Nee, ik blijf liever moddervet – Hoe illegaal is confirmshaming onder de AVG?

| AE 11243 | Ondernemingsvrijheid, Privacy | 6 reacties

Kent u dat? Dat je gevraagd wordt je in te schrijven voor het een of ander, en dat de “nee” optie wordt voorzien van een beschamende kwalificatie. “Ja, ik wil de slankwordennieuwsbrief / Nee, ik blijf liever moddervet”. Of “Ik wil een groentetuin starten / Nee, ik weet alles al”. Of “Ja, houd me op de hoogte / Waaahh, ikke willen niet”. Lekkere voorbeelden te over bij de Confirmshaming Tumblr. Een paar lezers (dank) vroegen me, hoe legaal is dat nu eigenlijk, mensen proberen over te halen om ja te zeggen door van de nee een schaamtevolle gebeurtenis te maken. Want is het nog wel een vrije keuze als de nee voorzien is van een zó botte diskwalificatie?

Onder de AVG moet toestemming in vrijheid worden gegeven, en deel daarvan is dat je geen sancties koppelt aan het weigeren van toestemming. Dit is waarom het debat over cookiemuren speelt: iemand de toegang tot je site ontzeggen als hij geen toestemming voor marketing/profiling geeft, kun je zien als een sanctie. Maar het speelt natuurlijk niet alléén bij cookies.

Confirmshaming is het fenomeen waarbij je de keuze om de gevraagde toestemming te weigeren voorziet van een negatieve kwalificatie, specifiek eentje waarbij de gebruiker schaamte over zichzelf afroept. “Nee, ik blijf graag een loser zonder toegang tot superdeals”, bijvoorbeeld. Het idee is dan natuurlijk dat je dan liever de schaamte vermijdt en toch maar “ja” klikt. Dit artikel maakt duidelijk dat schaamte een zeer sterke emotie is om mensen over te halen:

“Because guilt is experientially bad, the act of making another person feel guilty clearly qualifies as an aversive interpersonal behavior. To make someone feel guilty is to inflict a negative, undesired emotional state that most people normally try to avoid.”

Het gaat hier natuurlijk niet om fysieke of juridische dwang, maar ik denk dat zo’n sterke negatieve emotionele reactie oproepen toch wel sterk in de buurt komt. Ik zie dan ook wel wat in het argument dat je hier niet echt vrij gelaten wordt.

Arnoud

Activision betaalt medewerkers om zwangerschappen te volgen via gezondheidsapp

| AE 11239 | Ondernemingsvrijheid, Privacy | 6 reacties

Activision Blizzard betaalt vrouwelijke medewerkers om gegevens over hun vruchtbaarheid en zwangerschap in te voeren in de gezondheidsapp Ovia. Dat meldde Tweakers onlangs. De medewerkers die vrijwillig kiezen hieraan mee te doen, krijgen hiervoor dagelijks een kadokaart ter waarde van een dollar. De gegevens worden geanonimiseerd en als statistieken weergeven, met als doel -hou je vast- “het bedrijf in een competitieve industrie te laten excelleren en bijdragen aan het vasthouden en laten terugkeren van vrouwen met vaardigheden”. Mag ik een teiltje? En ondertussen de vraag, mag dat als je dat in Europa zou doen?

Gegevens over zwangerschap vallen binnen Europa onder het strenge regime van de bijzondere persoonsgegevens, namelijk onder het kopje ‘gezondheid’. Dat betekent dat verwerking van die gegevens verboden is, tenzij er een uitzonderingsgrond van toepassing is. Voor werkgevers is er een mogelijke grond, de arbeidsgezondheid en de “de beoordeling van de arbeidsgeschiktheid van de werknemer” (artikel 9 lid 2 sub i AVG). Een zwangere vrouw heeft een bijzondere positie, dus dat moet je kunnen registreren voor je bedrijfsvoering. Ook kun je het gooien op de Uitvoeringswet AVG, waarbij je die gegevens mag gebruiken als dat noodzakelijk is voor een goede uitvoering van wettelijke voorschriften (en die zijn er dus, ter bescherming van de vrouw).

Het soort actie van Blizzard kan ik moeilijk zien als zo’n uitzonderingsgrond. Tenzij je zegt, die app is bedoeld om bij te houden wat we wettelijk eigenlijk al moesten als werkgever, en die statistieken ten behoeve van kuchkuch excellentie zijn geen persoonsgegevens. Ik zie alleen dat er een héleboel gegevens worden verzameld (“… lopen uiteen van de status van lichaamsfuncties, medicijngebruik, gemoedstoestand, tot aan de geslachtsdrift”) en kan dat niet goed rijmen met de wettelijke taak als werkgever.

Maar er wordt uitdrukkelijk vrijwillig toestemming gevraagd, staat in het artikel. Dan zou het oké moeten zijn, want “uitdrukkelijke toestemming voor welbepaalde doelen” heft ook het verbod op. Dan kom je ‘gewoon’ uit bij een onderzoek onder zwangere vrouwen die voor een leuke cadeaukaart vrijwillig gegevens geven over hoe het met ze gaat, waar me an sich niets mis mee lijkt.

Alleen krijg je dan de complicatie omdat het hier gaat om werknemers. Die kunnen eigenlijk geen toestemming geven, omdat ze in een afhankelijkheidsrelatie zitten naar de werkgever toe. Of dat nu is dat ze een nieuw contract willen, een loonsverhoging of alleen maar hun baan op dezelfde manier terug na het ouderschapsverlof, doet er niet eens toe. Er zal altijd iets van een gevoel van dwang zijn, waardoor je als werknemer niet vrijwillig kunt beslissen.

Heel misschien dat het kan omdat het énkel gaat om statistieken. Dat kun je denk ik wel vrijwillig vragen, wil je meedoen aan dit onderzoek. Als je dan ook borgt dat je niet hoort wie er meedoet, dan zie ik wel weer vrijwilligheid ontstaan. Alleen, de werkgever weet het hier wél (je krijgt immers die cadeaubon) en deel van de inzet van de data is ook verbetering van het bedrijf. Dan voelt het ergens toch als een soort moetje, en dat zou tegen de AVG zijn.

Arnoud

Gelden de strenge Ierse regels over dashcams ook bij ons?

| AE 11235 | Ondernemingsvrijheid, Privacy | 11 reacties

Steeds meer mensen nemen een dashcam, en daarom leek het ons goed de regels daarover eens netjes uit te leggen. Aldus mijn parafrase van de nieuwe dashcamregels van de Ierse Autoriteit Persoonsgegevens. Of nou ja, nieuw: het is een invulling van de AVG die in Ierland natuurlijk net zo goed geldt als bij ons. Maar allemachtig wat een stoffig stuk en hoe onwerkbaar hebben ze het opgeschreven. Je zou bijna gaan denken dat je maar beter géén dashcam in je auto moet nemen. Ik ben er nog niet uit of dat de bedoeling is.

De AVG kent natuurlijk heel veel regels, en als je die gaat toepassen op een consument met een auto met daarin een naar buiten gerichte camera met opnamefunctie dan krijg je nogal wat. Informatieplichten: hang maar een duidelijke sticker op je auto. Register van verwerkingen: leg maar een papiertje thuis met waarom je een camera hebt en wat je doet met de beelden. Recht van inzage: op die sticker hoe mensen je kunnen bereiken voor inzageverzoeken. Vergeetrecht. Eh. En ga zo maar door. Oh ja, en als de politie het vraagt dan moet je wel een belangenafweging maken.

Op zich is het allemaal niet zo héél raar, dit krijg je als je regels bedoeld voor grote organisaties loslaat op een privésituatie. Maar het leest wel erg absurd natuurlijk, als je in die regels ook geen momentje ruimte toont voor de unieke situatie of het zeer kleinschalig karakter. Ik ben zeg maar verrast dat je geen PIA moet uitvoeren voor je de dashcam in gebruik mag nemen.

Geldt dat nu ook bij ons? Nou ja, de AVG is een Europese wet dus die regels gelden hier net zo goed. En als je die op dashcams loslaat dan krijg je natuurlijk hetzelfde verhaal, maar dan in het Nederlands.

Helemaal lekker voelt dat niet, zeker niet gezien de praktijk hier dat iedereen er gewoon vrolijk mee rondrijdt en aangifte doet (of verzekeringsclaims indient) wanneer de beelden wat relevants bevatten. Het wil er bij mij dan gewoon niet in dat de AVG dit heeft willen doorkruisen en verbieden (of zo onwerkbaar maken dat het de facto verboden is).

De AVG kent natuurlijk een uitzondering voor strikt persoonlijk of huishoudelijk gebruik. Maar die wordt heel beperkt uitgelegd – de Ieren concluderen vrij eenvoudig dat deze niet opgaat bij een dashcam. Dat baseren ze op een uitspraak uit 2014 van het EU Hof van Justitie, die bij beveiligingscamera’s rond een huis gericht op de openbare weg concludeerde

Voor zover het gebruik van een videobewakingssysteem, zoals dat in het hoofdgeding, de openbare ruimte bestrijkt – zelfs gedeeltelijk – en hierdoor buiten de privésfeer geraakt van degene die door middel van dit systeem gegevens verwerkt, kan het niet worden beschouwd als een activiteit die met uitsluitend „persoonlijke of huishoudelijke doeleinden” wordt verricht (…)

Ik ben er nog steeds niet uit wat dit nu betekent. Bij iedere verwerking van persoonsgegevens kom je in andermans privésfeer, lijkt me zo. Dat is het hele punt van verwerken van andermans persoonsgegevens. Wat is een fundamenteel verschil tussen enerzijds een adresboek van een particulier en anderzijds een bewakingscamera van een particulier? Val ik onder de AVG als ik thuis zit en in de WhatsApp-buurtapp roep wie ik voorbij zie lopen?

Het enige echte argument dat ik kan bedenken, is dat je bij dat cameratoezicht uit die casus structureel andere mensen filmt op een specifieke plek. Dat is wel meer dan je adresboek of “er loopt nu een raar type met bontkraag, kent iemand die” appen naar de buren. Gezien het doel van de AVG zou ik het verdedigbaar vinden dat je dán zegt, nu gaat de wet lopen en ga je het maar eens netjes aanpakken.

Inderdaad, dat is precies het argument waarmee ik al jaren verdedig dat dashcams buiten het strafrecht vallen – de “aangebrachte” camera uit de strafwet is een camera die structureel één plek filmt. En dan zeg ik dus dat een dashcam die rondrijdt buiten de AVG valt, omdat deze niet structureel één plek filmt.

Als je dat niet accepteert, dan is dus ieder verwerken van persoonsgegevens dat je eigen huis(genoten) overstijgt een niet-huishoudelijke/niet-persoonlijke verwerking. Dan blijft er eigenlijk niets over, en ik kan gewoon niet geloven dat de AVG dat bedoeld heeft.

Arnoud

Europese Commissie berispt gamewinkel Steam voor ‘geoblocking’

| AE 11221 | Ondernemingsvrijheid, Regulering | 5 reacties

De Europese Commissie heeft Valve, de maker van gamewinkel Steam, en vijf uitgevers van games op de vingers getikt voor het zogenoemde ‘geoblocking’. Dat meldde Nu.nl vorige week. Deze activiteit is in strijd met de mededingingsregels in de Europese Unie. Steam en de uitgevers hanteerden regiogebonden activatiesleutels voor games, waarbij de prijzen per regio voor… Lees verder

Is het legaal in je licentie barre arbeidsomstandigheden te verbieden?

| AE 11219 | Ondernemingsvrijheid, Uitingsvrijheid | 19 reacties

Een nieuw fenomeen in licentieland: de Anti 996 licentie, een variant op de opensource BSD licentie die een unieke beperking kent. De licentienemer (gebruiker van de software) mag in zijn bedrijf geen onwettige arbeidsomstandigheden toelaten. De term “996” komt uit een Chinese praktijk- van 9 tot 9 werken, 6 dagen per week – dat leidde… Lees verder

Mag je als sociale bezorgdienst een ID verlangen van klanten?

| AE 11210 | Ondernemingsvrijheid | 18 reacties

Een lezer (hoi Wim) wees me op sociale bezorgdienst Homerr dat zichzelf als de “toekomst van pakketbezorging” afficheert. Kern van het concept is dat iedereen, zowel particulier als bedrijf, zich kan aanmelden als pakketontvanger binnen zelfgekozen tijden. Je krijgt dan pakketjes van de logistieke dienst, waarna de werkelijke ontvangers -die in jouw buurt wonen natuurlijk-… Lees verder

Hoe lang mag je je zakelijke e-mail bewaren onder de AVG?

| AE 11208 | Ondernemingsvrijheid, Privacy | 34 reacties

Een lezer vroeg me: Je leest natuurlijk veel over bewaartermijnen onder de AVG. Sommige kun je gewoon opzoeken, zoals de bewaartermijnen van facturen, maar bij andere dingen is dat lastiger. Met name bij e-mail kom ik er niet uit: hoe lang mag je die nu bewaren? De AVG stelt als een van haar beginselen dat… Lees verder

Kan ‘ongevraagde toezending’ tot stand komen na het niet willen aanvaarden van een annulering?

| AE 11198 | Ondernemingsvrijheid | 68 reacties

Een issue op Reddit: [I]emand had mijn gegevens ingevuld bij het doen van een bestelling, en gezien de inhoud (goedkoop 4XL damesondergoed) vermoed ik hier een practical joke. Toen ik de bestelbevestiging op mijn mail binnenkreeg, heb ik ook contact gezocht met het postorderbedrijf, met de melding dat ik deze bestelling niet geplaatst heb, en… Lees verder

Mag ik de verbouwing van ons kantoor als timelapse op internet zetten?

| AE 11195 | Ondernemingsvrijheid, Privacy | 11 reacties

Een lezer vroeg me: Wij gaan binnenkort ons kantoorpand grondig verbouwen. Nu leek het ons leuk om een timelapse te maken van de voortgang, en deze elke week te publiceren op onze blog. Zo blijft iedereen betrokken. Maar er staat dan wel een camera op de werkvloer, dus hoe verhoudt zich dat tot de AVG?… Lees verder

Kamer van Koophandel neemt maatregelen tegen zzp-spam

| AE 11175 | Ondernemingsvrijheid | 8 reacties

De Kamer van Koophandel stopt met het op grote schaal verkopen van kant-en-klare bestanden met adressen, las ik bij de NOS. Dit na aandringen van de Autoriteit Persoonsgegevens, omdat dergelijke handel in persoonsgegevens in strijd is met de AVG. De Kamer van Koophandel biedt al sinds jaar en dag bestanden aan met contactgegevens van ondernemers,… Lees verder