Moeten mensen bij een horecareservering hun contactgegevens opgeven?

| AE 12086 | Informatiemaatschappij | 24 reacties

Een lezer vroeg me:

Vanwege de coronacrisis is het bij restaurants, pretparken en dergelijke verplicht om je naam en/of adres op te geven. Geldt daarvoor ook de AVG en wat moeten ze je hierover informeren? En mogen die gegevens voor marketing worden gebruikt?

Als hygiënemaatregel geldt inderdaad sinds kort dat men verplicht is vooraf te reserveren (en dat een gezondheidscheck plaats moet vinden). Althans bij grotere zalen of ruimtes waar 100 man of meer kan zitten. Kleine cafés hoeven dus niet met reservering te werken.

De meeste bedrijven kiezen voor online reserveren, en de bouwers van zulke sites kiezen dan voor de standaard aanpak waarbij mensen naam en contactgegevens opgeven. Dat is immers hoe het altijd ging. Je zou ook per reservering een random getal kunnen genereren dat mensen kunnen noemen; mogelijk doet men dit niet omdat klanten die getallen kwijtraken.

Maar je valt inderdaad onder de AVG als je mensen laat reserveren. Dat het wettelijk verplicht is, maakt dat niet anders. Dat betekent alleen dat je in je privacyverklaring aangeeft dat je het vraagt omdát het wettelijk verplicht is.

Alleen: het ís niet verplicht om contactgegevens te vragen. De noodverordening eist alleen dat plekken op reservering worden uitgegeven, niet dat je weet hoe die personen heten of hoe je ze kunt benaderen. Ja, de minister wil die gegevens daarvoor gebruiken maar dat kan alleen met aparte toestemming.

Als je dus contactgegevens vraagt bij een reservering, dan moet je uitleggen waarom je die nodig hebt. Dus niet “om uw reservering te beheren” maar concreet, wat doe je met die naam en met dat mailadres? Bevestig je het daarmee (en gaat het mailadres dus daarna weg) of kan men daarmee inloggen en annuleren? Stuur je informatie naar het 06-nummer dat je vroeg? Hoe lang bewaar je die gegevens, hoe krijgt men inzage en wanneer gooi je ze weg?

Er mag veel, maar je moet het wel aangeven. Ook direct marketing op die gegevens is toegestaan, maar daar moet je wel een opt-out bij aanbieden (op het reserveringsformulier dus, niet in de privacyverklaring) en je moet in de privacyverklaring uitleggen wat je ermee doet.

Maar let wel: als je zegt dat het wettelijk verplicht is om die gegevens te verstrekken, dan hang je. Dat is niet zo, en dan verwerk je ze onrechtmatig (want je gebruikt de verkeerde grondslag). En dan mag je niet zeggen “oh ja ik bedoelde uitvoering overeenkomst” of “het was stilzwijgende toestemming”.

Waarom werkt niemand eigenlijk met iets anders dan naam en contactgegevens bij reserveren?

Arnoud

Hoe problematisch is de CLOUD Act nu echt?

| AE 12077 | Ondernemingsvrijheid | 24 reacties

Een hoop ophef en vraagtekens vorige week over het einde van Privacy Shield. Een belangrijke zorg was weggelegd voor de Cloud Act, want daarmee zouden Amerikaanse overheden ook toegang tot Europese data alhier kunnen vorderen. Daarmee zou de standaard oplossing – blijf in een Europees datacenter bij een Europees bedrijf – ook gevaar lopen. Hoe ver reikt die wet nu eigenlijk?

De Cloud Act is er gekomen naar aanleiding van een rechtszaak tussen Microsoft en de FBI over afgifte van data bij een Europese dochter van het Office-cloudbedrijf. Kort en goed zegt die wet, niet zeuren maar doen. Afgeven die hap, ook als die in het buitenland staat. Letterlijk (paragraaf 2713):

Electronic communication service providers and remote computing service providers must comply with the obligations of [this Act] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Zo’n bevel kan aan Microsoft in Redmond, Washington worden gegeven. Die zou dan haar Europese dochter kunnen opdragen die gegevens door te geven, aldus deze wet.

Maar dat kan eigenlijk niet, want binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.

Bovendien is er artikel 48 AVG:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Een bevel onder de CLOUD Act voldoet niet aan de eisen van dit artikel. De Europese dochter moet dit dus naast zich neerleggen, op straffe van hoge boetes (in theorie 20 miljoen Euro, art. 48 jo. 83 lid 5 AVG).

En meer algemeen vraag ik me dus al tijden af, hoe gaat dit überhaupt werken, dat vanuit Amerika opvorderen van persoonsgegevens? Moet de Ierse dochter van Microsoft dan een achterdeur inbouwen, komt er een bevel tegen de Ierse directie en zo ja hoe gaan ze dat dan afdwingen? Er zijn immers geen verdragen over wederzijds erkennen van zulke inzagebevelen. Dat is waar we al heel lang rechtshulpverzoeken voor hebben immers.

Ik zie hoe er een risico is als je data in de VS hebt staan, want dan kan men erbij en dat mag dan dus. Maar als je data hier staat en de beherend entiteit is Europees (ook al is de moedermaatschappij Amerikaans) dan zie ik gewoon niet hoe in de praktijk die data naar de VS zou gaan als de FBI dat zou willen.

Arnoud

Consumentenbond wil dat Facebook gebruikers compenseert voor schenden privacy

| AE 12057 | Privacy | 15 reacties

De Consumentenbond en de Data Privacy Stichting hebben Facebook gedagvaard in een poging om het socialenetwerkbedrijf te dwingen gebruikers te compenseren voor het schenden van hun privacy. Dat meldde Tweakers dinsdag. Deelname is gratis, wel wordt 18% van de toe te kennen schadevergoeding aan een advocatenkantoor betaald dat op no-cure-no-pay basis (of nou ja, niet helemaal) de zaak doet. De exacte dagvaarding kan ik nog niet vinden maar de kern is natuurlijk geen toestemming (grondslag) en geen verplichte informatieverstrekking onder de AVG. Ik zeg #teamConsumentenbond.

De AVG is er natuurlijk al sinds 2018 maar de reden dat de Bond nu pas deze stap maakt, is dat het pas sinds kort mogelijk is om een massaclaim met schadevergoeding te brengen bij de Nederlandse rechter (art. 3:303a BW). Tot die tijd had de Bond alleen een verbod kunnen eisen, maar dat schiet niet zo op want dat zal Facebook niet echt pijn doen. Dan verzinnen ze weer wat nieuws. Een schadeclaim, en vooral heel veel vervolgclaims vanuit de rest van Europa, dát doet pijn.

Had dit nu niet beter via de toezichthouder kunnen gaan? Die is natuurlijk al naar Facebook aan het kijken en ik zie daar ook echt wel boetes vandaan komen. Alleen, het is voor de AP lastiger om een boete op te leggen dan voor de Consumentenbond om een schadeclaim te doen. Een boete vereist een heel bestuursrechtelijk traject: inspraak, reacties, concepten, toetsing aan boetekaders en richtlijnen, zorgvuldige besluitvorming et cetera. Dat duurt naar zijn aard twee jaar. (Plus AVG-gedoe over de competente leidende toezichthoudende autoriteit, juristen krijgen hoofdpijn van deze wetsartikelen, artsen staan versteld).

Terwijl een schadeclaim bij de burgerlijke rechter gewoon een jaartje is met een paar rondes verweerschriften en repliek/dupliek en dan een uitspraak. De onderbouwing kan makkelijker: een boete moet je gedetailleerd motiveren, de schadevergoeding kan -in theorie- zijn “wat uwedelachtbare billijk acht (artikel 6:97 BW)”. En ja, het grote probleem is natuurlijk dat de Bond geen harde getallen op de schade kan zetten. Wat is je schade doordat Facebook je profiel blootstelde aan rare advertenties of politieke manipulatie? Inderdaad, laat ik ook liever aan de dikke duim, pardon het rechtsgevoel van de rechter. Maar denk aan 50 tot 100 euro.

Per persoon ja. En we hebben in Nederland iets van 14 miljoen volwassenen die dus kwalificeren als consument. Ook Facebook vindt iets van 14 miljoen maal 50 euro, zeker als er een dwangsom achteraan komt én andere consumentenbonden deze zelfde claim btrengen vanuit hun land. (Dit is meer dan de 10,4 miljoen Nederlandse Facebookgebruikers want daar zitten ook minderjarigen tussen en bovendien volgt Facebook je ook als je geen lid bent.)

Het voornaamste voor mij is dat dit volgens mij is hoe de AVG moet werken. Toezichthouders zijn leuk en aardig maar naar hun aard te grofmazig en traag om elke overtreding aan te pakken. Massaal kleinschalig handhaven werkt veel beter (daarom was ik ook zo blij met die Belgen). Het kan natuurlijk uit de hand lopen – lees daarvoor mijn World of 2K38 of voorinteken voor de graphic novel.

Arnoud

BKR krijgt boete van 830.000 euro wegens geld vragen voor inzage dossier

| AE 12055 | Ondernemingsvrijheid | 15 reacties

Het Nederlandse Bureau Krediet Registratie krijgt een boete van 830.000 euro omdat het geld vroeg aan mensen om versneld hun eigen dossiers in te zien. Dat meldde Tweakers maandag. Voor gratis inzage moest je vier weken wachten en een kopie identiteitsbewijs opsturen. Wie betaalde, kreeg direct toegang en wel elektronisch. Dat laatste maakt natuurlijk het… Lees verder

Je eigen gesprekken opnemen is je goed recht en daarmee basta

| AE 12047 | Privacy, Uitingsvrijheid | 31 reacties

Via de onvolprezen Charlotte Meindersma op Twitter: Als ik jullie goed advies mag geven: wees bij een belangrijk gesprek nooit zo fatsoenlijk om te vragen of je het op mag nemen, maar doe het gewoon. Als je zelf deelnemer bent aan het gesprek, is het niet strafbaar. Dat gaf enige heftige reacties, van ongeloof (“mag… Lees verder

Eh, die meldplicht datalekken is dus voor het brakke bedrijf zelf, niet voor de ontdekker

| AE 12009 | Privacy | Er zijn nog geen reacties

Vele lezers vroegen me variaties op deze vraag: Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vulmaarin] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens? Er is geen algemene… Lees verder

VoetbalTV spant rechtszaak aan tegen Autoriteit Persoonsgegevens wegens treuzelen

| AE 12007 | Ondernemingsvrijheid, Privacy | 18 reacties

VoetbalTV is het wachten zat en sleept de Autoriteit Persoonsgegevens voor de rechter, las ik bij BNR Nieuwsradio. De privacytoezichthouder is anderhalf jaar geleden een onderzoek gestart naar het videoplatform, maar de resultaten laten nog altijd op zich wachten. Op het platform kun je amateurvoetbalwedstrijden uit heel Nederland bekijken, maar omdat men onzekerheid voelt of… Lees verder

Mag een KDV van de AVG camera’s inzetten in de slaapzaal?

| AE 11967 | Privacy | 14 reacties

Een lezer vroeg me: Recent is mijn gezin overgestapt naar een ander kinderdagverblijf (AVG) voor onze dochter van anderhalf. Daarbij viel me op dat het nieuwe KDV geen camera’s in de slaapzaal had, alleen een microfoon gekoppeld aan een babyfoon in de speelzaal. De directeur vertelde me dat camera’s in slaapzalen niet mogen van de… Lees verder

Oma moet van rechter foto’s kleinkinderen van social media verwijderen

| AE 11949 | Privacy | 18 reacties

Een oma moet de foto’s die ze van haar kleinkinderen op Facebook en Pinterest heeft geplaatst verwijderen, omdat dit zonder toestemming van de moeder gebeurde. Dat las ik bij Security.nl. Dit is weer zo’n vonnis dat tot vele misverstanden en broodjeaapverhalen gaat leiden. In de kern komt het (niet verrassend) erop neer dat als je… Lees verder