Waarom de NPO-app geen toestemming mag eisen voor tracking en dataverzameling

| AE 10260 | Internetrecht | 25 reacties

Juristen zetten vraagtekens bij de manier waarop de app NPO Start gegevens verzamelt van gebruikers, meldde de NOS vorige week. De NPO app eist akkoord op de mogelijkheid dat informatie over het kijkgedrag wordt doorgeven aan adverteerders (inclusief niet met naam genoemde partijen), anders kun je de app niet gebruiken. Wat mij betreft is dit geen vraag of het mag, maar een inkoppertje: nee, dat mag niet.

In 2014 kreeg de NPO al een tik van de toezichthouder ACM voor het niet op de correcte wijze plaatsen van cookies. Dat ging over de normale basale regels van informeren en netjes vragen, maar in de tussentijd is de wet gewijzigd – in het nadeel van de NPO. Bij de versoepeling van de cookiewet werd namelijk tevens bepaald dat publieke diensten geen cookiemuren mogen opwerpen:

De toegang van de gebruiker tot een dienst van de informatiemaatschappij die wordt geleverd door of namens een krachtens publiekrecht ingestelde rechtspersoon wordt niet afhankelijk gemaakt van het verlenen van [cookietoestemming].

Natuurlijk hebben we het in deze discussies meestal over cookiepopups bij websites, maar de cookiewet is veel algemener dan dat. Het gaat om iedere dienst van de informatiemaatschappij, iedere internetdienst dus. Ook een app met ingebouwde trackers valt dus gewoon onder die cookiewet. Ik heb er dus geen twijfel over dat de NPO dit wetsartikel overtreedt als ze het gebruik van haar app afhankelijk maakt van toestemming om getrackt te worden.

De NPO werkt nu aan een optie om deze gegevensdeling uit te zetten. Dat is wel een tikje te laat dus, maar alsnog mooi zullen we maar zeggen.

Arnoud

Ook openbare gegevens vallen gewoon onder de AVG

| AE 9805 | Internetrecht | 39 reacties

Een lezer vroeg me:

Klopt het dat de Algemene Verordening Gegevensbescherming ook gaat gelden voor informatie uit openbare bronnen? Dat kan toch niet waar zijn, dan is internet toch ineens volledig verboden terrein?

Het klopt dat de AVG ook gaat gelden voor persoonsgegevens die in een vrijelijk toegankelijke openbare bron te vinden zijn. Dit is echter onder de huidige wet ook al het geval. Kort gezegd boeit het niet hoe openbaar of afgesloten de bron van je persoonsgegevens is.

De Wbp en straks de AVG zijn geschreven voor álle verwerkingen van persoonsgegevens, ongeacht de status van de bron. Dus of je nu een zelf opgebouwd nieuwsbriefbestand hebt of e-mailadressen uit LinkedIn haalt, in beide gevallen zul je moeten laten zien dat je een grondslag uit de wet hebt om dit te mogen doen. Dus vertel maar eens, waar is de gegeven toestemming, voor welk contract is deze verwerking of welke belangenafweging met privacywaarborgen heb je gemaakt?

Vaak wordt bij informatie uit openbare bronnen gezegd dat daar toestemming mag worden verondersteld voor hergebruik. Immers, je zet het zelf op internet dus mag iedereen alles. Maar dat is onmogelijk; onder de AVG is toestemming alleen rechtsgeldig gegeven als deze specifiek is. En ‘alles mag’ is het tegenovergestelde van specifiek.

In een zaak eerder dit jaar was de rechtbank snel klaar met een advocatenkantoor dat WSNP-gegevens had overgetypt uit de Staatscourant, toch een behoorlijk openbare bron. De personen in kwestie kregen vervolgens een direct mailing met aanbod zich te laten bijstaan door het kantoor. Dat is volgens de rechtbank zonder enige twijfel een verwerking van persoonsgegevens, en dat de Staatscourant openbaar is doet daarbij volstrekt niet ter zake.

In principe is verwerken van iemands gegevens mogelijk zonder toestemming, mits jij met een duidelijke belangenafweging kunt laten zien dat dit gerechtvaardigd is én je zo veel mogelijk rekening hebt gehouden met zijn privacy. Dat gaat hier meteen mis:

De eerste vraag die aan de orde komt is of verweerder werkelijk een gerechtvaardigd belang heeft bij de verwerking van de persoonsgegevens. Hieromtrent heeft verweerder niets naar voren gebracht. De tweede vraag is of met het verwerken van persoonsgegevens een inbreuk wordt gemaakt op belangen of fundamentele rechten van verzoekster, op welke vraag de rechtbank bevestigend antwoordt. Verzoekster is immers, door het onverwachts vinden van de brief op haar deurmat, geschrokken en geëmotioneerd, waarmee haar belang een gegeven is. … De rechtbank overweegt dat verweerder haar nagestreefde doel ook op een andere manier kan bereiken, omdat zij immers mensen niet direct hoeft te benaderen voor een gezonde bedrijfsvoering, maar ook in meer algemene zin reclame kan maken. Niet is gesteld of onderbouwd dat ‘direct marketing’ noodzakelijk is om als advocatenkantoor het hoofd boven water te houden.

Daarmee weegt het belang van direct marketing niet op tegen het privacybelang van personen die met naam en toenaam in de Staatscourant genoemd worden als onder de WSNP geplaatst. Dat die bron openbaar is, komt hier in het geheel niet aan de orde. En dat klopt.

Dit wil overigens niet zeggen dat je dus niets mág met openbare bronnen. Het mag wel, maar je moet dezelfde afweging maken als bij besloten bronnen. Waarom weegt jouw marketingbelang zwaarder dan mensen hun privacybelang?

Arnoud

Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot?

| AE 9700 | Internetrecht | 19 reacties

Een intrigerende vraag op Reddit (de /r/Nederland):

I have a 6 months contract. My employer is adding a fingerprint lock to the door, I don’t want my fingerprint or the hash calculated from it to be taken, can he force me?

(Ik baseer het antwoord maar even op de AVG/GDPR want die is het relevantst voor de lange termijn.)

Een vingerafdruk wordt gezien als een biometrisch persoonsgegeven: fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon waarmee identificatie mogelijk is. Wel moet het dan gaan om verwerkingen met het oog op de unieke identificatie van een persoon, maar daarvan lijkt me hier wel sprake.

Het verwerken van biometrische persoonsgegevens valt onder de zeer strenge regels voor bijzondere persoonsgegevens. Dat mag kort gezegd niet, tenzij in de AVG staat van wel. Wie dan doorleest, zal in de AVG zelf niets vinden waarin staat dat dit mag. Echter, hoewel het hier gaat om een Europese wet is het specifiek op dit punt toegestaan dat landen eigen regels maken over biometrische persoonsgegevens.

Nederland heeft dat gedaan, althans in concept: de concepttekst van de Uitvoeringswet AVG bepaalt (artikel 26) dat deze gegevens mogen worden verwerkt ter identificatie. Voorwaarde hiervoor is wel dat de verwerking noodzakelijk en proportioneel is ter behartiging van gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde. Het is onder omstandigheden eveneens toegestaan om biometrische gegevens te verwerken indien de betrokkene hiervoor in vrijheid toestemming heeft gegeven.

Dat van die toestemming kun je vergeten als werkgever. Even kort door de bocht, omdat iedereen graag salarisverhoging/vast contract/promotie wil, zullen ze op iedere toestemmingsvraag ja zeggen uit angst dat mis te lopen. Dat is dus niet vrijwillig.

Je moet als werkgever dus op zoek naar een rechtvaardigingsgrond. Waarom moet dat nou met biometrie, die deur. Is er werkelijk geen andere, net zo effectieve oplossing? Natuurlijk, sleutels kan men kwijtraken en pincodes kunnen worden vergeten, uitgelekt of afgekeken. Een portier is ook ietwat begrotelijk. En de kans dat een derde vingers gaat afsnijden om binnen te komen is bij het gemiddelde Nederlandse bedrijf niet zo groot.

Vanuit dat standpunt denk ik dat het dus wel mag, mits alléén voor toegangscontrole. Zou je die vingerafdrukken ook gaan gebruiken om bijvoorbeeld te kijken hoe goed iemand zijn werk doet (“neemt wel héél vaak pauze”) dan zul je daar een apart verhaal voor moeten bouwen waarom jouw belang als werkgever het alsnog wint van de privacy van de werknemer.

Arnoud

Mag het mijnen van cryptomunten online advertenties vervangen?

| AE 9696 | Internetrecht | 42 reacties

Intrigerende ontwikkeling las ik bij Dutch Cowboys: het plaatsen van een crypto-munt mijner op een website die de processor van jouw computer gebruikt om die digitale valuta te genereren. Dit ter vervanging van de klassieke advertentie, waar immers geen cent meer mee verdiend wordt omdat iedereen adblockers heeft. Het idee is niet helemaal nieuw maar… Lees verder

Mag mijn zorgverzekeraar op Facebook om mijn BSN vragen?

| AE 9693 | Internetrecht | 22 reacties

Een lezer vroeg me: Nadat ik ontdekte dat ik mijn gegevens niet kon wijzigen bij het portaal van mijn verzekeraar, kreeg ik via Facebook contact met ze. Heel behulpzaam en vriendelijk, alleen wil men mijn BurgerServiceNummer ontvangen ter authenticatie. Mag de zorgverzekeraar überhaupt wel naar mijn BSN vragen via dit kanaal? Vragen naar een BSN… Lees verder

Steeds meer Nederlanders lezen aanmaningen en berichten in MijnOverheid niet

| AE 9667 | Internetrecht | 59 reacties

Steeds meer Nederlanders lezen de berichten in de Berichtenbox van MijnOverheid niet, meldde Tweakers afgelopen woensdag op gezag van de Ombudsman. Daardoor krijgen die mensen waarschuwingen en aanmaningen niet onder ogen, wat tot gevolg kan hebben dat rekeningen oplopen en ze in de schulden belanden. Maar hoera, er komt een app dus alles wordt beter…. Lees verder

Tot eigendom van data geregeld is, kun je maar beter goede backups maken

| AE 9517 | Internetrecht | 12 reacties

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar… Lees verder

Smartphones op school: streng verboden?

| AE 9504 | Internetrecht | 68 reacties

Veel scholen worstelen met telefoons in de klas, las ik in NRC onlangs. Met onder meer diverse scholen met smartphoneverboden, en eentje die als ultieme sanctie een week de telefoon kan afpakken. Ondertussen krijg ik regelmatig mails van ouders (én leerlingen) die zo’n telefooninbeslagname willen aanvechten en hoe dat juridisch zit. Dus ja, hoe zit… Lees verder