Moet je als hostingbedrijf AVG-verzoeken voor klanten honoreren?

| AE 11648 | Ondernemingsvrijheid, Privacy | 25 reacties

Een lezer vroeg me:

Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen?

Sinds de AVG zijn steeds meer mensen zich bewust van hun rechten omtrent persoonsgegevens. Je ziet dan ook vaker en vaker dat men op websites vergeetverzoeken, correctieaanvragen en dergelijke doet. Een site-beheerder moet daaraan meewerken, maar helaas gebeurt dat niet altijd.

We kennen deze problematiek van andere juridische domeinen, zoals het auteursrecht. Je gaat dan hogerop in de keten, en je spreekt de hoster aan. Volgens de gewone regels voor aansprakelijkheid (art. 6:196c BW) moet een hoster ingrijpen als een klant evident (onmiskenbaar) onrechtmatig handelt. De site of publicatie weghalen bijvoorbeeld, of de klant dwingen een correctie door te voeren.

Bij auteursrechtinbreuk is dat relatief simpel: weg die film, weg die muziek. Of er komt discussie, van wie is die foto eigenlijk, en dan is de overtreding niet meer evident. Daar kom je nog wel uit.

Bij privacykwesties is dit een stuk lastiger. Is dit vergeetverzoek terecht of is de informatie nog actueel? Is er toestemming gegeven (en/of niet ingetrokken) of is het beroep op een legitiem belang hier juist? Is dit hergebruik binnen de doelbinding? Daar kom je gewoon niet uit als hostingbedrijf.

Een complicatie is dat veel hosters zich opstellen als verwerkers, oftewel partijen die de informatie uitsluitend in opdracht van de klant online zetten. Dan mógen ze niet eens zelf besluiten om in te grijpen, ook al is de overtreding nog zo evident. Onder de AVG moet een verwerker verzoeken van betrokkenen doorspelen naar de verantwoordelijke (de klant dus) en die het laten afhandelen.

Wel is het zo dat een verwerker verplicht is verwerking te staken als deze evident in strijd is met de AVG. Hij moet dan in discussie met de verantwoordelijke over hoe verder. Effectief komt dat volgens mij op hetzelfde neer: je zegt dan alsnog tegen de klant, volgens mij gaat hier iets mis met deze persoonsgegevens op je site, hoe ga je dat oplossen of haal ik de site/pagina offline? De route is anders maar het resultaat volgens mij gelijk.

Doe mij eens wat meer van die boetes van 5000 euro

| AE 11637 | Ondernemingsvrijheid | 5 reacties

De Belgische privacywaakhond heeft twee boetes van 5000 euro opgelegd aan lokale politici, las ik bij Tweakers. De politici gebruikten gegevens die ze in hun ambt hadden verkregen (“burgers die een beroep op hen als burgemeester/schepen deden”) om ze politieke reclame te sturen. Dat is in strijd met het beginsel van doelbinding aldus de Gegevensbeschermingsautoriteit, die aan de boete tevens een berisping koppelde. Het getal van 5000 euro zal misschien wat wenkbrauwen doen fronsen: kon de AVG niet tot 20 miljoen per overtreding aan boetes opleveren? Ja, en toch ben ik erg blij met deze eh microboete. Want dit werkt beter.

In België zijn burgemeester en schepen (wethouden) politieke beroepen. De beboete burgemeester en schepen gebruikten lijsten van burgers uit hun gemeente om ze op te roepen op hen te stemmen. En die lijsten verkregen ze dus via hun ambt, wat strijd oplevert met de doelbinding: gegevens mag je niet voor andere doeleinden inzetten dan waarvoor ze zijn verkregen (behoudens de direct nabij en volkomen logisch aanverwante doelen). Politieke reclame voor jou als persoon heeft natuurlijk niets te maken met je werk als ambtenaar, ook niet als je via verkiezingen op die plek gekomen bent en daar graag weer wilt zitten.

Boetewaardig dus. En stevig ook, in theorie staat daar die 20 miljoen per overtreding op. Maar de Gegevensbeschermingsautoriteit houdt het bescheiden en wel bij 5000 euro per persoon. Dat komt zo te lezen omdat het gaat om een eerste overtreding door privépersonen en een gering aantal persoonsgegevens, hoewel de zaak zo ernstig wordt gezien (het gaat over verkiezingen, dat is de kern van de legitimatie van ons bestuur) dat men er ook nog een publieke reprimande tegenaan gooit. (Die de politieke tegenstanders ongetwijfeld in het verkiezingsdebat gaan aanvoeren.)

Waarom ben ik nou zo blij met 5000 euro? Nou ja, omdat zo’n boete écht afschrikt. Zeg nou zelf, als je weet dat je in privé 20 miljoen moet ophoesten, dan zul je daar weinig wakker van liggen. Dat bedrag lukt toch niet, dus dat spreekt niet tot de verbeelding. Maar 5000 euro kwijt zijn aan een overtreding? Dat is voorstelbaar, doet echt pijn en je kunt je inleven op welke manier. Dat hakt er dus veel meer in – zeker bij de vele kleinere bedrijven dan de clubs waarvoor die 20M als maximale boete in de wet is gezet.

Natuurlijk staat of valt het uiteindelijk met handhaving. Maar ook dan denk ik, juist kleine boetes kun je makkelijker opleggen. Megaboetes hebben de neiging gejuridiseerd te worden. Als je Facebook een boete oplegt, wéét je dat je hoe dan ook vele jaren verder bent totdat het Hof van Justitie van de EU een uitspraak doet, en dan nog. Een mkb-ondernemer die 5000 euro moet aftikken omdat hij een klantenlijst verkocht, die gaat die stappen niet nemen. Die baalt als een stekker, ontslaat zijn marketeer en doet het beter. En zijn collega’s ook.

En het leuke is volgens mij dat juist die handhaving in het klein vaak te automatiseren is. Privacystatements checken of ze wel in eenvoudige taal is, dat kun je met een script. Het verwerkingsregister van een bedrijf opvragen en op trefwoorden controleren (is er een tab Personeelsadministratie, bijvoorbeeld) is ook eenvoudig uit te voeren. Maak dáár nou eens werk van, dan wordt de AVG veel effectiever gehandhaafd.

Arnoud

Mogen wij een AI onze sollicitanten laten prescreenen?

| AE 11612 | Ondernemingsvrijheid, Privacy | 17 reacties

Een lezer vroeg me:

Ik werk op de HR afdeling van de Nederlandse vestiging van een Amerikaans concern. Vanuit ‘Houston’ is ons nu opgedragen alle sollicitaties eerst door een AI-driven screening te halen. Alleen mensen die door het algoritme worden geselecteerd, mogen op gesprek komen. Mag dat wel van de GDPR?

De inzet van AI, beter gezegd machine learning, is in human resources oftewel personeelsmanagement aan een stevige opmars bezig. Het screenen van kandidaten is namelijk een tijdrovende en lastige klus om consistent en objectief te doen, en laat dat nou precies zijn waar software goed in is. Zoals PW Web het uitlegt:

Handmatig honderden cv’s doornemen kan leiden tot een enorme opeenhoping van werk, waardoor andere taken stil komen te liggen en er veel tijd en geld wordt verspild. Met behulp van AI en ML kan dit proces geautomatiseerd worden door bijvoorbeeld slimme screening software in te zetten die cv’s snel kan scannen op de voorwaarden die in de vacature genoemd worden. Gedurende dit proces leert de software wat er gevraagd wordt van toekomstige kandidaten. Op basis van ervaringen met eerder aangenomen kandidaten kan de software vervolgens bepalen welke eigenschappen een goede kandidaat bezit.

Ook steeds populairder wordt screeningsoftware waarbij je op video vragen van een computerprogramma beantwoordt. Software analyseert dan je ‘microexpressies’ en emoties en concludeert daaruit of jij door mag naar fase 2, waarbij een mens met je in contact treedt.

Dit staat inderdaad enigszins op gespannen voet met de AVG oftewel GDPR, die immers een verbod kent op geautomatiseerde besluitvorming, inclusief profileren. Artikel 22 AVG verbiedt in principe het geautomatiseerd nemen van besluiten, waarmee niet alleen juridisch bindende beslissingen worden bedoeld maar ook andere conclusies en vervolgstappen die de betrokkene in aanzienlijke mate raken. Zoals wanneer je niet door mag naar een volgende sollicitatieronde.

Lid 2 van dit artikel staat profileren en besluitvorming echter weer wel toe wanneer dit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst, waaronder ook een arbeidscontract kan vallen. Het zou dus mogen, zo’n prescreening, mits de werkgever kan aantonen dat hij echt niet anders kan – de term ‘noodzaak’ is een hoge lat, en je komt er niet door te zeggen dat het beter is dan voorheen of dat dit je werk efficiënter of makkelijker maakt.

Ik vind het moeilijk argumenten te bedenken waarom die noodzaak er zou zijn. Alleen, je komt dan al heel snel uit bij het kulargument “vroegâh kon alles handmatig en persoonlijk dus vernieuwingen zijn nergens voor nodig”. En dat kan ook weer niet de bedoeling zijn van de AVG.

Ik zie daarbij wel iets in het argument dat zo’n screening objectiever is, omdat alle cv’s nu op dezelfde wijze worden bekeken en beoordeeld. Dat voelt eerlijker dan wat je vroeger wel hoorde, dat een cv terzijde werd gelegd omdat het papier te dun was, je de verkeerde school had of omdat je op de foto mooier was dan de HR-dame die je brief openmaakte. Maar algemeen bekend is ook weer dat screeningsoftware bias heeft, en bijvoorbeeld per abuis vrouwen weglaat of alleen mannen die Jared heten en lacrosse spelen doorlaat.

Ik denk dan ook dat dit alleen kan als je hebt uitgewerkt op papier waarom dergelijke bias en selectiefouten bij jullie niet voor gaan komen. En een mooie folder van de leverancier is natuurlijk niet genoeg daarvoor.

Arnoud

“Het probleem is niet databescherming, maar dataverzameling.”

| AE 11585 | Ondernemingsvrijheid, Privacy | 4 reacties

Edward Snowden denkt dat de AVG tot nu toe nog weinig effect heeft gehad in Europa. Dat las ik bij Tweakers tijdens mijn kraamperiode (dank iedereen voor de felicitaties). De NSA-klokkenluider zei op een conferentie dat de Europese privacyverordening vooral ‘een papieren tijger’ is zolang internetbedrijven geen grote boetes krijgen opgelegd. De kern van het… Lees verder

Hoe navigeer je tussen werkbare procedures en de omstandigheden van het geval?

| AE 11547 | Informatiemaatschappij | 3 reacties

Mijn oog viel op deze tweet van de Engelse toezichthouder, waar ik een tikje van opkeek: Hi, orgs should not look to adopt a blanket approach in asking for ID when responding to a SAR [inzageverzoek onder de AVG]. They should consider each request on a case by case basis and identify which form of… Lees verder

Eh, de fysieke inhoud van een gevonden portemonnee hoef je dus niet te vernietigen van de AVG

| AE 11544 | Privacy | 25 reacties

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij… Lees verder

Toestemming vragen voor inzage in je studieschuld is waarom toestemming niet werkt

| AE 11517 | Privacy | 21 reacties

“Hypotheekverstrekkers gaan toestemming voor toegang tot studieschuld bij DUO opvragen”, las ik in het AD vorige week. Momenteel hebben hypotheekverstrekkers hier standaard geen informatie over, zodat het kan gebeuren dat mensen een hogere hypotheek krijgen dan verstandig zou zijn als wél rekening zou zijn gehouden met de DUO schuldpositie. Maar softwarebedrijf Ockto gaat komende maand… Lees verder

Het is natuurlijk van de zotte dat we op internet handhaving volledig geprivatiseerd hebben

| AE 11509 | Informatiemaatschappij, Privacy | 4 reacties

Facebook heeft zijn eigen Supreme Court, las ik laatst. Dit interne orgaan heeft de hoogste macht om directiebeslissingen (met name die van Zuckerberg zelf) tegen te houden. Ik dacht eerst dat dit een hogerberoepsorgaan was voor bezwaren vanuit de gemeenschap; een van de grootste problemen met dit soort platforms is namelijk de onmogelijkheid om echt… Lees verder

Google hoeft recht op vergetelheid niet wereldwijd toe te passen van EU

| AE 11507 | Ondernemingsvrijheid, Privacy | 11 reacties

Google heeft een rechtszaak gewonnen tegen de Franse privacywaakhond CNIL die wilde dat de gegevens van een persoon wereldwijd uit de zoekresultaten van Google verwijderd werden. Dat meldde Nu.nl gisteren. Iets preciezer: het Hof van Justitie oordeelde dat het Europees privacyrecht niet eist dat mensen wereldwijd vergeten hoeven te kunnen worden. Dit naar aanleiding van… Lees verder

Mag PostNL het nummer van mijn identiteitsbewijs overnemen bij een afhaling?

| AE 11502 | Privacy | 16 reacties

Via Twitter: Als ik een pakketje ophaal, moet ik me legitimeren. Logisch. Maar waarom moet het @PostNL-punt mijn documentnummer dan intypen en opslaan? Dat is behoorlijk gevoelige informatie die ik helemaal niet af wil geven. Waarop PostNL reageert: “Dit doen we op verzoek van de afzender om bij claims en navragen te kunnen controleren aan… Lees verder