Privacy Management Partners - Drones, gegevensverwerking en privacy wetgeving

Als vliegend object kan een drone informatie verzamelen op plekken en op momenten die op andere manieren nauwelijks te doen is of tegen veel grotere moeite en kosten. Dit heeft vanzelfsprekend veel voordelen als dit nuttige doelen zijn. Het kan echter ook flink ontsporen, verkeerd worden uitgevoerd, onbegrepen worden en consequenties krijgen voor de drone operator en diens opdrachtgevers die de gegevens ontvangen voor verder gebruik. Consequenties zijn onder meer stopzetting van de procesuitvoering, boete, claims en natuurlijk een slechte reputatie. Waarmee moeten zij rekening houden om voor deze gegevensverwerking wél een ‘licence to operate’ te verdienen?

De privacyjuridische rollen moeten herkend en verder ingevuld worden. Welke partij is voor welke gegevensstroom verwerkingsverantwoordelijke, wie is verwerker en is er sprake van gezamenlijke verwerkingsverantwoordelijkheid? Bij die rollen horen eisen.

Maar wat zijn dan die gegevensverwerkingen die vanuit die drone worden uitgevoerd en wat zijn daarbij de doelen? Sommige verwerkingen zullen gebruikt worden voor verschillende doelen en mogelijk verschillende opdrachtgevers. Hoe wordt dat informatietechnisch uitgevoerd en hoe worden daarop afspraken gemaakt?

Hoe zit het met de doelen en de bijbehorende informatieprocessen, zijn die legitiem? Met welke wetgeving heb je te maken? Worden er wellicht gegevens verzameld en gedeeld die geen doel dienen? Is het gebruik van de gegevens proportioneel om het doel te bereiken? Een voorbeeld is om camerabeeldgegevens te blurren als deze niet nodig zijn voor het gespecificeerde doel.

Is het mogelijk om het doel te bereiken met minder inbreuk op de rechten en vrijheden van personen? En hoe is het specifieke dronegebruik gerelateerd aan de verschillende privacyinvloedsferen? Snapt de betrokkene wat de drone doet, wat er met de gegevens gebeurt en waar hij eventueel aan de bel kan trekken?

De verwerkingsverantwoordelijke is bij deze dronetoepassingen verplicht om een Data Protectie Impact Assessment (DPIA) uit te voeren. Met deze DPIA wordt aangetoond dat goed over de verwerking is nagedacht en dat mogelijke fouten en risico’s in kaart zijn gebracht en met maatregelen gemitigeerd. Ook rust de verplichting op privacy-by-design wat inhoudt dat de eisen en benodigde maatregelen ingebakken zijn in de processen en de technologie.

Voor veel droneoperators is de omgang met de informatieketens vanuit de drone een nieuw onderwerp. En veel partijen die gegevens vanuit de drone ontvangen zijn niet goed op de hoogte wat in dat deel van het informatieproces gebeurt, terwijl zij daar mogelijk wél verwerkingsverantwoordelijke voor zijn.

In de presentatie wordt een handvat geboden om op gestructureerde wijze te voldoen aan de eisen van de privacywetgeving en om dit ook aantoonbaar te maken.