10 Aandachtspunten voor ePortfoliosystemen op basis van de Wbp Jan Peter Bergfeld, Stichting Inlichtingenbureau

1. Privacy-aandachtspunten bij
e-portfoliotoepassingen
Jan Peter Bergfeld

2. Indeling
• Introductie Inlichtingenbureau
“Wij zorgen dat burgers krijgen waar ze recht op hebben”
• Definities Wet bescherming persoonsgegevens
• Privacy-uitgangspunten
• Afronding: privacy als kwaliteitsaspect van de dienstverlening

3. Juridisch kader
• Grondwet artikel 10
• EU-richtlijn dataprotectie
• Wet bescherming persoonsgegevens (Wbp)

4. Wbp-definities
Verwerking van persoonsgegevens:
Elke handeling of elk geheel van handelingen met betrekking
tot persoonsgegevens, waaronder in ieder geval het:
Verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen,
raadplegen, gebruiken, verstrekken d.m.v. doorzending, verspreiding of enige
andere vorm van ter beschikkingstelling, samenbrengen, met elkaar in verband
brengen, alsmede het afschermen, uitwissen of vernietigen van
persoonsgegevens.
Verantwoordelijke: stelt alleen of tezamen met anderen het doel van en
de middelen voor de verwerking van persoonsgegevens vast.
Bewerker: degene die t.b.v. de verantwoordelijke persoonsgegevens verwerkt,
zonder aan diens rechtstreeks gezag te zijn onderworpen.

5. Doelspecificatie / doelbinding
Wbp art. 7: Persoonsgegevens worden voor welbepaalde,
uitdrukkelijk omschreven en gerechtvaardigde doeleinden
verzameld.
E-portfolio: een verzameling van doelgericht bij elkaar gebrachte
elektronische gegevens en documenten (bestanden), die wordt
beheerd door het lerende en werkende individu. Het doel van het
samenstellen van een e-portfolio is het tonen van resultaten (en
eventueel het leerproces) aan anderen.

6. Verzamelbeperking / gebruikersbeperking
Wbp art. 11 lid 1: Persoonsgegevens worden slechts verwerkt voor zover zij
toereikend, ter zake dienend en niet bovenmatig zijn.
Wbp art. 9 lid 1: Persoonsgegevens worden niet verder verwerkt op
een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn
verkregen.

7. Verzamelbeperking / gebruikersbeperking
Linked In: We use the information you provide to (…..) send you
service or promotional communications through email (…..)

8. Gegevenskwaliteit
Artikel 11 lid 2 Wbp: “De verantwoordelijke treft de nodige
maatregelen opdat persoonsgegevens, gelet op de doeleinden
waarvoor zij worden verzameld of vervolgens worden verwerkt,
juist en nauwkeurig zijn”.

9. Informatiebeveiliging
Artikel 13 Wbp: draagt de verantwoordelijke op om passende
technische en organisatorische maatregelen ten uitvoer te leggen om
persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van
onrechtmatige verwerking. Deze maatregelen garanderen, rekening
houdend met (1.) de stand van de techniek en (2.) de kosten van de
tenuitvoerlegging, een passend beveiligingsniveau.

10. Informatiebeveiliging
(…) However, since the internet is not a 100% secure environment,
we cannot ensure or warrant the security of any information you
transmit to Linked in

11. Verantwoordelijkheid / aansprakelijkheid
Het uitgangspunt is dat de verantwoordelijke verantwoordelijk en
aansprakelijk is voor de gegevensverwerking.

12. Transparantie / inzagerecht
Art. 27 Wbp: verwerking melden bij College bescherming persoonsgegevens
of bij door verantwoordelijke door de verantwoordelijke benoemde
Functionarisvoor de gegevensbescherming.
Art. 35/36 Wbp: inzage- en correctierecht voor betrokkene

13. Conclusie
Privacy kan en moet een kwaliteitsaspect van de dienstverlening zijn. Dat
dwingt tot heldere keuzes en afwegingen door de leiding van de organisatie.
Een privacyjurist kan daarbij ondersteunen maar kan dat niet overnemen.
Een op schrift gestelde privacy policy kan invulling geven aan de privacy-
uitgangspunten.