Je persoonsgegevens aanpassen is niet hetzelfde als persoonsgegevens rectificeren

Geplaatst op in Privacy, 30 reacties
Photo by stevepb on Pixabay

Is er een verschil tussen “rectificatie” en aanpassen van persoonsgegevens na verhuizing? Ja, aldus een recent gepubliceerd vonnis van de rechtbank Noord-Nederland. Het betekent vooral dat organisaties wél geld mogen vragen voor die laatste categorie aanpassingen.

De zaak was aangespannen door de eigenaar van een kat genaamd Tom Tom. Deze draagt een chip en staat geregistreerd in de databank van de Stichting Nederlandse Databank Gezelschapsdieren (NDG). Daarmee kan door het aflezen van de chip de eigenaar opgespoord worden als dat nodig is.

Deze eigenaar was na de registratie verhuisd, en had naar eigen zeggen “geen enkele interesse in een of ander pasje”. Dat pasje krijg je bij registratie, en na adreswijziging krijg je een nieuwe – alleen kost dat € 5,50. Maar deze eigenaar had een slimme route (see what I did there) gevonden om een gratis adreswijziging door te voeren, namelijk artikel 16 AVG:

De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.
Een rectificatie is namelijk kosteloos (art. 12 lid 5 AVG). Dit recht hangt samen met de algemene AVG eis dat persoonsgegevens “juist zijn en zo nodig worden geactualiseerd” (art. 5.1(d) AVG). Na een verhuizing is je adres niet meer juist, dus dat zou je moeten kunnen laten corrigeren onder de AVG, zou je zeggen.

De rechtbank is echter scherp en ziet dat er niet “corrigeren” of “wijzigen” staat, maar “rectificeren”:

De rechtbank vindt echter dat er in het geval van [A] niet gezegd kan worden dat de NDG fouten heeft gemaakt bij het verwerken van haar persoonsgegevens. Het enkele feit dat de adresgegevens na een verhuizing niet langer juist staan vermeld in een gegevensbestand betekent daarom niet dat deze moeten worden gerectificeerd. Eerder is sprake van het actualiseren van de betreffende gegevens. De verplichting om persoonsgegevens de actualiseren is opgenomen in artikel 5 lid 1 onder d AVG. In dat artikel is niet bepaald dat het actualiseren van persoonsgegevens kosteloos moet plaatsvinden.
Een aanpassing is dus pas een rectificatie als deze voortvloeit uit een fout van de verwerkende organisatie. Dat jij verhuist, is natuurlijk geen fout van die organisatie en dus geen reden om een rectificatie van je adres te eisen.

Arnoud

 

 

Google gaat in EU stoppen met politieke advertenties

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 4 reacties
Photo by Brian Wertheim on Unsplash

Google gaat stoppen met het tonen van politieke advertenties in de Europese Unie. Dat meldde Tweakers. Het is een reactie op de in maart gepubliceerde Verordening betreffende transparantie en gerichte politieke reclame, die 10 oktober 2025 van kracht wordt.

Op haar blog klaagt het bedrijf dat als missie heeft alle kennis van de wereld te ontsluiten dat dit té ingewikkeld is:

The European Union’s upcoming Regulation on Transparency and Targeting of Political Advertising (TTPA) unfortunately introduces significant new operational challenges and legal uncertainties for political advertisers and platforms. For example, the TTPA defines political advertising so broadly that it could cover ads related to an extremely wide range of issues that would be difficult to reliably identify at scale.
Pakken we de wet erbij, dan zien we dat politieke reclame twee kanten kent:
  1. Reclame door, voor of namens een politieke actor, tenzij het om een zuiver particuliere of commerciële boodschap gaat; of
  2. Reclame die van invloed kan zijn op en bedoeld is om het resultaat van een verkiezing of referendum, stemgedrag of een wetgevings- of regelgevingsproces op Unie-, nationaal, regionaal of lokaal niveau te beïnvloeden; [uitgezonderd neutrale overheidsinformatie]
Dit komt mij toch niet buitengewoon onduidelijk voor. Het onderscheid tussen commerciële reclame en politieke/ideologische boodschappen is volgens mij al lang begrepen.

Het probleem is volgens mij eerder artikel 11, de transparantie- en labelingvereisten voor elke politieke reclameboodschap. Je moet zulke reclame markeren als politiek, én “de entiteit die uiteindelijk zeggenschap heeft over de opdrachtgever” er bij noemen. Ik zie wel hoe dat ingewikkeld kan zijn, want (zeker in de VS) zijn veel van zulke entiteiten er niet van gediend om publiek bekend te worden.

Opmerkelijk genoeg zijn de financiële sancties (artikel 25) gericht op die opdrachtgevers, “uitgevers” van reclame – wat Google zou zijn – kunnen geen boete krijgen maar alleen bevelen om advertenties te blokkeren en daarvoor filtermechanismen te bouwen en dergelijke.

Wat ik me dan afvraag: als je gaat stoppen met politieke reclame omdat je die niet kan herkennen, hoe ga je dan herkennen dat je zo’n advertentie niet wilt?

Arnoud

 

 

Bitcoins zijn geen geld, dus moeten als bitcoin worden teruggegeven

Geplaatst op in Innovatie, 6 reacties
Photo by Traxer on Unsplash

Bitcoin kwalificeert niet als geld in de zin van Afdeling 11 van Titel 1 van Boek 6 BW, zodat de vordering tot betaling van de tegenwaarde in Euro niet toewijsbaar is. Aldus het Hof Den Haag, ietwat droge bewoordingen voor “krijgt de eiser een paar duizend euro of bijna anderhalve ton”.

Het achterliggende geschil is wat rommelig omschreven, er komt ineens een mining park om de hoek kijken bijvoorbeeld. Maar de kern is dat er ergens in 2018/begin 2019 twee bitcoins (naast €2500 aan geld) zijn uitgeleend, en die wilde de uitlenende partij terug. Dat is een paar duizend tegen de toenmalige koers – maar rond de €140 duizend euro vandaag de dag, als ik het goed reken.

De rechter kende de eis tot terugbetaling toe, en rekende daarbij met de geldswaarde van de bitcoins op de datum van vonnis, wat toen € 38.889 betrof. In hoger beroep keurt het Hof dat af:

De primaire vordering tot betaling van de tegenwaarde (tegen de koers van 20 april 2022) in Euro van twee bitcoins, is niet toewijsbaar. Bitcoin kwalificeert niet als geld in de zin van Afdeling 11 van Titel 1 van Boek 6 BW, zodat artikel 6:123 lid 1 BW toepassing mist. [verweerder] heeft geen (andere) grondslag aangevoerd voor zijn hier bedoelde primaire vordering. Het hof zal daarom het bestreden vonnis vernietigen voor zover [appellant] is veroordeeld tot betaling van die tegenwaarde van twee bitcoins tegen de koers van 20 april 2022, en de vordering in zoverre afwijzen.]
De rechter mag alleen vonnissen dat je de dagwaarde betaalt van iets dat geld is. Bitcoin is geen geld, iets dat we al vaker langs hebben zien komen. En dan moet het ding zelf, dus de bitcoin teruggegeven worden.

De exacte uitgeleende bitcoins zijn niet meer te achterhalen, dus dan mogen het twee andere zijn, zolang het er maar precies twee zijn. En ja, dat kan dus betekenen dat je er nu twee moet gaan kopen op de vrije markt en die twee moet geven aan je uitleenovereenkomstwederpartij.

Dus voor wie pakt dit gunstig uit? Op het eerste gezicht voor de uitlener – die krijgt immers twee bitcoins ter waarde van €140.000 terug voor een lening die oorspronkelijk ‘slechts’ enkele duizenden euro’s waard was. Maar is dat wel eerlijk? En belangrijker: is dat wel wat we willen in een volwassen cryptomarkt?

Of moeten we juist blij zijn met deze uitspraak omdat die dwingt tot betere contracten en risico-inschatting? Want laten we eerlijk zijn: wie in 2019 bitcoins uitleende zonder duidelijke afspraken over terugbetaling, speculeerde bewust of onbewust op waardestijging.

Arnoud

 

 

 

Is geen nieuwe auto krijgen ook al schade onder de AVG?

Geplaatst op in Privacy, Security, 18 reacties
Photo by taichi nakamura on Unsplash

Stel je koopt een nieuwe auto, krijgt betalingsinstructies van de garage gemaild en betaalt. Vervolgens blijken die instructies van een ‘hacker’ te komen. Kun je daar wat mee onder de AVG? Ja, volgens het Hof Arnhem-Leeuwarden in een recent arrest. Het gaat er om spannen of de garage haar mail goed beveiligd had.

De zaak is in de kern als volgt:

[Koper] heeft een auto van [het autobedrijf] gekocht. Na een betaalinstructie vanuit het e-mailadres van [het autobedrijf] stelt [de koper] het grootste deel van de koopprijs te hebben betaald op een Duitse bankrekening. Achteraf bleek dat een derde via het e-mailaccount van [het autobedrijf] een valse betaalinstructie had gestuurd.
Die derde was kennelijk goed voorbereid: forensisch onderzoek op de logs liet zien dat er een paar wachtwoorden waren geprobeerd, en toen met succes kon worden ingelogd. Daarna is meegelezen in de mailbox, gespot dat iemand nog moest betalen en gauw een Duits IBAN gestuurd waar het geld naartoe kon. Slim en snel geschakeld, riekt wel ergens naar een inside job.

De koper gooit zijn claim op de AVG: hij wil zijn schade vergoed, namelijk de € 26.900 die hij betaald had voor de auto die hij vervolgens niet kreeg. (Zou je dit via de gewone regels spelen, dan had je de derde aansprakelijk moeten stellen en dat heeft uiteraard weinig kans.)

Slaat dat ergens op? Ja, ik zie hem wel en het Hof ook:

Op grond van artikelen 5 lid 1 onder f, 24 en 32 AVG dient [het autobedrijf] haar e-mailaccount waarop persoonsgegevens – zoals in ieder geval namen en e-mailadressen van haar klanten – worden verwerkt, passend te beveiligen. … De artikelen 24 en 32 AVG verplichten [het autobedrijf] technische en organisatorische maatregelen te nemen die passen bij haar bedrijfsvoering en bij de daarbij horende verwerking van persoonsgegevens om een inbreuk op persoonsgegevens zoveel mogelijk te voorkomen.
Als een onbevoegde een mail van een klant kan lezen en daarop kan reageren namens jou, met als gevolg een omgeleide betaling, dan zie ik wel hoe daar de beveiliging van de persoonsgegevens (mailadres, betalingsstatus) wordt omzeild.

Echter, het is niet zo dat íedere fout automatisch een schending van deze beveiligingsplicht is. De AVG kent een inspanningsplicht, dat “zoveel mogelijk” zinnetje. Maar heeft het autobedrijf hieraan voldaan? De ict-leverancier (Autosociaal) had alvast vastgesteld dat er geen malware op de computers van het bedrijf zat.

Uit de toelichting van [het autobedrijf] blijkt dat zij in ieder geval de instelling en het beheer van het wachtwoord van haar e-mailaccount heeft overgelaten aan Autosociaal in plaats van zelf een (moeilijk te achterhalen) wachtwoord te kiezen en te beheren. Het hof betwijfelt of dit een passende maatregel is voor de beveiliging van haar e-mailaccount.
Het wachtwoord was lang, maar vooringevuld vanaf de computer van de garagemedewerker. Zo te lezen was geen sprake van 2FA. Ik zie hoe je beheer over wilt laten aan een specialist, dus ik ben een tikje verrast dat nu net dát aspect eruit gelicht wordt voor de twijfel; zelf had ik meer vraagtekens gehad bij het ontbreken van tweefactorauthenticatie, iets dat toch standaard is bij Microsoft.

De garage mag nu bewijzen dat zij wél de boel adequaat beveiligd had.

Arnoud

 

Is fraudebepaling op basis van afstand nu ook al discriminatie?

Geplaatst op in Innovatie, Privacy, 43 reacties
Photo by RDNE Stock project on Pexels

Een fraudeaanpak van de Nederlandse Dienst Uitvoering Onderwijs was discriminerend en onrechtmatig, zegt de Autoriteit Persoonsgegevens. Dat meldde Tweakers onlangs. De frauderisicoscore werd berekend op basis van onderwijssoort, afstand en leeftijd. Dat mag niet, en ik grijp deze casus aan om eens héél fundamenteel naar algoritmische fraudedetectie te kijken.

De kern van het probleem staat in het persbericht van de AP:

DUO gaf studenten een ‘risicoscore’ door naar onderwijssoort, afstand tussen adressen en leeftijd te kijken. Voor die criteria was geen objectieve rechtvaardiging. Dat maakte deze werkwijze discriminerend en dus onrechtmatig.
Volgens de Grondwet is onderscheid op íedere grond in principe verboden – je moet een (objectieve) rechtvaardiging hebben om die grond te mogen inroepen. Je moet 16 zijn om op een ebike te mogen, omdat je (gemiddeld) pas dan genoeg ontwikkeld bent deze veilig te gebruiken. Je mag niet meer dan een uur reizen van je werk wonen, want de reistijd breekt je op zo weten wij uit ervaring. Zulke dingen.

Dat zijn bewezen regels: we hebben gezien dat deze vaak genoeg kloppen, dus daar trekken we een grens. Steeds vaker zien we datagedreven regels, waarbij de data laat zien waar de grenzen liggen. Die grenzen worden dan de criteria, en dat heet dan objectief omdat het uit Excel komt.

In dit onderzoek komt het algoritme neer op drie individuele scores, met een totaalscore (“risicofactor” of RF) als R1*(R2+R3):

  • R1: het soort onderwijs. Een MBO-opleiding levert een hogere risicoscore op dan een WOopleiding.
  • R2: een combinatie van leeftijd en kortste afstand tussen het adres van de student en het adres van (een van de) ouder(s). Een kortere afstand tussen de student en de ouder(s) leidt tot een hogere risicoscore.
  • R3: een extra risicofactor op basis van leeftijd: Een lagere leeftijd resulteert in een hogere risicoscore.
De score werd platgeslagen tot zes niveaus, van zeer hoog tot zeer laag (+onbekend). Sorteer je datadump op deze niveaus en je weet bij wie je langs moet.

Oké, maar hoe kwam men dan aan die drie factoren? Welke data-analyse had laten zien dat dat de factoren waren? Ik citeer het onderzoeksrapport: “ervaring en gezond verstand”. Dat kan ik vrij moeilijk een ‘algoritme’ of ‘data-analyse’ noemen. En ja, heel formeel is dan sprake van onrechtmatige verwerking want je kunt niet rechtvaardigen waarom deze keuzes. “Gezond verstand” is geen reden.

Maar goed, stel dat men nu wél de originele datadump had voorzien van labels “gebleken fraudeur” en “geen fraudeur”. En dan een machine learning model had laten ploegen op het onderscheid tussen die twee. En dat model had dan een correlatie gevonden volgens R1*(R2+R3). Had het dan wél gemogen?

“De data laat het zien”. Want wat ziet die data dan precies? Een correlatie, een statistisch verband. Maar correlatie is geen causatie. Als uit de data blijkt dat MBO-studenten vaker frauderen, betekent dat nog niet dat MBO het frauderen veroorzaakt. Misschien worden MBO-studenten wel vaker gecontroleerd, waardoor er meer fraude wordt ontdekt. (En dat versterkt weer de dataset, een klassieke feedbackloop.) Of misschien spelen sociaal-economische factoren een rol die we helemaal niet meenemen in de analyse en die toevallig samengaan met MBO student zijn.

Stel, we hebben een complete dataset: alle studenten, alle controles, objectief en eerlijk verdeeld. En dán blijkt dat 30% van de MBO’ers fraudeert tegenover een algemeen gemiddelde van 10%. Dan kan ik me wat voorstellen bij “is MBO student” als criterium, hoewel dit nog steeds een vorm van collectieve verdachtmaking  blijkt: je bestempelt 100% van de MBO’ers als risicogeval terwijl nog steeds 70% van hen gewoon netjes studeert.

Meer algemeen is dit een bolvormige koe: nooit van z’n leven krijg je zo’n complete, accurate en eerlijke dataset op basis waarvan je analyse gaat doen. Alleen dat zou al genoeg moeten zijn om hier zeer huiverig in te zijn.

Verder heb ik er nog een fundamenteel bezwaar bij. Datagedreven analyse mist het normatieve fundament dat we anders wél hebben bij het maken van regels. Neem die fatbike-regel: die is er niet omdat Excel dat zei, maar omdat we als maatschappij vinden dat ernstige ongevallen voorkomen moeten worden. De data ondersteunt dat (16-jarigen hebben inderdaad minder ongelukken), maar de réden voor de regel zit in onze waarden: mensenlevens beschermen, zorgkosten beheersen, verkeersverantwoordelijkheid.

Bij pure data-analyse verdwijnt dat normatieve kader. We vinden wel verbanden, maar het systeem kan niet uitleggen waarom die verbanden relevant zouden moeten zijn voor ons beleid. Tot welke grondslag, welke maatschappelijke opvatting de regel te herleiden is. Waarom we dit moeten willen. En dan belanden we in een gevaarlijke cirkel: we baseren regels op data omdat die data het “aantoont”, en vervolgens gebruiken we diezelfde data als rechtvaardiging voor de regel. Maar nergens in die cirkel zit nog het antwoord op de vraag: waarom willen we deze regel eigenlijk? Welk maatschappelijk belang dienen we ermee? Het wordt een soort zwevend systeem dat zichzelf in stand houdt, zonder verbinding met de waarden waar het eigenlijk om zou moeten gaan.

Arnoud

Mag ik mijn verlengde hostingcontract als consument opzeggen binnen 14 dagen?

Geplaatst op in Ondernemingsvrijheid, 8 reacties
Photo by Glenn Carstens-Peters on Unsplash

Via Reddit:

Ik host al jaren een kleine website bij een webhostingprovider. Betalen deed ik ieder jaar per overschrijving waar ik van op de hoogte werd gesteld. Nu hebben ze mij blijkbaar 11 maanden geleden op de hoogte gesteld dat ze het dit jaar anders gingen doen. Waar ik voorheen zelf een overschrijving deed, zit ik nu aan een abonnement vast. Volgens de ACM heb ik 14 dagen bedenktijd, nadat het contract is bevestigd. Kan ik nog van het abonnement af? [kleine parafrases, AE]
Als je als consument een online dienst afneemt, zoals hosting, is het goed mogelijk dat je binnen 14 dagen na contractsluiting deze ongedaan mag maken. Een harde regel is dat niet: als je bij contractsluiting expliciet een vinkje zette bij “ik zie af van mijn bedenktermijn”, dan is dat (bij online diensten en alléén bij online diensten) legaal.

Alleen: dit geldt enkel bij het aangaan van het contract als zodanig. Een verlenging, ook met gewijzigde voorwaarden, is géén nieuw contract en daarop geldt dus niet opnieuw die veertiendagentermijn.

Zo te lezen heeft het bedrijf 11 maanden terug de voorwaarden gewijzigd, en daarbij een constructie van stilzwijgend verlengen ingevoerd. Op zich is stilzwijgend verlengen natuurlijk legaal, ook bij consumenten. Wel moet de regeling zelf voldoen aan de wettelijke eisen, met name dat vanaf de eerste stilzwijgende verlenging je per maand mag opzeggen (art. 6:237 sub k BW) en naar rato je geld terugkrijgt.

De vraagsteller geeft aan dat zhij de mail niet heeft gehad waarin de gewijzigde voorwaarden werden aangekondigd. Op zich moeten zij bewijzen dat de mail is aangekomen, anders is de wijziging niet bindend en daarmee de verlenging ook niet.

Aparte instemming met de wijziging is niet nodig, als de mail bij de mailbox aankwam is dat juridisch voldoende. Vaak zie je dat hosters bij het inloggen mensen een verplichte popup voorschotelen dat de voorwaarden zijn gewijzigd. Dat is bewijstechnisch handiger voor hen.

Arnoud

Overheid komt met API’s voor datadelen tussen burger en private partijen

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 5 reacties
Photo by the_iop on Pixabay

De overheid komt met API’s (application programming interfaces) voor het delen van data tussen burgers en private partijen, ter vervanging van de praktijk met convenanten. Dat meldde Security.nl vorige week. Het gebruik van convenanten werd immers in augustus verboden door de Autoriteit Persoonsgegevens. En het is een mooie stap op weg naar de implementatie van de Data Governance Act (DGA).

DGA kennen de meesten als directeur-grootaandeelhouder, maar in 2022 werd Verordening 2022/868 aangenomen die ook zo heet – de Nederlandse naam is Datagovernanceverordening. Doel ervan is een kader voor hergebruik van overheidsinformatie, databemiddelingsdiensten en data-altruïsten te stellen. (Dit staat dan naast wetten zoals de Wet open overheid die aangeven wélke data hergebruikt mag worden.)

De kaders komen neer op regels over het gestructureerd en machinaal op kunnen vragen van data, en toepassen van technieken voor anonimisering of differentiële privacy zodat het bijvoorbeeld AVG-compliant gaat. Dan kom je al heel snel uit bij de applicatieprogrammainterface (API), omdat je daarin formeel vastlegt welke data kan worden opgevraagd en wat er moet gebeuren als zo’n aanvraag binnenkomt.

Ik schrok eerlijk gezegd een beetje toen ik las hoe het nu gaat:

Gebruikers moeten in dit geval eerst een app downloaden en vervolgens zelf, vanuit de app, via DigiD inloggen op de verschillende overheidswebsites, bijvoorbeeld van DUO, het UWV of de Belastingdienst. Na het inloggen via DigiD heeft de app toegang tot alle gegevens die over de gebruiker op de betreffende overheidswebsite staan. Deze gegevens worden eerst door de datadeler-app gescrapet. Daarna selecteert de applicatie benodigde set gegevens, en stuurt deze, na toestemming van de gebruiker, door aan de dienstverlener, bijvoorbeeld een bank.
De achterliggende reden is dat er geen formele manier (lees: API) is om die gegevens op te halen. De app doet zich dus voor als de burger zelf, logt in en scrapet alles waar ie met zijn vieze regex-vingers bij kan. Daarna wordt bij de dienstverlener uitgezocht wat er nodig is. Nee, word ik niet vrolijk van.

Hoe dat op te lossen? Het ministerie zag weinig heil in verbieden van scrapen, met name omdat je feitelijk niet kunt zien of iemand zelf inlogt dan wel of een app dat namens hem doet. Dat niveau van kat-en-muisspel is zelfs voor Facebook of Linkedin forsehoofdpijngevend. Een convenant, waarin de diensten afspreken zich keurig aan de wet te houden? Liever niet, zegt de AP:

Zolang en voor zover in dit convenant sprake is van verwerkingen die in strijd zijn met de AVG, acht de AP het ongewenst dat het ministerie van BZK die verwerkingen zou reguleren en daarmee zou legitimeren. … de AP acht het niet juist om om die redenen verwerkingen te faciliteren die, naar het zich laat aanzien, in strijd zijn met de AVG en grote risico’s met zich mee brengen voor de bescherming van persoonsgegevens van burgers.
De enige echte route is dus het implementeren van een formeel protocol waarmee wél genuanceerd informatie kan worden opgevraagd. En dat is precies het kader dat de DGA ook eist.

Bij Tweakers wijst men op het al bestaande Solid Project (van Tim Berners-Lee, die ja) dat precies hiervoor is bedoeld. In Zweden is hiermee bijvoorbeeld het datauitwisselingsplatform iGrant.io mee gerealiseerd. Het Nederlandse Yivi zou ook een hele mooie implementatie zijn om te kiezen.

Arnoud

 

Kan ik onbewerkte trouwfoto’s opeisen van een wanpresterende fotograaf?

Geplaatst op in Ondernemingsvrijheid, Privacy, 8 reacties
Photo by micheile henderson on Unsplash

Via Reddit:

Begin juni ben ik getrouwd en we hebben een prachtige dag gehad. … Na twee maanden (begin augustus) vroegen we ons af wanneer we de trouwfoto’s ongeveer konden verwachten. De fotografe gaf aan dat ze die week de eerste foto’s zou toesturen. Dit gebeurde niet. … Ik heb haar [uiteindelijk] vriendelijk doch dringend verzocht de onbewerkte foto’s af te leveren op een harde schijf of USB zodat wij de kans krijgen om de foto’s door een ander te laten nabewerken. Het is namelijk inmiddels al vijf maanden na onze bruiloft.
Dit is natuurlijk een zeer frustrerende situatie, en bovendien emotioneel omdat foto’s van je trouwdag zo’n beetje hét voorbeeld zijn van dingen die niet vervangbaar zijn. Je zou zeggen dat dit genoeg moet zijn om de fotograaf in beweging te krijgen.

Omdat dit een juridische blog is, wil ik echter het vanuit die hoek benaderen. Allereerst is er natuurlijk een overeenkomst, er is afgesproken dat er foto’s worden gemaakt en geleverd. Dit heet een overeenkomst van opdracht (art. 7:400 BW) en de fotograaf moet dan de zorg van een goed opdrachtnemer in acht nemen.

Die zorgplicht vult de overeenkomst aan, waar iets niet expliciet afgesproken is moet je dan kijken of het redelijkerwijs bij de zorgplicht van de fotograaf hoort. Net zo wordt de overeenkomst aangevuld door de redelijkheid en billijkheid en de gewoonte. Als er bijvoorbeeld geen harde leverdatum is gegeven (“binnen een week heb je je foto’s”) dan wordt de levertermijn door de redelijkheid bepaald.

De fotograaf is nu al diverse malen aangemaand om de foto’s te leveren en dat gebeurt maar niet. De reden is (kennelijk) dat het bewerken en mooi maken veel tijd kost of moeilijk is. Maar dat houdt redelijkerwijs een keer op: zó lang mensen laten wachten op zulke belangrijke foto’s is niet wat een professioneel fotograaf doet.

Dat betekent: een ander moet het werk nu gaan afmaken. De fotograaf wil de bronbestanden niet afgeven, want dat is niet de gewoonte. Prima, maar dat betekent alleen dat je een andere fotograaf moet zoeken die met stevige afspraken het werk afmaakt en de foto’s aan de klant levert zoals oorspronkelijk de bedoeling was.

Uiteraard vergt dit een stevige brief van een advocaat of rechtsbijstandsverzekering, want als die fotograaf alle berichten blijft negeren en niets levert dan kom je niet verder anders. De route van dreigen met de lokale pers “fotograaf verpest bruiloft” is niet juridisch maar kan effectief zijn.

Mogelijk denken mensen nog aan de AVG; portretfoto’s zijn immers persoonsgegevens en met het recht op inzage kun je daar een kopie van opeisen (art. 15 lid 3 AVG). Maar omdat het hier gaat om kunst, kun je je als betrokkene niet beroepen op dat recht (art. 43 lid 1 Uitvoeringswet AVG).

Arnoud

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

Geplaatst op in Ondernemingsvrijheid, Privacy, 14 reacties
Photo by Pixabay on Pexels

Via Reddit:

Ik werk in de publieke sector bij organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij erop gewezen dat wij een herkenbare foto moeten uploaden naar het Microsoft 365 profiel. Dit is namelijk een eis van de organisatie voor alle medewerkers. Verjaardagen mogen bij ons niet organisatie-breed worden gedeeld vanwege de AVG. Kun je dan als organisatie ook een update frequentie eisen?
De organisatie noemt zo te lezen geen andere reden dan “dat nieuwe medewerkers dan weten wie je bent.” En ik zie wel hoe een profielfoto in een online dienst daarbij helpt, maar dat vind ik wel erg mager als motivatie om dit ongeclausuleerd verplicht te stellen.

De wat oudere lezers mompelen nu wat over het “smoelenboek”, de contactgegevenslijst met naam en foto. Dat was ook voor die reden ontwikkeld, weten wie Jan of Marie van de boekhouding is. Dat is nooit als reden geaccepteerd onder de AVG (of de Wbp daarvoor).

Het enige nieuwe argument dat ik kan bedenken, is dat we nu veel vaker online interacteren en mensen dus standaard alleen namen en een icoon zien. Marie kom je nog wel eens tegen, of je vraagt het als je binnenloopt. Dit kwamen we in 2019 tegen bij een discussie over je foto in je Slack account:

Ik denk dat we anno 2021 hier toch nog eens op terug moeten komen, nu op afstand werken zo’n groot deel van het werk is geworden en digitale afstandscommunicatiemiddelen dus veel meer een standaardinstrument dan in 2019. Zoals in een van de comments op Reddit te lezen is: “Communiceren zonder iemand te zien is geen enkel probleem; anders dat anders zou zijn dan hadden alle bedrijven inmiddels beeldtelefoon.” En dat is dus grappig, want alle bedrijven hébben beeldtelefonie; is het niet van Zoom of Teams dan wel van Jira, Bluejeans of een van de vele andere videoconferencingtools.
Ik ben dus benieuwd hoe jullie hier anno 2024 (alweer bijna ’25 zelfs) over denken?

Arnoud

 

Als jij zegt dat het via Wetransfer moet, dan is het niet-aankomen jouw risico

Geplaatst op in Ondernemingsvrijheid, Security, 18 reacties
Photo by Zlatko ?uri? on Unsplash

In coronatijd kiest De Alliantie voor het systeem WeTransfer voor het aanleveren van benodigde stukken voor het verkrijgen van een huurwoning. Zo opent een recent vonnis uit Amsterdam over waar het risico ligt bij het niet aankomen van documenten. Spoiler: bij De Alliantie, in dit geval.

De Alliantie is een woningcorporatie, en die had de eiser uitgekozen als kandidaat voor een woning op Zeeburgereiland. Daarvoor moeten dan diverse documenten worden aangeleverd, en vanwege corona had De Alliantie een online systeem opgezet. Uit het vonnis:

“Om te controleren of u in aanmerking komt voor deze woning wordt u gevraagd enkele documenten in te leveren. U kunt deze documenten uploaden op deze website (website blauw gedrukt, vzr.). Vermeld a.u.b. in het bericht het adres van de woning én uw IBAN-nummer. Om elk risico op verdere verspreiding van het corona-virus te voorkomen, hebben wij besloten om onze balie aan de [adres 3] te sluiten tot 28 april. Dit betekent dat de Alliantie alleen via de digitale kanalen en/of telefonisch bereikbaar is.
De website-link verwees naar een eigen Wetransfer-omgeving (“dealliantie.wetransfer(.)com”) waarmee je extra grote bestanden kunt versturen, doch alleen naar de Alliantie zelf. Dat deed men dan ook, en na versturen was te lezen “dat de huurovereenkomst en de inkomensverklaring zijn verstuurd, maar nog niet gedownload”. Daarop klom men in de telefoon:
Op 20 april 2020 heeft (de vriendin van) [eiser] gebeld met De Alliantie met de vraag of de documenten zijn aangekomen en of ze kloppen. Daarop is geantwoord dat De Alliantie vijf werkdagen de tijd heeft om de documenten te beoordelen en dan zal reageren. Op de vraag of de medewerker kan controleren of de documenten wel ontvangen zijn antwoordt de medewerker: “Nee, dat kan ik helaas niet maar in principe als u gewoon de link heeft gevolgd die in de mail bijgesloten is dan kunt u ervan uitgaan dat we alle documentatie hebben ontvangen”.
U voelt hem al aankomen: een week later bleek dat de organisatie “geen documenten van [eiser] heeft gezien en dat de woning inmiddels aan de eerstvolgende kandidaat op de ranglijst is aangeboden”. Rechtszaak dus.

Wat was hier misgegaan? Bij Wetransfer was niets meer te achterhalen. De Alliantie speculeerde dat men mogelijk het formulier niet goed had ingevuld, maar als de statusmelding “verzonden/nog niet gedownload” wordt gegeven dan is dat niet logisch. Voor mij ligt meer voor de hand dat de melding van Wetransfer bij de Alliantie was kwijtgeraakt (in de spam) en dat men het daarom simpelweg nooit gedownload had.

Natuurlijk heb je als afzender een verantwoordelijkheid om te zorgen dat stukken aankomen. Maar die werd hier ook genomen: de stukken werden opgestuurd via het aangewezen kanaal, en er is meerdere malen gebeld om te vragen of het aangekomen is. Veel meer kun je niet doen.

Het steekt dan dat de organisatie alleen lijkt te hebben gereageerd dat “indien de link in de e-mail is gevolgd, [u] ervan uit mag gaan dat de documenten ontvangen zijn.” Zijn ze er dan of niet? Even kijken in de map met ingekomen stukken was een logischer stap geweest.

De rechter is niet mals:

Dat de Alliantie dan niet in staat is te controleren of de stukken zijn binnengekomen, dient voor rekening en risico van De Alliantie te komen. Overduidelijk is dat [eiser] alles wat in zijn vermogen lag, heeft gedaan om te zorgen dat de benodigde stukken tijdig bij De Alliantie zouden komen.  … Indien De Alliantie op 20 april 2020 wél had nagekeken of de stukken waren ontvangen en vervolgens [eiser] had meegedeeld dat zij ze níet had ontvangen, had [eiser] direct nogmaals de stukken kunnen aanleveren via WeTransfer. Deze kans heeft [eiser] nu niet gekregen. Niet acceptabel is dat de negatieve gevolgen van een niet waterdicht alternatief aanleversysteem zonder controlemogelijkheden worden afgewenteld op de woningzoekende.
De organisatie moet binnen drie maanden een met de eerdere aangeboden woning gelijkwaardige woning aanbieden.

Arnoud