Vandaag begint een nieuw tijdperk in het internetrecht: de AVG is van kracht #avg

| AE 10490 | Privacy | 11 reacties

Vandaag is het zo ver: de Algemene Verordening Gegevensbescherming (AVG of GDPR) is van kracht. Vanaf vandaag moeten bedrijven zich aan strenge compliance-regels houden en met bewijs laten zien dat ze de privacy van hun klanten respecteren. En mensen hebben nu stevige, afdwingbare rechten om te weten wat er gebeurt met hun persoonlijke informatie, om te eisen dat dit wordt gecorrigeerd en zelfs dat die wordt verwijderd als het niet meer relevant is. Ik durf wel te stellen dat met de AVG er een nieuw tijdperk in het internetrecht of informatierecht is begonnen: niet langer is het de intellectuele eigendom die de spanning geeft bij internetbedrijven, maar de privacywetgeving.

En nee, dit is écht significant meer dan privacyophef en stemmingmakerij. De aandacht voor privacy is echt nieuw, en het feit dat organisaties nu en masse zich heroriënteren op hoe om te gaan met persoonsgegevens vind ik winst voor de maatschappij. Natuurlijk zijn er hierdoor veel, heel veel nieuwe zorgen en vragen, maar dat zie ik als positief: nu komt er een kans om de fouten uit het verleden te herstellen.

Dit biedt me dan tevens de gelegenheid om eens opnieuw te kijken wat volgens mij internetrecht is. Ik zie dat als in feite de technologie-geörienteerde visie op het informatierecht, wat dan weer (Dommering, 1999) het recht is rond de botsende grondrechten uitingsvrijheid, privacy en intellectuele eigendom. Daar hoort dan nog de vrijheid van onderneming bij, zodat je vier grondrechten krijgt die met elkaar botsen. Casussen informatierecht los je op door die botsende grondrechten tegen elkaar af te wegen.

Het internetrecht beschouwt die vier botsende grondrechten niet in isolatie, maar kijkt vanuit de perspectieven van de technologische innovatie en de (pogingen tot) regulering daarvan daar op neer. Internet (en ICT meer algemeen) is continu aan innovatie en verandering onderhevig, en wetgevers proberen continu grip daarop te krijgen. Dit beïnvloedt die botsingen dan weer, een nieuwe wet geeft een bepaald recht meer armslag of beïnvloedt juist hoe die rechten in elkaar doorwerken.

Je krijgt dan dit:

Vanwege deze ontwikkeling heb ik dan tevens de categorieën in mijn blog teruggebracht tot alleen deze elementen, plus nog contracten (omdat dat nu eenmaal de praktijk is), de informatiesamenleving (zeg maar “Algemeen”) en de restcategorie Iusmentis (over deze blog).

Ik blijf worstelen met hoe het fenomeen van de platforms en de horizontale regulering die daar vanuit gaat in te passen. Het is voor mij uniek dat bedrijven zó veel macht hebben en meer dan overheden vaak invloed kunnen uitoefenen op het gedrag van de burger. Dat gaat privacy aan, maar ook de andere rechten – van bedrijven die van Ebay worden geweerd tot rechthebbenden die niets kunnen met hun rechten of uitingen die nergens meer terecht kunnen. Dat gaat dus stof genoeg opleveren voor nóg tien jaar internetrecht, geen twijfel.

Arnoud

Zo voldoe je als blogger aan de Privacyverordening (AVG/GDPR)

| AE 10579 | Privacy | 29 reacties

Je zou mij een groot plezier doen als je beide verklaringen zou willen doorlezen en laat mij dan melden of ik iets vergeten ben. Dat blogde Manssen vanaf de Zijlijn onlangs. Een zorg van vele bloggers namelijk is hoe zij moeten voldoen aan de AVG. Als blogger ben je meestal geen groot bedrijf met compliance afdeling, maar je krijgt wel persoonsgegevens langs, zoals namen en mailadressen van je bezoekers en vaak ook statistieken en advertentiegegevens. En je hebt maar beperkt de mogelijkheid om dingen anders te doen. Dat maakt het nogal een opgaaf om te voldoen aan de nieuwe strenge wet. Gelukkig zijn er voor bloggers genoeg mogelijkheden om toch binnen de AVG te blijven opereren.

Voor bloggers geldt in hoofdzaak hetzelfde als waar ik gisteren over blogde bij fotografen: je bent primair bezig met je mening te geven of informatie en ideeën te publiceren. Dat valt onder de journalistieke exceptie uit de AVG, waardoor een hoop regels niet voor jou gelden als blogger. Het maakt niet uit of je als particulier of zakelijk blogt en of je advertenties er bij hebt staan of dat je je blog aan je bedrijf koppelt. Ook nonfictie en zelfs promotionele blogs (Met deze pillen word je zo slank, dokters staan versteld) vallen onder deze uitzondering.

Je mag dus in je blogbericht zelf persoonsgegevens opnemen als dat relevant is voor je verhaal. Zelfs bijzondere persoonsgegevens, omdat het verwerkingsverbod (artikelen 9 en 10) daarop niet geldt bij een journalistieke uiting. Je hebt geen toestemming van mensen nodig om over hen te bloggen, zolang het maar journalistiek gezien nodig is dat je die gegevens opneemt in je bericht. Ik mag dus bijvoorbeeld de naam van André Manssen noemen om aan te geven dat zijn blog de inspiratie was voor deze blog.

Bij een blog zit er echter meer dan alléén de uiting, de blogpost zelf. Zo krijg je gegevens van je bezoekers, laten die soms zelfs reacties achter en verzamelt je blogplatform (zoals Blogspot) zelf ook het een en ander. Of je hebt adverteerders die meekijken. Daar geldt de AVG gewoon onverkort op.

Als blogger heb je dus om te beginnen een privacyverklaring nodig waarin je uitlegt wat je verzamelt en wat je daarmee doet. Denk dan aan je reactiemogelijkheid, je contactformulier en je nieuwsbrief, maar ook zaken als een Google Analytics-dienst of teller die meekijkt, adverteerders die zien wat je doen en misschien wel aparte monitoring tegen misbruik of spam. Dit mag (moet, eigenlijk) in gewone taal, dus het is prima als je die tekst zelf schrijft vanuit het perspectief van je doelgroep.

Wanneer de dienst die je gebruikt zelf ook persoonsgegevens verzamelt, moet je even uitkijken. Formeel zijn zij daarvoor verantwoordelijk, maar de bal ligt bij jou om je bezoekers daarover te informeren. Beschrijf dus in ieder geval in je privacyverklaring dat deze partijen die gegevens verzamelen en verwijs naar hun privacybeleid.

Ook moet je een register opzetten. Dat klinkt nogal formeel en is het ook, maar je moet intern vastleggen welke gegevens jij verzamelt en voor welke doeleinden. Dit geldt ook voor zelfstandigen en ook voor niet-commerciële partijen. Als je als bedrijf actief bent, dan heb je er al eentje voor bijvoorbeeld je klantrelatiesysteem en je personeelsadministratie. Ben je alleen aan het bloggen, dan moet je nu dus een register maken.

In het register neem je dan dit op:

  1. Naam en contactgegevens van jezelf (het register moet op verzoek aan de toezichthouder gegeven worden, vandaar)
  2. Doeleinden: beheer van het weblog “Naam hier” op internet | nieuwsbrief | faciliteren reactiemogelijkheid
  3. Gegevens: IP-adressen, browsergegevens, klikgedrag | e-mailadres en naam | naam, e-mailadres, optioneel zelfgekozen webadres, inhoud van reactie
  4. Grondslag: eigen belang | toestemming | toestemming
  5. Betrokkenen: bezoekers | ontvangers | reageerders
  6. Ontvangers: zie onder 1, naast organisaties die op grond van wet deze gegevens kunnen vorderen, plus leveranciers Blogspot/Google/etc
  7. Bewaartermijnen: zes maanden (vereist om misbruik en langetermijnanalyses te doen) | tot afmelding | eeuwig (journalistieke verwerking)
  8. Beveiligingsmaatregelen: *
  9. Risico: minimaal tot klein

Bij de beveiligingsmaatregelen moet je zelf nog invullen hoe je de toegang tot je logs, statistieken en dergelijke beveiligt. Je mag verwijzen naar het beveiligingsbeleid van de diensten en software die je gebruikt.

Natuurlijk is bovenstaande een vrije invulling van mij, als jij bijvoorbeeld vindt dat je je logs langer dan zes maanden mag bewaren dan is dat prima maar je moet het wel motiveren.

Arnoud

Je kunt nog gewoon blijven fotograferen na de AVG!

| AE 10577 | Privacy | 38 reacties

Vele, vele fotografen mailden me de afgelopen weken met de vraag: mag je nog blijven fotograferen (en foto’s publiceren natuurlijk) vanaf 25 mei? Onder de AVG zijn foto’s immers persoonsgegevens, en volgens de strenge regels moet je dan bij het maken van iedere foto toestemming vragen anders volgt automatisch een miljoenenboete. En nou ja, het klopt dat een foto een persoonsgegeven is en dat het maken en gebruiken daarvan dus onder de AVG valt, maar dat wil niet zeggen dat je dus altijd toestemming nodig hebt van de geportretteerde. Zeker niet als je foto onder de uitingsvrijheid valt – en dat is al heel snel het geval.

Een persoonsgegeven is ieder gegeven dat direct of indirect te herleiden is tot een persoon, zo luidt de definitie uit de AVG. Bij een foto is dat evident het geval zodra een persoon herkenbaar is. Dat hoeft niet perse omdat er een naam onder staat, je gezicht (of herkenbare postuur) is al genoeg om het een persoonsgegeven te maken.

Daarmee krijg je als fotograaf te maken met de regels van de AVG, en dat begint dan al vanaf het máken van de foto. Immers, de AVG geldt op iedere “verwerking” van persoonsgegevens en het vervaardigen oftewel maken daarvan is een voorbeeld daarvan. (Uitzondering: de analoge foto, dus met ouderwetse film, wanneer die foto niet bestemd is om in een gecatalogiseerd archief terecht te komen. Dan val je buiten de AVG.) Het publiceren is evenzo een ‘verwerking’ en dus onderworpen aan de regels van de AVG.

Die regels kunnen streng zijn. Zo moet je een register hebben van iedere categorie verwerking die je doet, zoals je klantadministratie, je personeel, het jaarlijks uitje met collega’s, en ga zo maar door. Je moet persoonsgegevens goed beveiligen. En je moet aantoonbaar een grondslag hebben, zoals toestemming, om die verwerking überhaupt te mogen doen.

Gelukkig zijn er een aantal uitzonderingen. Allereerst val je buiten de AVG wanneer je fotografie echt alleen als persoonlijke hobby doet, en de foto’s niet in grote kring publiceert. Dat valt dan onder de uitzondering voor “strikt huishoudelijke verwerkingen”. Die uitzondering is wel beperkt, zodra je je portfolio op internet zet val je er al buiten. Een afgeschermde Instagram- of Facebookgroep kan denk ik nog net, als je selectief bent met wie je toelaat.

De belangrijkste uitzondering is wanneer je handelen valt onder de journalistieke exceptie. Al bij invoering van de AVG werd geroepen dat de persvrijheid of uitingsvrijheid in het gedrang zou komen – als je een journalist kunt ‘pakken’ op bijvoorbeeld inadequate beveiliging van een artikel met rare opmerkingen over jou, is dat veel sneller dan een smaadprocedure – en vandaar dat er speciale uitzonderingen zijn opgenomen voor deze activiteiten. Helemaal in Nederland, waar we in de Uitvoeringswet de nodige artikelen uit de AVG buiten toepassing hebben verklaard voor journalistiek handelen.

Wanneer handel je nu journalistiek? Ik formuleer het met opzet zo, om aan te geven dat het hier gaat om een activiteit en niet een beroepsgroep. Journalist of fotograaf zijn is immers geen beschermd beroep, en niet iedere vorm van foto’s (of teksten) maken valt onder een activiteit uit dat beroep. Je moet dus kijken naar wat je aan het doen bent. Volgens de hoogste Europese rechtbank is iedereen journalist:

bij de bekendmaking aan het publiek van informatie, meningen of ideeën , ongeacht het overdrachtsmedium. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen een winstoogmerk hebben.

Die tweede zin is belangrijk: ook gewone mensen met een blog of andere plek voor die informatie, meningen of ideeën vallen gewoon onder deze definitie. Je hoeft dus geen journalist te zijn om journalistiek bezig te zijn. Waar het om gaat, is of je iets wilt publiceren (informatie, meningen of ideeën) en daarbij die foto nodig hebt. (Naast journalistiek geldt deze uitzondering ook voor academische, artistieke en literaire uitingsvormen. Hiervoor gelden vergelijkbare definities.)

Deze definitie is volgens mij zo breed dat je haast moeite moet doen er buiten te vallen. Ik kom niet veel verder dan beveiligingsbeelden, pasfoto’s, smoelenboeken en klassenfoto’s als voorbeelden van niet-journalistieke fotografie.

Wanneer je journalistiek bezig bent, dan gelden een hoop artikelen uit de AVG niet voor jou. Dat is in de Uitvoeringswet AVG zo bepaald. Ik ga ze niet allemaal noemen, maar dit zijn de belangrijkste gevolgen:

  • Eenmaal gegeven toestemming van een geportretteerde is niet meer intrekbaar (artikel 7 lid 3 is buiten werking).
  • Als geportretteerde heb je geen recht van inzage, correctie of verwijdering bij de fotograaf (heel hoofdstuk III is buiten werking).
  • Je hoeft datalekken niet te melden bij de toezichthouder of bij geportretteerden (hoofdstuk IV is op dit punt, artikelen 33 en 34, buiten werking).
  • Je hoeft je geen zorgen te maken over opslag van je foto’s in het grote boze Amerika (heel hoofdstuk V is buiten werking).
  • Je mag ook strafrechtelijke en bijzondere persoonsgegevens verwerken (artikelen 9 en 10 zijn buiten werking).
  • Je hoeft geen register van je journalistieke verwerkingen bij te houden (hoofdstuk IV is op dit punt, artikel 30, buiten werking).

Wel heb je nog steeds een grondslag nodig (artikel 6 blijft van kracht). Dat kan zijn toestemming van de betrokkene, maar er zijn er meer. Omdat je bezig bent met het aan het publiek bekend maken van informatie, meningen of ideeën, is in principe automatisch de vrije nieuwsgaring de grondslag (dit is een eigen gerechtvaardigd belang). Bij dat belang geldt altijd een afweging met de privacy van de geportretteerden, maar die afweging komt de facto neer op wat we al decennia kennen als de redelijk-belangtoets in het portretrecht. De AVG is niet strenger dan het portretrecht.

Normaal kun je als betrokkene bezwaar maken tegen zo’n gerechtvaardigdbelangafweging, maar specifiek bij journalistiek geldt dit niet: het recht van bezwaar bestaat niet (heel hoofdstuk III met daarin artikel 21 is buiten werking).

Ook moet je als fotograaf zorgen voor een goede beveiliging van je persoonsgegevens (artikel 32 blijft van kracht), en als je andere mensen met je foto’s laat werken (denk aan een backupdienst of een ingehuurde illustrator die ze mooi bewerkt) dan moet je daarmee een verwerkersovereenkomst sluiten (artikel 28 blijft van kracht).

Alles bij elkaar zie ik dus geen reden tot zorg bij fotografen om aan de AVG te voldoen.

Arnoud

Jonge Skype- en Outlook-gebruikers in de problemen door privacywet

| AE 10569 | Informatiemaatschappij, Privacy | 28 reacties

Kinderen onder de 16 jaar met een Outlook- of Skype-account hebben een probleem: ze kunnen opeens niet meer inloggen. Dat meldde de NOS vorige week op basis van een PR-meelbal van Microsoft die het afsluiten van minderjarigen in het belang van hun veiligheid noemt. De geciteerde reden – dat moet van de AVG – is… Lees verder

WhatsApp verhoogt minimumleeftijd naar 16 jaar vanwege AVG

| AE 10559 | Privacy | 17 reacties

Gebruikers van chatdienst WhatsApp moeten voortaan minstens 16 jaar oud zijn, las ik bij Nu.nl. De aangepaste voorwaarden voor de chatapplicatie, die alleen in Europa worden doorgevoerd, eisen dat de gebruiker minimaal zestien is en maken afsluiting mogelijk van wie onder deze leeftijd blijkt. Er is vooralsnog geen informatie dat WhatsApp dit werkelijk gaat handhaven…. Lees verder

Je hebt nog 32 dagen om de AVG te implementeren #32totavg

| AE 10478 | Privacy | 30 reacties

Vandaag zijn er nog precies 32 dagen te gaan tot 25 mei 2018, de datum waarop de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht wordt. Er is nog steeds veel onzekerheid over de AVG, die van alles zou verbieden of onwerkbaar maken. De AVG noem ik altijd vooral… Lees verder

Wanneer moet je nou met iemand een verwerkersovereenkomst sluiten?

| AE 10538 | Privacy | 35 reacties

Het begint dagelijkse kost te worden voor veel organisaties: of je even een verwerkersovereenkomst wilt tekenen, want de AVG komt eraan en die eist grote zorgvuldigheid en compliance et cetera. Wat me daarbij opvalt, is dat die overeenkomsten opgedrongen worden aan allerlei partijen die überhaupt geen verwerkers zijn. Dat geeft hoogst merkwaardige spraakverwarring. Maar het… Lees verder

Hoe kan Facebook legaal gezichten gaan scannen onder de AVG?

| AE 10513 | Privacy | 10 reacties

Als voorbereiding op de AVG gaat Facebook gezichtsherkenning aanzetten voor Europese gebruikers die dat willen, las ik bij de socialenetwerksite. Dat is verrassend, omdat ze het in 2011 uitgezet hadden na klachten dat de (Duitse) Wbp werd overtreden met deze feature. Doel van de nieuwe feature is te zorgen dat mensen in kunnen grijpen als… Lees verder

Geldt het vergeetrecht onder de AVG ook bij forumdiscussies?

| AE 10495 | Uitingsvrijheid | 28 reacties

Een lezer vroeg me: Ik beheer een relatief groot discussieforum. Moet ik straks onder de AVG van iedereen die dat vraagt zijn berichten weghalen onder het vergeetrecht? Dan houd ik straks geen historie meer over! Het klopt dat je als aanbieder van internetdiensten al snel te maken krijgt met de AVG. Heel vaak werk je… Lees verder