Het probleem met die (te?) strenge uitleg van het legitiem belang door de AP

| AE 11690 | Informatiemaatschappij | 22 reacties

De Autoriteit Persoonsgegevens is te streng met de uitleg van de privacywetgeving AVG, zo vinden juristen en datahandelaren, las ik bij Security.nl (dat zich weer op het FD baseerde). Aanleiding is een vorige maand gepubliceerde normuitleg waarin de toezichthouder stelt dat ‘zuiver commerciële belangen’ en ‘winstmaximalisatie’ geen reden zijn om persoonsgegevens te verwerken. Dat is tegen het zere been van menig organisatie die drijft op die grondslag, omdat je nu eenmaal niet voor alles toestemming wilt vragen en ook geen contract met die mensen hebt. Dus wat moet je dan. Maar tegelijkertijd klinkt het wel lekker stoer, een zuiver winstoogmerk kan toch geen reden zijn om de privacy te schenden? Maar het ligt wat subtieler.

De normuitleg is een soort richtsnoer van de AP: zo zien wij deze term uit de AVG, en als jij deze interpretatie volgt dan kan er weinig mis zijn met de onderbouwing van je verwerking. (Je hébt toch een onderbouwing op papier van elke verwerking, nietwaar? Anders zit je sowieso fout, ook als het legaal is wat je doet.) De discussie begon met een volgens mij zijdelingse tussenwerping van de AP:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc.

Ik denk dat het probleem hier is dat de discussie over het legitiem belang eigenlijk een drietrapsraket is, en dat vaak de eerste trap en de uitkomst met elkaar verward worden. Beiden heten namelijk “legitiem belang” in de wandelgangen.

Bij de analyse (die je dus vooraf op papier doet, ik blijf het maar even zeggen) van je legitiem belang – dus de uitkomst – bepaal je allereerst wat jouw reden, jouw belang is om die persoonsgegevens te willen verwerken. Daarna kijk je als tweede welke privacybelangen van de betrokken mensen daarmee in het gedrang komen, en als derde verzin je maatregelen om die privacybelangen te beschermen en/of de inbreuk daarop te beperken. Kom je er niet uit bij stap 3, of merk je bij stap 2 dat je wel héél diep op mensen hun privacy in gaat, dan krijg je de analyse dus niet rond en dan mag het niet.

Waar het hier misgaat, is dat die opmerking van “het dienen van zuiver commercieel belangen” volgens mij bedoeld is om te zeggen dat je niet “ja ik wil geld verdienen dus dit heb ik gewoon nodig” kunt gebruiken als analyse, als conclusie. Maar als je de analyse doet, dan kom je bij stap 1 tot de conclusie dat een commercieel belang wél mogelijk is als je reden, als je belang. Ondernemersvrijheid is een grondrecht namelijk, net als de andere grondrechten (vrijheid van meningsuiting, kunst, bescherming van je eigendom bijvoorbeeld) die de AP een alinea eerder noemt.

Het was dus handiger geweest als hier iets had gestaan van “In theorie is ook het dienen van zuiver commerciële belangen mogelijk als een legitiem belang, zij het dat de privacyinbreuk (stap 2) dan zeer gering moet zijn en al het mogelijke (stap 3) moet worden gedaan om die inbreuk te beperken”. Nu krijgen we dus spraakverwarring of de AP de conclusie verbiedt dat een commercieel belang de grondslag kan dragen, of meteen zegt dat je bij stap 1 af bent – en dus het grondrecht van ondernemersvrijheid ontkent. Dat laatste lijkt me niet helemaal juist en creëert dus ruis in de discussie. Jammer.

Arnoud

Als je OSS in het onderwijs wilt, moet je er een SLA bij verkopen

| AE 11688 | Ondernemingsvrijheid | 12 reacties

Tijd om een grens te trekken, stellen de rectores magnifici van de Nederlandse universiteiten. Die oproep in de Volkskrant van eind vorig jaar betrof de steeds grotere inzet van commerciële platformdiensten voor onderwijsdoeleinden, van plagiaatcontrole tot learning management systems, die dan lekker goedkoop en handig zijn maar wel ondertussen data van leerlingen of studenten verzamelen. Dat is immers het verdienmodel achter zo’n dienst. Wat onder meer leidde tot verbaasde reacties uit e-learningland: er zijn toch genoeg open source alternatieven? Maar die komen er niet, en dat is omdat er geen SLA is.

OSS klinkt als een heel mooi uitgangspunt. Kwaliteit, direct beschikbaar, geen verplichte winkelnering bij een licentiegever en natuurlijk ook nog gratis. Helaas is voor veel instellingen het inzetten van OSS onnodig ingewikkeld. Volgens mij omdat het niet ‘past’ in het denkpatroon van inkopen: er is een community, geen leverancier. Dus waar haal je de SLA, wie stel je aansprakelijk?

OSS drijft op de gedachte van communities. Iedereen helpt elkaar, en daar kan iedereen dus terecht. Natuurlijk kun je prima met een community werken, maar veel organisaties sturen op zekerheid, en die krijg je met een contract. Denkt men. Dus geen contract, dan kan het niet goed zijn. Ook al is je community nog zo supportive. En natuurlijk, tegen de tijd dat men ontdekt dat de leverancier hele zwakke SLA’s biedt tegen een veel hogere prijs (TCO, niet slechts licentiekosten) dan zit men al zo ver in het proces dat alsnog OSS inzetten niet meer im frage is.

Ik zie helaas OSS gemeenschappen hier zelden tot nooit goed mee omgaan. Kwaliteit is één ding, maar het commerciële inkoopkanaal bedienen iets heel anders. OSS stichtingen zouden er goed aan doen commerciële supportcontracten aan te bieden. Hoeft niet duur te zijn, maar het kunnen betalen van geld maakt dat je in de picture komt bij inkoopafdelingen. (En oh ja, dat betalen gaat dan via purchase orders en bankoverschrijving. Creditcards en Paypal zijn onmogelijke dingen bij grotere bedrijven.)

De discussie gaat dan vervolgens over aansprakelijkheid en oplostijden. Juristen dienen die soep heel heet op, in de praktijk valt dat vaak reuze mee als de bug snel opgepakt wordt – en dat is precies waar OSS sterk in is. Plus, juridisch gezien is een zachte SLA met een lage prijs eigenlijk hetzelfde als weinig aansprakelijkheid: je hebt weinig verantwoordelijkheid op je genomen (zie bijvoorbeeld deze recente case waarbij de rechter de SLA gewoon lekker zacht interpreteerde).

Daarnaast, als er weinig geld bij je te halen is, waarom zou een bedrijf dan gigaclaims gaan doen (als die al onderbouwd kunnen worden, het is nog altijd Nederland hier)? Schiet zakelijk niet op. (Ik ben de ST:TNG aflevering even kwijt waarin Picard de autodestruct als negotiating tactic inzette.)

Maar goed, het punt is: als je als OSS project in het bedrijfsleven (of onderwijs) aan wil slaan, zorg dat je in te kopen bent. Met purchase orders en SLA’s. Prima als die soft zijn, en je hoeft niet duur te zijn (maar dat helpt vaak wel) maar regel dat bureaucratisch kanaal. Ik ben het onmiddellijk met je eens dat dit zinloze bureaucratie is, zeker als het gewoon een turnkey SaaS oplossing is. Maar bureaucratie heeft zijn eigen leven in organisaties, en daar omheen willen gaan geeft je Interessante Tijden maar weinig garantie op succes.

En voor de OSS LMS’en dus de les: wees inkoopbaar. Heb SLA’s. Compliance documenten. DPIA’s. DPA’s. Iemand die RFP formulieren invult. En natuurlijk een prijs voor dat alles. (En dat mag, ook als stichting; je mag winst maken maar alleen die niet aan je bestuur uitkeren.)

Arnoud

Wanneer steel je iets bij een zelfscansupermarkt?

| AE 11683 | Ondernemingsvrijheid | 45 reacties

Een lezer vroeg me: Ik vroeg me zo af, nu winkelketens zoals de AH inzetten op zelfstandig scannen en afrekenen, wat doet dat met de aansprakelijkheid? Een vergissing van de kassa medewerker in uw voordeel (of nadeel) lijkt mij opeens heel anders te liggen wanneer je het zelf doet. Dit is ingewikkelder dan je denkt;… Lees verder

Kan ik nu eindelijk mijn personeel MDM software opdringen?

| AE 11674 | Ondernemingsvrijheid, Privacy | 21 reacties

Een lezer vroeg me: Ik las je blog van maandag over een boete bij een bedrijf omdat personeel WhatsApp-chats wiste. Dat lijkt me het perfecte argument om alle werknemers gewoon mobile phone beheersoftware (MDM) op te leggen, ook op hun privételefoon. Als je als werkgever zúlke schade kunt oplopen door gewiste gesprekken, dan is je… Lees verder

Voor de laatste keer: de openbare weg filmen met je securitycamera mag als dat nodig is

| AE 11672 | Privacy, Uitingsvrijheid | 11 reacties

De hoeveelheid beveiligingscamera’s in Nederland groeit gestaag, vooral ook onder particulieren. Dat meldde Nu.nl, dat er meteen aan toevoegde dat hier een privacyrisico aan zit: zo’n 86,6 procent van de 211.308 camera’s van particulieren en bedrijven is deels op de openbare weg gericht. De cijfers zijn van VPNGids, dat via de Wob deze informatie van… Lees verder

Is artificial intelligence niet vooral een hype? #legaltechtuesday

| AE 11668 | Innovatie | 6 reacties

Zo’n veertig procent van de bedrijven in Europa die claimt AI in te zetten, doet dat niet daadwerkelijk. Dat maak ik op uit onderzoek van de Londense investeringsmaatschappij MMC, dat 2.830 AI startups in 13 EU landen onderzocht voor die conclusie. Daar moet wel worden bijgezegd dat het label “AI firma” vaak door anderen aan… Lees verder

Beter blijf je van je telefoon en WhatsApp af als de ACM binnenvalt

| AE 11666 | Regulering, Security | 20 reacties

De Autoriteit Consument & Markt (ACM) heeft aan een bedrijf een boete van 1.84 miljoen euro opgelegd omdat ze een onderzoek van de ACM heeft belemmerd. Dat meldde de toezichthouder onlangs. Medewerkers van het bedrijf dat wordt onderzocht voor het maken van concurrentievervalsende afspraken, hebben WhatsApp groepen verlaten en chats gewist tijdens een inval van… Lees verder

Wat gaan we in het mededingingsrecht doen met de internetplatforms?

| AE 11662 | Regulering | 7 reacties

De laatste maanden zeker, maar misschien al de laatste paar jaar proef ik steeds meer politieke wil om de grote internetplatforms te reguleren. Die zijn te groot, te eigenzinnig en te onbereikbaar voor ‘gewone’ juridische maatregelen. Dat verrast wel een beetje na vele jaren waarin die platforms alles mochten zonder enige begrenzing, maar misschien gaat… Lees verder

Hongarije geeft Facebook miljoenenboete voor pretenderen gratis te zijn

| AE 11654 | Ondernemingsvrijheid | 7 reacties

De Hongaarse concurrentiewaakhond Hungarian Competition Authority heeft een boete uitgedeeld aan Facebook voor het pretenderen een gratis dienst te zijn. Dat las ik bij Nu.nl. De boete bedraagt ruim 3,5 miljoen euro en is gebaseerd op het idee dat je betaalt met je persoonsgegevens, als ik de bron Bloomberg goed begrijp (mijn Hongaars is wat… Lees verder