Smoelenboek belandt in supermarkt na overlast, school meldt datalek, is het dat wel?

| AE 13925 | Ondernemingsvrijheid, Privacy | 12 reacties

Een filiaal van de Albert Heijn in Den Haag kon overlastgevende scholieren in de gaten houden nadat een smoelenboek van het Maerlant-Lyceum in de supermarkt was beland. Dat meldde Omroep West onlangs. De conrector loste het datalek adequaat op door het boek op te gaan halen en te vragen of de Appie voortaan gewoon de politie wil bellen als ze strafbare feiten ziet. Het blijkt te zijn gegaan om een papieren smoelenboek, dus dat gaf wat vragen bij de AVG-deskundige lezers.

Hoe kon dit boek daar terechtkomen?

Een oud-medewerker van de school heeft het boek aan de supermarkt gegeven. Daarmee konden medewerkers de foto, voor- en achternaam en schoolnummer van de leerlingen zien. ‘In het verleden heeft het filiaal onze hulp gevraagd bij de ongeregeldheden in de supermarkt’, vertelt tijdelijke rector van de school, Peter Reenalda. ‘Naar aanleiding van die vraag is het smoelenboek daar terechtgekomen.’
Het gaat dus echt om een papieren ding met kaft, geen app of online toegang tot het leerlingvolgsysteem. Nog steeds handig natuurlijk als je een vervelende scholier te pakken hebt en je wilt weten hoe die heet, even bladeren en je bent er zo uit. Het boek is bedoeld voor intern gebruik:
Het smoelenboek van de Haagse school wordt alleen onder een zeer beperkt aantal medewerkers verspreid. ,,We hebben op school een aantal exemplaren liggen. Voor een conciërge is het bijvoorbeeld heel handig bij het registreren van te-laat-komers ‘s ochtends. Dan hoef je dat niet allemaal in een computer op te zoeken.”
Ik ga er maar even vanuit dat het een alfabetisch (en op klas) gesorteerd overzicht is van namen, foto’s en schoolnummer. Het is een papieren document, dus dan is de AVG alleen van toepassing als het gaat om een ‘bestand’. Dat is (art. 4 lid 6 AVG):
elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
De eerste vraag is dan: is een lijst met foto’s en namen een “gestructureerd geheel”. Ik ben geneigd te zeggen van wel. Maar is het volgens “bepaalde criteria” (meervoud) toegankelijk? Ik neig naar nee, omdat je eigenlijk alleen op naam er in kunt zoeken. In een zaak uit 2005 bepaalde de Hoge Raad dat het enkel chronologisch ordenen van stukken over een persoon niet aan dit criterium voldoet. Maar die stukken waren zelf niet bepaald geordend of makkelijk door te zoeken, terwijl dat bij een lijst met scholieren wél het geval is.

In 2018 oordeelde het Hof van Justitie dat lijsten met namen en adressen van mensen die je deur-aan-deur wilt bezoeken (of juist niet) eronder vallen:

[Onder] het in deze bepaling gebruikte begrip ‘bestand’ ook valt een geheel van in het kader van een van-huis-tot-huisverkondiging verzamelde persoonsgegevens, bestaande uit de naam en het adres van en andere informatie over de aan huis bezochte personen, wanneer deze gegevens zijn gestructureerd volgens specifieke criteria die het in de praktijk mogelijk maken deze gegevens gemakkelijk terug te vinden voor een later gebruik ervan. Om onder dit begrip te vallen hoeft een dergelijk geheel geen steekkaarten, specifieke lijsten of andere ordeningssystemen te omvatten.
Een smoelenboek lijkt me evenzo bedoeld om “in de praktijk gemakkelijk de gegevens terug te vinden”, het hele punt is immers dat je gegeven een smoel wilt bepalen om welke persoon het gaat. Dus dan is het inderdaad een bestand, en is het een datalek als het bij een onbevoegde instantie terecht komt.

Wat dat laatste betreft: ja, het is aan Albert Heijn gegeven door een kennelijk bevoegd persoon, namelijk een medewerker die dacht dat dit een goed idee was. Maar dat is niet relevant bij de vraag of iets een datalek is. Daarbij gaat het er alleen om of de persoonsgegevens bij een onbevoegde partij terecht zijn gekomen, en niet of dat door misdrijf, per ongeluk of door een andere reden is gebeurd.

Arnoud

 

Minister moet opheldering geven over identiteitsfraude bij afsluiten contracten

| AE 13927 | Ondernemingsvrijheid | 23 reacties

Ministers Adriaansens van Economische Zaken en Yesilgöz van Justitie en Veiligheid moeten opheldering geven over identiteitsfraude bij het afsluiten van online contracten. Dat las ik bij Security.nl vorige week. De PvdA stelde naar aanleiding van een uitzending van Radar hier Kamervragen over. Als cynisch jurist zeg ik: wat had je dan verwacht, dat identiteitsfraude online moéilijk zou zijn?

De uitzending van Radar was veelzeggend:

Met een vals e-mailadres is rond juni vorig jaar met haar naam en bankrekeningnummer een energiecontract afgesloten bij Energiedirect, dochteronderneming van Essent. Op dit adres wordt ontzettend veel energie verbruikt. Energiedirect gelooft de gedupeerde in eerste instantie niet als zij zich tot hen wendt. Zij blijven incassorekeningen sturen en dreigen zelfs met een deurwaarder. … Ook de politie onderneemt geen actie. In Radar Checkt! gaat Fons Hendriks naar het adres waarop het energiecontract is afgesloten. Hier blijkt een groep krakers te wonen die bekend zijn bij de politie.
Er blijkt dus geen zinnige voorafgaande check te zijn bij de energieleverancier: men gelooft de opgegeven gegevens, gaat leveren naar het leveringsadres en stuurt facturen (en incassobureaus) naar het opgegeven facturatieadres. Oké.

Voor juristen is dit geen spannend verhaal: de leverancier moet maar naar de rechter en bewijzen dat die persoon werkelijk de overeenkomst heeft gesloten. Het deed me denken aan deze blog uit alweer 2018:

De feiten achter het vonnis zijn eenvoudig genoeg. Op naam van de gedaagde werden studieboeken besteld, deze werden ook geleverd maar de bijgesloten factuur bleef onbetaald ook na aanmaning. Daarop stapte de verkoper naar de rechter: er was gekocht, dus er moest worden betaald. Het kort maar krachtige verweer luidde simpel genoeg dat niet de gedaagde zelf maar haar stiefvader de boeken had gekocht. En dat slaagde (…).
Er zit juridisch natuurlijk geen verschil tussen een boek kopen en een energiecontract afsluiten via internet. Praktisch wel, al is het maar omdat de kosten van die laatste veel hoger kunnen zijn én omdat er vaker een enorme bureaucratie achter zit die je onverschillig is voor je argumentatie. Dat liet Radar ook zien, men gelooft de ontkenning niet en blijft hameren op betalen. Dat zou dan naar de rechter moeten gaan, maar als je niet uitkijkt wordt je op het facturatieadres afgesloten (een lezer alhier overkwam het), krijg je gedoe met zwarte lijsten of BKR en ga zo maar door.

Arnoud

 

Ook Hoge Raad oordeelt dat Deliveroo-koeriers geen zzp’ers waren. Heeft dat grote gevolgen?

| AE 13929 | Ondernemingsvrijheid, Regulering | 37 reacties

mohamedhassan / Pixabay

De fietskoeriers van Deliveroo waren werknemers en geen zzp’ers, zo zegt ook de Hoge Raad. Dat meldde NRC vorige week. Heeft dat gevolgen voor alle 1,2 miljoen zzp’ers in Nederland, vraagt men er direct achteraan. Naar goed journalistiek gebruik moet het antwoord dan “nee” zijn, maar laten we eens kijken wat de Hoge Raad nu echt vond.

De uitspraak is de laatste in een lange reeks van discussies en rechtszaken over de status van bezorgers die voor een bedrijf met een app, pardon een participant in de platformeconomie, aan het werk zijn. In 2018 vonniste de rechtbank Amsterdam nog dat een Deliveroo-bezorger freelancer was, mede omdat deze zeer parttime werkte en het contract keurig “ZZP-overeenkomst” heette.

De zaak waar het nu om gaat, startte in 2019: Deliveroo-bezorgers zijn toch werknemers, was de uitkomst. Wat was nu het verschil?

In juli vorig jaar concludeerde de rechtbank nog op basis van de tekst van een freelancer-contract dat de fietskoerier een zzp’er was, maar dat was wat kort door de bocht: je mag aan een contract met een hulppersoon alleen waarde hechten als er inhoudelijk onderhandeld is. Is het een standaardcontract dat de hulppersoon opgelegd kreeg (“alsjeblieft, hier tekenen graag”) dan is daaraan geen aanwijzing te ontlenen dat partijen samen beiden wilden dat de koerier zzp’er was. Ook de andere stappen die de rechter vorig jaar zag – het inschrijven bij de KvK, het zelf kopen van kleding en vervoersboxen – tellen niet mee in zo’n situatie.
De rechter liet alle mooie woorden uit die tijd over platformeconomie, flexwerken en wat dies meer zij voor wat ze waren, en legde de definitie van “arbeidsovereenkomst” er letterlijk tegenaan. En die is onafhankelijk van hoe je het noemt of wat futurologen zeggen dat werk in de 21e eeuw gaat zijn. Niet raar dus dat hij uitkwam bij “wél arbeidsovereenkomst”.

Deliveroo ging natuurlijk in hoger beroep, want je zou het eens een keer eens zijn met een vonnis als groot bedrijf, kom nou. Maar ook daar kreeg men ongelijk: ook als Deliveroo zelf zegde géén maaltijdbezorgplatform te zijn (dat is serieus met droge ogen verdedigd door een overigens zeer competente advocate) maar slechts een IT-bedrijf, dan nog kun je best werknemer zijn van dat bedrijf.

Het was bij het Hof ook voor een deel de IT die ervoor zorgde dat Deliveroo werkgever was:

Het GPS-systeem geeft Deliveroo daarmee een vergaande controlemogelijkheid op de werkwijze van de bezorger. FNV heeft erop gewezen, en zulks komt het hof ook aannemelijk voor, dat deze GPS-bekendheid ook een druk op de bezorger uitoefent. De klant rekent op bezorging van een maaltijd op een bepaald tijdstip; wanneer een bezorger bijvoorbeeld langzamer gaat fietsen, dan zal de klant (en daarmee Deliveroo) hierover teleurgesteld zijn, hetgeen een bezorger menselijkerwijs zal willen proberen te voorkomen. Het GPS-systeem geeft Deliveroo (al dan niet via haar klanten) dus een vergaande controlemogelijkheid, die eveneens als een vorm van gezag is aan te merken.
De Hoge Raad had in 2020 al uiteengezet wanneer je een contract een arbeidsovereenkomst noemt. Bedoelingen doen er niet toe, het gaat om de feitelijke situatie. Je kijkt er objectief naar: werkt iemand ‘in dienst’, krijgt zhij ‘loon’ om ‘gedurende zekere tijd’ bepaalde ‘arbeid’ te verrichten en is er ‘gezag’ (die IT dus, bijvoorbeeld). Zo ja, dan is het een arbeidscontract.

Men voegt daar nu aan toe dat je uiteindelijk wel gewoon naar alle omstandigheden van het geval moet kijken. Als iemand zich bijvoorbeeld nadrukkelijk profileert als zelfstandige (eigen ondernemersnaam/logo, reputatie, aantal opdrachtgevers, fiscale kwalificatie) dan is dat een factor die meeweegt. Maar er is geen hard criterium “doe x en je bent zzp’er”.

Deliveroo had dat namelijk geprobeerd met het argument dat je niet hóefde te werken. Je mag als IT-medewerker-met-maaltijdtas (de Capgemini-bezorgers, wie kent ze niet) immers weigeren een maaltijd te bezorgen, waar een gewone 9-tot-5 medewerker een probleem zou hebben als die besluit vandaag gewoon even thuis te blijven. De HR trekt de vergelijking met de appelplukkers en vakantiewerkers, en concludeert dat dit geen keiharde eis is om van een arbeidsovereenkomst te kunnen spreken. Het kan, een arbeidscontract waarbij je soms thuis mag blijven. Als je dat allebei zo wil, waarom niet.

Er blijft dus niets over van de stellingen van Deliveroo, en onvermijdelijk is dan ook dat de fietsbezorgers aangemerkt worden als werknemers. Wellicht zou dat anders kunnen of mogen zijn (zie onder meer dit artikel uit alweer 2017), maar dat verklaart de HR tot nadrukkelijk een politieke discussie.

De HR wilde niet zelf een harde lijn trekken: velen waren bang dat de hoogste rechter zou bepalen dat je alleen moest kijken naar het soort werk – wie hetzelfde doet als de werknemers, is automatisch en ongeacht de omstandigheden óók een werknemer. Dat zou heel vervelend zijn voor alle bedrijven en instellingen die met een flexschil werken.

Heeft dat gevolgen voor alle 1,2 miljoen zzp’ers in Nederland, zo vroeg NRC zich af. Antwoord dus: nee. Ook niet direct voor de Deliveroo-bezorgers, want in oktober 2022 vertrok het bedrijf, naar eigen zeggen omdat het niet meeviel de markt te veroveren. Men deed wel een aanbod tot vergoeding:

De vaste werknemers van Deliveroo in Nederland krijgen compensatie voor het verlies van hun baan. De bezorgers zijn echter niet in dienst, maar krijgen ook een bedrag uitgekeerd. ‘Dat maakt dit sociaal heel uniek. Deliveroo heeft zelf contact met ons opgenomen, en dat heeft geleid tot deze afspraken’, zegt Anja Dijkman, FNV-bestuurder Platformwerk. ‘Ik denk dat zij op een nette manier uit Nederland willen vertrekken.’
Toch blijft de gedachte hangen dat men mede vertrok omdat deze HR-uitspraak grote financiële gevolgen zou hebben, en daar hadden de investeerders natuurlijk geen zin in.

Arnoud

 

 

Mag ik iemands AI model vergiftigen door Glaze in mijn werk te stoppen?

| AE 13919 | Innovatie, Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me: Ik ben grafisch artiest en erger me natuurlijk rot aan die AI-hype waarbij iedereen je werk gebruikt zonder te vragen. Nu las ik over Glaze, een systeem dat ervoor zorgt dat het trainen van AI modellen misgaat als ze jouw afbeeldingen gebruiken. Dat wil ik gaan gebruiken, maar mede dankzij deze… Lees verder

Als je klant je broncode wist, dan hou je een leeg auteursrecht over, succes verder

| AE 13908 | Intellectuele rechten, Security | 10 reacties

“Eiser heeft al vrijwilliger software ontwikkeld voor gedaagde.” Een zin in een arrest waar menig ict-jurist rillingen van krijgt: weinig dingen gaan zo vervelend verkeerd als afspraken tussen vrijwilligers. Ook in deze zaak: de software was heel handig, maar op zeker moment is de samenwerking beëindigd, en oh ja oeps, toen “heeft gedaagde de computer… Lees verder

Mag ik mijn GPG sleutel van het werk gebruiken voor mijn nieuwe sleutel van mijn nieuwe werk, of: wat is een GPG sleutel onder de wet eigenlijk?

| AE 13915 | Ondernemingsvrijheid | 23 reacties

Een lezer vroeg me: Bij mijn huidige werkgever gebruik ik al sinds het begin een GPG sleutel, gekoppeld aan mijn zakelijk mailadres. Deze sleutel is bekend bij al mijn professionele relaties, en hij is getekend door bekende personen in mijn vakgebied. Dus die authenticiteit is belangrijk. Mag ik nu met deze sleutel een nieuwe sleutel… Lees verder

Van wie is mijn werk als ik ChatGPT mijn werk laat doen?

| AE 13898 | Intellectuele rechten | 5 reacties

Een lezer vroeg me: Ik ben programmeur en in mijn arbeidscontract staat dat alle software die ik maak, eigendom van mijn werkgever is. Fair enough, maar ik gebruik vaak ChatGPT om basis-stukjes code op te zetten of oplossingen te suggereren voor problemen waar ik tegenaan loop. Is dan alleen die ene uitkomst van de bot… Lees verder

‘Leeftijdsgrens voor sociale media in Nederland moet naar 15 jaar’

| AE 13906 | Privacy | 16 reacties

Er moet in Nederland een leeftijdsgrens komen van 15 jaar voor het aanmaken van accounts op sociale media. Dat las ik bij Tweakers vorige week. Het betreft een suggestie in Kamervragen van regeringspartij ChristenUnie. Vraagsteller Drost vraagt erom omdat sociale media volgens hem een negatieve invloed hebben op jongeren, en in andere landen er wél een… Lees verder

Internetproviders voorzichtig met doorberekenen van inflatie, maar mag dat wel zomaar?

| AE 13901 | Ondernemingsvrijheid | 12 reacties

Telecombedrijven durven niet de volledige inflatierekening bij klanten te leggen, uit angst dat ze weglopen. Dat las ik bij Nu.nl maandag. Ziggo is de snelste stijger met een prijsverhoging van 8,5 procent, en schokkend voor mij was vooral dat de inflatie dus op 10% staat tegenwoordig. Het riep natuurlijk meteen de juridische vraag op: mag… Lees verder