Hoe verhoudt het portretrecht zich tot de AVG?

| AE 9947 | Privacy | 13 reacties

Een lezer vroeg me:

Ik ben beroepsfotograaf en maak graag spontane foto’s van straatbeeld, waarbij natuurlijk mensen ook herkenbaar in beeld komen. Nu ken ik de regels over het portretrecht, maar hoe zit het met de AVG? Ik kan toch moeilijk toestemming vragen aan mensen die voorbij joggen.

Het portretrecht is een van de oudste rechten op het gebied van privacy, maar lijkt ondertussen een groot deel achterhaald door de algemenere wetgeving over persoonsgegevens. Ik blogde al in 2016 over het verschil tussen die twee; grofweg kom ik niet verder dan dat de ene bij fotografie ingezet wordt en de andere bij meer gestructureerde gegevensbronnen.

De AVG is duidelijk en expliciet: een foto is een persoonsgegeven, en wanneer het ter identificatie wordt gemaakt zelfs een bijzonder (want biometrisch) persoonsgegeven. En dan geldt er een bijzondere regel uit het Europees recht, namelijk dat nationale wetten ongeldig zijn voor zover ze hetzelfde onderwerp bestrijken als een Europese wet.

Vanaf 25 mei wordt het portretrecht dus een heel eind kleiner. Wanneer iemand een privacybelang inzet om publicatie van zijn portret te verhinderen, moet hij dat doen via de AVG en niet meer via het portretrecht. In principe kun je dus alleen nog een financieel of commercieel portretrecht inroepen: je verzilverbare bekendheid kun je verhandelen.

Daarbij gelden dan wel een aantal belangrijke uitzonderingen als die verwerking gebeurt voor journalistieke, artistieke of literaire doeleinden. De AVG is daarop maar beperkt van toepassing. Zo is het in die gevallen onmogelijk om je toestemming in te trekken, dus een zogeheten quitclaim is in principe niet te herroepen. Ook mogen journalisten en artistieke fotografen gewoon bijzondere persoonsgegevens verwerken in hun beeld, zodat je ook op die grond de publicatie niet tegen kunt houden.

Het recht op gegevenswissing, ook wel het vergeetrecht bevat ook een relevante beperking: wanneer een verwerking nodig is voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie, kan geen beroep op dit recht worden gedaan.

Kort en goed betekent dit dat je weliswaar de AVG moet inroepen in plaats van het portretrecht maar dat je uiteindelijk bij hetzelfde uitkomt. Of je publiceert met toestemming (en dan moet je die aantonen en moet die voldoen aan de strikte eisen uit de AVG) of je beroept je op de vrijheid van meningsuiting en dan krijg je vervolgens dezelfde belangenafweging als voorheen onder het portretrecht.

Arnoud

Mag mijn school me verplichten een video van mezelf online te zetten?

| AE 9882 | Privacy | 13 reacties

Via Reddit:

Voor een vak op school (HBO) moet ik als onderdeel van het lesprogramma een video van mezelf maken en deze in het online programma van school zetten. Echter is deze video dan te zien voor elke leerling die dit vak volgt (meer dan 200) en dus ook te kopiëren. De bedoeling is dat 1 mede-student de video moet bekijken en beoordelen, en de lerares moet zien dat je dit hebt gedaan zodat zij het kan afvinken. Ik ben niet zo gek op het idee om van mezelf een video online te zetten. Kan ik dit weigeren, ivm privacy redenen bijvoorbeeld? Zou ik dan ook het maken van heel de video kunnen weigeren? Ik doe dit namelijk liever niet. Aangezien /r/thenetherlands zo veel van digitale privacy etc houdt zou ik graag weten of iemand hier een antwoord op heeft. Bedankt!

Wat is dat toch met rare praktijken op scholen. En nee, dit kan natuurlijk niet zomaar.

Het is op zich denk ik wel legitiem dat bepaalde vakken een uitwerking eisen in de vorm van video. Denk aan trainen hoe je overkomt voor de camera, het oefenen van dansen of sportbewegingen, of gewoon registratie van hoe je presenteert zodat je concrete visuele feedback kunt krijgen.

Dat je die uitwerking moet delen met medestudenten zie ik ook nog wel. Peer feedback en leren van hoe je medestudenten het doen lijkt me een standaard manier van werken bij hogescholen. Maar op het moment dat het op internet gezet moet, dan kunnen dus ook mensen meekijken die gewoon niets te maken hebben met je studievoortgang en -prestaties.

In de Reddit-draad lees ik dan discussie of dit wel een legitiem argument is, omdat het riekt naar een smoes om onder je huiswerk uit te komen. Dat probleem zie ik dus niet, omdat er geen reden is voor de school om een internetpublicatie te eisen. En dan kom je bij het simpele fundamentele punt dat het hier om persoonsgegevens gaat, en dús niet mag zonder grondslag, zonder goede reden.

Arnoud

Mag onze vereniging onder de AVG wedstrijdgegevens aan de andere club geven?

| AE 9894 | Privacy | 29 reacties

Een lezer vroeg me:

Bij onze schaakvereniging publiceren wij de wedstrijduitslagen inclusief namen van deelnemers op de site. Nu maakte een bezoeker daar bezwaar tegen, vandaar dat ik me nu afvraag hoe dit wettelijk zit, zeker onder de AVG die in mei van kracht wordt. Moeten wij toestemming vragen aan onze leden en hoe moeten we omgaan met bezoekers van andere verenigingen?

Voor publicatie van mensen hun persoonlijke informatie op internet is in principe altijd toestemming nodig, tenzij je een contractuele relatie met ze hebt waarbij dit noodzakelijk is, of wanneer je een eigen dringend belang hebt dat zwaarder weegt dan hun privacy. Een contractuele relatie zie ik hier niet – heel misschien met de eigen leden wel, het lidmaatschap van een vereniging is misschien als analoog met een overeenkomst te zien – en die eigen noodzaak kan ik ook zo niet bedenken.

Onder de AVG moet toestemming uitdrukkelijk, specifiek en apart worden gegeven. Dat mensen meedoen met een wedstrijd, is niet genoeg om toestemming uit af te leiden. Alleen als je bij inschrijving een kruisje laat zetten bij “Ik geef toestemming voor publicatie van mijn persoonsgegevens omtrent de wedstrijd op internet” dan gaat het goed.

Maar let op: mensen moeten dit vakje vrijelijk kunnen overslaan, én men moet de toestemming kunnen intrekken en dan van internet gehaald worden. Toestemming is immers op ieder moment zonder opgaaf van redenen intrekbaar.

Arnoud

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | E-mail, Privacy | 10 reacties

Een lezer vroeg me: Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan? Vaste… Lees verder

Wacht, de ICT-manager mag niet ook de privacy officer zijn?

| AE 9811 | Privacy | 19 reacties

Een Duits bedrijf heeft een boete gekregen omdat haar IT-manager ook de rol van functionaris gegevensbescherming oftewel privacy officer had, las ik bij IAPP. Daarmee werd de wettelijk verplichte onafhankelijke status van de FG aangetast. Dat wordt nog een uitdaging dus als deze functie ook in Nederland een grote vlucht gaat nemen – in veel… Lees verder

Mag een bedrijf vragen om een kopie van je ID bij een inzageverzoek?

| AE 9803 | Beveiliging, Privacy | 23 reacties

Een lezer vroeg me: Wanneer je je wettelijk recht op inzage of verwijdering van je persoonsgegevens wilt uitoefenen, wordt steeds vaker gevraagd of je een kopie van je identiteitsbewijs wilt opsturen. Is dat eigenlijk wel toegestaan? Onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming (AVG of GDPR) heb je het recht om… Lees verder

Internationale domeinbeheerder staat afschermen domeininfo toe

| AE 9785 | Domeinnamen, Privacy | 13 reacties

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer… Lees verder

U staat op een zwarte lijst, mag dat?

| AE 9772 | Privacy | 37 reacties

Incassokantoren hebben stilletjes grote zwarte lijsten aangelegd van bijna iedereen die in Nederland wel eens een rekening vergat te betalen. Dat meldde De Groene) vorige week (dank, vele tipgevers!). Talloze energiebedrijven, webwinkels en telefoonmaatschappijen checken de betaalmoraal van hun klanten – geheel in strijd met de wet. Wat dus al die tipgevers mij deed mailen:… Lees verder