Hoe hard zoek je de openbaarheid als je dingen op Facebook zet?

| AE 9586 | Arbeidsrecht, Privacy | 31 reacties

De privacywetgeving hoort niet van toepassing te zijn als iemand zelf de openbaarheid zoekt, las ik bij Netkwesties. Als mensen beslissen allerlei zaken openbaar te maken, betekent dat tegelijkertijd dat zij het ‘risico’ nemen dat anderen, waaronder wellicht potentiële werkgevers, daar kennis van nemen. Een standpunt dat hier ook recent voorbij kwam, zij het op een voor mij wat ergerlijke manier: het is me iets te makkelijk, dat “iedereen kiest voor Facebook dus wat je daar zet is vogelvrij”.

De kern van dit standpunt komt erop neer dat Facebook en andere sociale media inzetten een bewuste keuze is, die weloverwogen wordt gemaakt door een gemiddeld omzichtige consument na zich adequaat geïnformeerd te hebben. Na die keuze is het inderdaad wat raar om ineens te gaan schermen met allerlei privacybezwaren. Wie zijn arts aanklaagt voor een amputatie na middels diverse gesprekken over de beste medische behandeling daar welbewust voor gekozen te hebben, zal ook niet snel gelijk krijgen.

Alleen: dat de gemiddelde burger zo’n omzichtige consument is, klopt natuurlijk van geen kant. Mensen kiezen niet welbewust en na zorgvuldig inlezen voor die diensten, men gebruikt het omdat iedereen het gebruikt, het er netjes en overzichtelijk uitziet en het wel snor lijkt te zitten. Wie zou er immers niet een keurige nette dienst afnemen van een groot beursgenoteerd bedrijf? Betrouwbaarder kan haast niet, zou je denken.

En er zitten ook keurige knopjes in om je privacy mee te bedienen. Alleen, zo makkelijk is dat nog niet. Uit onderzoek blijkt dat slechts een derde van de mensen snapt hoe Facebook-privacyinstellingen werken. De meeste mensen denken te snel dat ze iets privé hebben gemaakt. Je moet er een behoorlijke studie van maken om zeker te weten wat je doet als je dingen dicht wil zetten.

Sterker nog: je kúnt je haast niet adequaat inlezen in wat die diensten doen. De privacyverklaring staat vol wollige taal, en wie dat allemaal door wil spitten is daar 76 werkdagen per jaar mee kwijt. En nog erger, die privacyverklaringen zijn niet volledig dus zelfs als je die 76 dagen er voor gaat zitten, kom je er nog niet uit.

En zelfs als je wél eruit komt, de boel goed dichttimmert en oplet wat je post, dan nog loop je tegen vrienden en kennissen aan die zonder nadenken dingen posten met jouw naam of foto erin. Een fotoverslag van een leuk feestje met als grappig commentaar dat jij weer helemaal teut was “maar je zal je wel ziek gemeld hebben vandaag he” om eens wat te noemen. Of tegen een naamgenoot die het wat minder nauw met de werkethiek neemt.

Natuurlijk zijn er mensen die welbewust hun hele leven delen. Die zullen er ook weinig bezwaar tegen hebben dat hun werkgever dat leest. Maar daar zal ook weinig echt privés te vinden zijn. Deze regels over werknemers googelen zijn natuurlijk niet voor deze groep bedoeld. Het gaat om het gros van de mensen dat niet weet, en eigenlijk ook niet kán weten hoe Facebook en consorten werken, die in een vervelende positie komen als hun socialmediainformatie al te makkelijk gebruikt kan worden.

Die mensen wegzetten als “ze kiezen er welbewust voor” vind ik gewoon wereldvreemd. Hetzelfde geldt voor “je hoeft niet op Facebook te zitten”, waar ik eerder al over tireerde.

(En dat raakt aan een aanverwant punt waar het Netkwesties-stuk overheen scheert: de benodigde zorgvuldigheid om die informatie op waarde te schatten. Weet jij als werkgever of zo’n bericht waar is? Klopt de datum wel? Is het echt je werknemer? En is het opschepperij/stoerdoen naar vrienden of serieus bedoeld?)

Arnoud

Wat moet je onder de AVG doen met ongewenst verkregen persoonsgegevens?

| AE 9579 | Privacy | 16 reacties

Een lezer vroeg me:

Af en toe krijgen wij als PC-reparateurs per mail allerlei persoonlijke informatie van klanten gemaild, ongevraagd. Denk aan een verslag wat er misging, maar soms ook medische of andere gevoelige gegevens. Soms zelfs van collegabedrijven die ons als tweedelijns ondersteuning inschakelen. Dat is een probleem onder de AVG, want die mail is natuurlijk onbeveiligd. Wat moeten wij daar mee?

Inderdaad ben je onder de AVG verplicht zorgvuldig met persoonsgegevens om te gaan die je binnenkrijgt, en het doet er niet toe of je gevraagd hebt om die gegevens. Maar het is niet zo dat je per direct een boete krijgt wanneer iemand je ongevraagd zijn medisch dossier mailt, of zelfs maar dat die persoon een schadeclaim kan indienen. Zolang je maar adequaat je mail monitort op dergelijke gegevens, en ze wist zodra duidelijk is dat ze irrelevant zijn.

Wanneer de gegevens van een collega komen, wordt het een iets ander verhaal. Die collega is verantwoordelijke voor die gegevens, en mag ze niet zomaar aan een derde verstrekken. Dat mag in dit soort situaties eigenlijk alleen als jij als verwerker (voorheen: bewerker) bent aangesteld en er een verwerkersovereenkomst tussen jou en hem is gesloten, waarin staat dat jij in de uitvoering van je PC-reparaties persoonsgegevens kan ontvangen, dat je daarmee zorgvuldig om zult gaan et cetera. Die zal er dus sowieso moeten komen.

Nog steeds ben je dan niet schadeplichtig als je die mails binnenkrijgt en er adequaat op reageert. Maar hij is dat wel: hij verstrekt persoonsgegevens aan derden zonder afdoende maatregelen te hebben genomen. Dus de bal ligt bij hem om hier wat aan te doen. Hooguit ontstaat voor jou een probleem als dit stelselmatig gebeurt en je nooit eens een escalatie opstart om hier een einde aan te maken (of een verwerkersovereenkomst te sluiten).

Arnoud

Mogen persoonsgegevens in andere landen dan de VS wel worden opgeslagen?

| AE 9555 | Privacy | 3 reacties

Een lezer vroeg me:

Er is natuurlijk veel te doen over data die naar de USA kan gaan. Ik hoor echter nooit discussies over data die bijvoorbeeld naar India gaat. Wat zegt de AVG over andere landen buiten de EU?

Het gaat inderdaad vaak om de Verenigde Staten, maar juridisch gezien is de VS niet anders dan andere landen buiten de Europese Economische Ruimte: persoonsgegevens mogen daar niet naar toe, tenzij in de wet (de Algemene Verordening Gegevensbescherming) staat van wel.

De wet kent een aantal gronden waarop persoonsgegevens in een bepaald land mogen worden opgeslagen. De belangrijkste is dat de Europese Commissie heeft besloten dat landen “een passend beschermingsniveau waarborgen”. Op dit moment zijn dit:

Andorra, Argentinië, Canada (alleen voor de commerciële sector en alleen in gebieden waar de Canadian Personal Information Protection and Electronic Documents Act van toepassing is), de Faeröer Eilanden, Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten (alleen indien de betrokken Amerikaanse partij bij Privacy Shield is aangesloten) en Zwitserland.

Wil je gegevens in deze landen opslaan, of bedrijven daar iets laten doen met die gegevens, dan mag dat. (Natuurlijk moet je wel gewoon toestemming of andere grondslag voor de verwerking an sich hebben, en een verwerkersovereenkomst hebben gesloten, net zoals wanneer je een Europees bedrijf zou inschakelen.)

Voor andere landen is er nog de optie van “passende waarborgen”, die er kort gezegd op neerkomen dat je als Europese partij hebt geborgd dat betrokken personen daadwerkelijk dezelfde bescherming krijgen als wanneer de data in de EU was opgeslagen. Als het bijvoorbeeld gaat om een Indiase dochter van een Europees concern, dan zijn zogeheten bindende bedrijfsvoorschriften (intra-concern contracten) goed genoeg.

Een andere optie zijn de zogeheten standaardbepalingen of “model clauses”, door de EU voorgeschreven contractuele bepalingen die ook dergelijke waarborgen afdwingen. Wel blijf je als EU-partij verantwoordelijk voor de feitelijke naleving door die Indiase partij. En daar zit natuurlijk de pijn bij gebruik van niet-Europese partijen: hoe ga je die aansprakelijk stellen of schade verhalen als blijkt dat die contractuele regels niet meer waren dan mooie woorden?

Arnoud

Sollicitanten niet meer vogelvrij op sociale media

| AE 9547 | Privacy | 75 reacties

Even het Twitter-account of de Facebook-site van een potentiële werknemer checken is niet toegestaan, meldde het FD vorige week. De Autoriteit Persoonsgegevens bracht een opiniestuk uit dat er nog eens op wijst dat dit eigenlijk gewoon niet toegestaan is, in ieder geval niet zonder stevige belangenafweging. Waanzin, noemt Quote het en je kunt je natuurlijk… Lees verder

Incassobureau dreigt wanbetaler met filmpje op YouTube

| AE 9543 | Privacy | 20 reacties

Incassobureau Straetus uit Flevoland dreigt wanbetalers en oplichters met het online zetten van beelden op YouTube. Dat meldde de NOS onlangs. De directeur van het bureau spreekt de wanbetaler aan op zijn schulden terwijl de camera het gesprek vastlegt. Met dat extra drukmiddel wil men betaling afdwingen, zo te lezen met name bij partijen die… Lees verder

Eh nee, je BSN blijft gewoon een verboden nummer onder de Privacyverordening

| AE 9513 | Privacy | 31 reacties

Een lezer vroeg me: In diverse media lees ik dat het verbod op verwerken van het burgerservicenummer (BSN) gaat verdwijnen. Dit verbod staat in de Wet bescherming persoonsgegevens, maar die komt te vervallen zodra de AVG is aangenomen. Klopt dat, en mag ik dan gewoon het bsn gaan gebruiken als bijvoorbeeld klantnummer? Nee, dit klopt… Lees verder

Mag je mensen nog verplicht op nieuwsbrieven laten abonneren onder de Privacyverordening?

| AE 9508 | E-mail, Privacy | 23 reacties

Een lezer vroeg me: Is het straks onder de Privacyverordening (AVG of GDPR) nog toegestaan om gratis e-book of deelname aan een quiz of iets dergelijks te koppelen aan een verplichte opt-in voor een nieuwsbrief? Het is een populaire manier van nieuwsbriefbuilding: bied een ebook of factsheet of andere interessante download aan, maar alleen nadat… Lees verder

Mag je onder de Privacyverordening geen biometrische identificatie meer uitvoeren?

| AE 9457 | Privacy | 10 reacties

Een lezer vroeg me: Bij het nalezen van de Algemene Verordening Gegevensbescherming viel me op dat biometrische gegevens daar als zogeheten bijzondere persoonsgegevens aangemerkt worden. Het verwerken daarvan is verboden, tenzij in de AVG expliciet toegestaan wordt dat dit mag. Maar dat betekent effectief dat biometrische identificatie niet meer mag, want toestemming eisen is natuurlijk… Lees verder

EU legt Facebook 110 miljoen euro boete op voor misleiding bij overname WhatsApp

| AE 9438 | Innovatie, Privacy | 7 reacties

De Europese Commissie heeft Facebook een boete van 110 miljoen euro opgelegd voor het geven van misleidende informatie bij de overname van WhatsApp. Dat las ik bij Tweakers. Bij deze overname had Facebook beloofd geen gegevens van hun sociale netwerk te combineren met de dienst van WhatsApp, maar dat gebeurde twee jaar later toch. Vanwege… Lees verder