Mag een consult bij een arts worden opgenomen?

| AE 9967 | Privacy | 9 reacties

Een lezer vroeg me:

Wat mag er van de wet bij consulten bij een arts? Mag een patiënt deze gesprekken opnemen, en omgekeerd mag een arts dat ook?

De wet is vrij simpel over het opnemen van gesprekken waar je als privépersoon deelnemer aan bent: dat mag, en je hoeft je gesprekspartner(s) daar niets over te zeggen. De opnames zijn wel maar beperkt bruikbaar, in principe alleen als bewijs bij de rechter (of politie) om aan te tonen wat er is gezegd.

Deze regel geldt ook als je een gesprek voert met je arts, of een andere dienstverlener (zoals je advocaat, aannemer of hypotheekadviseur). Soms hoor je dat een organisatie huisregels stelt waarbij wordt gezegd dat je geen opname-apparatuur aan mag hebben. Ik twijfel zeer of dat rechtsgeldig is. Ik denk dat dit in strijd is met je informatievrijheid, een grondrecht.

Omgekeerd ligt het voor professionals iets ingewikkelder. Zij krijgen allereerst te maken met de Wet bescherming persoonsgegevens, en vanaf volgend jaar dus de AVG/GDPR. Deze eist dat het opnemen van gesprekken vooraf wordt gemeld en hetzij met toestemming gebeurt, hetzij een héél goede reden (eigen dringende noodzaak) kent.

Die reden zie ik niet echt, zeker niet bij een arts gezien het zeer gevoelige onderwerp (bijzondere persoonsgegevens). De arts zal dus toestemming nodig hebben van de patiënt, en de patiënt moet vrijelijk deze kunnen weigeren. Kort door de bocht lijkt dat me vrij ingewikkeld dus ik denk dat een arts gesprekken niet kan opnemen.

In oktober raadde de KNMG haar leden (59.000 artsen en studenten geneeskunde) aan om binnen deze regels te gaan werken. Hun voornaamste aanbeveling aan artsen is duidelijk te maken dat je als patiënt het recht hebt je consult op te nemen, maar tegelijk wel de discussie aan te gaan waarom de patiënt dit wil. Ook kun je dan aangeven dat publicatie (waaronder ook valt het delen op sociale media) niet toegestaan is.

Arnoud

Hoe verhoudt het portretrecht zich tot de AVG?

| AE 9947 | Privacy | 13 reacties

Een lezer vroeg me:

Ik ben beroepsfotograaf en maak graag spontane foto’s van straatbeeld, waarbij natuurlijk mensen ook herkenbaar in beeld komen. Nu ken ik de regels over het portretrecht, maar hoe zit het met de AVG? Ik kan toch moeilijk toestemming vragen aan mensen die voorbij joggen.

Het portretrecht is een van de oudste rechten op het gebied van privacy, maar lijkt ondertussen een groot deel achterhaald door de algemenere wetgeving over persoonsgegevens. Ik blogde al in 2016 over het verschil tussen die twee; grofweg kom ik niet verder dan dat de ene bij fotografie ingezet wordt en de andere bij meer gestructureerde gegevensbronnen.

De AVG is duidelijk en expliciet: een foto is een persoonsgegeven, en wanneer het ter identificatie wordt gemaakt zelfs een bijzonder (want biometrisch) persoonsgegeven. En dan geldt er een bijzondere regel uit het Europees recht, namelijk dat nationale wetten ongeldig zijn voor zover ze hetzelfde onderwerp bestrijken als een Europese wet.

Vanaf 25 mei wordt het portretrecht dus een heel eind kleiner. Wanneer iemand een privacybelang inzet om publicatie van zijn portret te verhinderen, moet hij dat doen via de AVG en niet meer via het portretrecht. In principe kun je dus alleen nog een financieel of commercieel portretrecht inroepen: je verzilverbare bekendheid kun je verhandelen.

Daarbij gelden dan wel een aantal belangrijke uitzonderingen als die verwerking gebeurt voor journalistieke, artistieke of literaire doeleinden. De AVG is daarop maar beperkt van toepassing. Zo is het in die gevallen onmogelijk om je toestemming in te trekken, dus een zogeheten quitclaim is in principe niet te herroepen. Ook mogen journalisten en artistieke fotografen gewoon bijzondere persoonsgegevens verwerken in hun beeld, zodat je ook op die grond de publicatie niet tegen kunt houden.

Het recht op gegevenswissing, ook wel het vergeetrecht bevat ook een relevante beperking: wanneer een verwerking nodig is voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie, kan geen beroep op dit recht worden gedaan.

Kort en goed betekent dit dat je weliswaar de AVG moet inroepen in plaats van het portretrecht maar dat je uiteindelijk bij hetzelfde uitkomt. Of je publiceert met toestemming (en dan moet je die aantonen en moet die voldoen aan de strikte eisen uit de AVG) of je beroept je op de vrijheid van meningsuiting en dan krijg je vervolgens dezelfde belangenafweging als voorheen onder het portretrecht.

Arnoud

Mag mijn school me verplichten een video van mezelf online te zetten?

| AE 9882 | Privacy | 16 reacties

Via Reddit:

Voor een vak op school (HBO) moet ik als onderdeel van het lesprogramma een video van mezelf maken en deze in het online programma van school zetten. Echter is deze video dan te zien voor elke leerling die dit vak volgt (meer dan 200) en dus ook te kopiëren. De bedoeling is dat 1 mede-student de video moet bekijken en beoordelen, en de lerares moet zien dat je dit hebt gedaan zodat zij het kan afvinken. Ik ben niet zo gek op het idee om van mezelf een video online te zetten. Kan ik dit weigeren, ivm privacy redenen bijvoorbeeld? Zou ik dan ook het maken van heel de video kunnen weigeren? Ik doe dit namelijk liever niet. Aangezien /r/thenetherlands zo veel van digitale privacy etc houdt zou ik graag weten of iemand hier een antwoord op heeft. Bedankt!

Wat is dat toch met rare praktijken op scholen. En nee, dit kan natuurlijk niet zomaar.

Het is op zich denk ik wel legitiem dat bepaalde vakken een uitwerking eisen in de vorm van video. Denk aan trainen hoe je overkomt voor de camera, het oefenen van dansen of sportbewegingen, of gewoon registratie van hoe je presenteert zodat je concrete visuele feedback kunt krijgen.

Dat je die uitwerking moet delen met medestudenten zie ik ook nog wel. Peer feedback en leren van hoe je medestudenten het doen lijkt me een standaard manier van werken bij hogescholen. Maar op het moment dat het op internet gezet moet, dan kunnen dus ook mensen meekijken die gewoon niets te maken hebben met je studievoortgang en -prestaties.

In de Reddit-draad lees ik dan discussie of dit wel een legitiem argument is, omdat het riekt naar een smoes om onder je huiswerk uit te komen. Dat probleem zie ik dus niet, omdat er geen reden is voor de school om een internetpublicatie te eisen. En dan kom je bij het simpele fundamentele punt dat het hier om persoonsgegevens gaat, en dús niet mag zonder grondslag, zonder goede reden.

Arnoud

Mag onze vereniging onder de AVG wedstrijdgegevens aan de andere club geven?

| AE 9894 | Privacy | 29 reacties

Een lezer vroeg me: Bij onze schaakvereniging publiceren wij de wedstrijduitslagen inclusief namen van deelnemers op de site. Nu maakte een bezoeker daar bezwaar tegen, vandaar dat ik me nu afvraag hoe dit wettelijk zit, zeker onder de AVG die in mei van kracht wordt. Moeten wij toestemming vragen aan onze leden en hoe moeten… Lees verder

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | E-mail, Privacy | 10 reacties

Een lezer vroeg me: Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan? Vaste… Lees verder

Wacht, de ICT-manager mag niet ook de privacy officer zijn?

| AE 9811 | Privacy | 21 reacties

Een Duits bedrijf heeft een boete gekregen omdat haar IT-manager ook de rol van functionaris gegevensbescherming oftewel privacy officer had, las ik bij IAPP. Daarmee werd de wettelijk verplichte onafhankelijke status van de FG aangetast. Dat wordt nog een uitdaging dus als deze functie ook in Nederland een grote vlucht gaat nemen – in veel… Lees verder

Mag een bedrijf vragen om een kopie van je ID bij een inzageverzoek?

| AE 9803 | Beveiliging, Privacy | 23 reacties

Een lezer vroeg me: Wanneer je je wettelijk recht op inzage of verwijdering van je persoonsgegevens wilt uitoefenen, wordt steeds vaker gevraagd of je een kopie van je identiteitsbewijs wilt opsturen. Is dat eigenlijk wel toegestaan? Onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming (AVG of GDPR) heb je het recht om… Lees verder

Internationale domeinbeheerder staat afschermen domeininfo toe

| AE 9785 | Domeinnamen, Privacy | 13 reacties

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer… Lees verder

U staat op een zwarte lijst, mag dat?

| AE 9772 | Privacy | 37 reacties

Incassokantoren hebben stilletjes grote zwarte lijsten aangelegd van bijna iedereen die in Nederland wel eens een rekening vergat te betalen. Dat meldde De Groene) vorige week (dank, vele tipgevers!). Talloze energiebedrijven, webwinkels en telefoonmaatschappijen checken de betaalmoraal van hun klanten – geheel in strijd met de wet. Wat dus al die tipgevers mij deed mailen:… Lees verder