Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot?

| AE 9700 | Internetrecht | 19 reacties

Een intrigerende vraag op Reddit (de /r/Nederland):

I have a 6 months contract. My employer is adding a fingerprint lock to the door, I don’t want my fingerprint or the hash calculated from it to be taken, can he force me?

(Ik baseer het antwoord maar even op de AVG/GDPR want die is het relevantst voor de lange termijn.)

Een vingerafdruk wordt gezien als een biometrisch persoonsgegeven: fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon waarmee identificatie mogelijk is. Wel moet het dan gaan om verwerkingen met het oog op de unieke identificatie van een persoon, maar daarvan lijkt me hier wel sprake.

Het verwerken van biometrische persoonsgegevens valt onder de zeer strenge regels voor bijzondere persoonsgegevens. Dat mag kort gezegd niet, tenzij in de AVG staat van wel. Wie dan doorleest, zal in de AVG zelf niets vinden waarin staat dat dit mag. Echter, hoewel het hier gaat om een Europese wet is het specifiek op dit punt toegestaan dat landen eigen regels maken over biometrische persoonsgegevens.

Nederland heeft dat gedaan, althans in concept: de concepttekst van de Uitvoeringswet AVG bepaalt (artikel 26) dat deze gegevens mogen worden verwerkt ter identificatie. Voorwaarde hiervoor is wel dat de verwerking noodzakelijk en proportioneel is ter behartiging van gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde. Het is onder omstandigheden eveneens toegestaan om biometrische gegevens te verwerken indien de betrokkene hiervoor in vrijheid toestemming heeft gegeven.

Dat van die toestemming kun je vergeten als werkgever. Even kort door de bocht, omdat iedereen graag salarisverhoging/vast contract/promotie wil, zullen ze op iedere toestemmingsvraag ja zeggen uit angst dat mis te lopen. Dat is dus niet vrijwillig.

Je moet als werkgever dus op zoek naar een rechtvaardigingsgrond. Waarom moet dat nou met biometrie, die deur. Is er werkelijk geen andere, net zo effectieve oplossing? Natuurlijk, sleutels kan men kwijtraken en pincodes kunnen worden vergeten, uitgelekt of afgekeken. Een portier is ook ietwat begrotelijk. En de kans dat een derde vingers gaat afsnijden om binnen te komen is bij het gemiddelde Nederlandse bedrijf niet zo groot.

Vanuit dat standpunt denk ik dat het dus wel mag, mits alléén voor toegangscontrole. Zou je die vingerafdrukken ook gaan gebruiken om bijvoorbeeld te kijken hoe goed iemand zijn werk doet (“neemt wel héél vaak pauze”) dan zul je daar een apart verhaal voor moeten bouwen waarom jouw belang als werkgever het alsnog wint van de privacy van de werknemer.

Arnoud

Mag het mijnen van cryptomunten online advertenties vervangen?

| AE 9696 | Internetrecht | 42 reacties

Intrigerende ontwikkeling las ik bij Dutch Cowboys: het plaatsen van een crypto-munt mijner op een website die de processor van jouw computer gebruikt om die digitale valuta te genereren. Dit ter vervanging van de klassieke advertentie, waar immers geen cent meer mee verdiend wordt omdat iedereen adblockers heeft. Het idee is niet helemaal nieuw maar werd nu vooral stiekem toegepast. Zou je het ook legaal en open kunnen doen, zeg maar een mijnmuur “Geef toestemming voor cryptomuntmining of de site wordt ontoegankelijk”?

Cryptomunten zoals bitcoin werken zonder centrale autoriteit. In plaats daarvan worden transacties gedecentraliseerd gecontroleerd, en daarvoor zijn complexe berekeningen nodig. Om mensen te stimuleren daaraan mee te werken, word je beloond wanneer je computercapaciteit daarvoor beschikbaar stelt: na voldoende te hebben gerekend, krijg je een gratis nieuwe munt. Dit proces wordt ook wel mining oftewel mijnen of delven genoemd.

Het is technisch mogelijk (maar niet superefficiënt) om software voor dergelijk mining in Javascript uit te voeren, dat dan via een website kan worden verspreid zonder dat mensen apart software moeten downloaden en installeren. Dat biedt dus mogelijkheden om dit bij bezoekers van je site te doen, en daar komt dus het idee vandaan uit de openingsalinea: je moet deze software laten draaien (en mij de gedolven munten geven) anders mag je niet op mijn site.

Mag dat? In principe ja. Het is jouw site, en als jij rare eisen wilt stellen aan de toegang dan is dat jouw beslissing. Omdat het gaat om het installeren van software, is hierop de cookiewet van toepassing. Die eist dat er toestemming wordt gegeven voordat dit programma mag worden losgelaten. Er wordt immers informatie (een script) opgeslagen op de harde schijf van de gebruiker, al is het maar de browsercache.

Uitzondering op die toestemmingsplicht is wanneer de informatie functioneel relevant is, oftewel nodig voor het goed werken van de site. Daarmee zijn normaal Javascripts te rechtvaardigen, maar specifiek hier zie ik dat niet: dit script is niet strikt nodig om de site goed te kunnen laten werken. Zonder toestemming zie ik dit dus niet werken.

Een cookiewall dus – een cryptomuntminingwall. Kan, maar dan kom ik bij een ander issue. Een advertentie is irritant maar mijn computer krijgt er in principe geen last van (malware-injecties daargelaten). Maar het delven van cryptomunten kan een zware belasting voor je computer zijn, en dat zou in ieder geval in theorie tot storingen of zelfs hardwareschade kunnen leiden. Hoewel ik me moeilijk kan voorstellen dat dat ook zou spelen bij een Javascript-gebaseerde delver, maar daar weten jullie denk ik meer van dan ik.

Arnoud

Mag mijn zorgverzekeraar op Facebook om mijn BSN vragen?

| AE 9693 | Internetrecht | 22 reacties

Een lezer vroeg me:

Nadat ik ontdekte dat ik mijn gegevens niet kon wijzigen bij het portaal van mijn verzekeraar, kreeg ik via Facebook contact met ze. Heel behulpzaam en vriendelijk, alleen wil men mijn BurgerServiceNummer ontvangen ter authenticatie. Mag de zorgverzekeraar überhaupt wel naar mijn BSN vragen via dit kanaal?

Vragen naar een BSN mag nooit – maar soms móet je het verkrijgen. Een zorgverzekeraar is verplicht het BSN gebruiken om persoonsverwisseling en andere fouten te voorkomen. De logica van een verzekeraar die bij een klantenserviceverzoek om een BSN vraagt, zie ik dus wel. (Ik neem aan dat er om meer wordt gevraagd dan alléén het BSN, maar dat terzijde.)

De factor Facebook maakt deze wel een tikje ingewikkeld. Op zich maakt het niet uit welk kanaal de verzekeraar gebruikt voor de communicatie met de klant, zolang dat maar veilig genoeg is voor de communicatie. Dus of je nu belt, appt of Facebookt zou in principe op hetzelfde neer moeten komen. Alleen: bij bellen zit er niet echt een derde partij tussen die inzicht heeft in de communicatie, en een eigen commercieel belang heeft bij de inhoud, pardon je gebruikservaring wil verrijken.

Formeel gezien heeft de verzekeraar hier dus een probleem: zij moeten er voor zorgen dat Facebook niet met die communicatie aan de haal gaat. Er zou in theorie een verwerkersovereenkomst met Facebook moeten worden gesloten, of een andere garantie dat het communicatiekanaal veilig is. Ik denk dat dat maar zelden het geval is, en dan is het dus niet goed mogelijk om dit soort dingen via Facebook te doen.

Arnoud

Steeds meer Nederlanders lezen aanmaningen en berichten in MijnOverheid niet

| AE 9667 | Internetrecht | 59 reacties

Steeds meer Nederlanders lezen de berichten in de Berichtenbox van MijnOverheid niet, meldde Tweakers afgelopen woensdag op gezag van de Ombudsman. Daardoor krijgen die mensen waarschuwingen en aanmaningen niet onder ogen, wat tot gevolg kan hebben dat rekeningen oplopen en ze in de schulden belanden. Maar hoera, er komt een app dus alles wordt beter…. Lees verder

Tot eigendom van data geregeld is, kun je maar beter goede backups maken

| AE 9517 | Internetrecht | 12 reacties

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar… Lees verder

Smartphones op school: streng verboden?

| AE 9504 | Internetrecht | 68 reacties

Veel scholen worstelen met telefoons in de klas, las ik in NRC onlangs. Met onder meer diverse scholen met smartphoneverboden, en eentje die als ultieme sanctie een week de telefoon kan afpakken. Ondertussen krijg ik regelmatig mails van ouders (én leerlingen) die zo’n telefooninbeslagname willen aanvechten en hoe dat juridisch zit. Dus ja, hoe zit… Lees verder

Wordt het niet eens tijd om data-eigendom wettelijk te gaan regelen? #dimorefi

| AE 9167 | Internetrecht | 15 reacties

Langsgekomen bij de voorspellingen 2017: wordt het niet eens tijd om data-eigendom te gaan regelen? Data is de grondstof van de informatiesamenleving, maar juridisch gezien bestaat data niet bij diensten van diezelfde informatiemaatschappij. Dat is buitengewoon raar en leidt tot zeer onbillijke situaties. Tijd om er wat aan te gaan doen. Alleen: wát dan? Je… Lees verder

Mag Spotify mijn SSD-schijven tot prut reduceren?

| AE 9077 | Internetrecht | 15 reacties

Oeps. De afgelopen vijf maanden (zo niet langer) heeft de Spotify app zo hard staan schrijven naar de ssd-schijven in telefoons dat deze járen aan levensduur zijn kwijtgeraakt. Dat las ik bij Ars Technica. Frequent schrijven naar ssd schijven is serieus Niet Handig aangezien dat voor grote slijtage zorgt. En nee, het ging niet om… Lees verder