Internetrecht door Arnoud Engelfriet

Wat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)? Een veelgestelde vraag in mijn inbox. Het antwoord is eigenlijk simpel: Helemaal niks, maar trekt iemand zich daar wat van aan? Nee dus. En wat kun je daaraan doen? Ook helemaal niks. Argh.

Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in de Gemeentelijke Basisadministratie Persoonsgegevens (GBA). Het is de vervanger van het sociaal-fiscaal nummer, en bedoeld voor de overheid om het dossier van een burger altijd te kunnen vinden en persoonsgebonden zaken te kunnen regelen. Dát is handig, zo’n uniek serienummer, denkt menig ondernemer en vraagt dus rustig om een BSN. Of men wil een kopietje paspoort en staat er niet bij stil dat je dan ook het BSN kopieert.

Nee, dat mag niet. De Wet algemene bepalingen BSN, en ook de Wbp hebben hier wat over te zeggen. Het BSN is namelijk een “wettelijk voorgeschreven identificatienummer”, en daarover zegt artikel 24 Wbp:

Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

Oftewel: sorry, maar wáár staat in de wet dat u mijn BSN mag noteren, kopiëren laat staan ergens voor gebruiken? Geen antwoord = magnie.

Er zijn een paar beperkte uitzonderingen. Werkgevers moeten het BSN van hun werknemers vastleggen in verband met bestrijding van zwartwerken. Banken moeten het BSN weten voor wettelijk verplichte uitwisseling van gegevens met de Belastingdienst. In de zorg is je BSN soms ook verplicht. Maar in het algemeen geldt voor bedrijven en winkels dat ze géén recht hebben je BSN te noteren. Zélfs niet als ze een duidelijk belang hebben bij legitimatie van de klant, zoals bij autohuur of het kopen van dure spullen zonder vooruitbetaling.

Hier blijkt alleen weer het tandeloze karakter van de Wet bescherming persoonsgegevens. Of misschien wel het principe “recht hebben versus recht krijgen”. Want het mag niet maar iedereen doet het, en als je er wat van zegt dan ben jíj gek. Op zijn best krijg je “zonder die gegevens kan ik helaas uw transactie niet afronden” en dan mag je boos weglopen mét privacy maar zonder huurauto, reservering of inkoop van tweedehands games.

En ja ik loop hier zelf ook tegenaan. Het is gedoe om hier een punt van te maken, de persoon aan de balie snapt het punt niet of mag niet afwijken van de procedure of doet het af met “wij doen écht geen gekke dingen met uw legitimatie meneer”. Wordt het tijd om organisaties eens te gaan schandpalen om hier verandering in te krijgen?

Arnoud

Rare jongens, die Zweden. Eerst ongoogelbaar uit het woordenboek laten, nu fotograferen in de privésfeer verbieden. Schrijft althans Nu.nl. Het werkelijke wetsvoorstel gaat iets verder dan “je mag geen foto’s meer maken zonder toestemming”, maar toch.

De Zweden worstelen al een tijd met gluurderfotografie: upskirts, kleedkamerfotografie, doucheopnames en andere creepshots. Met dit wetsvoorstel wil men een strafrechtelijk verbod daarop instellen. Nadat een eerder voorstel een paar jaar terug al sneuvelde, probeert men het nu opnieuw met een verbod op fotografie die

irrespective of place, occurs in a way which is obtrusive, intrusive, or hidden and that is meant to be a serious violation of a person’s privacy as an individual.

Samengevat: als je opdringerig of stiekem fotografeert met de inténtie iemands privacy te schenden, dan val je onder de strafwet. Fotografeer je daarentegen niet stiekem of zijn je intenties oprecht, dan is er niets aan de hand.

Testcase: zijn de verborgencameraopnames van Peter R. de Vries’s Joram-uitzending nu legaal of niet?

Of wat te denken van het Zweedse voorbeeld van een vrouwelijke adviseur van de ministerpresident die zoent met een politiek verslaggever, dat The Local noemt. Soort van vergelijkbaar met onze beroemde foto van (toen ook) prinses Beatrix met haar vriendje Claus in de achtertuin van het ouderlijk huis. Behoorlijk intieme momenten en die persmuskieten zaten écht met een telelens te wachten tot ze die privacy eens lekker kon schenden. Maar wél gewoon nieuws.

Ja ik kan me goed voorstellen dat de Journalistsförbundet (de Zweedse NVJ) begint te stuiteren over het aan de ketting leggen van de persvrijheid.

En nee, ik weet ook niet hoe je dit beter zou kunnen oplossen. het ís gewoon een probleem dat je met een beetje spycam of telefoon alles van iedereen kunt vastleggen en op Youtube kunt knallen, hoe privé het ook is en hoe pesterig dat plaatsen ook uitpakt. Maar dat probleem oplossen met een verbod lijkt me zo goed als onmogelijk omdat er geen definitie te verzinnen is van creepshots die legitieme fotografie uitsluit.

Eigenlijk is dit het moment dat je over fatsoen begint, maar juridisch gezien bestaat fatsoen niet. (En cynische ikke denkt nu, in de praktijk ook niet.)

Arnoud

Zelfs de makers van de cookiewet zijn er niet meer blij mee. Europarlementariërs pleiten ervoor cookies in te zetten die niet tot de persoon herleidbaar zijn, maar wel interessant zijn voor adverteerders, las ik bij Nu.nl. Concreet: Europarlementariër Seán Kelly presenteerde een voorstel voor “pseudo-anonieme cookies”, meldde Emerce. Data moet niet aan een persoon maar aan een activiteit gekoppeld worden, zodat je wel getarget kunt adverteren maar niet weet over wie het gaat.

De cookiewet is op zijn zachtst gezegd nogal een tegenvaller. Waar de wet bedoeld was om mensen de controle terug te geven over hun PC, werd hij uitgevoerd als “laat overal een irritante popup zien én dwing mensen ja te zeggen”. En dat terwijl er niet eens aan cookies was gedácht bij de eerste wetsvoorstellen: het ging over browserbalken, add-ons en spyware die niet meer stiekem mocht worden geïnstalleerd.

Op zeker moment is ook cookies deel geworden van die wet, en toen ging het ineens ook over privacy – hoewel de cookiewet zelf niet over privacy gaat. Waarschijnlijk dacht er ergens iemand, cookies gaan over privacy, privacy gaat over controle, dus laten we cookies in die wet frommelen dan hebben we dat óók geregeld. Plus, dan kun je meteen dat enge targeten en profilen reguleren.

Het concept van Kelly pakt het anders aan. Cookies moeten niet tot de persoon herleidbaar zijn, maar wel interesseprofielen samenstellen. Hoe ik me dat precies technisch moet voorstellen, weet ik niet. Ik vermoed dat het idee is dat een cookie alleen interesses vastlegt (roddelnieuws=0&tech=9&politiek=4 bij een nieuwssite) en dat er getarget wordt op basis van die interesses. Zo weten ze niet dat ík die techlovin’, politiekvolgende en roddelhatende nieuwslezer ben.

Hoe nieuw is dat? Cookies wérken min of meer zo, alleen zit het profiel dan in een database en bevat het cookie de sleutel om dat profiel te vinden (visitorid=123 in het cookie en 123:roddelnieuws=0&tech=9&politiek=4 op de server). Volgens mij is dat functioneel hetzelfde en hoe het eerste dan minder de privacy schendt, ontgaat me.

In Nederland wordt al een hele tijd gewerkt aan een geplande wijziging van de cookiewet, waarbij met name analyticscookies moeten worden uitgesloten van het toestemmingsvereiste. Er ligt nu een wetsvoorstel voor internetconsultatie, maar of dit het haalt én of dit standhoudt bij de Europese rechter, valt nog te bezien.

De insteek van Kelly lijkt me véél beter. Leg vast tot hoe ver bedrijven mogen gaan, verbied de rest en leg er stevige boetes op. Mensen kúnnen geen fatsoenlijke privacytoestemming geven, zeker niet bij het internetten waarbij je gewoon op dingen klikt enkel omdat je die pagina met kattenfilmpjes wil zien.

Arnoud

Het verbod van het ministerie van Defensie op het maken van foto’s en video’s vanuit de lucht wordt per 1 juni ingetrokken, meldde Nu.nl vorige week. De maatregel was bedoeld om spionage tegen te gaan, maar is door het openbaar maken van satellietfoto’s achterhaald. Het woord drone staat zowel bij mij als bij Nu.nl uitsluitend… Lees verder

Grote ophef vrijdag: Pinbetaalprovider Equens wil de database van 2,2 miljard pintransacties per jaar te gelde maken, meldde onder meer Webwereld. Het zou gaan om geaggregeerde gegevens op postcodegebied, dus juridisch geen probleem en waar maakt u zich druk om. Dat kwam niet goed aan: diezelfde middag werd bekend dat men de verkoop had afgeblazen… Lees verder

Een lezer vroeg me: Op mijn internetforum heb ik een gebruiker die mij vraagt om zijn persoonsgegevens toe te sturen op basis van de Wet bescherming persoonsgegevens. Prima, maar hoe ver gaat dat? Hij vraagt bijvoorbeeld om alle logs met zijn IP-adres, alle privéberichten van en naar hem, maar ook om forumberichten en privéberichten van… Lees verder

Een lezer vroeg me: Voor mijn werk als onderzoeker wil ik nagaan hoe mensen over hun medicijngebruik praten op internetforums. Ik weet dat het verwerken van medische persoonsgegevens niet zomaar mag, maar hoe zit het in deze situatie? Het zijn immers openbare forums waar je zonder account op kunt. Geldt de privacywet dan ook nog?… Lees verder

Nee lieve Nutechpromotende keywordscoorders: niet dat FTD maar een forum genaamd FTD World. De ING-bank hoeft in een rechtszaak met Stichting Brein rond het Nederlandse internetplatform FTD World geen persoonsgegevens te verstrekken van een rekeninghouder op wiens rekening je donaties voor het forum kon storten. Dat bepaalde de rechtbank Amsterdam vorige week. Hoewel je zeker… Lees verder

Een lezer vroeg me: Ik was op zoek naar een studentenkamer en kwam Kamers in Nederland tegen. Daar staat letterlijk: “KamersInNederland.nl is bewust een afgesloten platform. Alleen door in te loggen met je Facebook-account kun je kamers bekijken en plaatsen. Op deze manier houden we oplichters buiten de deur.” Maar is dat wel legaal? Mag… Lees verder

Een lezer vroeg me: Als ik een portemonnee vind met bankpasjes en dergelijke erin, mag ik dan foto’s daarvan op Twitter (of Facebook) zetten met de vraag wie deze persoon kent? Zo hoop ik dat de portemonnee snel terugkomt bij de originele eigenaar. Dit lijkt me niet echt verstandig. Door kaartnummers en dergelijke te publiceren,… Lees verder