avg Archives - Ius Mentis

Valt een datacentrum in de ruimte onder de AVG?

Geplaatst op 22 december 202219 december 2022 in Informatiemaatschappij, 29 reacties

Waarom een datacenter in de ruimte een interessant idee is, kopte AG Connect onlangs. Koeling is iets minder een issue, energietoevoer gaat ook wel goed maar kosmische straling is iets meer een dingetje en even een monteur langs sturen om de server te powercyclen is geen optie. Maar dat zijn engineering problems my friends dus daar komen we wel uit. Iets lastiger is de juridische vraag: onder welk recht valt zo’n datacenter, en met name is de AVG dan van toepassing op wat daar gebeurt?

Lange tijd was ruimte-exploratie een zuivere overheidstaak, en dan zijn dit soort dingen iets minder van belang. Maar sinds de opkomst van private, vaak commerciële ruimtevaart krijg je natuurlijk ook meer juridische vragen: aansprakelijkheid, strafbaarheid of zoals hier gegevensverwerking. In principe zijn die vragen te herleiden tot “welk recht geldt in de ruimte”, omdat je daarna in dat wetboek gewoon het antwoord opzoekt. De ruimte is ook maar gewoon een grens, volgens sommigen de laatste grens maar toch.

Het recht begint bij internationale verdragen, en hier kom je dan uit bij het Outer Space Treaty (OST) dat al in 1967 aangenomen werd. Men voorzag destijds al de optie dat anderen dan statelijke actoren zelf ruimte-activiteiten zouden ontplooien, en daarom bepaalt artikel VI van het verdrag dat

States Parties to the Treaty shall bear international responsibility for national activities in outer space, including the moon and other celestial bodies, whether such activities are carried on by governmental agencies or by non-governmental entities, and for assuring that national activities are carried out in conformity with the provisions set forth in the present Treaty.

Oftewel: tussen de landen onderling geldt dat je als staat verantwoordelijk bent voor wat jouw burgers in de ruimte uitspoken, of ze dat nou namens de overheid of als private actoren doen. Dat is een heel brede norm, maar het universum is groot, enorm en ingewikkeld en belachelijk, dus veel meer kun je niet doen. En de truc is natuurlijk dat ieder land dan zelf regels stelt (“by your command” te accepteren, zoals dat heet) over hoe het met aansprakelijkheid en dergelijke zit – of gewoon verbiedt dat je de ruimte in gaat vanaf haar territorium.

In Nederland hebben we daarom de Wet ruimtevaartactiviteiten, die (art. 2) geldt voor ruimtevaartactiviteiten die worden verricht in of vanuit Nederland dan wel op of vanaf een Nederlands schip of Nederlands luchtvaartuig. De regel is simpel: zonder vergunning is het abort mission right away. Het Agentschap Telecom geeft die uit, iets dat ik zelf ook niet wist.

In die vergunning worden dan regels opgenomen over bijvoorbeeld je aansprakelijkheid of grenzen aan wat je wel of niet mag doen. Expliciet daarbij is een eis dat je goed verzekerd bent voor de gevolgen. En dat is maar goed ook, want als er een claim komt op Nederland (op grond van artikel VI OST) dan mag de staat die volledig verhalen op de organisatie.

Nederland is lid van het OST, maar de Europese Unie an sich niet. Nu is de AVG natuurlijk een Europese wet, maar zo’n wet (een Verordening) maakt gewoon deel uit van het Nederlands recht en zou daarmee via bovengenoemde route in te roepen moeten zijn tegen een partij die vanuit Nederland een datacentrum in de ruimte opereert.

Krijg je de volgende vraag: is er sprake van een verwerking binnen de scope van de AVG, als een DC in sp-a-a-a-ce persoonsgegevens door een of ander geautomatiseerd proces heen haalt. Nou ja, verwerking is het: iedere “bewerking of een geheel van bewerkingen” is per definitie (art. 4 lid 2 AVG) een verwerking. Die verwerking vindt dus plaats in de kosmische ruimte, waardoor vele blogs en analyses concluderen dat de AVG er niet op van toepassing is.

De AVG kiest alleen niet als insteek “waar de persoonsgegevens worden geanalyseerd en de computer vervolgens I can’t do that” zegt, maar de plek waar de verwerkingsverantwoordelijke gevestigd is (art. 3 AVG):

1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, (…)

Dus stel het bedrijf dat het kosmisch DC (of beter: een systeem dat draait in dat DC) exploiteert zit in Nederland, dan is volgens lid 1 simpelweg de AVG van toepassing. Zit het bedrijf buiten Nederland (de EU) dan kom je er via lid 2 ook, want ook hier is niet vereist dat de verwerking in de EU plaatsvindt. Handhaving is natuurlijk lastig, maar niet lastiger dan wanneer het DC in zeg India staat.

Een voor mij veel lastiger vraag is of het wel mag, die data overbrengen naar een DC in de ruimte. Telt dat bijvoorbeeld als een doorgifte naar een niet-EU land? Doorgifte gaat namelijk over landen, niet over vestigingsplaatsen van een verwerkingsverantwoordelijke. Ik zou als Nederlands bedrijf bijvoorbeeld bij een datacenter in India een server kunnen huren en daar verwerkingen op uitvoeren. Dan is sprake van een doorgifte naar een derde land, ondanks dat er geen derde partij (zoals een Indiase dochter van mijn bedrijf) bij komt kijken. Het lijkt erop dat de ruimte geen derde land is, zodat hier geen AVG-bezwaren tegen bestaan.

Arnoud

Hoe lang mag je persoonsgegevens bewaren voor compliancedoeleinden?

Geplaatst op 21 december 202216 december 2022 in Ondernemingsvrijheid, Privacy, 3 reacties

Microsoft heeft toezeggingen gedaan over zijn chatdienst Teams aan de Europese Commissie, las ik bij Tweakers. Die zijn een reactie op een klacht van concurrent Slack dat MS mensen Teams zou opdringen via Office-integratie. Want dat is natuurlijk een stuk makkelijker dan een losse dienst verkopen. Over waarom de API hét sleutelpunt is van veel ict-juridische kwesties, dat lees je in ons nieuwste boek volgend jaar. Want ik zag de interessante vraag: het is wel zo veel handiger voor compliance. Hoe zit dat?

De vraag komt in de kern neer op “wat doe je dan om al je datastromen te integreren terwijl je wel complaint blijft met regulatory requirements?” Want dat gaat in Teams reuze handig: die maakt opnames en logs van chats en videogesprekken, dat komt in het juiste bakje in opslag en is eenvoudig te doorzoeken. Slack logt ook, maar dat koppelen met projectmanagementsoftware is dan weer een paar extra stappen. Wat dus indirect de discussie gaf, mág dat eigenlijk wel en hoe ver mag je daarbij gaan?

Een zorg is altijd, mag ik gegevens wel bewaren. Als het gaat om compliance doeleinden, dan zou dat geen probleem moeten zijn. Als het moet van wet X, dan mag het automatisch van de AVG en toestemming van de werkgever is volledig irrelevant. Ik bewaar van al mijn medewerkers een kopie paspoort met bsn, dat moet in het kader van zwartwerkbestrijding dus dat mag van de AVG. Medewerkers die dat niet willen, hebben pech.

Waar dit echter vaak naar vertaald wordt, is “ik laat alle data 7 jaar staan zodat het management/afdeling compliance erbij kan”. Dat mag niet. Die paspoorten zitten in een afgesloten kluis waar alleen HR erbij kan nadat ik zeg dat dat goed is (of als de arbeidsinspectie een inval doet). Als een manager een geboortedatum wil weten, dan mag hij niet op die kopieën kijken.

Alles loggen “voor compliance/regulatory” is dus een juridisch zinloze uitspraak die ik helaas vaak zie bij security-achtige types die te veel Amerikaanse bangmaakfilmpjes hebben gezien. Hoofdregel: je mag niets bewaren, alles moet weg na direct gebruik. Doet dat pijn? Motiveer je reden én geef aan tot hoe lang het pijn blijft doen, daarna moet het weg. Als je antwoord “oneindig” is dan is het fout. Als je motivatie bij meerdere soorten gebruik past dan is ie fout. Als de motivatie speculatief is dan is ie fout. Als de motivatie neerkomt op “het is een optie in Teams” dan is ie fout.

Arnoud

Wat als een bedrijf meent dat je ze geld verschuldigd bent, en weigert je account te verwijderen?

Geplaatst op 8 december 20225 december 2022 in Ondernemingsvrijheid, 32 reacties

Via Reddit:

Een bedrijf beweert ten onrechte dat ik hun nog geld verschuldigd ben, en weigert mijn account te verwijderen totdat ik betaald heb. Is er een realistische optie voor mij mijn account en bijbehorenda data te laten verwijderen zonder te betalen? Of is dit een geval van het pad van de minste weerstand (en de meeste tranen) kiezen?

De kern van het probleem is zo te lezen dat de vraagsteller eten had besteld via de app van het bedrijf, maar dat gebeurde bij het verkeerde restaurant. Na vruchteloze discussie startte de vraagsteller een dispuut bij Paypal, waarop hij zijn geld terugkreeg. Nu wil de app-exploitant het account niet verwijderen omdat er volgens hen nog een geldbedrag open staat.

De achterliggende redenering van de app-exploitant lijkt te zijn dat je door die Paypal-actie alleen maar de betaling bij dat bedrijf hebt ongedaan gemaakt (chargeback) maar niet de onderliggende overeenkomst tot levering van voedsel. Want hoezo beslist Paypal of ik een geldig contract heb?

Nou ja, dat beslissen ze omdat dat een aansluitregel is om die betalingsmethode te mogen hanteren. Paypal (en creditcardmaatschappijen ook trouwens) beoordelen claims van consumenten en doen dan een bindende uitspraak die voor beide partijen geldt. Niet alleen over de betaling dus, over de aankoop. Dat kunnen ze, omdat het juridisch prima is als je een private partij een oordeel laat vellen waarvan je vooraf zei dat je ermee akkoord ging (Mr. Visser is er groot mee geworden).

Maar goed, zoals vaker verzucht hier: je recht hebben en je recht krijgen is in het consumentenrecht zeker niet hetzelfde. Want je kunt dit honderd keer aangeven, het account blijft nog steeds staan totdat die 17,95 voor de Pizza XL met cola order #8951 ontvangen is, daar is het systeem heel duidelijk over. En om nou naar de rechter te gaan,, dat is veel duurder dan dit ooit zal opleveren.

Ik herhaal dan maar even de tip om via het Europees Consumenten Centrum (ECC) een klacht in te dienen. Want ik gok zomaar dat dit bedrijf in Luxemburg of Ierland zit, zodat je een snelle en goedkope procedure kunt starten. Zoals een anonieme commenter destijds uitlegde:

Bij internationale geschillen binnen de EU (behalve Denemarken) kun je tot een bedrag van €5000 relatief eenvoudig procederen via een verzoekschriftprocedure (dus geen dagvaarding nodig). Simpelweg door standaard EPGV formulieren in te vullen. Nederlandse consumenten sturen dat naar een Nederlandse rechter die relatief snel overgaat tot een uitspraak nadat de wederpartij in de gelegen is gesteld om te reageren. Dat resulteert in een officiële beschikking met executoriale titel die in het andere land ten uitvoer kan worden gebracht. Er zit dus voor de helderheid ook een risico op verlies en een proceskostenveroordeling in het nadeel van de eiser aan vast.

De enige vraag hier zou voor mij zijn of dit wel via de rechter moet, gezien het gaat om verwijderen van een account. Ik zou dat eerder een AVG kwestie vinden (vergetelheid) hoewel “einde dienstovereenkomst” wel een argument is. Als je het via de AVG speelt dan moet je handhaving door de AP verzoeken (fat chance) of alsnog een gewone procedure bij de rechter beginnen.

Arnoud

Bloggen over de huizenbouwperikelen van een BN’er is geen AVG overtreding

Geplaatst op 3 november 202230 oktober 2022 in Privacy, Uitingsvrijheid, 5 reacties

Gedaagde hoeft artikel over woning niet te verwijderen, las ik bij ITenRecht.nl. Een lokale website had een artikel geplaatst over de bouwperikelen van de directeur en oprichter van het bedrijf Prijsvrij vakanties, inclusief foto en straatnaam. De directeur in kwestie maakte bezwaar en beriep zich op privacyschending en de AVG. De rechter wijst de eisen af (mede naar aanleiding van het inkorten van het artikel en weghalen foto) en bevestigt daarbij dat zo’n artikel onder de journalistieke exceptie valt.

Mag je als nieuwssite schrijven dat de bouw van een woning ‘niet wil vlotten’? En dat de opdrachtgever een bekende ondernemer is die het ‘hoog in zijn kop’ heeft? Zo vatte het AD in september de zaak samen. Heel aardig is dat inderdaad niet, maar feit was – zoals uit het vonnis blijkt – dat de verbouwing lang niet zo snel ging als verwacht. Weliswaar door overmacht (personeels- en materiaaltekorten, coronazorgen bij het bedrijf) maar nog steeds vlot het dan bepaald niet.

De verbouwing was trouwens erg grondig, zo grondig dat de journalist sprak van een ‘kaalslag’. Dat klinkt ook onaardig, maar mag gezegd: het is een mening, een waardeoordeel, en niet volledig onjuist want het oude huis (gebouwd 1923) was geheel gesloopt.

De AVG komt om de hoek kijken bij het argument van de publicatie van relevante lokatiedetails:

[Eiser] heeft er daarnaast bezwaar tegen dat in de aangehaalde passage zijn persoonlijke gegevens in het artikel worden genoemd: zijn naam, onderneming en de straatnaam. Dat zou volgens [eiser] een onnodige inbreuk op zijn privacy maken.

Die gegevens opgenomen op een website vormen daarmee tevens een verwerking van persoonsgegevens, immers ze identificeren de eisende directeur en onthullen ook zijn woonadres. Het privacy-aspect sneuvelt snel:

[eiser] betwist weliswaar dat hij een publiek figuur is, maar uit de (mede ook door hemzelf) overgelegde stukken is voldoende aannemelijk geworden dat [eiser] zelf met enige regelmaat actief in de media optreedt (in de vorm van interviews en televisie-optredens) als directeur van Prijsvrij, waaronder ook in landelijke, op een breed publiek gerichte media. Onweersproken is in dat kader gesteld dat [eiser] zich bij deze mediaoptredens niet altijd beperkt tot louter zakelijke aspecten van zijn leven, maar in voorkomend geval ook meer persoonlijke aspecten uit zijn leven niet onbesproken laat.

Bij lokale media is het dan gerechtvaardigd dat je hierop terugkomt, en ook privé aspecten van een BN’er betrekt in publicaties als daar (lokaal) nieuws in zit. Dat mag, ook van de AVG:

Zoals [gedaagde] terecht stelt is het ook niet in strijd met de AVG om die gegevens te melden omdat het onweersproken gaat om de verwerking van persoonsgegeven voor journalistieke doeleinden.

Dit klopt maar gaat natuurlijk wel wat snel. Het is niet zo dat publiceren met een colofon of NVJ-perskaart je een vrijbrief geeft onder de AVG. De “journalistieke uitzondering” zegt in feite dat een trits aan rechten van betrokkenen niet ingeroepen kunnen worden tegen een publicatie met uitsluitend journalistiek oogmerk. Dit om te voorkomen dat een journalistiek rechtmatige publicatie alsnog via de AVG tegengehouden kan worden. In dit geval had de eiser zich beroepen op recht van verwijdering (“vergetelheid”) en/of correctie, en dat recht geldt dus niet bij journalistieke publicaties.

Natuurlijk moet de journalist nog steeds een AVG-grondslag hebben; toestemming had hij uiteraard niet, maar dat hoeft ook niet want een journalistieke uiting past binnen het eigen gerechtvaardigd belang (artikel 6 lid 1 sub f AVG) op grond van de vrijheid van meningsuiting / persvrijheid.

Arnoud

Overheden verzamelen op grote schaal tweets zonder gebruikers te informeren

Geplaatst op 18 oktober 202218 oktober 2022 in Privacy, 40 reacties

Overheidsinstanties zoals het ministerie van sociale zaken, de Belastingdienst en de Nederlandse Voedsel- en Warenautoriteit (NVWA) verzamelen op grote schaal tweets over onder andere hun beleid zonder Twittergebruikers hierover te informeren. Dat meldde Security.nl onlangs op gezag van onderzoek door AG Connect en Trouw. Het gaat om sentimentanalyse, data-analyse waarbij bakken met tweets zeg maar als “positief” of “negatief” worden gelabeld zodat je kunt zien hoe je beleid valt bij de mensen. Ook hier heerst dus die misvatting dat dat mag omdat Twitter openbaar is. Kunnen we eens ophouden met “ja maar openbare bron” als argument?

Het idee achter sentimentanalyse is dat je op basis van grote datasets de werkelijkheid kunt meten, en dat dat een stuk goedkoper/makkelijker is dan steeds een enquête eruit doen of 1200 Nederlands bellen. Waar zeker wat in zit, en we hebben ook genoeg tools (zoals van Microsoft) die op basis van statistische tekstanalyse kunnen zeggen of een tweet over een onderwerp gaat en daar dan positief of negatief over is. Dat kun je dan over de tijd meten, groeperen naar locatie van gebruikers (Randstad versus de provincie, bijvoorbeeld), groei of daling signaleren en ga zo maar door.

Punt is natuurlijk wel, dat begint allemaal bij een enorme verzameling berichten van Twitter. En tweets (met Twitternaam) zijn nu eenmaal persoonsgegevens en dus valt het verzamelen en tot sentimenten omturnen van die gegevens onder de AVG. Mag dat? Ja, in principe wel: dit is een vorm van wetenschappelijk en statistisch onderzoek en dat kun je binnen de grondslag van het gerechtvaardigd belang (art. 6 lid 1 sub f AVG) prima rechtvaardigen. (Ook bij overheden, omdat dit niet gaat om uitoefening van een publiekrechtelijke taak.) Toestemming van de twitteraars is dus niet nodig.

Wat wél nodig is, is dat mensen worden geïnformeerd over dit verdere gebruik. Dat staat gewoon in de AVG, en is iets dat altijd moet bij data harvesting. Ik geef toe dat dit bij een klantanalyse wat makkelijker is, daar zet je het in je privacyverklaring of je stuurt een update in het portaal. Bij dit soort gebruik van Twitterdata is er maar één manier en dat is iedereen een tweet sturen (DM’s sturen kan niet altijd). Daar zouden we gek van worden als iedereen dat deed, maar dat is voor een individuele organisatie niet disproportioneel of onmogelijk. (Bij data-verzameling met een drone of sensoren op straat is het natuurlijk een ander verhaal qua complexiteit, dus dan is een bordje of banner genoeg.)

Ik zie in de reacties her en der boosheid met het argument “kom op, Twitter is openbaar en iedereen doet het”. Dat laatste is vast waar, maar verandert niets aan het punt dat de makkelijke toegankelijkheid van de bron géén argument is onder de AVG. Je bent niet vogelvrij omdat men kan scrapen zonder ingewikkelde contracten of toelatingsprocedure. En vanuit juridisch perspectief zou dat ook heel raar zijn, dat het legaal is om iets te doen omdat het heel makkelijk is, en dat alleen bij moeilijk scrapen je mensen zou moeten gaan informeren of zo?

Arnoud

Gemeente Emmen onder vuur over late bekendmaking van datalek

Geplaatst op 22 september 202219 september 2022 in Privacy, 8 reacties

De gemeente Emmen is onder vuur komen te liggen vanwege de late bekendmaking van een datalek dat zevenduizend inwoners raakte. Dat meldde Security.nl maandag. En laat is het: een inbraak op e-mailaccounts met daarin persoonsgegevens van burgers vond plaats op 8 april 2021, de melding naar die burgers werd pas 4 april dit jaar gedaan. Nee, dat is geen 72 uur nee, en ook geen “zo snel mogelijk” zoals de AVG eist. Wat is hier gebeurd?

In april vorig jaar kregen derden toegang tot vier e-mailaccounts van gemeentemedewerkers, waarschijnlijk via een phishingaanval. In de mailboxen stonden twee bestanden met persoonsgegevens van ruim zevenduizend inwoners uit de drie gemeenten die in het kader van de Participatiewet en Wet maatschappelijke ondersteuning (Wmo) waren verzameld. Er waren geen aanwijzingen dat er daadwerkelijk in de mailboxen is gekeken, maar uitgesloten kon het ook niet worden. Dat is dan dus een datalek: tenzij je kunt bewijzen dat er géén onbevoegde toegang is geweest, moet je handelen alsof dat wel is gebeurd.

Het duurde even voordat de gemeente het doorhad: pas op 7 juli werd de aanval ontdekt. 7 juli 2021 dus. Twee dagen later werd het zoals wettelijk verplicht gemeld bij de Autoriteit Persoonsgegevens, en daarna leek het klaar totdat de AP in december oordeelde dat niet kan worden uitgesloten dat er gegevens zijn ingezien. De gemeente had de getroffen burgers nooit geïnformeerd, ik denk omdat zij dachten dat er dus geen aanwijzingen waren dat er wél iets misgegaan was met die gegevens en dat er dan dus geen risico’s voor betrokkenen zijn.

Er zit een veiligheidsmechanisme in de regels rond datalekken in de AVG: als de verwerkingsverantwoordelijke denkt dat hij niet hoeft te melden, maar de AP meent van wel, dan moet je dat alsnog doen. Dat moet “onverwijld”, er is geen harde termijn voor deze mededeling aan betrokkenen (zoals dat heet, art. 34 AVG). Dat is natuurlijk omdat je mogelijk meer moet uitzoeken, eerst maatregelen wilt nemen of afspraken maken zoals kredietbewaking zodat je de betrokkenen meteen wat kunt beloven. Emmen had echter tot 9 juli nodig voordat de brief dan alsnog uitging, en de periode van december tot juli is wat mij betreft een tikje wel héél erg lang.

D66 Emmen laakt de late afhandeling van de gemeente. “Op 16 maart 2022 waren de gemeenteraadsverkiezingen. In de weken daarvoor hebben we vele persberichten vanuit het college voorbij zien komen, allen uitsluitend positief. Dit onderwerp is echter op de plank blijven liggen tot direct na de verkiezingen”, stelde gemeenteraadslid Joey Koops.

Wethouder Otten ziet dat anders: na zo’n lange periode alleen een heel vage brief sturen met “het zou kunnen dat men uw gegevens heeft gezien maar er is al deze tijd niets gebeurd dus we weten niet waar u zich zorgen over hoeft te maken” is niet bepaald handig. En dat punt zie ik ook wel weer. Desondanks: het gaat om gevoelige gegevens, dus dat had voortvarender opgelost moeten worden.

Dit nog los van de vraag: waarom stáán er überhaupt gegevens van 7.000 zorggerechtigden in mailboxen?

Arnoud

Moet je van de AVG een wachtwoordresetoptie bieden?

Geplaatst op 15 september 20226 september 2022 in Security, 20 reacties

Een lezer vroeg me:

Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder de AVG?

De AVG eist van iedere dienstverlener dat die persoonsgegevens ‘adequaat’ beschermt tegen onbevoegde toegang, misbruik en datalekken. Daar zit geen harde lijst met eisen aan vast, een verwerkingsverantwoordelijke moet zelf inschatten wat ‘adequaat’ in zijn situatie inhoudt. (Doe je dat niet of niet goed, dan krijg je een boete.)

Deel van adequate beveiliging is ook om kunnen gaan met de gevolgen van datalekken en ander problemen met wachtwoord-beveiligingen. Het kunnen veranderen van wachtwoorden is dus eigenlijk wel een vereiste. Maar hoe je dat implementeert, daar heb je echt nog steeds enige vrijheid in.

Het is logisch en laagdrempelig om een wachtwoord vergeten-optie toe te voegen, dus wat mij betreft is dat een “verplicht tenzij”: dit moet je gewoon hebben, tenzij je uit kunt leggen (en ook uit hébt gelegd in je AVG compliance documentatie*) waarom in jouw situatie zo’n resetmogelijkheid niet opgaat en wat je dan als alternatief hebt bedacht.

Ik zou zelf geen reden kunnen bedenken waarom je zonder een reset-optie wilt werken. Het alternatief is dat mensen de helpdesk moeten benaderen, maar dat duurt langer dan zelf resetten en dat is dan een langere periode waarin accounts kwetsbaar zijn. Er is natuurlijk het risico dat kwaadwillenden andermans account proberen te resetten, maar dat is hooguit overlast en daar zijn op zich ook weer genoeg maatregelen tegen.

Bij de AVG werkt het zo dat als je het niet vooraf bedacht en toegelicht hebt in je schriftelijke documentatie, het niet telt. Zonder documentatie ben je niet compliant, art. 5 lid 2 AVG.

Arnoud

Mag een abonnementsverlener eisen dat ik een toegangspas met foto gebruik?

Geplaatst op 9 september 20225 september 2022 in Ondernemingsvrijheid, Privacy, 6 reacties

Een lezer vroeg me:

Ik heb een abonnement voor toegang tot dierentuinen genomen. Daarbij stond in de voorwaarden dat het abonnement persoonlijk is, en om dat af te dwingen moest er een foto bij. Mijn foto werd echter automatisch afgekeurd omdat deze zoals een ‘echte’ pasfoto van voren, neutraal kijkend en beide oren in beeld. Is dit allemaal toegestaan?

Algemeen is het zeker toegestaan om een persoonsgebonden abonnement te verkopen. Overeenkomsten voor dienstverlening zijn namelijk als hoofdregel altijd met een specifiek persoon, niet met iedereen die een pasje kan laten zien.

Vanuit die regel is het dus ook in beginsel toegestaan om via het pasje te regelen dat je met de abonnementshouder te maken hebt, en niet met een willekeurige lener van het pasje. Een pasfoto opnemen is dan ook een op zich logisch middel.

Alleen loop je dan wel tegen het probleem aan dat je dan de foto tot biometrisch persoonsgegeven maakt: je gebruikt de foto als herkenningsmiddel. Dat mag alleen onder de strenge voorwaarde dat je geen reëel alternatief hebt, zoals de naam via een overheidsidentiteitsbewijs controleren of een eenmalige scanbare code op je telefoon laten zien die je via je account kocht.

Wat hier verder nog gebeurt, is dat de dienstverlener zo te lezen met een machine learning algoritme onderzoekt of de foto geschikt is voor het beoogde doel. Dat is toegestaan áls het onderliggende gebruik van de foto (als identificatiemiddel van de abonnementshouder) dat ook is. Wel moet de dienstverlener natuurlijk voorkomen dat de ML-aanbieder de foto gaat hergebruiken voor trainingsdoeleinden (training van het ML-algoritme, voor de duidelijkheid).

Arnoud

Mag ik van de AVG sfeerimpressies maken van een optreden?

Geplaatst op 30 augustus 202225 augustus 2022 in Privacy, Uitingsvrijheid, 13 reacties

Een lezer vroeg me:

Ik ben door een vriend gevraagd sfeerimpressies te maken tijdens een optreden in een café. Ze vragen geen toegangsgeld, het café is voor iedereen toegankelijk tijdens het optreden. Het komt neer op het publiek filmen vanaf de achterste rij, ik ga niet inzoomen op individuele aanwezigen. Mag dit van de AVG? Moet ik bordjes plaatsen, toestemming vragen, een bezwaarregeling optuigen?

Als je met een (digitale) camera mensen gaat filmen, en de resultaten daarvan publiceert als video, dan valt dat handelen inderdaad in beginsel onder de AVG. Vanwege het publiceren kun je je niet beroepen op de uitzondering voor strikt privégebruik. En omdat mensen gezien de context soort van herkenbaar zijn, is sprake van een verwerking van persoonsgegevens. (Als je vanuit de hoogte met een drone filmt dan wellicht niet.)

Tegelijkertijd is een videoregistratie een vorm van vrije nieuwsgaring, en dat is een beschermd grondrecht net als privacy en gegevensbescherming. Je hebt dus het recht die video te maken, en de AVG kan niet zomaar dat categorisch verbieden. Gelukkig is dat ook niet zo: in gevallen waarin een gegevensverwerking zou botsen met de informatievrijheid, moet een oplossing komen die recht doet aan beide grondrechten (art. 85 AVG).

Dat is nader uitgewerkt in art. 43 Uitvoeringswet AVG, dat een aantal zaken buiten werking stelt: geen informatieplicht of recht van inzage, correctie of verwijdering bijvoorbeeld. Ook mag je bijzondere persoonsgegevens gebruiken als dat strikt noodzakelijk is voor je journalistieke productie. Wel moet je nog steeds een AVG-grondslag hebben, dat zal hier het legitiem belang (art. 6 lid 1 sub f AVG) moeten zijn met als invulling de bijdrage aan de maatschappelijke informatiebehoefte. Je hoeft dan weer geen rekening te houden met bezwaren (art. 21 AVG geldt niet).

Bij dit soort vragen krijg je altijd de discussie wanneer een verwerking nou “voor uitsluitend journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen” is, zoals art. 43 UAVG het noemt. Met name dat “uitsluitend” zit vaak lastig in de discussie. Maar specifiek hier heb ik er geen twijfel over, omdat het alleen gaat om een publicatie (aan het publiek bekend maken) van een verslag van een in ieder geval lokaal interessante gebeurtenis (een concert in een café). Ik weet niet waar de ondergrens zit van wat “nieuws” is, maar gevoelsmatig zit deze er boven.

Het is wel netjes en verstandig een bordje te plaatsen, ook omdat je gewoon niet zit te wachten op discussie hierover. Dat kan het concert verstoren en het is een kleine moeite.

Arnoud

Gemeente Enschede naar rechter wegens AVG-boete Autoriteit Persoonsgegevens

Geplaatst op 14 juli 202210 juli 2022 in Ondernemingsvrijheid, Regulering, 9 reacties

De gemeente Enschede stapt naar de rechter wegens de AVG-boete van 600.000 euro die de Autoriteit Persoonsgegevens vorig jaar wegens wifi-tracking oplegde. Dat meldde Security.nl vorige week. In april 2021 kreeg de gemeente de boete omdat zij “wifitracking gebruikte in de binnenstad op een manier die niet mag.” Weliswaar was het niet de intentie van Enschede om mensen te volgen, maar het kon gewoon gebeuren bij lang genoeg tellen. De wethouder: “Het feit dat de AP die suggestie wel heeft gewekt in haar boetebesluit en in haar media-uitingen, vindt het college van Enschede zeer kwalijk”.

Bij wifi-tracking wordt het signaal van mobiele telefoons gebruikt om groepen mensen in de gaten te houden. In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken. Meestal gaat het dan om via Bluetooth verkregen gegevens, maar ook Wifi signalen kunnen worden gebruikt om tot een identifier te komen.

De kern is dat je vervolgens telt op basis van die identifiers, maar dat zo’n identifier tegelijk ook een persoonsgegeven is dat ook nog eens gebruikt kan worden om iemand te volgen. Dit omdat het gebruikte algoritme om van telefoongegevens tot de identifier te komen altijd hetzelfde resultaat gaf bij dezelfde telefoon. En ja, als je dat gedurende bijna twee jaar allemaal vastlegt dan gaat er iets mis:

De AP heeft vervolgens vastgesteld dat er uit de langetermijntabel van na 1 januari 2019 duidelijke leefpatronen te destilleren zijn. Gezien de regelmatigheid van de patronen kan redelijkerwijs worden geconcludeerd dat de bij het patroon horende registraties toebehoren aan één mobiel apparaat. De leefpatronen kunnen bijvoorbeeld iemands woon- of werkplek prijsgeven, maar ook gevoeligere gegevens zoals bezoeken aan medische instellingen.

Natuurlijk had de gemeente alleen het doel om algemene cijfers over drukte vast te stellen, zodat je bijvoorbeeld weet wanneer je de straatvegers kunt sturen (als het rustig is) of dranghekken (waar het straks niet rustig is) om eens een paar onschuldige toepassingen te noemen. Ik zou ook niet direct weten wat ik als wethouder zou moeten met gedetailleerde logs over al mijn burgers en hun wandelpaden in het centrum.

De boosheid van de gemeente verrast me een beetje. Het lijkt erop dat hier zich het vage concept ‘persoonsgegeven’ wreekt. Dat zijn natuurlijk gegevens waarmee iemand identificeerbaar is, maar dat is niet hetzelfde als weten wie iemand is. Beter gezegd: het serienummer van je mobiele telefoon is natuurlijk niet hetzelfde als de naam in je identiteitskaart. Volgens de AVG zijn beide echter gelijk – identificatoren. Enschede wist met haar systeem natuurlijk totaal niet welke namen er bij die passanten hoorden, en ik geloof graag dat het kwalijk is om te horen dat je dat wél zou doen. Wat de AP zegt, is dat ze dat serienummer niet mochten bijhouden, en dat is natuurlijk iets anders.

Er is ook nog iets met afgeknipte MAC adressen waardoor men denk ik wilde anonimiseren, maar dat ging niet helemaal goed want de resultaten konden nog steeds gekoppeld worden. Ik denk omdat het aantal Enschedeërs met dezelfde MAC prefixen op dezelfde tijden in de zelfde buurt erg klein is.

Arnoud