Mijn zorgverlener heeft ons gesprek opgenomen zonder toestemming, mag dat?

| AE 12939 | Privacy | 30 reacties

Via Reddit:

Laatst heb ik een gesprek met een zorgverlener gehad en hierbij uitte ik dat ik teleurgesteld was in de manier van handelen tijdens het eerste gesprek tussen ons. De zorgverlener gaf toen aan dat zij het gesprek toen der tijd heeft opgenomen. Dit heeft zij gedaan zonder mijn toestemming. Ik vroeg of we het gesprek konden afluisteren. Zij gaf aan dat zij dit niet wilt doen en dat ze het pas wilt luisteren als het zo ver komt. Zij geeft aan dat de opname alleen voor haar is bedoeld.

Regelmatig blog ik hier dat het verstandig kan zijn je eigen gesprekken op te nemen met bijvoorbeeld zorg- of hulpverleners. Daarbij zeg ik altijd dat je geen toestemming hoeft te vragen. Dat hoeft namelijk niet van de wet. Of het ethisch is, is een tweeede, maar gezien de kwetsbare positie waar je als zorg- of hulpvrager in zit vind ik het antwoord een dikke vette ja.

Wanneer het omgekeerde gebeurt, gaan ook bij mij de wenkbrauwen omhoog. Een zorgverlener als professional bij een grote organisatie die zonder te vragen een gesprek opneemt, daar klopt iets niet. Natuurlijk, ook daar geldt de strafwetbepaling die bepaalt dat het mag tenzij je andermans gesprek opneemt. Maar hier speelt meer, ja precies roept u maar: de AVG.

Een organisatie die gesprekken opneemt, moet dat onder de AVG rechtvaardigen. Want een gespreksopname met een cliënt telt als persoonsgegeven (ongeacht of het een dossier in gaat, omdat het elektronisch is) en de AVG is dan gewoon van toepassing. Je zult dan als organisatie een grondslag moeten hebben. Toestemming, uitvoering overeenkomst of een eigen legitiem belang zijn dan de bekende riedel.

Ik heb grote twijfels of die grondslag er is, gezien het wat rommelige karakter van een en ander. Het voelt als een zorgverlener die op eigen houtje is gaan opnemen. Dat is problematisch voor de organisatie, want dat telt dan als AVG schending voor hen (fouten van werknemers komen immers voor rekening van de werkgever).

Er is één uitzondering, namelijk die voor het strikt persoonlijk gebruik van de persoon die de opname maakt. Mijn privé-contactenlijst hoef ik niet onder de AVG te behandelen, want die is van mij privé. (Ons zakelijk CRM systeem valt natuurlijk wel gewoon onder de AVG.) En dat kan in theorie ook zakelijk, je kunt als ondernemer of werknemer ook best voor je persoonlijk (werk)gebruik aantekeningen of lijstjes hebben. Deze zorgverlener zou zich dus daarop kunnen beroepen.

Ik zet daar wel gelijk grote vraagtekens bij, omdat ik me moeilijk kan voorstellen wat dan het zuiver persoonlijke gebruik is. Dat ik de geboortedatum van mijn secretaresse ergens noteer, zodat ik tijdig een cadeau kan kopen, dat is ergens nog wel zakelijk+persoonlijk te noemen. Daar heeft verder ook niemand last van.

Maar deze gespreksopnames strikt persoonlijk? Ik geloof het niet. Want wat gaat ze ermee doen dan? Het gesprek uittypen en daarna de opname vernietigen is zo ongeveer het enige dat ik kan bedenken. “Gebruiken voor aangifte als cliënt bedreigend wordt” of “bij onenigheid kunnen aantonen wat er is gezegd” zijn géén persoonlijke redenen maar zakelijke keuzes. Die prima zijn maar wel vanuit de organisatie gerechtvaardigd moeten worden. Onder de AVG dus.

Arnoud

Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR ‘ondermijnt’

| AE 12801 | Ondernemingsvrijheid, Privacy | 9 reacties

Het Oostenrijkse Hooggerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. Dat las ik bij Tweakers. De vraag draait om het verschil tussen toestemming en een contract als grondslag om persoonsgegevens te mogen verwerken. Sinds de AVG van kracht is, houdt Facebook namelijk vol dat mensen bij hen een dienst met gepersonaliseerde advertenties bestellen (als in: een daartoe strekkende overeenkomst sluiten) zodat je het niet over toestemming hoeft te hebben. Eh, wat.

De vragen van het Hof komen (hoe kan het ook anders) uit een rechtszaak die de privacyvoorvechters van None Of Your Business hebben aangespannen. NOYB verzet zich op alle mogelijke manieren tegen de Amerikaanse dataplundering van Facebook en consorten, en dan is dit een logische stap.

Facebook had in het verleden altijd gezegd dat het zich beriep op toestemming. Maar sinds de AVG is toestemming een heikele, zo niet onmogelijke grond om mee te werken: toestemming kan op ieder moment worden ingetrokken en dat mag geen vervelende consequenties hebben. Logisch dus dat de Facebook-juristen al snel bedachten dat je beter op uitvoering overeenkomst kon gaan zitten, want dat is niet zomaar intrekbaar. Besteld is besteld, zeg maar.

De vraag is alleen: wát is er dan besteld. Waren dat die advertenties (graag met een onsje extra personalisatie en hee wat leuk, de doorverkoop voor militaire gezichtsherkenning is afgeprijsd, doe maar) of was dat de communicatiedienst, het kunnen chatten en lezen wat mijn vrienden online doen? Mijn idee was altijd het laatste, maar omdat de Facebook-juristen zo nadrukkelijk hameren op het eerste, moeten we daar een juridische discussie over gaan voeren.

Het Oostenrijkse Hof citeert allereerst een berg literatuur die hier vrij negatief over is: Facebook is steeds het standaardvoorbeeld van een dienst met het niet-essentiële aspect van advertenties erbij. Dat helpt niet voor de beeldvorming, zullen we maar zeggen. En dan concludeert men:

The objective purpose of the contract is decisive for the definition of “necessary” in the sense of Art. 6(1)(b) of the GDPR. Artificially or unilaterally imposed services cannot be subsumed under this. The necessity of data processing for the performance of a contract depends on whether there is a direct factual connection between the intended data processing and the specific purpose of the legal obligation. … The fact that the purposes of the processing are covered by contractual clauses formulated by the provider does not automatically mean that the processing is necessary for the performance of the contract.
Dat laatste is denk ik de kern: dat een partij zegt dát het hoort bij de dienst, maakt het nog niet écht noodzakelijk voor de dienst. Daarvoor is een objectieve toets nodig. Alleen: hoe ziet die toets eruit, en hoe veel speelruimte mag je daar dienstverleners in gunnen? Is bijvoorbeeld bij WhatsApp het noodzakelijk dat iedereen mijn profielfoto ziet, of is enkel de door mij ingevulde naam noodzakelijk om te tonen aan contacten? Of ook dat niet?

Tijd dus om de hoogste Europese rechter hier een uitspraak over te laten doen. Helaas duurt dat altijd wel een dik jaar.

Arnoud

Wat moet je met privacygevoelige informatie bij een bedrijfsovername?

| AE 12735 | Ondernemingsvrijheid | 12 reacties

Een lezer vroeg me:

Als een bedrijf een afdeling/onderdeel verkoopt, hoe moet er dan worden omgegaan met privacygevoelige informatie? Ik denk dan aan niet alleen de personeelsadministratie maar ook bijvoorbeeld backups van oude klantgegevens.
De eerste vraag is altijd op wat voor manier zo’n verkoop juridisch vormgegeven wordt. Er zijn grofweg twee vormen: de betreffende organisatie krijgt een nieuwe eigenaar, of de “assets” oftewel bezittingen et cetera die horen bij de organisatie krijgen een nieuwe eigenaar.

In het eerste geval blijft de organisatie bestaan maar komen de aandelen in nieuwe handen. Dat is juridisch dan heel simpel: dat verandert helemaal niets. Het bedrijf is er nog steeds, heeft dezelfde rechtsvorm en rechten en plichten. Alles gaat dan gewoon door zoals het was.

In het tweede geval is het juridisch een stuk ingewikkelder, omdat je dan al snel in ongeregeld gebied terechtkomt. Zo is het bijvoorbeeld niet zo dat als  je een computer verkoopt, de ontvanger eigenaar (of verwerkingsverantwoordelijke) wordt van de persoonsgegevens die daar op staan. Softwarelicenties of databases overdragen zijn nog weer ingewikkelder, en of personeel meegaat is ook weer een vraag.

Daarnaast moet je ook inderdaad backups en andere ‘extra’ kopieën van persoonsgegevens goed in de gaten houden. Een extreem geval hiervan zagen we in mei: in een kelder in Schiedam bleken cd’s met de gevoelige dossiers van duizenden cliënten van ggz-instelling Riagg Rijnmond opgeslagen te zijn. De curator die het faillissement afhandelt ging ervan uit dat Parnassia ook de verantwoordelijkheid over de dossiers van Riagg Rijnmond kreeg. De cd’s zijn daarbij over het hoofd gezien.

En als laatste is bij zo’n verkoop natuurlijk de vraag of de AVG dit überhaupt toestaat. Met name curatoren hebben er nog wel eens een handje van om klantenlijsten te verkopen aan de hoogste bieder, dat is eenvoudigweg niet mogelijk onder de AVG. Als je de garantiecontracten overdraagt, dan moeten de klantgegevens natuurlijk mee, dat is dan wel legaal.

Helaas kan ik dus geen algemeen antwoord geven dat verder gaat dan “dat hangt er vanaf, maar let heel goed op”. Ik merk wel dat het vaak een ondergeschoven kindje is of dat mensen vergeten de backups te controleren.

Arnoud

Zijn hashes van vingerafdrukken anoniem of mogen ze toch niet van de AVG?

| AE 12721 | Privacy, Security | 27 reacties

Een lezer vroeg me: Ik weet dat onder de AVG het gebruik van biometrie strikt beperkt is tot hele specifieke toepassingen. Ik wil als security officer biometrie inzetten en heb daarvoor een oplossing die met templates en hashes werkt, zodat er geen vingerafdrukken hoeven te worden opgeslagen. Een nieuw genomen vingerafdruk wordt tot een hash… Lees verder

FBI deelt voortaan uitgelekte wachtwoorden met Have I Been Pwned, mag dat van de AVG?

| AE 12693 | Innovatie, Security | 13 reacties

De FBI gaat uitgelekte wachtwoorden die het tijdens onderzoeken tegen gekomen is, in het vervolg delen met de website Have I Been Pwned. Dat meldde Tweakers onlangs. De wachtwoorden die de FBI met Have I Been Pwned deelt, zullen worden voorzien van een SHA-I en NTLM-hashparen, zodat ook HIBP-eigenaar Troy Hunt de wachtwoorden niet in… Lees verder

Kan iemand mij uitleggen waarom ik het gerechtvaardigd belang van anderen aan en uit kan zetten?

| AE 12691 | Ondernemingsvrijheid | 10 reacties

Via Reddit: Al een tijdje krijgen we in de koekjesschermen een andere keuze. Het gaat niet alleen meer om waar ik toestemming voor geef, maar ook om gerechtvaardigd belang. … Wat ik niet snap, is waarom ik dan in de cookiebanner naast de toestemmingsvraag ook een vraag krijg over legitiem belang. Er staat legitiem belang en… Lees verder

AP geeft AVG-boete van 15.000 euro aan bedrijf dat ziektes registreerde

| AE 12676 | Ondernemingsvrijheid, Privacy | 3 reacties

De Autoriteit Persoonsgegevens heeft een boete van 15.000 euro opgelegd aan een bedrijf dat zijn systeem om ziekteverzuim te registreren slecht beveiligde. Dat meldde Tweakers onlangs. Ook verzamelde het bedrijf onterecht meer gezondheidsgegevens dan was toegestaan, zoals specifieke klachten en verloop van de ziekte. Opmerkelijk is vooral dat de boetes volgens de regels zouden neerkomen op… Lees verder

Ben ik verwerker bij de accounts van mijn klanten?

| AE 12634 | Privacy | 7 reacties

Een lezer vroeg me: Zoals heel veel SaaS-diensten bied ik accounts aan voor bedrijfsmatig gebruik: één account per gebruiker, maar gekoppeld via een bedrijfsabonnement. Ben ik nu verwerker voor de gegevens in die accounts? Het valt me inderdaad op dat vele SaaS-dienstverleners denken dat ze verwerker zijn omdat ze persoonsgebonden accounts hebben. Dat is alleen… Lees verder

Foto’s van je kinderen op internet plaatsen versus de AVG

| AE 12616 | Privacy | 15 reacties

Gedaagde heeft beeldmateriaal (foto’s en filmpjes) op social media geplaatst van het minderjarige zoontje van eiseres, zo opende een recent vonnis van de rechtbank Overijssel. Dat mocht niet van de ex-partner. Want voor het plaatsen van foto’s van minderjarigen die de leeftijd van zestien jaren nog niet hebben bereikt, is toestemming van de wettelijk vertegenwoordiger… Lees verder

Facebook gaat de half miljard getroffen gebruikers niet informeren over datalek, nee die snapte ik ook niet

| AE 12609 | Privacy | 12 reacties

Facebook gaat de bijna 533 miljoen gebruikers van wie de data onlangs op een hackersforum is geplaatst, niet actief informeren over het datalek. Dat meldde Tweakers vorige week. Het platform zegt niet zeker te weten welke gebruikers ingelicht zouden moeten worden en dat de informatie toch openbaar online staat. Dat voelt een tikje absurd; de… Lees verder