFP privacy voorop kan stellen. De Stad Oostende gaat mee vanuit de Smart Space op zoek naar hoe zij deze use-cases en learnings kunnen gebruiken voor de tentoonstellingen in de Venetiaanse Gaanderijen.

De IoT opstelling moet de partners in staat stellen om de bezoeker doorheen het museum te volgen en data te verzamelen over welke route ze nemen, bij welke objecten ze blijven staan, welke objecten ze overslaan...Door het gebruik van één of meerdere typessensoren wil MOTFP nadien de verzamelde data van de bezoeker, koppelen aan de data van de objecten en kunstwerken om zo een interesseprofiel te bekomen. Naar de toekomst toe zou het ook wenselijk zijn dat op basis van dit interesseprofiel de bezoeker na het bezoek gepersonaliseerde aanbevelingen zou ontvangen. Hiermee wil MOTFP de bezoeker andere objecten, tentoonstellingen en andere points- of-interest aanbieden in de stad en zo de culturele ervaring doortrekken doorheen de stad en de bredere regio.

Alle resultaten uit dit vooronderzoek wilt MOTFP digitaal ontsluiten onder een open licentie om ook andere Vlaamse culturele instellingen de kans te geven om hieruit te leren en sneller kunnen schakelen in het opzetten van eigen IoT-systemen.

De impact van IoT wordt op 3 verschillende niveaus onderzocht:

Menselijk

Het project onderzoekt in welke mate IoT-gebruik menselijk en wenselijk is. Welke vormen van interactie zoeken bezoekers? Wat vinden ze intrusief? Welke handelingen zijn ze bereid te maken, enz.

Technologisch

Welke technologieën maken het mogelijk om aan indoor tracking en profilering te doen? Zijn beacons interessanter tegenover LIDARS, smart camera’s, ultra white band, wearables of andere technologie? En wat zijn de voordelen en voorwaarden?

Juridisch

Op basis van wat de bezoekers willen en wat technisch mogelijk is, moet MOTFP ook de juiste vragen durven stellen rond privacy en dataverzameling. Wat is de impact van de keuzes die het project maakt op de privacy? Zijn daar onbedoelde neveneffecten? Wat moeten we inbouwen om privacy te garanderen? Het huidig advies zal dit luik behandelen.

1.2. Specifieke juridische noden van Stad Gent – Gegegevensbescherming door ontwerp en standaardinstellingen (Data protection by design & default)

IoT-technologie kan veel voordelen bieden aan zowel de museumbezoeker als het museum. Nieuwe inzichten kunnen worden verworven door gegevens te analyseren waarover men vroeger niet beschikte. Maar met nieuwe technologie komen ook nieuwe uitdagingen. IoT lijkt al jaren op gespannen voet met de privacy te leven. Daarmee willen wij echter niet gezegd hebben dat deze twee begrippen niet te verzoenen zijn. Integendeel! De vraag is dus hoe we ervoor kunnen zorgen dat de privacy van de museumbezoeker ten volle wordt gerespecteerd en tegelijk voldoende gegevens kunnen worden verzameld zodat MOTFP nuttige inzichten kan vergaren. Dit is bijgevolg het doel van dit advies.

Vooreerst zullen de principes rond privacy of gegevensbescherming worden uiteengezet (zie Hoofdstuk 2). Vervolgens zal het juridisch advies zich focussen op het positioneringssysteem dat in gebruik zal worden genomen in het Design Museum Gent, waarbij verschillende gegevens zullen worden verzameld van de museumbezoekers (Hoofdstuk 3). Concreet wenst Stad Gent juridisch advies over de mogelijke gevolgen voor de privacy van de museumbezoeker en de impact van de toepasselijke wetgeving op de beoogde implementering van de IoT-technologie. Wat zijn de mogelijke rechtsgronden voor de verwerking.

Daarnaast zal dit advies ook een aantal hypotheses verder uitwerken:

  • Geldt het advies ook indien we de huidige proefopstelling aanpassen en nog persoonlijker trachten te maken (Hoofdstuk 4)

  • het gebruik van intelligente camera's (Hoofdstuk 5);

  • bruikbaarheid van de analyse voor andere tracking technologieën (via bijv. smartphone, bluetooth low emission (beacons), LIDAR, Visible Light Positioning, Wifi sniffing, RFID,...) (Hoofdstuk 6).

1.3. Beschrijving van de proefopstelling

Het proefproject werd uitgerold in het Design Museum Gent, meer bepaald op de eerste verdieping. Op de eerste verdieping zijn sensoren of anchors geplaatst.

Bij het binnenkomen van het museum, krijgen de bezoekers aan de balie volledig vrijblijvend de mogelijkheid aangeboden om tijdens hun museumbezoek een “tag” in de vorm van een amulet of halsketting om te doen (ook ‘wearable’ genoemd). Deze tag straalt signalen (1) uit naar de anchors waardoor de anchors de tags tot op 30 cm nauwkeurig kunnen localiseren. De anchors kunnen hierbij ook registreren welke richting de bezoeker die de tag rond zijn/haar hals heeft, uitkijkt.

De verschillende anchors werden opgesteld op strategische plaatsen, zorgvuldig geselecteerd door de technische partner en leverancier Pozyx (2). Daarbij werd de nodige aandacht besteed aan het uitkiezen van enkele proefobjecten. Omwille van technische beperkingen, was het namelijk niet mogelijk om alle objecten in de proefopstelling op te nemen, aangezien deze te dicht bij elkaar opgesteld staan. Door een selectie te maken van verschilllende objecten, wordt het technisch gezien mogelijk om te capteren naar welk object een bezoeker aan het kijken is.

De server waar de localisatiegegevens worden opgeslagen en voor de hierna uiteengezette doeleinden worden gebruikt staat on-site in het museum. Indien nodig zal de tijdelijke opslag van deze gegevens gebeuren op de cloud infrastructuur waarvan de servers in Ierland en Frankfurt staan.

Op basis van de informatie met betrekking tot de objecten waaraan een bezoeker aandacht heeft besteed tijdens zijn bezoek aan het designmuseum, wordt een profiel samengesteld door de andere technische partner, zijnde Crunch Analytics (3). Zij ontwikkelden een platform dat op grond van slimme algoritmes en artificiële intelligentie de gegevens bij het uitlezen van de amulet omzet in bezoekersprofiel. Afhankelijk van het gezelschap waarin de persoon verkeerde tijdens zijn bezoek, kan dit een individueel of een groepsprofiel zijn. Bij het uitlezen van de tag aan het einde van het bezoek, wordt dit profiel aan de bezoeker meegedeeld via een gebruikersinterface. Daarbij worden ook een aantal suggesties gepresenteerd die dat bepaald profiel mogelijks nog kunnen interesseren.

Momenteel wordt dit bezoekersprofiel, dat enkel wordt uitgelezen niet gekoppeld aan enige andere gegevens van de bezoeker. Zo is er in de gebruikersinterface geen mogelijkheid om een mailadres achter te laten, waarnaar het profiel en andere informatie zou kunnen worden doorgestuurd.

2. Het ABC van de AVG

2.1. Algemene Verordening Gegevensbescherming of AVG

Het belangrijkste stuk wetgeving inzake privacy en gegevensbescherming dat van toepassing kan zijn op de proefopstelling van MOTFP is de Algemene Verordening Gegevensbescherming (hierna ‘AVG’). De AVG, beter bekend onder zijn Engelse afkorting ‘GDPR’, is de opvolger van de Europese richtlijn inzake gegevensbescherming van 1995 (4) en bouwt verder op de reeds ontwikkelde principes van die richtlijn. Doel van de verordening is een sluitend wetgevend kader te bieden inzake gegevensbescherming dat de verschillen tussen de Europese lidstaten harmoniseert. Hoewel veel van de principes van de AVG dus niet nieuw zijn, heeft de AVG toch voor een aardschok gezorgd, zij het minder groot dan verwacht, bij bedrijven en overheden op het Europese continent en ver daarbuiten. De AVG introduceert een meer formalistische aanpak wat gegevensbescherming betreft en legt een aantal nieuwe verplichtingen op aan de gegevensverantwoordelijken (5). Lees dit samen met de aanzienlijke verhoging van de boetes die gegevensbeschermingsautoriteiten kunnen opleggen en men begrijpt waarom gegevensbescherming zo belangrijk is geworden.

In de volgende titel worden de 10 stappen besproken die AContrario aanraadt te volgen wanneer men als bedrijf, overheid of entiteit binnen de EU de AVG moet naleven. Deze 10 stappen zullen ook de rode draad vormen doorheen dit advies.

2.2. De 10 stappen om in overeenstemming te komen met de AVG

1) Persoonsgegevens (6)

De eerste vraag die een verwerkingsverantwoordelijke zich moet stellen is: verzamel ik bij deze verwerking/project/activiteit persoonsgegevens? De AVG is immers enkel van toepassing op persoonsgegevens.

Wat zijn persoonsgegevens? Persoonsgegevens zijn gegevens waardoor u een individu kan identificeren, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

In het verlengde hiervan moet de verwerkingsverantwoordelijke zich ook de vraag stellen of er persoonsgegevens van kinderen worden verzameld. Zo ja, dan moeten er mogelijks extra maatregelen worden genomen.

2) Wettelijke basis (7)

Nadat is vastgesteld dat de gegevensverwerking onder de AVG valt, moet men nagaan wat de gepaste wettelijke basis is voor de verwerking. Afhankelijk van welk soort gegevens men verzamelt, staan er andere grondslagen open voor de verwerkingsverantwoordelijke.

De wettelijke basissen voor de verwerking van persoonsgegevens zijn:

a) noodzaak voor de uitvoering van een overeenkomst; b) wettelijke verplichting; c) noodzaak ter bescherming van de vitale belangen van de betrokkene of een andere persoon; d) noodzaak voor de vervulling van een taak van algemeen belang/openbaar gezag; e) gerechtvaardigde belangen; f) geïnformeerde toestemming.

3) Principes (8)

Vervolgens moet de beoogde gegevensverwerking getoetst worden aan de basisprincipes van de AVG: transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit, vertrouwelijkheid en verantwoordingsplicht.

4) Rechten van betrokkenen (9)

Tijdens deze stap moet er worden nagedacht hoe de rechten van museumbezoekers kunnen worden gewaarborgd. Zo moet men bijvoorbeeld in staat zijn de gegevens te verwijderen wanneer de museumbezoeker daar gerechtvaardigde redenen voor heeft. Eveneens moet men de gegevens kunnen overdragen naar een andere verwerkingsverantwoordelijke wanneer de museumbezoeker daarom vraagt. Museumbezoekers moeten hun rechten op een toegankelijke, efficiënte en zichtbare manier kunnen uitoefenen.

De rechten die een betrokkene, in dit geval een museumbezoeker, kan uitoefenen zijn de volgende:

a) Recht op inzage; b) Recht op informatie; c) Recht op rectificatie; d) Recht om gegevenswissing; e) Recht op beperking van de verwerking; f) Recht op overdraagbaarheid; g) Recht op bezwaar; h) Recht op verzet tegen profilering.

5) Gegevensbeheer (10)

Deze stap veronderstelt dat de verwerkingsverantwoordelijke een aantal stappen onderneemt die de basisprincipes van de AVG reflecteren. Het betreft o.a. het duidelijk in kaart brengen van de (verschillende) gegevensverwerking(en) (overeenkomstig de principes van transparantie & verantwoordingsplicht), het hanteren van duidelijke bewaartermijnen voor de persoonsgegevens (overeenkomstig het principe van opslagbeperking) en het implementeren van proportionele technische en organisatorische maatregelen om de veiligheid van de persoonsgegevens te waarborgen (on-site en digitale toegang tot de gegevens, maatregelen betreffende informatieveiligheid (overeenkomstig de principes van integriteit en vertrouwelijkheid). Verder moeten de (nieuwe) verwerkingsactiviteiten ook worden opgenomen in het register voor verwerkingsactiviteiten.

Uit het voorgaande blijkt duidelijk dat het implementeren van een AVG-conforme oplossing niet enkel een juridische oefening veronderstelt, maar tevens technische en organisatorische maatregelen vereist.

6) Gegevensbescherming door ontwerp en standaardinstellingen (11)

Met gegevensbescherming door ontwerp alludeert de AVG op het feit dat reeds in het beginstadium (zijnde bij het uittekenen van een oplossing, toepassing van een nieuwe technologie in het museum) rekening moet worden gehouden met gegevensbescherming en privacy. De aanbesteding van dit advies en de reeds gedane denkoefening rond de keuze van technologie in de proefopstelling vormen hier beiden een goed voorbeeld. Nauw verbonden hiermee is de verplichting om een gegevensbeschermingseffectbeoordeling (hierna ‘DPIA’ (12)) uit te voeren bij het introduceren van nieuwe verwerkingsactiviteiten of technologieën die een risico kunnen inhouden op de rechten en vrijheden (lees: voornamelijk privacy) van betrokkenen.

Het principe gegevensbescherming door standaardinstellingen schrijft dan weer voor dat persoonsgegevens met het hoogste niveau van privacybescherming moeten worden verwerkt zodat de persoonsgegevens standaard niet toegankelijk zijn voor een onbeperkt aantal personen.

7) Bewustwording creëren rond de verwerking

Binnen de organisatie van de verwerkingsverantwoordelijke moet bewustzijn worden gecreëerd rondom gegevensbescherming. Medewerkers die met persoonsgegevens in aanraking komen moeten geïnformeerd worden over de principes van de AVG en hoe met dergelijke persoonsgegevens moet worden omgesprongen. Niet alleen medewerkers maar ook kaderpersoneel en de bedrijfsleider dient op de hoogte te zijn van de AVG en haar impact op de organisatie.

8) Rapporteren van gegevenslekken (13)

We spreken van een gegevenslek wanneer men persoonsgegevens verliest of in handen komen van derden die daartoe geen toegang hebben. De verwerkingsverantwoordelijke moet procedures hebben om deze gegevenslekken te behandelen en te beoordelen binnen de 72 uur of melding moet gedaan worden aan de Gegevensbeschermingsautoriteit (14) of niet.

9) Gegevensbeschermingsfunctionaris aanstellen (15)

Van zodra de AVG van toepassing is, zal ook de beoordeling moeten gemaakt worden of een gegevensbeschermingsfunctionaris (hierna ‘DPO’) moet worden aangesteld. De AVG voorziet dat in bepaalde situaties de aanstelling van een DPO verplicht is (16).

10) Relatie met verwerkers en doorgifte van persoonsgegevens (17)

De AVG verplicht verwerkingsverantwoordelijken specifieke overeenkomsten af te sluiten met partners die persoonsgegevens voor haar rekening verwerken (hierna ‘verwerkers’) waarin de verplichtingen van de partijen staan beschreven. De bestaande contracten moeten dus worden herzien en aangepast waar nodig. Daarnaast moet men oog hebben voor het land waar deze verwerkers zich bevinden. Indien dat buiten de EER ligt en de Europese Commissie niet heeft geoordeeld dat het land een gepast niveau van gegevensbescherming biedt, dan moeten er wederom extra maatregelen worden genomen.

2.3. Een aantal stappen verder toegelicht

2.3.1. Persoonsgegevens:

Het materieel toepassingsgebied van de AVG beperkt zich uitsluitend tot persoonsgegevens.

Persoonsgegevens worden in de AVG gedefinieerd als alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”). Als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Bepaalde gegevens zullen altijd persoonsgegevens uitmaken, denk maar aan de naam of het (e-mail) adres van een persoon. Bij andere gegevens zullen andere omstandigheden van belang zijn om te kunnen beoordelen of dat het om persoonsgegevens gaat. Wij geven twee voorbeelden:

  • Een IP-adres op zich is geen persoonsgegeven. Het is een unieke identificator van een computer , wanneer die verbinding maakt met het internet. Met andere woorden, een IP- adres is in principe niet echt gekoppeld aan een persoon. Voor een telecomprovider echter zal een IP-adres altijd een persoonsgegeven zijn aangezien dat IP-adres gekoppeld is aan een fysiek adres, naam (en eventueel) bankrekening en alle andere gegevens zij bezitten. Het IP- adres kan m.a.w. leiden tot de identificatie van een individu. Dit zal zeker het geval zijn als het geen generiek IP-adres uitmaakt dat is gekoppeld aan een bedrijf, maar een individueel IP-adres gekoppeld aan de gebruiker van een PC of laptop en men met een IP-adres bijv. de bezoeker van een site kan gaan identificeren.

  • Nog een voorbeeld dat dit principe goed illustreert is een Amerikaanse studie (18) waaruit bleek dat 87% van Amerikaanse bevolking kan geïdentificeerd worden aan de hand van drie gegevens: geboortedatum, postcode en geslacht. Op zich zeggen deze gegevens niet bijzonder veel, maar combineer ze en men kan een persoon al identificeren.

Om maar te zeggen, een databedrijf heeft al langer dan vandaag uw naam niet nodig om u te identificeren. Er zal dus vaak op grond van een “geval-tot-geval” onderzoek moeten worden onderzocht of de verzamelde gegevens in kwestie nu persoonsgegevens zijn of niet.

Zo vallen loutere bedrijfsgegevens en geanonimiseerde gegevens buiten het toepassingsgebied van de AVG.

  • Als het gaat om een louter bedrijfsgegeven, zal men dus enkel een bedrijf, als juridische entiteit, kunnen identificeren

  • Wanneer een verwerkingsverantwoordelijke tracht de gegevens te anonimiseren, wordt niet overgegaan tot identificatie van de persoon maar juist tot ‘de-identificatie’ van de persoon. Omdat de huidige proefopstelling de gegevens van de museumbezoekers zal anonimiseren, wordt hieronder dieper ingegaan op anonimisatie.

2.3.2. Geanonimiseerde gegevens

De AVG omschrijft anonieme gegevens (19) als gegevens (i) die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of (ii) waarbij de persoonsgegevens zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Wanneer is een persoon dan wel of niet (meer) identificeerbaar? Op die vraag geeft de AVG bijkomende uitleg:

“Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen.” (20)

Als men deze overweging leest, is anonimisatie niet hetzelfde als de absolute onmogelijkheid om een individu te kunnen identificeren. In plaats daarvan stelt men een soort risicoanalyse voor. Hoe groot is de kans (en dus het risico) dat de verwerkingsverantwoordelijke of een derde het individu kan of zal identificeren rekening houdend met alle relevante factoren?

De “Article 29 Working Party” (nu de European Data Protection Board of de Europese Toezichthouder), gezien als de Europese autoriteit op het vlak van data protection en privacy, interpreteert de notie van anonimisatie echter strenger. Voor de Working Party 29 zijn gegevens namelijk slechts anoniem, indien de gegevens van voldoende elementen werden ontdaan, zodat de betrokkene niet meer kan worden geïdentificeerd. Meer in het bijzonder moeten de gegevens zodanig worden verwerkt dat zij niet langer kunnen worden gebruikt om een natuurlijke persoon te identificeren door gebruik te maken van "alle middelen die redelijkerwijs kunnen worden gebruikt" door de voor de verwerking verantwoordelijke of een derde partij. Een belangrijke factor daarbij is dat de verwerking onomkeerbaar moet zijn. (21)

De Working Party 29 spreekt dus slechts van anonieme data, als die volledig en onomkeerbaar anoniem werden gemaakt. Deze zienswijze wordt dan ook overal gevolgd.

2.3.3. De rechtsgronden voor de verwerking van persoonsgegevens

De AVG voorziet in dat geval in een aantal rechtsgronden om een verwerking op te baseren, namelijk:

a) noodzaak voor de uitvoering van een overeenkomst; b) wettelijke verplichting; c) noodzaak ter bescherming van de vitale belangen van de betrokkene of een andere persoon; d) noodzaak voor de vervulling van een taak van algemeen belang/openbaar gezag; e) gerechtvaardigde belangen; f) geïnformeerde toestemming.

Hieronder zullen de verschillende rechtsgronden in vogelvlucht worden besproken.

a) Noodzakelijk voor de uitvoering van een overeenkomst

Wanneer de verwerkingsverantwoordelijke de persoonsgegevens van een betrokkene dient te verwerken om op die manier een overeenkomst tot uitvoering te kunnen brengen, handelt deze verwerkingsverantwoordelijke conform een wettelijke basis.

Een voorbeeld van een verwerking die op deze rechtsgrond kan gebaseerd worden is wanneer bepaalde gegevens worden verwerkt in het kader van de arbeidsovereenkomst tussen werknemer en werkgever zodanig dat de arbeidsovereenkomst kan worden uitgevoerd zoals de gegevens noodzakelijk voor de loonverwerking.

b) Wettelijke verplichting

Daarnaast kan een verwerkingsverantwoordelijke ook persoonsgegevens verwerken van de betrokkene om op die manier te voldoen aan een wettelijke verplichting.

Dit kan bijvoorbeeld het geval zijn als de verwerkingsverantwoordelijke een wettelijke verplichting heeft om bepaalde persoonsgegevens aan de overheid of een andere instelling door te geven.

c) Noodzakelijk ter bescherming van de vitale belangen van een andere persoon

Deze rechtsgrond kan enkel in uitzonderlijke (nood)situaties waarbij iemands leven in gevaar is worden ingeroepen om de verwerking van persoonsgegevens te verantwoorden.

Dit kan bijvoorbeeld het geval zijn wanneer medische gegevens doorgestuurd moeten worden naar een arts die een spoedeisende operatie bij betrokkene dient uit te voeren.

d) Noodzakelijk voor de vervulling van een taak van algemeen belang/openbaar gezag

Daarnaast kan een wettelijke basis voor de verwerking van persoonsgegevens ook de noodzaak voor de vervulling van een taak van algemeen belang of openbaar gezag uitmaken.

Een toepassing hiervan is de verwerking van persoonsgegevens door de politie of een andere overheidsinstelling.

e) Gerechtvaardigde belangen

Een vijfde rechtsgrond is het gerechtvaardigd belang. Bij deze rechtsgrond is de verwerking noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke. Hierbij dient steeds een afweging gemaakt te worden tussen de rechten van de verwerkingsverantwoordelijke en die van de betrokkene. Indien de rechten van de verwerkingsverantwoordelijke zwaarder doorwegen, zal deze rechtsgrond toepassing vinden. Een overheidsinstelling kan zich niet beroepen op gerechtvaardigde belangen om de gegevensverwerking te rechtvaardigen (22).

Een voorbeeld van gerechtvaardigd belang als rechtsgrond betreft direct marketing. Een betrokkene mag er redelijkerwijze van uitgaan dat nadat hij/zij bepaalde goederen zou hebben gekocht op een webshop, de betrokkene middels direct marketing deze klant op de hoogte houdt van promoties rond soortgelijke producten.

f) Toestemming

De alom bekende rechtsgrond is deze waarbij de betrokkene zijn toestemming geeft om zijn persoonsgegevens te verwerken. Vanuit het perspectief van de verwerkingsverantwoordelijke is deze rechtsgrond de minst aantrekkelijkste, onder meer omdat de toestemming kan worden ingetrokken. Hieronder zal dieper worden ingegaan op de juridische en praktische aspecten van deze rechtsgrond.

2.3.4. Toestemming

De AVG heeft de drempel zeer hoog gelegd voor de toestemming en stelt een aantal eisen waaraan de toestemming moet voldoen. De ‘gewone’ toestemming heeft in werkelijkheid meer gelijkenissen met een expliciete toestemming. Om die reden spreken we beter van een geïnformeerde actieve toestemming.

a) Duidelijke actieve handeling

Het betreft een actieve toestemming omdat er van de betrokkene wordt verwacht dat hij/zij een actieve handeling stelt om zijn toestemming te geven. Vooraf aangetikte selectievakjes en een toestemming afgeleid uit het feit dat de betrokkene geen bezwaar heeft aangetekend tegen de verwerking zijn dus uitgesloten.

b) Geïnformeerd

Het dient om een geïnformeerde toestemming te gaan, omdat de betrokkene geïnformeerd dient te zijn over de omvang en de aard van de verwerking, evenals omtrent zijn/haar rechten die hij/zij in dit verband kan uitoefenen. Er rust dus een informatieplicht op de gegevensverantwoordelijken. Hoe de betrokkene concreet wordt geïnformeerd is de gegevensverantwoordelijke vrij. Wel moet de toestemming worden gevraagd voordat de verwerking van de persoonsgegevens plaatsvindt. Een toestemming achteraf kan de illegale gegevensverwerking niet retroactief rechtvaardigen.

De museumbezoeker moet dus goed geïnformeerd worden over het feit dat er persoonsgegevens worden verzameld, alsook hoe dat gebeurt, wanneer hij de wearable rond zijn nek hangt. Dit is nog belangrijker wanneer het kwetsbare groepen betreft zoals kinderen of ouderen. Indien ook aan profilering (zie titel 3.4. Profilering) wordt gedaan, moet de museumbezoeker hiervan specifiek op de hoogte worden gebracht en minstens over de logica, de gevolgen en de betekenis.

Het opstellen van een duidelijke privacy policy waarin alles aan de bezoeker wordt uitgelegd is hierbij een noodzaak, maar dit zal niet voldoende zijn. De museumbezoekers dienen vooraleer toestemming wordt gegeven, duidelijk geïnformeerd worden. Dit kan door middel van een pop-up, video, afbeeldingen, ...

c) Specifiek

Daarnaast moet de toestemming steeds specifiek zijn. Met specifiek bedoelt men niets anders dan dat de toestemming wordt gegeven voor een specifiek doel(en) zodat het doel niet geleidelijk wordt uitgebreid en de gegevens niet worden gebruikt voor zaken waarvoor de museumbezoeker geen toestemming heeft gegeven. Het achterliggende idee van de AVG is immers dat de gebruiker/betrokkene controle verkrijgt over zijn persoonsgegevens.

Een andere overweging bij deze voorwaarde is deze van granulariteit. Hiermee wordt bedoeld dat wanneer persoonsgegevens voor verschillende doelen worden verwerkt, meerdere toestemmingen moeten worden gevraagd wanneer dat gepast is (23). Zo dient er bijvoorbeeld apart toestemming te worden gevraagd wanneer de persoonsgegevens zullen worden gebruikt voor indirect marketing doeleinden naast de gewoonlijke doeleinden.

d) Vrijelijk gegeven

Vrijelijk gegeven duidt op het principe dat er echte keuzevrijheid moet bestaan bij het geven van de toestemming. De opname van de toestemming in de algemene voorwaarden van de verwerkingsverantwoordelijke is uitgesloten (24). Indien de betrokkene/gebruiker niet kan weigeren zonder dat hij/zij daardoor negatieve gevolgen ondervindt, kan men niet meer spreken van keuzevrijheid. Wel moet er een onderscheid worden gemaakt tussen diensten waarbij de verwerking van de persoonsgegevens noodzakelijk is voor het leveren van de dienst en diensten waarbij dit niet het geval is. In het eerste geval kan de gegevensverantwoordelijke de verwerking baseren op rechtsgrond a) (25), de toestemming is in dit geval niet de correcte rechtsgrond. Het weigeren van een dienst of een deel ervan omdat de betrokkene geen toestemming heeft gegeven is niet toegelaten.

2.3.5. De Principes van de GDPR

Naast de rechtsgrond, doch minstens even belangrijk, dient de verwerking van persoonsgegevens te voldoen aan de basisprincipes van de AVG. Hieronder wordt op elk principe meer in detail ingegaan.

a) Transparantie

Er dient steeds duidelijk gecommuniceerd te worden naar de betrokkenen toe welke gegevens worden verzameld en de beweegreden daartoe. Door middel van het opstellen van een privacyverklaring en het opnemen van de activititeit in het register van verwerkingsactiviteiten komt men hier al voor een groot deel aan tegemoet.

b) Doelbinding

Wanneer een verwerking plaatsvindt, dient deze steeds gerelateerd te zijn aan het doel. Concreet betekent dit: Indien de verwerkingsverantwoordelijke persoonsgegevens verwerkt, is de verwerkingsverantwoordelijke gebonden aan de verwerkingsdoeleinden. De verwerkingsverantwoordelijke kan dus niet om om het even welke reden de persoonsgegevens verwerken, maar kan dit enkel doen indien dit in lijn is met één van de verwerkingsdoeleinden.

c) Minimale gegevensverwerking

De verwerkingsverantwoordelijke mag daarenboven enkel gegevens verwerken die noodzakelijk zijn voor het bereiken van het doel. Omgekeerd enkel proportionele maatregelen nemen.

d) Juistheid

De persoonsgegevens die men verzamelt en bijhoudt moeten zo accuraat mogelijk zijn. Concreet houdt dit in dat de gegevens op hun juistheid moeten worden gecontroleerd van tijd tot tijd.

e) Opslagbeperking

Er geldt eveneens een beperking wat betreft de opslag van de persoonsgegevens. Bewaartermijnen, liefst zo minimaal mogelijk in het kader van de verwezenlijking van het doel, dienen bepaald en nageleefd te worden. Vervalt de bewaartermijn, dan moeten de persoonsgegevens worden verwijderd, tenzij men bijzondere redenen (bijv. op grond van een andere specifieke wet) heeft om de gegevens langer bij te houden.

f) Integriteit en rechtmatigheid

De persoonsgegevens moet voldoende beveiligd worden tegen onrechtmatige toegang door derden. Technische maatregelen kunnen bestaan uit encryptie, sterk paswoordbeleid, systeem van toegangsrechten, enz.

g) Vertrouwelijkheid

Persoonsgegevens zijn privé. De verwerkingsverantwoordelijke dient er dan ook alles aan te doen om het privé karakter van de gegevens te garanderen. Dit uit zich in het nemen van gepaste technische en organisatorische maatregelen, zoals het laten ondertekenen van confidentialiteitsovereenkomsten door medewerkers en werknemers.

h) Verantwoordingsplicht

Verwerkingsverantwoordelijken dienen ook steeds te kunnen bewijzen dat ze de wettelijke bepalingen met betrekking tot privacy naleven. Er moet dus steeds voor gezorgd worden dat bewijzen voorgelegd kunnen worden van de naleving van de AVG. Dit kan bijv. door logs bij te houden van toestemmingen (indien digitaal), een register van de verwerkingsactiviteiten bij te houden, verwerkersovereenkomsten te bewaren, enz.

2.3.6. Rechten van betrokkenen

De betrokkenen kunnen aanspraak maken op verschillende rechten. De verwerkingsverantwoordelijke dient hiertoe een procedure te integreren om deze verzoeken mogelijk te maken, alsook om deze verzoeken op een efficiënte manier te beantwoorden. Hieronder worden deze rechten kort toegelicht.

a) Recht op inzage

De betrokkene kan de verwerkingsverantwoordelijke een verzoek richten tot inzage van de persoonsgegevens die over die betrokkene worden verzameld. Alle persoonsgegevens die de verwerkingsverantwoordelijke over de betrokkene bezit, zullen aan die betrokkene bekendgemaakt dienen te worden.

b) Recht op informatie

Meer algemeen dan het recht op inzage, hebben alle betrokkene eveneens het recht op informatie. Hierbij dient de betrokkene geïnformeerd te worden over meer algemene zaken, zoals welke data over hem of haar worden verzameld, waarvoor deze data zullen worden gebruikt, hoe lang de data bewaard zal worden, ...

c) Recht op rectificatie

Wanneer de betrokkene merkt dat de persoonsgegevens die over hem/haar verzameld worden niet (volledig) correct en accuraat zijn, kan de betrokkene een aanvraag indienen om de fouten recht te zetten. De verwerkingsvrerantwoordelijke is bijgevolg verplicht om de persoonsgegevens te verbeteren, alvorens de persoonsgegevens verder worden verwerkt.

d) Recht om gegevenswissing

Elke betrokkene heeft het recht om te eisen dat de persoonsgegevens die over hem of haar worden verzameld, door de verwerkingsverantwoordelijke worden gewist (het zogenoemde recht om vergeten te worden of “the right to be forgotten”). Dit recht dient echter genuanceerd te worden door andere wettelijke verplichtingen die op de verwerkingsverantwoordelijke rusten. Deze verplichtingen zullen namelijk voorrang hebben op het recht van betrokkene. Het recht om vergeten te worden kan enkel worden uitgeoefend in geval de verwerking is gebaseerd op gerechtvaardigd belang, toestemming of op de uitvoering van een contractuele verbintenis, voor zover dit recht de contractuele afspraken niet ondermijnt.

e) Recht op beperking van de verwerking

Dit recht is minder vergaand dan het recht op gegevenswissing. In bepaalde gevallen zal het voor de verwerkingsverantwoordelijke (nog) niet mogelijk zijn om de persoonsgegevens te wissen, dit kan het geval zijn omwille van wettelijke verplichtingen die rusten op de verwerkingsverantwoordelijke. De betrokkene kan dan alsnog vragen om zijn/haar persoonsgegevens niet verder te verwerken op basis van het recht op beperking van de verwerking.

f) Recht op overdraagbaarheid

Dit recht kan worden uitgeoefend in samenhang met het recht op inzage. Concreet houdt het recht op overdraagbaarheid in dat elke betrokken van wie persoonsgegevens worden verzameld, het recht heeft om deze persoonsgegevens op te vragen in een elektronisch formaat (zoals txt, xls, pdf) om deze vervolgens te laten doorsturen naar een nieuwe verwerkingsverantwoordelijke.

g) Recht op bezwaar

De betrokkenen hebben in bepaalde gevallen het recht om bezwaar te maken tegen het feit dat zijn/haar persoonsgegevens worden verwerkt. Dit geldt wanneer: de verwerking berust op een algemeen belang of het gerechtvaardigd belang van diegene die deze persoonsgegevens verwerkt; de persoonsgegevens worden verwerkt voor direct marketingdoeleinden en eveneens profilering wordt toegepast die de basis vormt voor verwerkingen voor direct marketingdoeleinden.

h) Recht op verzet tegen profilering

Elke betrokkene heeft het recht om te vragen geen profilering of automatische verwerking op zijn persoonsgegevens toe te passen. De persoonsgegevens kunnen dan nog wel verder verwerkt worden, doch met uitzondering van verwerking door profilering en/of automatische verwerking.

Belangrijk bij de uitoefening van de rechten van betrokkenen is wel te noteren dat een betrokkene zijn/haar rechten kan uitoefenen, zolang daarbij geen andere wettelijke bepaling of de rechten van een ander individu worden geschonden en deze schending niet kan worden verantwoord door een belangenafweging.

3. De 10 stappen in de praktijk: de huidige opstelling binnen MOTFP

3.1. Verwerking van persoonsgegevens of geanonimiseerde gegevens?

Zoals hierboven uiteengezet beperkt het materieel toepassingsgebied van de AVG zich uitsluitend tot (de verwerking van) persoonsgegevens d.w.z. gegevens waardoor u een individu kan identificeren. De tegenpool van persoonsgegevens zijn geanonimiseerde gegevens. Dit zijn gegevens die de identificatie met de betrokkene niet meer mogelijk maken. Als dusdanig vallen ze dan ook buiten het toepassingsgebied an de AVG.

Na analyse van de proefopstelling zoals nu in MOTFP wordt gebruikt, kunnen we met enige zekerheid stellen dat de gegevens die worden verzameld van de museumbezoeker binnen huidige opstelling als geanonimiseerde gegevens mogen worden beschouwd.

Immers, de gegevens (locatiegegevens, de genomen route, voorkeuren en leeftijdscategorie) worden verzameld door middel van de wearable, zijnde het amulet, die de museumbezoeker rond zijn of haar nek hangt. Verder wordt er momenteel geen e-mail adres, naam of enige andere identificator gevraagd van de museumbezoeker voor het gebruiken van de wearable.

In de huidige opsteling zijn de gegevens zijn dus enkel gebonden of gelinkt aan het amulet eerder dan aan de (identiteit van de) bezoeker. Inderdaad, indien de wearable doorgegeven zou worden aan een andere bezoeker dan de initiële drager dan wordt dit in de huidige proefopstelling niet als dusdanig geregistreerd. Wanneer het amulet dan op het einde van het bezoek zal worden uitgelezen, zal deze een profiel opstellen op grond van de route en de tijd die het amulet heeft afgelegd en niet per se een bepaalde bezoeker. Hoogstens kan er uit de gegevens worden vermoed dat de wearable is verwisseld doordat er ander gedrag zichtbaar is. Dit illustreert de kern van het MOTFP-project, niet de museumbezoeker wordt gevolgd maar de wearable. Dit maakt een identificatie op een later tijdstip dan ook onmogelijk.

Binnen het Design Museum krijgt men toegang tot het software platform dat het Design Museum Gent toelaat na te gaan welke profielen op een bepaalde dag het museum bezochten.

Bijgevolg kan het Design Museum Gent aan de hand van de door het amulet verzamelde gegevens de museumbezoeker(s), die het desbetreffende amulet hebben gedragen, niet identificeren. Hetzelfde geldt voor de gekozen technische MOTFP-partners, zijnde Pozyx en Crunch Analytics. Deze spelers krijgen - middels de geplaatste of beschikbaar gemaakte hardware en het door hun ontwikkelde software platform - maar toegang tot de gegevens verzameld op de tag of het amulet zonder dat zij hierbij de bezoeker kunnen identificeren of enige mogelijkheid daartoe zouden hebben.

Tevens werd ons verzekerd dat er in de huidige opstelling geen mogelijkheid bestaat de gegevens - die middels het amulet werden verzameld - te combineren met andere gegevens die binnen het Design Museum worden verwerkt. Men denkt hierbij aan:

  • camerabeelden die gemaakt worden aan de hand van de camera’s aanwezig doorheen het volledige museum (dit voor veiligheidsmaatregelen) en

  • de betalingsgegevens van de museumbezoeker indien deze een toegangsticket of zaken in de shop van het musuem aanschaft middels enige vorm van elektronische betaling.

Aldus is vandaag de dag een identificatie uitgesloten.

Let wel! Indien men op termijn deze gegevens wel beschikbaar zou stellen en men Design Museum of de verwerkers de opdracht zou geven de gegevens van het amulet te combineren met de camerabeelden en/of betalingsgegevens van de bezoekers, dan is identificatie van het individu nog

altijd zeer moeilijk, maar in bepaalde gevallen zeker niet uitgesloten of onmogelijk. Stel op een luwe dag in het museum komen maar vier bezoekers langs, twee onder hen besluiten gebruik te maken van de proefopstelling. Wanneer men vervolgens de betaalgegevens en/of camerabeelden zou combineren met de middels het amulet uitgelezen profielen, zou identificatie mogelijk zijn. In dergelijk geval zal men dus niet kunnen spreken van geanonmiseerde gegevens en zullen de andere stappen binnen de AVG-analyse moeten worden gevolgd.

3.2. Conclusie en aanbeveling

Zoals het project nu is opgesteld en met de garanties gegeven door de verschillende actoren, kunnen we dus besluiten dat MOTFP geen persoonsgegevens van de museumbezoekers verzamelt en er aldus geen persoonsgegevens worden verwerkt. Met andere woorden op de huidige proefopstelling is de AVG niet van toepassing.

Toch adviseert AContrario om een beknopte privacyverklaring te voorzien voor de museumbezoekers waarin dit wordt benadrukt. Immers, het gebruiken van de IoT-technologie blijft voor veel museumbezoekers een nieuw gegeven en informatie daaromtrent kan de angst voor het onbekende doen afnemen die leeft bij bepaalde museumbezoekers. In de privacyverklaring kan duidelijk worden uitgelegd dat de museumbezoeker vooreerst de keuze kan maken om gebruik te maken van de proefopstelling of niet. Vervolgens kan worden uiteengezet dat de museumbezoeker die wenst gebruik te maken van de proefopstelling, niet wordt gevolgd en dat men momenteel in de huidige opstelling de museumbezoeker niet kan worden geïdentificeerd. Verder kan er nog wat informatie worden verschaft over de technologie zelf en hoe het in zijn werk gaat. Ook kan hier bijv. bij vermeld worden dat de camera’s en de beelden niet in de proefopstelling zitten inbegrepen. Zo anticipeert men op mogelijke vragen en of bezorgdheden.

In de toekomst is het ook interessant om al een basis te hebben waarop men dan kan verder bouwen. Een gegevensverwerking is echter geen statisch gegeven en vanaf het moment dat museumbezoekers kunnen worden geïdentificeerd zal de AVG van toepassing worden met inbegrip van al haar verplichtingen.

4. De 10 stappen in de praktijk: MOTFP naar de toekomst toe

Tijdens de besprekingen met de MOTFP-partners en verantwoordelijken werd ons gemeld dat de mogelijkheid bestaat om in de toekomst persoonsgegevens te verzamelen door bijvoorbeeld:

  • aan het einde van het museumbezoek een e-mail adres van de bezoeker te vragen (op de gebruikersinterface) om het profiel naar de bezoeker door te sturen of hem/haar aanbevelingen te doen op grond van zijn/haar profiel; of

  • het amulet of de tag te vervangen door een smartphone, waarbij bijv. de MAC-adressen van de smartphone worden uitgelezen.

    Met andere woorden: Wat als... er wel persoonsgegevens zouden worden verzameld?

    Om deze reden zullen deze hypothese(s) in dit advies ook worden behandeld waarbij dergelijke gegevensverwerkingen onder het toepassingsgebied van de AVG vallen. In dit hoofdstuk zal de impact van de AVG op het project worden besproken aan de hand van de 10 stappen. Daarnaast zal dieper worden ingegaan op de mogelijke rechtsgronden voor de beoogde verwerking.

4.1. Persoonsgegevens

Zoals in de inleiding is aangehaald zijn er verschillende scenario’s te bedenken waarin MOTFP persoonsgegevens verzamelt van de museumbezoeker. Er kan bijvoorbeeld in de toekomst met smartphones (en een applicatie) gewerkt worden in plaats van de wearable of de gegevens worden op een andere manier gekoppeld aan het individu. De essentie is steeds: kunnen we de museumbezoeker identificeren? Hoe meer parameters hoe makkelijker identificatie wordt.

Voorts mag het ook duidelijk zijn dat wanneer een emailadres wordt gekoppeld aan een uitgelezen bezoekersprofiel, waarnaar het profiel kan worden doorgestuurd er sprake is of naar alle waarschijnlijkheid kan zijn van identificatie. In een dergelijk geval zal de AVG van toepassing zijn.

Indien zou worden gewerkt met een bepaalde applicatie op de smartphone waarbij al dan niet een account moet worden aangemaakt, kan men er ook van uitgaan dat persoonsgegevens zullen worden verwerkt en de AVG van toepassing zal zijn op een dergelijke opstelling.

Dit zal tevens het geval zijn wanneer MAC adressen zouden worden gebruikt om een bezoeker te localiseren en vervolgens een bezoekersprofiel op te maken.

Ook moet worden gedacht of persoonsgegevens van kinderen zullen worden verzameld. Het is niet ongewoon dat kinderen vergezeld van hun ouders het museum zouden bezoeken. Men kan dan de keuze maken om de IoT-technologie niet aan te bieden aan de kinderen of een aantal bijkomende maatregelen te treffen. De kinderen zullen op een gepaste wijze moeten worden geïnformeerd over de gegevensverwerking. Het project en de verwerking zullen dus nog eenvoudiger en duidelijker moeten worden uitgelegd. Mogelijkheden zijn een informatief filmpje of het gebruik van pictogrammen. Een andere maatregel situeert zich op het gebied van toestemming en het recht op gegevenswissing, waarover later meer.

4.2. Wettelijke grondslag

4.2.1. Algemeen

Op grond van de aan ons bezorgde informatie, kunnen we besluiten dat de persoonsgegevens die in deze hypothese(s) zouden worden verzameld niet kunnen worden gekwalificeerd als behorend tot een van de ‘bijzondere categorie van persoonsgegevens’ (26) (zoals bijv. medische gegevens, gegevens omtrent politieke of religieuze voorkeur, biometrische gegevens, gegevens omtrent seksuele geaardheid).

Nu het de verwerking van ‘gewone’ persoonsgegevens betreft, voorziet de AVG in dat geval in zes rechtsgronden om een verwerking op te baseren, namelijk:

a) noodzaak voor de uitvoering van een overeenkomst; b) wettelijke verplichting; c) noodzaak ter bescherming van de vitale belangen van de betrokkene of een andere persoon; d) noodzaak voor de vervulling van een taak van algemeen belang/openbaar gezag; e) gerechtvaardigde belangen; f) geïnformeerde toestemming.

Hieronder zullen de verschillende rechtsgronden in vogelvlucht worden besproken.

a) Noodzakelijk voor de uitvoering van een overeenkomst

Het is zo dat wanneer de museumbezoeker een toegangsticket koopt om het museum te bezoeken, deze een overeenkomst sluit met het museum. Echter, de uitvoering van deze overeenkomst omvat het kunnen bezichtigen van het museum en de tentoonstelling. In dit kader is de gegevensverwerking binnen de proefopstelling niet noodzakelijk voor de uitvoering van de overeenkomst. Aldus zal deze grond niet kunnen worden aangewend.

Wat eventueel wel mogelijk is, is wanneer de opstelling gebruik zou maken van een applicatie die de bezoeker vrijwillig dient te downloaden teneinde een profiel en bijvoorbeeld verdere aanbevelingen op grond van dit profiel te ontvangen. Alvorens deze applicatie te kunnen gebruiken, zal de bezoeker dan de algemene voorwaarden en de privacy policy - die betrekking hebben op de applicatie en de opstelling (gebruikte technologie) - dienen goed te keuren. Hierin kan men dan de nodige bepalingen aanbrengen, waardoor men kan stellen dat de verwerking noodzakelijk is voor de uitvoering van de overeenkomst (zijnde gesloten tussen de muzeumbezoeker en tevens app-gebruiker en MOTFP).

Het betreft hier een juridische handigheid die kan worden toegepast om een toestemming eigenlijk om te buigen en te gaan kwalificeren onder deze rechtsgrond.

b) Wettelijke verplichting

Er rust op MOTFP geen wettelijke verplichting om de beoogde gegevens te verzamelen van museumbezoekers. Deze rechtsgrond kan bijgevolg niet dienen om gegevensverwerking te rechtvaardigen.

c) Noodzakelijk ter bescherming van de vitale belangen van een andere persoon

Deze rechtsgrond kan enkel in uitzonderlijke (nood)situaties worden ingeroepen waarbij iemands leven in gevaar is. Deze rechtsgrond kan eveneens niet dienen als basis voor verwerking (27).

d) Noodzakelijk voor de vervulling een taak van algemeen belang/openbaar gezag

Het Design Museum Gent oefent een taak van (cultureel) algemeen belang uit. De gegevensverwerking is echter niet noodzakelijk voor de vervulling van deze taak en bijgevolg kan deze rechtsgrond niet worden gebruikt.

e) Gerechtvaardigde belangen

Design Museum Gent en/of MOTFP gaat uit van de Stad Gent. In die hoedanigheid kan men zich niet beroepen op gerechtvaardigde belangen om de gegevensverwerking te rechtvaardigen (28).

f) Toestemming

Aangezien de gegevensverwerking niet kan gebaseerd worden op één van de voorgaande gronden, is de toestemming de enige ‘echt’ bruikbare rechtsgrond in deze hypotheses. Vanuit het perspectief van de gegevensverantwoordelijke is deze rechtsgrond de minst aantrekkelijkste, onder meer omdat de toestemming kan worden ingetrokken. Hieronder zal dieper worden ingegaan op de juridische en praktische aspecten van deze rechtsgrond.

Wel laat deze rechtsgrond toe aan de museumbezoeker om diens rechten op een maximale manier uit te oefenen. Los van het feit dat deze rechtsgrond in de meeste hypotheses de enige rechtsgrond zal zijn op grond waarvan men de gegevens zal kunnen verwerken, zal deze bijvoorbeeld ook de meest aangewezen zijn, indien men gebruik zou maken van een applicatie die op de smartphone van de bezoeker dient te worden gedownload (29).

4.2.2. Toestemming

De AVG heeft de drempel zeer hoog gelegd voor de toestemming en stelt een aantal eisen waaraan de toestemming moet voldoen. De ‘gewone’ toestemming heeft in werkelijkheid meer gelijkenissen met een expliciete toestemming. Om die reden spreken we beter van een geïnformeerde actieve toestemming.

a) Duidelijk actieve handeling

Van de museumbezoeker wordt verwacht dat hij een actieve handeling stelt om zijn toestemming te geven. Vooraf aangetikte selectievakjes en een toestemming afgeleid uit het feit dat de museumbezoeker geen bezwaar heeft aangetekend tegen de verwerking zijn dus uitgesloten.

b) Geïnformeerd

De museumbezoeker dient voorafgaandelijk aan de verwerking op een bondige manier te worden geïnformeerd over de omvang en de aard van de verwerking, evenals de rechten die de bezoeker in dit verband kan uitoefenen. Er rust dus een informatieplicht op gegevensverantwoordelijken.

Hoe de museumbezoeker concreet dient te worden geïnformeerd, laat de AVG vrij. Wel moet de toestemming worden gevraagd voordat de verwerking van de persoonsgegevens plaatsvind. Een toestemming achteraf kan de illegale gegevensverwerking niet retroactief rechtvaardigen.

De museumbezoeker moet dus heel goed weten dat wanneer hij de wearable rond zijn nek hangt of gebruik maakt van een applicatie op zijn/haar smartphone, persoonsgegevens van hem/haar worden verzameld en hoe dit gebeurt. Dit is nog belangrijker wanneer het kwetsbare groepen betreft zoals kinderen of ouderen.

Indien ook aan profilering (zie titel 3.4. Profilering) wordt gedaan, moet de museumbezoeker hiervan specifiek op de hoogte worden gebracht en minstens over de logica, de gevolgen en de betekenis.

Mogelijkheden voor geïnformeerde toestemming:

  • Samenvatting van privacy policy in een begrijpelijke, leuke en bondige tekst, animatie, video

    of in pictogrammen, geplaatst voor de ingang van de desbetreffende tentoonstelling.

  • Bij een applicatie: (i) een hover-over, waarbij een pop-up tevoorschijn komt met een begrijpelijke en bondige samenvatting van de privacy policy of (ii) een korte, begrijpelijke

    video of animatiefilm.

c) Specifiek

Daarnaast moet de toestemming steeds specifiek gegeven zijn. Met specifiek bedoelt men niets anders dan dat de toestemming wordt gegeven voor een specifiek doel(en) zodat het doel niet geleidelijk wordt uitgebreid en de gegevens niet worden gebruikt voor zaken waarvoor de museumbezoeker geen toestemming heeft gegeven. Het achterliggende idee van de AVG is immers dat de gebruiker/betrokkene controle verkrijgt over zijn persoonsgegevens. Op basis van de verzamelde gegevens is het mogelijk om de museumbezoekers te classificeren in groepen. Deze profielen kunnen ook zeer interessant zijn voor adverteerders. Wanneer na enige tijd zou worden besloten om adverteerders reclame te laten sturen naar deze museumbezoekers, zal hier een specifieke toestemming voor moeten worden gegeven tenzij deze mogelijkheid werd gecommuniceerd in de eerste toestemming.

Wat meer is, zo zal er bijvoorbeeld apart toestemming moeten worden gevraagd wanneer de persoonsgegevens zullen worden gebruikt voor indirect marketing doeleinden naast de gewoonlijke doeleinden.

d) Vrijelijk gegeven

Vrijelijk gegeven duidt op het principe dat er echte keuzevrijheid moet bestaan bij het geven van de toestemming. Indien de betrokkene/gebruiker niet kan weigeren zonder dat hij/zij daardoor negatieve gevolgen ondervindt, kan men niet meer spreken van keuzevrijheid.

Hoewel in overweging 43 van de AVG wordt gesteld dat in het geval van publieke instanties het onwaarschijnlijk is dat toestemming vrijelijk kan gegeven worden door het onevenwicht, is het niet uitgesloten dat de toestemming toch vrijelijk kan gegeven worden in specifieke omstandigheden (30). Wanneer we naar de specifieke situatie kijken van het MOTFP-project beschikt de museumbezoeker weldegelijk over keuzevrijheid en kan hij zijn toestemming vrijelijk geven. De museumbezoeker kan er immers perfect voor kiezen geen gebruik te maken van de wearable of van de applicatie op de smartphone zonder daarvan negatieve gevolgen te moeten ondervinden tijdens zijn museumbezoek. Door de weigering kan de museumbezoeker nog steeds het museum bezoeken. Het dragen van de wearable of gebruiken van een applicatie is volledig optioneel en vergelijkbaar met de keuze een audiofoon al dan niet te gebruiken tijdens het museumbezoek.

4.2.3. Toestemming in het museum

Indien men een applicatie op de smartphone zou integreren in de opstelling, die vervolgens vrijwillig door de bezoeker kan worden gedownload, dan kan de toestemming met de hele opstelling het makkelijkste worden gegeven bij aanvang van het creeëren van een account in de applicatie (goedkeuring met privacy policy en gebruiksvoorwaarden).

Wanneer men bijv. enkel een e-mailadres zou vragen om daarop vervolgens het bezoekersprofiel door te sturen en bijv. daaraan gekoppeld gepersonaliseerde aanbevelingen, dient er vooreerst informatie/geïnformeerde toestemming worden gegeven alvorens men de tentoonstelling bezoekt (dus bijv. in de onthaalhal van het museum).

Omdat er wordt gewerkt met een tablet waar de museumbezoeker na het bezoek zijn voorkeuren kan bekijken, is het vanuit pragmatisch oogpunt het interessantste om toestemming te vragen rond het gebruik van het emailadres via deze tablet maar wel voor de museumbezoeker aan zijn bezoek begint. Er dient dan een kleine tekst te worden voorzien met een zeer beknopte samenvatting van de privacyverklaring. Ook moet er een link worden voorzien naar de integrale privacyverklaring. Vervolgens kan de actieve handeling bestaan in een selectievakje aan te klikken met daaronder ‘ik ga akkoord met de verwerking van persoonsgegevens’ maar evengoed is het weg ‘swipen’ van de tekst zolang wordt vermeld dat het weg ‘swipen’ tot gevolg heeft dat hij/zij akkoord gaat met de privacyverklaring.

Een andere mogelijkheid is een informatief videofragment dat de museumbezoeker kan bekijken in het museum of middels het scannen van een QR-code en waarin hij geïnformeerd wordt over de beoogde gegevensverwerking. In dit advies wordt zeker niet getracht een exhaustieve lijst van oplossingen aan te reiken. Men moet steeds de vraag stellen in het licht van de concrete context en de technologische ontwikkelingen. Vervolgens dient een evenwicht te worden gevonden tussen het gebruiksgemak van de museumbezoeker en de informatieplicht van de gegevensverantwoordelijke.

Ten slotte moet er worden stilgestaan bij de toestemming van kinderen. Voor diensten van de informatiemaatschappij heeft België de grens gelegd op 13 jaar voor ‘digitale meerderjarigheid’ (31). Is het kind jonger dan 13 jaar moet een ouder of wettelijke vertegenwoordiger zijn akkoord geven voor het gebruiken van de dienst van een informatiemaatschappij. Nu stelt de vraag zich of de diensten die MOTFP door middel van de IoT-technologie aanbiedt kunnen worden beschouwd als een dienst van de informatiemaatschappij. In Europese wetgeving wordt een dienst van de informatiemaatschappij omschreven als elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg op afstand en op individueel verzoek van een afnemer van de dienst verricht wordt (32). Uit de definitie kunnen we de volgende voorwaarden halen:

  • Gewoonlijk tegen vergoeding: In de huidige proeffase zal MOTFP de dienst gratis aanbieden. De vergoeding kan ook bestaan uit reclame-inkomsten. Ook zou men kunnen argumenteren dat de museumbezoeker betaalt met zijn persoonsgegevens.

  • Langs elektronische weg: De diensten worden aangeboden via de IoT-technologie en worden aldus bekomen via elektronische weg.

  • Op afstand: De aanbevelingen en andere diensten worden niet op afstand geleverd. De diensten worden immers in het museum zelf aangeboden. Indien een applicatie zou worden ontwikkeld die museumbezoekers ook buiten de museumomgeving aanbevelingen maakt dan wordt er uiteraard wel voldaan aan deze voorwaarde.

  • Op individueel verzoek: De diensten worden op individueel verzoek aangeboden aan de museumbezoeker.

    Hoewel er zeker een online-aspect zit aan MOTFP, voldoet ze niet aan alle vereisten om te kunnen worden gekwalificeerd als dienst van de informatiemaatschappij. Concreet betekent dit dat kinderen zelf toestemming kunnen geven, in zoverre het kind geldig zijn/haar toestemming kan geven in overeenstemming met het burgerlijk recht.

4.3. Principes

Naast de rechtsgrond, doch minstens even belangrijk, dient de verwerking van persoonsgegevens te voldoen aan de basisprincipes van de AVG. Hieronder wordt op elk principe meer in detail ingegaan.

a) Transparantie

MOTFP moet steeds duidelijk communiceren naar de museumbezoekers welke gegevens worden verzameld en waarom. Met een privacyverklaring, een beknopte, begrijpelijke samenvatting (in pictogrammen, animatie, video of tekst) en het opnemen van de activiteit in het register van verwerkingsactiviteiten komt men hier al voor een groot deel aan tegemoet.

b) Doelbinding

De verwerking moet steeds gerelateerd zijn aan het specifieke doel waarvoor de gegevens werden verzameld en verwerkt. Als MOTFP stelt dat ze de gegevens gebruikt voor aanbevelingen te doen aan haar museumbezoekers mag ze de gegevens niet doorverkopen voor commerciële doeleinden. Dat ligt uiteraard anders wanneer dit doel ook gecommuniceerd is naar de bezoekers en de bezoekers hieromtrent toestemming hebben gegeven.

c) Minimale gegevensverwerking

Als verwerkingsverantwoordelijke moet MOTFP er steeds naar streven om enkel de gegevens te verzamelen die noodzakelijk zijn voor het bereiken van haar doel.

d) Juistheid

De persoonsgegevens die MOTFP van haar bezoekers verzamelt en bijhoudt moeten zo accuraat mogelijk zijn. Concreet houdt dit in dat de gegevens op hun juistheid moeten worden gecontroleerd van tijd tot tijd. Het gemakkelijkste is om de bezoeker de gegevens zelf te laten verifiëren en aanpassen waar nodig.

e) Opslagbeperking

Bewaartermijnen moet worden bepaald en nageleefd worden. De AVG stelt voorop om zo kort mogelijke bewaartermijnen te voorzien, natuurlijk zonder dat deze de goede werking van de proefopstelling zouden hinderen. Vervalt de bewaartermijn, dan moeten de persoonsgegevens worden verwijderd tenzij MOTFP bijzondere redenen heeft om de gegevens langer bij te houden.

De bewaartermijnen moeten ook duidelijk worden gecommuniceerd naar de bezoeker toe in de privacyverklaring.

f) Integriteit

De persoonsgegevens moeten voldoende beveiligd worden tegen onrechtmatige toegang door derden. Technische maatregelen kunnen bestaan uit encryptie, sterk paswoordbeleid, systeem van toegangsrechten, enz. Echter, ook organisatorische maatregelen dienen te worden genomen (fysieke toegang tot serverlokaal, ...).

g) Vertrouwelijkheid

Persoonsgegevens zijn privé. MOTFP moet er dan ook alles aan doen om het privé karakter van de gegevens te garanderen. Dit uit zich in het nemen van gepaste technische en organisatorische maatregelen, zoals haar medewerkers of met haar partners de nodige contractuele afspraken te maken.

Indien men omtrent de proefopstelling wenst te communiceren, zullen enkel geagregeerde gegevens kunnen worden gebruikt, tenzij een bezoeker zijn/haar toestemming zou hebben gegeven om zijn/haar identiteit gekoppeld aan een profiel kenbaar te maken.

h) Verantwoordingsplicht

Verwerkingsverantwoordelijken moeten niet enkel de AVG naleven, ze moeten ook kunnen bewijzen dat ze de wet naleven. MOTFP moet dus steeds zorgen dat ze kan bewijzen dat ze de AVG naleeft door bijv. logs bij te houden van toestemmingen (indien digitaal), een register van de verwerkingsactiviteit bij te houden, verwerkersovereenkomsten te bewaren, enz.

4.4. Rechten van betrokkenen

MOTFP moet procedures hebben en technische maatregelen nemen zodat museumbezoekers hun rechten op een toegankelijke, efficiënte en zichtbare manier kunnen uitoefenen. M.a.w. men moet voorbereid zijn op dergelijke verzoeken van bezoekers. Met het oog hierop is het aangewezen om de gegevens zo veel als mogelijk te centraliseren in één database.

De AVG vermeldt ook dat het recht tot gegevenswissing bijzonder relevant is wanneer het om kinderen gaat. Men zal dus minder ruimte hebben om dergelijk verzoek van een kind te weigeren.

De procedure voor het uitoefenen van de rechten van de museumbezoeker moet ook duidelijk in de privacy policy worden aangegeven.

Extra aandachtspunt. Ten slotte moeten we ook hier even stilstaan bij profilering en wat de AVG daarover zegt. Door middel van een algoritme gaat men de verzamelde persoonsgegevens analyseren om (gedrags)profielen aan te maken van de museumbezoekers.

Deze verwerking kunnen we kwalificeren als profilering. De voorkeuren, locatie, gedrag en verplaatsingen van de museumbezoeker worden immers automatisch geanalyseerd om zijn voorkeuren en gedrag te kunnen voorspellen. Op basis van dat profiel zouden dan persoonlijke aanbevelingen kunnen worden gedaan. De AVG verbiedt profilering op zich niet. Wel zal men conform de AVG dit niet enkel duidelijk moeten toelichten in de privacyverklaring en de basisprincipes dienen te respecteren, maar zal men naast de andere rechten ook moeten voorzien dat de museumbezoeker zich tegen een dergelijke profilering kan verzetten.

Waar profilering echter wel problemen kan opleveren is wanneer het Design Museum Gent beslissingen t.o.v. de museumbezoeker zou nemen uitsluitend op basis van de profilering en waaraan rechtsgevolgen zijn gekoppeld of andere gevolgen die de museumbezoeker in aanzienlijke mate zouden treffen (33).

Het moet dus gaan om een beslissing van een algoritme zonder enige menselijke tussenkomst die juridische of ernstige negatieve gevolgen voor de bezoeker. Stel: u als bezoeker staat lang stil bij kunstwerken van een bepaalde stijl. Op het einde van uw bezoek krijgt u de aanbeveling een museum met gelijkaardige kunstwerken te bezoeken met daarbij ook een bon voor een gratis koffie in de bar van dat museum. Dit is nu een louter hypothethisch voorbeeld maar het illustreert wel de mogelijkheden en de valkuilen met dergelijke profilering.

We moeten dit voorbeeld echter direct nuanceren aangezien sterk valt te betwijfelen of het niet ontvangen van kortingen voor een drankconsumptie als een aanzienlijk gevolg kan worden beschouwd. Eerder moet men denken aan bijvoorbeeld banken die kredietaanvragen automatisch (zonder menselijke tussenkomst) gaan weigeren op basis van profilering.

Dergelijke automatische besluitvorming is enkel toegelaten wanneer deze (i) noodzakelijk is voor de totstandkoming of uitvoering van een overeenkomst, (ii) toegelaten is onder Europees of nationaal recht of (iii) gebaseerd is op de uitdrukkelijke toestemming van de museumbezoeker. Met andere woorden: dergelijke vorm van besluitvorming, profilering genaamd, zal duidelijk moeten worden opgenomen in de privacyverklaring en men zal hiervoor de toestemming (34) van de bezoeker moeten verkrijgen.

4.5. Gegevensbeheer

Data governance is een zeer belangrijk gegeven in gegevensbescherming. Weten waar u persoonsgegevens zijn, wat u ermee doet en welke maatregelen u treft om de integriteit en vertrouwelijkheid ervan te waarborgen is essentieel. In de specifieke context van IoT-technologie waar verschillende gegevensstromen (van beacon (sensor of anchor) naar wearable (of amulet, tag), van wearable naar beacon, van beacon en/of wearable naar data analist en van data analist naar Design Museum Gent) bestaan kan het een uitdaging zijn om de controle over de gegevens te behouden.

Een ander risico van het feit dat men op verschillende niveaus persoonsgegevens gaat verwerken, heeft betrekking op de veiligheid van de gegevens. Hoe meer niveau’s, hoe meer zwakke punten men heeft en hoe meer partners betrokken zijn bij de implementatie van de technologie, hoe groter de kans dat de verschillende veiligheidsmaatregelen niet op elkaar zijn afgestemd.

Voorbeelden van technische en organisatorische maatregelen die MOTFP kan nemen:

  • Pseudonomiseren of versleutelen van de persoonsgegevens;

  • Toegang tot de persoonsgegevens op ‘need to know’-basis;

  • Strenge informatieveiligheidsmaatregelen;

  • Gebruik maken van verwerkers die AVG-conform werken;

  • Gebruik van Europese servers;

  • Gelet op het feit dat er ook een mogelijkheid is voor de bezoeker om de verwijdering van diens gegevens te vragen (recht om vergeten te worden) moet er ook in een procedure worden voorzien die aan dergelijk verzoek kan voldoen (waarbij steeds kan bewezen worden – minstens voor een periode van vijf jaren – dat het verzoek werd ingewilligd en mits inachtneming van het principe van dataminimalisatie.

4.6 Gegevensbescherming door ontwerp en standaardinstellingen

De bedoeling van deze bepaling in de AVG is organisaties laten nadenken over de privacy-gevolgen van bepaalde beslissingen. Gezegdes zoals “Bezint eer ge begint” en “voorkomen eerder dan genezen” zijn hoogstwaarschijnlijk de inspiratiebron geweest voor deze bepaling. Dit advies vormt daar zeker deel van.

In geval één van de verschillende hypotheses (zoals werken met smartphone, applicatie, gebruik van emailadres voor doorsturen profiel of verdere aanbevelingen doorheen de stad) wordt aangewend, zal MOTFP zeker een gegevensbeschermingseffectbeoordeling moeten uitvoeren om de risico’s te identificeren en de tegenmaatregelen uit te stippelen.

Gegevensbescherming door standaardinstellingen betekent niet dat er een uitknop moet worden voorzien zodat geen persoonsgegevens worden verzameld. Dit principe is echter wel sterk gelinkt met de algemene principes van doelbinding en minimale gegevensverwerking. Wel moet privacy sterk worden ingebed in de applicatie of verwerking. Of met de woorden van de Amerikaanse President Trump: Privacy first!

4.7. Bewustwording creëren rond de verwerking

Bewustwording rond de AVG en privacy is zeer belangrijk. Wanneer iedereen van medewerker tot verwerker privacy hoog in het vaandel draagt, zullen de genomen maatregelen ook voldoende gerespecteerd worden. Hetgeen het succes uitmaakt van een AVG-conform privacybeleid doorheen de organisatie. Echter dergelijke bewustwording creëer je niet op één dag. Ook is dat zeer ‘organisatie’-gebonden, de ene organisatie of bedrijf draagt privacy al wat hoger in het vaandel dan het andere. Gelukkig voor de privacy bestaan er niet enkel Facebooks en Googles op de wereld.

Als overheidsorganisatie is het heel belangrijk dat iedereen goed weet wat de risico’s zijn en hoe men moet omgaan met de AVG en haar impact. Voor de overheid ligt de lat altijd een tikkeltje hoger op dit gebied.

De beste manier om medewerkers te informeren volgens AContrario is door (interactieve) presentaties te geven in kleinere groepen. E-learning tools kunnen een introductie zijn maar bieden meestal geen aangepaste informatie aan en medewerkers zien dergelijk e-learning vaak als een last. Daartegenover kan men in presentaties gepaste informatie aanreiken over de verwerking en nieuwe technologie die heel relevant is en kunnen eventuele vragen van medewerkers worden beantwoord. Het bewustwordingsproces is een continu proces en opfrissing zal van tijd tot tijd nodig zijn.

4.8. Rapporteren van gegevenslekken

MOTFP zal procedures moeten hebben om de gegevenslekken te behandelen en te beoordelen binnen de 72 uur of melding moet gedaan worden of niet. Belangrijk is dat in dergelijke procedures duidelijke verantwoordelijkheden worden toebedeeld aan personen binnen de organisatie en dat deze personen ook weten wat te doen bij een gegevenslek. De bestaande procedure zal ook moeten worden herzien en er zal moeten gekeken worden of deze ook voorzien is op gegevenslekken door de nieuwe IoT-technologie.

4.9. Gegevensbeschermingsfunctionaris aanstellen

Van zodra de AVG van toepassing is, zal ook de beoordeling moeten gemaakt worden of een gegevensbeschermingsfunctionaris moet worden aangesteld. Overheidsinstanties of overheidsorganen moeten steeds een DPO aanstellen. Het Design Museum Gent is een autonoom gemeentebedrijf en bijgevolg een overheidsinstantie. Een DPO zal dus moeten worden aangesteld wanneer persoonsgegevens worden verwerkt.

MOTFP is een innovatief project dat wellicht zal blijven evalueren en waarbij steeds zal moeten worden gekeken naar de verschillende gegevensbeschermingsaspecten. Onvermijdelijk zijn daar een hele resem taken aan gekoppeld: vragen van bezoekers in verband met privacy beantwoorden, continue aanpassen van policies, een DPIA voorbereiden en er in het algemeen over waken dat alles AVG-conform verloopt. Met andere woorden: functie met best wat inhoud en werk.

4.10. Relatie met verwerkers en doorgifte naar derde partijen

De AVG verplicht verwerkingsverantwoordelijken specifieke overeenkomsten af te sluiten met partners die persoonsgegevens voor haar rekening verwerken waarin de verplichtingen van de partijen staan beschreven.

Voor de verwerkingsactiviteit houdt dit in dat verwerkersovereenkomsten moeten worden afgesloten met Crunch Analytics die de persoonsgegevens zal analyseren. Maar ook bijvoorbeeld cloud storage providers en partijen die toegang hebben tot de persoonsgegevens. Vervolgens moet de vraag worden gesteld of de persoonsgegevens België zullen verlaten en naar waar.

Momenteel beschikt AContrario niet over informatie dat dergelijke doorgifte bevestigt. Indien internationale doorgifte het geval zou zijn, zal men hieromtrent bijkomende maatregelen moeten nemen.

4.11. Conclusie

Zoals beschreven in dit advies vormt de AVG geen fundamenteel bezwaar tegen de beoogde verwerking zelfs als er persoonsgegevens worden verwerkt. Het verwerken van persoonsgegevens door middel van een IoT-technologie impliceert wel dat over de privacy-aspecten meer moet worden nagedacht en bijkomende maatregelen zullen moeten worden genomen.

Echter, wij hebben begrepen van de MOTFP-partners alsook van de DPO dat dit geen enkel probleem mag stellen. Het is inderdaad zo dat de verschillende partners meedenken als het om privacy gaat en om privacy reeds bij het ontwerp mee te integreren.

5. De AVG en intelligente camera’s

Er is ons ook gevraagd een analyse te geven in verband met de privacy impact bij het gebruik van intelligente camera’s. Wij gaan in deze analyse uit van intelligente camera’s die (i) enerszijds geen en (ii) anderzijds wel gezichtsherkenning software gebruiken zodat museumbezoekers kunnen worden gevolgd tijdens het museumbezoek en aanbevelingen kunnen worden gedaan gebaseerd op de data vergaard door de intelligente camera’s.

Afhankelijk van welke features men neemt, welke data men verzameld en welke maatregelen men treft kan de analyse hieromtrent verschillen.

5.1. Persoonsgegevens

Zoals eerder besproken in dit advies zal de AVG van toepassing zijn van zodra er persoonsgegevens worden verzameld van de museumbezoekers.

Bij (intelligente) camera’s die geen gezichtsherkenningsoftware gebruiken (zoals camera's die geluiden, bewegingen, enz. detecteren), zal men al snel persoonsgegevens verwerken. Dit zal zeker het geval zijn wanneer deze beelden worden gecombineerd met andere technologieën (zoals bijv. de positioneringstechnologie gebruikt in huidige opstelling). Om deze technologie te gebruiken of in de opstelling te integreren, zal men dus de 9 andere stappen van de AVG moeten afgaan en correct toepassen.

Camera’s die gezichtsherkenning software toepassen op de beelden maken een gezichtsdatabase aan waardoor ze de personen kunnen herkennen en traceren doorheen het museum. Onze gezichten zijn wellicht de meest persoonlijke gegevens van onszelf en raken de kern van onze identiteit. De AVG beschermt deze gezichtsafbeeldingen dan ook op een hoger niveau, gezichtsafbeeldingen zijn namelijk biometrische gegevens die onder de “bijzondere categorie van persoonsgegevens” (vroeger ook wel ‘gevoelige persoonsgegevens’ genoemd) vallen (35). Deze classificatie brengt een aantal consequenties met zich mee die verder zullen worden besproken. Zo zal men niet alleen de tien stappen moeten toepassen, men zal deze met meer zorg en met weinig ruimte voor enige interpratie moeten toepassen. Immers, de verwerking van de bijzondere categorieën van persoonsgegevens maakt een uitzonderingsregime uit, waarbij de regels strikt moeten worden toegepast. Daar waar bij de verwerking van “gewone” persoonsgegevens er hier en daar ruimte is voor interpretatie en het laten spelen van “het gezond verstand”, zal dit veel minder tot niet het geval zijn bij de verwerking van de bijzondere categorie van persoonsgegevens. Daarnaast zijn de rechtsgronden niet dezelfde.

5.2. Wettelijke grondslag

Voor het gebruik van camera’s en camerabeelden waarbij geen gezichtsherkenning zal worden toegepast (zijnde camera's die geluiden, bewegingen, enz. detecteren), verwijzen voor wat betreft de rechtsgrond naar hetgeen hierboven in Hoofdstuk 4, 2 werd uiteengezet. De rechtsgrond zal hierbij de toestemming zijn, op grond van artikel 6 AVG.

Voor wat betreft het gebruik van intelligente camera’s die aan gezichtsherkenning doen en dus onder artikel 9 AVG vallen, kan men niet terugvallen op de rechtsgronden die eerder werden besproken.

Artikel 9 van de AVG voorziet in een reeks zeer specifieke rechtsgronden, maar voor het MOTFP- project komt enkel de expliciete toestemming in aanmerking. Expliciete toestemming is strenger dan de ‘gewone’ toestemming onder artikel 6 AVG. Het woord expliciet is immers niet voor niets toegevoegd. Met andere woorden de voorwaarden waaraan de toestemming moet voldoen (zoals gëinformeerde, duidelijke, actieve, vrijelijke toestemming) moeten strikter worden geïnterpreteerd en laten weinig tot geen ruimte voor interpretatie. Bovendien moet men als verwerkingsverantwoordelijke ook duidelijk kunnen aantonen dat de museumbezoeker zijn toestemming heeft gegeven.

Deze toestemming van de museumbezoeker bekomen in dit geval is echter niet zo evident.

Aan de informatieplicht valt redelijk gemakkelijk te voldoen door bijv. borden te plaatsen in het museum met informatie over de camera’s en een QR-code naar de privacyverklaring.

Echter, het schoentje begint te knellen bij de voorwaarde van de duidelijke actieve handeling. Het museum binnenlopen kan niet worden beschouwd als een duidelijke actieve handeling. Zwaaien voor de camera beschouwt de Europese Toezichthouder voor de gegevensbescherming (thans onder de naam Working Party 29) wel als een duidelijke actieve handeling (36). Al valt te twijfelen of dit te rijmen valt met de expliciete toestemming die de AVG voorschrijft in het geval van ‘bijzondere categorie van persoonsgegevens’. Bovendien moet men als verwerkingsverantwoordelijke ook duidelijk kunnen aantonen dat de museumbezoeker zijn toestemming heeft gegeven. Dit zou dan inhouden dat deze handbewegingen van museumbezoekers moeten worden opgeslagen. Men zou wel iedereen die een tentoonstelling bezoekt pas toegang tot de tentoonstelling kunnen geven door vooreerst op een tablet expliciete toestemming te geven met de privacy policy. Echter, dit lijkt ons weinig “bezoekers-vriendelijk”.

Wat meer is: kan deze dan nog als vrijelijk worden beschouwd? En wat met bezoekers die hieraan niet willen deelnemen en dus geen toestemming willen geven? Inderdaad, een ander probleem ontstaat wanneer een museumbezoeker geen toestemming geeft om gezichtsafbeeldingen van hem/haar te verwerken. Het dubbele hieraan is dat wanneer men de keuze van de museumbezoeker wilt respecteren dan zal men juist zijn/haar gezichtsafbeelding moeten verwerken, zodat het systeem herkent wie geen en wie wel toestemming heeft gegeven. Gevolg, ook van bezoekers die geen expliciete toestemming hebben gegeven zullen persoonsgegevens worden verwerkt omdat de camera’s wellicht zo zullen zijn opgesteld dat de bezoeker er niet aan kan ontsnappen. Bovendien kan hierdoor de museumbezoeker zijn toestemming niet vrijelijk geven aangezien hij/zij geen keuze heeft om al dan niet gefilmd te worden.

De technologie staat echter niet stil en wanneer een technologische oplossing of techniek beschikbaar is die erin slaagt de gezichten onmiddellijk te anonimiseren of ‘blurren’, zonder het gezicht op te slaan, dan zou de toestemming toch vrijelijk kunnen zijn. Een combinatie van een anonimisatietechniek en ‘edge computing’ zou zo in theorie mogelijks een oplossing kunnen aanbieden. Een groot voordeel is dat de camera’s zelf de beelden zouden kunnen verwerken en onmiddellijk kunnen anonimiseren. De beelden zouden dus niet moeten worden verstuurd voor verdere verwerking en anonimisatie wat zeker vanuit een ‘data security perspectief’ positief is.

Een uitdaging voor de camera’s blijft wel het eerder vermelde probleem van het moeten kunnen herkennen van personen die wel en geen toestemming hebben gegeven. Maar indien men een manier kan vinden om de opslag van deze beelden te voorkomen of deze binnen enkele nanoseconden te anonimiseren door middel van edge computing en bij het aanwenden van het principe data protection by design dan kan een dergelijke techniek of opstelling mogelijks conform de regels van de AVG worden aangewend. Met andere woorden: werk voor de DPO!

5.3. Principes

Eén van de kernprincipes van de AVG is het principe van minimale gegevensverwerking (37). De gegevensverwerking moet zich beperken tot de gegevens die noodzakelijk zijn voor de doeleinden waarvoor zij verwerkt worden.

Het gebruiken van de gewone camerabeelden in combinatie bijv. met het amulet en/of de sensoren of anchors, stelt op zich weinig problemen. We hebben gezien dat in de huidige toepassing geen identificatie van de bezoeker mogelijk is. Hierdoor zijn ook de mogelijkheden van enige interactie met de bezoeker eerder beperkt. Het is derhalve perfect te argumenteren dat men middels het gebruik van camerabeelden zonder gezichtsherkenning in combinatie met de huidige opstelling of nog altijd het principe van dataminimalisatie kan honoreren.

De situatie blijkt wel niet dezelfde te zijn wanneer we camera’s gaan gebruiken met gezichtsherkenning. Hoewel gezichtsherkenning software mogelijks een zeer efficiënte manier om bezoekers te volgen tijdens hun museumbezoek, heeft het MOTFP-project reeds aangetoond dat gezichtsafbeeldingen niet noodzakelijk zijn om het vooropgestelde doel te bereiken.

Naast het Big Brother-aspect kan men al snel aanvoelen dat het gebruik van intelligente camera’s en gezichtsherkenning in een museum disproportioneel is met het beoogde doel, namelijk museumbezoekers traceren en aanbevelingen maken op basis van hun gedrag.

5.4. Rechten van betrokkenen

In beide scenario’s zal men de rechten van betrokkenen dienen te respecteren en zal men de betrokkenen de mogelijkheid moeten bieden hun rechten uit te oefenen.

Wij verwijzen naar hetgeen hieromtrent uiteengezet onder Hoofdstuk 4, punt 4.

5.5. Gegevensbeheer

De veiligheidsstandaard die men moet hanteren bij het verwerken van dergelijke gevoelige persoonsgegevens ligt zeer hoog. De Europese Toezichthouder voor gegevensbescherming geeft in haar recent gepubliceerde richtlijnen om de risico’s te minimaliseren bij het verwerken van biometrische gegevens (38).

  • Gegevensminimalisatie: de gegevens die uit een digitaal beeld worden geëxtraheerd om een sjabloon op te bouwen, mogen niet buitensporig zijn en alleen de informatie bevatten die nodig is voor het gespecificeerde doel, zodat verdere verwerking wordt vermeden. Er moeten maatregelen worden genomen om te garanderen dat de sjablonen niet kunnen worden overgedragen tussen biometrische systemen.

  • Opslag gegevens: de verwerkingsverantwoordelijke moet passende maatregelen nemen om de veiligheid van de opgeslagen gegevens te waarborgen. Dit kan encryptie van het model met behulp van een cryptografisch algoritme omvatten.

  • Beschikbaarheid, integriteit en vertrouwelijkheid: men dient een aantal veiligheidsmaatregelen in acht te nemen:

    • het compartimenteren van de gegevens tijdens de transmissie en de opslag;

    • het opslaan van biometrische sjablonen en ruwe gegevens of identiteitsgegevens in afzonderlijke databanken;

    • het versleutelen van biometrische gegevens, met name biometrische sjablonen;

    • het vaststellen van een beleid voor versleuteling en beheer van de sleutels;

    • het integreren van een organisatorische en technische maatregelen voor het opsporen van fraude;

    • het koppelen van een integriteitscode aan de gegevens (bijvoorbeeld een handtekening of een hash); en

    • het verbieden van elke externe toegang tot de biometrische gegevens.

  • Verwijderen gegevens: de verwerkingsverantwoordelijke moet overgaan tot het verwijderen van ruwe gegevens (gezichtsbeelden, spraaksignalen, het gangwerk, enz.) en de doeltreffendheid van deze verwijdering waarborgen en kunnen aantonen. Immers, voor zover biometrische sjablonen uit dergelijke gegevens voortvloeien, kan men ervan uitgaan dat de samenstelling van databanken een gelijke, zo niet nog grotere bedreiging kan vormen (omdat het niet altijd gemakkelijk is om een biometrisch sjabloon te lezen zonder de kennis over hoe het is geprogrammeerd, terwijl ruwe gegevens de bouwsteen van een sjabloon zullen vormen). Indien de verwerkingsverantwoordelijke dergelijke gegevens zou moeten bewaren, moet worden gezocht naar een methode voor het toevoegen van geluidshinder (zoals watermerken), waardoor de creatie van het sjabloon ondoeltreffend zou worden. De verwerkingsverantwoordelijke moet ook biometrische gegevens en sjablonen verwijderen in het geval van ongeoorloofde toegang tot de leesvergelijkingsterminal of opslagserver en gegevens die niet bruikbaar zijn voor verdere verwerking verwijderen bij het einde van de levensduur van het biometrische apparaat.

5.6 Gegevensbescherming door ontwerp en standaardinstellingen

Wij verwijzen hier naar hetgeen uiteengezet onder Hoofdstuk 4, punt 6.

Inderdaad, om dezelfde redenen als bij Hoofdstuk 4, punt 5 zal er een DPIA moeten worden uitgevoerd. Wanneer men deze uitvoert zal men al snel tot de conclusie komen dat de risico’s voor de privacy van de museumbezoeker te groot zijn. Zeker als er weinig maatregelen beschikbaar zijn om de privacyrisico’s te verminderen. Wanneer het overblijvend risico te hoog is, moet MOTFP de gegevensbeschermingsautoriteit consulteren voorafgaand aan de verwerking. Ook als er twijfels bestaan over het risico dan is er altijd de mogelijkheid om advies te vragen aan de gegevensbeschermingsautoriteit. Deze laatste zal dan een schriftelijk advies opstellen over de verenigbaarheid van de verwerking met de AVG (39). Indien de verwerkingsverantwoordelijke de gegevensbeschermingsautoriteit kan overtuigen dat ondanks het hoog risico de verwerking niet strijdig is met de AVG, dan zou de gegevensbeschermingsautoriteit kunnen oordelen dat de verwerking toch toegelaten is. MOTFP moet dus nadenken hoe privacy kan worden ingebouwd in de intelligente camera’s die gezichtsherkenningssoftware hanteren. Privacy first is echter moeilijk haalbaar wanneer men camera’s gebruikt die gezichten gaan ‘lezen’.

5.7. Bewustwording creëren rond de verwerking

Hier zijn er geen bijzonderheden vergeleken met de proefopstelling in Hoofstuk 4, punt 7. Wij verwijzen daarom dan ook naar Hoofdstuk 4, punt 7.

5.8. Rapporteren van gegevenslekken

Hier zijn er geen bijzonderheden vergeleken met de proefopstelling in Hoofstuk 4, punt 8. Wij verwijzen daarom dan ook naar Hoofdstuk 4 punt 8.

5.9. Gegevensbeschermingsfunctionaris aanstellen

Hier zijn er geen bijzonderheden vergeleken met de proefopstelling in Hoofstuk 4, punt 9. Wij verwijzen daarom naar Hoofdstuk 4 punt 9

5.10. Relatie met verwerkers en doorgifte naar derde partijen

Hier zijn er geen bijzonderheden vergeleken met de proefopstelling in Hoofstuk 4, punt 10. Wij verwijzen daarom naar Hoofdstuk 4 punt 10

5.11. Overige toepasselijke wetgeving

Naast de AVG is in België ook de geüpdatete camerawet van toepassing wanneer de camera’s ook zouden worden gebruikt voor bewakingsdoeleinden (40). Deze wet bevat sinds vorig jaar bepalingen over het gebruik van intelligente bewakingscamera’s en maakt een onderscheid tussen intelligente bewakingscamera’s die gekoppeld zijn aan persoonsgegevensbestanden (ANPR, gezichtsherkenning,...) en intelligente bewakingscamera’s die niet gekoppeld zijn aan persoonsgegevensbestanden (camera's die geluiden, bewegingen, enz. detecteren). In het eerste geval is enkel ANPR toegelaten, intelligente bewakingscamera’s die gezichtsherkenning-software bevatten zijn niet toegelaten (41).

Men zou ervoor kunnen opteren om de camera’s enkel te gebruiken voor de tracking- en ‘marketing’ doeleinden maar dan kunnen de camerabeelden ook maar enkel voor deze doeleinden worden gebruikt. Wanneer de camera’s voor beide doeleinden zouden worden gebruikt en dus onder meerdere wettelijke regimes valt, zijn zowel de AVG (met inbegrip van de Belgische Privacywet (42)) en de camerawet gelijktijdig van toepassing.

5.12. Conclusie

Hierboven werd aangetoond dat indien er intelligente camera’s zonder gezichtsherkenning zouden worden ingezet of geïntegreerd zouden worden in de huidige opstelling, dit een vergelijkbare analyse en gelijkaardig stappenplan als uiteengezet onder Hoofstuk 4 met zich meebrengt.

De analyse heeft aangetoond dat er verschillende problemen opduiken wanneer men het gebruik van intelligente camera’s met gezichtsherkenningsoftware zou overwegen. Zo is het gebruik ervan niet in overeenstemming met de principes van de AVG (rechtmatigheid, noodzakelijkheid en proportionaliteit). Indien men niet onder de AVG wilt vallen, zullen de persoonsgegevens moeten geanonimiseerd worden en geavanceerde anonimisatietechnieken moeten worden toegepast zodat het individu niet (meer) kan geïdentificeerd worden. In zoverre die anonimisering de bruikbaarheid van de gezichtsafbeeldingen niet aantast, behoort deze maatregel misschien tot de mogelijkheden.

Bovendien bestaat in België de bijkomende moeilijkheid dat wanneer de camera’s ook zouden worden gebruikt voor bewakingsdoeleinden, de camerawet van toepassing is. De camerawet laat niet toe dat intelligente bewakingscamera’s worden gebruikt die gekoppeld zijn aan persoonsgegevensbestanden. Zolang aan deze voorwaarden is voldaan zal men onder het toepassingsgebied van de camerawet vallen en is het gebruik niet toegelaten.

Is elk gebruik van intelligente camera’s dan problematisch? Neen, men zou de intelligente camera’s bijvoorbeeld ook kunnen gebruiken om in plaats van gezichten lichaamsbewegingen waar te nemen. Een recent voorbeeld hiervan is het experiment van supermarktketen Albert Heiijn met een winkel zonder kassa (43). Van de lichaamsbewegingen van de museumbezoeker kan de intelligente camera een baseline maken dat veel wegheeft van een stokfiguurtje. De museumbezoeker wordt als het ware gereduceerd tot dat stokfiguurtje. Een stokfiguurtje heeft geen leeftijd, geslacht, gezicht, etniciteit enzovoort. In beginsel is dergerlijk gebruik van intelligente camera’s dus anoniem. Echter hoeft dit niet zo te zijn in de praktijk. Wanneer het stokfiguurtje van de museumbezoeker gelinkt wordt aan het individu achter het stokfiguurtje vervalt het anonieme karakter ervan. Het stokfiguurtje en het gedrag ervan vormen dan persoonsgegevens. De meeste museumbezoekers zullen het wel snel eens zijn dat een stokfiguurtje veel minder privacy invasief is dan hun gezicht. Ook rijzen er op juridisch vlak minder problemen dan bij camera’s met gezichtsherkenning. Zo is het voor de museumbezoeker veel makkelijker om de toestemming vrijelijk te geven aangezien de stokfiguurtjes op zich anoniem zijn. Zolang de museumbezoeker geen persoonsgegevens meedeelt zullen de camera’s enkel het stokfiguurtje (en dus anonieme gegevens) van hem verzamelen. Ook op vlak van proportionaliteit is dergelijk gebruik van intelligente camera’s veel sterker te rechtvaardigen. In dit geval is less dus more en het voorbeeld bewijst dat innovatie en privacy perfect samen kunnen gaan.

6. Bruikbaarheid van de analyse voor andere indoor positioneringssystemen

Of dit advies ook zou kunnen dienen voor andere indoor positioneringssystemen (Bluetooth, RFID, WPS, VLC, ...) hangt in grote mate af van de context en vergelijkbaarheid met de use-case die behandeld is in dit advies. De regels van de AVG zijn technologieneutraal, vanaf het ogenblik dat men persoonsgegevens verwerkt valt men onder de AVG.

Men moet dus niet de vraag stellen valt deze technologie onder de AVG maar eerder welke persoonsgegevens ga ik verzamelen door het gebruik van deze technologie. Het voorgaande neemt niet weg dat dit advies of delen ervan nuttig kunnen zijn bij de afweging tussen verschillende technologieën. Wil men zo privacy-friendly mogelijk zijn en de AVG vermijden, loont het om te kijken welke technologie zich het best leent tot anonimisatie van de gegevens. Al deze technologieën hebben gemeen dat ze de positie kunnen bepalen van de museumbezoeker (de ene al wat nauwkeuriger dan de andere). Wat uiteindelijk met de verzamelde gegevens wordt gedaan en hoe de technologie wordt geïmplementeerd heeft een grotere impact op de AVG-beoordeling dan de technologie zelf. Om deze reden worden hieronder de andere technologieën zeer kort besproken.

De positioneringssystemen werken ook min of meer op dezelfde manier. Een beacon zendt een signaal uit dat door een receiver (momenteel de wearable maar kan evengoed een smartphone zijn) moet worden ontvangen. Dat signaal naargelang de technologie zal bestaan uit een infrarood, wifi, bluetooth of lichtsignaal. Vervolgens wordt op basis van de feedback de locatie bepaald van de museumbezoeker.

AContrario raadt zeker aan om de 10 stappen analyse steeds uit te oefenen wanneer men een nieuwe technologie wilt gebruiken.

6.1. Bluetooth low energy beacon en smartphone applicatie

Bluetooth beacons zijn kleine zendmasten die hun unieke identificator uitzenden naar nabijgelegen draagbare elektronische apparaten. Komt een museumbezoeker in de buurt van zo’n beacon dan stelt de beacon het apparaat (tablet, gsm of ander apparaat) in staat om bepaalde acties uit te voeren. Deze technologie kan toegepast worden om met een zeer grote precisie de locatie te bepalen van museumbezoekers door een applicatie die op het apparaat dient te worden geïnstalleerd. Doordat er steeds een elektronisch apparaat nodig is dat het signaal van de beacon kan ontvangen, is het waarschijnlijk dat persoonsgegevens zouden worden verzameld. In het geval men met een applicatie zou werken voor de smartphone komt men zeer snel in het toepassingsgebied van de AVG. Toestemming vragen van de museumbezoeker is in deze situatie wel eenvoudiger. De museumbezoeker kan bij het downloaden en registreren van de museumapp duidelijk zijn toestemming geven. Een groot verschil met de intelligente camera’s is ook dat de verwerking beperkt blijft tot het noodzakelijke.

6.2. LIDAR

Light Detection And Ranging of Laser Imaging Detection And Ranging is een technologie waarmee men de afstand tot een object of oppervlak kan meten door middel van laserpulsen. Het object of in het geval van MOTFP de museumbezoeker (of de gehele zaal) wordt belicht door laserlicht en met een sensor gaat men vervolgens de afstand meten aan de hand van het gereflecteerde licht. Het object kan dan in 3D in kaart kan worden gebracht. Het is ons niet geheel duidelijk hoe deze technologie in concreto zou worden gebruikt voor doeleinden zoals beschreven in het MOTFP-project aangezien deze technologie voornamelijk wordt toegepast in de domeinen van geologie, ruimtevaart, archeologie, zelfrijdende auto’s en meteologie.

De technologie lijkt niet echt geschikt om personen te gaan identificeren en te volgen.

6.3. Visible Light Positioning

Met deze technologie gaat men licht gebruiken om de locatie te bepalen van een persoon. Net zoals bij de andere positioneringssystemen is er een apparaat nodig dat het signaal (hier het licht) kan ontvangen. Dat kan een speciaal specifiek apparaat zijn vergelijkbaar met de wearable nu maar kan evengoed de camera zijn van een smartphone.

7. Contact

Vooreerst wensen wij de MOTFP en Stad Gent nogmaals te bedanken om ons de kans te geven een advies te mogen overmaken.

Wij hopen u met dit advies voldoende informatie te hebben bezorgd. Indien u nog verder vragen of opmerkingen zou hebben, aarzel niet ons hieromtrent te contacteren.

Maximiliaan Malbrain - Junior Associate Magali Feys - Partner

8. Voetnoten

1 Met name UWB signalen

2 Pozyx levert als technische partner de hardware in deze proefopstelling, zijnde de tags of amuletten, de anchors of sensoren en de server.

3 Crunch Analytics, de andere technische partner, staat meer in voor de software oplossing waarbij de gecapteerde data wordt geanalyseerd en waaraan op grond van algoritmes een bezoekersprofiel wordt gekoppeld.

4 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens

5 Verwerkingsverantwoordelijken zijn de bedrijven of organisaties die beslissen hoe de verzamelde gegevens zullen worden gebruikt.

6 Art. 2, 1 en 4, 1 AVG

7 Art. 6 AVG

8 Art. 5 AVG

9 Art. 12 - 23 AVG

10 Art. 24, 30 en 32 AVG

11 Art. 25 en 35 AVG

12 Deze afkorting is gebaseerd op de Engelstalige benaming ‘data protection impact assessment’

13 Art. 32 – 34 AVG

14 Voor België is dat de voormalige Belgische Privacycommissie, nu de Gegevensbeschermingsautoriteit genaamd.

15 Art. 37 – 39 AVG

16 Art. 37 AVG

17 Art. 27 – 29 AVG en art. 44 – 50 AVG

18 L. Sweeney, Simple Demographics Often Identify People Uniquely, Carnegie Mellon University, Data Privacy Working Paper 3. Pittsburgh 2000.

19 Zie overweging 26 AVG.

20 Overweging 26 AVG.

21 Article 29 Working Party, Opinion 05/2014 on Anonymisation Techniques, WP216, 0829/14/EN, 5.

22 Art. 6, 1 AVG

23 Overweging 32 AVG

24 WP29, Guidelines on consent under Regulation 2016/679, WP259 rev.01, p. 5.

25 Noodzakelijk voor de uitvoering van een overeenkomst.

26 Deze gegevens worden omschreven in de AVG als bijzondere categorieën van persoonsgegevens.

27 Overweging 41 AVG.

28 Art. 6, 1 AVG

29 We verwijzen hierbij naar hetgeen gesteld onder 4.2.1 (a). In een dergelijk scenario zou het ook mogelijk zijn de verwerking te baseren op de uitvoering van de overeenkomst (zijnde de aanvaarde algemene voorwaarden voor het gebruik van de applicatie). Echter, een dergelijke rechtsgrond beperkt een aantal rechten die de bezoeker zou kunnen uitoefenen en vereist niet dat de bezoeker middels een eenvoudige samenvatting eerst wordt geïnformeerd alvorens diens akkoord te geven met de algemene voorwaarden. Indien in dat scenario toch zou worden gekozen voor de rechtsgrond van de overeenkomst, raden wij ten zeerste aan om te voorzien in een geïnformeerde toestemming/akkoord en om de beëindigingsmodaliteiten zo flexibel mogelijk te maken zodanig deze overeenstemmen met een mogelijkheid om de toestemming in te trekken.

30 WP29, Guidelines on consent under Regulation 2016/679, WP259 rev.01, p. 6.

31 Art. 7 Wet 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (hierna ‘Privacywet’)

32 Art. 1, tweede lid Richtlijn 98/48/EG 20 juli 1998 tot wijziging van Richtlijn 98/34/EG betreffende een informatieprocedure op het gebied van normen en technische voorschriften

33 Art. 22 AVG

34 Voor de voorwaarden van deze toestemming verwijzen we naar hetgeen hoger reeds werd geschreven.

35 Art. 4, (h) AVG en art. 9 AVG

36 WP29, Guidelines on consent under Regulation 2016/679, WP259 rev.01, p. 17.

37 Art. 5, (c) AVG

38 EDPB, Guidelines 3/2019 on processing of personal data through video devices, EDPB Plenary meeting, 09-10 July 2019, p. 18

39 Art. 36 AVG

40 Wet 21 maart 2007 tot regeling van de plaatsing en het gebruik van bewakingscamera's (hierna ‘Camerawet’)

41 Art. 8/1 Camerawet

42 Wet 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens

43 Voor een video-fragment waar het camerasysteem van Albert Heijn wordt getoond zie: https://www.youtube.com/watch?v=jmfDoJWDfSY&feature=youtu.be&t=51

Contents
1. Inleiding
1.1. Museum of Things for People
1.2. Specifieke juridische noden van Stad Gent – Gegegevensbescherming door ontwerp en standaardinstellingen (Data protection by design & default)
1.3. Beschrijving van de proefopstelling
2. Het ABC van de AVG
2.1. Algemene Verordening Gegevensbescherming of AVG
2.2. De 10 stappen om in overeenstemming te komen met de AVG
2.3. Een aantal stappen verder toegelicht
2.3.2. Geanonimiseerde gegevens
3. De 10 stappen in de praktijk: de huidige opstelling binnen MOTFP
3.1. Verwerking van persoonsgegevens of geanonimiseerde gegevens?
3.2. Conclusie en aanbeveling
4. De 10 stappen in de praktijk: MOTFP naar de toekomst toe
4.1. Persoonsgegevens
4.2. Wettelijke grondslag
4.3. Principes
4.4. Rechten van betrokkenen
4.5. Gegevensbeheer
4.6 Gegevensbescherming door ontwerp en standaardinstellingen
4.7. Bewustwording creëren rond de verwerking
4.8. Rapporteren van gegevenslekken
4.9. Gegevensbeschermingsfunctionaris aanstellen
4.10. Relatie met verwerkers en doorgifte naar derde partijen
4.11. Conclusie
5. De AVG en intelligente camera’s
5.1. Persoonsgegevens
5.2. Wettelijke grondslag
5.3. Principes
5.4. Rechten van betrokkenen
5.5. Gegevensbeheer
5.6 Gegevensbescherming door ontwerp en standaardinstellingen
5.7. Bewustwording creëren rond de verwerking
5.8. Rapporteren van gegevenslekken
5.9. Gegevensbeschermingsfunctionaris aanstellen
5.10. Relatie met verwerkers en doorgifte naar derde partijen
5.11. Overige toepasselijke wetgeving
5.12. Conclusie
6. Bruikbaarheid van de analyse voor andere indoor positioneringssystemen
6.1. Bluetooth low energy beacon en smartphone applicatie
6.2. LIDAR
6.3. Visible Light Positioning
7. Contact
8. Voetnoten