Mag je onder de AVG weten wie je een Valentijnskaart of -boeket stuurde?

Vandaag is het Valentijnsdag, dus krijgen een hoop mensen een kaart of boeket van een geliefde of bewonderaar. Soms met naam, soms zonder. Dat laatste hoort er een beetje bij onder deze traditie. Maar genoeg mensen die dan juist nieuwsgierig worden en willen weten wie de afzender was. De bloemist of het kaartenverstuurbedrijf heeft die informatie, gekoppeld aan jouw naam en adres. Dus toen kreeg ik slimmeriken (m/v) in de mail die zich afvroegen of ze die informatie niet gewoon onder de AVG konden verkrijgen – dat Pietje jou een kaartje stuurt, is toch een persoonsgegeven over jou?

Een persoonsgegeven is inderdaad ieder gegeven dat direct of indirect iets over jou zegt. Niet alleen administratieve gegevens (je woont hier, je verdient dat) maar ook bredere informatie valt daaronder. Dus ja, het klopt dat “Pietje gaf op 13 februari 9:11 de opdracht boeket X naar u te sturen” een persoonsgegeven over jou is.

Op grond van artikel 15 AVG heb je recht op inzage en kopie van je persoonsgegevens. Je kunt dus bij de bloemist die boeket X afgaf, verzoeken om inzage in alle gegevens over die bestelling. (Natuurlijk is het wel de vraag of de naam van Pietje aanwezig is, bij een webshop zie ik dat nog wel maar bij een telefonische order of bestelling in de winkel is dat natuurlijk niet perse zo.)

Er is natuurlijk wel een complicatie: “Pietje gaf op 13 februari 9:11 de opdracht boeket X naar u te sturen” is óók een persoonsgegeven over Pietje. in principe heeft niemand behalve Pietje recht op inzage in die persoonsgegevens. Dat is dus een dilemma: kun je nu wel of niet die gegevens opvragen?

De AVG benoemt dat dilemma niet letterlijk. Alleen bij artikel 15 lid 3 staat dat een verzoek om een kopie geen afbreuk mag doen aan rechten en vrijheden van anderen. Heel strikt kun je dus zeggen dat je alleen inzage wil, desnoods mondeling, maar geen kopie hoeft te hebben. Maar praktisch gezien komt dat op hetzelfde neer. Ik denk dus dat alles bij elkaar de bloemist de naam van Pietje niet mag noemen.

Omgekeerd mag hij dan ook weer niet aan Pietje melden of je blij was met het boeket, of het juist meteen in de hoek smeet.

Arnoud

19 reacties

  1. Ik kan alleen maar denken: arme bloemist die met een dergelijke vraag opgezadeld wordt. En ze hebben het al zo druk deze dagen.

    Gelukkig is de kans dat een dergelijke AVG-purist een Valentijnsbloemdtje krijgt waarschijnlijk niet zo heel groot.

  2. Maar het persoonsgegeven in deze is toch dat iemand een boeket bloemen naar mij stuurde, samen met mijn adresgegevens e.d. die daar aan hangen? Het feit dat die actie door Pietje, Jan of Henk is geïnitieerd toch niet?

    In de blog wordt vrij snel die conclussie getrokken op basis van ‘Een persoonsgegeven is inderdaad ieder gegeven dat direct of indirect iets over jou zegt.’. Maar ik zie niet hoe het feit dat Pietje die actie initieert iets over mij zegt. Als men in de volgende zinsnede het woord Pietje met een dikke vaste stift doorhaalt wordt er toch niets dat iets over mij zegt weggehaald?

    “Pietje gaf op 13 februari 9:11 de opdracht boeket X naar u te sturen”

    1. Dat is volgens mij precies wat deze blog ook zegt? Conclusie is simpelweg dat je niet mag kunnen achterhalen wie het gestuurd heeft door de bestelling op te vragen bij de bloemist via jouw persoonsgegevens en de AVG.

      1. De conclusie komt op hetzelfde neer. Maar het argument van Arnoud is, als ik het goed interpreteer, dat het wel degelijk een persoonsgegeven van ontvanger is maar niet hoeft te worden afgestaan omdat dat inbreuk maakt op de rechten en vrijheden van Pietje.

        Maar ik zie uberhaupt niet waarom het feit dat Pietje (of wie dan ook) deze bos bloemen stuurt een persoonsgegeven van de ontvanger is. Dan kom je inderdaad tot dezelfde conclusie, dat het niet afgestaan hoeft te worden, maar op andere gronden.

          1. Ja, maar wij snappen niet helemaal waarom de naam van Piet iets over Ed zegt, en waarom dat uperhaupt moet vallen onder de AVG van de ander?

            Want er wordt nu dus gezegd dat dit niet hoeft te worden gegeven, omdat het inbreuk maakt op Piet, maar het gegeven dat Piet die bloemen stuurde hoort helemaal niet in het persoonsgegeven thuis, is onze gedachte.

            1. Een persoonsgegeven is een gegeven dat herleidbaar is tot een persoon. Op die manier kan het feit dat je partner, of je stalker, een bloemetje stuurt een persoonsgegeven van jou zijn, omdat het herleidbaar kan zijn naar jou. Ook kan het iets zeggen over je seksuele geaardheid (of in ieder geval een suggestie wekken).

  3. Dit is principieel niet anders dan bv. een beoordeling door een leidinggevende over een medewerker. Dat is ook een persoonsgegeven over twee personen; ook daar kunnen belangen van die twee betrokkenen tegenovergesteld zijn; ook in zo’n geval moeten die belangen tegen elkaar afgewogen worden.

    Zo’n afweging valt in het geval van de beoordeling gemakkelijker in het voordeel van de medewerker uit en bij het bloemetje waarschijnlijk eerder in het voordeel van de gulle gever.

    Meer algemeen: dit lijkt me precies een beoogd effect van de AVG – dat men explicieter nadenkt en afweegt. Privacy is niet iets dat zich in pasklare antwoorden laat gieten, maar bij uitstek iets dat van geval tot geval beoordeelt moet worden en maatwerk vergt.

  4. Dus in plaats van dat de bloemist nu zegt: “Sorry de afzender wenst anonym te blijven, dus ik kan u deze informative niet geven”.

    kan de bloemist nu zeggen: “Sorry, vanwege de AVG kan ik u de persoonsgegevens van de afzender niet verstrekken.

    Dus de spanning opbouwen, of het romantische gebaar van een geheime minna(a)r(es) direct met een juridische term doodslaan. Ik weet wel wat ik zou zeggen als bloemist

  5. Hetzelfde probleem speelt (met veel meer impact en breder) met bank-transacties. Als Jantje een bedrag overmaakt aan Pietje, mag Jantje dan weten dat het bedrag van Pietje komt (Lijkt me vrij triviaal in de meeste gevallen, maar toch). Veel belangrijker is dat onder de PSD2, banken transactiegegevens in opdracht van de klant moeten delen met derde partijen — zoals bijvoorbeeld Google — en dat Jantje misschien wel accoord ben met dat Pietje weet wat hij betaald heeft, hij het helemaal niet ziet zitten dat Google dat weet. Bijvoorbeeld, als Pietje een arts is, en de betaling een behandeling wegens depressiviteit betreft (en dus die transactie ook een medisch gegeven impliceerd.)

    De vraag is, hoe voldoe je aan zowel PSD2 (als bank) en de AVG?

      1. Het punt is, denk ik, dat als Jeroen geld naar mij stort en ik toestemming geef aan een derde partij om deze gegevens ook te lezen, Jeroen die toestemming nog niet gegeven heeft. Terwijl het best wel eens gevoelige gegevens over Jeroen kunnen zijn. Dus inderdaad is hier een privacyprobleem.

        1. Inderdaad, dat is het punt, en ik geef die toestemming expliciet niet; dus dan zal een instantie dat moeten gooien op een van de andere rechtvaardigingen die de AVG biedt. Echter, voor medische gegevens, gegevens over religieuze overtuiging en vakbondslidmaatschap is dat een zeer lastig gegeven; waardoor bijvoorbeeld zorgverleners, kerken en vakbonden geen gebruik kunnen maken van PSD2 zonder een voorafgande bewerkersovereenkomst die dit soort dingen afdekken.

  6. Arnoud, in lid 4 staat niet dat een kopie geen afbreuk mag doen, maar dat een kopie geen afbreuk doet. Je hebt dus altijd recht op een kopie. De bedoeling is dat je een kopie krijgt waarbij de persoonsgegevens van anderen zijn afgeschermd.

    1. De bloemist mag het hebben vanwege de noodzaak voor het uitvoeren van hun werk. Het opgeven van deze gegevens door de klant valt denk ik onder de privésfeer. Uiteindelijk is het doel van de AVG natuurlijk niet dat je nooit meer iets kunt sturen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.