Mag je onder de Privacyverordening geen biometrische identificatie meer uitvoeren?

| AE 9457 | Privacy | 10 reacties

Een lezer vroeg me:

Bij het nalezen van de Algemene Verordening Gegevensbescherming viel me op dat biometrische gegevens daar als zogeheten bijzondere persoonsgegevens aangemerkt worden. Het verwerken daarvan is verboden, tenzij in de AVG expliciet toegestaan wordt dat dit mag. Maar dat betekent effectief dat biometrische identificatie niet meer mag, want toestemming eisen is natuurlijk niet mogelijk en er is geen algemene belangenafweging. Klopt deze conclusie?

Het klopt dat de AVG (de Privacyverordening) in beginsel verbiedt dat iemand biometrische persoonsgegevens verwerkt. Daaronder vallen vingerafdrukken, gezichtsherkenning, irismetingen en dergelijke. Het doel doet er daarbij niet toe, je mag die gegevens gewoon niet verzamelen, opslaan of gebruiken want het zijn bijzondere persoonsgegevens. Ze onthullen immers gevoelige informatie over personen.

Het gebruik van bijzondere persoonsgegevens mag alleen in speciale gevallen, zoals bij het dienen van iemands “vitaal belang” – urgente medische kwesties – of een zwaarwegend algemeen belang. Daarnaast kun je met “uitdrukkelijke toestemming” soms nog een grondslag verkrijgen, maar die toestemming moet vrijwillig en apart worden gegeven en kan op ieder moment worden ingetrokken. Daarmee is er eigenlijk geen grondslag om te kunnen werken met bijzondere persoonsgegevens voor beveiliging, toegangscontrole et cetera.

(Voor ‘gewone’ persoonsgegevens ligt dat anders; daar is er de grond van de “eigen dringende noodzaak” waarbij een belangenafweging eigenlijk genoeg is. Die grond bestaat nadrukkelijk niet in de AVG voor bijzondere persoonsgegevens.)

De reden dat er specifiek voor biometrische identificatie geen regeling is in de AVG, is een politieke: de Europese landen konden het niet eens worden over of en in hoeverre dit toegestaan zou moeten zijn. Daarom is dit onderwerp buiten scope gelaten. Landen mogen dit dus zelf regelen als zij het willen toestaan. En gelukkig lijkt Nederland dat te willen: in de Uitvoeringswet (althans het concept dat in internetconsultatie is gegaan) is een artikel 26 opgenomen:

Het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon is niet van toepassing indien de verwerking geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.

Oftewel, je mag biometrische identificatie inzetten mits je maar een duidelijk belang daarvoor hebt én eigenlijk geen andere optie hebt ter identificatie dan biometrie. Je moet dit onderbouwen en die onderbouwing moet in je verwerkingsregister zitten.

Dit is met name van belang voor het kunnen identificeren van bezoekers en werknemers. Die hebben namelijk geen keus als ze door zo’n scan heen moeten. Werknemers kunnen juridisch geen toestemming geven aan hun werkgever. Ook bij bezoekers lijkt me dat een lastig te verdedigen punt: je bent er al, je wilt/moet naar binnen en dan moet je even toestemming geven voor een vingerafdruk of irisscan. Dat klopt niet.

(Diensten zoals Privium of de vingerafdrukscanner op je laptop zijn een ander verhaal. Daar kies je zelf voor en je kunt op ieder moment die keuze ongedaan maken.)

Arnoud

Mag je een spionerende drone met je luchtbuks neerhalen?

| AE 9445 | Privacy | 23 reacties

Buurjongen schiet de drone uit de lucht. Dat zie je niet vaak in een vonnis, dat er wordt geschoten in Nederland. Maar in deze privacyzaak wel: de drone-eigenaar vloog met een drone met camera boven de tuin van de buren, waarop de buurjongen zich zó in zijn privacy aangetast voelde dat hij met een luchtbuks vanuit het raam van zijn ouderlijke woning op de drone geschoten heeft – en deze geraakt had ook. Drone stuk. Wie is nu waar voor aansprakelijk?

De zaak werd in twee delen beslist. Allereerst lag daar de kwestie of de drone-eigenaar wel mocht vliegen waar hij vloog. Het kan voor aansprakelijkheid nogal uitmaken of het slachtoffer zelf binnen de wet bleef of niet, immers. In dit geval ging het om een relatief kleine drone die binnen het zicht van de vliegenier bleef, en binnen de 300 meter vanaf de grond. Daar zijn verder dan geen specifieke regels voor over waar je dan mag vliegen. Ook is nergens expliciet vastgelegd of je met een drone-camera mag vliegen.

Dat wil echter niet zeggen dat het dan dus mag. Privacy is immers een grondrecht, dat dus ook geschonden kan worden met handelingen die op zich wettelijk toegestaan zijn. Het komt altijd neer op een afweging van belangen. Hier begint het dan met dat het ging om vrijstaande woningen op ruime percelen in een landelijke omgeving, waardoor je je thuis een stuk vrijer zou voelen dan in een kamertje in een pijpenla drie hoog achter.

Het vliegen met een drone, zodanig dat een aan de drone bevestigde camera beelden kan maken van hetgeen zich in de woning van [gedaagde] afspeelt levert een ongerechtvaardigde schending op van de persoonlijke levenssfeer. In de privésfeer van de eigen woning mag de bewoner absolute eerbiediging van zijn privacy verwachten. Voor een inbreuk daarop is geen rechtvaardiging aangevoerd. Ook indien de camera niet ‘aan’ staat en dus feitelijk geen beelden vastlegt, brengt het enkele gegeven dat de camera aanwezig is en dat onzeker is of deze in werking is, in werking zal worden gesteld, of ‘uit’ blijft een inbreuk op. De onzekerheid zorgt voor een gevoel van onvrijheid waarvan men in de eigen woning gevrijwaard behoort te blijven.

Dat over de uit-staande camera betrof een verweer van de drone-eigenaar: hij zou wel hebben gevlogen daar maar zonder camera aan. Maar dat is dus geen argument, want het gaat er uiteindelijk om of je je geschonden voelt of niet. Daarmee was de kwestie van de privacy-inbreuk dus gegeven: nee, de buurman mocht daar niet vliegen (tussenvonnis).

Vervolgens de schade in het eindvonnis. Want die drone is wel stuk door dat schieten (dat op zich óók onrechtmatig is, het is immers strafbaar andermans eigendom te vernielen) en wie gaat dat betalen?

Ieder de helft, in principe:

De beide onrechtmatige handelingen hebben samen de schade aan de drone veroorzaakt. Immers, wanneer geen inbreuk was gemaakt op de privacy van [gedaagde] had deze niet geschoten en wanneer [gedaagde] niet had geschoten was de drone niet beschadigd door het schot. In artikel 6:101 BW is opgenomen dat in een dergelijk geval de schade wordt verdeeld over beiden, in evenredigheid met de maakte waarin de aan ieder toe te rekenen omstandigheden tot de schade hebben bijgedragen. Daar kan een billijkheidscorrectie op worden aangebracht indien de ernst van de gemaakte fouten of andere omstandigheden dat eisen.

De rechter constateert dat hier zowel het grondrecht privacy als het grondrecht eigendom even zwaar wegen. Er is geen bijzondere reden waarom dan de een meer of minder zou moeten betalen dan de ander, dus het is en blijft 50/50. Er is nog wat discussie over de exacte hoogte van het bedrag, maar daar moeten partijen samen uit zien te komen.

De drone-eigenaar krijgt verder nog wel een verbod onder dwangsom om met een drone te vliegen boven het perceel van de buren, ongeacht of die drone filmt of niet.

Arnoud

EU legt Facebook 110 miljoen euro boete op voor misleiding bij overname WhatsApp

| AE 9438 | Innovatie, Privacy | 7 reacties

De Europese Commissie heeft Facebook een boete van 110 miljoen euro opgelegd voor het geven van misleidende informatie bij de overname van WhatsApp. Dat las ik bij Tweakers. Bij deze overname had Facebook beloofd geen gegevens van hun sociale netwerk te combineren met de dienst van WhatsApp, maar dat gebeurde twee jaar later toch. Vanwege de omvang van de deal was toestemming van de Europese Commissie nodig, en de boete is vanwege het bewust misleiden van de Commissie bij het verstrekken van de gevraagde informatie om de deal in te kunnen schatten. Maar doet 110 miljoen euro eigenlijk wel genoeg pijn?

Het persbericht van de EC legt uit dat de boete niet opgelegd wordt voor het combineren an sich. Dat is wellicht in strijd met privacywetgeving, maar daar moet een lokale privacy-autoriteit (zoals de Ierse Autoriteit Persoonsgegevens) over beslissen. Het gaat om het feit dat Facebook niet duidelijk heeft aangegeven dat ze dit zou gaan doen; sterker nog, ze hebben expliciet gezegd dat dit technisch helemaal niet kón. En twee jaar later kon het toch, iets dat Facebook gewoon wíst toen ze zei van niet. Dat is dus boetewaardig.

De boete van 110 miljoen euro is ongeveer de helft van wat de Commissie op mocht leggen onder de relevante regelgeving. Facebook had meegewerkt en openheid van zaken verschaft, en dat is een grond voor boeteverlaging. Maar wat dan moeilijk te verkroppen is, is dat het verder geen gevolgen lijkt te hebben. De koppeling wordt niet ineens verboden, en de deal wordt al helemaal niet teruggedraaid.

Today’s decision has no impact on the Commission’s October 2014 decision to authorise the transaction under the EU Merger Regulation. Indeed, the clearance decision was based on a number of elements going beyond automated user matching. The Commission at the time also carried out an ‘even if’ assessment that assumed user matching as a possibility. The Commission therefore considers that, albeit relevant, the incorrect or misleading information provided by Facebook did not have an impact on the outcome of the clearance decision.

Oftewel: de beslissing om de overname toe te staan, was niet afhankelijk van een belofte om de gegevens niet te koppelen. Zelfs als Facebook vooraf had gezegd wél te zullen gaan koppelen, dan nog zou het zijn goedgekeurd. Dan kun je achteraf niet meer zeggen als toezichthouder dat de misleidende informatie nu moet leiden tot ongedaanmaking van de deal. Begrijpelijk maar wel frustrerend.

De voornaamste reden om het zelfs dan toe te staan, was overigens dat er genoeg andere partijen zijn die targeted advertenties kunnen faciliteren en profielen opbouwen. Oftewel, uiteindelijk maakte die koppeling toch niets uit qua hoe hard je privacy wordt geschonden.

Arnoud

Gaat nu echt alles verboden worden onder de AVG?

| AE 9433 | Privacy | 10 reacties

Een lezer vroeg me: Volgend jaar komt de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR) eraan. Ik lees ondertussen overal de meest verschrikkelijke verhalen over wat een draak van een wet dit gaat worden. Je mag niets meer zonder toestemming, je beveiliging moet gigantisch veel zwaarder, je moet elke scheet met persoonsgegevens registreren en vrijwel… Lees verder

Mag een bedrijf toestemming afleiden uit het feit dat je ze mailt?

| AE 9406 | Privacy | 8 reacties

Een lezer vroeg me: In het privacystatement van Vereniging Eigen Huis staat: “Het anderszins verwerken van uw persoonsgegevens geschiedt alleen voor zover u Vereniging Eigen Huis daarvoor ondubbelzinnig toestemming heeft verleend. Die toestemming kan blijken uit het enkele feit dat u per e-mail of anderszins een vraag aan Vereniging Eigen Huis stelt.” Is dat laatste… Lees verder

Politie mag smartphones van verdachten niet zomaar meer doorzoeken

| AE 9370 | Privacy | 25 reacties

De Hoge Raad heeft grenzen gesteld aan het politieonderzoek naar smartphones van verdachten. Dat meldde Nu.nl vorige week. De politie mag een smartphone doorzoeken als dit niet verder gaat dan een beperkte inbreuk op de privacy. De huidige praktijk van iemands telefoon compleet leegtrekken en doorzoeken staat daar op gespannen voet mee, eigenlijk moet daar… Lees verder

Slimme vibrator met camera gekraakt door beveiligingsbedrijf

| AE 9362 | Beveiliging, Privacy | 29 reacties

De Svakom Siime Eye, een slimme vibrator met aan het uiteinde een camera, blijkt relatief eenvoudig te kunnen worden gemanipuleerd. Hierdoor zijn de gemaakte beelden ook op afstand door vreemden te bekijken, zo las ik bij Nu.nl na diverse tips (dank, iedereen). En ergens hoop ik dat dit faalproduct ten voorbeeld wordt gesteld aan alle… Lees verder

Te koop bij uw ISP: uw browsergeschiedenis

| AE 9355 | Privacy | 16 reacties

Amerikaanse internetproviders mogen binnenkort de internetgeschiedenis van hun klanten verkopen aan derden, meldde Ars Technica vorige week. Een besluit van die strekking is door zowel Congres als Huis van Afgevaardigden aangenomen. Het besluit verklaart een eerdere regel van de toezichthouder FCC ongeldig, waarin werd bepaald dat alleen met aparte opt-in dergelijke gegevens mochten worden verzameld… Lees verder

Nee, werknemers kunnen geen toestemming geven voor privacyzaken

| AE 9313 | Arbeidsrecht, Privacy | 33 reacties

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP:… Lees verder