Smoelenboek belandt in supermarkt na overlast, school meldt datalek, is het dat wel?

Een filiaal van de Albert Heijn in Den Haag kon overlastgevende scholieren in de gaten houden nadat een smoelenboek van het Maerlant-Lyceum in de supermarkt was beland. Dat meldde Omroep West onlangs. De conrector loste het datalek adequaat op door het boek op te gaan halen en te vragen of de Appie voortaan gewoon de politie wil bellen als ze strafbare feiten ziet. Het blijkt te zijn gegaan om een papieren smoelenboek, dus dat gaf wat vragen bij de AVG-deskundige lezers.

Hoe kon dit boek daar terechtkomen?

Een oud-medewerker van de school heeft het boek aan de supermarkt gegeven. Daarmee konden medewerkers de foto, voor- en achternaam en schoolnummer van de leerlingen zien. ‘In het verleden heeft het filiaal onze hulp gevraagd bij de ongeregeldheden in de supermarkt’, vertelt tijdelijke rector van de school, Peter Reenalda. ‘Naar aanleiding van die vraag is het smoelenboek daar terechtgekomen.’
Het gaat dus echt om een papieren ding met kaft, geen app of online toegang tot het leerlingvolgsysteem. Nog steeds handig natuurlijk als je een vervelende scholier te pakken hebt en je wilt weten hoe die heet, even bladeren en je bent er zo uit. Het boek is bedoeld voor intern gebruik:
Het smoelenboek van de Haagse school wordt alleen onder een zeer beperkt aantal medewerkers verspreid. ,,We hebben op school een aantal exemplaren liggen. Voor een conciërge is het bijvoorbeeld heel handig bij het registreren van te-laat-komers ‘s ochtends. Dan hoef je dat niet allemaal in een computer op te zoeken.”
Ik ga er maar even vanuit dat het een alfabetisch (en op klas) gesorteerd overzicht is van namen, foto’s en schoolnummer. Het is een papieren document, dus dan is de AVG alleen van toepassing als het gaat om een ‘bestand’. Dat is (art. 4 lid 6 AVG):
elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
De eerste vraag is dan: is een lijst met foto’s en namen een “gestructureerd geheel”. Ik ben geneigd te zeggen van wel. Maar is het volgens “bepaalde criteria” (meervoud) toegankelijk? Ik neig naar nee, omdat je eigenlijk alleen op naam er in kunt zoeken. In een zaak uit 2005 bepaalde de Hoge Raad dat het enkel chronologisch ordenen van stukken over een persoon niet aan dit criterium voldoet. Maar die stukken waren zelf niet bepaald geordend of makkelijk door te zoeken, terwijl dat bij een lijst met scholieren wél het geval is.

In 2018 oordeelde het Hof van Justitie dat lijsten met namen en adressen van mensen die je deur-aan-deur wilt bezoeken (of juist niet) eronder vallen:

[Onder] het in deze bepaling gebruikte begrip ‘bestand’ ook valt een geheel van in het kader van een van-huis-tot-huisverkondiging verzamelde persoonsgegevens, bestaande uit de naam en het adres van en andere informatie over de aan huis bezochte personen, wanneer deze gegevens zijn gestructureerd volgens specifieke criteria die het in de praktijk mogelijk maken deze gegevens gemakkelijk terug te vinden voor een later gebruik ervan. Om onder dit begrip te vallen hoeft een dergelijk geheel geen steekkaarten, specifieke lijsten of andere ordeningssystemen te omvatten.
Een smoelenboek lijkt me evenzo bedoeld om “in de praktijk gemakkelijk de gegevens terug te vinden”, het hele punt is immers dat je gegeven een smoel wilt bepalen om welke persoon het gaat. Dus dan is het inderdaad een bestand, en is het een datalek als het bij een onbevoegde instantie terecht komt.

Wat dat laatste betreft: ja, het is aan Albert Heijn gegeven door een kennelijk bevoegd persoon, namelijk een medewerker die dacht dat dit een goed idee was. Maar dat is niet relevant bij de vraag of iets een datalek is. Daarbij gaat het er alleen om of de persoonsgegevens bij een onbevoegde partij terecht zijn gekomen, en niet of dat door misdrijf, per ongeluk of door een andere reden is gebeurd.

Arnoud

 

14 reacties

    1. Dan is het geen datalek maar ik zie de grondslag niet voor die verwerking door de school. Welke reden heeft de school om overlastgevers bij een Albert Heijn te willen identificeren? En wat gaan ze dan doen met de identificatie, die mogen ze niet aan de AH geven zodat die aangifte kan doen.

      Als de AH verwerker is, dan moet je alles bekijken vanuit perspectief van de verantwoordelijke, dus de school. Die doet dan de verwerking, dus zij moeten ook grondslag en alle andere randvoorwaarden goed zetten. Zou een conrector bij de AH mogen gaan staan de hele dag?

  1. Maar is het volgens “bepaalde criteria” (meervoud) toegankelijk? Ik neig naar nee, omdat je eigenlijk alleen op naam er in kunt zoeken.

    Kun je in een smoelenboek niet juist ook op basis van de foto zoeken? Dat is toch ook wat de supermarkt ermee beoogde; de naam bij het gezicht achterhalen? Weliswaar is op foto niet echt te sorteren (zoals dat wel op voor- of achternaam kan en zal gebeuren), maar docenten (en anderen die over het smoelenboek beschikken) kunnen zien welke naam bij welk gezicht hoort, maar ook welk gezicht bij welke naam.

    Misschien vergezocht, maar heeft de school niet een belang een goede buur te zijn voor de AH en overlast van haar leerlingen te voorkomen? En heeft de school geen zorgplicht, ook tijdens pauze-tijden? En waarom zou de school niet een conrector (of conciërge, docent) bij de plaatselijke supermarkt mogen laten posten tijdens pauze-tijd (of welke tijdspanne dan ook) om haar eigen leerlingen aan te spreken? Mag niet elke klant een andere klant in een winkel aanspreken op ongewenst gedrag?

    1. Het Maerlant-Lyceum heeft zo’n 1100 leerlingen volgens hun website. Bij zo veel foto’s is het niet echt werkbaar om snel een naam bij een gezicht te zoeken. Hoogstens om een gezicht en naw te zoeken bij een opgegeven naam.

      1. Is ‘snel’ een relevant criterium bij de bepaling of het doorzoekbaar is? De supermarkt kan de beveiligingsbeelden naast het smoelenboek houden en op z’n gemak matchen. De aw-gegevens waren niet aanwezig, voor zover ik weet.

        1. Het gaat erom of er enige poging is gedaan om zoekmogelijkheden of ingangen aan te brengen. Een stapel papieren uit iemands medisch dossier die alleen een datum hebben, is geen ‘bestand’ want daar zit hooguit één ingang op (datum), dat is die zaak uit 2005 hierboven. Zou je plakkertjes toevoegen per medische aandoening, behandelstap of iets dergelijks dan komen er meer criteria. De Jehova’s hadden briefjes met namen en adressen die ze op de muur plakten op een grote stadskaart, verdeeld over regio’s (jij wandelt daar, ik neem deze buurt) en op de briefjes stond “aanbellen ja/nee” afhankelijk van het vorige bezoek. Dat zijn wel meerdere criteria en dus een bestand, ook al kun je best lang bezig zijn op die muur voor je iemands specifieke vermelding gevonden hebt.

          1. Als ik je blog goed begrijp, zeg je enerzijds dat je alleen op naam kunt zoeken en anderzijds dat je op basis van een gezicht de naam erbij kunt vinden. Hoe zijn dit dan geen twee ingangen (en dus criteria, meervoud)?

            Beschikte de ex-medewerker over het smoelenboek omdat hem dat ter beschikking gesteld was of omdat het aan hem was gegeven? Als de ex-docent er rechtmatig over beschikte, is de AVG dan wel van toepassing op grond van artikel 2(2)(c) AVG? Zo nee, dan lijkt er geen sprake van een datalek als bedoeld in de AVG en is de supermarkt dan niet gewoon zelf verantwoordelijke voor de verwerking?

            1. Bij het schrijven van de blog meende ik nog dat je alleen op naam kon zoeken, maar Antigoon heeft me doen inzien dat zoeken op gezicht ook redelijkerwijs mogelijk is. Gevalletje voortschrijdend inzicht.

              De ex-schoolmedewerker lijkt het boek in het kader van zijn functie ter beschikking gekregen te hebben. Uit niets haal ik eigendomsoverdracht naar deze persoon in privé. Het zijn zoals in de blog vermeld boeken die bv. door de conciërge worden gebruikt, dus geen herdenkingsboeken of zo. En daarom zie ik het als zakelijke hulpmiddelen en geen privé-notitieboekjes, wat het soort informatie is waar 2(2)(c) AVG op slaat. Ja, je kunt zakelijk een privé-adresboek hebben maar als hoofdregel zou ik zeggen dat je die dan ook zelf maakt. Het telefoonboek in mijn zakelijke telefoon valt daar onder, de active directory van kantoor niet.

  2. Is het alleen de school die hier een melding van een datalek zou moeten doen? Of zou de AH ook melding moeten doen omdat ze persoonsgegevens in handen hebben gekregen en zonder goede grondslag gebruikt/verwerkt?

    En kan vervolgens de AP alleen optreden richting de school, of ook richting de AH?

    Vergelijk het ook met een vereniging die hun ledenbestand onrechtmatig verkoopt aan een bedrijf die vervolgens de leden onrechtmatig gaat spammen met advertenties.

    1. Een datalek is (art. 4 lid 12 AVG) “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. De beveiliging moet dus geschonden zijn en daarmee moet zo’n ongewenste/ongeoorloofde handeling hebben plaatsgevonden.

      Het hebben van persoonsgegevens in strijd met de wet is nog geen datalek, want dan is er nog geen beveiliging geschonden. Als AH dat boek netjes in de kluis had gelegd en de school had gevraagd het te komen halen, dan was zij geheel AVG compliant geweest. Maar ik zie het ook niet als datalek dat de beveiliger er in de kantine in gaat bladeren met de overlastgevende scholier tegenover hem. De beveiliger doet zijn werk, hij houdt het boek in de kluis tot het nodig is, hij kijkt zelf, de foto gaat niet voor het raam, welke schending van beveiliging vindt hier plaats?

      Dat men het boek niet mocht hebben, ontneemt de grondslag aan de verwerking en is een overtreding van artikel 5. Maar géén datalek. Ik zou zeggen: idem bij dat spammende bedrijf. Die heeft geen grondslag, mag de gegevens niet hebben. Maar welke schending van de beveiliging trad op?

      1. Ik neem aan dat de AP dan wel ook richting AH kan optreden wegens schending van artikel 5?

        Verder duidelijk m.b.t. het datalek, dank. (Maar als je de gegevens helemaal niet beveiligt, kan er dan ook nooit sprake zijn van een datalek? Dat zou wel raar zijn…)

  3. De school heeft de gegevens om het papieren smoelenboek te maken vast digitaal als bron. Deze gegevens zijn vast met een bepaalde grondslag en doelbeschrijving verkregen. In deze doelbeschrijving staat waarschijnlijk niet het mogen afgeven in papieren vorm aan een supermarkt. De school schendt daarmee de AVG, of het een datalek is of niet.

  4. Precies, als de doelbinding voor het smoelenboek was geweest “een naslag werk voor de leerlingen en als herkenningsmiddel voor de AH”, dan vraag ik mij af of ouders of leerlingen hun pasfoto hadden afgegeven. Het feit dat de conciërge hiervan gebruikt maakt is meer pragmatisch en valt binnen het goed functioneren van een “aanspreekmiddel” binnen een school. Buiten school ontbreekt mijns inziens de doelbinding bij bedrijven als AH en daarom strafbaar tenzij vermeld bij de samenstelling van het boek.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.