Nee, ik blijf liever moddervet – Hoe illegaal is confirmshaming onder de AVG?

| AE 11243 | Ondernemingsvrijheid, Privacy | 6 reacties

Kent u dat? Dat je gevraagd wordt je in te schrijven voor het een of ander, en dat de “nee” optie wordt voorzien van een beschamende kwalificatie. “Ja, ik wil de slankwordennieuwsbrief / Nee, ik blijf liever moddervet”. Of “Ik wil een groentetuin starten / Nee, ik weet alles al”. Of “Ja, houd me op de hoogte / Waaahh, ikke willen niet”. Lekkere voorbeelden te over bij de Confirmshaming Tumblr. Een paar lezers (dank) vroegen me, hoe legaal is dat nu eigenlijk, mensen proberen over te halen om ja te zeggen door van de nee een schaamtevolle gebeurtenis te maken. Want is het nog wel een vrije keuze als de nee voorzien is van een zó botte diskwalificatie?

Onder de AVG moet toestemming in vrijheid worden gegeven, en deel daarvan is dat je geen sancties koppelt aan het weigeren van toestemming. Dit is waarom het debat over cookiemuren speelt: iemand de toegang tot je site ontzeggen als hij geen toestemming voor marketing/profiling geeft, kun je zien als een sanctie. Maar het speelt natuurlijk niet alléén bij cookies.

Confirmshaming is het fenomeen waarbij je de keuze om de gevraagde toestemming te weigeren voorziet van een negatieve kwalificatie, specifiek eentje waarbij de gebruiker schaamte over zichzelf afroept. “Nee, ik blijf graag een loser zonder toegang tot superdeals”, bijvoorbeeld. Het idee is dan natuurlijk dat je dan liever de schaamte vermijdt en toch maar “ja” klikt. Dit artikel maakt duidelijk dat schaamte een zeer sterke emotie is om mensen over te halen:

“Because guilt is experientially bad, the act of making another person feel guilty clearly qualifies as an aversive interpersonal behavior. To make someone feel guilty is to inflict a negative, undesired emotional state that most people normally try to avoid.”

Het gaat hier natuurlijk niet om fysieke of juridische dwang, maar ik denk dat zo’n sterke negatieve emotionele reactie oproepen toch wel sterk in de buurt komt. Ik zie dan ook wel wat in het argument dat je hier niet echt vrij gelaten wordt.

Arnoud

Gelden de strenge Ierse regels over dashcams ook bij ons?

| AE 11235 | Ondernemingsvrijheid, Privacy | 11 reacties

Steeds meer mensen nemen een dashcam, en daarom leek het ons goed de regels daarover eens netjes uit te leggen. Aldus mijn parafrase van de nieuwe dashcamregels van de Ierse Autoriteit Persoonsgegevens. Of nou ja, nieuw: het is een invulling van de AVG die in Ierland natuurlijk net zo goed geldt als bij ons. Maar allemachtig wat een stoffig stuk en hoe onwerkbaar hebben ze het opgeschreven. Je zou bijna gaan denken dat je maar beter géén dashcam in je auto moet nemen. Ik ben er nog niet uit of dat de bedoeling is.

De AVG kent natuurlijk heel veel regels, en als je die gaat toepassen op een consument met een auto met daarin een naar buiten gerichte camera met opnamefunctie dan krijg je nogal wat. Informatieplichten: hang maar een duidelijke sticker op je auto. Register van verwerkingen: leg maar een papiertje thuis met waarom je een camera hebt en wat je doet met de beelden. Recht van inzage: op die sticker hoe mensen je kunnen bereiken voor inzageverzoeken. Vergeetrecht. Eh. En ga zo maar door. Oh ja, en als de politie het vraagt dan moet je wel een belangenafweging maken.

Op zich is het allemaal niet zo héél raar, dit krijg je als je regels bedoeld voor grote organisaties loslaat op een privésituatie. Maar het leest wel erg absurd natuurlijk, als je in die regels ook geen momentje ruimte toont voor de unieke situatie of het zeer kleinschalig karakter. Ik ben zeg maar verrast dat je geen PIA moet uitvoeren voor je de dashcam in gebruik mag nemen.

Geldt dat nu ook bij ons? Nou ja, de AVG is een Europese wet dus die regels gelden hier net zo goed. En als je die op dashcams loslaat dan krijg je natuurlijk hetzelfde verhaal, maar dan in het Nederlands.

Helemaal lekker voelt dat niet, zeker niet gezien de praktijk hier dat iedereen er gewoon vrolijk mee rondrijdt en aangifte doet (of verzekeringsclaims indient) wanneer de beelden wat relevants bevatten. Het wil er bij mij dan gewoon niet in dat de AVG dit heeft willen doorkruisen en verbieden (of zo onwerkbaar maken dat het de facto verboden is).

De AVG kent natuurlijk een uitzondering voor strikt persoonlijk of huishoudelijk gebruik. Maar die wordt heel beperkt uitgelegd – de Ieren concluderen vrij eenvoudig dat deze niet opgaat bij een dashcam. Dat baseren ze op een uitspraak uit 2014 van het EU Hof van Justitie, die bij beveiligingscamera’s rond een huis gericht op de openbare weg concludeerde

Voor zover het gebruik van een videobewakingssysteem, zoals dat in het hoofdgeding, de openbare ruimte bestrijkt – zelfs gedeeltelijk – en hierdoor buiten de privésfeer geraakt van degene die door middel van dit systeem gegevens verwerkt, kan het niet worden beschouwd als een activiteit die met uitsluitend „persoonlijke of huishoudelijke doeleinden” wordt verricht (…)

Ik ben er nog steeds niet uit wat dit nu betekent. Bij iedere verwerking van persoonsgegevens kom je in andermans privésfeer, lijkt me zo. Dat is het hele punt van verwerken van andermans persoonsgegevens. Wat is een fundamenteel verschil tussen enerzijds een adresboek van een particulier en anderzijds een bewakingscamera van een particulier? Val ik onder de AVG als ik thuis zit en in de WhatsApp-buurtapp roep wie ik voorbij zie lopen?

Het enige echte argument dat ik kan bedenken, is dat je bij dat cameratoezicht uit die casus structureel andere mensen filmt op een specifieke plek. Dat is wel meer dan je adresboek of “er loopt nu een raar type met bontkraag, kent iemand die” appen naar de buren. Gezien het doel van de AVG zou ik het verdedigbaar vinden dat je dán zegt, nu gaat de wet lopen en ga je het maar eens netjes aanpakken.

Inderdaad, dat is precies het argument waarmee ik al jaren verdedig dat dashcams buiten het strafrecht vallen – de “aangebrachte” camera uit de strafwet is een camera die structureel één plek filmt. En dan zeg ik dus dat een dashcam die rondrijdt buiten de AVG valt, omdat deze niet structureel één plek filmt.

Als je dat niet accepteert, dan is dus ieder verwerken van persoonsgegevens dat je eigen huis(genoten) overstijgt een niet-huishoudelijke/niet-persoonlijke verwerking. Dan blijft er eigenlijk niets over, en ik kan gewoon niet geloven dat de AVG dat bedoeld heeft.

Arnoud

Wat gaat voor, de AVG of een bewaarplicht?

| AE 11225 | Privacy | 16 reacties

Een lezer vroeg me:

Onlangs vroeg ik aan mijn (ex)apotheek of het mogelijk is om mijn medisch dossier te laten vernietigen, dit op grond van de AVG en de Wgbo. Echter, men weigert omdat de Zorgverzekeringswet bepaalt dat een zorgaanbieder verplicht is om een medisch dossier tot 5 jaar na het stoppen van de behandeling te bewaren om eventuele audits door zorgverzekeraars mogelijk te maken. Maar klopt dat wel? Wat heb ik dan aan mijn recht van verwijdering?

Er zijn ontzettend veel misverstanden over het recht van wissing van persoonsgegevens — ook wel eens het vergeetrecht genoemd. Het belangrijkste is dat het een absoluut recht zou zijn, een recht dat je altijd kunt inroepen.

De AVG noemt diverse situaties waarin je het vergeetrecht kunt inroepen, maar eigenlijk komen ze allemaal neer op het geval dat er eigenlijk überhaupt geen reden meer is om die gegevens te gebruiken. Toestemming is ingetrokken, gegevens zijn niet meer nodig, er was eigenlijk nooit een grondslag, en ga zo maar door.

Wanneer gegevens nog actueel zijn, is een recht op vergetelheid dus helemaal niet aan de orde. Je kunt een bedrijfsproces niet doorkruisen met een beroep op je vergeetrecht, tenzij je kunt hardmaken dat die gegevens helemaal niet meer nodig zijn. En dat valt niet mee als er een wettelijke plicht tot bewaren is.

Bij de Wgbo geldt ongeveer hetzelfde. Weliswaar heb je volgens artikel 7:455 BW het recht om vernietiging te verlangen van je dossier, maar daar staat een uitzondering bij:

Lid 1 geldt niet voor zover het verzoek bescheiden betreft waarvan redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de patiënt, alsmede voor zover het bepaalde bij of krachtens de wet zich tegen vernietiging verzet.

En dat laatste is waar het hier om gaat: er is een andere wet die eist dat de gegevens worden bewaard. Allereerst is dat artikel 7:454 lid 3 BW dat vijftien jaar bewaarplicht voorschrijft, en daarnaast de Zorgverzekeringswet die inderdaad tot 5 jaar na einde behandeling bewaren van dossier verlangt.

De conclusie is dus eenvoudig: als er een wet is die bewaren eist, dan gaat dat eigenlijk altijd boven het vergeetrecht uit de AVG.

Arnoud

Hoe lang mag je je zakelijke e-mail bewaren onder de AVG?

| AE 11208 | Ondernemingsvrijheid, Privacy | 34 reacties

Een lezer vroeg me: Je leest natuurlijk veel over bewaartermijnen onder de AVG. Sommige kun je gewoon opzoeken, zoals de bewaartermijnen van facturen, maar bij andere dingen is dat lastiger. Met name bij e-mail kom ik er niet uit: hoe lang mag je die nu bewaren? De AVG stelt als een van haar beginselen dat… Lees verder

Overheidssites scheppen verwarring met cookies van Google Analytics

| AE 11206 | Privacy | 19 reacties

Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google, las ik in de Volkskrant. Alex Bik van zakelijke internetprovider BIT onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren,… Lees verder

Mag een appartementenbeheerder wel of niet mailadressen van bewoners aan de VVE geven?

| AE 11203 | Privacy | 26 reacties

Op Tweakers las ik: Als bestuur van de VVE willen wij graag onze leden informeren. Hiervoor hebben we een Facebook pagina en diverse mededelingenborden in het complex. … Onze beheerder heeft alle emailadressen van onze leden in beheer. Allemaal via expliciet akkoord van ieder lid. So far so good. We hebben aan onze beheerder gevraagd… Lees verder

Wat moet je doen met een ICT-beheerder die per abuis persoonsgegevens krijgt?

| AE 11200 | Privacy | 4 reacties

Een lezer vroeg me: In 2018 schreef je over verwerkerschap bij een derde partij zoals een ICT-beheerder. Je zei dat je geen verwerkersovereenkomst hoeft te sluiten met zo’n partij wanneer deze partij expliciet geen toegang wil hebben tot persoonsgegevens. Wat zou die partij dan wel mogen (of moeten) doen als hij toch persoonsgegevens krijgt? Iedere… Lees verder

Mag ik de verbouwing van ons kantoor als timelapse op internet zetten?

| AE 11195 | Ondernemingsvrijheid, Privacy | 11 reacties

Een lezer vroeg me: Wij gaan binnenkort ons kantoorpand grondig verbouwen. Nu leek het ons leuk om een timelapse te maken van de voortgang, en deze elke week te publiceren op onze blog. Zo blijft iedereen betrokken. Maar er staat dan wel een camera op de werkvloer, dus hoe verhoudt zich dat tot de AVG?… Lees verder

Minister wil data over criminelen makkelijker kunnen delen

| AE 11179 | Privacy, Regulering | 11 reacties

Minister Grapperhaus van Justitie en Veiligheid wil dat het eenvoudiger wordt om gegevens over criminelen te delen, las ik bij Security.nl op gezag van een interview in de Telegraaf. Het delen van gegevens over criminelen tussen overheidsinstanties is problematisch, omdat de AVG daar strenge regels over stelt. “Er kan nog zoveel worden gewonnen met uitwisseling… Lees verder

Kamer van Koophandel neemt maatregelen tegen zzp-spam

| AE 11175 | Ondernemingsvrijheid | 8 reacties

De Kamer van Koophandel stopt met het op grote schaal verkopen van kant-en-klare bestanden met adressen, las ik bij de NOS. Dit na aandringen van de Autoriteit Persoonsgegevens, omdat dergelijke handel in persoonsgegevens in strijd is met de AVG. De Kamer van Koophandel biedt al sinds jaar en dag bestanden aan met contactgegevens van ondernemers,… Lees verder