Zo voldoe je als blogger aan de Privacyverordening (AVG/GDPR)

| AE 10579 | Privacy | 26 reacties

Je zou mij een groot plezier doen als je beide verklaringen zou willen doorlezen en laat mij dan melden of ik iets vergeten ben. Dat blogde Manssen vanaf de Zijlijn onlangs. Een zorg van vele bloggers namelijk is hoe zij moeten voldoen aan de AVG. Als blogger ben je meestal geen groot bedrijf met compliance afdeling, maar je krijgt wel persoonsgegevens langs, zoals namen en mailadressen van je bezoekers en vaak ook statistieken en advertentiegegevens. En je hebt maar beperkt de mogelijkheid om dingen anders te doen. Dat maakt het nogal een opgaaf om te voldoen aan de nieuwe strenge wet. Gelukkig zijn er voor bloggers genoeg mogelijkheden om toch binnen de AVG te blijven opereren.

Voor bloggers geldt in hoofdzaak hetzelfde als waar ik gisteren over blogde bij fotografen: je bent primair bezig met je mening te geven of informatie en ideeën te publiceren. Dat valt onder de journalistieke exceptie uit de AVG, waardoor een hoop regels niet voor jou gelden als blogger. Het maakt niet uit of je als particulier of zakelijk blogt en of je advertenties er bij hebt staan of dat je je blog aan je bedrijf koppelt. Ook nonfictie en zelfs promotionele blogs (Met deze pillen word je zo slank, dokters staan versteld) vallen onder deze uitzondering.

Je mag dus in je blogbericht zelf persoonsgegevens opnemen als dat relevant is voor je verhaal. Zelfs bijzondere persoonsgegevens, omdat het verwerkingsverbod (artikelen 9 en 10) daarop niet geldt bij een journalistieke uiting. Je hebt geen toestemming van mensen nodig om over hen te bloggen, zolang het maar journalistiek gezien nodig is dat je die gegevens opneemt in je bericht. Ik mag dus bijvoorbeeld de naam van André Manssen noemen om aan te geven dat zijn blog de inspiratie was voor deze blog.

Bij een blog zit er echter meer dan alléén de uiting, de blogpost zelf. Zo krijg je gegevens van je bezoekers, laten die soms zelfs reacties achter en verzamelt je blogplatform (zoals Blogspot) zelf ook het een en ander. Of je hebt adverteerders die meekijken. Daar geldt de AVG gewoon onverkort op.

Als blogger heb je dus om te beginnen een privacyverklaring nodig waarin je uitlegt wat je verzamelt en wat je daarmee doet. Denk dan aan je reactiemogelijkheid, je contactformulier en je nieuwsbrief, maar ook zaken als een Google Analytics-dienst of teller die meekijkt, adverteerders die zien wat je doen en misschien wel aparte monitoring tegen misbruik of spam. Dit mag (moet, eigenlijk) in gewone taal, dus het is prima als je die tekst zelf schrijft vanuit het perspectief van je doelgroep.

Wanneer de dienst die je gebruikt zelf ook persoonsgegevens verzamelt, moet je even uitkijken. Formeel zijn zij daarvoor verantwoordelijk, maar de bal ligt bij jou om je bezoekers daarover te informeren. Beschrijf dus in ieder geval in je privacyverklaring dat deze partijen die gegevens verzamelen en verwijs naar hun privacybeleid.

Ook moet je een register opzetten. Dat klinkt nogal formeel en is het ook, maar je moet intern vastleggen welke gegevens jij verzamelt en voor welke doeleinden. Dit geldt ook voor zelfstandigen en ook voor niet-commerciële partijen. Als je als bedrijf actief bent, dan heb je er al eentje voor bijvoorbeeld je klantrelatiesysteem en je personeelsadministratie. Ben je alleen aan het bloggen, dan moet je nu dus een register maken.

In het register neem je dan dit op:

  1. Naam en contactgegevens van jezelf (het register moet op verzoek aan de toezichthouder gegeven worden, vandaar)
  2. Doeleinden: beheer van het weblog “Naam hier” op internet | nieuwsbrief | faciliteren reactiemogelijkheid
  3. Gegevens: IP-adressen, browsergegevens, klikgedrag | e-mailadres en naam | naam, e-mailadres, optioneel zelfgekozen webadres, inhoud van reactie
  4. Grondslag: eigen belang | toestemming | toestemming
  5. Betrokkenen: bezoekers | ontvangers | reageerders
  6. Ontvangers: zie onder 1, naast organisaties die op grond van wet deze gegevens kunnen vorderen, plus leveranciers Blogspot/Google/etc
  7. Bewaartermijnen: zes maanden (vereist om misbruik en langetermijnanalyses te doen) | tot afmelding | eeuwig (journalistieke verwerking)
  8. Beveiligingsmaatregelen: *
  9. Risico: minimaal tot klein

Bij de beveiligingsmaatregelen moet je zelf nog invullen hoe je de toegang tot je logs, statistieken en dergelijke beveiligt. Je mag verwijzen naar het beveiligingsbeleid van de diensten en software die je gebruikt.

Natuurlijk is bovenstaande een vrije invulling van mij, als jij bijvoorbeeld vindt dat je je logs langer dan zes maanden mag bewaren dan is dat prima maar je moet het wel motiveren.

Arnoud

Je kunt nog gewoon blijven fotograferen na de AVG!

| AE 10577 | Privacy | 34 reacties

Vele, vele fotografen mailden me de afgelopen weken met de vraag: mag je nog blijven fotograferen (en foto’s publiceren natuurlijk) vanaf 25 mei? Onder de AVG zijn foto’s immers persoonsgegevens, en volgens de strenge regels moet je dan bij het maken van iedere foto toestemming vragen anders volgt automatisch een miljoenenboete. En nou ja, het klopt dat een foto een persoonsgegeven is en dat het maken en gebruiken daarvan dus onder de AVG valt, maar dat wil niet zeggen dat je dus altijd toestemming nodig hebt van de geportretteerde. Zeker niet als je foto onder de uitingsvrijheid valt – en dat is al heel snel het geval.

Een persoonsgegeven is ieder gegeven dat direct of indirect te herleiden is tot een persoon, zo luidt de definitie uit de AVG. Bij een foto is dat evident het geval zodra een persoon herkenbaar is. Dat hoeft niet perse omdat er een naam onder staat, je gezicht (of herkenbare postuur) is al genoeg om het een persoonsgegeven te maken.

Daarmee krijg je als fotograaf te maken met de regels van de AVG, en dat begint dan al vanaf het máken van de foto. Immers, de AVG geldt op iedere “verwerking” van persoonsgegevens en het vervaardigen oftewel maken daarvan is een voorbeeld daarvan. (Uitzondering: de analoge foto, dus met ouderwetse film, wanneer die foto niet bestemd is om in een gecatalogiseerd archief terecht te komen. Dan val je buiten de AVG.) Het publiceren is evenzo een ‘verwerking’ en dus onderworpen aan de regels van de AVG.

Die regels kunnen streng zijn. Zo moet je een register hebben van iedere categorie verwerking die je doet, zoals je klantadministratie, je personeel, het jaarlijks uitje met collega’s, en ga zo maar door. Je moet persoonsgegevens goed beveiligen. En je moet aantoonbaar een grondslag hebben, zoals toestemming, om die verwerking überhaupt te mogen doen.

Gelukkig zijn er een aantal uitzonderingen. Allereerst val je buiten de AVG wanneer je fotografie echt alleen als persoonlijke hobby doet, en de foto’s niet in grote kring publiceert. Dat valt dan onder de uitzondering voor “strikt huishoudelijke verwerkingen”. Die uitzondering is wel beperkt, zodra je je portfolio op internet zet val je er al buiten. Een afgeschermde Instagram- of Facebookgroep kan denk ik nog net, als je selectief bent met wie je toelaat.

De belangrijkste uitzondering is wanneer je handelen valt onder de journalistieke exceptie. Al bij invoering van de AVG werd geroepen dat de persvrijheid of uitingsvrijheid in het gedrang zou komen – als je een journalist kunt ‘pakken’ op bijvoorbeeld inadequate beveiliging van een artikel met rare opmerkingen over jou, is dat veel sneller dan een smaadprocedure – en vandaar dat er speciale uitzonderingen zijn opgenomen voor deze activiteiten. Helemaal in Nederland, waar we in de Uitvoeringswet de nodige artikelen uit de AVG buiten toepassing hebben verklaard voor journalistiek handelen.

Wanneer handel je nu journalistiek? Ik formuleer het met opzet zo, om aan te geven dat het hier gaat om een activiteit en niet een beroepsgroep. Journalist of fotograaf zijn is immers geen beschermd beroep, en niet iedere vorm van foto’s (of teksten) maken valt onder een activiteit uit dat beroep. Je moet dus kijken naar wat je aan het doen bent. Volgens de hoogste Europese rechtbank is iedereen journalist:

bij de bekendmaking aan het publiek van informatie, meningen of ideeën , ongeacht het overdrachtsmedium. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen een winstoogmerk hebben.

Die tweede zin is belangrijk: ook gewone mensen met een blog of andere plek voor die informatie, meningen of ideeën vallen gewoon onder deze definitie. Je hoeft dus geen journalist te zijn om journalistiek bezig te zijn. Waar het om gaat, is of je iets wilt publiceren (informatie, meningen of ideeën) en daarbij die foto nodig hebt. (Naast journalistiek geldt deze uitzondering ook voor academische, artistieke en literaire uitingsvormen. Hiervoor gelden vergelijkbare definities.)

Deze definitie is volgens mij zo breed dat je haast moeite moet doen er buiten te vallen. Ik kom niet veel verder dan beveiligingsbeelden, pasfoto’s, smoelenboeken en klassenfoto’s als voorbeelden van niet-journalistieke fotografie.

Wanneer je journalistiek bezig bent, dan gelden een hoop artikelen uit de AVG niet voor jou. Dat is in de Uitvoeringswet AVG zo bepaald. Ik ga ze niet allemaal noemen, maar dit zijn de belangrijkste gevolgen:

  • Eenmaal gegeven toestemming van een geportretteerde is niet meer intrekbaar (artikel 7 lid 3 is buiten werking).
  • Als geportretteerde heb je geen recht van inzage, correctie of verwijdering bij de fotograaf (heel hoofdstuk III is buiten werking).
  • Je hoeft datalekken niet te melden bij de toezichthouder of bij geportretteerden (hoofdstuk IV is op dit punt, artikelen 33 en 34, buiten werking).
  • Je hoeft je geen zorgen te maken over opslag van je foto’s in het grote boze Amerika (heel hoofdstuk V is buiten werking).
  • Je mag ook strafrechtelijke en bijzondere persoonsgegevens verwerken (artikelen 9 en 10 zijn buiten werking).
  • Je hoeft geen register van je journalistieke verwerkingen bij te houden (hoofdstuk IV is op dit punt, artikel 30, buiten werking).

Wel heb je nog steeds een grondslag nodig (artikel 6 blijft van kracht). Dat kan zijn toestemming van de betrokkene, maar er zijn er meer. Omdat je bezig bent met het aan het publiek bekend maken van informatie, meningen of ideeën, is in principe automatisch de vrije nieuwsgaring de grondslag (dit is een eigen gerechtvaardigd belang). Bij dat belang geldt altijd een afweging met de privacy van de geportretteerden, maar die afweging komt de facto neer op wat we al decennia kennen als de redelijk-belangtoets in het portretrecht. De AVG is niet strenger dan het portretrecht.

Normaal kun je als betrokkene bezwaar maken tegen zo’n gerechtvaardigdbelangafweging, maar specifiek bij journalistiek geldt dit niet: het recht van bezwaar bestaat niet (heel hoofdstuk III met daarin artikel 21 is buiten werking).

Ook moet je als fotograaf zorgen voor een goede beveiliging van je persoonsgegevens (artikel 32 blijft van kracht), en als je andere mensen met je foto’s laat werken (denk aan een backupdienst of een ingehuurde illustrator die ze mooi bewerkt) dan moet je daarmee een verwerkersovereenkomst sluiten (artikel 28 blijft van kracht).

Alles bij elkaar zie ik dus geen reden tot zorg bij fotografen om aan de AVG te voldoen.

Arnoud

Camera’s Britse politie herkenden duizenden mensen onterecht als crimineel

| AE 10573 | Privacy | 21 reacties

De politie van Wales zette tijdens de Champions League-finale van 2017 in Cardiff technologie met gezichtsherkenning in om criminelen op te sporen, maar het systeem zat in 92 procent van de gevallen fout. Dat meldde Nu.nl onlangs. De technologie scande van 170.000 mensen het gezicht en vond daarbij 2.470 potentiële gelijkenissen tussen bezoekers en bekende criminelen, maar 2.297 van die gelijkenissen was ten onrechte. Er zou geen enkele persoon zijn gearresteerd na foutief herkend te zijn door het systeem, en dus is het no big deal aldus de politie. Als dat de toekomst wordt van handhavingstech dan belooft het interessante tijden te worden.

Natuurlijk is geen enkel systeem perfect. Mensen kunnen zich vergissen, en computers kunnen fouten maken. Het is dan ook onrealistisch om te verwachten dat systemen altijd de juiste uitvoer leveren. En zeker als (zoals hier) de inputbeelden van slechte kwaliteit zijn, dan moet je niet te veel verwachten.

Er zijn diverse maten voor de kwaliteit van dit soort systemen. Allemaal komen ze neer op een conclusie afgaande op twee factoren:

  • Vals positief: een uitkomst wordt als positief (juist) aangemerkt, maar is eigenlijk negatief (onjuist). Bij deze gezichtsherkenning dus dat iemand wordt aangemerkt als voetbalcrimineel, terwijl hij dat niet is.
  • Vals negatief: een uitkomst wordt als negatief (onjuist) aangemerkt, maar is eigenlijk positief (juist). Hier dus dat een voetbalcrimineel wordt overgeslagen en gewoon naar binnen kan.

Beide onjuiste uitkomsten zijn onwenselijk, maar om verschillende redenen. Een vals positief zorgt ervoor dat je meer energie in iemand steekt dan nodig is: je gaat iemand langer opsluiten of intensiever begeleiden om recidive te voorkomen terwijl dat helemaal niet speelt. En een vals negatief kost je meer achteraf, je hebt immers een nieuw misdrijf van die recidivist en dat had je nu net willen voorkomen.

De belangrijkste hier van afgeleide factoren zijn precisie en vangst (‘recall’). De precisie is het percentage juiste uitkomsten ten opzichte van het totaal aantal uitkomsten, en de vangst is het percentage gevonden matches ten opzichte van het totaal aantal mogelijke matches. Als je dus tien voetbalcriminelen correct herkent, heb je een precisie van 100% maar als er tienduizend criminelen rondliepen dan is je vangst dus behoorlijk slecht. Vang je alle tienduizend criminelen door iederéén (170.000 bezoekers) als crimineel aan te merken, dan is je vangst 100% maar je precisie slechts 5,9%.

Het liefst heb je natuurlijk dat je alle tienduizend criminelen correct herkent en verder niemand fout herkent (vals positief). Maar het probleem is dat wanneer je het aantal matches (je vangst) verhoogt, je precisie vaak omlaag gaat. Wat je meestal namelijk doet, is de matching criteria omlaag doen en dus eerder tot een match besluiten. Dat is bij het detecteren van rot fruit in je magazijn tot daar aan toe, maar bij juridische systemen is het niet gepast dat je mensen onterecht als verdachte aanmerkt.

Een manier om dat te voorkomen, is door er een mens tussen te zetten. Je laat het systeem dan snel matchen en je accepteert dat een mens vervolgens veel van de uitkomsten weggooit als vals positief. Dat is beter dan een mens laten kijken, want de computer kan veel sneller die groep van 170.000 mensen doorscannen en een mens kan snel vals positieven elimineren. Een risico is wel dat de mens erg skeptisch wordt over het systeem – als je 92% van de alerts weg moet klikken als niet relevant, dan krijg je een reflex om élke alert weg te klikken.

Er waren dus geen personen ten onrechte gearresteerd, maar ik ben dan heel benieuwd of dat daaraan ligt.

Arnoud

Jonge Skype- en Outlook-gebruikers in de problemen door privacywet

| AE 10569 | Cloud, Privacy | 25 reacties

Kinderen onder de 16 jaar met een Outlook- of Skype-account hebben een probleem: ze kunnen opeens niet meer inloggen. Dat meldde de NOS vorige week op basis van een PR-meelbal van Microsoft die het afsluiten van minderjarigen in het belang van hun veiligheid noemt. De geciteerde reden – dat moet van de AVG – is… Lees verder

WhatsApp verhoogt minimumleeftijd naar 16 jaar vanwege AVG

| AE 10559 | Privacy | 17 reacties

Gebruikers van chatdienst WhatsApp moeten voortaan minstens 16 jaar oud zijn, las ik bij Nu.nl. De aangepaste voorwaarden voor de chatapplicatie, die alleen in Europa worden doorgevoerd, eisen dat de gebruiker minimaal zestien is en maken afsluiting mogelijk van wie onder deze leeftijd blijkt. Er is vooralsnog geen informatie dat WhatsApp dit werkelijk gaat handhaven…. Lees verder

Je hebt nog 32 dagen om de AVG te implementeren #32totavg

| AE 10478 | Privacy | 30 reacties

Vandaag zijn er nog precies 32 dagen te gaan tot 25 mei 2018, de datum waarop de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht wordt. Er is nog steeds veel onzekerheid over de AVG, die van alles zou verbieden of onwerkbaar maken. De AVG noem ik altijd vooral… Lees verder

Wanneer moet je nou met iemand een verwerkersovereenkomst sluiten?

| AE 10538 | Privacy | 32 reacties

Het begint dagelijkse kost te worden voor veel organisaties: of je even een verwerkersovereenkomst wilt tekenen, want de AVG komt eraan en die eist grote zorgvuldigheid en compliance et cetera. Wat me daarbij opvalt, is dat die overeenkomsten opgedrongen worden aan allerlei partijen die überhaupt geen verwerkers zijn. Dat geeft hoogst merkwaardige spraakverwarring. Maar het… Lees verder

Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische… Lees verder

Hoe kan Facebook legaal gezichten gaan scannen onder de AVG?

| AE 10513 | Privacy | 10 reacties

Als voorbereiding op de AVG gaat Facebook gezichtsherkenning aanzetten voor Europese gebruikers die dat willen, las ik bij de socialenetwerksite. Dat is verrassend, omdat ze het in 2011 uitgezet hadden na klachten dat de (Duitse) Wbp werd overtreden met deze feature. Doel van de nieuwe feature is te zorgen dat mensen in kunnen grijpen als… Lees verder