Mag je van de GDPR geen cloud-based office dienst meer inzetten?

| AE 11154 | Privacy, Regulering | 29 reacties

It is currently impossible for Sweden’s public sector to purchase web-based office services (word processing, email and text/video chat) that comply with the European General Data Protection Regulation (GDPR). Dat las ik bij de Open Source Observatory. Men ging af op een studie van de Zweedse National Procurement Services die focust op de impact van de US CLOUD Act, waarmee data vanuit Europa ineens opgevraagd kan worden door Amerikaanse diensten, en dat is dan in strijd met de AVG/GDPR. Dus einde van de cloud-based office in Europa? Nou, niet helemaal.

Er is veel onduidelijkheid over de US CLOUD Act, en dat is niet gek want die wet is er stilletjes en zonder al te veel voorafgaande discussie gekomen middenin het getouwtrek tussen Microsoft en de FBI over afgifte van data bij een Europese dochter van het Office-cloudbedrijf. Kort en goed zegt die wet, niet zeuren maar doen. Afgeven die hap, ook als die in het buitenland staat. Letterlijk (paragraaf 2713):

Electronic communication service providers and remote computing service providers must comply with the obligations of [this Act] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Zo’n bevel kan aan Microsoft in Redmond, Washington worden gegeven. Die zou dan haar Duitse dochter kunnen opdragen die gegevens door te geven, want je zit nu eenmaal in een concern. Maar dat kan eigenlijk niet, want binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.

Meer effect zou je als FBI hebben als je direct die Duitse dochter pakt en zegt, afgeven die hap, strikte geheimhouding en anders Gitmo for you. Maar ook dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Een bevel onder de CLOUD Act voldoet niet aan die omschrijving. (Een rechtshulpverzoek aan de Duitse federale politie natuurlijk wel, maar die toetsen dan naar Duits recht en daar hoort iets meer openbaarheid en toetsing aan grondrechten bij.) Daarmee zou die Duitse dochter dus niet mee mogen werken op straffe van hoge boetes. Een vervelende spagaat; je moet iets afgeven op straffe van hoge boetes of zelfs celstraf, maar je mag het niet afgeven op straffe van minstens zo hoge boetes en dreiging van sluiting van je bedrijf (een verwerkingsverbod). Wat moet je dan doen als directie?

Arnoud

Waarom moeten artsen binnenkort hun BIG nummer op Twitter zetten?

| AE 11150 | Regulering | 19 reacties

Huisartsen en andere zorgverleners zijn verbaasd over de manier waarop ze vanaf 1 april hun registratienummer moeten tonen. Dat las ik bij RTL Nieuws. Als voorbeeld noemen ze dat dit nummer onder meer bij hun Twitter-account moeten staan als ze zich daar als arts bekendmaken. Grote ophef en protest, niet alleen bij artsen maar ook bij fysiotherapeuten, verpleegkundigen en andere beroepsbeoefenaars die in het BIG-register zijn ingeschreven. Vanwaar deze consternatie?

De Wet op de beroepen in de individuele gezondheidszorg (‘Wet BIG’) bestaat al heel wat jaartjes en reguleert, inderdaad, beroepen in de gezondheidszorg. Een belangrijke component daarvan is het register, waar je als gereguleerde zorgaanbieder ingeschreven moet staan. Een beetje vergelijkbaar met de KVK voor ondernemers, maar strenger want als je eruit wordt gehaald dan mag je je beroep niet meer beoefenen.

Door een wijziging in de wet BIG zijn BIG-geregistreerde zorgverleners per 1 april 2019 verplicht hun BIG-nummer actief bekend te maken, aldus de Rijksoverheid in februari. Die wetswijziging is vorig jaar aangenomen, en daarbij is dit punt niet echt onder de aandacht gekomen volgens mij. Ik denk dat dat komt omdat er in de wet alleen iets vaags stond:

Bij algemene maatregel van bestuur kan worden bepaald in welke gevallen en op welke wijze de beoefenaar van een beroep als bedoeld in artikel 3, eerste lid, het publiek kenbaar maakt onder welk BIG-nummer hij is ingeschreven.

Die informatie van de Rijksoverheid is voor zover ik kan nagaan niet op een AMvB gebaseerd, maar het ministerie van VWS loopt vooruit (aldus NVZ Kennisnet) met deze publicatie. En wat veel mensen helemaal overvalt, is dat dit zonder overleg met het veld en al per 1 april is besloten. Nog los van de algemene negatieve opinie dat dit niets toevoegt, zie bijvoorbeeld het t-shirt van huisarts Marco Blanker (topicfoto) die tegenwoordig als Twitternick zijn BIG-nummer heeft.

Het ministerie noemt als motivatie dat het transparanter voor zorgafnemers is om meteen het BIG-nummer te hebben. Je kunt dan meteen opzoeken wat voor kwalificaties iemand heeft (of heel basaal of een nepnummer is gebruikt), en dat gaat sneller dan alleen een achternaam of Twitternick. Achternaam en geboortedatum zou wel werken, maar veel zorgverleners vinden dat net iets privacygevoeliger, zo lees ik. En dan is dit nummer dat toch al openbaar is, misschien een betere oplossing. Tegelijkertijd heb ik geen idee welk probleem dit dan zou oplossen want het lijkt vrijwel niet voor te komen dat mensen zich met andermans BIG-nummer als arts voordoen, of dat patiënten werkelijk hun zorgverlener niet kunnen vinden.

Arnoud

Hoe belangrijk zijn emoji in een vonnis?

| AE 11142 | Regulering | 11 reacties

Amerikaanse rechtbanken kunnen niet omgaan met emoji (emoticons), las ik bij The Verge. Santa Clara University law professor Eric Goldman heeft onderzoek gedaan naar emoji’s in vonnissen, en zag opvallend vaak dat deze gewoon maar werden weggelaten hoewel ze steeds vaker in zaken een rol spelen. Dat heeft een basale reden, de databanken waar vonnissen in opgenomen worden kunnen niet goed met niet-tekstuele gegevens omgaan. Dat is in Nederland gelukkig iets makkelijker, Rechtspraak.nl kan gewoon afbeeldingen in vonnissen opnemen. Maar hoe rechters emoji interpreteren, blijft een open vraag.

Goldman zag de termen ‘emoji’ en ‘emoticon’ sinds 2004 opkomen, de laatste paar jaar exponentieel toegenomen ten opzichte van het begin. In allerlei soort zaken, van moordzaken en overvallen tot vervolgingen wegens pooierij of zelfs een contractenzaak:

In 2017, a couple in Israel was charged thousands of dollars in fees after a court ruled that their use of emoji to a landlord signaled an intent to rent his apartment. After sending an enthusiastic text confirming that they wanted the apartment, which contained a string of emoji including a champagne bottle, a squirrel, and a comet, they stopped responding to the landlord’s texts and went on to rent a different apartment. The court declared that the couple acted in bad faith, ruling that the “icons conveyed great optimism” that “naturally led to the Plaintiff’s great reliance on the Defendants’ desire to rent his apartment,” according to Room 404.

Ik denk dat dit in Nederland ook wel zo zou uitpakken. Ik heb echter gezocht maar kon weinig vinden aan vonnissen waarin emoji’s, emoticons of smileys een rol speelden. Er zijn vele zaken met treffers maar vrijwel altijd vals positief: allerlei drugs wordt verkocht met smileys erop, bijvoorbeeld.

De enige echte zaak die ik ken waarin een smiley meegewogen werd, was de Balkenende-bedreiging uit 2010 op ‘jongerenmedium’ Hyves:

ey bolle vet zak met je kanker bolle kanker bril je gaat died bitch ik kom je halen

Klinkt agressief, nietwaar? Maar de ontvanger van deze krabbel – toenmalig ministerpresident Balkenende – hoefde zich niet bedreigd te voelen:

Gelet op de gebruikte bewoordingen, het feit dat het bericht afkomstig was van een jongerennetwerk en het feit dat aan het bericht vijftien, verschillende soorten ‘smileys’ waren toegevoegd, komt het hof tot het oordeel dat een dergelijke vrees in redelijkheid niet bij [minister-president] heeft kunnen ontstaan.

Dat wil natuurlijk niet zeggen dat berichten met smileys nooit en te nimmer strafbaar kunnen zijn. In deze arbeidsrechtzaak las ik bijvoorbeeld een ongepaste chat tussen twee werknemers waarin een smiley een bericht een dubieuzere toon gaf dan de tekst alleen. En ik zou me kunnen voorstellen dat bij een dreigtekst een emoji van een pistool de lading ook een stuk ernstiger maakt dan een hartje of een emotieloze tekst.

Wie de mooiste zaak vindt, wint een gratis exemplaar van De wet op internet!

Arnoud

Nederlandse politie wil gebruikmaken van particuliere DNA-databank in VS

| AE 11115 | Privacy, Regulering | 11 reacties

De coldcaseteams van de Amsterdamse en Rotterdamse politie willen de Amerikaanse particuliere DNA-databank GEDmatch inzetten om de identiteit van onbekende doden te achterhalen. Dat meldde NRC gisteren. GEDmatch is een openbare, Amerikaanse databank waarin genetische gegevens van allerlei mensen zitten, en daarin kan iedereen zoeken op potentiële matches. Daarmee is in theorie de mogelijkheid voor… Lees verder

Wanneer is het hebben van een Remote Acces Tool en een Keylogger strafbaar?

| AE 11106 | Regulering, Security | 22 reacties

In december werd een man veroordeeld voor het voorhanden hebben en verspreiden van Blackshades software. De rechtbank merkte dit aan als medeplichtigheid tot computervredebreuk, omdat deze software gebruikt kan worden om een inbraak in andermans computer te vergemakkelijken. Wat diverse lezers ertoe bracht om me te vragen, hoezo is het strafbaar om die software te… Lees verder

Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

| AE 11100 | Regulering | 26 reacties

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was… Lees verder

OM vervolgt internetoplichters niet als ze slachtoffers terugbetalen

| AE 11091 | Regulering | 13 reacties

Het Openbaar Ministerie is een proef gestart waarbij internetoplichters niet worden vervolgd als ze hun slachtoffers terugbetalen. Dat las ik bij Security.nl Alleen zogeheten “first offenders” die mensen voor maximaal 300 euro hebben opgelicht komen in aanmerking. “Strafvervolging is van secundair belang”, zo wordt de politie geciteerd. Het gaat namelijk vaak om minderjarigen of jongere… Lees verder

Ja, deden ze dat maar – Privacygroep klaagt Amazon, Apple en Netflix aan om schenden AVG

| AE 11085 | Privacy, Regulering | 47 reacties

Privacyorganisatie noyb heeft grote techbedrijven aangeklaagd, omdat die de Algemene verordening gegevensbescherming (AVG) zouden schenden. Dat meldde Nu.nl onlangs. Dat klonk interessant, maar het bleek tegen te vallen: ze hebben gewoon een klacht ingediend bij de Oostenrijkse Autoriteit Persoonsgegevens, in de hoop dat die de techbedrijven Netflix, Amazon, Spotify, YouTube en Apple (en nog een… Lees verder

Deliveroo-bezorgers zijn toch werknemers en geen zzp’ers

| AE 11075 | Ondernemingsvrijheid, Regulering | 26 reacties

Bezorgers die voor Deliveroo maaltijden bezorgen worden door het bedrijf ten onrechte als zzp’ers aangemerkt, oordeelde de rechter in twee zaken die vakbond FNV aanspande. Dat las ik bij Nu.nl vorige week. De bezorgers zijn feitelijk gewoon werknemers en moeten als zodanig behandeld worden; dat Deliveroo ze zzp’er noemt, is daarbij niet relevant (in tegenstelling… Lees verder

200.000 particuliere beveiligingscamera’s in politiedatabase

| AE 11065 | Regulering, Security, Uitingsvrijheid | 19 reacties

De afgelopen jaren hebben bedrijven en particulieren meer dan 200.000 beveiligingscamera’s in een database van de politie laten registreren, las ik bij Security.nl. Het gaat om de database “Camera in Beeld”, die informatie over beveiligingscamera’s in Nederland bevat. Het register stelt de politie in staat om snel camerabeelden te vorderen van strafbare feiten en andere… Lees verder