Nog meer dingen die van de AVG ineens niet zouden mogen

| AE 10713 | Privacy | 62 reacties

Oh jee, de AVG. Dat begint een beetje een vervelend mantra te worden sinds 25 mei. Omdat de nieuwe privacyverordening zo veel nieuwe regels met zich meebrengt, komt vrijwel iedereen erachter dat dingen anders moeten. En vernieuwing is vervelend, zeker als het op grond van zoiets raars als privacy moet gebeuren. Een greep dus uit de nieuwsberichten van de afgelopen tijd van mensen die dingen niet meer mogen, en vooral: waarom ze ongelijk hebben.

Niet meer durven bidden voor de zieken – dankzij de privacywet. Dat schreef NRC onlangs. Het noemen van een naam in het gebed (eventueel in combinatie met een verwijzing naar ziekte) kan mogelijk als een verwerking van persoonsgegevens gezien worden. En dan zou de kerk een boete kunnen krijgen.

Onterechte angst, lijkt me. Allereerst is hier sprake van een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terecht komen. Een gebed of preek is geen doorzoekbaar gestructureerd geheel aan informatie. Daarnaast krijg je hier dan onmiddellijk een botsing met de vrijheid van godsdienstuitoefening (artikel 18 UVRM en artikel 6 Grondwet), zodat je op zijn minst een belangenafweging moet maken tussen de grondrechten privacy en godsdienst: wat weegt zwaarder, de religieuze behoeftes van de gelovigen of de privacy van de zieke die wellicht niet in gebed genoemd wil worden?

Wij kunnen geen medicijnendoosjes met etiketten meer aannemen bij onze retourdienst medicijnen, aldus mijn apotheek. Dat twitterde ik een paar weken terug. Het goed verwerken van oude medicijnen is belangrijk omdat deze het milieu ernstig vervuilen en gezondheidsrisico’s vertegenwoordigen, dus biedt vrijwel elke apotheek een inleverdienst aan. Maar dat ‘mag’ dus niet meer van de AVG. Eveneens onterecht, wat mij betreft. En wel om dezelfde reden: een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terechtkomen. Dit valt gewoon buiten de AVG.

School maakt gezichten leerlingen zwart op foto: ‘Privacy staat voorop’, aldus RTL Nieuws. De school had leerlingen foto’s mee naar huis gegeven (gewoon als stukjes papier dus) maar daarop alle gezichten met een zwarte stift onherkenbaar gemaakt. “”We zijn een speciale school met een kwetsbare doelgroep. En we hebben altijd te maken met kinderen die niet op de foto willen”, zo motiveerde het bestuur de beslissing.

Een beetje raar. Het gaat om portfolios gemaakt door de kinderen zelf tijdens de lessen van het afgelopen jaar. Dat lijkt me dus redelijkerwijs noodzakelijk voor het leveren van het onderwijs, en daarmee te rechtvaardigen binnen de AVG. (Als die foto’s niet nodig zijn, waarom worden ze dan gemaakt?) En de privacy-impact lijkt me zeer gering omdat de foto’s alleen worden gedeeld met de betrokkenen zelf en hun wettelijk vertegenwoordigers. Deze zie ik dus niet helemaal.

Zelfs op het oog ‘onschuldige’ gegevens zoals het vrijgeven van het gewicht of de lengte van een voetbalspeler aan media is naar de letter van de nieuwe wetgeving niet toegestaan, zo meldde voetbalclub Feyenoord onlangs. Voetbalspelers zijn immers werknemers van de clubs, en werkgevers hebben de privacy van personeel te respecteren. Zij worden daarom terughoudender in mededeling doen over blessures en dergelijke van spelers.

Wederom onterecht volgens mij. Inderdaad, een gewone werkgever moet terughoudend zijn met privacygevoelige informatie van de werknemer aan derden verstrekken. Dat mag alleen als het voor het werk noodzakelijk is of er een zwaarwegend belang is voor de werkgever. Denk aan een klant bellen dat een afspraak niet doorgaat omdat de betreffende collega ziek is: dat is relevant voor het werk (maar wat deze persoon precies heeft, natuurlijk niet).

Specifiek bij professioneel voetballers en andere topsporters zie ik dat echter anders. Hun rol in de maatschappij is veel groter, zodat de informatievrijheid hier een zwaardere rol gaat spelen. Heel kort door de bocht, het publiek heeft er recht op te weten wat er met ‘hun’ sterspelers aan de hand is. Natuurlijk zitten daar grenzen aan, een live camera boven het ziekbed gaat hem niet worden. Maar een voetbalclub mag volgens mij best melden dat hun speler Robin van Persie een kuitblessure opgelopen heeft en daarom niet kan spelen.

Wie heeft er nog meer “oh jee dat mag niet van de AVG” berichten gezien recent?

Arnoud

Deel dit artikel

  1. Deze is van een kennis van me die in een apotheek werkt. Sommige apotheken: “ik mag de medicijnen van mevrouw slechts aan meneer meegeven als mevrouw een toestemmingsformulier invult, en meneer zich legitimeert.” Daar kan ik me iets bij voorstellen, stel mevrouw heeft een SOA en meneer weet het niet. Oplossing bij hen: apotheek vraagt aan meneer zich te legitimeren, en vraagt “om welke medicijnen gaat het?”. Opgelost. Dan: bedrijven (telemarketeers) die iets te verbergen hebben, maken omslachtige procedures om je rechten uit te oefenen, zoals inzage in wat er wordt opgeslagen en verwerkt, van wie de gegevens afkomstig zijn (als het om een verwerker gaat). . Ze maken het onduidelijk om welke juridische entiteit het gaat. Ze vereisen dan een aangetekende brief, met een kopie van je paspoort, en een schriftelijk verzoek. Terwijl ze ale gegevens om mij te bereiken, al van mij hebben – het kan dus niet bij de verkeerder terecht komen. Ik hoop dat de AP daar snel boetes voor gaat uitdelen, dit zijn juist de praktijken die we niet willen.

    • Die had ik ook laatst bij mijn apotheek. Ik had ook al een fotootje genomen van de regels, om door te kunnen sturen naar hier.

      Dit valt voor mij ook onder het verbazingwekkende kopje “is mijn vrouw door haar huwelijk met mij niet automatisch gemachtigd, en vice versa?” Daar viel vorig jaar ook deze webshop onder. En eerder (jaren geleden) een telefoon-bij-een-abonnement die ik persoonlijk in ontvangst moest nemen.

      Is de simpele oplossing voor de apotheek niet gewoon dat als de partner in kwestie de juiste gegevens heeft (een ordernummer, for all I care), deze blijkbaar al weet heeft van de medicijnen en ze dus ook gewoon mee mag nemen?

      • Maar dat ordernummer zegt niks. Als ik toevallig dat nummer onderschep, dan kan ik jouw medicijnen ophalen. En dan kan ik de medicijnen ofwel misbruiken ofwel gewoon onderscheppen omdat ik jou haat en wil dat jij ziek wordt. En geloof me: er zijn genoeg mensen die een hekel hebben aan een ander en zo ver willen gaan (of gewoon zware medicijnen willen om een eind aan hun leven te maken of zware medicijnen als recreatieve drugs, en onderscheppen zou dan heel simpel zijn als je toch al weet dat iemand zware medicijnen gebruikt).

    • Ja, die apotheken hebben nog een lange weg te gaan. Ik zag op het nieuws dat er inderdaad apotheken zijn die nu om toestemming en/of een legitimatie vragen, maar ik heb zelf nog nooit meegemaakt dat ik (of iemand anders die in de rij stond) ook maar iets heeft hoeven te bewijzen. En dat vind ik heel slecht, want als ik toevallig weet dat meneer of mevrouw X medicijn Y gebruikt en ik wil dat zelf gebruiken of voorkomen dat hij/zij het nog kan gebruiken, dan kan ik het dus zonder legitimatie gewoon op komen halen. Echt veilig is dat niet. Dus laten apotheken inderdaad maar overgaan op legitimatie en/of toestemmingsformulieren.

  2. Als docent zijnde heb ik er ook wel een paar. Zo mag ik ineens niet meer zien hoe lang mijn leerlingen doen over de e-learning. Stel je voor dat ik zie wie er moeite heeft met de stof… oh nee, daaruit zou ik kunnen afleiden wie dyslexie heeft en dat mag niet volgens de AVG.

    Ook leuk, een klassikale quiz op het digibord mag voortaan alleen met nicknames, anders weten de medeklasgenoten ook wie er nog niet begonnen is met leren (leerresultaten vallen schijnbaar ook onder de AVG). Wederom moet ik dan maar uitzoeken wie er achter een bepaalde nickname schuilgaat en wie extra aandacht nodig heeft van mij als docent.

    Verder mag ik van mijn werkgever ook niet meer registreren wie er dyslexie of andere leerstoornissen heeft (alleen van mijn mentorleerlingen, maar dan alleen voor mij toegankelijk en vooral niet benoemen tijdens een leerlingbespreking met de andere collega’s die lesgeven aan deze leerling). Stel je voor dat wij als docenten leerlingen met een leerstoornis extra aandacht geven. Een zeer onbedoeld effect van de AVG en volgens mij ook verkeerd geïnterpreteerd door mijn werkgever. Standaardbeleid kan m.i. ook zijn dat hier direct toestemming wordt gevraagd om deze info te delen met de docenten en dat deze toestemming vastgelegd wordt.

    • Dat klinkt mij allemaal wel erg vreemd in de oren, hoe zit het precies met de organisatie van leerlingsgegevens op jouw school? Is er niet gewoon een centraal, deugdelijk beveiligd leerlingsdossier dat al dit soort dingen (inclusief toegang, toestemmingen en uitoefening van rechten) kan regelen? De afwezigheid van een dergelijk systeem lijkt mij namelijk een veel urgenter probleem onder de AVG dan klasgenoten die aldanniet van elkaars leerstoornissen te weten komen (wat in mijn schooljaren kinderen al schaamteloos door de klas schreeuwden als het als enig excuus gebruikt kon worden).

      • Natuurlijk hebben wij een leerlingvolgsysteem waarin dit allemaal eenvoudig op te lossen is. Echter, zoals Gerben hierboven terecht concludeert, is er door de betreffende beleidsmedewerkers gestopt met lezen na ‘privacy’. Het systeem is nu dus zo ingericht dat alleen mentoren en zorg toegang hebben tot deze gegevens en er dus actief wordt uitgedragen door hogerhand dat deze gegevens niet gedeeld mogen worden tijdens vergaderingen met ‘gewone’ docenten.

        Ik ben dan redelijk roepende in de woestijn in een organisatie met >15.000 leerlingen en >1.000 docenten als ik begin over grondslag.

        Ten aanzien van de e-learning wordt gewoon door de aanbieder bepaald of gegevens inzichtelijk zijn en ik heb helaas te maken met twee aanbieders die nu dus de tijd hoe lang een leerling bezig is geweest hebben verwijderd. Dit is voor hen een stuk makkelijker dan inbouwen dat er om toestemming gevraagd wordt.

        • “Het systeem is nu dus zo ingericht dat alleen mentoren en zorg toegang hebben tot deze gegevens en er dus actief wordt uitgedragen door hogerhand dat deze gegevens niet gedeeld mogen worden tijdens vergaderingen met ‘gewone’ docenten.”

          Ik wil hier niet te ver op doorgaan, maar dit in het bijzonder vindt ik dan nog wel iets waarover je prima hogerop navraag kunt doen. Als jij in een paar zinnen helder en overtuigend kunt stellen dat (1) de kwaliteit van het onderwijs hierdoor in het geding komt en (2) dit feitelijk helemaal niet nodig is, want zie bron en bron, dan lijkt het me dat je daar op zijn minst een enigszins zinnige reactie op hoort te krijgen toch? Of ben ik nou echt te optimistisch?

          • … dan lijkt het me dat je daar op zijn minst een enigszins zinnige reactie op hoort te krijgen toch? Of ben ik nou echt te optimistisch?
            Laten we zeggen dat er grote verschillen zijn tussen de schoolbesturen :). Ik vermoed dat de reactie bij velen zal eindigen met iets in de trant van: ‘We hebben voor deze aanpak gekozen omdat we elk risico willen uitsluiten. Zodra er meer bekend is over wat wel en niet is toegestaan binnen de AVG, zullen we hier opnieuw naar kijken.’

            Is dat een zinnige reactie?

            Zelf heb ik er ook nog een: Een moeder vertelde me laatst dat ze geen foto’s mocht maken tijdens de uitvoering van haar dochter op school. Ze had alle andere ouders om toestemming gevraagd (via de app), en gekregen, maar het mocht echt niet van de directrice: ‘Want dan kon de school een boete krijgen.’

  3. Is er iemand die mij kan vertellen of dit mag of niet…

    Een kennis van mij is fotograaf. Deze plaatst dus ook foto’s op facebook en instagram van fotoshoots (en daar staan dan mensen op) die ze professioneel heeft gemaakt. Met de boodschap: Weer lekker met een opdracht bezig.

    Ergens zegt mijn gevoel dat dat niet mag..

    • Hangt er vanaf. Zomaar zal het denk ik niet mogen, maar je weet natuurlijk niet of degene(n) op de foto toestemming heeft/hebben gegeven. Als zij aan die mensen vraagt “mag ik een foto op sociale media plaatsen om te laten zien waar we mee bezig zijn?” en het antwoord is “ja”, dan lijkt me dat prima. Desnoods laat je het even zwart-op-wit noteren dat er toestemming gegeven wordt als je jezelf helemaal in wilt dekken.

  4. “Wie heeft er nog meer “oh jee dat mag niet van de AVG” berichten gezien recent?” Ik ben beroepskracht bij een vrijwilligersorganisatie en een bestuurslid had een aantal keer gevraagd om de BCC te gebruiken, als er grotere groepen mensen aangeschreven worden. Bij 200 vrijwilligers kan ik me dat voorstellen en deden we dat voor de AVG. Ik had het bestuurslid echter ook behoorlijk boos in mijn nek hangen, nadat ik een aantal keer gewoon ‘Aan:’ had gebruikt voor berichten, die binnen het groepje andere beroepskrachten, bestuursleden en al dan niet vrijwilliger coördinatoren bleven, kortom vergelijkbaar met collega’s. Dit moet volgens hem ook via de BCC. Hij heeft de verordening net als velen nooit gelezen en begon er zaken bij te halen, die er geen biet mee te doen hadden, zoals hacken en dat alles wat digitaal is, doorgestuurd kan worden. Als iemand het verzendend account hackt, dan kan hij de BCC-geadresseerden gewoon zien. Het gevolg is nu, dat om de onnozelste zaken alles in BCC gedaan wordt met als bijkomend probleem, dat niemand me kan wijzen op vergeten geadresseerden.

  5. In de groep 8 ban mijn jongste zoon zijn er twee klassenmoeders. Voorheen gaf de juf hen alle e-mail adressen van de ouders. Nu mag dat opeens niet meer on der het mom van AVG en regelt de juf zelf alle e-mails over uitjes etc. richting de ouders. Een extra last voor de juf waar voorheen dat prima ging met de klassenmoeders.

    • Volgens mij is dit weer zo’n gevalletje, als je het netjes vraagt (via een formulier) en iedereen is ongedwongen akkoord, kun je die e-mail adressen gewoon afgeven. Misschien hoeft dat dan niet eens als er een andere ouder bijkomt (omdat een ander vertrekt, bijvoorbeeld), omdat de ouders op ieder moment hun akkoord mogen intrekken.

      Je kunt zelfs overwegen om bij zij die dit niet willen, het terug bij de juf te leggen. Je maakt dus een lijst van de e-mail adressen van de ouders die akkoord zijn, en de ouders die ontbreken (of bijvoorbeeld iets als “niet akkoord” erbij hebben staan), melden de klassenmoeders aan de juf “die en die kinderen moeten ook nog bericht.” Zou een beetje doen denken aan ouders die een geheim nummer hebben.

      De reactie op de AVG is nogal eens om iets maar niet meer te doen. Vaak kun je het volgens mij echter afvangen door óf je overwegend belang duidelijk te formuleren óf het vrijblijvend te vragen (waarbij intrekken van akkoord op ieder moment mag en je iets mee moet).

      • Inderdaad. En trouwens, ze kunnen toch ook gewoon een alias aanmaken? Als ouder A dus niet wil dat de klassenmoeders a AT outlook DOT com krijgen, dan maakt hij/zij gewoon een alias (bijv. voorschool AT outlook DOT com) en geeft dat af.

        Dat is kinderlijk eenvoudig en voor echte digibeten kan iemand diegene nog helpen (de leerkracht, klassenmoeder of andere ouder weet vast wel hoe dat moet).
  6. Ook een leuke gister tijdens de lunch: medewerker van een electrotechnisch installatiebedrijf met bedrijfskleding vraagt zich af op hij op grond van de AVG bezwaar kan maken tegen het nieuwe t-shirt. Daarop wordt voortaan voor alle medewerkers de voornaam geborduurd en hij wil dat eigenlijk niet.

    • Als de vertoning van de voornaam redelijkerwijs nodig is voor het werk, dan kan hij geen bezwaar maken. Bij bijvoorbeeld fastfood zie ik die noodzaak: je moet kunnen klagen over persoon X die je hielp, en een naam helpt daarbij. Plus, het komt vriendelijker over en dat vind ik ook wel een redelijke noodzaak. Bij een installatiebedrijf vind ik dat verhaal iets moeilijker rond te krijgen.

      • Als iemand van een installatiebedrijf slecht werk levert, moet je toch ook kunnen klagen? En “dan kijk je op de bon” lijkt me geen argument, want bij een winkel of (fastfood)restaurant staat ook gewoon de voornaam van de kassier/kassière op de bon, dus…

        (m.u.v. Hoogvliet (supermarktketen), maar die zetten i.p.v. de voornaam het personeelsnummer erop, dus dan kun je a.d.h. van dat nummer alsnog klagen)
        • Ik denk dat het idee is dat het bedrijf toch wel verantwoordelijk is, wie het werk dan ook heeft uitgevoerd. Vermoedelijk weet je wel welk bedrijf het heeft gedaan. Als je wil klagen, zeg je dus welk adres en tijdstip, dan kunnen zij wel zien wie ze daarop moeten aanspreken. Daar heb je zijn of haar naam niet bij nodig.

  7. en nog een tweede die lijkt op de voorbeelden vanuit het onderwijs hierboven. Ik ben lid van een vereniging van beroepsbeoefenaars. Daar loopt 1 fanatiek fotograferend lid rond. Niet iedereen is ervan gediend om op de foto gezet te worden. Vraag recent op de ALV: moet het bestuur hier iets aan doen? moet je daar vanuit AVG regels voor opstellen? volgens mij haalt men ook regelmatig intellectueel eigendom (portretrecht) en AVG door elkaar.

    • Het portretrecht bestaat niet meer, omdat de AVG al regels stelt over omgang met portretten. (Los daarvan was het portretrecht nooit een IE.) Onder de AVG is fotograferen een verwerking van persoonsgegevens, waarbij je je in principe op het legitiem belang van de vrije nieuwsgaring beroept: de werkelijkheid kunnen vastleggen en/of vertonen. Daar staat het privacybelang van je geportretteerden tegenover. De afweging is in het algemeen niet te doen, dat hangt af van in dit geval het soort vereniging, het soort bijeenkomst, het beoogde gebruik van de foto’s en hoe privé een en ander is. Een serie foto’s bij een openbaar jubileum van een grote vereniging met alleen mensen op enkele meters afstand vind ik héél wat anders dan tijdens het drankje na de schaakwedstrijd van een club met 12 man, om nog niet te spreken van de kleedkamer van de rugbyvereniging terwijl iedereen aan het douchen is.

      Als het gebouw verenigingseigendom is (inclusief gehuurd door de vereniging) dan mag deze regels stellen over fotografie, gewoon omdat het hun eigendom is. Vraag dus het bestuur om dit te doen als er zorgen leven. Dit vereist geen ALV-instemming, dit is gewoon regelen van de dagelijkse orde en dat kan het bestuur gewoon besluiten.

  8. Ik kwam laatst ergens tegen dat het vragen van een leesbevestiging, en zelfs puur een ontvangstbevestiging, aan een email-client ook niet zou mogen onder de AVG. Ben de link zo snel even kwijt, maar het idee is dat je een nieuw stukje data over een persoon (‘heeft dit gelezen’) geautomatiseerd opslaat in een maildatabase. Geen idee of dat ergens op slaat, maar lijkt me wel interessant. Zou immers in dat geval ook van toepassing kunnen zijn op digitaal laten weten dat iemand een aangetekende brief heeft ontvangen.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS