Mag je als bedrijf vingerafdrukken voor je prikklok gebruiken?

| AE 10911 | Privacy | Er zijn nog geen reacties

Bedrijven trotseren de nieuwe privacywet door gewoon te blijven werken met prikklokken met vingerafdrukken. Dat meldde het FD afgelopen vrijdag. Uitzendbureau Tempo Team is gestopt, maar supermarkt Dirk ziet er vooralsnog geen probleem in. De AVG verklaart vingerafdrukken tot biometrische en daarmee bijzondere persoonsgegevens, die in principe niet mogen worden gebruikt. De zorg is nu of de AVG een uitzonderingsgrond biedt voor deze categorie verwerkingen. Dat komt met name door een fout antwoord van de minister op Kamervragen hierover.

Biometrische gegevens zoals vingerafdrukken worden onder de AVG aangemerkt als bijzondere persoonsgegevens, waarmee ze in beginsel helemaal niet mogen worden gebruikt. Alleen als de AVG daar een aparte grondslag voor biedt, kan dat toegestaan zijn. Naast uitdrukkelijke vrijwillige toestemming -die werknemers niet kunnen geven- is voor biometrie eigenlijk de enige optie dat je je beroept op een nationale regeling die het onder voorwaarden toelaat (art. 9 lid 2 AVG). De politieke achtergrond hiervan is namelijk dat de lidstaten het niet eens konden worden over de toelaatbaarheid en risico’s van biometrie, zodat iedereen het maar zelf in zijn eigen wet moet regelen.

In Nederland is er sinds 25 mei de Uitvoeringswet AVG, waarin een aantal nationale regels zijn opgenomen die de AVG nader uitwerken of aanvullen, waaronder op het punt van biometrie. In artikel 29 daarvan wordt het verbod op gebruik van biometrie opgeheven wanneer

de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Opvallend daarbij is dat bij de invoering alleen over beveiligingsnoodzaak is gesproken. Biometrie is natuurlijk primair bedoeld voor de veiligheid, zeker weten dat je de juiste persoon binnen of buiten laat. In de zeer korte behandeling van dit wetsartikel komt men dan ook niet verder dan de inzet voor toegangscontrole.

In de beantwoording van de Kamervragen uit februari gaat de minister ook niet verder dan dat:

Het criterium van de regeling in de UAVG betekent dat het gebruik van vingerafdrukken noodzakelijk moet zijn voor de beveiliging van de toegang van gebouwen of ICT systemen. Het vastleggen van de biometrische gegevens moet voorts proportioneel zijn en noodzakelijk voor de toegangscontrole.

En bij het antwoord op vraag 3 (mag een werknemer straffeloos weigeren zich met vingerafdruk in de prikklok te registreren) is men nog stelliger: Ja. Dat wekt natuurlijk wel héél erg de indruk dat biometrie voor prikklokken niet de bedoeling is – het is geen toegangscontrole, en de werknemer mag niet worden gestraft met niet-uitbetaling van gewerkte uren als hij er niet aan wil meewerken. Daar zou ik ook wat zenuwachtig door worden als werkgever.

Het klopt natuurlijk niet. “Authenticatie” is een veel breder begrip dan enkel “toegangscontrole”. Authenticatie is algemeen gesteld het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Er is geen enkele reden om dat te lezen als beperkt tot nagaan in de context van toegang tot controle of bijvoorbeeld een ict-systeem. De Uitvoeringswet noemt in de tekst ook nergens die beperking.

Relevant is natuurlijk wel of de inzet van biometrie noodzakelijk is voor het goed functioneren van de prikklok. Er zijn immers alternatieven, zoals authenticatie met een persoonlijk pasje. De vraag wordt dan of die alternatieven onwerkbaar zijn, bijvoorbeeld omdat er te makkelijk mee kan worden gefraudeerd. Je kunt immers het pasje van je collega meenemen en scannen, om zo fictief zijn uren op te hogen. In de praktijk gaat het vooral om gemak, zo lees ik in het FD:

‘De praktijk leert echter dat veel medewerkers de voorkeur hebben voor het gemak van de vingerscan boven het gedoe van een pasje. We hebben dan ook diverse klanten gehad die een groot deel van hun passen hebben teruggestuurd’, aldus Matthijs van den Ende van [prikklok-leverancier] Dyflexis.

Gemak zou ik zien als een te zwak argument om de noodzaak te ondersteunen. Als mensen liever met vingerafdrukken werken vanwege het gemak, dan zou je dat kunnen zien als een uitdrukkelijke toestemming. Dan kom je uit bij een prikkloksysteem dat én met vingerafdruk én met pasje werkt, zodat de werknemer de keuze heeft. Dat lost het probleem dan op, zij het dat je nog blijft zitten met de mogelijkheid van pasjesfraude. Maar dat is een al bekend probleem waar -neem ik aan- ook al oplossingen voor zijn.

Arnoud

Val je als privepersoon met een forum ook onder de AVG?

| AE 10868 | Privacy | 24 reacties

Een lezer vroeg me:

Er is nogal wat onduidelijkheid over de toepassing van de AVG op fora op het internet, die worden gerund door privépersonen. Is de AVG inderdaad beperkt tot bedrijven en organisaties of geldt deze ook als men een forum runt, zonder een organisatie (vereniging etc) te zijn?

De AVG geldt ook voor privépersonen die een forum runnen. De AVG zegt nergens dat zij alleen geldt voor bedrijven en instellingen. Wel is er een uitzondering voor privépersonen die voor strikt eigen huishoudelijk gebruik persoonsgegevens verwerken, maar die is heel beperkt en geldt niet wanneer je een forum in de openbaarheid van internet aanbiedt.

Vanuit de bedoeling van de AVG is dit ook logisch: het gaat erom te zorgen dat persoonlijke informatie alleen netjes en veilig wordt gebruikt. Op een forum kunnen dingen misgaan (van datalekken tot smaad) en of daar nu een privépersoon of een bedrijf met 2 miljoen jaaromzet achter zit, maakt voor de impact van zo’n fout niet uit. Daarom moeten beiden onder de AVG vallen.

Natuurlijk zal het niet meevallen voor een privépersoon alleen om een forum geheel aan de AVG te laten voldoen. Je host dat dan vaak bij een groot bedrijf tegen minimale prijzen (of zelfs gratis), en je hebt daardoor weinig rechten. Bovendien is toezicht houden, laat staan ze aanspreken op fouten onder de AVG zo goed als onmogelijk. Je hebt het als particulier al druk genoeg met je forumgebruikers onder de duim houden, met al hun klachten, vergeetverzoeken en waarschuwingen over vermeende datalekken.

Toch ontslaat dat je niet van je plicht om aan de AVG te voldoen. De wet is de wet, en een kleintje in zijn eentje moet aan precies dezelfde regels voldoen als een miljardenbedrijf. En om diezelfde reden kun je als privépersoon beboet worden als je de AVG overtreedt. Het is dan een schrale troost dat de AVG zegt (overweging 148) dat

Indien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, kan in plaats van een geldboete worden gekozen voor een berisping.

Ik kan me in de praktijk echter niet voorstellen dat je snel de AP achter je aan krijgt als particulier, in ieder geval niet dat ze méér doen dan een sommatie om bepaalde dingen te stoppen. Tenzij je het echt heel bont maakt of de indruk wekt dat je opzettelijk de wet zit te negeren op punten waarvan iedereen weet hoe het geregeld is.

Arnoud

Kan ik onder de AVG mijn Nintendo-landkeuze aanpassen?

| AE 10819 | Ondernemingsvrijheid, Privacy | 19 reacties

Een lezer vroeg me:

Recent ben ik verhuisd van Denemarken naar Noorwegen. Na het uitpakken van mijn Nintendo Wii U bleek deze echter niet te werken, omdat het Nintendo Network ID in Denemarken was geregistreerd en volgens de EULA niet overgezet kan worden naar een ander land. Mijn beroep op het correctierecht uit de AVG – ik woon nu immers in Noorwegen – werd afgewezen omdat ik akkoord was gegaan met de EULA. Maar EULA’s gaan toch niet boven de wet?

Het klopt dat een EULA niet boven de wet kan gaan. Althans niet boven wat juristen “dwingend recht” noemen, want er is ook “regelend recht” en dat is nadrukkelijk bedoeld om contractueel anders te mogen doen. Dat je een internetbestelling binnen 14 dagen retour mag melden is dwingend recht. Dat een langlopend contract op ieder moment opgezegd mag worden is regelend recht – je kunt afspreken dat je er een jaar aan vastzit.

De AVG is dwingend recht, althans de delen die burgers rechten geven, dus een EULA kan geen bepalingen bevatten die in strijd zijn met de AVG. Doen ze dat toch, dan zal de rechter die clausule negeren.

De Nintendo Wii U EULA vermeldt dat je een ID krijgt dat gekoppeld is aan je “country of residence”, het land waar je op dat moment woont. De EULA vermeldt ook dat deze niet kan worden gewijzigd:

The Nintendo Network ID is linked to your country of residence that you indicated during the registration. If you move to another country, you may not be able to use your Nintendo Network ID (including Digital Products) and you may have to create another Nintendo Network ID if you want to enjoy Nintendo Network in this new country. If you move back to the country, in which your Nintendo Network ID was registered, you will be able to use your original Nintendo Network ID again.

Op grond van de AVG heb je het recht om onjuiste gegevens te laten rectificeren (art. 16 AVG). Als je van Denemarken naar Noorwegen verhuist, dan is een registratie “Country of residence: Denmark” vervolgens onjuist, zodat je die mag laten corrigeren. Hiervoor mogen overigens geen kosten worden gevraagd (artikel 12 AVG).

Echter, ik vraag me dan af of dit wel de informatie is die men opslaat. Gezien de tekst van de EULA gaat het om een keuze, in welk land wil ik dat mijn landgebonden Nintendo-dienst werkt. Die keuze is en blijft dan Denemarken. Het zou net zoiets zijn als vergeten je betaaldparkeren af te melden in je app en vervolgens een AVG-correctie eisen naar de werkelijke wegrijtijd. De geregistreerde eindtijd is geen fout, dat was de tijd dat je áángaf weg te rijden. Dat je feitelijk eerder wegreed en vergat de parkeeractie te stoppen in de app, is iets heel anders.

Omdat de Nintendo-dienst landgebonden is, lijkt het me legitiem dat die landkeuze niet onder de AVG aangepast kan worden. Dan forceer je langs oneigenlijke weg dat de dienst ineens EU-breed geleverd moet worden op dezelfde voorwaarden. Natuurlijk kun je erover twisten of dat laatste niet behoort de werkelijkheid te zijn, maar dat los je niet op door de AVG in te zetten.

Arnoud

Mag ik vanaf de openbare weg mensen op een buurtfeest fotograferen?

| AE 10804 | Informatiemaatschappij, Privacy | 49 reacties

Een lezer vroeg me: Recent liep ik door de buurt en zag ik een buurtfeest met mooie sfeer. Weliswaar achter een afzetting maar op een straat met plein, dus openbare weg volgens mij. Ik maakte vanaf de straat aan de overkant foto’s, en werd toen aangesproken door twee deelnemers dat dat niet mocht, mede omdat… Lees verder

Nog meer dingen die van de AVG ineens niet zouden mogen

| AE 10713 | Privacy | 62 reacties

Oh jee, de AVG. Dat begint een beetje een vervelend mantra te worden sinds 25 mei. Omdat de nieuwe privacyverordening zo veel nieuwe regels met zich meebrengt, komt vrijwel iedereen erachter dat dingen anders moeten. En vernieuwing is vervelend, zeker als het op grond van zoiets raars als privacy moet gebeuren. Een greep dus uit… Lees verder

“Mijn werkgever wil me een contract met boete over de AVG laten tekenen, is dat normaal?”

| AE 10680 | Ondernemingsvrijheid, Privacy | 6 reacties

Diverse lezers tipten me (dank) over deze vraag op Reddit: Mijn werkgever wilt mij een contract laten tekenen ivb met de nieuwe privacywet (avg). Is dit normaal? Wie het contract in kwestie leest, ziet dat het een addendum is op een arbeidscontract waarbij de werknemer geheimhouding opgelegd krijgt, en belooft netjes met persoonsgegevens om te… Lees verder

Vandaag begint een nieuw tijdperk in het internetrecht: de AVG is van kracht #avg

| AE 10490 | Privacy | 11 reacties

Vandaag is het zo ver: de Algemene Verordening Gegevensbescherming (AVG of GDPR) is van kracht. Vanaf vandaag moeten bedrijven zich aan strenge compliance-regels houden en met bewijs laten zien dat ze de privacy van hun klanten respecteren. En mensen hebben nu stevige, afdwingbare rechten om te weten wat er gebeurt met hun persoonlijke informatie, om… Lees verder

Je kunt nog gewoon blijven fotograferen na de AVG!

| AE 10577 | Privacy | 38 reacties

Vele, vele fotografen mailden me de afgelopen weken met de vraag: mag je nog blijven fotograferen (en foto’s publiceren natuurlijk) vanaf 25 mei? Onder de AVG zijn foto’s immers persoonsgegevens, en volgens de strenge regels moet je dan bij het maken van iedere foto toestemming vragen anders volgt automatisch een miljoenenboete. En nou ja, het… Lees verder

Jonge Skype- en Outlook-gebruikers in de problemen door privacywet

| AE 10569 | Informatiemaatschappij, Privacy | 28 reacties

Kinderen onder de 16 jaar met een Outlook- of Skype-account hebben een probleem: ze kunnen opeens niet meer inloggen. Dat meldde de NOS vorige week op basis van een PR-meelbal van Microsoft die het afsluiten van minderjarigen in het belang van hun veiligheid noemt. De geciteerde reden – dat moet van de AVG – is… Lees verder