Hoe moeten wij omgaan als ICT-bedrijf met AVG-schendende opdrachten van klanten?

| AE 10913 | Ondernemingsvrijheid, Privacy | 5 reacties

Een lezer vroeg me:

Wij staan als ICT leverancier vaak tussen de werkgever (onze klant) en hun werknemers in. Als bijvoorbeeld een werkgever toegang tot meerdere inboxen wil van werknemers, dan doen wij dit niet zomaar. We krijgen dan een beetje een adviserende rol. Maar tot hoever gaan we? Is het genoeg om een klant schriftelijk te adviseren eerst toestemming te vragen of een acceptable use policy op te stellen?

De beste manier om hiermee om te gaan, is voor jezelf duidelijke regels te maken: hoe willen jullie werken, waar voel je je nog prettig bij en wanneer wordt het echt onacceptabel voor jullie als dienstverlener? Bedrijfsculturen kunnen verschillen natuurlijk, en soms is er gewoon een noodzaak om bij berichten te kunnen.

Dat protocol maak je onderdeel van de opdrachten met de klant, bijvoorbeeld als bijlage bij de SLA of als annex aan je verwerkersovereenkomst. (Je hébt toch een verwerkersovereenkomst met al je klanten? Dat ben je verplicht sinds de AVG gezien het soort dienstverlening.)

Vervolgens zeg je, wij hebben een zorgplicht en afspraken in het protocol en daar werken we onder. Je doet wat er is afgesproken, maar afspraken mogen niet tegen de AVG zijn. De AVG zegt, heb je gerede twijfel dan leg je het werk neer totdat het is opgehelderd. En “volgens ons is het legaal, doe het!!1!” is daarbij niet genoeg, er moet een inhoudelijke argumentatie komen.

Dat protocol mededelen doe je aan de klant, de werkgever in dit geval dus. Die heeft vervolgens de taak om het aan zijn personeel uit te leggen. Jullie hoeven dus niet de werknemers van de klant uit te leggen wat jullie precies wel of niet doen en waarom. En je hoeft al helemaal niet de werknemers akkoord te laten gaan met jullie privacy policies, acceptable use policies en ga zo maar door. Je sluit contracten met je klanten, niet met hun personeel.

Arnoud

Mag je als bedrijf vingerafdrukken voor je prikklok gebruiken?

| AE 10911 | Privacy | 12 reacties

Bedrijven trotseren de nieuwe privacywet door gewoon te blijven werken met prikklokken met vingerafdrukken. Dat meldde het FD afgelopen vrijdag. Uitzendbureau Tempo Team is gestopt, maar supermarkt Dirk ziet er vooralsnog geen probleem in. De AVG verklaart vingerafdrukken tot biometrische en daarmee bijzondere persoonsgegevens, die in principe niet mogen worden gebruikt. De zorg is nu of de AVG een uitzonderingsgrond biedt voor deze categorie verwerkingen. Dat komt met name door een fout antwoord van de minister op Kamervragen hierover.

Biometrische gegevens zoals vingerafdrukken worden onder de AVG aangemerkt als bijzondere persoonsgegevens, waarmee ze in beginsel helemaal niet mogen worden gebruikt. Alleen als de AVG daar een aparte grondslag voor biedt, kan dat toegestaan zijn. Naast uitdrukkelijke vrijwillige toestemming -die werknemers niet kunnen geven- is voor biometrie eigenlijk de enige optie dat je je beroept op een nationale regeling die het onder voorwaarden toelaat (art. 9 lid 2 AVG). De politieke achtergrond hiervan is namelijk dat de lidstaten het niet eens konden worden over de toelaatbaarheid en risico’s van biometrie, zodat iedereen het maar zelf in zijn eigen wet moet regelen.

In Nederland is er sinds 25 mei de Uitvoeringswet AVG, waarin een aantal nationale regels zijn opgenomen die de AVG nader uitwerken of aanvullen, waaronder op het punt van biometrie. In artikel 29 daarvan wordt het verbod op gebruik van biometrie opgeheven wanneer

de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Opvallend daarbij is dat bij de invoering alleen over beveiligingsnoodzaak is gesproken. Biometrie is natuurlijk primair bedoeld voor de veiligheid, zeker weten dat je de juiste persoon binnen of buiten laat. In de zeer korte behandeling van dit wetsartikel komt men dan ook niet verder dan de inzet voor toegangscontrole.

In de beantwoording van de Kamervragen uit februari gaat de minister ook niet verder dan dat:

Het criterium van de regeling in de UAVG betekent dat het gebruik van vingerafdrukken noodzakelijk moet zijn voor de beveiliging van de toegang van gebouwen of ICT systemen. Het vastleggen van de biometrische gegevens moet voorts proportioneel zijn en noodzakelijk voor de toegangscontrole.

En bij het antwoord op vraag 3 (mag een werknemer straffeloos weigeren zich met vingerafdruk in de prikklok te registreren) is men nog stelliger: Ja. Dat wekt natuurlijk wel héél erg de indruk dat biometrie voor prikklokken niet de bedoeling is – het is geen toegangscontrole, en de werknemer mag niet worden gestraft met niet-uitbetaling van gewerkte uren als hij er niet aan wil meewerken. Daar zou ik ook wat zenuwachtig door worden als werkgever.

Het klopt natuurlijk niet. “Authenticatie” is een veel breder begrip dan enkel “toegangscontrole”. Authenticatie is algemeen gesteld het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Er is geen enkele reden om dat te lezen als beperkt tot nagaan in de context van toegang tot controle of bijvoorbeeld een ict-systeem. De Uitvoeringswet noemt in de tekst ook nergens die beperking.

Relevant is natuurlijk wel of de inzet van biometrie noodzakelijk is voor het goed functioneren van de prikklok. Er zijn immers alternatieven, zoals authenticatie met een persoonlijk pasje. De vraag wordt dan of die alternatieven onwerkbaar zijn, bijvoorbeeld omdat er te makkelijk mee kan worden gefraudeerd. Je kunt immers het pasje van je collega meenemen en scannen, om zo fictief zijn uren op te hogen. In de praktijk gaat het vooral om gemak, zo lees ik in het FD:

‘De praktijk leert echter dat veel medewerkers de voorkeur hebben voor het gemak van de vingerscan boven het gedoe van een pasje. We hebben dan ook diverse klanten gehad die een groot deel van hun passen hebben teruggestuurd’, aldus Matthijs van den Ende van [prikklok-leverancier] Dyflexis.

Gemak zou ik zien als een te zwak argument om de noodzaak te ondersteunen. Als mensen liever met vingerafdrukken werken vanwege het gemak, dan zou je dat kunnen zien als een uitdrukkelijke toestemming. Dan kom je uit bij een prikkloksysteem dat én met vingerafdruk én met pasje werkt, zodat de werknemer de keuze heeft. Dat lost het probleem dan op, zij het dat je nog blijft zitten met de mogelijkheid van pasjesfraude. Maar dat is een al bekend probleem waar -neem ik aan- ook al oplossingen voor zijn.

Arnoud

Groningse telecomprovider weigert klantenbestand preventief aan politie te geven

| AE 10909 | Regulering | 10 reacties

Telecomproviders zijn verplicht om preventief de persoonlijke gegevens van alle klanten te overhandigen aan de politie, maar het Groningse Voys weigert dat. Dat las ik bij de NOS. Dit is ingegeven door eerder nieuws dat het zogeheten Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) niet altijd zorgvuldig omgaat met deze gegevens. Er is veel onduidelijkheid over de regels voor politie en Justitie, en de beveiliging ligt ook niet helemaal lekker. Maar het is ondertussen wel wettelijk verplicht.

Het CIOT is in 2000 ingesteld onder het Besluit verstrekking gegevens telecommunicatie. De kern is dat internetproviders elke dag basisgegevens over hun abonnees uploaden naar een centrale databank beheerd door dat Informatiepunt, waarna Justitie daar makkelijk centraal in kan graven bij een vermoeden van een misdrijf. De basisgegevens zijn kort gezegd naam en adres, IP-adressen en eventuele accountinformatie behorend bij een mailbox van de provider zelf.

Hiermee is het sneller schakelen voor de politie dan wanneer men elke keer een individueel bevel aan de provider moet geven, die dan moeilijk gaat doen en roepen dat er een gerechtelijk bevel moet komen. Dat is niet zo -iedere agent mag zonder bevel of machtiging dergelijke gegevens opvragen als dat in het belang van het onderzoek is- maar dat kost natuurlijk tijd en die wil je als politieagent niet hieraan verspillen.

Aanname achter het CIOT was natuurlijk wel dat de toegang goed geregeld wordt. Dit staat ook zo in het Besluit:

Een verzoek van de bevoegde autoriteit, bedoeld in artikel 3, tweede lid, kan slechts in het systeem worden ingevoerd door een door Onze Minister van Veiligheid en Justitie geautoriseerde ambtenaar die daartoe gebruik maakt van een hem toegekende toegangscode.

In de praktijk valt dat tegen. Er is ‘onduidelijkheid’ over de procedures, informatie wordt te lang bewaard en aan die toegangscontrole schort het nogal. Daarmee snap ik wel dat Voys besluit (en al zes jaar lang, volgens de NOS) om geen gegevens te verstrekken vanuit het privacybelang van haar klanten. Wat zeer loffelijk is.

Tegelijk, je bent wettelijk verplicht om aan het CIOT mee te werken. Doe je dat niet, dan kun je bestuursrechtelijk worden vervolgd met mogelijk hoge boetes in het vooruitzicht. Gezien de periode van zes jaar waarin Voys al niet meewerkt, lijkt het onwaarschijnlijk dat dit er nu van gaat komen. Jammer, het zou een interessante vraag zijn wat er wint: de plicht om te doen wat de wet zegt, of de onredelijkheid van een wet die de verplichtingen voor de overheid niet waarmaakt.

Arnoud

Privacywet schiet tekort bij hulp tegen computer

| AE 10907 | Innovatie | 13 reacties

De nieuwe Europese privacyregeling, die moet voorkomen dat computers ongecontroleerd belangrijke beslissingen nemen over mensen, helpt niemand. Dat zeggen privacy-experts aan verschillende universiteiten in het FD vorige week. De AVG – want daar hebben we het natuurlijk over – bepaalt dat mensen niet onderworpen mogen worden aan geautomatiseerde beslissingen. De beslissing moet menselijk zijn, een… Lees verder

Wanneer kun je juridisch spreken van een cyberoorlog?

| AE 10905 | Informatiemaatschappij | 25 reacties

Nederland is in een “cyberoorlog” met de Russen verwikkeld, zegt minister Ank Bijleveld van Defensie. Dat meldde Nu.NL onlangs. De aanval op het het wifi-netwerk van de OPCW in Den Haag door vier GRU-agenten zou deel zijn van een grotere hoeveelheid cyberaanvallen van Rusland op Nederlandse infrastructuur, waarbij de minister het desgevraagd aanduidde als een… Lees verder

Nu ga ik aan mezelf twijfelen, is de GPLv2 eigenlijk wel een contract?

| AE 10903 | Intellectuele rechten | 48 reacties

Heibel in de Linuxtent, blogde ik vorige week. Ontwikkelaars aan het besturingssysteem lagen in de clinch over een Code of Conduct die ongepast gedrag vastlegt, met de nodige interpretatieproblemen tot gevolg. Dat leidde tot een oproep om je GPL-licentie in te trekken en zo je stem te laten horen. Waarop ik me afvroeg, kan dat… Lees verder

Wanneer is een uitlating vanuit een bedrijfsaccount bindend op het bedrijf?

| AE 10900 | Ondernemingsvrijheid | 23 reacties

Een lezer vroeg me: Ik vroeg mij af in hoeverre uitlatingen van bedrijfsaccounts op forums ‘bindend’ zijn, in de zin dat consumenten bedrijven kunnen houden aan hun uitlatingen op forums, zoals bijvoorbeeld Tweakers. Bijvoorbeeld op Tweakers zie je wel eens de melding ‘Bedrijfsaccount’. Stel dat men vanaf zo’n account bijvoorbeeld zegt dat iets gratis is,… Lees verder

Veel Nederlanders sturen werkbestanden naar privémailadres, mag dat?

| AE 10898 | Informatiemaatschappij | 16 reacties

Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, las ik bij Security.nl. Dat baseert zich op het recent verschenen Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit “altijd of meestal” wel doen…. Lees verder

Mag een webwinkel me verplichten mijn geboortedatum in te vullen?

| AE 10893 | Ondernemingsvrijheid | 55 reacties

Een lezer vroeg me: Mag een bedrijf een klant verplichten om zijn geboortedatum te geven? Onder de AVG geldt het principe van dataminimalisatie: je mag niet meer persoonsgegevens gebruiken dan je strikt nodig hebt om je doel te halen. Vanuit dat principe mag je dus ook niet meer vragen dan wat je nodig hebt. Veel… Lees verder

Kunnen Linux-ontwikkelaars de GPLv2 intrekken als ze het met de Code of Conduct oneens zijn?

| AE 10887 | Informatiemaatschappij | 58 reacties

Herrie in de Linux-tent: een nieuwe Code of Conduct in het project heeft veel ophef veroorzaakt, inclusief dreigementen dat men bijdragen aan de kernel gaat intrekken. Deze zijn door vrijwilligers ingebracht onder de GPLv2 open source licentie, maar volgens partijen die het oneens zijn met de Code is het nu mogelijk deze licentie weer in… Lees verder