Misschien doet handhaven op informatieplichten wel meer pijn dan op toestemming/belang?

Whatsappen met Wopke Hoekstra? Bellen met Kajsa Ollongren of Carola Schouten? Het kan dankzij Lusha, een onlinedienst die mailadressen en telefoonnummers van het internet plukt. Zo opende Trouw onlangs. Met deze vage dienst zijn mobiele telefoonnummers te vinden van vele, vele mensen. En er is een handige browser plugin waarmee je het telefoonnummer meteen ziet als je iemands social media profiel bezoekt. Natuurlijk is er geen toestemming gevraagd want even zo natuurlijk ziet het bedrijf hier een eigen legitiem belang – fraudebestrijding. Ik word zo moe van die discussie, dus laten we het eens over de informatieplichten hebben.

Een van de grondslagen om onder de AVG met persoonsgegevens te kunnen werken is het eigen legitiem belang. Je zegt dan grofweg, ik heb gewoon een eerlijke reden om dit te mogen doen en ik houd rekening met je privacy, maar dit moet gewoon kunnen. Dat “ik houd rekening met je privacy” is belangrijk; je moet wel waarborgen inbouwen en rekening houden met bezwaren.

Wat zijn nou “eerlijke redenen”? Nou ja, fraudebestrijding dus bijvoorbeeld. Net als netwerkbeveiliging of beschermen van eigendom, de reden dus dat je security monitoring of cameratoezicht mag inzetten. In principe, want je moet dus die afweging maken. Honderd camera’s op de werkvloer gaat hem dus niet worden, dat is niet proportioneel in die afweging ook al heb je eigendommen te beschermen.

Ik roep altijd dat je niet om toestemming moet vragen (tenzij je een nieuwsbrief hebt), en dat blijf ik ook nu doen. Lusha kiest volgens mij inderdaad de juiste grondslag. Ik geloof er vervolgens direct geen bal van dat ze die afweging hebben gemaakt, ze citeren een stukje AVG en produceren een leuterverhaal zonder onderbouwing – ik was blij verrast dat de Trouw-journalist dat keurig affakkelt overigens. Maar ik zie wel hoe je een lange discussie kunt krijgen over de inhoud van zo’n afweging.

De insteek van professor Zwenne (geciteerd in Trouw) is een veel simpeler én effectiever: je hebt als betrokkene het recht geïnformeerd te worden voor of bij het eerste gebruik van die gegevens. En dat is dus niet “wanneer je gebeld wordt” maar “wanneer Lusha je nummer in hun database stopt of via de API opvraagt bij vagedatabases.kremvax.ru”. En dat is niet gebeurd, zeker weten. Dus daarmee overtreedt Lusha keihard de AVG, en als ze een jurist hadden ingehuurd (nee, ik had ze lachend naar buiten gewezen) dan hadden ze dat geweten.

Blijft natuurlijk het probleem van handhaving: het is een Amerikaans-Israelisch bedrijf, dus een boete opleggen en incasseren is een lastig traject. Ik kon zo gauw geen Nederlandse bv ontdekken waar royalties (de Dutch/Irish sandwich) doorheen gaan of iets dergelijks, in ieder geval.

Wel is het natuurlijk zo dat iedereen die Lusha zakelijk gebruikt, automatisch de AVG overtreedt. Ja, ook als jij zelf wél een duidelijk onderbouwd gerechtvaardigd belang hebt én mensen meteen informeert dat je nummers bij Lusha inkoopt. Want naast die specifieke regels is er ook artikel 5, de basisprincipes. En eentje daarvan is “rechtmatig, behoorlijk en transparant”. Het is natuurlijk niet rechtmatig of behoorlijk dat je gegevens inkoopt bij een bedrijf dat zo duidelijk de AVG overtreedt. Ook niet als je een vrijwaring hebt opgenomen bij een garantie van Lusha dat ze de AVG wél naleven.

Arnoud

32 reacties

  1. Tegen Lusha is (als particulier) niet veel te doen dus. Maar als je nu gebeld wordt door een Nederlands bedrijf, kun je dan eisen dat ze je vertellen waar ze je nummer vandaan hebben? En als dat dan Lusha is ze bij de ACM aanmelden en/of zelf een AVG zaak tegen ze starten?

  2. De insteek van professor Zwenne (geciteerd in Trouw) is een veel simpeler én effectiever: je hebt als betrokkene het recht geïnformeerd te worden voor of bij het eerste gebruik van die gegevens. En dat is dus niet “wanneer je gebeld wordt” maar “wanneer Lusha je nummer in hun database stopt of via de API opvraagt bij vagedatabases.kremvax.ru”. En dat is niet gebeurd, zeker weten. Dus daarmee overtreedt Lusha keihard de AVG, en als ze een jurist hadden ingehuurd (nee, ik had ze lachend naar buiten gewezen) dan hadden ze dat geweten.
    Als ik naar Google Maps ga en inzoom op een gebied zie ik honderden bedrijfsnamen staan. Dat kunnen grote bedrijven zijn zoals KFC of Media Markt, maar inzoemen op een willekeurige woonwijk in een dorp, laat vele bedrijfsnamen zien die zijn gekoppeld aan een woonhuis. Deze informatie heeft Google gevonden via diverse bronnen. Google heeft de betrokkenen niet geinformeerd toen ze deze informatie in hun database stopten of hadden opgevraagd via een API bij de KvK.

    Overtreedt iedereen die zakelijk Google Maps gebruikt nu automatisch de AVG, of is er een duidelijk verschil tussen de beide situaties?

    1. Mogelijk zit het verschil in dat een bedrijfsnaam en -adres niet perse als persoonsgegeven wordt gezien, ook niet als het adres tevens het woonadres van de ondernemer is. Uiteindelijk is en blijft “ICTRecht, Jollemanhof 12, Amsterdam” het adres van mijn bedrijf. Dat ik er zelf ook woon, maakt dat adres niet óók een persoonsgegeven. (Even los van dat het een bv is.)

      Daar staat tegenover dat mijn 06 of mijn zakelijk mailadres wél evident een persoonsgegeven is. Dat betreft immers altijd enkel en alleen mij. Dus daar zou dan het onderscheid in zitten.

  3. Volgens mij gaat de constatering dat Lusha de AVG zou overtreden toch iets te snel. Voordat een bedrijf de AVG kan overtreden, moet de AVG eerst van toepassing zijn. Ik zie niet op basis van welke grond uit art. 3 AVG Lusha onder de werking van de AVG zou vallen. Lusha is, voor zover ik kan zien, een Amerikaans/Israëlisch bedrijf en heeft geen vestiging binnen de EU/EER. Bedrijven die wel onder de territoriale scope van de AVG vallen mogen Lusha niet (zomaar) gebruiken, maar dat Lusha zelf de AVG zou overtreden, dat zie ik niet onmiddelijk. Mogelijk is de bewering dat je voldoet aan de AVG terwijl dat niet zo is een overtreding van het Amerikaans handelsrecht, maar dat lijkt mij eerder een zaak voor de FTC.

    Dat alles natuurlijk los van het feit dat het wel zeer wenselijk zou zijn als dit soort activiteiten wel onder de scope van de AVG zou vallen.

    1. Dat is een terecht punt. Het viel me op dat zij zelf denken van wel, en hebben zelfs een vertegenwoordiger ex art. 27 gesteld. Dus daardoor zou je kunnen concluderen dat je ze mag aanspreken op de GDPR. Het kan goed zijn dat ze dit doen voor de bühne, en dat zodra je met een claim komt je het antwoord krijgt “ja nee maar we vallen er niet écht onder”.

      Ik denk dat het ook naar Europees recht een misleidende handelspraktijk is als je zegt dat je onder de GDPR valt en dat je als consument dus alle rechten onder de GDPR hebt. Art. 6:193c lid 1 sub g, onjuist informeren over de rechten van de consument). Is nog nooit getest, en het probleem blijft waar je de boete of schadeclaim gaat halen als er geen bezittingen in de EU zijn waar je beslag op kunt laten leggen.

      1. Dat is een veelgehoord misverstand (een misverstand dat waarschijnlijk ook een verklaring is voor de bewering van Lusha dat zij onder de AVG zouden vallen), maar die opvatting is onjuist. De AVG is alleen van toepassing als: 1) de verwerker of verwerkingsverantwoordelijke in de EU/EER is gevestigd. (Art. 3(1) AVG); 2) De verwerkingsverantwoordelijke of de verwerker niet is gevestigd in de EU, maar de betrokkene zich wel in de EU bevindt én de verwerker een dienst of goed aanbiedt aan de betrokkene zelf. (Art. 3(2) onder a AVG); 3) Een verwerkingsverantwoordelijke of verwerker die niet is gevestigd in de EU, het gedrag van betrokkenen die zich in de EU bevinden monitort (Art. 3(2) onder b AVG); 4) Een verwerkingsverantwoordelijke buiten de EU is gevestigd, maar het recht van een lidstaat wel van toepassing is op grond van een bepaling van internationaal (publiek)recht. (Art. 3(3) AVG). Volgens mij krijg je de redenering dat een van deze vier mogelijkheden van toepassing is niet rond.

        (Edit: Mijn puntkomma’s lijken te verdwijnen uit mijn reactie. Feature of bug?)

        1. Ja. Ik zit nu te kijken naar overweging 24 en zie heel misschien ruimte als je dit breed gaat lezen:

          (24) De verwerking van persoonsgegevens van betrokkenen in de Unie door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker moet ook onder deze verordening vallen wanneer dat verband houdt met het controleren van het gedrag van de betrokkenen voor zover zich dat binnen de Unie situeert. Om uit te maken of een verwerking kan worden beschouwd als controle van het gedrag van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet worden gevolgd, en onder meer of in dat verband eventueel persoonsgegevensverwerkingstechnieken worden gebruikt waarbij een profiel wordt opgesteld van een natuurlijke persoon, in het bijzonder om besluiten ten aanzien van hem te nemen of om zijn persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen.
          Dan zou je dus zeggen, die plugin ‘volgt’ mensen want elke keer als je op een pagina komt over mij, dan laat Lusha mijn nummer zien. Maar is beetje omgekeerd kijken. Een profiel van mij bouwt Lusha nou net niet op…

          Zou die vertegenwoordiger wellicht als hun bestendige vestiging te zien zijn?

          1. Ik denk dat je zo niet kunt redeneren. Je interpreteert overweging 24 eigenlijk alleen op die manier omdat je bij nader inzien van mening bent dat alle verwerkingen van persoonsgegevens van betrokkenen binnen de EU onder de AVG zouden moeten vallen. Als de wetgever dat had gewild, dan had de wetgever dat moeten opschrijven in art. 3.

            De vertegenwoordiger is inderdaad het muizengaatje voor de toezichthouders. Alhoewel ik die route ook problematisch vind. Die vertegenwoordiger zit daar waarschijnlijk alleen maar omdat Lusha dwaalt omtrent het recht. Daar een vestiging in de EU uit afleiden, is in feite zeggen dat wie dwaalt omtrent het recht, gebonden is aan het recht zoals dat volgens hem/haar zou gelden. Dat lijkt mij een uitgangspunt met verstrekkende en zeer ongewenste neveneffecten.

            Ik vind ook dat dit type verwerking onder de AVG zou moeten vallen, maar volgens mij kan zo’n fundamentele wijziging van de reikwijdte van de AVG alleen als de wetgever dat expliciet in de verordening opneemt.

        2. Nou breekt mijn klomp.

          Ik heb twee jaar geleden Arnouds boek ‘Handboek AVG’ gekocht, en daar staat toch duidelijk in (p.11, 3e bulletpoint) en derde paragraaf: ‘wanneer men zich richt op de EU en daarbij gegevens verwerkt van personen die zich fysiek in de EU bevinden, verklaart de AVG zich namelijk van toepassing ongeacht waar men zich bevindt’

          Of zeg je nu dat Arnoud’s boek niet klopt?

          1. Hoe is het mogelijk om de AVG van toepassing te verklaren op een bedrijf dat zich niet binnen onze jurisdictie bevindt? Is het hele idee van een onafhankelijk land niet dat diens wetten aldaar van toepassing zijn? Wij kunnen toch ook niet onze regels over minimumloon of zo van toepassing verklaren op Chinese bedrijven? We kunnen natuurlijk wel zeggen “Je producten komen bij ons de grens (grens, iets met jurisdictie) niet over als je niet aantoonbaar aan deze regels voldoet”, en dan kan dat bedrijf ervoor kiezen wel of niet aan die regels te voldoen, maar we kunnen het toch niet veplichten? Ik begrijp oprecht niet hoe de AVG van toepassing kan zijn als dat bedrijf niet vanuit een Europees land opereert.

          2. Nee, dat denk ik niet. Ik heb het handboek nu niet voorhanden, maar op basis van jouw citaat zou ik zeggen dat de vraag is hoe je ‘richten op de EU’ interpreteert. Ik lees dat niet als: iedereen die (toevallig) een klant heeft in de EU, valt onder de AVG. ‘Richten op’ impliceert een actieve handeling; een actieve benadering van de markt. Zo bezien klopt wat er in het handboek staat eigenlijk wel. Daarbij komt dat een handboek slechts een hulpmiddel bij het interpreteren van de wet is. De primaire bron blijft de tekst van de wet zelf.

            1. Ik weet ook wel dat het handboek een hulpmiddel is.

              Richten op is inderdaad actief. Lusha richt zich op NL (niet in het minst omdat er gegevens van bekenden NL’s worden aangeboden). Het enige punt is dat de dienst van Lusha niet aan de betrokken wordt aangeboden, maar aan anderen.

              Op die manier blijft datahandel van privacygevoelige data supermakkelijk. Zolang je buiten de EU zit en je diensten aanbiedt aan anderen dan de betrokkenen (en dat zal altijd zo zijn, want de betrokkenen hebben de data immers al dus die willen niets kopen), mag het dus gewoon?

              Dat kan toch ook niet de bedoeling zijn?

              1. Dat is ook zeker niet de bedoeling. Alleen, wat ga je doen als een bedrijf nul band met de EU heeft? Waar ga je heen met je verbod of je boete? Dat heeft geen effect, dus daar heb je dan praktisch gezien geen rechtsmacht. Dan moet je ook niet in je wet zetten dat je dat wel hebt.

                Het is wel zo dat Europese bedrijven geen zaken kunnen doen met zulke schimmige datahandelaren. Net zoals je geen zaken kunt doen met kinderarbeidbedrijven, ondanks dat dat wellicht onder lokaal recht toegestaan zou zijn. Dus het probleem zou relatief beperkt moeten zijn: merk jij het als een Braziliaan jouw telefoonnummer verkoopt aan een Amerikaans bedrijf dat jou vervolgens niet belt, smst of anderszins benadert met dat nummer?

  4. Wat zijn die bronnen waar dit bedrijf die gegevens uit tovert? Op enig moment moet je toch als persoon zelf je telefoonnummer ergens hebben toegevoegd, op een of andere social media site zoals LinkedIn of zoiets. Begrijp me goed, ik keur dit allemaal absoluut niet goed, maar ik denk wel dat als je zelf als persoon je telefoonnummer op LinkedIn hebt gezet, dat je er een beetje om vraagt gebeld te worden (waarom anders je telefoonnummer laten zien?). Als je je naam en nummer laat publiceren in de telefoongids accepteer je daarme toch ook dat je op enig moment gebeld kan worden door iemand; die hoeft daarvoor toch ook niet eerst je toestemming te hebben? Wat is het verschil met je nummer op LinkedIn zetten, waarbij dit bedrijf dan voor haar gebruikers het opzoeken van dat nummer uit handen neemt? Wederom, ik vind die handel in persoonsgegevens walgelijk, maar is het niet vooral ook je eigen schuld?

    1. Da’s een goeie vraag, dit is waarom Lusha je moet informeren. Nu moet ik gaan raden of ze het van LinkedIn hebben geplukt (kan me niet herinneren mijn 06 te hebben ingevuld, maar misschien ooit vanwege tweefactorauthenticatie), of ze WhatsApp-data hebben aangekocht of een gekraakte omgekeerd-zoeken-telefoongids van een schimmig persoon in regenjas hebben gekregen.

      Ik denk niet dat het “eigen schuld” is als ik een betrouwbaar ogend bedrijf gegevens verstrek voor een legitiem doel en dat bedrijf belooft daar verder niets mee te doen. Als ik op LinkedIn zeg “bel me als je een juridische vraag heb” dan wil ik niet door energieleveranciers gebeld worden of een recruiter die junior juristen kan plaatsen bij Zuidaskantoren (“Dag Engelfriet, ik las je profiel en je past perfect bij deze stage”, ja echt waar gekregen).

      1. Als je aan LinkedIn je telefoonnummer geeft t.b.v tweefactorauthenticatie, en LinkedIn verkoopt vervolgens die gegevens of maakt ze ongevraagd raadpleegbaar, dan zit LinkedIn natuurlijk duidelijk fout, maar dan moet je bij hen zijn. Ik vind namelijk ook dat als je van een betrouwbaar ogend bedrijf informatie betrekt, dat je er van uit mag gaan dat aan de jusite voorwaarden is voldaan. Kan Lusha kortom zeggen “Wij voldoen, want onze data-bron voldoet”? Als ik een auto koop bij een autodealer mag ik er ook van uit gaan dat die voldoet aan de eisen uit de wet, dat hoef ik volgens mij niet expliciet nog zelf te controleren. De vraag van MvG is in dit kader bijzonder interessant, want vallen ze eigenlijk als puntje bij paaltje komt wel onder de GDPR? Als ze geen enkele juridische entiteit is waarop je eventuele schade zou kunnen verhalen, dan lijkt het me duidelijk dat ze er niet onder kunnen vallen, er is dan immers geen entiteit die onder dat recht valt.

      2. Het gaat om publieke personen, daar zijn de privacyverwachtingen anders.

        Als je twintig jaar geleden gezegd zou hebben ‘ik kan je de privenummers van ministers leveren’ zou de reactie geweest zijn… ‘zo, dat is knap speurwerk’.

        En zo voelt het voor mij nog steeds wel een beetje.

        Ik begrijp wel dat er privacyproblemen aan zitten, maar ik heb ook veel bewondering voor het speurwerk.

        Ben ik nou de enige met zo’n gevoel?

        1. Dat zie ik wel. Toegang tot dergelijke gegevens was in die tijd best lastig, en het was dus een knappe prestatie. Net zoals een antecedentenonderzoek een hoop werk was; was dat onderdeel van jouw sollicitatie dan had je dus een pittige baan (bij de BVD wellicht, of sleutelfunctie bij de overheid). Nu haalt iedere Ingrid van HR de sollicitanten door Google en leert ze meer dan zo’n onderzoeker twintig jaar geleden.

          Het is denk ik vooral hoe het wordt gebruikt. Onthullen dat je iets hebt, is één ding. Maar zo’n journalist ging de minister niet bellen lijkt me. Misschien Mies Bouwman, om te laten horen dat het kon. Nu worden wij allemaal massaal geïmporteerd en krijgen we armzalige reclame-sms en zogenaamde getargete boodschappen. Ik weet het niet hoor, de nieuwigheid is er wel een beetje af.

    2. Ik hoorde op BNR dat een van de bronnen de Simpler app is. Die maakt backups van je contactlijst maar de voorwaarden geven blijkbaar toestemming om die gegevens ook door te verkopen. De eigenaar van het telefoonnr hoeft het dan niet zelf publiek gemaakt te hebben.

    3. als je zelf als persoon je telefoonnummer op LinkedIn hebt gezet, dat je er een beetje om vraagt gebeld te worden (waarom anders je telefoonnummer laten zien?).

      Bijvoorbeeld voor de drietrapsbeveiliging, met iets wat je weet (wachtwoord) en iets wat je hebt (telefoon). Een of andere EU-regel maakt die steeds meer verplicht. O.a. PayPal kom je al niet meer in zonder een telefoonnummer bekend te maken.

      1. Dat is niet waar ik het over had met “op LinkedIn zetten”. Als je je telefoonnummer verstrekt t.b.v tweefactorauthenticatie dan is dat iets anders als je contactgegevens inclusief telefoonnummer in je LinkedIn profiel zetten. Telefoonnummers die je verstrekt voor het doel van authenticatie mogen, terecht, niet gebruikt worden voor iets anders als die authenticatie. Als je je telefoonnummer daarvoor gebruikt wordt het voor zover ik weet ook niet zichtbaar gemaakt aan bezoekers. Wat ik bedoelde met “op LinkedIn zetten” is in je profiel zetten “Hallo ik ben Gregorius, ik woon aan de Straatweg in Dorpstad, bel me op 06-12345678”.

        1. Ik zit best veel op Linkedin maar zie echt niemand die dat doet, een enkele fanatieke coach op zoek naar werk daargelaten. Ik heb niet het gevoel dat Lusha het van de coaches moet hebben. Ik lees elders dat ze adresboekenbackups scrapen met een beroep op de gebruiksvoorwaarden die die zin over zorgvuldig geselecteerde derden bevatten. Onzin natuurlijk.

          1. Dat las ik ook in een andere reactie ja, een andere app onder een andere naam die je dan toestemming geeft om je contact-informatie te verkopen. Smerige truuk, alleen hoe ga je het verbieden als dat bedrijf niet onder Europees recht valt?

  5. Blijft natuurlijk het probleem van handhaving: het is een Amerikaans-Israelisch bedrijf, dus een boete opleggen en incasseren is een lastig traject.

    Kan de AP of een gedupeerde niet van providers (xs4all, ziggo, etc.) eisen dat een dergelijke site niet meer wordt getoond? Net zoiets als bij Piratebay.

    1. Ik zie geen juridisch bezwaar tegen die route, mits natuurlijk vaststaat dat die site net zo hard de AVG overtreedt als de Pirate bay het auteursrecht. (Dus grofweg 95% van alle verwerkingen/handel aldaar is evident en grof tegen de AVG, niet slechts een detail die een miniem artikel overtreedt). De Kansspelautoriteit kan ook al zoiets met illegale goksites. De vraag is denk ik vooral, willen we dat autoriteiten bij tussenpersonen allerhande lijsten gaan aanleggen van te blokkeren sites? Welke wetten wel en welke niet?

      1. Daar zou ik dan zelf weer sterk op tegen zijn, want dat is gewoon censuur, namelijk de overheid (of een semi-onafhankelijk uitvoeringsorgaan of wat ook) die gaat bepalen wat mensen wel en niet mogen bezoeken en bekijken op het Internet. Als de wet overtreden wordt, dan moet je de bron aanpakken (ter vergelijking, we gaan ook niet sites die kinderporno hosten alleen maar blokkeren bij providers, die sites haal je uit de lucht en je vervolgt de eigenaren), en niet de neutrale positie als doorgeefluik van de providers aantasten. Als die site dus onder de AVG valt, kan die gewoon aangepakt worden. Als die site niet onder de AVG valt, dan moet je die misschien gewoon met rust laten (wij accepteren het ook niet als een buitenlandse staat hier haar wetten wil gaan opleggen. Zouden wij het accepteren als Saudi-Arabie hier het gebruik van alcohol komt verbieden omdat dat aldaar verboden is?). Wellicht is het wel mogelijk om bijvoorbeeld Google en Apple ertoe te bewegen ervoor te zorgen dat de play/app store op een veel duidelijker en eenvoudiger manier weergeven hoe een app omgaat met je persoonsgegevens, met een beperkte set eenvoudige icoontjes of zo, net zoals je op producten in de supermarkt ziet. Dus een rood icoontje als een app je persoonsgegevens verkoopt aan derden, een gele als die het alleen maar zelf gebruikt, en een groene als die er van af blijft, zoiets. De kern van het issue zit ‘m namelijk volgens mij in die adresboek-backup-app die gebruikt is als databron. Zonder zo’n bedenkelijke truuc met zo’n data-slurper-app zou dat bedrijf alleen uit echt openbare bronnen informatie kunnen ophalen en daar lijkt me geen bezwaar tegen op zich.

        In elk geval, het optuigen van een systeem dat zo eenvoudig censuur mogelijk maakt lijkt me sterk ongewenst. Onze overheid kennende duurt het geen jaar voordat de helft van het Internet geblokkeerd is, ze zijn er nogal happig op in Den Haag om te willen bepalen wat mensen wel en niet zouden moeten doen.

  6. Als je lusha gebruikt, bijvoorbeeld als browser plug-in, en toepast bij het gebruik van LinkedIn, krijg je vaak gewoon de informatie (email en telefoonnummer) terug die de LinkedIn-gebruiker zelf in zijn/haar profiel heeft geplaatst….

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.