In deze bijdrage nemen wij je mee in de geldende wet- en regelgeving ten aanzien van privacy en de technische mogelijkheden voor een onafhankelijk onderzoeker om hieraan te kunnen voldoen.
Een particulier onderzoeker krijgt bij de uitvoering van zijn werkzaamheden met regelmaat beschikking over persoonsgegevens. Persoonsgegevens betreffen alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene) (art. 1 Algemene verordening gegevensbescherming (AVG)). Het is van belang dat de onderzoeker zorgvuldig met deze persoonsgegevens om gaat. Iedereen heeft tenslotte recht op bescherming van zijn persoonlijke levenssfeer, met inbegrip van zijn persoonsgegevens.
Niet alleen dient de onderzoeker c.q. het onderzoeksbureau maatregelen te treffen om te voorkomen dat deze gegevens in handen van onbevoegden komen (art. 4 Regeling particuliere beveiligingsorganisaties en recherchebureaus (Rbpr)). In de AVG zijn diverse regels opgenomen voor het verwerken van persoonsgegevens, de wijze van verwerking, de beveiliging van de verwerking en de rechten van de betrokkenen.
Voor onderzoeksbureaus is een aantal specifieke bepalingen uit de AVG uitgewerkt in de Privacygedragscode van de Nederlandse Veiligheidsbranche. De Privacygedragscode geldt voor alle particuliere onderzoeksbureaus die een vergunning hebben, zoals bedoeld in de Wet particuliere beveiligingsorganisaties en recherchebureaus (Wpbr). De algemene beginselen voor het verwerken van persoonsgegevens zijn opgenomen in hoofdstuk 5 van de Wpbr:
In het licht van de algemene beginselen voor verwerking van persoonsgegevens is het van belang om in gedachten te houden dat bij onafhankelijk onderzoek vaak onderzoeksmethoden worden ingezet waarmee een bepaalde inbreuk wordt gemaakt op de (privacy)rechten van de betrokkene tegen wie ze worden ingezet. Daarbij gelden de beginselen van proportionaliteit en subsidiariteit. Kort gezegd houden deze beginselen in dat bij de keuze van de onderzoeksmethode of het onderzoeksmiddel rekening gehouden moet worden met het doel en met de inbreuk die wordt gemaakt:
Het onderzoeksbureau is aan te merken als een verwerkingsverantwoordelijke in de zin van de AVG. Hieraan hangt een aantal verplichtingen, waaronder het uitvoeren van een Data privacy impact assessment (DPIA). Hierin wordt omschreven van welke betrokkenen welke persoonsgegevens worden verwerkt, op welke wijze deze persoonsgegevens worden verwerkt en welke maatregelen er worden genomen om te voorkomen dat deze persoonsgegevens in handen komen van onbevoegden. Bovendien worden de privacybelangen van elk van de betreffende betrokkenen afgewogen tegenover het belang van de opdrachtgever om een onafhankelijk onderzoek te laten verrichten bij een vermoeden van onregelmatigheden. Kort gezegd worden door middel van de DPIA de impact van gegevensverwerking op de betrokken personen geëvalueerd en worden passende maatregelen genomen om risico’s met betrekking tot gegevensbescherming te minimaliseren.
Vanuit IT perspectief staan de onderzoeker diverse mogelijkheden voor om onder andere invulling te geven aan de genoemde verplichtingen. Hieronder lichten wij toe hoe EBBEN in de praktijk invulling geeft aan de vereisten van proportionaliteit en subsidiariteit. eDiscovery- en forensische tools spelen een cruciale rol in het waarborgen van privacy binnen onderzoeken. Deze tools helpen onderzoekers om persoonsgegevens op een rechtmatige en transparante manier te verwerken, waarbij principes zoals doelbinding, minimale gegevensverwerking en opslagbeperking worden nageleefd. Door middel van geavanceerde functies, zoals geautomatiseerde data-analyse, encryptie en toegangsbeheer, kunnen onderzoekers ervoor zorgen dat alleen geautoriseerde personen toegang hebben tot gevoelige gegevens. Bovendien ondersteunen deze tools het uitvoeren van een DPIA.
Daarnaast dragen eDiscovery- en forensische tools bij aan de vereisten van proportionaliteit en subsidiariteit door onderzoekers in staat te stellen om gericht en efficiënt data te verzamelen en te analyseren. Met functies zoals data culling, deduplicatie en geavanceerde zoekmogelijkheden kunnen irrelevante gegevens snel worden geëlimineerd, waardoor een mogelijke privacy-inbreuk te allen tijde wordt beperkt tot het strikt noodzakelijke. Door gebruik te maken van logging en audit trails wordt bovendien de integriteit en vertrouwelijkheid van de gegevens gewaarborgd, zodat kan worden aangetoond dat de gegevensverwerking voldoet aan de wettelijke vereisten en ethische normen. Hiermee bieden deze tools een solide technologische basis voor onafhankelijk onderzoek met respect voor de privacy van betrokkenen.
Wilt u meer weten over het voorgaande, maak dan contact met Kai-Chun Chan, Jelle Oorebeek of Marcel Westerhoud: