Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Bij ons (redelijk groot) bedrijf gelden harde securityregels, waaronder de simpele eis je laptop te locken als je er van wegloopt. Als security officer zeg ik dan altijd, als ik een open laptop zie dan stuur ik vanuit jouw mailadres een ontslagmail naar je manager. Maar nu vroeg ik me af hoe bindend dat zou zijn op die persoon?

Ik adviseer zelf om krokettenbeleid te voeren (in het Zuiden des lands ook wel vlaaienbeleid): je mailt alle collega’s “Mijn laptop stond open dus ik regel morgen kroketten”. En dat is dan soort van sociaal verplicht dat je dat doet.

Juridisch kun je een werknemer natuurlijk niet verplichten om kroketten (of vlaaien) te gaan kopen. En ik heb al een OR-lid in de mail gehad die dit potentieel pesten/bullying vond van de zwakkere werknemer, die zo legaal te grazen genomen kan worden door collega’s. Je daartegen wapenen vind ik wel een serieuze randvoorwaarde voor je bedrijf.

Deze constructie (je baas mailen “ik neem ontslag”) gaat voor mij nog een stapje verder. Afhankelijk van de werkrelatie, die je niet kent als langslopende security officer, kan het zijn dat deze persoon geloofd wordt (“Ha, eindelijk!”) en dan komen er processen op gang waar het héél lastig weer uit te komen is. Ik zou dit dus dringend afraden.

Formeel-juridisch is het niet bindend want die persoon heeft het niet gezegd, en daar is bewijs van want als goed werknemer ga jij natuurlijk een getuigenverklaring afleggen dat jij die mail hebt gestuurd. Maar je komt er pas achter als het ontslagproces al op gang is, en misschien is er dan al een arbeidsconflict ontstaan waardoor het hoe dan ook doorgezet wordt.

Dus misschien moeten we maar gewoon zeggen, de SO stuurt alleen mails naar de persoon zelf “Volgende keer je laptop afsluiten” of de laptop meenemen en een geel briefje achterlaten. Geen ontslagbrieven sturen, en geen kroketten aankondigen. Dan laat je iemand lopen in plaats van vettigheid eten, is nog beter voor de gezondheid ook.

Arnoud

Een lezer vroeg me:

Sinds een tijdje valt me op dat allerlei cookiepopups niet alleen om toestemming vragen, maar ook opties aanbieden onder het kopje “legitiem belang”. Vaak kun je die opties niet uitzetten, maar soms wel alleen heet dat dan “bezwaar”. Wat is dit in vredesnaam?

Toestemming was ooit het argument om persoonsgegevens te mogen verzamelen en om met cookies te kunnen werken. Dus iedereen zette lekker een dikke cookiemuur voor zijn site, waardoor we nu met het fenomeen jaklikmoeheid of consent fatigue zitten. En, belangrijker, waardoor toezichthouders eens beter zijn gaan kijken en de terechte vraag stellen waarom het eigenlijk vrijwillig is, dat mensen moeten klikken om je site te kunnen bekijken. Ja, het is jouw site en je mag mensen weigeren, maar in de AVG/GDPR staat nu eenmaal dat toestemming weigeren zonder gevolgen moet blijven – en weigeren is een gevolg, hoe je het ook wendt of keert.

Snel op zoek naar alternatieven, en dan komen we natuurlijk meteen uit bij artikel 6 lid 1 sub f AVG:

de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde,

Toen is er ergens een brainstorm gekomen over welke soorten cookies en profiling onder dit kopje gerechtvaardigd kunnen worden. Je ziet dat terug in die menu’s: dingen als security & monitoring, first-party analytics en het beperken van overlast door excessief cookiegebruik (ja, serieus heb ik gezien). Daar is dan dus geen toestemming voor nodig, dus die blijven dan buiten het lijstje met dingen waar je toestemming voor moet geven.

Wel staat in de AVG dat je de mogelijkheid tot bezwaar maken moet hebben, op basis van persoonlijke omstandigheden. Bij marketing is de bezwaarmogelijkheid onbeperkt, er hoeft dan geen omstandigheid te worden opgegeven. Daarom zie je dan weer afmeldknopjes bij veel “legitiem belang” opties. Maar een afmeldoptie is in het algemeen niet verplicht. Bij security-opties (monitoring van gedrag om inbrekers-in-spe te pakken) is het natuurlijk niet zinnig om mensen zich te laten afmelden.

Arnoud

YouTube gaat gebruikers om een ID-kaart of creditcard vragen als het niet kan vaststellen of een gebruiker achttien jaar of ouder is en video’s voor volwassenen wil bekijken. Dat meldde Nu.nl gisteren. De maatregel volgt uit de Audiovisual Media Services Directive (AVMSD) die in 2018 werd aangenomen en ongeveer nu van kracht is. Deze vereist dat diensten zoals Youtube zorgen dat minderjarigen niet zomaar schadelijke inhoud te zien krijgen, en een leeftijdscheck is daarbij een mogelijkheid. Wat natuurlijk de vraag oproept, mag dat zomaar, van iedereen een kopie identiteitskaart vragen?

Uit de blog van Youtube over dit onderwerp haal ik dat het niet een “upload je ID om verder te kunnen” is voor iedereen:

If our systems are unable to establish that a viewer is above the age of 18, we will request that they provide a valid ID or credit card to verify their age. We’ve built our age-verification process in keeping with Google’s Privacy and Security Principles.

Het gaat dus om het moeten aantonen van meerderjarigheid om zo content ongeschikt voor kinderen te mogen zien. En pas nadat Youtube zelf niet kan vaststellen (bijvoorbeeld uit je Google-profiel, de AI-analyse van je surfgedrag of een elders opgegeven en geverifieerde leeftijd) dat je 18 bent, wordt er om een kopie identiteitsbewijs gevraagd.

Natuurlijk mag je -moet je- bij die kopie je bsn afschermen. Het is immers verboden voor Youtube om dat getal te gebruiken voor welk doel dan ook. Maar andere gegevens, zoals je foto, lijken me wel relevant want hoe kunnen ze anders zien dat jij het bent? (Er zijn geen details gepubliceerd maar het lijkt me logisch dat jij op de foto gaat samen met je identiteitskaart.) Die mag je dus niet uitblurren.

Waar ik bang voor ben, is dat het proces gewoon gaat eisen dat er nul aanpassingen op de ID zitten. Dus bsn leesbaar, en geen tekst er doorheen “Youtube age verification” zoals de beste praktijk is bij het verwerken van identiteitskaarten. Dat is niet hoe het hoort, maar vaak wel hoe het gaat. Want vaststellen dat er iéts gewijzigd is, dat kan wel. Maar vaststellen of er iets aangepast is dat aangepast mocht worden (of niet), dat is veel lastiger. Ik hoop dat we snel details krijgen.

Arnoud

Bij Gathering of Tweakers las ik het bericht van de koper van een televisie bij een webshop. Die was op zoek naar een zeer specifiek model, en dacht dat bij deze winkel gevonden te hebben zodat hij alles rustig thuis kon uitproberen. Alleen: Nu krijg ik de TV geleverd en zit er een brief op met… Lees verder

Denk je jouw tentamen met een mooi cijfer gehaald te hebben, krijg je twee maanden later een mailtje van de universiteit dat het tentamen toch ongeldig is, omdat het online toezicht haperde. Zo opende de NOS vorige week over een incident bij de Erasmus Universiteit School of Law. Deze had proctoring ingezet bij een aantal… Lees verder

Een lezer vroeg me: In retailland is een trend gaande waarbij retailers kosten willen besparen op hun winkel ruimte. Je ziet dan dat ze in de winkel slechts een beperkt assortiment aanhouden en dat ze in plaats daarvan een zuil in de winkel hebben met een PC en internet verbinding. De consument kan in de… Lees verder

Een lezer vroeg me: Wij zijn een kleine genealogie-vereniging die de geschiedenis van mensen uit onze streek wil vastleggen. Van elk brondocument vragen wij van de aanleverende leden toestemming voor naamsvermelding, bron en eventuele eisen van de bronsite. Nu kan één lid met de volgende tekst die hij te horen had gekregen in Rotterdam: U… Lees verder

Providers in de Europese Unie mogen sommige diensten niet voor hun klanten beter toegankelijk maken dan andere. Dat meldde RTL onlangs. In het eerste arrest over netneutraliteit bepaalde het Hof van Justitie namelijk dat het inzetten van een nultarief (niet meetellen voor je databundel) voor sommige internetdiensten effectief hetzelfde is als het vertragen of blokkeren van… Lees verder

Nee, ik had ook geen idee, maar een tardigrade of waterbeer is een van de meest hardnekkige levensvormen op deze planeet. Ze overleven zelfs in de ruimte, wat ze natuurlijk superschattig maakt en daarom was er een bedrijfje dat er kerstboomornamenten van maakt. Zoek een gat in de markt en vul het, het motto van… Lees verder

Zoek alternatieven voor Amerikaanse leveranciers, zo knalde Emerce erin begin deze week. Het Nederlandse en hele Europese bedrijfsleven schendt immers op grote schaal de AVG omdat ze nog steeds met Amerikaanse dienstverleners werkt. Sinds het Schrems II arrest is dat, hoe zeg je dat netjes als jurist, hartstikke illegaal. En ik snap best dat je… Lees verder