Een bedrijf dat software levert voor het maken van screenshots hoeft een gratis gebruiker onder de AVG geen screenshots te verstrekken, zo heeft de Geschillenkamer van de Belgische privacytoezichthouder GBA bepaald. Dat las ik bij Security.nl. De gebruiker beriep zich op zijn recht op dataportabiliteit, en dat werd als misbruik van recht aangemerkt.
Security legt uit:
De softwareleverancier biedt een gratis en betaald abonnement. Bij de betaalde versie kunnen gebruikers hun screenshots ook downloaden. De gratis versie biedt alleen een optie om gemaakte screenshots via de website van de leverancier te bekijken.Hoe screenshots precies persoonsgegevens zijn, laat ik even in het midden. De man beriep zich op zijn recht van dataportabiliteit of overdraagbaarheid van gegevens, artikel 20 AVG. Dit biedt inderdaad in de basis het recht om een kopie van je persoonsgegevens te krijgen, en wel “in een gestructureerde, gangbare en machineleesbare vorm”.
Vereist is wel dat het gaat om een geautomatiseerd proces, en dat de grondslag toestemming of uitvoering overeenkomst is. Bij dataverwerking op grond van legitiem belang kan dit dus niet. En het is ook beperkt tot gegevens die jij hebt verstrekt aan de verwerkingsverantwoordelijke, niet gegevens die zij maken of van elders verkrijgen. Het is wel omschreven als “het recht je Facebookfoto’s te kunnen downloaden”.
Nu kun je van screenshots wel zeggen dat jij ze verstrekt,. Wanneer jij op de knop drukt, start dat het proces van maken en uploaden. De grondslag uitvoering overeenkomst zie ik ook wel opgaan. Daar was ook geen discussie over, net zo min als over de vraag of door jou gemaakte screenshots persoonsgegevens zijn. (Meningen hierover zeer welkom.)
De discussie spitste zich toe op de vraag of de vraagsteller gratis een kopie er van kon krijgen. Dat moet, zowel van artikel 15 (inzagerecht) als van artikel 20 (dataportabiliteitsrecht). En je hoeft er geen reden voor op te geven. Het enige dat niet mag, is misbruik maken van het recht.
De toezichthouder ziet hier een vorm van misbruik. Ten eerste kun je de screenshots online inzien, dus de onderliggende zorg of alles wel klopt kun je daar prima adresseren. Ten tweede was de vraag nadrukkelijk gericht op het omzeilen van de abonnementstructuur van het bedrijf.
21. In dit geval wenst de klager gebruik te maken van een recht dat de AVG biedt om te profiteren van een ongerechtvaardigd economisch voordeel. Het downloaden van de screenshots die hij wil is een voordeel dat alleen wordt toegekend aan gebruikers die een betaalde licentie hebben van de software van de gedaagde. De klager beroept zich op zijn recht op toegang en zijn recht op gegevensportabiliteit om foto’s te downloaden, en dat verdraait de essentie van deze rechten.De motivatie snap ik, maar het roept wel de vraag op waarom dit niet zou mogen bij ‘gewone’ persoonsgegevens. Downloaden van je personeelsdossier kost 50 euro, ze bij ons op kantoor bekijken is gratis. Dit passeert toch vrij evident je recht op een kopie. Ik denk dat hier meewoog dat het een commerciële dienst is waarbij betalen geen raar iets is.
Vanaf 2 September 2025 is de Datawet (Data Act) van kracht. Deze geeft je het recht om data verworven door een “verbonden product” te verkrijgen van de datahouder. Gratis en in wederom zo’n machineleesbaar formaat. Dat ligt dan meer voor de hand bij deze dienst – zij het dat er voor de Datawet een fysiek product nodig is dat je verkocht is door de datahouder. Dat gaat dus niet op bij een screenshotapp.
Arnoud
Het bedrijf heeft dus een business model dat indruist tegen de AVG, maar de burger is de persoon die misbruik maakt?
Dus Facebook moet je al jouw foto’s gratis machine readable laten downloaden, terwijl Facebook een veredelde fotoboek is. Maar als facebook dit als een betaalde premium abonnement aanbiedt, maakt de burger misbruik als het zijn recht opeist?
En wat van alle slimmeriken die bij de BKR gratis hun persoonsgegevens opeisen, terwijl zij liever geld hebben voor jouw gegevens? Misbruikers?
Nee, ik volg deze uitspraak niet.
Ik volg je comment niet, want inzien bij BKR is juist gratis?
De rechten van de AVG zijn niet absoluut boven alles, maar moeten zich verhouden tot andere rechten, zoals vrijheid van ondernemen. Bij de BKR valt zo’n belangenafweging anders uit (je heb daarin zelf geen vrije keus & de gegevens hebben concreet invloed op andere acties in je leden) dan bij een app die je zelf uitkiest om zelf screenshots mee te maken en waarvan het businessmodel vooraf helder is, dat is volledig je eigen keus om daar gebruik van te maken.
Facebook zit er tussenin – je kiest er wel voor, maar omdat het platform dusdanig groot is, is er een argument dat je volgens sommigen “er wel op moet” om bij bepaalde sociale activiteiten aangesloten te blijven. Dat geldt natuurlijk niet voor een screenshot-app.
Het heeft bij de BKR juist veel moeite gekost om ze mee te laten werken. De AVG kwam, en hun business model waarbij je mocht betalen om je eigen gegevens in te zien ging onderuit. Het gratis inzien hebben ze aanvankelijk flink zitten tegenwerken: aanvraagformulieren en lange verwerkingstijden, óf … toch lekker €12,50 betalen voor een het direct en digitaal inzien.
Gelukkig is er toen geen toezichthouder geweest die riep, ja, die burger misbruikt de AVG om gratis zijn gegevens bij BKR in te zien. En is er dus een stokje voor gestoken, waardoor je nu – dankzij de AVG – gratis én makkelijk én snel bij je gegevens kan.
Verder is er strikt formeel niet heel veel verschil tussen BKR, Facebook en de screenshot-app-aanbieder. Je geeft uiteindelijk zelf toestemming om je gegevens te laten bijhouden. Je kunt inderdaad moeilijker om BKR en Facebook heen. Maar omdat de screenshot-app-aanbieder een vrijere opt-in is, is het ineens misbruik om gebruik te maken van je rechten? Nee, vind ik.
Ik vind de redenering van de GBA moeilijk te volgen. Mijn conclusie zou dezelfde zijn, maar gebaseerd op de stelling dat hier een legitieme gratis/premium verdeling is. Ze vragen niet geld voor de screenshots enkel om je AVG-rechten te ondermijnen. Ook weegt voor mij zwaar dat screenshots nauwelijks persoonsgegevens te noemen zijn. Dat zijn ze hooguit omdat ze in jouw account zitten, en zó ver oprekken gaat zelfs mij te ver.
Ik kan me voorstellen dat een screenshot op zich geen persoonsgegevens is. Maar een de inhoud van veel screenshots zullen toch wél persoonsgegevens bevatten?
Maar heb je dan recht op een kopie van het document met persoonsgegevens of op een kopie van de daarom vermelde persoonsgegevens?
Van je persoonsgegevens. Maar je krijgt meteen de discussie wat een persoonsgegeven is. Is die blog hier bovenaan bijvoorbeeld een persoonsgegeven van mij, of alleen de aanduiding “Arnoud” onderaan? Die blog is van mij, maar het voelt raar om de blogtekst als een gegeven over mij aan te merken.
Dezelfde discussie kunnen we voeren met jouw comment. Is deze gehele pagina een persoonsgegeven van jou, want dit is de context waar je reactie in staat. Of eindigt dit bij de rechthoek om jouw specifieke reactie? De reactie waar jij op reageert, is wel logisch verbonden aan jouw gegeven.
Dus volgens mij moet je óf zeggen “alleen datgene dat direct over de persoon gaat”, dus jouw naam naast het bericht en verder niets, óf “alles dat redelijkerwijs daarmee samenhangt” en dan is deze gehele webpagina jouw persoonsgegeven. Alle andere criteria zijn arbitrair en niet te onderbouwen anders dan door te wuiven naar de redelijkheid en omdat-ik-het-zeg.
Maar het feit blijft dat de AVG het recht geeft om de gegevens te downloaden. Het zou wel zeer onwenselijk zijn als je daar als ververker door middel van een ‘gratis/premium kunstgreep’ onderuit kunt komen.
Kort gesteld is dat echter wel hoe ik jouw argument en dat van de GBA begrijp.
En het feit dat screenshots wel of geen persoonsgegevens zijn, hangt af van de inhoud, en nog meer IN COMBINATIE MET metadata over dat screenshot. Daar kun je dus niet zomaar over oordelen.
Een screenshot van je afspaakgegevens bij een SOA-kliniek, is dat geen persoonsgegeven? Of van een Teams-meeting met camerabeelden van jezelf en de andere deelnemers? Of van nu.nl op moment X vanaf een computer met IP-adres….?
Dat recht heb je tenzij sprake is van misbruik, dat staat er expliciet bij. De discussie moet dus gaan over of dit misbruik is.
Voor mij weegt dus zwaar dat het nauwelijks persoonsgegevens te noemen zijn, natuurlijk kán dat maar dit is wel echt een andere categorie dan mijn medisch dossier bij de huisarts.
Verder is dit geen opzichtige truc om de AVG buiten spel te zetten maar een dienst over iets heel anders met een duidelijk gratis/premium model. Ik vind dat een relevante factor.
Prima, maar het argument ‘misbruik’ zal dan toch door de verdediging gemaakt moeten worden, Dat argument is echter door de verdediging niet gemaakt (althans niet volgens de beslissing), maar ex-officio door de geschillenkamer. Da’s al twijfelachtig.
En bovendien zie ik maar heel magere objectieve feiten in de beslissing die op misbruik wijzen. De genoemde feiten passen weliswaar in een misbruikscenario, maar zijn lang niet voldoende (IMHO natuurlijk) om een intentie van misbruik aannemelijk te maken.
Hierbij speelt mee dat het niet aan de klager is om een AFwezigheid van een intentie tot misbruik te bewijzen, maar aan degene die ‘misbruik’ inroept om dat hard te maken.
Met name de portabiliteit (in een gestructureerde, gangbare en machineleesbare vorm) was er in deze case niet. In punt 18 van de beslissing staat weliswaar dat het niet lijkt dat de klager de gegevens aan een andere verwerker wil geven, maar er worden geen feiten gegeven die dat ondersteunen, en het is ook heel goed mogelijk dat de klager dat wel wil (bijvoorbeeld op zijn OneDrive zetten) of in de toekomst zal willen, dus ik vind dat maar een heel mager argument.
Dus tenzij er allerlei info ontbreekt in de beslissing, blijft het erop lijken, voor mij toch, dat de simpele aanwezigheid van een betalende downloadoptie de beslissende factor is geweest.
Dat vind ik een erg twijfelachtige redenering. Het recht op dataportabiliteit is naar mijn weten oorspronkelijk geintroduceerd omdat bedrijven commercieel gewin haalden uit de onmogelijkheid om je data over te zetten naar een andere dienst. Traditioneel wordt dat gewin behaald door middel van vendor lock-in (je levert meer geld op omdat je niet weg kunt), maar hier wordt er commercieel gewin behaald door een premiumfeature (je levert meer geld op omdat je anders je screenshots niet onafhankelijk kunt bewaren).
Persoonlijk zie ik daar heel weinig verschil tussen, het verschil zit hem vooral in de framing, maar uiteindelijk wordt er nog altijd commercieel gewin behaald uit je persoonsgegevens zonder dat je daarin een vrije keus hebt – en het doet me sterk denken aan de AVG-muurconstructies waar je moet kiezen tussen tracking of een betaald abonnement (die ook al herhaaldelijk afgeschoten zijn om vergelijkbare redenen).
Wat een vreemde redenering. Het is wel degelijk je eigen vrije keuze om screenshots te maken/bewaren bij die dienst, die speciaal features biedt om dat handig te doen. Dit is geen bijproduct ofzoiets (zoals het personeelsdossier-voorbeeld wat ik in een andere reactie las). Dit is hun core business.
Er is ook geen sprake van een monopolistisch platform zoals het Facebook-voorbeeld wat je aanhaalt, dus die vergelijking gaat ook scheef.