Bloggen over de huizenbouwperikelen van een BN’er is geen AVG overtreding

| AE 13626 | Privacy, Uitingsvrijheid | 5 reacties

Gedaagde hoeft artikel over woning niet te verwijderen, las ik bij ITenRecht.nl. Een lokale website had een artikel geplaatst over de bouwperikelen van de directeur en oprichter van het bedrijf Prijsvrij vakanties, inclusief foto en straatnaam. De directeur in kwestie maakte bezwaar en beriep zich op privacyschending en de AVG. De rechter wijst de eisen af (mede naar aanleiding van het inkorten van het artikel en weghalen foto) en bevestigt daarbij dat zo’n artikel onder de journalistieke exceptie valt.

Mag je als nieuwssite schrijven dat de bouw van een woning ‘niet wil vlotten’? En dat de opdrachtgever een bekende ondernemer is die het ‘hoog in zijn kop’ heeft? Zo vatte het AD in september de zaak samen. Heel aardig is dat inderdaad niet, maar feit was – zoals uit het vonnis blijkt – dat de verbouwing lang niet zo snel ging als verwacht. Weliswaar door overmacht (personeels- en materiaaltekorten, coronazorgen bij het bedrijf) maar nog steeds vlot het dan bepaald niet.

De verbouwing was trouwens erg grondig, zo grondig dat de journalist sprak van een ‘kaalslag’. Dat klinkt ook onaardig, maar mag gezegd: het is een mening, een waardeoordeel, en niet volledig onjuist want het oude huis (gebouwd 1923) was geheel gesloopt.

De AVG komt om de hoek kijken bij het argument van de publicatie van relevante lokatiedetails:

[Eiser] heeft er daarnaast bezwaar tegen dat in de aangehaalde passage zijn persoonlijke gegevens in het artikel worden genoemd: zijn naam, onderneming en de straatnaam. Dat zou volgens [eiser] een onnodige inbreuk op zijn privacy maken.
Die gegevens opgenomen op een website vormen daarmee tevens een verwerking van persoonsgegevens, immers ze identificeren de eisende directeur en onthullen ook zijn woonadres. Het privacy-aspect sneuvelt snel:
[eiser] betwist weliswaar dat hij een publiek figuur is, maar uit de (mede ook door hemzelf) overgelegde stukken is voldoende aannemelijk geworden dat [eiser] zelf met enige regelmaat actief in de media optreedt (in de vorm van interviews en televisie-optredens) als directeur van Prijsvrij, waaronder ook in landelijke, op een breed publiek gerichte media. Onweersproken is in dat kader gesteld dat [eiser] zich bij deze mediaoptredens niet altijd beperkt tot louter zakelijke aspecten van zijn leven, maar in voorkomend geval ook meer persoonlijke aspecten uit zijn leven niet onbesproken laat.
Bij lokale media is het dan gerechtvaardigd dat je hierop terugkomt, en ook privé aspecten van een BN’er betrekt in publicaties als daar (lokaal) nieuws in zit. Dat mag, ook van de AVG:
Zoals [gedaagde] terecht stelt is het ook niet in strijd met de AVG om die gegevens te melden omdat het onweersproken gaat om de verwerking van persoonsgegeven voor journalistieke doeleinden.
Dit klopt maar gaat natuurlijk wel wat snel. Het is niet zo dat publiceren met een colofon of NVJ-perskaart je een vrijbrief geeft onder de AVG. De “journalistieke uitzondering” zegt in feite dat een trits aan rechten van betrokkenen niet ingeroepen kunnen worden tegen een publicatie met uitsluitend journalistiek oogmerk. Dit om te voorkomen dat een journalistiek rechtmatige publicatie alsnog via de AVG tegengehouden kan worden. In dit geval had de eiser zich beroepen op recht van verwijdering (“vergetelheid”) en/of correctie, en dat recht geldt dus niet bij journalistieke publicaties.

Natuurlijk moet de journalist nog steeds een AVG-grondslag hebben; toestemming had hij uiteraard niet, maar dat hoeft ook niet want een journalistieke uiting past binnen het eigen gerechtvaardigd belang (artikel 6 lid 1 sub f AVG) op grond van de vrijheid van meningsuiting / persvrijheid.

Arnoud

 

Je mag dus toch wél testen met productiepersoonsgegevens, mits je ze maar daarna weggooit

| AE 13641 | Ondernemingsvrijheid, Privacy | 13 reacties

mohamedhassan / Pixabay

Goh, die zag ik dus niet helemaal aankomen: het Hof van Justitie oordeelt dat je wél je software mag testen met persoonsgegevens uit de productiedatabase. Mits je alles maar weggooit zodra je tests zijn afgerond. Dat bepaalde men onlangs (arrest C-77/21) in een zaak waarin een Hongaarse ISP (Digi) op de vingers werd getikt door de toezichthouder vanwege testdata laten slingeren, wat een datalek had gegeven.

Het is uiteraard een goed idee om software te testen alvorens je deze gebruikt, zeker wanneer die software persoonsgegevens gaat verwerken. Dergelijke software moet immers veilig zijn en voldoen aan de beginselen van privacy by design en privacy by default. Dat vereist een goede set aan testdata, maar die is vaak lastig te krijgen. Helemaal als je ook met de hele wereld rekening gaat houden (zie de bekende “Falsehoods about names“, welke verraste jullie het meeste?) omdat het enorm moeilijk is die variëteit zelf te verzinnen.

De Autoriteit Persoonsgegevens zegt echter dat het niet wenselijk is om dan gewoon een kopie van je productiedatabase te nemen en daarmee te gaan lopen testen:

Dat is niet aan te raden. Testen is een complex proces, waarvoor zorgvuldigheid en meerdere gescheiden omgevingen nodig zijn. Het testen met persoonsgegevens brengt namelijk risico’s met zich mee. … De mensen van wie u persoonsgegevens verwerkt, verwachten niet dat u hun gegevens ook voor testdoeleinden gaat gebruiken. Dat betekent onder meer dat u voor het testen een aparte grondslag moet hebben.
Dat eerste is zeg maar een “kijk nou uit” argument, wat juridisch te herleiden is tot de AVG-eis van adequate beveiliging (art. 32) en meer algemeen adequate processen om zorgvuldig met persoonsgegevens om te gaan (art. 24). Een risico is bijvoorbeeld dat je testsysteem dan mails gaat sturen naar de klanten in de database, wat die mensen opvatten als een echte mededeling. Of heel simpel dat er een Excel-bestand met de productiedatabase rondslingert op de desktop van de tester, die het vergeet te verwijderen. Of dat Excel-bestand komt ergens in een gedeelde map die dan onbeveiligd bij Amazon terecht komt. Niet handig, mag niet gebeuren, dus doe dat nou gewoon even niet. Fair enough.

Dat tweede is een juridisch argument. Dat mensen niet verwachten dat hun gegevens ook voor X worden gebruikt, is de vertaling van “doel X is niet verenigbaar met het oorspronkelijke doel” (art. 6 lid 4 AVG). En dat is een probleem, want dan is aparte toestemming (althans, een aparte grondslag) nodig en die is er eigenlijk niet.

Het Hof van Justitie zegt nu dat dat laatste iets te snel is:

[Het] beginsel van doelbinding [verzet] zich er niet tegen dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens vastlegt en opslaat die eerder in een andere databank zijn verzameld en bewaard, wanneer die verdere verwerking verenigbaar is met de specifieke doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld, hetgeen moet worden bepaald aan de hand van de in artikel 6, lid 4, van die verordening genoemde criteria en van alle omstandigheden van het geval.
Dat komt neer op “het zou kunnen maar je moet goed nadenken”, waar we dus weinig aan hebben. Maar het Hof gaat verder:

Wat ten derde deze beoordeling betreft, moet worden opgemerkt dat het uitvoeren van tests en het herstellen van fouten in het abonneebestand concreet verband houden met de uitvoering van abonnementsovereenkomsten van particuliere klanten, aangezien dergelijke fouten negatieve gevolgen kunnen hebben ten aanzien van de contractueel overeengekomen dienst waarvoor de gegevens aanvankelijk zijn verzameld. Zoals de advocaat-generaal in punt 60 van zijn conclusie heeft opgemerkt, wijkt een dergelijke verwerking immers niet af van de legitieme verwachtingen van deze klanten wat het latere gebruik van hun persoonsgegevens betreft. Uit de verwijzingsbeslissing blijkt overigens niet dat deze gegevens of een deel daarvan gevoelig zouden zijn geweest of dat de aan de orde zijnde verdere verwerking ervan als zodanig schadelijke gevolgen voor de abonnees zou hebben gehad of niet gepaard ging met passende waarborgen. Het is hoe dan ook aan de verwijzende rechter om dit na te gaan.

Als het dus gaat om testen ten behoeve van verbeteren van de dienst waarvoor je de gegevens hebt verkregen, dan is het dus in principe wél gewoon verenigbaar om te testen met de productiegegevens. Mensen verwachten dat er af en toe geknutseld en verbouwd wordt aan hun dienst, en moeten snappen dat er dan soms getest wordt. Natuurlijk ontslaat dat je niet van je verantwoordelijkheid de test netjes en veilig uit te voeren, wat dus betekent dat er géén mailtjes mogen ontsnappen of dingen gebeuren die toch effect hebben op de productie-omgeving.

De reden voor de ingreep van de Hongaarse AP was een datalek, veroorzaakt omdat een test-database was blijven staan op een slecht beveiligde server waar een ethisch hacker deze aantrof. Dat mag natuurlijk niet gebeuren, en het Hof trekt daar een grens vanuit de opslagbeperking: zodra het testen klaar is, moet de testdata weg. (Natuurlijk, het kán dat je maandelijks test in plaats van eenmalig. Dan mag je dus de testdata blijven bewaren, mits je er natuurlijk voor zorgt dat deze niet voor andere doeleinden wordt gebruikt of op een openbare AWS blob komt.)

Arnoud

Hey #Netflix in de EU mogen we gewoon buitenshuis kijken zonder toeslag

| AE 13633 | Ondernemingsvrijheid | 8 reacties

ADMC / Pixabay

Netflix wil een extra toeslag gaan vragen aan gebruikers die hun account delen met personen die op een ander adres wonen. Dat meldde Tweakers vorige week. De toeslag zou van toepassing zijn wanneer je de app langer dan 14 dagen buitenshuis gebruikt. En dat is natuurlijk juridisch een probleem, zoals de Consumentenbond terecht opmerkt. Want hier is gewoon expliciet regelgeving over.

In 2017 nam de EU de Verordening betreffende grensoverschrijdende portabiliteit van online-inhoudsdiensten in de interne markt aan. De lange naam geeft aan wat deze regelt, en artikel 1 motiveert dat nog eens:

Deze verordening voorziet in een gemeenschappelijke benadering in de Unie van de grensoverschrijdende portabiliteit van online-inhoudsdiensten door ervoor te zorgen dat de abonnees op portabele online-inhoudsdiensten die rechtmatig worden verstrekt in hun woonlidstaat, toegang hebben tot en gebruik kunnen maken van die diensten, wanneer zij tijdelijk in een andere lidstaat dan hun woonlidstaat aanwezig zijn.
Dus als je in land A naar Netflix mag kijken, dan moet dat ook in land B kunnen. Geen IP-blokkade, geen technische beperkingen (zoals geen 4K maar alleen lage resolutie) en vooral: geen extra kosten.

Netflix ziet dat anders:

Netflix is ratcheting up its efforts to get freeloading viewers to pay up and will start charging accounts for password sharing early next year, instituting a system that add fees to your plan for “extra member” subaccounts when people outside your household use your membership.

Wat hier dus misgaat is dat Netflix zo’n vakantie-periode ziet als een persoon buiten het huishouden, terwijl dat niet zo is. Dat snap ik wel want dat volgt uit de standaardimplementatie, maar het zal toch echt anders moeten. Mogelijk is het argument van Netflix dat dat woord “tijdelijk” uit het citaat hierboven “twee weken” impliceert, maar dat zie ik nergens in de Verordening staan.

Arnoud

Mag je werkgever je verplichten je meisjesnaam in je e-mailadres te voeren?

| AE 13637 | Ondernemingsvrijheid | 102 reacties

Via Security.nl: Onlangs ben ik begonnen met werken bij een nieuwe werkgever. Daar is een mailadres gekoppeld aan mijn werkaccount. Dat mailadres bevat mijn geboortenaam. Ik wil die naam echter niet gebruiken voor mijn werk. Ik gebruik op mijn werk, in mijn zakelijk netwerk, en óók bij al mijn eerdere werkgevers namelijk al bijna 20… Lees verder

Mag je in een game een bekend hotel aan gort schieten?

| AE 13652 | Intellectuele rechten, Ondernemingsvrijheid | 24 reacties

Oh noes, in de vorige week verschenen game Call of Duty: Modern Warfare II wordt het Conservatorium Hotel in de hoofdstad zonder enig overleg aan gort geschoten. Dat meldde de Volkskrant onlangs. “De game reflecteert op geen enkele manier onze kernwaarden en wij betreuren dan ook onze kennelijke en ongewenste betrokkenheid”, aldus de hotelmanager die zich… Lees verder

Welke verantwoordelijkheid heb je als (kleine) forumbeheerder als een draadje ontspoort?

| AE 13628 | Ondernemingsvrijheid, Uitingsvrijheid | 20 reacties

In hoeverre handel je onrechtmatig door een forum te faciliteren waarin iemands goede naam zou worden aangetast, die vraag kreeg de rechtbank Overijssel onlangs. Het is een onderwerp dat bij mij vaak langskomt, hoewel het zelden tot een rechtszaak leidt: op een forum – in dit geval over mountainbiking – worden twijfelachtige dingen gezegd over… Lees verder

Vraag om interieurfoto’s op te sturen voor WOZ-waarde valt slecht

| AE 13643 | Privacy, Regulering | 27 reacties

De gemeenteraad van Enschede wil dat zijn inwoners niet meer om foto’s van de binnenkant van hun huis worden gevraagd. Dat meldde de NOS onlangs. Wethouder Marc Teutelink wordt volgens 1Twente als verantwoordelijke bestuurder op pad gestuurd, om alles in het werk te stellen om de proef met huis- en keukenfoto’s te beëindigen. Dit is… Lees verder

Bunq mag AI inzetten voor controleren van klanten op witwassen

| AE 13623 | Ondernemingsvrijheid, Regulering | 30 reacties

Internetbank Bunq mag AI inzetten om witwaspraktijken en het financieren van terrorisme te voorkomen, las ik bij Tweakers. De Nederlandsche Bank had de bank opgedragen om een traditionele, checklist-gebaseerde controle van haar klanten uit te voeren, maar de hoogste financiële bestuursrechter (het CBb) zegt nu dat dit te kort door de bocht was. DNB heeft niet… Lees verder

Justitie dreigt naar rechter te stappen na terugkeer Sanderink bij Centric

| AE 13631 | Informatiemaatschappij | 4 reacties

Het Openbaar Ministerie roept de veelbesproken miljonair Gerard Sanderink op toch niet weer topman te worden bij zijn IT-bedrijf Centric. Dat meldde AG Connect onlangs. Na anderhalf jaar geleden te zijn teruggetreden, ziet Sanderink er nu geen probleem meer in kennelijk om weer aan het roer te staan van het schommelende bedrijf. Deel zoveel in een… Lees verder

Eenzijdig nieuwe voorwaarden op je site zetten is niet bindend

| AE 13609 | Ondernemingsvrijheid | 17 reacties

Nieuwe voorwaarden alleen op je site zetten is niet genoeg, las ik bij de onvolprezen Eric Goldman (althans Kieran McCarthy): die zijn in de VS alleen bindend als je ze daadwerkelijk actief mededeelt aan je gebruikers. In de oude voorwaarden zetten “kom regelmatig maar controleren of bovenstaande anders is” kan dus echt niet meer, en interessant… Lees verder