Mag je iemand zijn ontslag laten nemen als je zijn laptop onbeheerd aantreft?

| AE 12212 | Ondernemingsvrijheid | 6 reacties

Een lezer vroeg me:

Bij ons (redelijk groot) bedrijf gelden harde securityregels, waaronder de simpele eis je laptop te locken als je er van wegloopt. Als security officer zeg ik dan altijd, als ik een open laptop zie dan stuur ik vanuit jouw mailadres een ontslagmail naar je manager. Maar nu vroeg ik me af hoe bindend dat zou zijn op die persoon?
Een eis dat mensen hun laptop locken is een prima idee, en het is goed om met concrete voorbeelden te illustreren waarom. Het spreekt zeer tot de verbeelding dat iemand dan vanaf jouw mailadres iets raars naar je manager stuurt, dat geeft gedoe waar je géén zin in hebt.

Ik adviseer zelf om krokettenbeleid te voeren (in het Zuiden des lands ook wel vlaaienbeleid): je mailt alle collega’s “Mijn laptop stond open dus ik regel morgen kroketten”. En dat is dan soort van sociaal verplicht dat je dat doet.

Juridisch kun je een werknemer natuurlijk niet verplichten om kroketten (of vlaaien) te gaan kopen. En ik heb al een OR-lid in de mail gehad die dit potentieel pesten/bullying vond van de zwakkere werknemer, die zo legaal te grazen genomen kan worden door collega’s. Je daartegen wapenen vind ik wel een serieuze randvoorwaarde voor je bedrijf.

Deze constructie (je baas mailen “ik neem ontslag”) gaat voor mij nog een stapje verder. Afhankelijk van de werkrelatie, die je niet kent als langslopende security officer, kan het zijn dat deze persoon geloofd wordt (“Ha, eindelijk!”) en dan komen er processen op gang waar het héél lastig weer uit te komen is. Ik zou dit dus dringend afraden.

Formeel-juridisch is het niet bindend want die persoon heeft het niet gezegd, en daar is bewijs van want als goed werknemer ga jij natuurlijk een getuigenverklaring afleggen dat jij die mail hebt gestuurd. Maar je komt er pas achter als het ontslagproces al op gang is, en misschien is er dan al een arbeidsconflict ontstaan waardoor het hoe dan ook doorgezet wordt.

Dus misschien moeten we maar gewoon zeggen, de SO stuurt alleen mails naar de persoon zelf “Volgende keer je laptop afsluiten” of de laptop meenemen en een geel briefje achterlaten. Geen ontslagbrieven sturen, en geen kroketten aankondigen. Dan laat je iemand lopen in plaats van vettigheid eten, is nog beter voor de gezondheid ook.

Arnoud

Waarom hebben alle cookiepopups ineens een legitiem belang?

| AE 12221 | Privacy | 11 reacties

Een lezer vroeg me:

Sinds een tijdje valt me op dat allerlei cookiepopups niet alleen om toestemming vragen, maar ook opties aanbieden onder het kopje “legitiem belang”. Vaak kun je die opties niet uitzetten, maar soms wel alleen heet dat dan “bezwaar”. Wat is dit in vredesnaam?
Wie dit heeft bedacht, weet ik ook niet, maar ik vermoed dat diverse grote cookiepopuptechnologieleveranciers (dat is een branche) dit hebben ingevoerd op verzoek van organisaties zoals het Interactive Advertising Bureau (IAB). Iedereen die iets doet met cookies en tracking, ziet de bui namelijk wel hangen dat toestemming het niet lang meer uithoudt als reden (grondslag) om marketing en profiling te doen.

Toestemming was ooit het argument om persoonsgegevens te mogen verzamelen en om met cookies te kunnen werken. Dus iedereen zette lekker een dikke cookiemuur voor zijn site, waardoor we nu met het fenomeen jaklikmoeheid of consent fatigue zitten. En, belangrijker, waardoor toezichthouders eens beter zijn gaan kijken en de terechte vraag stellen waarom het eigenlijk vrijwillig is, dat mensen moeten klikken om je site te kunnen bekijken. Ja, het is jouw site en je mag mensen weigeren, maar in de AVG/GDPR staat nu eenmaal dat toestemming weigeren zonder gevolgen moet blijven – en weigeren is een gevolg, hoe je het ook wendt of keert.

Snel op zoek naar alternatieven, en dan komen we natuurlijk meteen uit bij artikel 6 lid 1 sub f AVG:

de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde,
waarbij iedereen dan meteen wijst op overweging 47 die zegt dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst ‘legitimate interest’ zegt.

Toen is er ergens een brainstorm gekomen over welke soorten cookies en profiling onder dit kopje gerechtvaardigd kunnen worden. Je ziet dat terug in die menu’s: dingen als security & monitoring, first-party analytics en het beperken van overlast door excessief cookiegebruik (ja, serieus heb ik gezien). Daar is dan dus geen toestemming voor nodig, dus die blijven dan buiten het lijstje met dingen waar je toestemming voor moet geven.

Wel staat in de AVG dat je de mogelijkheid tot bezwaar maken moet hebben, op basis van persoonlijke omstandigheden. Bij marketing is de bezwaarmogelijkheid onbeperkt, er hoeft dan geen omstandigheid te worden opgegeven. Daarom zie je dan weer afmeldknopjes bij veel “legitiem belang” opties. Maar een afmeldoptie is in het algemeen niet verplicht. Bij security-opties (monitoring van gedrag om inbrekers-in-spe te pakken) is het natuurlijk niet zinnig om mensen zich te laten afmelden.

Arnoud

YouTube gaat gebruikers om ID-kaart vragen om leeftijd te controleren, mag dat?

| AE 12225 | Ondernemingsvrijheid | 31 reacties

YouTube gaat gebruikers om een ID-kaart of creditcard vragen als het niet kan vaststellen of een gebruiker achttien jaar of ouder is en video’s voor volwassenen wil bekijken. Dat meldde Nu.nl gisteren. De maatregel volgt uit de Audiovisual Media Services Directive (AVMSD) die in 2018 werd aangenomen en ongeveer nu van kracht is. Deze vereist dat diensten zoals Youtube zorgen dat minderjarigen niet zomaar schadelijke inhoud te zien krijgen, en een leeftijdscheck is daarbij een mogelijkheid. Wat natuurlijk de vraag oproept, mag dat zomaar, van iedereen een kopie identiteitskaart vragen?

Uit de blog van Youtube over dit onderwerp haal ik dat het niet een “upload je ID om verder te kunnen” is voor iedereen:

If our systems are unable to establish that a viewer is above the age of 18, we will request that they provide a valid ID or credit card to verify their age. We’ve built our age-verification process in keeping with Google’s Privacy and Security Principles.

Het gaat dus om het moeten aantonen van meerderjarigheid om zo content ongeschikt voor kinderen te mogen zien. En pas nadat Youtube zelf niet kan vaststellen (bijvoorbeeld uit je Google-profiel, de AI-analyse van je surfgedrag of een elders opgegeven en geverifieerde leeftijd) dat je 18 bent, wordt er om een kopie identiteitsbewijs gevraagd.

Natuurlijk mag je -moet je- bij die kopie je bsn afschermen. Het is immers verboden voor Youtube om dat getal te gebruiken voor welk doel dan ook. Maar andere gegevens, zoals je foto, lijken me wel relevant want hoe kunnen ze anders zien dat jij het bent? (Er zijn geen details gepubliceerd maar het lijkt me logisch dat jij op de foto gaat samen met je identiteitskaart.) Die mag je dus niet uitblurren.

Waar ik bang voor ben, is dat het proces gewoon gaat eisen dat er nul aanpassingen op de ID zitten. Dus bsn leesbaar, en geen tekst er doorheen “Youtube age verification” zoals de beste praktijk is bij het verwerken van identiteitskaarten. Dat is niet hoe het hoort, maar vaak wel hoe het gaat. Want vaststellen dat er iéts gewijzigd is, dat kan wel. Maar vaststellen of er iets aangepast is dat aangepast mocht worden (of niet), dat is veel lastiger. Ik hoop dat we snel details krijgen.

Arnoud

Studenten raken diploma kwijt na haperend online tentamentoezicht

| AE 12214 | Ondernemingsvrijheid | 35 reacties

Denk je jouw tentamen met een mooi cijfer gehaald te hebben, krijg je twee maanden later een mailtje van de universiteit dat het tentamen toch ongeldig is, omdat het online toezicht haperde. Zo opende de NOS vorige week over een incident bij de Erasmus Universiteit School of Law. Deze had proctoring ingezet bij een aantal… Lees verder

Als ik in de winkel bij een zuil koop, heb ik dan een internetkoop gedaan?

| AE 12205 | Informatiemaatschappij | 24 reacties

Een lezer vroeg me: In retailland is een trend gaande waarbij retailers kosten willen besparen op hun winkel ruimte. Je ziet dan dat ze in de winkel slechts een beperkt assortiment aanhouden en dat ze in plaats daarvan een zuil in de winkel hebben met een PC en internet verbinding. De consument kan in de… Lees verder

Waarom mogen wij geen archiefdocumenten op onze genealogie-website publiceren?

| AE 12207 | Intellectuele rechten | 5 reacties

Een lezer vroeg me: Wij zijn een kleine genealogie-vereniging die de geschiedenis van mensen uit onze streek wil vastleggen. Van elk brondocument vragen wij van de aanleverende leden toestemming voor naamsvermelding, bron en eventuele eisen van de bronsite. Nu kan één lid met de volgende tekst die hij te horen had gekregen in Rotterdam: U… Lees verder

Internetdiensten buiten databundel zetten schenden netneutraliteit

| AE 12210 | Innovatie | 26 reacties

Providers in de Europese Unie mogen sommige diensten niet voor hun klanten beter toegankelijk maken dan andere. Dat meldde RTL onlangs. In het eerste arrest over netneutraliteit bepaalde het Hof van Justitie namelijk dat het inzetten van een nultarief (niet meetellen voor je databundel) voor sommige internetdiensten effectief hetzelfde is als het vertragen of blokkeren van… Lees verder

Mag PayPal weigeren je transacties te betalen als je tardigrades verkoopt?

| AE 12201 | Ondernemingsvrijheid, Regulering | 13 reacties

Nee, ik had ook geen idee, maar een tardigrade of waterbeer is een van de meest hardnekkige levensvormen op deze planeet. Ze overleven zelfs in de ruimte, wat ze natuurlijk superschattig maakt en daarom was er een bedrijfje dat er kerstboomornamenten van maakt. Zoek een gat in de markt en vul het, het motto van… Lees verder

Hoe ver ben jij al met je migratieplan weg uit de Amerikaanse cloud?

| AE 12195 | Ondernemingsvrijheid | 51 reacties

Zoek alternatieven voor Amerikaanse leveranciers, zo knalde Emerce erin begin deze week. Het Nederlandse en hele Europese bedrijfsleven schendt immers op grote schaal de AVG omdat ze nog steeds met Amerikaanse dienstverleners werkt. Sinds het Schrems II arrest is dat, hoe zeg je dat netjes als jurist, hartstikke illegaal. En ik snap best dat je… Lees verder