Mag je onder de AVG weten wie je een Valentijnskaart of -boeket stuurde?

| AE 11119 | Informatiemaatschappij, Privacy | 19 reacties

Vandaag is het Valentijnsdag, dus krijgen een hoop mensen een kaart of boeket van een geliefde of bewonderaar. Soms met naam, soms zonder. Dat laatste hoort er een beetje bij onder deze traditie. Maar genoeg mensen die dan juist nieuwsgierig worden en willen weten wie de afzender was. De bloemist of het kaartenverstuurbedrijf heeft die informatie, gekoppeld aan jouw naam en adres. Dus toen kreeg ik slimmeriken (m/v) in de mail die zich afvroegen of ze die informatie niet gewoon onder de AVG konden verkrijgen – dat Pietje jou een kaartje stuurt, is toch een persoonsgegeven over jou?

Een persoonsgegeven is inderdaad ieder gegeven dat direct of indirect iets over jou zegt. Niet alleen administratieve gegevens (je woont hier, je verdient dat) maar ook bredere informatie valt daaronder. Dus ja, het klopt dat “Pietje gaf op 13 februari 9:11 de opdracht boeket X naar u te sturen” een persoonsgegeven over jou is.

Op grond van artikel 15 AVG heb je recht op inzage en kopie van je persoonsgegevens. Je kunt dus bij de bloemist die boeket X afgaf, verzoeken om inzage in alle gegevens over die bestelling. (Natuurlijk is het wel de vraag of de naam van Pietje aanwezig is, bij een webshop zie ik dat nog wel maar bij een telefonische order of bestelling in de winkel is dat natuurlijk niet perse zo.)

Er is natuurlijk wel een complicatie: “Pietje gaf op 13 februari 9:11 de opdracht boeket X naar u te sturen” is óók een persoonsgegeven over Pietje. in principe heeft niemand behalve Pietje recht op inzage in die persoonsgegevens. Dat is dus een dilemma: kun je nu wel of niet die gegevens opvragen?

De AVG benoemt dat dilemma niet letterlijk. Alleen bij artikel 15 lid 3 staat dat een verzoek om een kopie geen afbreuk mag doen aan rechten en vrijheden van anderen. Heel strikt kun je dus zeggen dat je alleen inzage wil, desnoods mondeling, maar geen kopie hoeft te hebben. Maar praktisch gezien komt dat op hetzelfde neer. Ik denk dus dat alles bij elkaar de bloemist de naam van Pietje niet mag noemen.

Omgekeerd mag hij dan ook weer niet aan Pietje melden of je blij was met het boeket, of het juist meteen in de hoek smeet.

Arnoud

Deel dit artikel

  1. Maar het persoonsgegeven in deze is toch dat iemand een boeket bloemen naar mij stuurde, samen met mijn adresgegevens e.d. die daar aan hangen? Het feit dat die actie door Pietje, Jan of Henk is geïnitieerd toch niet?

    In de blog wordt vrij snel die conclussie getrokken op basis van ‘Een persoonsgegeven is inderdaad ieder gegeven dat direct of indirect iets over jou zegt.’. Maar ik zie niet hoe het feit dat Pietje die actie initieert iets over mij zegt. Als men in de volgende zinsnede het woord Pietje met een dikke vaste stift doorhaalt wordt er toch niets dat iets over mij zegt weggehaald?

    “Pietje gaf op 13 februari 9:11 de opdracht boeket X naar u te sturen”

  2. Dit is principieel niet anders dan bv. een beoordeling door een leidinggevende over een medewerker. Dat is ook een persoonsgegeven over twee personen; ook daar kunnen belangen van die twee betrokkenen tegenovergesteld zijn; ook in zo’n geval moeten die belangen tegen elkaar afgewogen worden.

    Zo’n afweging valt in het geval van de beoordeling gemakkelijker in het voordeel van de medewerker uit en bij het bloemetje waarschijnlijk eerder in het voordeel van de gulle gever.

    Meer algemeen: dit lijkt me precies een beoogd effect van de AVG – dat men explicieter nadenkt en afweegt. Privacy is niet iets dat zich in pasklare antwoorden laat gieten, maar bij uitstek iets dat van geval tot geval beoordeelt moet worden en maatwerk vergt.

  3. Dus in plaats van dat de bloemist nu zegt: “Sorry de afzender wenst anonym te blijven, dus ik kan u deze informative niet geven”.

    kan de bloemist nu zeggen: “Sorry, vanwege de AVG kan ik u de persoonsgegevens van de afzender niet verstrekken.

    Dus de spanning opbouwen, of het romantische gebaar van een geheime minna(a)r(es) direct met een juridische term doodslaan. Ik weet wel wat ik zou zeggen als bloemist

  4. Hetzelfde probleem speelt (met veel meer impact en breder) met bank-transacties. Als Jantje een bedrag overmaakt aan Pietje, mag Jantje dan weten dat het bedrag van Pietje komt (Lijkt me vrij triviaal in de meeste gevallen, maar toch). Veel belangrijker is dat onder de PSD2, banken transactiegegevens in opdracht van de klant moeten delen met derde partijen — zoals bijvoorbeeld Google — en dat Jantje misschien wel accoord ben met dat Pietje weet wat hij betaald heeft, hij het helemaal niet ziet zitten dat Google dat weet. Bijvoorbeeld, als Pietje een arts is, en de betaling een behandeling wegens depressiviteit betreft (en dus die transactie ook een medisch gegeven impliceerd.)

    De vraag is, hoe voldoe je aan zowel PSD2 (als bank) en de AVG?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS