Britse encryptiewet wordt niet gehandhaafd omdat ‘encryptie scannen niet kan’

Een Brits wetvoorstel dat het mogelijk moet maken om versleutelde chats te scannen op kindermisbruikmateriaal is flink afgezwakt. Dat meldde Tweakers vorige week. Pas als het ’technisch mogelijk is’ om chats te scannen ondanks versleuteling, komt men hierop terug. Wel moet markttoezichthouder Ofcom zijn macht gebruiken om van bedrijven te eisen dat ze ‘hun best doen’ om oplossingen voor het probleem te vinden.

De Online Safety Bill, zoals de wet heet, was al geruime tijd zeer controversieel vanwege haar plicht aan techbedrijven om desgevraagd versleutelde chats toegankelijk te maken voor Justitie. Bedrijven als Signal en WhatsApp hadden gedreigd hun product uit het VK terug te trekken als deze plicht in de wet zou komen.

De voorgestelde constructie was dat men onder de wet verplicht zou zijn achterdeurtjes of dergelijke in te bouwen, zonder het adequate karakter van de beveiliging te beschadigen. Dat dit niet kan, is een waarheid als een koe, maar dat heeft nog nooit een publiciteitsbeluste politicus tegengehouden het toch te eisen.

Het nieuwe voorstel is wat afgezwakt, aldus Wired:

Under the bill, the regulator, Ofcom, will be able “to direct companies to either use, or make best efforts to develop or source, technology to identify and remove illegal child sexual abuse content—which we know can be developed,” Scully said.
De toezichthouder moet dus uitzoeken welke technologie er zoal beschikbaar is, en dan van de techbedrijven eisen dat die een “best effort” (goeie inspanning) maken om te kijken of dat kan werken. Daar zitten genoeg mensen die daar met goede motivatie jaren over doen om te concluderen dat het niet kan werken, dus ik snap wel dat de conclusie is dat de wet hiermee effectief om zeep geholpen is.

Arnoud

 

 

Mozilla: moderne auto’s zijn privacynachtmerrie op wielen

Moderne auto’s zijn een privacynachtmerrie op wielen, zo stelt Mozilla dat onderzocht hoe 25 automerken met persoonlijke informatie omgaan. Dat meldde Security.nl vorige week. Ze kunnen zelfs “race, national origin, religious or philosophical beliefs, sexual orientation, sexual activity, precise geolocation, health diagnosis data, and genetic information” van je achterhalen. Ik ga direct de sensoren in mijn auto nalopen.

Oké, die was flauw: dit is voor mij een volkomen standaard riedel die ik nodeloos op een heleboel plekken zie. Het is gewoon de definitie van “bijzondere persoonsgegevens” uit de AVG, en uit luiheid heeft daar een jurist die overgeschreven voor het geval dat er wellicht indirect en onvoorzien zo’n gegeven wordt verzameld.

Spannender is wat Mozilla ook ontdekte:

Our main concern is that we can’t tell whether any of the cars encrypt all of the personal information that sits on the car. And that’s the bare minimum! We don’t call them our state-of-the-art security standards, after all.
In combinatie met het gegeven dat elke nieuwe auto een ingebouwd modem heeft, is dit natuurlijk wel een recept voor ongelukken. Dit hoewel in Europa sinds kort nieuwe regelgeving voor cybersecurity van auto’s van kracht is, die onder meer eist dat een auto goed beveiligd is bij haar
on-board instruments, electrical system, vehicle lighting and protection against unauthorised use including cyberattacks;
Dit komt terug in de technische bijlage als de eis “D4 Protection of vehicle against cyberattacks”, die weer verwijst naar United Nations regulering 155. Wie deze doorleest, zal vooral opvallen dat er ontzettend veel procedureels in staat maar geen harde inhoudelijke eisen. Dat is bewust: goede security gaat meer om consistent je best doen dan om arbitraire lijstjes met eisen langs te lopen.

Tevens is het met deze aanpak zo dat de fabrikant aan het einde van het proces moet verklaren dat het autotype cybersecurity-veilig is. Dat levert een stukje productaansprakelijkheid op als dat niet zo blijkt te zijn, net zoals met alle andere veiligheidsaspecten van auto’s.

Het grootste probleem dat ik dan ook zie, is dat het vooral het niet-kwantificeerbaar zijn van de schade is. Bij slechte kwaliteit banden of verkeerde remwegsensoren is de schade vast te stellen op een bepaald bedrag, maar wat moet een autofabrikant betalen als gegevens over jouw seksuele gerichtheid naar Koreaanse hackers zijn gegaan?

Dit is natuurlijk geen specifiek probleem voor auto’s, het is hét probleem met de AVG.

Arnoud

 

Mag een vingerafdruk voor authenticatie wel als deze op de laptop blijft in een speciale chip?

Een lezer vroeg me:

Mijn werkgever heeft gekozen voor implementatie van schermsloten met vingerafdrukherkenning. Echter, mij is nu onduidelijk of dit als verwerking van biometrische gegevens telt onder de AVG. Immers: er wordt geen foto van de vingerafdruk opgeslagen maar een vectorpatroon dat niet (her-)gebruikt kan worden als vingerafdruk. Dat vectorpatroon wordt opgeslagen in een speciale chip waar het niet uitgehaald kan worden. De “vingerafdruk” verlaat dus nooit de laptop, zelfs niet de chip.
Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG. Artikel 4 lid 14 AVG omschrijft het immers als “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon”. Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Het blijven kenmerken van (een vinger van) een persoon.

Het vectorpatroon blijft in een speciale plek, een chip die op een veilige manier een nieuw vectorpatroon (van een nieuw aangeboden vinger) vergelijkt met het opgeslagen patroon. Daar komt een “ja” of “nee” uit en daar kan de rest van het systeem mee verder. Dit is qua beveiliging van de persoonsgegevens prima, en het lijkt me ook meer algemeen een keurige implementatie.

Het is alleen niet zo dat je daarmee geen biometrische persoonsgegevens verwerkt. Je doet dit heel adequaat, veilig en zorgvuldig, maar je doet het uiteindelijk wel. En dat is dan verder prima, mits je maar je houdt aan de algemene regels over biometrie.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

In dit specifieke geval zie ik de noodzaak wel, met name omdat het een optionele extra is naast de gewone authenticatie en de authenticatie op de laptop blijft waar deze ingebouwd zit. De noodzaak is dan “ik als gebruiker wil sneller en toch veilig me authenticeren op mijn laptop” en in die kleine context lijkt me dat verdedigbaar.

Wel wordt verdedigd dat de opgeslagen vingerafdruk (vectorpatroon) geen persoonsgegeven is, omdat immers alléén het vectorpatroon wordt opgeslagen zonder daarnaast de naam etcetera van de gebruiker. Dat zie ik niet, omdat uiteindelijk deze constructie gebruikt wordt om iemands account te unlocken. Er is dus een koppeling met een ‘iemand’ en dat is genoeg om van een persoonsgegeven te spreken.

Mag je het nieuws herschrijven met AI?

Er duiken steeds meer nieuwssites op die kunstmatige intelligentie (AI) gebruiken om razendsnel artikelen van gerenommeerde media te hergebruiken. Dat meldde Nu.nl een tijdje terug (sorry). De kern is dat je die artikelen dan in ChatGPT duwt met de instructie “herschrijf dit”, waarna het resultaat automatisch online gaat. Mag dat?

De Amerikaanse nieuwswaakhond NewsGuard heeft 37 van die sites aangetroffen, wat vrij eenvoudig was omdat men soms fouten maakte in de prompt en dan de standaardtekst “Als AI-taalmodel kan ik niet …” liet staan. Dus het betrappen dat iemand dit doet, dat lukt nog wel.

Het Nu.nl-artikel heeft het dan over ‘plagiaat’, maar dat is geen juridische term. Plagiëren kan ook gaan over het  (zonder naamsvermelding) overnemen van iemands idee, ontdekking of werkwijze, zaken die juridisch prima mogen maar waar men met name in de wetenschap ernstig gefronste wenkbrauwen van krijgt.

De juridische term is gewoon “auteursrechtinbreuk”, en dat is nog geen uitgemaakte zaak. Auteursrecht krijg je namelijk op jouw uitwerking van een idee of jouw vertelling van een serie feiten. En specifiek bij nieuws kan dat vrij dun zijn: je kunt het op heel veel manieren vertellen, maar als het neerkomt op “er staat een file op de A12” dan is dat feit vrij voor iedereen om in eigen woorden door te vertellen.

Het meekijken met andermans nieuws en dat in eigen woorden doorvertellen is al zo oud als het nieuws, volgens mij. Het was alleen altijd vrij veel werk, omdat je echt wel je best moet doen als mens om een artikel echt opnieuw te schrijven. Dat laatste is nu een kwestie van iets aan ChatGPT vragen (bron, klik voor groot):

Met een paar API-koppelingen kun je dit volledig automatiseren, zodat je bij ieder nieuwsbericht op een bronsite vrijwel direct een herschreven kopie op je eigen site krijg.

Auteursrechtelijk is dit volgens mij aan de goede kant van de streep, omdat de zinnen duidelijk afstand houden van het origineel. Ze bevatten dezelfde feiten, maar dat is dus geen probleem, de opbouw is anders en er worden geen zinsconstructies letterlijk herhaald. Ik zie niet hoe dat auteursrechtinbreuk zou zijn.

Natuurlijk, het voelt onrechtvaardig, maar dat is omdat het hiermee zó makkelijk is geworden om mee te rijden op andermans werk zonder dat daar een juridisch eenvoudig trucje (een DSA copyright takedown) tegen is. Maar dat is echt een heel andere discussie.

Arnoud

 

Mag je hoger scoren dan de concurrent op diens nieuwe naam?

Je leest het goed, Odido. En nee, we hebben geen tikfout gemaakt. Zo opende een recent nieuwsbericht van KPN dat uitgebreid ingaat op de etymologie van dit woord en uitlegt dat KPN hele goede diensten levert. Een strakke actie aldus marketeers, maar zou T-Mobile, pardon Odido tegenwoordig dus, hier juridisch wat mee kunnen?

T-Mobile Nederland en Tele2 Mobiel gaan sinds kort verder onder de naam Odido. Ben, Simpel en Tele2 Thuis horen ook bij Odido, maar die merknamen blijven bestaan. Waarom men nu met de nieuwe naam – die me aan het bovengetoonde 7-up figuur doet denken – komt, is niet geheel duidelijk, maar goed het kan een bedrijfskeuze zijn.

KPN had een dag eerder lucht gekregen van de nieuwe naam, en besloot toen snel een artikel te publiceren waarin men alle klassieke SEO trucs uit de kast haalt om op alle mogelijke manieren relevant te zijn bij zoekopdrachten voor de naam Odido:

Zoals je leest heeft Odido alles te maken met goede communicatie. Zoals je weet communiceren we tegenwoordig veel via het internet of de mobiele telefoon. Laat dat nou net een onderwerp zijn waar wij alles van weten.
Natuurlijk heeft Odido een merkregistratie voor die nieuwe naam, en reclame maken voor je eigen telefonie- of internetdiensten onder die naam zal dan ook merkinbreuk opleveren. Daar heb ik weinig twijfel over. Alleen, wie de tekst van KPN goed leest zal nergens zien dat men zegt “neem bij ons Odido internet”:
Ga je op het internet op zoek naar Odido en zoek je dan naar een goede deal voor een internetabonnement? Dan zou je zomaar bij KPN uit kunnen komen. KPN biedt namelijk het beste glasvezel internet. Daarmee kan je even snel informatie versturen als downloaden. Wel zo handig als je wil thuiswerken of bestanden gaat uploaden in de cloud.
Het enige juridische punt dat ik hiervan kan maken, is dat KPN hier vergelijkende reclame maakt in de zin dat haar glasvezelinternetdienst beter is dan die van T-Mobile/Odido. Dat kan problematisch zijn, maar toevallig verklaarde dit voorjaar nog de Consumentenbond KPN haar glasvezel tot de beste van Nederland.

Ondertussen is de berichtgeving over Odido alweer zo ver en heeft T-Mobile de nieuwe naam en branding zodanig uitgerold dat het KPN artikel alweer min of meer weggespoeld is. Het zou weinig zinnig zijn om daar dan nu nog een punt over te maken. Dat gezegd hebbende, een knap gebbetje was het.

Arnoud

 

Politie stopt met gewraakt algoritme dat ‘voorspelt’ wie in de toekomst geweld gebruikt

De politie stopt ‘per direct’ met het algoritme waarmee ze voorspelt of iemand in de toekomst geweld gaat gebruiken, las ik bij FTM. Dit is de uitkomst van een eerdere publicatie over het Risicotaxatie Instrument Geweld (RTI-G), het zoveelste voorbeeld dat laat zien hoe inherent dubieus het is om voorspellende uitspraken over menselijk gedrag te doen op basis van datasets.

“AI snake oil”, noemt professor Arvind Narayanan van Princeton het. Uitspraken over gedrag of verwachtingen omtrent personen, aangekleed met “Artificial Intelligence” versieringen en zogenaamd perfect werkend. Haarlemmer AIoli, zou ik het haast noemen. Het komt er altijd op neer dat men een niet direct verifieerbare uitspraak doet op basis van een brokje data en een black box model, die dan heel precies klinkt en daarom vaak wordt overgenomen.

Bij een spamfilter dat een verkeerde classificatie maakt, of een AI-biometrie die je niet binnenlaat, krijg je vrij direct feedback dat het niet werkt. Een algoritme dat voorspelt of iemand gaat recidiveren of geweld gebruiken is een heel stuk lastiger – net zoals met alle juridische afwegingen, van het automatisch afwegen van een bezwaar in het bestuursrecht tot een strafvonnis genereren.

Natuurlijk handelde de politie niet blind op de uitkomst van het RTI-G, maar ‘het risicoprofiel dient te worden gezien als aanwijzing dat een strafbaar feit gepleegd gaat worden.’ En daar wordt dan wél op geageerd: een van de mensen die met FTM sprak, kreeg een schriftelijk bevel een half jaar lang op ieder gewenst moment mee te werken aan fouillering en doorzoeking van de auto. Het Hof Den Haag floot de politie terug:

De rechtspraak gaat uit van een concrete aanleiding dan wel feitelijke omstandigheden kort voorafgaand aan dan wel ten tijde van de inzet van de bevoegdheden op basis van deze artikelen. Daarvan is geen sprake als [geïntimeerde] alleen op basis van zijn aanwijzing als veiligheidsrisicosubject aan een fouillering of doorzoeking van zijn auto wordt onderworpen.
Desondanks blijft de vraag gerechtvaardigd: hoe kwam dat systeem dan tot haar conclusies? Op basis van welke gegevens en algoritmes kon men deze uitspraak doen en hoe is dat te rechtvaardigen? Ik zet het even op een rijtje uit het FTM artikel:
  1. Iemands verleden in de politiesystemen, bijvoorbeeld betrokkenheid (dader, getuige, aangever) bij geweldsdelicten, eventuele aangetroffen wapens en de optelsom van andere delicten wegen ook mee.
  2. Hoe groter het aantal registraties van (vermoedelijke) delicten bij de politie, gewogen naar de vermoedelijke samenhang met geweld.
  3. Geslacht en leeftijd; mannen meer dan vrouwen en mensen die jong een eerste delict pleegden meer dan latere plegers.
  4. Etniciteit, wat er in 2017 uitgehaald is omdat het ‘een beperkt maar toch nadelig effect op de interne beeldvorming [gaf] voor een individu.’ Een Antilliaanse achtergrond telde daarbij zwaarder mee dan een Marokkaanse of Somalische.
Afgaande op het meegepubliceerde screenshot gaat het hier om een ‘klassiek’ beslissysteem, namelijk een veredelde Excelsheet die aan elke factor punten geeft en een totaalsom maakt:Hoogleraar digitale surveillance Marc Schuilenburg is vernietigend: de resultaten zijn ‘uit de lucht gegrepen’, er is geen enkele validatie laat staan een feedbacksysteem om fouten te corrigeren.
Volgens hem is Nederland een ‘voorzorgsmaatschappij’ geworden. ‘In de politiek en de samenleving gaat het om het voorkomen van potentiële risico’s,’ aldus Schuilenburg. ‘Vroeger was er eerst een verdenking en dan pas surveillance. Nu is er eerst surveillance en dan pas een verdenking.’
Het ergerlijke voor mij is vooral dat de uitkomsten van die surveillance worden aangekleed met een sausje van juistheid: kijk maar, het getal rechtsonder is 970 dus dit klopt echt, en ik zie ook vijf donkerrode vlakken dus het is ernstig ook. (Dit staat bekend als “precision bias” in het vakgebied.) Maar garbage in, garbage out: hoe weet je of het klopt?

En nee, het is nu te makkelijk om te zeggen “door gewoon die mensen te fouilleren en te zien of ze wapens hebben”. Even los van wat de wet daar dus over zegt, als je handelt vanuit een foute aanname dan komt daar nooit een goed resultaat uit. Ja, misschien vind je een wapen en misschien zelfs vaker bij Antilliaanse verdachten dan bij Nederlandse boerenzonen. Maar bewijst dat dat je startpunt klopte?

Arnoud

 

“Het is technisch onvermijdelijk dat wij u in de wacht afluisteren”, wacht, wat?

Klantenservices mogen klanten die in de wacht staan niet opnemen, meldde Security.nl onlangs. Men citeert uit onderzoek van Radar, dat vele klantenservices belde en vervolgens navraag deed: wordt er opgenomen terwijl ik in de wacht sta, en waarom zet je dat niet uit? Verbijsterend antwoord: dat kan technisch niet.

“Het mag eigenlijk niet, want het is niet nodig voor het doel van het gesprek,” zo citeert men de Autoriteit Persoonsgegevens. Jammer van dat “eigenlijk”, want het argument toont aan dat het gewoon écht niet mag. Ook niet een beetje.

Je mag opnemen om bewijs te verzamelen van het gesprek (bijvoorbeeld dat er ‘ja’ is gezegd op een aanbod, of dat de klant agressief werd), of om je personeel te evalueren of trainen, en zo zijn er nog een paar. Natuurlijk moet je dat melden (transparantie), maar je hebt ook een noodzaak nodig. En daarbij is volgens mij inherent dat je een gesprek aan het voeren bent.

Wie in de wacht staat, voert geen gesprek maar zit te wachten tot zhij aan de beurt is. Dan kan er dus geen sprake zijn van bewijsnood over wat er gezegd is, en hoe je je mensen wilt trainen of beoordelen op basis van geluiden tijdens de wacht ontgaat me evenzo. De opname moet dan uit staan.

De praktijk is anders:

De Friesland en Interpolis bevestigen dat de opnameband blijft lopen als je bij hen in de wacht staat, terwijl dat dus de privacyregels schendt. “Als tijdens dat gesprek de medewerker de klant “in de wacht” zet om bijvoorbeeld het juiste antwoord op te zoeken, wordt dat gedeelte ook opgenomen. […] Technisch gezien is het anders niet mogelijk,” stelt het Woonfonds. … Ook Bol.com blijft je afluisteren terwijl je in de wacht staat, zo bevestigt de webwinkel. Zij geeft daarvoor ook dezelfde reden: “Het is technisch niet mogelijk om de opname tijdelijk te stoppen en weer te starten als het gesprek weer begint.”
Radar vond echter vele andere bedrijven (KLM, Ziggo, Eneco, Vattenfall, T-Mobile, Nationale Nederlanden, ASR, ING en Rabobank) die het technisch prima aan kunnen, de opname uitstaan wanneer het systeem naar wachtstand schakelt. Dit klinkt voor mij dus meer als “onze software kan dit niet” dan een fundamentele reden waarom je helaas gedwongen bent de opname door te laten lopen.

Is dat een argument? Nee, natuurlijk niet. Software en andere tooling die je gebruikt, moet AVG compliant zijn. Het opnemen van wachtstandgeluid is niet noodzakelijk onder de AVG en mag dus niet gebeuren. Dus moet je software hier automatisch de opname bij staken, privacy by design.

Ik zie héél misschien een argumentje bij het kort in de wacht staan terwijl de medewerker iets nazoekt. Dan zit je al in het gesprek en draait de medewerker zich om. De klant zou dan net iets relevants kunnen zeggen, of juist dan leeglopen over de medewerker – “mompelmompel” / “sorry, wát zei u daar over mij” / “nee, niets”. Ik vind dat wel een tikje gezocht.

Arnoud

 

 

Chipontwerper Arm krijgt iedereen op de kast met haar merkhandhaving

Chipbedrijf Arm is druk bezig zijn handelsmerk ‘Arm’ te beschermen, las ik bij AG Connect. Dat gaat hard: een auteur van boeken over de chipsarchitectuur werd aangemaand, domeinnamen geblokkeerd enzovoorts. Het gaf veel ophef, dus laten we dit eens juridisch bekijken.

Wat is er nu precies aan de hand?

Security-onderzoeker [Maria] Markstedter is nu dus haar domeinen arm-assembly.com, arm-reversing.com, arm-exploitation.com en arm-basics.de kwijt. Op die websites bood zij tutorials, technische uitleg en security-informatie over chips gebaseerd op de Arm-architectuur. Daarnaast promootte zij haar boek ‘Arm assembly and reverse engineering’.
Markstedter is een van de bekendste security-experts op het gebied van deze chips-architectuur, dus het is niet raar dat zij zichzelf profileert onder verwijzing naar de merknaam. Dat is wat je weet, dat is wat je kunt.

Het bedrijf Arm stelt echter dat dit merkinbreuk is. En ja, natuurlijk is “ARM” een merk voor deze chips en wat daar omheen zit. Je mag niet andermans merk gebruiken voor aanprijzen van je eigen producten of diensten, of doen alsof je goedgekeurd of aanbevolen bent door de merkhouder.

De boze brief over de domeinnamen laat zien hoe merkhouders zoiets benaderen. Wij hebben een merk, u gebruikt het merk dús het is merkinbreuk, binnen 24 uur ermee stoppen. En ik ga nu iets ergerlijks zeggen: dit is de juridisch juiste benadering, want het ís hun merk, je ziét gebruik en dat mag je in beginsel laten staken.

Natuurlijk, er is zoiets als refererend merkgebruik. “Hardware met Arm chips vereist”, “Wij zoeken de security-gaten in uw Arm-gebaseerde borden”, “Leer met dit boek Arm assembly in 24 uur”. Dat soort zaken is géén inbreuk en mag dus niet worden geblokkeerd. Echter, formeel is dit een verweer dat je als gebruiker van het merk moet voeren. En er is geen plicht dat de merkhouder jou informeert over dit verweer.

Bij refererend merkgebruik moet je dan wel weer oppassen dat je geen verwarring stichting. “Het Arm handboek” met hun bedrijfslogo op de cover zou ik dus zeker niet doen, ook al is dat handboek inhoudelijk volkomen neutraal. Dit schurkt te zeer aan tegen een “officieel” handboek van de fabrikant zelf. “Markstedter On Arm” lijkt me daarentegen verder prima.

Het zou mij verder niets verbazen als deze actie richting Markstedter niet bewust op haar gericht was, maar voortkwam uit een eenvoudige zoektocht naar domeinnamen met ‘Arm’ erin. Ik zie dat namelijk vaak. Begrijpelijk, want heel vaak gaat het gewoon om snelle jongens (m/v/x) die even een paar centjes Adsense willen meepakken.

Arnoud

Kwart werkgevers controleert sociale media van sollicitant, maar dat is vaak niet toegestaan

Een op de vier bedrijven ‘screent’ socialemedia-accounts van sollicitanten, maar in veel gevallen mag dit niet zomaar. Dat las ik bij NRC onlangs. Men baseert zich op onderzoek van Tilburg University en Rendement Uitgeverij, dat laat zien hoe vaak deze praktijk voorkomt. Mag dat van de AVG?

Het googelen van sollicitanten, of iets hipper de social media prescreening is al een oud onderwerp. Ik blogde er in 2012 al over, maar de praktijk is natuurlijk alleen maar grootser geworden. Ik citeer:

Volgens Holtrop is er geen overtuigend bewijs dat online screening helpt bij het vinden geschikte werknemers. Het risico van een online screening is dat bedrijven voorbarige conclusies trekken over een sollicitant en deze onterecht niet uitnodigen voor een gesprek, volgens hem. Bedrijven screenen namelijk op zaken die discriminatie in de hand werken, zoals profielfoto’s, volgens Holtrop.
En op basis van je onderbuik wat socials aanklikken en iemand afwijzen, dát mag dus niet van de AVG. Zoals ik in 2018 al blogde:
Specifiek bij sollicitanten en googelen is dat niet anders. Niets in de AVG verbiedt dit expliciet, je moet alleen aan de bak: meld in je personeelsadvertentie dat je dit doet, leg in een privacyverklaring uit waarom je dit doet en wat er met de resultaten gebeurt en déél die resultaten (en jouw bevindingen daarop) met de sollicitant. In die privacyverklaring moet trouwens ook staan hoe lang je cv’s bewaart en met wie je de gegevens deelt.
Dit is natuurlijk vrijwel nooit hoe het werkt: niemand die dat in zijn advertenties vermeldt (wij ook niet, maar wij doen het ook niet), niemand die uitleg geeft aan sollicitanten en al helemaal niet als het algoritmisch gebeurt. Maar goed, dat gebeurt bij klassiek solliciteren uiteindelijk ook niet:
Op dat terrein is er nog een wereld te winnen, blijkt uit het onderzoek. Zo vertrouwen bazen tijdens de sollicitatiegesprekken vaak blindelings op hun „intuïtie en gevoel”. En: het overgrote merendeel van de bedrijven (85 procent) neemt geen gestructureerd sollicitatiegesprek af. Hierdoor verschillen de inhoud en vragen van sollicitatiegesprekken voor dezelfde functie enorm van elkaar. Dit werkt vooroordelen in de hand en verkleint de kans op het aannemen van „de meeste geschikte sollicitant”, aldus het onderzoek.
Momenteel ligt er een wet voor in de Eerste Kamer die ervoor moet zorgen dat de werving en selectie van bedrijven eerlijker wordt. Daarvan hadden veel werkgevers nog nooit gehoord, ik biecht meteen op dat ik ‘m ook moest googelen maar het is dus de Wet toezicht gelijke kansen werving en selectie. De kern:
Werkgevers zijn op grond van deze wet verplicht een werkwijze op te stellen waarin zij aangeven hoe zij hun werving- en selectieproces inrichten en ervoor zorgen dat arbeidsmarktdiscriminatie geen rol kan spelen. Deze verplichting gaat gelden voor alle werkgevers. Uit de ‘werkwijze’ moet blijken dat er uitsluitend geworven wordt op basis van relevante functie-eisen. De werkwijze moet controleerbaar en systematisch ingericht zijn.
Sommigen zouden zeggen dat dit al moest van de AVG, maar desondanks een goed idee om dit zo expliciet vast te leggen.

Arnoud

Kan ik bij het opzeggen van mijn abonnement ook mijn account verwijderen?

Een lezer vroeg me:

Bij (veel) internet winkels, abonnementen, leveranciers, enz. wordt een inlog met naam/e-mail-adres en wachtwoord gevraagd. Kan ik bij het beëindigen van klant zijn / abonnee opzeggen de opgeslagen gegevens laten verwijderen?
Een account zoals hier beschreven is een verzameling van persoonsgegevens, en de verwerking daarvan valt dus onder de AVG. Deze kent een recht van verwijdering (vergetelheid, zo je wilt) en dat geldt voor accounts dus net zo goed.

Het recht van verwijdering geldt alleen als de gegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt (plus andere uitzonderingen die er hier niet toe doen). Een account wordt gewoonlijk opgezet om een bepaalde dienst te leveren. Dus zodra de dienst stopt, eindigt het doel van de verwerking en dus de grond om de gegevens nog te hebben.

Hoofdregel is dus: bij stoppen dienst moet het account weg.

Natuurlijk zijn daar uitzonderingen op. Bij webwinkels zie je bijvoorbeeld vaak dat men redeneert, je hebt nog een periode garantie op het gekochte, en het account is nodig om de garantieaanvraag af te handelen. Daar valt wat voor te zeggen, zij het dat je garantie ook moet kunnen claimen als je geen toegang meer hebt tot het account. Het kan enige overtuigingskracht kosten om een organisatie dit duidelijk te maken, maar je staat in je recht als je zo’n account wil laten verwijderen.

Ook is een tegenargument vaak dat je via je account bij de facturen kunt, en/of dat die facturen zeven jaar lang bewaard moeten van de Belastingdienst. Dat klopt natuurlijk, maar is geen argument om het account actief te laten: als klant kun je de facturen downloaden (en is het jouw keuze om facturen niet te bewaren). En als bedrijf moet je de facturen in je eigen administratie bewaren, wat los moet staan van een klantaccount.