Moeten we de toestemming niet eens afschaffen in het privacyrecht?

| AE 9153 | Privacy | 37 reacties

Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die nu eenmaal even nodig is om bij die site te kunnen. Toch kent ook de nieuwe privacywet de toestemming als basisbeginsel, en blijft het op allerlei plekken opduiken als basis voor wat je maar wilt doen met iemands privé. Raar.

Het uitgangspunt was ongetwijfeld heel nobel en integer. Als je iemands persoonsgegevens wilt verwerken, dan vraag je die persoon om toestemming. Net zoals je zonder toestemming mensen niet gaat opereren of hun huis betreedt. Gewoon een kwestie van integriteit, van fatsoen. Dus dat zetten we dan ook in de wet: toestemming is de algemene grond, en natuurlijk pas te geven na adequate informatieverstrekking en in volstrekte vrijwilligheid.

Volgens mij was er daarbij wel altijd soort van de aanname dat het verwerken van persoonsgegevens een ietwat bijzondere gebeurtenis was. Iets om even bij stil te staan, iets dat mensen niet perse dagelijks doen dus iets waar je best even de tijd voor mag nemen. Zeg maar een poliklinische ingreep: geen operatie met drie dagen herstel daarna, maar wel iets om je even over te laten inlichten en goed bij stil te staan voordat je ja zegt.

Die aanname is echter volledig verdwenen in de informatiesamenleving. Toestemming vragen is aan de orde van de dag, en gebeurt zó veel en zó vaak dat niemand er meer van opkijkt of bij stilstaat. En dan gaat het hele effect er vanaf natuurlijk. Dan wordt het die droge klik zonder nadenken, zonder betekenis.

Is dat erg, kun je je afvragen. Ik denk het wel, omdat de wet nog steeds opereert onder de aanname dat je wél nadenkt. Wél jezelf even goed informeert. Juridisch advies inwint over wat die wollige taal betekent. En vooral: er vanaf zou zien als je denkt, dit is toch niets voor mij. En de constructie daarbij is dat als je in die situatie toestemming geeft, eigenlijk alles mag. Daar zit voor mij dan de pijn: mensen klikken murwgebeukt op elke Akkoord-knop en de gevolgen worden gebillijkt omdat ze geacht worden te hebben nagedacht en afgewogen alsof ze bij de huisarts een nieuw medicijn moeten uitkiezen.

Het onmiddellijke tegenargument is natuurlijk, dan moet je maar écht eens even nadenken en afwegen als je privacyvragen krijgt. (Bij voorkeur met de flauwe dooddoener dat je toch al je privacy opgeeft door alles op Instagram en Facebook te delen.) Maar dat vind ik niet reëel meer. Als de situatie is dat je elke vijf minuten een lap tekst moet lezen en ja moet zeggen (en anders hup terug naar Google), hoe kun je dan nog in redelijkheid suggereren dat mensen de tijd moeten nemen om goed na te denken?

Dus nee. Wat mij betreft schrappen we dus de toestemming als grondslag. Wie persoonsgegevens wil gebruiken, moet maar gewoon aantonen dat hij dat nodig heeft en waarom dat belang zwaarder weegt dan de privacy.

Arnoud

Bouwvakkers filmen vrouw die naakt door huis loopt, mag dat?

| AE 9108 | Privacy | 37 reacties

camera-foto-filmen-straat-openbare-weg.pngEen 28-jarige inwoonster uit De Lier is door bouwvakkers gefilmd terwijl ze naakt in haar keuken liep. Dat meldde het AD vorige week. Uiteraard gaat dat dan de socialemedias rond. Een betrokkene is door zijn werkgever geschorst, maar ik kreeg er vragen over: de vrouw stond achter een raam zonder rolgordijn en het filmpje was vanaf de openbare weg. Mag dat dan niet?

Ik weet dat ik altijd zeg dat de hoofdregel is dat je vanaf de openbare weg mag filmen wat en wie je wilt. Dat is ook zo, maar zoals altijd in het recht zijn er uitzonderingen op dergelijke regels. Wat iemand doet in zijn eigen huis, is er zo eentje. Daar kom je echt in een grijs gebied terecht, omdat dan de privacy toch best zwaar tegengewicht biedt.

Word je gefilmd, ongeacht locatie, dan kun je je bij publicatie daarvan beroepen op je portretrecht. De rechter moet dan afwegen wat zwaarder weegt, de vrijheid van meningsuiting bij het publiceren van het filmpje of de privacy van de persoon in beeld.

In dit concrete geval kan ik eigenlijk geen enkele reden bedenken waarom de vrijheid van meningsuiting zou moeten winnen. Dat het vanaf de openbare weg zichtbaar was, vind ik te weinig. Mensen kunnen altijd vergeten een gordijn dicht te doen, en dat iemand dat dan ziet is tot daar aan toe, maar je hebt rekening met elkaar te houden. Zeker als je daar aan het werk bent.

Onder het AD-artikel suggereren diverse mensen dat deze mevrouw het erom deed, en graag naakt gezien wilde worden. Dat lijkt me sterk gezien haar reactie in het artikel, maar stel nu eens dat dat waar is. Dat zou dan haar privacybelang een heel eind onderuit halen, want wie ervoor kiest uit de schaduw te stappen, moet niet klagen gezien te worden. Ook als de gevolgen tegenvallen.

Alleen ligt de bewijslast hiervan bij de publicerende partij, en ik zou niet weten hoe je dat rond krijgt zonder zeg maar een getekende verklaring “ja dit wilde ik”. Enkel dat het raar is dat er één gordijn open was, is echt niet genoeg. Ook niet dat ze de camera had kunnen zien of had kunnen vermoeden dat er werd gefilmd omdat die bouwvakkers allemaal naar een klein schermpje stonden te kijken. Het is goed mogelijk dat je dat niet door hebt, zeker niet als je net uit de douche komt of je bril niet op hebt, en misschien heb je het wel door maar ben je te verbouwereerd om er wat aan te doen. Dus nee, dat zie ik niet.

Lastig is natuurlijk om er wat aan te doen tegen al die partijen die je filmpje verspreiden. Je beroepen op je privacy kan, maar niet iedereen geeft daar gehoor aan. Bovendien zijn de meeste sociale media niet geneigd filmpjes weg te halen op basis van een privacyclaim. Sterker is dan ook een auteursrechtclaim: laat de bouwvakker via een akte de rechten op de film overdragen, en dien dan een notice/takedownverzoek in bij Twitter en collega’s op grond van je auteursrecht.

Arnoud

Is een snapchatvideo openbaar of privé?

| AE 9095 | Privacy, Strafrecht | 13 reacties

video-camera-filmen-fotoIn juli 2014 zouden diefstallen zijn gepleegd en in het geheim filmopnamen zijn gemaakt tijdens twee nachtelijke feesten in het huis van aangevers die op Snapchat zouden zijn geplaatst. Dat meldde de rechtbank Noord-Holland vorige week vrijdag. Een van de verdachten werd veroordeeld voor het openbaar maken van een stiekem gemaakte video. Maar is Snapchat wel openbaar, je deelt het toch maar met een beperkt aantal mensen?

Wat die diefstallen en de video met elkaar te maken hebben, weet ik niet precies, maar het gaat mij dus om die video. De verdachte had stiekem gefilmd hoe een dame seks met hem had, en die video op Snapchat gezet.

Het is strafbaar om stiekem video’s (of foto’s) te maken van mensen wanneer dat in niet-openbare ruimtes gebeurt (art. 139f Strafrecht). Ja, ook met een mobiele telefoon of andere gewone camera, niet alleen met bewakingscamera’s of zo. En vervolgens verbiedt 139g Strafrecht het openbaar maken van zo’n video.

In deze zaak was de video in een niet-openbare ruimte gemaakt – het bubbelbad bij een woning. Dus dat artikel 139f was overtreden, stond vast. Maar die openbaarmaking, hoe zit dat dan?

“Openbaar maken” betekent in de context van het strafrecht niet perse dat je zelf de hele wereld direct benaderd moet hebben, zoals wanneer je het op Youtube zou zetten. Ook als je een kleinere groep mensen bedient, kan dat nog steeds “openbaar” zijn. Het moet gaan om “een bredere kring van betrekkelijk willekeurige derden”. In al wat oudere jurisprudentie (Hyves!) werd bepaald hoe dat wordt ingevuld bij online acties. Zijn 20 familieleden meer of minder openbaar dan 10 willekeurige fans?

Uiteindelijk kwam daar een arrest van de Hoge Raad voorbij met het criterium:

de tekst op de Hyves-pagina van de verdachte zichtbaar was voor personen die kennelijk naar eigen inzicht en zonder enige restrictie over de uitlating konden beschikken,

Dat criterium zie je terug in deze zaak:

Door het heimelijk gemaakte filmpje op Snapchat te plaatsen, heeft verdachte dit ter kennis willen brengen van het publiek, te weten ofwel alle overige gebruikers van Snapchat ofwel de groep door verdachte goedgekeurde contacten, hetgeen eveneens een groep van zekere omvang betreft. Daarmee heeft verdachte het heimelijk vervaardigde filmpje openbaar gemaakt in de zin van de wet.

In mijn woorden: die groep van mensen waar het filmpje naartoe gestuurd was, was betrekkelijk willekeurig. Iedereen had in principe daar bij kunnen horen. Bovendien mocht iedereen het filmpje doorsturen, de verdachte had niets gedaan om dat te verhinderen. En daarmee geef je het aan de openbaarheid prijs.

Bij WhatsApp zou dit denk ik ook opgaan in een groepsapp waar willekeurige mensen lid van kunnen worden. Bij doorsturen naar één persoon zou ik dat minder snel zien, tenzij uit de context blijkt dat je verdere verspreiding best leuk zou vinden.

Arnoud

Wanneer hebben wij een data protection officer nodig als bedrijf?

| AE 9090 | Privacy | 15 reacties

Een lezer vroeg me: In 2018 komt de Privacyverordening eraan. Eén van de plichten daaruit is het aanstellen van een data protection officer ofwel een functionaris gegevensbescherming. Maar welke bedrijven moeten dit nu verplicht doen? De functionaris voor de gegevensbescherming oftewel de data protection officer (DPO) is een onafhankelijk en deskundig persoon binnen de organisatie… Lees verder

Amerikaans WhatsApp valt onder Nederlandse privacywet

| AE 9088 | Aansprakelijkheid, Privacy | 18 reacties

De chatapp WhatsApp heeft een rechtszaak verloren van de Autoriteit Persoonsgegevens, de Nederlandse privacywaakhond. Dat meldde Nu.nl gisteren. Op straffe van een dwangsom van 10.000 euro per dag moet het bedrijf een vertegenwoordiger aanstellen in Nederland. Want hoewel het bedrijf in de VS zit en geen servers en dergelijke in Nederland heeft staan, valt men… Lees verder

Hoe moet Samsung die teruggeroepen Note 7’s vernietigen, qua persoonsgegevens?

| AE 9055 | Aansprakelijkheid, Privacy | 14 reacties

Het is nog altijd onduidelijk wat er gaat gebeuren met de persoonlijke data op de miljoenen Note 7-toestellen die door Samsung zijn teruggeroepen. Dat las ik (dank, Franc) bij Security.nl. De wasmachines, pardon telefoons worden teruggeroepen vanwege ontploffende accus. Vanwege dat ontploffingsgevaar werd geadviseerd het toestel meteen uit te zetten en terug te sturen, zodat… Lees verder

Dynamische ip-adressen zijn ook persoonsgegevens voor websitehouders

| AE 9016 | Privacy | 7 reacties

Het Europese Hof van Justitie heeft bepaald dat dynamische ip-adressen persoonsgegevens kunnen zijn, zo meldde Tweakers vorige week. Daar schijn je over te kunnen twijfelen, dus goed dat er nu een uitspraak (zaaknr. C-582/14) over is. De zaak werd aangespannen door een Duitse burger die constateerde dat overheidswebsites zijn IP-adres logden. Hij maakte daartegen bezwaar:… Lees verder

Privacywaakhond waarschuwt stichting die ‘verloren’ kleinkinderen zoekt

| AE 9003 | Privacy | 9 reacties

De Autoriteit Persoonsgegevens (AP) heeft Stichting Voor Mijn Kleinkind op de vingers getikt vanwege de manier waarop zij kleinkinderen in contact probeert te brengen met hun grootouders. Dat meldde Nu.nl vorige week. Grootouders die geen contact hebben met hun kleinkinderen kunnen daar een oproep plaatsen, die deze kleinkinderen dan kunnen vinden (via bijvoorbeeld een zelfgoogel)… Lees verder

Facebook moet gegevens Nederlandse gebruiker doorgeven om chantage

| AE 8976 | Aansprakelijkheid, Privacy | 5 reacties

Facebook moet gegevens van een gebruiker opsporen en doorgeven om vervolging van die persoon mogelijk te maken, meldde Nu.nl maandag. Het gaat om gegevens van iemand die dreigde intieme foto’s van een gebruiker te publiceren. De rechter bepaalde dat Facebook die moet afgeven. Opmerkelijk genoeg wel met de overweging dat Facebook terecht niet zelf die… Lees verder