Baas leest privé-appjes en moet werknemers elk 2000 euro betalen

Geplaatst op in Ondernemingsvrijheid, Privacy, nog geen reacties
Photo by Christian Wiediger on Unsplash

Een Noord-Hollands horecabedrijf moet twee voormalige werknemers elk 2000 euro betalen, omdat de leiding van het bedrijf door hun privé-appberichten had zitten te neuzen.  Dat meldde RTL onlangs. Privé-apps op de werklaptop, wel te verstaan. Dus een mooi precedent tegen alle “de werkgever mag alles op de werkapparatuur”-roepers.

De achtergrond is weinig verrassend een zakelijke ruzie:

De zaak betreft twee jonge koks, die sinds eind 2024 werkten voor een Haarlems café-restaurant, dat onder het Amsterdamse horecabedrijf De Jaren valt. De mannen, die goede vrienden van elkaar zijn, waren door het bedrijf aangetrokken om een nieuw concept voor de keuken te ontwikkelen. Maar de invoer daarvan werd enkele malen uitgesteld, tot frustratie van de koks.
De twee bespraken dit via een Whatsapp-chat, en eentje gebruikte daarbij de zakelijke laptop. En dat ging mis, zo las ik in het vonnis:
[leidinggevende] had de laptop van [bedrijf] nodig om iets te checken voor een partij. Toen ze de laptop opende stond er een chat open tussen [kok 1] en [kok 2]. (Zie bijlage).
Ik denk dat de meeste werkgevers wel beseffen dat je niet gaat zoeken en spitten in privéchatapplicaties. Maar ik zie ook wel dat het onvermijdelijk is als je een laptop opent voor een legitiem doel en je dan een privéconversatie ziet, dat je die dan leest.

Uiteraard is die “als” in de vorige zin cruciaal: als de werkgever gaat snuffelen in WhatsApp-conversaties, wordt het een heel ander verhaal. En dat is natuurlijk een welles-nietes discussie. Maar, zoals de rechter aangeeft, het gaat er vooral om wat je vervolgens doet:

Het is voor de kantonrechter feitelijk onduidelijk gebleven of [die leidinggevende] bewuste handelingen heeft verricht om toegang te verkrijgen tot het WhatsApp-gesprek tussen [verzoeker 1] en [verzoeker 2]. Wel staat zonder meer vast dat zij, nadat zij toegang had, gedurende geruime tijd door de berichten heeft gescrold en actief het gesprek heeft doorzocht. Vervolgens heeft zij zonder toestemming of overleg met [verzoeker 1] en [verzoeker 2] foto’s gemaakt van onderdelen van het gesprek en deze beelden gedeeld met [betrokkene 1], [betrokkene 2] en [betrokkene X].
Zelfs als het scherm dus open stond en je de berichten niet kón missen, dan had je als leidinggevende zo snel mogelijk je ogen moeten sluiten. Als je dat niet doet, is dat ernstig verwijtbaar. En dat werkt door in wat je vervolgens doet:
[bedrijf] heeft zelf bevestigd dat de ontstane vertrouwensbreuk — die uitsluitend het gevolg was van kennisname van de privé-berichten — bepalend was bij de keuze om de arbeidsovereenkomsten niet te verlengen. Daarmee staat vast dat zonder de ongerechtvaardigde inbreuk op de privacy van [kok 1] en [kok 2] deze vertrouwensbreuk niet zou zijn ontstaan. Het causale verband tussen de privacy-schending en het niet-verlengen van de arbeidsovereenkomsten is daarmee direct en evident.
Bijgevolg krijgen ze ieder een billijke vergoeding van € 2.000,- bruto. Omdat ze vrijwel direct een andere baan hadden gevonden, is er geen inkomensschade.

Ik moet zeggen, het klopt helemaal maar als werkgever zou ik het héél moeilijk vinden zo’n stevige negatieve tekst over mij of mijn bedrijf van me af te zetten. Hoe zouden jullie dat doen?

Arnoud

Mag de VVE beheerder ons allemaal hun nieuwsbrief door de inbox duwen?

Geplaatst op in Ondernemingsvrijheid, Privacy, nog geen reacties
Photo by Nate Watson on Unsplash

Een lezer vroeg me:

Ons appartementencomplex werkt met een VVE beheerder in opdracht van onze VVE. Nu stuurt deze een nieuwsbrief naar alle bewoners, met de “laatste activiteiten” van de VVE beheerder zelf. Dus niet namens de VVE of uitsluitend over ons complex, maar hoe goed zij wel niet bezig zijn door het hele land. Mijn klacht werd afgedaan met “dit is toegestaan omdat het om gelijksoortige diensten gaat” en ik moest me maar afmelden met de link. Hoe zit dit juridisch?
De eerste vraag bij een nieuwsbrief is altijd wat de inhoud is. Vaak wordt de term als synoniem voor reclame gebruikt, maar het kan ook gewoon een brief met nieuws zijn. Zeker bij een VVE of andere vereniging zie ik dat vaak gebeuren (zoals bij de Advocatenorde in 2019).

De strenge regels over opt-in bij nieuwsbrieven gelden juridisch namelijk alleen bij reclame, dus commerciële nieuwsbrieven. En voor de duidelijkheid: dat je als bedrijf een nieuw product of een kortingsactie hebt, is misschien wel nieuws maar toch echt vooral reclame. Hetzelfde gebeurt als je je serviceberichten van al te veel gezelligheid over je dienstverlening voorziet.

Zo te lezen gaat het hier om een promotionele nieuwsbrief van de VVE. Dat is al heel snel reclame, ook al worden er niet concreet producten verkocht of kortingen aangeboden. Dergelijke nieuwsbrieven vereisen dus toestemming.

De VVE beheerder beroept zich hier op de uitzondering voor “eigen gelijksoortige producten en diensten” uit de antispamwet. En het klopt, je mag op basis van opt-out je klanten mailen over ‘gelijksoortige’ dingen. (Die term ‘gelijksoortig’ wordt vrij breed uitgelegd; vrijwel iedere webwinkel gooit gewoon de algemene nieuwsbrief eruit en stemt de inhoud niet af op wat je daadwerkelijk gekocht hebt.)

Deze uitzondering kent twee aspecten waar het vaak op misgaat. Allereerst moet er bij verkrijging al gemeld zijn dat dit gaat gebeuren, en moet je dan al bezwaar kunnen maken. Dit is dus waarom nieuwsbriefvinkjes bij webshops vooraf aangevinkt mogen zijn. Het weghalen van dat vinkje is dan het bezwaar maken.

Daarnaast moet het gaan om partijen met wie je een klantrelatie hebt. Nou geldt dat soms ook bij een gratis dienst, maar bij een VVE beheerder zie ik die relatie niet. Als je al ergens ‘klant’ bent als bewoner, dan is dat bij de VVE en niet bij de door de VVE ingeschakelde beheerder.

Daarnaast zit ik AVG-technisch met het punt dat de VVE beheerder die mailadressen als verwerker onder zich heeft, bijvoorbeeld om de contributiefacturen te versturen of updates over onderhoud te melden. Dergelijke gegevens mag je sowieso niet voor eigen doeleinden zoals reclame inzetten.

Als we dan héél ver gaan zoeken, dan kom ik uit bij de KNTLB-situatie: de VVE had geld nodig en verhuurt het ledenbestand aan de beheerder, die dan commerciële reclame stuurt. Dan passeren we die verwerkersdiscussie. Dit past dan binnen de lijntjes van het Hof van Justitie over gerechtvaardigd belang, zij het dat de leden dan wel vooraf geïnformeerd hadden moeten worden – én bezwaar hadden kunnen maken.

Arnoud

Is een offerte accorderen via de mail een koop op afstand?

Geplaatst op in Ondernemingsvrijheid, 2 reacties
Photo by Alex Cooper on Unsplash

Via Reddit:

Ik ben in de winkel geweest om naar vloeren te kijken. Ik heb geen contact gehad met verkopers. De volgende dag heb ik een mail gestuurd of het mogelijk is om staaltjes mee naar huis te nemen voor de twee vloeren waar we in geïnteresseerd zijn. Ze hebben me gebeld dat ze ze klaarleggen en we hebben een dag afgesproken waarop ik die kon ophalen in de winkel. [Via gemailde plattegronden] heeft hij een berekening gemaakt, en twee offertes toegezonden op basis daarvan. Daar zaten wat fouten in waar we mailcontact over hebben gehad. De staaltjes hebben we terug gebracht naar de winkel, wederom geen gesprek met de verkoper of advies. Een paar dagen later heb ik een van de offertes via e-mail geaccepteerd.
De consumentkoper wil nu annuleren omdat hij toch een ander type vloer nodig blijkt te hebben. De vraag is dan of hier sprake is van een koop op afstand, omdat je dan zonder verder gedoe van de koop af kunt (binnen de 14 dagen, wat zo is).

Natuurlijk, het begon in een fysieke winkel maar dat maakt voor de regels van koop op afstand niet uit. In de Richtlijn waar dit alles uit komt, staat immers:

Die definitie dient ook situaties te bestrijken waarin de consument de verkoopruimten alleen bezoekt om informatie over de goederen of dienst te vergaren, terwijl vervolgens de onderhandelingen over en de sluiting van de overeenkomst op afstand plaatsvinden.
Ik zie wel hoe het verhaal (kijken, stalen ophalen, per mail plannen, offerte via mail, daarna onderhandeling) past in deze omschrijving. Maar laten we even beginnen met de definitie zelf. De wet definieert “koop op afstand” (art. 6:230g BW) als:
de overeenkomst die tussen de handelaar en de consument wordt gesloten in het kader van een georganiseerd systeem voor verkoop of dienstverlening op afstand zonder gelijktijdige persoonlijke aanwezigheid van handelaar en consument en waarbij, tot en met het moment van het sluiten van de overeenkomst, uitsluitend gebruik wordt gemaakt van een of meer middelen voor communicatie op afstand
Er staat hier dus “tot en met het moment van sluiting uitsluitend communicatie op afstand” maar gezien die tekst uit de Richtlijn mag je dus initieel vrijblijvend contact in de winkel negeren. Dan blijft dus over “we mailden over plattegronden en ontwerp en kregen toen een offerte gemaild” en dat is allemaal “communicatie op afstand”.

De winkel lijkt dat ook te denken, want men citeert de bevestiging van de bestelling met daarin:

“Met uw aanbetaling bevestigt u dat u de bestelde producten persoonlijk hebt gezien in een showroom. U verklaart hiermee afstand te doen van het herroepingsrecht voor koop op afstand en akkoord te gaan met de bijgevoegde algemene voorwaarden.”
Deze tekst doet juridisch echter niets: bevestigen dat je de producten hebt gezien, is immers irrelevant bij de vraag of je op afstand hebt gekocht. Ook kun je helemaal geen afstand doen van je herroepingsrecht, behalve bij online games en content. Ik vermoed dat men bedoelde “U heeft de producten fysiek gezien in de showroom. U begrijpt dan ook dat dit geen koop op afstand is.” Wat dus ook niet klopt.

De online communicatie is begonnen door een mail van de consument met de plattegronden. Daarna kwam een ontwerp en een offerte, en is er discussie gevoerd waarna men in de mail akkoord gaf. Dit raakt aan de vraag of sprake is van een “georganiseerd systeem voor verkoop of dienstverlening op afstand”.

Die term doet wellicht denken aan mooi opgezette webshops (met een specifieke bestelknop), maar het gaat niet perse enkel om technische systemen. In haar richtsnoeren uit 2021 geeft de Europese Commissie aan dat het vooral gaat om het contrast met “incidenteel”:

Het is echter niet nodig dat de handelaar een complexe organisatie, zoals een online-interface, opzet voor verkoop op afstand. Ook eenvoudiger regelingen, zoals het bevorderen van het gebruik van e-mail of telefoon voor het sluiten van overeenkomsten met consumenten, zouden aanleiding geven tot de toepassing van de vereisten van de richtlijn consumentenrechten.
Het is dus zeker mogelijk dat je met uitsluitend emailcommunicatie een koop op afstand kunt sluiten (bijvoorbeeld in deze zaak). De vraag is daarbij vooral of dit gebruikelijk is voor de winkel. Uit het verhaal maak ik op dat dit redelijk achteloos werd gebracht, wat voor mij wijst op een standaard actie. “Laten we het even per mail uitwerken” is volgens mij niet heel gek in 2025.

Arnoud

Mag mijn werkgever eisen dat ik een 360-graden feedback met ChatGPT doe?

Geplaatst op in Internetrecht, 19 reacties
(Bron: Jobbird)

Een lezer vroeg me:

Jaarlijks worden mijn collega’s en ik beoordeeld via het bekende instrument van de 360 graden feedback. Nu krijgen we dit jaar de instructie dat een van de feedbackgevers de dienst ChatGPT moet zijn, met als argument dat deze met gerichte vragen zeer accurate sterkte/zwakte analyses kunnen maken, zelfs zonder het personeelsdossier te uploaden. Ben ik verplicht daar aan mee te werken?
De 360 graden feedback is een bekende methode om van mensen om je heen feedback over je functioneren te krijgen. Die bundelen levert dan waardevolle inzichten op. Zoals ze het bij Jobbird zeggen:
Hierbij krijg je niet alleen terugkoppeling van jouw leidinggevende, maar van allerlei betrokkenen. Dit zijn meestal collega’s, maar kunnen bijvoorbeeld ook klanten zijn. Zo ontstaat er een completer beeld van jouw prestaties en manier van werken. … Dat is meteen een groot voordeel van de 360 graden feedback methode: het schept een compleet beeld van jou als werknemer. Je krijgt feedback vanuit verschillende invalshoeken en krijgt de kans om hierop in te gaan. Daarbij komt de terugkoppeling voor een deel van collega’s met wie jij dagelijks samenwerkt, dus je weet zeker dat zij weten waarover ze het hebben.
De inzet van de dienst ChatGPT (of Copilot, of Gemini of wie je maar wilt) lijkt op het eerste gezicht hier goed bij te passen. Het is een andere invalshoek, je krijgt uitgebreide feedback en het is ook nog eens snel beschikbaar.

Juridisch is er van alles van te vinden: je moet persoonsgegevens invullen om feedback op je persoon te krijgen. Die gaat naar Amerika, wat doen ze daarmee en welke grondslag geldt daarvoor. Gaat het hier om een betaald account van de werkgever, of moet je maar gewoon de gratis versie gebruiken? Alleen al hierom zou ik het afraden.

Laten we even aannemen dat de werkgever een compliant omgeving heeft ingericht. Copilot met alle enterprise toeters en bellen, of een eigen local hosted LLM voor mijn part. Dan nog lijkt het me geen goed idee, en wel hierom.

Een collega kan feedback geven omdat die je heeft gezien werken: in vergaderingen, onder druk, in conflicten, in samenwerking. Een leidinggevende kan dat vanuit een andere rol. Klanten en relaties weer vanuit een derde perspectief. ChatGPT heeft geen toegang tot je feitelijke gedrag, prestaties of context. Alles wat het “zegt” is per definitie afgeleid van prompts, niet van observaties. Daarmee is het geen extra invalshoek, maar een spiegel van wat er al in de vraagstelling zit.

Daarnaast: 360-gradenfeedback werkt omdat mensen expliciet maken wat ze weten, inclusief onzekerheden, twijfels en tegenstrijdigheden. “Dat weet ik niet” of “dat heb ik nooit bij jou gezien” is óók waardevol. LLMs geven dat soort dingen niet; die geven een lap tekst die mooi klinkt.

En het belangrijkste: ChatGPT draagt geen verantwoordelijkheid voor wat het zegt. Een collega of werkgever kun je aanspreken op waarom die iets zegt. Of op zijn minst je eigen verhaal meenemen bij de evaluatie. Bij taalmodellen wordt de output al snel gelezen alsof die “objectief” of “neutraal” is, juist omdat het van een systeem komt. Dat creëert een vorm van synthetisch gezag: woorden met het uiterlijk van deskundigheid, zonder een deskundige erachter.

Kun je daar juridisch wat mee? Niet direct; de keuze van evaluatietools is voor de werkgever. Als die een minder handige tool wil gebruiken dan is dat zakelijk onverstandig maar op domme wijze mensen managen is niet verboden. De compliance-grenzen zijn een punt, maar kunnen (in theorie) worden behaald.

Ik houd dan eigenlijk alleen nog de ondernemingsraad (OR) over, die instemmingsrecht heeft bij onder meer “een regeling op het gebied van de personeelsbeoordeling”. Als de feedback dus input is voor je beoordeling, dan moet dit langs de OR. Is het puur voor zelfverbetering zonder impact op je beoordeling, promotie, vaste aanstelling en dergelijke, dan kan de OR hooguit dringend afraden.

Arnoud

Wat is er juridisch te vinden van de overname van Solvinity door een Amerikaans bedrijf?

Geplaatst op in Ondernemingsvrijheid, Regulering, 12 reacties

Een lezer vroeg me:

Welke juridische risico’s zie jij met betrekking tot het feit dat Solvinity, het cloudbedrijf waar de overheid zowel Digid en Mijn Overheid heeft ondergebracht, door een Amerikaans bedrijf wordt overgenomen?
Zuiver juridisch bekeken is hier weinig over te zeggen. Het probleem is vooral praktisch en beleidsmatig: dit is “niet handig” om het zachtjes uit te drukken. Maar er is geen wet die dit verbiedt, of die maakt dat het gebruik van deze diensten nu onmogelijk of zeer moeilijk wordt.

Natuurlijk, de AVG (en tot op zekere hoogte de Data Act) verbieden overdracht van gegevens naar buiten de EU, en in Europa gevestigde bedrijven mogen geen gehoor geven aan bevelen onder de CLOUD Act (art. 48 AVG). Maar binnen die grenzen opereren is vooral een papieren kwestie: afspraken vastleggen, service level agreements herzien en auditbevindingen documenteren. Als dat goed uitgewerkt wordt, dan zit je juridisch goed.

Het probleem is dat de zorgen over wat hier mis kan gaan, eigenlijk ongrijpbaar zijn voor de bestaande juridische toetsingskaders. De kern van de angst is niet “er wordt vandaag een wet overtreden”, maar “we creëren een afhankelijkheid die ons morgen kwetsbaar maakt”. Het is juridisch niet verboden je land kwetsbaar te maken voor buitenlandse druk of invloed.

Iedereen snapt intuïtief dat het ongelukkig is als vitale digitale overheidsinfrastructuur onder de zeggenschap van een buitenlandse – en zeker Amerikaanse – moeder komt te vallen. Maar dat gevoel laat zich niet eenvoudig vertalen naar: dit mag niet of dit had voorkomen moeten worden. Of nou ja: dat kan wel, maar dan moet er een (Nederlandse of Europese) wet komen die dat expliciet zegt. Clouddiensten aan de overheid mogen slechts geleverd worden door een concern naar Nederlands recht, zoiets.

Probleem daarmee is dat dat dan weer tegen algemene regels over eerlijke behandeling bij aanbestedingen aanloopt. Binnen de huidige kaders kun je dit probleem niet adresseren, totdat het een keer echt is misgegaan. Want pas dan is te betogen dat deze partij uitgesloten moet worden, dat deze overname niet mag, et cetera.

En het gegeven dat Microsoft de mailbox van de hoofdaanklager van het Internationaal Strafhof heeft geblokkeerd? Ook daar kun je niet heel veel mee, vrees ik. Het flauwe antwoord is: we weten niet precies waarom, tevens gaat het niet om een EU-instantie dus kun je niet zeggen dat Europees recht geschonden wordt. Ook hier weer, dit is te vaag om met juridische regels naar een verbod te leiden. De enige route is een duidelijke politieke keuze, die dan in een nieuwe wet vastgelegd kan worden. Koopt Nederlandsche Cloud.

Arnoud

Grok gemeld bij Franse autoriteiten voor maken deepfakes en kindermisbruikbeeld

Geplaatst op in Regulering, Uitingsvrijheid, 17 reacties
(Screenshot via Spitfire News)

Franse ministers hebben bij justitie en de mediatoezichthouder Arcom melding gemaakt van illegale content die door xAI’s Grok gegenereerd zou zijn. Dat las ik bij Tweakers. De AI-bot maakt zonder enige guardrail seksualiserende deepfakes van geplaatste foto’s, ook van duidelijk minderjarigen.

Bij Reuters leggen ze uit:

A review of public requests sent to Grok over a single 10-minute-long period at midday U.S. Eastern Time on Friday tallied 102 attempts by X users to use Grok to digitally edit photographs of people so that they would appear to be wearing bikinis. The majority of those targeted were young women. … “Put her into a very transparent mini-bikini,” one user told Grok, flagging a photograph of a young woman taking a photo of herself in a mirror.
Natuurlijk, wie zo’n prompt stuurt is eenvoudigweg strafbaar bezig. Zowel bij minderjarigen als bij meerderjarigen – in veel landen, waaronder Nederland, is het maken van nonconsensual deepfakes een strafbaar feit op zich, zeker wanneer die een seksuele lading krijgen.

Het probleem is, zoals altijd, dat die mensen niet of nauwelijks op te sporen zijn. Daarom bepaalt de Digital Services Act dat óók de dienstverleners hiervoor aansprakelijk zijn, tenzij ze hun best doen om dergelijke contentgeneratie te verhinderen. Guardrails, in het jargon. Daarvan blijkt bij Grok in het geheel niets; de prompt geciteerd hierboven is echt meer dan genoeg.

Ik zie bij Tweakers vele reacties van de strekking “dit kan met Photoshop ook, waarom wordt dat niet aangepakt”. Een systeem dat met zo’n eenvoudige prompt complexe en specifieke handelingen kan uitvoeren, is wezenlijk anders dan een algemene tool waarbij je zelf cognitieve vaardigheden in moet zetten voor een specifiek resultaat.

Het probleem is niet dat er theoretisch een eindresultaat mogelijk is, maar dat Grok dat resultaat automatisch, direct en op schaal produceert. Wie in Photoshop een geloofwaardige seksuele deepfake wil maken, moet weten wat hij doet: selecties maken, lagen maskeren, belichting aanpassen, anatomie reconstrueren. Dat vergt tijd, kunde en intentie. Grok doet dat allemaal zelf, in één stap, op basis van een paar woorden. Dat is geen neutrale tool meer, dat is functionele automatisering van een strafbaar handelingstype.

Een vergelijking is misschien die tussen het lockpicking-setje en de slotenmaker die langskomt om een deur open te maken als dienst. Natuurlijk kun je met dat setje ergens inbreken, maar triviaal is dat niet, en je hebt zelf de nodige kennis en ervaring nodig. Die slotenmaker brengt die zelf mee, en opent de deur die jij aanwijst. Volgens mij is het niet controversieel dat de slotenmaker even controleert of jij daar wel woont.

Het gaat me wat ver om de aanbieder van Grok per definitie aansprakelijk te houden voor alles dat er uit komt. Juist omdat het user-driven content is, kun je niet verder gaan dan een zorgplicht. En dat is dan ook wat de DSA eist.

Arnoud

 

Zit je aan de prijs vast als die achter je rug wijzigt op zo’n e-ink prijskaartje?

Geplaatst op in Ondernemingsvrijheid, 36 reacties

Via Linkedin:

Je kent het wel, de winkels met die kleine displaytjes waar de prijs van het product op staat. Familielid ziet een product met een prijs van 127 Euro, denkt van “Ik koop ‘m”, en loopt ermee naar de kassa. Maar even later bij de kassa blijkt de prijs opeens 147 Euro te zijn. Net in die paar minuten is de prijs aangepast! (zowel bij de kassa als op het displaytje). Hoe zit dat juridisch?
Juridisch gezien koop je in een winkel op het moment van afrekenen. Niet zodra je het product pakt – terugleggen mag immers altijd. Bovendien eist de wet dat je je aanvaarding mededeelt aan de winkel, en eerder dan bij de kassa kan dat eigenlijk niet.

(Ook vind ik een mooi argument dat als je bij het pakken al de koop sluit, je niet meer kunt stelen. Door de koop te sluiten met product in de hand, wordt je eigenaar. Dat je nog moet betalen, staat daar los van. Oftewel: het delict winkeldiefstal is onmogelijk. Dat kan niet waar zijn.)

Dat wil echter niet zeggen dat alleen de prijs bij de kassa bindend is. De winkel doet namelijk het aanbod in het schap. Dit is het, dit kost het. En als die prijs geen rare prijsfout bevat, dan is dat de prijs waar de winkel zich op committeert. Die kan men dan niet bij de kassa meer wijzigen, ook niet als op een bordje of in de voorwaarden staat van wel. Aanbod is aanbod.

Een aanbod kan echter vervallen zolang het niet is aanvaard. En de winkel kan het herroepen, tenzij er een termijn bij staat of het anderszins als onherroepelijk geldt (art. 6:219 BW). Vanuit dat perspectief kan de winkel dus de prijs aanpassen en daarmee het oude aanbod doen vervallen. Dat geldt dan ook voor wie nog niet afgerekend heeft.

Arnoud

Zou de Nederlandse politie gestolen wachtwoorden aan een private dienst mogen geven?

Geplaatst op in Security, 7 reacties

Een lezer vroeg me:

De website Have I Been Pwned heeft van de FBI 630 miljoen wachtwoorden ontvangen. Deze wachtwoorden werden volgens de website aangetroffen na de inbeslagname van meerdere apparaten van een verdachte. Het doet mij raar aan dat de politie zo ‘gestolen’ data deelt met een private partij. Kan dat in Nederland?
Als je het zo algemeen stelt, doet het inderdaad raar aan. De politie treft iets aan (spullen of data) bij een verdachte in het kader van een strafrechtelijk onderzoek, en geeft die dan onderhands aan zomaar een private partij.

Dat zou zo algemeen niet kunnen in Nederland. Als de politie zaken in beslag neemt, dan worden die of teruggegeven, of verbeurd verklaard. In dat laatste geval wordt de Staat er eigenaar van (art. 9 Strafrecht) en gewoonlijk worden ze dan verkocht. Zaken die op zichzelf verboden zijn (bijvoorbeeld vuurwapens) worden juist vernietigd. Er is dus geen formele route om die spullen zomaar aan iemand mee te geven.

Hier is het echt niet zomaar, HIBP is een maatschappelijk initiatief van grote bewezen waarde dat al lange tijd samenwerkt met de FBI om de maatschappij veiliger te maken. In 2021 maakte HIBP-initiatiefnemer Troy Hunt bekend een samenwerking met de FBI opgezet te hebben waarbij de dienst wachtwoorden uploadt en Hunt ze ontsluit via zijn zoekdienst. De FBI noemde dit toen een “belangrijke publiek/private samenwerking”.

Ook in Nederland kunnen dergelijke constructies worden opgezet. Waarborgen zijn dan wel nodig, zoals het afschermen van de wachtwoorden vergelijkbaar met hoe HIBP dat doet. De AVG is precies hier dan niet relevant, omdat de FBI alleen de wachtwoorden deelt (“Pwned Password”) en niet gebruikersnaam/wachtwoord combinaties. Een wachtwoord an sich kan ik niet als een persoonsgegeven zien.

Arnoud

Mag een sigarettengezichtsscanner iedereen scannen die in de rij staat bij de kassa?

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, 12 reacties
"3D Face Scanner on Digitopolis" by davepatten is licensed under CC BY-NC-SA 2.0

Een lezer vroeg me:

Op diverse plekken staan zuilen voor sigarettenverkoop, die gezichten scannen om te bepalen of men oud genoeg is. Mij is opgevallen dat deze dingen gezichten scannen van iedereen in de rij. Ik zie het lampje van de scanner iedere keer branden wanneer iemand voor de kassa verschijnt, dus niet pas als je sigaretten afrekent of in de scanner kijkt. Mag dat zomaar?
Ik zie wel hoe dit zo kan werken. Vanwege gebruiksgemak scant het ding de hele tijd naar gezichten, maar meestal zal dat geen nuttige scan opleveren omdat mensen te ver weg staan of niet recht in de camera kijken. De scans worden niet opgeslagen, dus de praktische impact is beperkt.

Er is geen expliciete wettelijke regel waaruit blijkt dat je moet melden dat je een gezichtsscan uitvoert. Vanaf 2 augustus zal onder de AI Act de transparantie-eis (artikel 50) van kracht worden. Deze verplicht “gebruiksverantwoordelijken” van AI-systemen (zoals biometrische gezichtsherkenning) waarmee je directe interactie hebt, expliciet aan te laten geven dat je met een AI interacteert. Zo’n scanner zal dus bij iedere scan moeten melden “ik scan nu je gezicht”.

Heel recent verscheen arrest C-422/24 van het Hof van Justitie. Hier ging het over de vraag waar een opname met een bodycam door een controleur in het openbaar vervoer onder valt binnen de AVG. Het Hof noemt dit een “directe verkrijging” van persoonsgegevens, en eist dat er dan ook direct informatie wordt verschaft aan de betrokkenen. De locatie moet daarom voorzien zijn van bordjes (“Inspecteurs hebben bodycams”) en verwijzingen naar uitgebreidere informatie.

Dit arrest is met een beetje goede wil zo te lezen dat ook zo’n gezichtsscanner een bordje moet krijgen als deze de gehele ruimte scant. Ik twijfel daar wel over, omdat het niet de bedoeling is dat iedereen gescand wordt, maar de scanner gewoon een zeker bereik heeft en dus toevallig gezichten aanstraalt waar vervolgens niets mee gebeurt.

Arnoud

Fijne feestdagen en een juridisch correct 2026!

Geplaatst op in Iusmentis, 3 reacties

Vanaf vandaag ben ik met kerstvakantie. Maandag 5 januari leest u hier weer nieuwe blogs. Voor nu fijne feestdagen en een juridisch correct (maar ook rustig en voorspoedig) 2026 toegewenst!

Leestips:

Goede voornemens: (De afbeelding is uit US patent US6350499B1 en betreft een kerstboom die aan het plafond bevestigd wordt.)