Eh, de fysieke inhoud van een gevonden portemonnee hoef je dus niet te vernietigen van de AVG

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij ons gaat rondzingen als we niet uitkijken. Immers, als je ongevraagd toegezonden persoonsgegevens, moet vernietigen, dan toch zeker ook met ongewenst aangetroffen fysieke dragers met die gegevens?

Een vuistregel bij juridische uitkomsten is, als de uitkomst absurd is dan is je redenering fout. De winkelketen (het Engelse Co-op) maakt dus een fout, maar waar gaat het mis? Je kunt het op twee manieren bekijken.

Allereerst puur de AVG: het in bezit nemen van een gevonden portemonnee met pasjes is nog geen verwerking van persoonsgegevens die onder de AVG valt. Het betreft hier immers geen elektronische verwerking, dus geldt de AVG alleen wanneer de gegevens bestemd zijn om (bij jou) in een bestand opgenomen te worden. En daar is geen sprake van, de kluis van de manager is geen bestand. De AVG stelt dus überhaupt geen eisen aan deze verwerking, laat staan de eis tot vernietiging.

Ook kun je zeggen dat dit gewoon mag van de AVG, want dit is in het belang van de eigenaar (artikel 6 lid 1 sub f AVG) en als je het ding gewoon in de kluis laat liggen dan zijn de risico’s voor de eigenaar minimaal, mag ik aannemen. Het ligt in de kluis. Natuurlijk, als je portemonnees bewaart op een plankje achter de kassa dan wordt dat anders maar dat is gewoon dom en moet je dus niet doen. (Soms is juristerij makkelijk.) Er is dus niet a priori een eis dat die pasjes meteen vernietigd moeten worden.

Ten tweede speelt er naast de AVG – als die dus al geldt – ook nog gewoon andere wetgeving, zoals dat het strafbaar is om andermans eigendom te vernietigen. Nu is er in het recht de regel dat jonger recht (zoals de AVG) wint van ouder recht (zoals het wetboek van strafrecht), en ook de regel dat hoger recht (Europees) boven lager recht (Nederlands) gaat. Maar die regels spelen pas bij een conflict, en dat conflict is er pas als de AVG ondubbelzinnig zou zeggen dat die pasjes vernietigd moeten worden. En dat doet de AVG dus niet.

Arnoud

25 reacties

  1. De foute interpretatie wordt ook in de hand gewerkt door de privacy autoriteiten. Als je kijkt op de site van de autoriteit persoonsgegevens bijvoorbeeld hier: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/mag-u-persoonsgegevens-verwerken

    Totaal ontbreekt op deze pagina de informatie uit het eerste lid van de privacy verordening:

    1. Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

  2. Toch vraag ik mij af, in dit artikel wordt een stukje regels rond wetgeving uitgelegd: … Nu is er in het recht de regel dat jonger recht (zoals de AVG) wint van ouder recht (zoals het wetboek van strafrecht), en ook de regel dat hoger recht (Europees) boven lager recht (Nederlands) gaat. Maar… Hoe staat dit in verhouding tot: … In Nederland is de wet duidelijk: het is alleen strafbaar een gesprek op te nemen als je daar geen deelnemer aan bent – en ook niet opdracht van een deelnemer hebt om dat te doen. Maar in bijvoorbeeld Duitsland is het ook strafbaar om je eigen gesprekken op te nemen, tenzij de wederpartij daarmee instemt. (Wikipedia heeft een lijst per land.) Het … ( eerder artikel over opnames maken in een Uber )

    De AVG is een Europese maatregel, deze zou dus de landelijke wetgeving moeten “overrulen” omwille van “het hoger recht”. Hoe kan het dan dat andere Europese landen toch de eigen regels toepassen? Of is het ook hier nodig om via een rechtszaak een verfijning te krijgen?

    1. Eigen regels toepassen mag eigenlijk alleen nog als die naast de AVG staan (bv. ons commercieel portretrecht) of als de AVG dat toestaat (bv. onze regel dat gezondheidsgegevens naar verzekeraars mogen). Deze regels over strafbaarheid van opnames van gesprekken staan naast de AVG, omdat strafrecht een heel ander rechtsgebied is dan het civiel/bestuursrecht waar de AVG in zit.

    2. Wat ik daar wel weer een heel interessante van vindt is hoe dat binnen de EU werkt met afwijkende wetgeving. Ik neem alle privé gesprekken waarin ik (mogelijk) overeenkomsten aanga al jaren op. Commerciële partijen melden dat netjes als zij het doen en dan doe ik het ook (zonder te melden overigens). Bij partijen die het zelf niet melden, meld ik dat ik het opneem, al zou dat niet hoeven.

      Amerikanen en Duitsers gaan dan behoorlijk over de zeik, met de mededeling dat dat illigal/verboten is. Als ik aangeef dat dat waar ik ben volkomen legaal is dammen Duitsers meestal wel in, maar heb al amerikaanse bedrijven gehad die gingen dreigen met rechtzaken. Overigens prima, ik vertel ze dan vriendelijk dat ik mijn bestelling wel ergens anders doe omdat ik het verdacht vindt dat ze zich zo druk maken over een opname over gemaakte afspraken.

      Maar hoe zit het nu? Amerikaanse rechters zijn vrij arrogant en vinden dat ze overal wat te zeggen hebben, maar wat als een Duitser naar de rechter in Duitsland stapt omdat jeen gesprek opneemt, wat is daarover in de EU afgesproken?

      1. Als die Duitse rechter oordeelt dat dit onder Duits recht valt en onrechtmatig is, dan kan hij een schadeclaim opleggen aan jou en vanwege de EU kan dat dan zonder nadere tussenkomst van een Nederlandse rechter ten uitvoer worden gelegd. Dus de Nederlandse deurwaarder legt beslag op je bankrekening of neemt je auto mee omdat de Duitse rechter dat zegt.

        Punt is wel natuurlijk of jij in Nederland staande een Duitse wet overtreedt. De opname wordt hier gemaakt, dus hoezo valt dat onder Duits recht enkel omdat je wederpartij Duits is? Daar zie ik weinig heil in.

        1. De AVG gaat niet alleen over elektronische verwerkingen:

          Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
          Nog steeds niet van toepassing op deze casus, maar de conclusie “geen elektronische verwerking dus AVG niet van toepassing” is wat kort door de bocht.

  3. Was die winkelketen zich er wel van bewust dat het vernietigen van persoonsgegevens ook een vorm van verwerken van persoonsgegevens is? Dus als de AVG van toepassing zou zijn voor het bewaren van de portemonnee, dan is het net zo goed van toepassing op de vernietiging van betreffende portemonnee.

    1. Dat klopt natuurlijk, maar ik denk dat de regel “ongewenst verkregen persoonsgegevens mag je vernietigen” wel redelijk verdedigbaar is. Je bent dan verantwoordelijke voor die verkregen gegevens, je mag er niets mee (want geen grondslag) maar ze bewaren is ook een verwerking. Dus wat moet je dan? Dan lijkt me vanuit legitiem belang van de betrokkene ze vernietigen een verdedigbare keuze. (Natuurlijk niet in dit geval.)

    1. We gaan liever voor de makkelijkste weg. In dit geval, vernietig die portomonnee, dan hoeven we er niets meer mee.

      De “Regels” geven enkel grenzen aan wat de meeste mensen willen. Oftewel, bewaar de portomonnee voor de rechtmatige eigenaar maar kijk niet op zijn/haar pasjes om de naam in je klantenbestand te stoppen. En dat is ingewikkelder, en meer letters, dan de eerste optie.

      Dus krijgt de AVG de schuld van de ongewenste, maar makkelijke, oplossing die hier beschreven was…

      1. Kan jou hier alleen maar gelijk geen en ik zal zeker ook zo handelen. Doorgeschoten wet-geveningen. Ik vergelijk het vaak me teen experiment wat gehouden is in Rotterdam. de stoplichten voor de maastunnel, altijd file en ongelukken, altijd. Toen gingen er wat stuk en deden de stoplichten het niet meer…..En raad eens, geen files meer, en veel minder ongelukken.

        Volgens mij zegt dat wat over regelgeving en zelf-regulering. Ik kom daar niet meer maar volgens mij is het nog steeds zonder.

      1. Als ik winkel eigenaar zou zijn, had je het pakketje nooit mee gekregen, want jij bent je vrouw niet. Heeft niets met AVG te maken. En een email zegt niets. Kan je gewoon van de printer gejat hebben. Rare kwiebus ben jij, ongevraagd pakjes van je vrouw ophalen, vertrouw je haar niet?

        1. Zo verbaasde ik me dat ik bij een landelijke pizzaboer gewoon een bestelling (gedaan via internet) kon ophalen op naam van mijn vriendin, vooral omdat die naam groot op hun “bestellingstatus” beeldscherm stond in de zaak. Wel iets minder kans dat er gevoelige informatie in een pizza zit, dan in een willekeurig pakketje, maar toch.

          1. De bestelling is bescherm door een soort shared secret beveiliging tussen je vriendin en de pizzaboer. Het shared secret is dat er kort daarvoor (dus op een specifiek moment) door een bepaalde persoon een specifieke bestelling is gedaan. Jij bent gedeeld in het geheim van deze bestelinformatie en kan daarom veilig de bestelling ophalen. De rest van de wereld is onwetend over de bestelling van je vriendin.

            1. Ja, behalve dat ze het dus op een scherm in de winkel hebben hangen. Bestelling NAAM1 Gereed Bestelling NAAM2 5 minuten

              Logisch voor mensen die in de winkel een bestelling doen, maar mensen die online de bestelling doen kun je dus gewoon afvangen als willekeurige voorbijganger.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.