De politie heeft festival Orbit om hulp gevraagd in de zoektocht naar getuigen van een dodelijk ongeluk in Bunnik. Dat meldde RTV Utrecht onlangs. Die stuurde alle aanwezigen een mail met de vraag “of iemand die wat gezien heeft, dat bij de politie wil melden.” Kennelijk waren jullie allemaal daar, want ik kreeg nogal wat vragen “mag dat van de AVG”. Oké, omdat het nog zomervakantie is.
RTV Utrecht geeft achtergrond:
Op 26 juli botsten kort voor middernacht twee auto’s op elkaar op de A12 bij Bunnik. Een 31-jarige vrouw uit Utrecht raakte zwaargewond en overleed later aan haar verwondingen. … Eerder meldde zich al een getuige bij de politie. Diegene was onderweg naar huis na het muziekfestival. Dat bracht de politie op het idee om de organisatie om hulp te vragen.Het muziekfestival was gesitueerd in Fort Vechten, dat naast de A12 ligt en toevallig ook vlakbij het punt van het ongeval. Onduidelijk is wat er precies is gebeurd. Dus logisch dat je als politie dan denkt dat er getuigen op het festivalterrein kunnen zijn, misschien wel met foto- of videomateriaal.
Alleen: de organisatie stuurt die mensen een mail, waarschijnlijk naar het adres dat gebruikt is voor de ticketaankoop. En dat voelt een tikje gek, want wat heeft “heb je een ongeluk op de A12 zien gebeuren” te maken met die aankoop.
Die vraag is relevant: juristen noemen dit doelbinding, gegevens mogen alleen worden gebruikt voor doelen die een duidelijk verband hebben met het oorspronkelijke doel. Een mail met extra huisregels zou prima zijn, reclame voor een ander festival niet. Een mail met “van wie is deze linkersok gevonden op het terrein” zou ik nog net vinden kunnen, beetje afhankelijk van de omvang van het festival natuurlijk.
Het ongeval staat geheel los van het festival, afgezien van de geografische nabijheid. Dan heb je AVG-technisch niet zo veel mogelijkheden. “Vitaal belang” denkt u misschien, de AVG-grondslag voor dringende medische aangelegenheden. Maar een getuige na enkele dagen is niet “vitaal” in die zin.
De enige echte grondslag die ik kan bedenken is het gerechtvaardigd belang: het festival wil de politie helpen (“gerechtvaardigde belangen … van een derde”) en meent dat de gegevensbelangen van de festivalbezoekers minder zwaar wegen dan het vinden van een getuige.
Ik zie daar wel wat in. Het is een eenmalige actie, je hoeft niet te reageren als je niet wilt, er zit geen commercieel of ander vervelend belang achter én het is een vrij ernstig ongeval waar hulp zeer welkom is. Naar zijn aard is dat dan uitzonderlijk en zwaarwegend.
Arnoud
Was het nu de politie die heeft gemaild, of de organisatie zelf? Ik zou dat laatste verwachten. Het is immers niet nodig dat de politie de mailadressen kent.
Naast AVG komt ook de Telecommunicatiewet langszij. Al denk ik niet dat dit valt onder commerciële, ideële of charitatieve doeleinden.
Als gedaan via de organisatie zelf: prima actie.
De organisatie, er zijn geen gegevens gedeeld met de politie. Dus ja, ik denk dat dit wel kan, ongeveer, niet heel fraai, maar niet schadelijk.
Persoonlijk denk ik dat als er inderdaad geen commercieel doeleind achter de mailing zit en de mailing éénmalig wordt verstuurd vanuit de organisatie (en dus niet gedeeld wordt met de politie) het onder gerechtvaardigd belang kan geschieden.
De geest van de AVG richt zich op de bescherming van grondrechten en fundamentele vrijheden van personen en in het bijzonder hun recht op bescherming van persoonsgegevens. Naleving van de wet dient vooropgesteld te worden, maar een pragmatische benadering mag ook wel. De wetgever gaat m.i. voorbij aan dit doel als het niet mogelijk zou zijn om in dit soort uitzonderlijke gevallen een beroep te doen op hulp n.a.v. een ongeluk waarbij een hulpinstantie is betrokken. Ethisch gezien weegt het belang van de organisatie (en politie) zwaarder dan de betreffende verwerking van de festivalganger.
Als het inderdaad de organisatie zelf was die het verstuurde lijkt het me geen probleem inderdaad. Het had ook een nieuwsbrief kunnen zijn met een terugblik waarin dan 1 kopje ging over het ongeluk.
Als het de politie was die deze emailadressen in bezit gekregen heeft dan lijkt me dat onwenselijk. Het is inmiddels bekend dat de politie slecht/amper/niet gegevens opschoont (aldus de AP), het auditbeleid niet op orde is, en er wordt ook met enige regelmaat iets gelekt vanuit de politie.
Dat zegt niet dat je de politie niet kan vertrouwen, maar dan moet je ze als festival-organisatie ook zeker niet zomaar allemaal persoonsgegevens gaan toespelen waar geen wettelijke grondslag voor is. Zeker niet als er een alternatief is (de organisatie verstuurt zelf die mail) en niet zolang er geen toestemming is van de betrokkenen.
Vergelijking met een nieuwsbrief gaat mank, die mag de organisatie namelijk niet versturen zonder je expliciete toestemming.
Ook niet als de gegevens zijn verkregen in het kader van de verkoop van een product of dienst, het eigen gelijksoortige producten of diensten betreft en er recht van verzet is geboden? Zeg maar opt-out.
Dan is geen toestemming nodig. Maar partijen die aan deze eisen voldoen zijn zeer zeldzaam. Vaak wordt het recht van verzet pas in NB 1 gemeld, en het geadverteerde is meestal niet gelijksoortig aan het gekochte.
De vraag was retorisch bedoeld. De reactie waar ik op reageerde doet net alsof er geen mogelijkheid is voor een nieuwsbrief zonder expliciete toestemming. Die is er expliciet wel. Wel eens dat het zelden goed geregeld is.
Een mail met “Bedankt voor jullie komst, kijk hier voor foto’s van het evenement en oh ja heeft iemand iets gezien van dat ongeluk?” moet denk ik kunnen. De gegevens van wie er daar waren aan de politie overhandigen zodat die kunnen gaan mailen lijkt mij absoluut niet kunnen.
In dit geval heeft de organisatie zelf de mail gestuurd namens de politie, dus daar zie ik op zich geen bezwaar in. Arnoud schreef in zijn blog dat ‘gerechtvaardigd belang’ kan gelden, maar op een website krijg ik vaak de keuze om dat te accepteren of niet. Bij een evenement heb ik die keuze niet. Soms staat er wel in de voorwaarden dat je als bezoeker op beeld kunt komen en daar automatisch toestemming voor geeft. Zou er ook iets vergelijkbaars over het gebruik van e-mailadressen in staan?
Misschien dat de wettelijke verplichting nog een interessante grondslag kan zijn. Hier vermoedelijk niet gebeurd, maar zou de politie kunnen eisen dat de festivalorganisatie dit bericht verspreidt onder diens bezoekers, in het belang van het onderzoek? Dan kan het festival zich beroepen op de wettelijke plicht mee te werken aan zo’n bevel.
Is er een wet waarin geregeld is dat de politie zoiets kan eisen? Dat wil zeggen, een wettelijke grondslag voor de politie om te eisen dat een organisatie haar leden- of adressenbestand gebruikt om berichten te verspreiden die de politie nuttig acht. Dat zou een soort meewerk-plicht zijn, ik vraag me af of dat er is. Arnoud?
Zo’n bevoegdheid bestaat niet in de wet. De politie mag het wel vragen omdat de vraag nauwelijks raakt aan grondrechten. Als de vraag substantieel raakt aan zulke rechten dan is een specifieke bevoegdheid vereist.
Goedemiddag meneer Engelfriet,
Een hele andere vraag die niet helemaal bij dit artikel hoort, (ik wist niet waar ik het anders moest plaatsen, excuses!) maar wellicht een post apart is.
Hoe kijkt u tegen de inzet van gezichtsscanners (technisch gezien gaat het om een camera die het gezicht van een burger bij de balie vergelijkt met het paspoort/reisdocument of dit dezelfde persoon is) bij gemeenten voor de inschrijvingen van personen in de Basis Registratie Personen (hierna BRP)? Dit wordt bij sommige gemeenten in opdracht van de minister al ingezet, terwijl het nog een grijs gebied is.
Achtergrond: De gezichtsscanners zijn bedoeld om look-a-like fraude en morphing beter te herkennen. Voor de medewerkers is het moeilijk om met het blote oog look-a-like fraude te constateren. Het gebruik van een gezichtsscanner maakt het eenvoudiger bij verandering van haardracht, cosmetische ingrepen, veranderde beharing op het gezicht of als het (buitenlands)reisdocument een verouderd geldig document is identiteitsfraude te herkennen. Het doel van de inzet van de scanners is om identiteitsfraude tegen te gaan.
Op dit moment wordt, door de technische verwerking van biometrische gegevens (pasfoto, gezicht, uiterlijke kenmerken) een beroep gedaan op de uitzondering art. 29 UAVG. Artikel 29 UAVG bepaalt dat gelet op artikel 9 lid 2 sub g AVG, het verbod om biometrische gegevens met het oog op unieke identificatie van een persoon te verwerken niet van toepassing is, als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Als je echter de tekst en de memorie van toelichting (Tweede kamer, kamerstukken 2011-2012, 33219, Nr. 3, p. 117.) + het nieuwe wetsvoorstel lees (https://www.eerstekamer.nl/behandeling/20221201/memorievantoelichting_2/document3/f=/vlylj2nuh3yz.pdf) ziet deze uitzondering alleen op de bescherming van toegang tot gebouwen of vitale processen. In het nieuwe wetsvoorstel wordt niet gesproken over een uitzondering voor het verifiëren van de identiteit van een betrokkene, maar uitsluitend over het authentiseren van personen om toegang te kunnen krijgen tot beveiligde (fysieke en/of digitale) omgevingen.
Daarnaast is voor de uitzondering nodig dat er een dubbele noodzakelijkheidstoets moet worden uitgevoerd. Ik vraag mij af of die de toets positief gaat uitvallen nu medewerkers ook een uitgebreide training kunnen volgen om identiteitsfraude sneller te spotten.
Als u een reactie zou willen overwegen zou dat fijn zijn. Bedankt en fijne dag!
https://blog.iusmentis.com/contact/
Ik denk dat je beschouwing heel goed is. We moeten er ook voor waken dat we met de privacywetgeving/AVG het kind met het badwater weggooien.
Hier heeft de organisatie geen gegevens met derden, zoals de politie, gedeeld. Het maatschappelijk belang om een dader te vinden weegt in mijn ogen een stuk zwaarder dan het sturen van dat ene enkele mailtje om mensen op te roepen zich bij de politie te melden als ze iets gezien hebben en verder helemaal niets. In mijn ogen is hier zorgvuldig gehandeld.
Daarbij komt dat als je in dit soort situaties de AVG gaat aangrijpen om zo’n actie niet te doen, je voorstanders van massa-surveillance in de kaart speelt. Die gaan immers zeggen: Zie je wel, de AVG is een belemmering voor de veiligheid. En dat doet op termijn afbreuk aan onze privacy.