Het probleem met die (te?) strenge uitleg van het legitiem belang door de AP

| AE 11690 | Informatiemaatschappij | 22 reacties

De Autoriteit Persoonsgegevens is te streng met de uitleg van de privacywetgeving AVG, zo vinden juristen en datahandelaren, las ik bij Security.nl (dat zich weer op het FD baseerde). Aanleiding is een vorige maand gepubliceerde normuitleg waarin de toezichthouder stelt dat ‘zuiver commerciële belangen’ en ‘winstmaximalisatie’ geen reden zijn om persoonsgegevens te verwerken. Dat is tegen het zere been van menig organisatie die drijft op die grondslag, omdat je nu eenmaal niet voor alles toestemming wilt vragen en ook geen contract met die mensen hebt. Dus wat moet je dan. Maar tegelijkertijd klinkt het wel lekker stoer, een zuiver winstoogmerk kan toch geen reden zijn om de privacy te schenden? Maar het ligt wat subtieler.

De normuitleg is een soort richtsnoer van de AP: zo zien wij deze term uit de AVG, en als jij deze interpretatie volgt dan kan er weinig mis zijn met de onderbouwing van je verwerking. (Je hébt toch een onderbouwing op papier van elke verwerking, nietwaar? Anders zit je sowieso fout, ook als het legaal is wat je doet.) De discussie begon met een volgens mij zijdelingse tussenwerping van de AP:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc.

Ik denk dat het probleem hier is dat de discussie over het legitiem belang eigenlijk een drietrapsraket is, en dat vaak de eerste trap en de uitkomst met elkaar verward worden. Beiden heten namelijk “legitiem belang” in de wandelgangen.

Bij de analyse (die je dus vooraf op papier doet, ik blijf het maar even zeggen) van je legitiem belang – dus de uitkomst – bepaal je allereerst wat jouw reden, jouw belang is om die persoonsgegevens te willen verwerken. Daarna kijk je als tweede welke privacybelangen van de betrokken mensen daarmee in het gedrang komen, en als derde verzin je maatregelen om die privacybelangen te beschermen en/of de inbreuk daarop te beperken. Kom je er niet uit bij stap 3, of merk je bij stap 2 dat je wel héél diep op mensen hun privacy in gaat, dan krijg je de analyse dus niet rond en dan mag het niet.

Waar het hier misgaat, is dat die opmerking van “het dienen van zuiver commercieel belangen” volgens mij bedoeld is om te zeggen dat je niet “ja ik wil geld verdienen dus dit heb ik gewoon nodig” kunt gebruiken als analyse, als conclusie. Maar als je de analyse doet, dan kom je bij stap 1 tot de conclusie dat een commercieel belang wél mogelijk is als je reden, als je belang. Ondernemersvrijheid is een grondrecht namelijk, net als de andere grondrechten (vrijheid van meningsuiting, kunst, bescherming van je eigendom bijvoorbeeld) die de AP een alinea eerder noemt.

Het was dus handiger geweest als hier iets had gestaan van “In theorie is ook het dienen van zuiver commerciële belangen mogelijk als een legitiem belang, zij het dat de privacyinbreuk (stap 2) dan zeer gering moet zijn en al het mogelijke (stap 3) moet worden gedaan om die inbreuk te beperken”. Nu krijgen we dus spraakverwarring of de AP de conclusie verbiedt dat een commercieel belang de grondslag kan dragen, of meteen zegt dat je bij stap 1 af bent – en dus het grondrecht van ondernemersvrijheid ontkent. Dat laatste lijkt me niet helemaal juist en creëert dus ruis in de discussie. Jammer.

Arnoud

Waarom persoonsgegevens tot eigendom verklaren een heel slecht idee is

| AE 11615 | Informatiemaatschappij | 6 reacties

Met enige regelmaat komt de suggestie voorbij: moeten we persoonsgegevens niet tot zaak verklaren, tot iets waar je gewoon eigenaar van bent. (Deze al wat oudere blog is een mooi voorbeeld.) Het idee is dan dat je daarmee de meeste grip op ‘jouw’ gegevens kunt uitoefenen, bijvoorbeeld door een keihard verbod te krijgen of juist geld te eisen als mensen met die gegevens aan de haal gaan. Een bedrijf mag ook niet zomaar in jouw huis dingen komen doen immers. Toch is dit een heel slecht idee en wel hierom.

Het idee is in de kern heel simpel. Eigendom is een van de sterkste rechten die we kennen in Westerse rechtssystemen, dus als je mensen meer macht wil geven over hun persoonlijke informatie dan verklaar je die tot hun eigendom en dan staan ze dus sterk tegen bedrijven die daar wat mee willen.

Alleen: als je iets tot eigendom verklaart – in juridische taal, het een zaak (art. 5:1 BW) of iets logischer een vermogensrecht (art. 3:1 BW) noemt – dan krijg je ook te maken met alle regels die over eigendom gaan. De belangrijkste is natuurlijk “niemand mag wat met je eigendom zonder jouw toestemming behalve in zeer specifieke wettelijke gevallen” maar het gaat mis op dat toestemmingsverhaal. Want ja precies, toestemming voor van alles en nog wat geven we nu ook al. Hoe gaat dat anders zijn als we persoonsgegevens eigendom verklaren?

Verder is eigendom natuurlijk iets dat je kunt verhandelen. Vanuit dat perspectief wordt je positie zelfs zwakker dan nu: de AVG geeft je sterke zeggenschap over je persoonsgegevens, en die blijven altijd bestaan. Zou je de eigendomsrechten op je persoonsgegevens verhandelen (artikel 23.7 in de Facebook TOS) dan kun je daarna dus helemaal niets meer vinden over wat dat bedrijf ermee doet.

Mogelijk dat het idee steeds terugkomt omdat het zo lekker bekt – en omdat het alternatief van die specifieke rechten uit de AVG heel nieuwerwets en dus vast juridisch wankel lijkt – maar ik zou het echt een heel slecht voorstel vinden.

Arnoud

Liveblog: The Future is Legal, het jubileumcongres van 15 jaar ICTRecht #thefutureislegal

| AE 11590 | Informatiemaatschappij | 1 reactie

Vandaag is het zo ver: het jubileumcongres The Future is Legal! Met unieke sprekers en bijzondere onderwerpen kijken we naar de toekomst van het ICT- en internetrecht. Vandaag dan ook een bijzondere blogdag, ik ga met live updates mijn eigen verslag maken van wat er vandaag langskomt, en ook via Twitter kunt u live volgen wat er speelt: #thefutureislegal

Het congres opent om 9 uur voor ontvangst, om 9:30 opent dagvoorzitter Herbert Blankesteijn de dag.

9.45 Ik geef de aftrap met een overzicht over de geschiedenis van recht en ICT; wat betekent dat onderwerp nu eigenlijk en wat zijn de uitdagingen voor de komende jaren? Lees mijn definitie van internetrecht voor meer duiding. Belangrijkste takeaway: internetrecht is veranderlijk, het geven van praktische antwoorden blijft daarmee een belangrijke skill voor een internetjurist.

10:20 Michel van Eeten filosofeert over hoe om te gaan met cybersecurity met of zonder de wet in de hand. Onder meer over data stewards, die op universiteiten verplicht zijn wanneer je met persoonlijke informatie omgaat. Maar vooral over security. Hij begint over het onderwerp van patchen, waarom doen mensen dat niet? Angst dat het niet meer werkt, lijkt het vaak. Dat biedt mogelijkheden voor malware om overal binnen te dringen. Van Eeten noemt peer pressure als een belangrijk mechanisme om orde te scheppen op internet, buiten het recht om (want dat is afwezig). ISPs kunnen namelijk zelf heel veel invloed uitoefenen op kwetsbaarheden bij hun klanten. Ook sociale normen (peer pressure tussen provider-medewerkers) blijkt een hele grote. Opmerkelijk dus: de toekomst is sociaal?

11:00 Koffiepauze!

11:30 Drie parallelsessies: Gerrit-Jan Zwenne over de toekomst van toestemming, Ronald van den Hoff over Society30 en Alexander Pleijter zoekt naar nepnieuws. Ik volg de sessie van Ronald; hij heeft een enorme visie op de toekomst. Een transformatie van de maatschappij van centrale, bureaucratische entiteiten naar gedecentraliseerde maar verbonden netwerken.

12:15 Twee nieuwe parallelsessies (en de sessie van Pleijter loopt door): Rejo Zenger van Bits of Freedom spreekt Google aan, en Merien ten Houten innoveert voorbij de regels. Leuke takeaway: als je een veilige zelfrijdende auto maakt, dan worden steden autovrij want de risico’s in de stad zijn te groot om een machine autonoom te laten rijden. Daarna naar Rejo, die kijkt naar waar het met Google heengaat en hoe Google ons leven beïnvloedt. De blik op informatie is anders (een kaart kan afhankelijk van je regio andere grenzen trekken) en vooral, we laten ons gedrag en onze grenzen trekken door bedrijven als Google. Daarmee verliezen we de algemene belangen uit het oog. Private belangen en ondoorzichtige manieren om belangen te dienen zullen daardoor alleen maar meer toenemen. Rejos presentatie staat al online.

12:45 pauze met een unieke robotdans!

14:00 Ik gaf met Peter Kager en Lisette Meij een crisissimulatie, zes vrijwilligers uit het publiek kregen een serie crisismomenten voorgeschoten en moesten daarmee hun bedrijf besturen. Ondertussen spraken Martijn Arets, Lonneke Driessen, Melita van der Mersch en Natali Helberger.

15:30 pauze!

15:45 Michiel Steltman over privatisering van handhaving en opsporing, Nynke Brouwer over de cyberverzekering en Tim Pastoor over de toekomst van identiteit.

16:30 Dagafsluiting door prof. dr. Marten Wilms, hilarisch.

En het bleef nog lang onrustig op de borrel.

Arnoud

HP wil goedkope inktpatronen alleen nog toestaan in duurdere printers

| AE 11558 | Informatiemaatschappij | 15 reacties

HP wil printers die ook inktcartridges van andere merken accepteren, duurder maken. Goedkopere printers gaan zulke cartridges voortaan blokkeren. Dat meldde Bright onlangs (dank, Vincent). Het bedrijf worstelt al geruime tijd met goedkopecartridgeconcurrentie, en heeft nu deze creatieve insteek gevonden om alsnog haar model van “goedkope printer terugverdienen met dure cartridges” goed te maken. Mag… Lees verder

Hoe navigeer je tussen werkbare procedures en de omstandigheden van het geval?

| AE 11547 | Informatiemaatschappij | 3 reacties

Mijn oog viel op deze tweet van de Engelse toezichthouder, waar ik een tikje van opkeek: Hi, orgs should not look to adopt a blanket approach in asking for ID when responding to a SAR [inzageverzoek onder de AVG]. They should consider each request on a case by case basis and identify which form of… Lees verder

AI is enorm dom en daarom is ethiek in AI zo enorm belangrijk

| AE 11521 | Informatiemaatschappij | 12 reacties

Ethiek en AI, twee begrippen die steeds vaker samen genoemd worden. Want als we overal AI gaan inzetten, met name voor besluitvorming en automatische systemen, dan moeten we wel vooraf nadenken wat voor impact dat heeft en of het wel ethisch wenselijk is dat dat zo werkt. Goed dat daar steeds meer aandacht voor komt,… Lees verder

Het is natuurlijk van de zotte dat we op internet handhaving volledig geprivatiseerd hebben

| AE 11509 | Informatiemaatschappij, Privacy | 4 reacties

Facebook heeft zijn eigen Supreme Court, las ik laatst. Dit interne orgaan heeft de hoogste macht om directiebeslissingen (met name die van Zuckerberg zelf) tegen te houden. Ik dacht eerst dat dit een hogerberoepsorgaan was voor bezwaren vanuit de gemeenschap; een van de grootste problemen met dit soort platforms is namelijk de onmogelijkheid om echt… Lees verder

Van BBS tot FAMA en AI: vijftien jaar internetrecht in vogelvlucht

| AE 11481 | Informatiemaatschappij | 1 reactie

Waarover ging het eerste vonnis op het gebied van internetrecht? Volgens de onvolprezen jurisprudentiebundel van mr. Tina van der Linden was dat een Bulletin Board System (BBS) dat werd aangesproken op illegaal ter download aangeboden software. BBS’en bestaan niet meer, illegale software nog wel. Maar de kwestie van hoe illegale downloads onder het recht vallen,… Lees verder

Hoe bewijs je of een creditcard echt of vals gebruikt wordt?

| AE 11473 | Informatiemaatschappij | 8 reacties

Stel er wordt een creditcard op je naam aangevraagd en gebruikt, hoe bewijs je dan dat jij dat niet was? Met die vraag zag een man in Noord-Holland zich onlangs geconfronteerd, toen hij werd gedagvaard door American Express wegens het niet voldoen van de schuld die op die kaart was opgebouwd. De kaart was via… Lees verder

Move fast & break things, is dat innovatie of moedwillig wetsovertreden?

| AE 11468 | Informatiemaatschappij | 12 reacties

Move fast & break things, is al jaren het motto in Silicon Valley. De term komt van Facebook en was ooit bedoeld om hun interne processen en cultuur te schetsen, maar past heel goed bij hoe internetdiensten zich hebben gemanifesteerd. Snel de markt op, snel groeien en daarna kijken we wel wat er eventueel stuk… Lees verder