Internetrecht door Arnoud Engelfriet

In Nederland was de insteek vooral dat profielen van sollicitanten doorzoeken verboden zou worden, bij Amerikaanse sites gaat het meer over het idee (nou já zeg) van privacy op de werkplek. Maar in ieder geval: in Duitsland wordt gewerkt aan een streng wetsvoorstel over hoe er met privacy en persoonsgegevens van werknemers en sollicitanten moet worden omgegaan.

Zo wordt het verboden om op als privé bedoelde netwerksites (Hyves, Facebook) te kijken wat sollicitanten allemaal uitspoken. Linkedin mag je wel bekijken, en Googelen van sollicitanten mag ook, mits je maar bij de resultaten mee laat wegen hoe oud de informatie is en in hoeverre de sollicitant controle heeft over de informatie zoals daar gepubliceerd. Ook worden er strengere regels over cameratoezicht en monitoren van internetgebruik ingevoerd.

Op zich verbazen de meeste voorgestelde regels niet. Privacy geldt ook op het werk, dat is vaste jurisprudentie van het Europese Hof voor de Rechten van de Mens. En we weten ook in Nederland dat het gebruik van persoonsgegevens aan strenge regels gebonden is, waardoor veel sociale-netwerksites een probleem hebben.

Het is dan weer wel typisch Duits om de regels tot in detail uit te gaan werken in wetgeving, maar goed. In Nederland lijken we meer de voorkeur te geven aan algemene wetten, die dan via richtsnoeren, convenanten en af en toe een rechtszaak ingevuld worden. Op zich lijkt me dat flexibeler, maar het duurt natuurlijk wel een stuk langer voordat je zeker weet of iets mag. Ik ben er nog niet helemaal uit wat ik nu prettiger vind.

Gekke voorbeelden van toezicht of indegatenhouden door werknemers zijn trouwens welkom, ik moet binnenkort weer een lezing geven over privacy op het werk en het verhaal van de camera in de kleedhokjes of in de toiletpot kennen ze al.

Arnoud
Foto: Sunside @ Flickr, Creative Commons By-NC 2.0

Ik ken een paar werkgevers die nu gaan schuimbekken. Je geeft je werknemers een PC te leen, die gaan ze dan een beetje privé zitten gebruiken en dan mag je er niet eens meer in zoeken als blijkt dat die werknemers disfunctioneren. Maar dat is toch echt waar deze uitspraak van het College van Beroep voor het bedrijfsleven op neerkomt. Het ging hier om tuchtrecht voor accountants, maar tussen de regels door zie je duidelijk dat het College afkeurt dat er in privé gebruikte apparatuur wordt gezocht als daar geen héél goede reden voor is.

Een ambtenaar werkte als systeembeheerder bij een gemeente. Ze werd geschorst omdat ze zonder toestemming van B&W een personal computer met toebehoren, eigendom van de gemeente, bij haar thuis had geplaatst. Om redenen die me niet helemaal duidelijk zijn, werd vervolgens de fraudeafdeling van Deloitte losgelaten om die computer te doorzoeken.

De ambtenaar vocht de schorsing aan, en diende ook een klacht in tegen de onderzoeker. Die was accountant, en dus onderworpen aan hun tuchtrecht. Van een accountant mag in rapportage verwacht worden dat deze objectief, neutraal en volledig is. Maar daarvan was hier geen sprake:

Het onderzoek was immers juist gericht op het - totale - gebruik van de personal computer. Bij een feitelijke weergave van de aangetroffen computerprogramma’s is het niet aan betrokkene een keuze te maken in wat hij wel of niet opneemt in zijn rapportage. Bovendien heeft hij met de opsomming, zoals opgenomen in het rapport, de indruk gewekt een volledige weergave te hebben gegeven. Uit het rapport blijkt geenszins dat dit slechts een beperkte weergave behelst. … Betrokkene heeft er hiermee blijk van gegeven op selectieve wijze te rapporteren, hetgeen hem tuchtrechtelijk aan te rekenen is.

Belangrijker, hij had deze PC niet zomaar mogen doorzoeken, omdat de PC thuis stond en niet (via VPN of anderszins) aangesloten was op het bedrijfsnetwerk.

Betrokkene heeft de computer behandeld als een werk-computer, deel uitmakend van het computer-netwerk van de werkgever. Nu hiervan evenwel geen sprake was, had betrokkene meer terughoudendheid moeten betrachten bij het onderzoeken van het privé-gebruik van de computer.

En die regel geldt ook voor gewone werkgevers. Ook op het werk heb je recht op privacy, en dat betekent dat je als werkgever niet zomaar mag gaan snuffelen in de spullen die je werknemers ter beschikking stelt.

Arnoud

Gamesaanbieder Blizzard (o.a. World of Warcraft, Diablo en StarCraft) gaat op haar online forums een wijziging doorvoeren waardoor alle posters verplicht met hun echte voor- en achternaam moeten posten, las ik bij Tweakers. Het doel van deze actie is kort gezegd de boel gezellig houden: door de anonieme nicknames die men nu graag gebruikt, loopt het getrol, geklier en geflame nogal de spuigaten uit. Blizzard is dat nu zat en voert daarom deze maatregel in.

Niet iedereen is daar blij mee, en lang niet alleen maar omdat ze dan niet meer kunnen trollen. Voor veel mensen is het een vervelend idee dat hun echte naam - en daarmee hun echte identiteit - ineens wereldwijd te zien is. Je kunt erop aangesproken worden op het werk (”haha, jij speelt World of Warcraft”) en mocht je iemand anders boos maken, dan weet hij nu hoe je heet en met enig googelen misschien ook waar je huis woont. Zeker als - zoals hier en daar wordt gemeld - Blizzard vervolgens je account koppelt aan je Facebook-account.

Nu is Blizzard een Amerikaans bedrijf, en de Amerikaanse privacywet kan worden samengevat als “zodra je met de buitenwereld interacteert, heb je geen privacy meer”, dus heel veel zal er niet aan te doen zijn. Maar hoe zou dat volgens de Europese privacyregels uitpakken?

Hoofdregel van de privacywet is hier dat je toestemming nodig hebt van de betrokkene, in dit geval dus de persoon die op het forum gaat posten. De richtsnoeren van het CBP vermelden hierbij:

Als het gaat om een openbaar toegankelijk discussieforum of gastenboek op internet, hoeft de verantwoordelijke echter niet expliciet toestemming te vragen voor publicatie van een reactie; hij mag er redelijkerwijs van uitgaan dat de betrokkene begrijpt dat de reactie op internet verschijnt.

Daarbij wordt echter vooral gedacht aan de situatie dat mensen zelf kíezen om hun naam (of andere dingen over zichzelf) in te vullen. Omdat de identiteit hier door het systeem van Blizzard wordt ingevuld, weet ik niet of die regel zonder meer opgaat.

Ik dénk dat het uiteindelijke wel mag, omdat Blizzard vooraf duidelijk genoeg meldt dat het gaat gebeuren. Niemand is verplicht de forums te gebruiken (ze staan los van de spellen). En de forums zijn niet dusdanig van levensbelang dat iemand per se anoniem moet kunnen posten daar.

Wanneer een site zó groot wordt dat het gebruik daarvan vrijwel onvermijdelijk is (zeg Hyves), dan zou dit wel eens anders kunnen liggen. Als zo’n site de regel invoegt dat iedereen met echte voor- en achternaam bekend moet zijn, dan word je namelijk wél gedwongen je identiteit te onthullen bij alles wat je online doet. Nu heeft World of Warcraft meer spelers dan Hyves leden, maar ik denk niet dat iemand kan zeggen dat het spelen van WoW (laat staan discussiëren op hun forum) onvermijdelijk is.

Update (12 juli) Blizzard ziet er vanaf naar aanleiding van massale protesten, pardon ‘feedback uit de gemeenschap’.

Arnoud

Naar aanleiding van GeenStijl’s berichtje van gisteren kreeg ik een hoop vragen over wat er nou wel en niet mag met filmen van mensen op de openbare weg. Ik geef dan ook maar even een samenvatting.

Hoofdregel is dat filmen en fotograferen op de openbare weg mag, omdat dat valt onder de vrijheid van informatiegaring (onderdeel van de vrije meningsuiting, artikel 10 EVRM). Gebruik je een aangebrachte camera, dan moet je mensen daarvoor waarschuwen voordat ze in beeld zijn. Bij een met de hand vastgehouden camera hoeft dat niet.

Mensen hebben portretrecht. Dat wil zeggen dat als er een “redelijk belang tegen publicatie” is, je het filmpje (of de foto) niet zomaar mag publiceren. Het wil niet zeggen dat ze het filmen of fotograferen zelf al mogen verbieden. Voor gewone mensen op straat lijkt het portretrecht niet zo sterk, hoewel daar de nodige juridische discussie over is. Voor politieagenten die gewoon aan het werk zijn, ben ik er vrij zeker van dat je ze gewoon mag filmen. Zolang je hem maar niet nodeloos hindert bij zijn werk, dus niet voor de voeten gaan lopen of een afgezet gebied betreden.

Zet je zo’n filmpje of foto online, dan kan het zijn dat je de agent onherkenbaar moet maken, zoals bleek in een rechtszaak over foto’s van flitsende agenten:

Niet alleen kan [appellant] in het kader van het kritisch volgen van het handelen van overheidsinstanties een (journalistiek) belang hebben bij de mogelijkheid op genoemde internetsite verslag te doen van de wijze waarop deze instanties een geval als het onderhavige behandelen. In hoeverre de foto’s aan dat verslag kunnen bijdragen, is een journalistieke beslissing waarin de rechter in beginsel niet dient te treden.

Film je heel intieme situaties, dan kán sprake zijn van een privacyschending. In ieder geval zul je zulke filmpjes niet zomaar kunnen publiceren.

In het filmpje waar het GeenStijl-bericht over gaat, lijkt een gesprek gefilmd te worden. Dat maakt het enigszins discutabel. Het heimelijk met een technisch hulpmiddel opnemen van een gesprek is namelijk strafbaar. Van een afstandje onopvallend filmen (met een goeie microfoon erbij) zou daaronder kunnen vallen.

Arnoud

Een lezer vroeg me:

Ons bedrijf gaat buiten camera’s ophangen omdat er regelmatig dingen gestolen worden uit de auto’s op het parkeerterrein. Er worden netjes borden opgehangen, maar er is nu discussie over hoe lang de beelden bewaard mogen worden. Ik had gehoord dat dat maar drie dagen mag zijn, maar collega’s hebben het over een week, 24 uur of zelfs drie maanden. Welke termijn geldt er nu?

De wet noemt geen expliciete termijn voor het bewaren van camerabeelden. Camerabeelden zijn persoonsgegevens, en het maken van camerabeelden valt dus onder de Wet Bescherming Persoonsgegevens. Artikel 10 lid 1 bepaalt dat je persoonsgegevens (en dus camerabeelden) niet langer … dan noodzakelijk” mag bewaren voor de doelen waarvoor je ze verzamelt.

Je mag dus op zich de beelden zo lang bewaren als je zelf nodig acht, mits je maar kunt uitleggen waarom die termijn absoluut noodzakelijk is. Zoek je bijvoorbeeld bewijs van stelselmatig gedrag dat alleen op zondag plaatsvindt (diefstal uit auto’s bij een kerk bijvoorbeeld), dan zul je beelden van meerdere zondagen moeten bewaren om ze te kunnen vergelijken.

Er is één plek waar een termijn wordt genoemd. De vrijstelling voor videocameratoezicht bepaalt dat

De persoonsgegevens moeten uiterlijk 24 uur nadat de opnamen zijn gemaakt, of na -afhandeling van de incidenten, worden verwijderd.

Dit betekent dus niet dat het verboden is beelden langer dan 24 uur te bewaren. Het betekent alleen dat je geen beroep op de vrijstelling kunt doen. Moet je beelden dus langer dan 24 uur bewaren, dan zul je een melding moeten doen bij het CBP van je videocamerabewakingssysteem, en daarbij moeten vertellen hoe lang je de beelden dan wel bewaart.

24 uur lijkt me trouwens wel heel erg kort, ik kan me niet voorstellen dat in de praktijk bedrijven echt elke dag de opnames bekijken. Het zou een goede zaak zijn als deze termijn naar een week wordt opgerekt, al was het maar omdat je dan legaal verklaart wat iedereen toch al doet.

Arnoud

Een lezer vroeg me:

Wij zijn een aannemersbedrijf, gespecialiseerd in dakkapellen. Om onze portfolio op te bouwen, zouden we graag foto’s maken van ons werk en dat publiceren op onze site. Maar kan dat zomaar, of lopen we dan tegen de privacy van onze klanten aan?

Waarschijnlijk mag dit wel, maar houd bij de foto’s wel rekening met de privacy. Wacht dus even tot er niemand in beeld loopt, en vraag of ze even de gordijnen dicht willen doen als er interieur zichtbaar is. Het zou vervelend zijn als er net een bewoner zich staat om te kleden voor het raam.

In een geruchtmakend vonnis uit 2006 werd exploitatie van een foto van een huis zonder toestemming nog verboden, met als overweging

De kantonrechter zou het ook niet prettig vinden indien een afbeelding van zijn woning in voormelde zin zou worden geëxploiteerd, zonder enige inspraak, laat staan toestemming.

Maar in maart 2007 bepaalde het Gerechtshof dat van privacyschending geen sprake kon zijn bij een ‘gewone’ foto van een huis. En ook Willem-Alexander kon niet verbieden dat foto’s van het exterieur van zijn huis De Eikenhorst werden gepubliceerd. Het interieur daarentegen viel wel onder zijn privacy.

Een tip kan zijn dat je in je algemene voorwaarden zet dat je zulke foto’s mag maken en publiceren. Dan heb je het juridisch in ieder geval afgedekt. Hoewel ik ook dan het zou melden, of misschien zelfs de foto’s zou laten zien gewoon om zeker te zijn dat het kan.

Arnoud

Een lezer vroeg me:

Onze school (voortgezet onderwijs) is van plan om in schooljaar 2010-’11 een internetportaal te introduceren voor ouders waarop zij onze cijfers, gemiste uren en te laat-briefjes kunnen vinden. Zo kunnen ouders dus precies zien wat wij doen (of beter gezegd niet doen). Nu snap ik dat ouders dat graag willen, maar zeker in de bovenbouw heb je als leerling toch ook een eigen verantwoordelijkheid en bovendien een zekere privacy op school. Kan dit zomaar?

Ja dat kan, ten minste als je nog geen zestien bent. De Wet Bescherming Persoonsgegevens zegt dat de ouders over alles beslissen op het gebied van privacy en persoonsgegevens totdat het kind zestien is (artikel 5 Wbp). Daarna beslist het kind zelf, hoewel het me niet zou verbazen als de school de toestemming simpelweg opeist in het inschrijfformulier.

Als de ouders beslissen, moeten ze wel rekening houden met het Internationaal Verdrag Inzake de Rechten van het Kind, dat bepaalt in artikel 3:

Het belang van het kind moet voorop staan bij alle maatregelen die kinderen aangaan. De overheid moet het welzijn van alle kinderen bevorderen en houdt toezicht op alle voorzieningen voor de zorg en bescherming van kinderen.

De ouders moeten dus wel degelijk het privacybelang van het kind meewegen bij het besluit of dit wel zo wenselijk is. Ik moet zeggen dat ik aarzel bij de vraag of dit hier het geval is. Natuurlijk, als kind heb je een zekere vrijheid en moet je de ruimte hebben om een keer een baaldag te hebben. Maar als ouder moet je ook vroeg kunnen signaleren dat je kind te veel spijbelt of onvoldoendes haalt, zodat je kunt ingrijpen voordat het helemaal misgaat.

De beste kans lijkt me om dit via de leerlingenraad of (met hulp van ouders) de ouderraad aan te kaarten. Misschien zijn er ondergrenzen af te spreken - bijvoorbeeld dat pas bij 3 keer spijbelen in een maand het in het portaal verschijnt.

Arnoud

Een lezer schreef me:

Ik heb een klusbedrijf opdracht gegeven om bepaalde werkzaamheden uit te voeren aan mijn huis en tuin. Er is inmiddels een discussie ontstaan over hoe iets wel en niet eruit zag en ze geven nu aan dat ze overal foto’s van gemaakt hebben. Daar hebben we het nooit over gehad, mag dat zomaar?

Het zou kunnen dat dit in de algemene voorwaarden staat, maar die heb ik nooit gehad. Op de offerte zeggen ze dat die bij de Kamer van Koophandel zijn gedeponeerd, dus moet ik nu daarheen om erachter te komen of ze mijn huis mogen fotograferen?

Ik denk dat het fotograferen in het huis van een klant wel mag, zolang ze de foto’s maar alleen gebruiken voor documentatie van de werkzaamheden en eventuele geschillen. Ze mogen bewijs verzamelen van hoe ze het werk doen, en foto’s zijn prima bewijs.

Publicatie van de foto’s mag niet zomaar. Dat is (omdat het je huis is en dus jou als persoon raakt) een privacyschending. Daarvoor hebben ze apart toestemming nodig, en ik twijfel of die in algemene voorwaarden opgeëist kan worden. De wet eist namelijk “ondubbelzinnige” toestemming, en via algemene voorwaarden kun je hooguit “stilwijgende” toestemming krijgen.

Nog los van het feit dat de AV gewoon als papiertje bij de offerte hadden moeten worden afgegeven, een depot bij de KVK heeft alleen nut als het “redelijkerwijs niet haalbaar” is om ze elke keer uit te delen. Vuistregel: ben je zo groot als Albert Heijn? Zo ja, dan deponeren. Anders gewoon meegeven.

Arnoud

Een lezer vroeg me:

Op de basisschool van mijn kind wil men voor de jongste groepen permanent enkele camera’s in de klas hangen. Ouders krijgen dan een wachtwoord waarmee ze op elk moment van de dag kunnen inloggen en zien hoe hun kind het doet in de klas. Maar ik wil dit eigenlijk niet, hoe kan ik hier bezwaar tegen maken?

Bij cameratoezicht op het werk geldt de regel dat de ondernemingsraad instemming moet geven. Cameratoezicht valt namelijk onder de Wet Bescherming Persoonsgegevens, en op grond van de Wet op de Ondernemingsraad heeft de OR daar instemmingsrecht voor.

Een sterk vergelijkbare regeling staat er in de Wet medezeggenschap op scholen, artikel 13 sub i:

Het bevoegd gezag van een school … behoeft de voorafgaande instemming van het deel van de medezeggenschapsraad dat uit en door de ouders of de leerlingen is gekozen, voor elk door het bevoegd gezag te nemen besluit met betrekking tot … vaststelling of wijziging van een regeling over het verwerken van en de bescherming van persoonsgegevens van ouders en leerlingen;

Wil een school dus cameratoezicht in de klas invoeren, dan moet ze dat in zo’n regeling (reglement) opnemen en vervolgens de medezeggenschapsraad / ouderraad daarover laten stemmen. Ik vraag me af of er veel scholen zijn die dit een goed idee vinden. Je kinderen in de gaten houden op school lijkt me zowel voor het kind als voor de docent nogal een belasting. Elk foutje dat je maakt, wordt meteen vastgelegd en kan op de ouderavond aan de orde komen.

Een andere aspect is dat zo’n livestream wel goed beveiligd moet worden. Die beelden gaan over internet en zijn alleen bestemd voor ouders. Gewoon een webpagina met een wachtwoord lijkt me zwaar onvoldoende. Op zijn minst zou de videostream zelf beschermd moeten zijn met encryptie, alleen zit je dan weer met het probleem dat veel ouders de benodigde software niet aan de gang zullen kunnen krijgen.

Trouwens, ik krijg dit soort vragen ook wel over kinderdagverblijven. Deze wet geldt alleen niet voor kdv’s, hoewel ze wel vaak ouderraden hebben. Weet iemand of dat gebaseerd is op een wettelijke regel, of zou dat gewoon vrijwillig ingesteld worden?

Arnoud

Cameratoezicht is ondertussen onvermijdelijk. En bij enkel gefilmd worden blijft het niet: steeds meer camera’s krijgen automatische-gezichtsherkenningssoftware zodat ook nog eens bijgehouden kan worden waar je allemaal heen gaat. maar daar heeft Adam Harvey, onderzoeker bij NYU’s Interactive Telecommunications Program, nu een oplossing (via) voor gevonden: hij heeft de algoritmes gereverse-engineerd waarmee gezichtsherkenning werkt, en vervolgens patronen ontwikkeld die die algoritmes verstoren. De voorbeeldpatronen, onderdeel van zijn scriptie, laten enkele mooie voorbeelden zien.

Gezichtsherkenning werkt aan de hand van patroonherkenning. Een roze ellipsvormig ding waarbinnen een roodachtig langwerpig item en twee wittige objecten daarboven zal wel een gezicht zijn. Een bekende techniek, in vrijwel alle camera’s met gezichtsherkenning gebruikt, is gebaseerd op de Viola-Jones techniek. Deze deelt een afbeelding op in blokjes en probeert elk blokje te classificeren als bv. “oog” of “mond” of “wenkbrauw”. Met voldoende herkende (geclassificeerde) blokjes kan een gezicht worden herkend. Deze make-up verstoort die herkenning, zo bleek uit het onderzoek van Harvey.

Ben benieuwd of ik met zulke make-up het casino in kom.

Arnoud