Mag een trol eisen dat hij wordt vergeten op een forum?

| AE 10377 | Meningsuiting, Privacy | 29 reacties

Naar aanleiding van mijn blog van vorige week over accounts versus bewaarplicht kreeg ik via Twitter de reactie:

Leerzaam! En in de comments ook: recht van betrokkene geldt ook voor een troll. Gegevens laten verwijderen na block, herinschrijven en overnieuw beginnen…. Nooit aan gedacht.

Natuurlijk zullen er na 25 mei de nodige trollen zijn die grappen uit gaan halen met het vergeetrecht onder de Algemene Verordening Gegevensbescherming (AVG of GDPR). Het is immers een sterk recht, en je hoeft geen reden op te geven om vergeten te willen worden.

Echter, het vergeetrecht is niet absoluut. Er zijn situaties waarin je niet vergeten hoeft te worden. En specifiek bij een forumblokkade of ban zie ik die situatie wel. Als je iemand verbant, dan wil je die ban een zekere tijd handhaven. Gedurende die tijd móet je dus onthouden wie de gebande persoon is en met welke persoonsgegevens je hem herkent, anders is handhaving onmogelijk. Dit geeft dan een legitiem belang om die persoonsgegevens te verwerken.

Wanneer een organisatie een legitiem belang heeft om je gegevens te verwerken, kun je geen beroep doen op het vergeetrecht. Juridisch gezien kan een vergeetverzoek namelijk alleen worden ingediend bij gegevens die niet meer nodig zijn voor zo’n belang. (Of bij verwerkingen waarvan de toestemming wordt ingetrokken of die überhaupt niet mochten plaatsvinden, maar dat is hier niet aan de orde.)

Natuurlijk moet het legitiem belang wel opwegen tegen het privacybelang van de trol, pardon de forumgebruiker. Dat is een zorgvuldigheidseis, waarbij de beheerder moet laten zien dat de keuze tot bannen goed onderbouwd is en de banperiode gerechtvaardigd voor het doel. Er zal dus een reglement moeten zijn met wat er wel en niet mag, en iets van een aankondiging met de redenen voor de ban en de periode van de ban. Ontbreekt dat, dan is de ban onrechtmatig en dan zou je wel opheffing daarvan kunnen eisen.

Arnoud

Je hebt nog 128 dagen om de AVG te implementeren #128totavg

| AE 10247 | Privacy | 36 reacties

Vandaag zijn er nog precies 128 dagen te gaan tot 25 mei 2018, de datum waarop de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht wordt. Deze nieuwe Europese privacywet gaat een hoop veranderen, en juristen en consultants draaien massaal overuren om hun klanten compliant te krijgen. Maar steeds meer raak ik ervan overtuigd dat het een fout is om de AVG te zien als een nieuwe wet die juridische maatregelen vereist, oftewel iets dat je aan de juridische afdeling kunt overlaten om met een nieuwe privacyverklaring, bewerkersovereenkomst en standaardtekst voor toestemming te laten komen.

Zoals ik 128 dagen geleden al schreef, voor een groot deel is de AVG aanscherpen van de regels uit de huidige wetgeving. Dat echt alles verboden zou worden, is dan ook een tikje overtrokken. Het is vooral een kwestie van zorgvuldig(er) moeten gaan werken. Onderbouw waarom je die gegevens nodig hebt. Leg vast hoe lang je ze bewaart, en hoezo bewaar jij backups 10 jaar?

Het uitwerken van die zorgvuldigheid is precies waar de grootste pijn blijkt te zitten, in mijn ervaring. Het vereist namelijk een hele nieuwe manier van denken: persoonsgegevens krijg je niet zomaar, je moet het uitwerken en motiveren. En dat is echt iets nieuws, maar wel iets nieuws waar je als bedrijf over na moet denken. De jurist of consultant kan dat niet, althans niet alleen. De AVG dwingt tot veranderen van je bedrijfsprocessen, niet alleen je privacyverklaring.

Nog steeds zie ik mensen die denken dat het wel meevalt, en denken dat ze wegkomen met wat mooie nieuwe teksten, een Excelsheet dat als verwerkingsregister moet dienen en een herschreven toestemmingsvraag voor bij de nieuwsbrief. Maar dat is slechts één klein deel van het verhaal. Compliance vereist meer dan alleen de voorkant oppoetsen. Het gaat juist om wat er vervolgens gebeurt, die bedrijfsprocessen waarin besloten wordt gegevens te hergebruiken of die archivaris die onder het mom “beter bewaren dan kwijt zijn” backups nimmer opschoont of weggooit.

Gisteren sprak ik een journalist die me vroeg hoe ik bepaal of een organisatie voldoet aan de AVG. Dat is natuurlijk een iets te complex onderwerp om met één vraag te toetsen, maar als kort-door-de-bocht vuistregel kun je wel letten op hoe men bewaartermijnen vaststelt, en wat ze doen met bekende onderwerpen als sollicitatiebrieven of registratie van bezoekers. Dat zijn typisch van die dingen die er normaal tussendoor gedaan worden en dus over het hoofd gezien worden als compliance niet op de goede manier wordt ingevoerd.

Arnoud

Wanneer mag je onder de AVG sollicitanten nog wél googelen?

| AE 10243 | Arbeidsrecht | 21 reacties

Beetje een boehoe-artikel in zakenmagazine Netwerk Brabant (dank, broer): stel je voor, krijg je een sollicitant en die blijkt ineens een olifantenstroper. Dat ontdek je door zijn Instagram, en dat zou niet meer mogen van de AVG? Wat een ontzettend stomme wet? Welnee, de AVG verbiedt helemaal niet het categorisch googelen van sollicitanten. Maar amateuristisch gepruts zoals ik in dat artikel lees, dát gaat verboden worden.

Ja, gisteren ging het ook al over de AVG maar het is gewoon een heel grote verandering. De nieuwe Europese privacywet is bedoeld als streep in het zand, ga nu eindelijk eens je zaakjes goed regelen als het gaat om andermans persoonsgegevens, andermans privacy. En dat is natuurlijk een schok voor mensen en organisaties die altijd dachten dat de AVG een juridische kwestie was, nieuwe privacyverklaring en je opt-in teksten wat oppoetsen.

De indruk ontstaat dat van de AVG niets meer zou mogen. Dat is pertinent onjuist (en iets dat ik ergens wel betreur, een paar stevige “kappen hiermee” artikelen zouden handig zijn geweest). De AVG eist vooral een duidelijke belangenafweging en maatregelen ter borging van de privacy van de mensen wiens persoonlijke informatie je gebruikt. Waarom vind jij dat je dit mag doen, hoe zorg je ervoor dat dat goed gebeurt en hoe bescherm je de gegevens? Je zou zeggen dat dat geen onredelijk verzoek is.

Specifiek bij sollicitanten en googelen is dat niet anders. Niets in de AVG verbiedt dit expliciet, je moet alleen aan de bak: meld in je personeelsadvertentie dat je dit doet, leg in een privacyverklaring uit waarom je dit doet en wat er met de resultaten gebeurt en déél die resultaten (en jouw bevindingen daarop) met de sollicitant. In die privacyverklaring moet trouwens ook staan hoe lang je cv’s bewaart en met wie je de gegevens deelt.

Het artikel noemt het voorbeeld van het Wereld Natuur Fonds dat ineens ontdekt dat een medewerker in zijn vrije tijd een olifantenstroper is en dan gigantische reputatieschade krijgt. Dat voelt een tikje buiten het normale, maar als die zorg er is dan kun je vast op papier zetten waarom de organisatie daar wat van mag vinden en dat je daarom even op de Instagram van de sollicitant gaat kijken. Dat je de sollicitant dan de resultaten stuurt zodat hij kan reageren (bijvoorbeeld dat het een naamgenoot is of een geposeerde foto van een studentenfeest 15 jaar geleden) lijkt mij dan niet meer dan redelijk. Vervolgens kun je als organisatie dan een terechte beslissing maken.

Eerlijk gezegd zie ik het probleem dus niet. Natuurlijk, je kunt nu niet meer volstaan met even snel googelen en daarna afwijzen met “wij hebben helaas een andere kandidaat gekozen die beter past bij het functieprofiel” of wat je standaardzin maar is. Maar dat is natuurlijk sowieso weinig netjes en zou een respectabele organisatie dus niet moeten doen.

Arnoud

Mag mijn werkgever me persoonlijk aansprakelijk stellen (met boete) op AVG-overtredingen?

| AE 9931 | Arbeidsrecht | 27 reacties

Een lezer vroeg me: Mijn werkgever eist dat ik een addendum op mijn arbeidscontract teken waarin opgenomen is dat ik persoonlijk aansprakelijk ben voor datalekken en niet-naleving van de AVG, inclusief een boetebeding voor 5.000 euro per geval. Ben ik verplicht dit te tekenen? Ik vind het wel héél ver gaan en overweeg serieus ontslag… Lees verder

Wacht, de ICT-manager mag niet ook de privacy officer zijn?

| AE 9811 | Privacy | 21 reacties

Een Duits bedrijf heeft een boete gekregen omdat haar IT-manager ook de rol van functionaris gegevensbescherming oftewel privacy officer had, las ik bij IAPP. Daarmee werd de wettelijk verplichte onafhankelijke status van de FG aangetast. Dat wordt nog een uitdaging dus als deze functie ook in Nederland een grote vlucht gaat nemen – in veel… Lees verder

Mag een bedrijf vragen om een kopie van je ID bij een inzageverzoek?

| AE 9803 | Beveiliging, Privacy | 23 reacties

Een lezer vroeg me: Wanneer je je wettelijk recht op inzage of verwijdering van je persoonsgegevens wilt uitoefenen, wordt steeds vaker gevraagd of je een kopie van je identiteitsbewijs wilt opsturen. Is dat eigenlijk wel toegestaan? Onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming (AVG of GDPR) heb je het recht om… Lees verder

Mag direct marketing per post straks ook niet meer van de AVG?

| AE 9691 | Privacy, Webwinkels | 26 reacties

Een lezer vroeg me: Recent kreeg ik geadresseerde reclame per post van een webshop waar ik vorig jaar wat had gekocht. Dat is dus een verwerking van mijn persoonsgegevens! Kan ik daar straks onder de Privacyverordening wat tegen doen? Er is nooit om toestemming gevraagd voor reclamepost namelijk. Het klopt dat het toesturen van geadresseerde… Lees verder

Je hebt nog 256 dagen om de AVG te implementeren #256totAVG

| AE 9606 | Privacy | 32 reacties

Vandaag zijn er nog precies 256 dagen te gaan tot de nieuwe Europese privacywet in werking treedt. Op 25 mei 2018 zal namelijk de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht worden. En dan wordt de wereld weer een stukje interessanter, want het is me een partij regelgeving… Lees verder

Valt iedere bit straks onder de Privacyverordening?

| AE 9642 | Privacy | 27 reacties

Naar aanleiding van de recente vraag of een klassenfoto privacygevoelig is, kreeg ik diverse opmerkingen onder meer via Twitter: Net als het getal 098773557 . Want misschien een bsn. Het AVG virus noem ik dat, elk stukje data wordt er uiteindelijk door besmet. De Privacyverordening als virus, het moet niet gekker worden. Maar ik snap… Lees verder

Wat moet je onder de AVG doen met ongewenst verkregen persoonsgegevens?

| AE 9579 | Privacy | 16 reacties

Een lezer vroeg me: Af en toe krijgen wij als PC-reparateurs per mail allerlei persoonlijke informatie van klanten gemaild, ongevraagd. Denk aan een verslag wat er misging, maar soms ook medische of andere gevoelige gegevens. Soms zelfs van collegabedrijven die ons als tweedelijns ondersteuning inschakelen. Dat is een probleem onder de AVG, want die mail… Lees verder