Mag je onder de AVG weten wie je een Valentijnskaart of -boeket stuurde?

| AE 11119 | Informatiemaatschappij, Privacy | 16 reacties

Vandaag is het Valentijnsdag, dus krijgen een hoop mensen een kaart of boeket van een geliefde of bewonderaar. Soms met naam, soms zonder. Dat laatste hoort er een beetje bij onder deze traditie. Maar genoeg mensen die dan juist nieuwsgierig worden en willen weten wie de afzender was. De bloemist of het kaartenverstuurbedrijf heeft die informatie, gekoppeld aan jouw naam en adres. Dus toen kreeg ik slimmeriken (m/v) in de mail die zich afvroegen of ze die informatie niet gewoon onder de AVG konden verkrijgen – dat Pietje jou een kaartje stuurt, is toch een persoonsgegeven over jou?

Een persoonsgegeven is inderdaad ieder gegeven dat direct of indirect iets over jou zegt. Niet alleen administratieve gegevens (je woont hier, je verdient dat) maar ook bredere informatie valt daaronder. Dus ja, het klopt dat “Pietje gaf op 13 februari 9:11 de opdracht boeket X naar u te sturen” een persoonsgegeven over jou is.

Op grond van artikel 15 AVG heb je recht op inzage en kopie van je persoonsgegevens. Je kunt dus bij de bloemist die boeket X afgaf, verzoeken om inzage in alle gegevens over die bestelling. (Natuurlijk is het wel de vraag of de naam van Pietje aanwezig is, bij een webshop zie ik dat nog wel maar bij een telefonische order of bestelling in de winkel is dat natuurlijk niet perse zo.)

Er is natuurlijk wel een complicatie: “Pietje gaf op 13 februari 9:11 de opdracht boeket X naar u te sturen” is óók een persoonsgegeven over Pietje. in principe heeft niemand behalve Pietje recht op inzage in die persoonsgegevens. Dat is dus een dilemma: kun je nu wel of niet die gegevens opvragen?

De AVG benoemt dat dilemma niet letterlijk. Alleen bij artikel 15 lid 3 staat dat een verzoek om een kopie geen afbreuk mag doen aan rechten en vrijheden van anderen. Heel strikt kun je dus zeggen dat je alleen inzage wil, desnoods mondeling, maar geen kopie hoeft te hebben. Maar praktisch gezien komt dat op hetzelfde neer. Ik denk dus dat alles bij elkaar de bloemist de naam van Pietje niet mag noemen.

Omgekeerd mag hij dan ook weer niet aan Pietje melden of je blij was met het boeket, of het juist meteen in de hoek smeet.

Arnoud

Wat is internetrecht nu eigenlijk, poging 3735928559

| AE 11026 | Informatiemaatschappij | 14 reacties

Wat is internetrecht nu eigenlijk, die vraag blijft me bezighouden sinds ik erover blog.

De simpele definitie was altijd “het recht dat over internet (of ICT) gaat”. Maar die voldoet denk ik anno 2019 niet meer. Alles heeft wel op een of andere manier met internet te maken, dus dan zou alles internetrecht zijn. Het gaat me te ver om een bedreiging via WhatsApp een cybermisdrijf te noemen, bijvoorbeeld. Maar ik geef toe dat in 2001 ik daar volkomen anders over dacht.

Iets preciezer kun je zeggen, internetrecht is dat recht waarbij internettechnologie een wezenlijk (en dus uniek) deel van de casus uitmaakt. WhatsApp is als specifiek medium niet relevant bij een bedreiging, het gaat er daar vooral om of iemand zich redelijkerwijs bedreigd moest voelen. Daarmee is een keihard dreigement sturen dus geen internetrecht enkel omdat dat toevallig geappt werd. Wel internetrecht zou de discussie zijn of een bepaald statement eerder een meme of internetgrap is, of gezien het kanaal (zeg Hyves) als minder ernstig opgevat moet worden.

Je kunt ook zeggen, dat is allemaal leuk en aardig maar komt neer op de vraag hoe je de feiten moet kwalificeren. Of een Hyves-krabbel gewoonlijk als loos geblaat werd gezien door de gemeenschap daar, is immers een duiding van het medium als al dan niet heel serieus te nemen. Dat gaat niet echt over réchtsvragen (is dit strafbaar, is er een contract, dat soort vragen) en dan snap ik dat mensen zeggen, internetrecht bestaat niet want rechtsgebieden gaan per definitie over rechtsvragen.

Een iets sympathiekere manier van formuleren van die stelling is dat internetrecht een ‘wachtkamer’ is voor rechtsvragen waar heel complexe feitelijke vragen aan vast zitten. Of iemands Sonos kapen en ’s nachts heel hard aanzetten een vorm van stalking, computervredebreuk of iets anders is, vereist begrijpen wat er dan technisch gebeurt. Pas daarna kun je de juiste wetsartikelen er bij pakken. Een ICT-jurist of internetjurist focust dan ook meer op technische kennis dan een ‘gewoon’ jurist.

Recent bedacht ik me echter dat er nog een andere invalshoek is. Het gaat niet perse alleen over de vraag wat een (complex) ict-verhaal nu juridisch oplevert. Het gaat er minstens zo veel om dat dat feitencomplex vernieuwend of verrassend is voor dat wetsartikel.

Heel veel discussies in internetrechtland komen erop neer of een bepaald wetsartikel wel bedóeld is om tegen een bepaalde situatie te gelden. Het cliché is de “auteursrecht en internet staan op gespannen voet”-discussie. Daar gaat het niet zo zeer over óf downloaden de auteurswet overtreedt (behoudens de bijdehante vondst van het privékopiëren), maar over de vraag of dat zo zou moeten zijn. En een iets moderner cliché is de vraag hoe privacy en online databanken zich tot elkaar verhouden. De AVG biedt in principe een duidelijke stok om jezelf offline te krijgen, maar dat voelt niet altijd wenselijk.

Deze discussie wordt vaak vormgegeven als een botsing van grondrechten, omdat die grondrechten de achterliggende rechtvaardiging (of begrenzing) geven van de rechten en plichten die tegenover elkaar gesteld worden. Als je zo’n databank ziet als een afgeleide van de persvrijheid, dan wordt het ineens een heel ander verhaal dan wanneer je die enkel als een dienstmededeling ziet (“De zondagmiddagbijeenkomst gaat niet door want mevrouw Lindqvist heeft haar enkel verstuikt”).

Helemaal tevreden ben ik nog steeds niet. Wat betekent dit immers voor governance: politiek gezag en middelen om zaken en problemen van de maatschappij te beheren. Heel veel governance op internet komt van private partijen, en daar word je niet altijd vrolijk van. Dat past niet goed in het recht. Is dat ook weer gewoon een voorbeeld van complexe feiten? Of is dit meer een tragisch voorbeeld van een langzame rechtsgang? Is Facebooks macht op internet iets complex en nieuws, of gewoon weer een voorbeeld van een monopolist die allang aangepakt had moeten worden?

Arnoud

Roddelen in een WhatsAppgroep over je baas kan reden zijn voor ontslag

| AE 11013 | Informatiemaatschappij | 10 reacties

Roddelen in een WhatsAppgroep over je baas kan reden zijn voor ontslag, maak ik op uit dit vonnis van de rechtbank Midden-Nederland. In een ontslagzaak werd gegrap en gegrol over het werk aangevoerd ter onderbouwing van een verstoorde arbeidsrelatie. Hoewel het ging om een groepschat met een beperkt aantal collega’s, vond de rechter toch dat de vrouw terecht ontslagen mocht worden.

Een vrouw was sinds 1989 in dienst bij het bedrijf, en had daarbij een standaard geheimhoudings- en relatiebeding in het contract. Eind 2017 ontdekte ze dat er in het bedrijf echter grote verschillen in loon waren, maar haar klachten daarover vonden geen gehoor. Daarop besloot ze elders te solliciteren.

Via WhatsApp had ze daarbij twee collega’s gestimuleerd om mee te gaan (“Echt [voornaam van A] ? Wil je mee? Ik heb jou en [voornaam van B] dan echt nodig hoor!! En [voornaam van C] ook. Haha”). Maar let op: bij de grootste concurrent. En onderdeel van de sollicitatie was een gezamenlijke Powerpoint pitch over wat ze bij die concurrent zouden konden gaan doen. Dat zette zo te lezen enig kwaad bloed, waarop de werkgever haar ontsloeg.

De rechter zet (terecht) voorop dat het volkomen legaal is om bij de concurrent te solliciteren, als je geen keihard contractueel verbod daartegen hebt getekend. En dat was er niet. Maar je collega’s aanzetten om mee te gaan, of bedrijfsvertrouwelijke informatie inzetten in een pitch zijn dingen die wél in strijd met het arbeidscontract kunnen zijn.

Om te kunnen bepalen of dit een probleem is, moet de rechter eerst toetsen of de WhatsApp conversaties waar de partijen zich op beroepen, wel als onderbouwing kunnen dienen. In principe is dat natuurlijk mogelijk, maar in dit geval had de werkneemster gesteld dat de werkgever die had gemanipuleerd. Zo werkt dat in het bewijsrecht, er is niets raar aan elektronisch bewijs of aan chatlogs an sich, maar als er concrete vermoedens van manipulatie komen dan moet je eerst kijken hoe waar dat is.

Uiteindelijk blijft er bij de rechter weinig over van de gestelde manipulatie. Het kwam uiteindelijk vooral neer op het punt dat WhatsApp-chats minder serieus te nemen moeten zijn, de context van humor en snelle berichtjes is immers heel anders dan een formeel-zakelijke conversatie.

Na de chats gelezen te hebben, komt de rechter tot de conclusie dat er geen sprake is van onrechtmatig aanzetten om collega’s A en B mee te nemen. Ze namen nog steeds zelf het initiatief, en uiteindelijk hadden ook zij geen beding tegen die concurrent in hun contracten.

Uit de berichten blijkt wel dat de werkneemster op een ander punt nogal wat te verwijten valt: ze wilde haar werkgever “een lesje leren”, waarbij ze in zeer cynische en schertsende uitspraken de managementcultuur neerzet. De wijze waarop zij het sollicitatietraject vervolgens doorliep bij de concurrent, waarbij ze zich als doel had gesteld de oude werkgever schade toe te brengen, maken dat haar gedrag verwijtbaar werd.

Wat de presentatie betreft, er is geen bedrijfsgeheime informatie gebruikt maar wel bleken foto’s opgenomen te zijn geweest die van de werkgever waren. Dat is dan mede een grond om haar een verwijt te maken.

In beginsel heeft een werknemer die minstens twee jaar in dienst is recht op een transitievergoeding als de arbeidsovereenkomst wordt opgezegd. Bij ernstig verwijtbaar handelen kan dat anders liggen. Maar hoewel dit gedrag verwijtbaar is, is die verwijtbaarheid niet “ernstig” te noemen met name omdat er niet daadwerkelijk schade is opgedaan en derden niets hebben gemerkt. Daarmee komt zij in aanmerking (gezien de duur van het dienstverband) voor een vergoeding van dik 76 duizend euro. De kantonrechter laat dan ook nadrukkelijk een hint vallen dat de werkgever mág kiezen om het ontslag in te trekken.

Arnoud

Hoe ICT-vaardig zijn rechters vandaag de dag (en waarom dat er eigenlijk niet toe doet)

| AE 10973 | Informatiemaatschappij | 24 reacties

Een lezer vroeg me: Je blog van dinsdag triggerde me: hoe ICT_vaardig zijn rechters nu eigenlijk echt anno 2018? Hoe kun je nu een domeinnaamhouder ‘hoster’ noemen van welke informatie dan ook? Ik zie zulke dingen vaker, en maak me daar zorgen over. Hoe zie jij dat, en hoe gaat dat nu in de praktijk… Lees verder

Mag de Belastingdienst op je social media kijken om je aangifte te controleren?

| AE 10959 | Informatiemaatschappij | 14 reacties

De belastingdienst in Frankrijk gaat accounts op sociale media inspecteren om fraudeurs op te sporen, las ik bij Nu.nl. Het betreft een proef, waarmee de Franse Belastingdienst hoopt belastingontduikers op te sporen. Het idee is dat een Instagram-foto van jezelf met een dure auto tot een audit kan leiden: leg maar even uit hoe u… Lees verder

Hoe illegaal is het om andermans elektrische auto op te laden bij de IKEA?

| AE 10939 | Informatiemaatschappij | 56 reacties

De ‘valsspelers’ bij Ikea, zo opende een column van Maarten Hachmang bij E-driving.com. Maarten geniet ervan om naar Ikea te gaan, omdat hij dan op vol vermogen met zijn elektrische auto kan rijden – bij Ikea kun je lekker rustig weer snelladen namelijk terwijl je winkelt. Alleen viel dat deze keer tegen: alle plekken bezet,… Lees verder

Spelers hoeven Pokémon Go-app niet open te hebben om eieren uit te laten komen

| AE 10931 | Informatiemaatschappij | 12 reacties

Het is vanaf binnenkort niet langer nodig om de Pokémon Go-app open te laten staan op een smartphone om de game de afstand te laten detecteren die gebruikers lopen. Dat meldde Tweakers vorige week. Met deze vernieuwing wordt het mogelijk Pokémon-eieren uit te laten komen. Die gebeurtenis in het augmented reality-spel vereist dat je een… Lees verder

Wanneer kun je juridisch spreken van een cyberoorlog?

| AE 10905 | Informatiemaatschappij | 25 reacties

Nederland is in een “cyberoorlog” met de Russen verwikkeld, zegt minister Ank Bijleveld van Defensie. Dat meldde Nu.NL onlangs. De aanval op het het wifi-netwerk van de OPCW in Den Haag door vier GRU-agenten zou deel zijn van een grotere hoeveelheid cyberaanvallen van Rusland op Nederlandse infrastructuur, waarbij de minister het desgevraagd aanduidde als een… Lees verder

Veel Nederlanders sturen werkbestanden naar privémailadres, mag dat?

| AE 10898 | Informatiemaatschappij | 16 reacties

Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, las ik bij Security.nl. Dat baseert zich op het recent verschenen Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit “altijd of meestal” wel doen…. Lees verder

Kunnen Linux-ontwikkelaars de GPLv2 intrekken als ze het met de Code of Conduct oneens zijn?

| AE 10887 | Informatiemaatschappij | 58 reacties

Herrie in de Linux-tent: een nieuwe Code of Conduct in het project heeft veel ophef veroorzaakt, inclusief dreigementen dat men bijdragen aan de kernel gaat intrekken. Deze zijn door vrijwilligers ingebracht onder de GPLv2 open source licentie, maar volgens partijen die het oneens zijn met de Code is het nu mogelijk deze licentie weer in… Lees verder