Heb ik recht op een kopie van mijn oude werkmailbox?

| AE 11797 | Ondernemingsvrijheid, Privacy | 11 reacties

Een lezer vroeg me:

Ik heb de afgelopen 10 jaar bij 6 werkgevers gewerkt. Graag zou ik een kopie van mijn persoonlijke emailboxen bij deze bedrijven willen. Het gaat hier om outlook pst bestanden. Het gaat dus om een kopie van mijn persoonlijke zakelijke mailbox bij de betreffende ex-werkgevers. Hoe kan ik dat onder de AVG bewerkstelligen?

Volgens de AVG heb je recht op een kopie van je persoonsgegevens (artikel 15). Als je die zelf hebt geupload op basis van toestemming of overeenkomst, dan kun je die kopie zelfs in een machine-leesbaar formaat verlangen (artikel 20). Dat laatste zal hier niet spelen, een mailbox voldoet niet aan die criteria. Maar een printout van de mails zou in principe tot de mogelijkheden behoren. Als ze er nog zijn.

De eerste vraag is dus altijd of je ex-werkgever die bestanden nog heeft. Er is geen bewaarplicht voor dergelijke mailberichten (of mailboxen), dus het staat ze vrij die weg te gooien na einde dienstverband. Wat er niet is, kun je ook niet opvragen en je kunt op dat gemis geen schadeclaim baseren.

Zijn ze er wel, dan heb je dus in beginsel recht op een kopie. Een mail van of aan jou bevat immers jouw persoonsgegevens, al is het maar je naam of e-mailadres. Maar ook zaken als wat er aan je werd gevraagd of wat je antwoord was, zijn te zien als persoonsgegevens. Dat begrip is immers veel breder dan enkel de administratrivia over jou.

Ik zeg “in beginsel”, want lid 4 van artikel 15 zegt enigszins cryptisch:

3. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.

De strekking van dit lid 4 is dat jouw inzageverzoek geen rechten van anderen mag schenden, zoals hun privacy (denk aan de collega met wie je mailt) of intellectuele rechten zoals bedrijfsgeheimen of auteursrechten. Echter, dat betekent niet dat men eenvoudigweg “ja ho privacy van collega’s” of “oh noes bedrijfsgeheim” mag zeggen en dan inzage weigeren. Overweging 63 bij de AVG eist dat er een belangenafweging plaatsvindt met een poging ergens een middenweg te vinden.

Wat die middenweg moet zijn bij je zakelijke mailbox, dat weet ik zo net nog niet. Het praktische probleem dat ik zie, is vooral dat die mailbox zelden zo gestructureerd is dat je de persoonlijke mails eruit kunt lichten. De hele pst mailbox afgeven voelt als te veel voor het verzoek, en eisen dat de werkgever maar even door de mailbox heengaat om de relevante dingen te vinden, is ook weer disproportioneel. Maar “dat is heel veel werk” is dan weer geen argument onder de AVG (artikel 12 lid 5). Alleen als het echt buitensporig veel werk is, mag je weigeren.

Ik denk dat voor mij de hoofdvraag zou zijn om wat voor mails het dan precies gaat. Als je bedoelt “alle mails die vanaf mijn voornaam punt achternaam at bedrijfsnaam punt extensie zijn verzonden en ontvangen”, dan zou ik daar toch die bedrijfsgeheim-uitzondering tegenaan gooien. Dergelijke mails zijn primair zakelijk en dus bedrijfsvertrouwelijk. De meer persoonsgebonden mails (zeg, je correspondentie met de bedrijfsvertrouwenspersoon, de kattenbelletjes met je partner, de naar kantoor gemailde vakantiefoto’s om in kleur te printen) kan ik moeilijk als zakelijk vertrouwelijk zien, maar die uit een grote mailbox vissen zonder verder enige structuur zou ik wel buitensporig vinden.

Samenvattend denk ik dat een ex-werkgever dit dus mag weigeren. Tenzij je altijd heel braaf je privémails in een apart mapje hebt gestopt en het verzoek beperkt tot dat mapje (dat je dus bij naam noemt, met uitleg van de criteria van wat daar in ging). Alleen: dat mapje hoorde op de dag na einde dienstverband te zijn gewist, want er was nooit enige reden om dit te bewaren. Dus netto krijg je dan nog steeds niets, volgens mij.

Arnoud

Dat mag dus toch niet, persoonsgegevens van je leden verkopen?

| AE 11812 | Ondernemingsvrijheid, Privacy | 46 reacties

De KNLTB heeft van de Autoriteit Persoonsgegevens (AP) een geldboete gekregen van ruim een half miljoen euro voor het verstrekken van persoonsgegevens aan twee commerciële partners. Dat meldde het AD onlangs. De tennisbond gaat in beroep tegen de sanctie. De verstrekking is in strijd met de AVG, omdat er geen invulling van het eigen gerechtvaardigd belang mogelijk is wanneer je niets meer doet dan persoonsgegevens verstrekken tegen betaling. En ja, ik dacht dat het wel mocht maar ik ga dus toch proberen enigszins objectief een analyse te maken van de zaak. Want stiekem worden hier toch een paar best fundamentele standpunten ingenomen die laten we zeggen voor de markt een tikje verrassend waren.

In maart vorig jaar kwam in het nieuws dat de KNLTB op zoek was naar extra bronnen van inkomens, en haar ledenlijst als een waardevol betaalmiddel ziet. Daarom is besloten om die ledenlijst eens commercieel te activeren, door ze aan (ongetwijfeld zorgvuldig geselecteerde) partners te geven. Deze mogen dan bellen of brieven sturen met reclame, totaal maximaal drie keer per kwartaal. E-mail is uitgezonderd, daarvoor moeten leden een aparte opt-in geven vanwege het spamverbod uit de Telecomwet. (En daar ging het overigens ook bij mis, uit het boetebesluit blijkt dat er wél zonder opt-in mailadressen zijn verhandeld. Maar dat terzijde.)

Een aantal leden pikte dat niet, en diende klachten in bij de AP. Die trad vervolgens zeer voortvarend op, inclusief een mediaoptreden van de voorzitter waaruit je zou kunnen afleiden dat een boete onvermijdelijk was. (De AP betreurt die gang van zaken maar stelt desondanks gewoon objectief te hebben gehandeld.) Na onderzoek kwam men dan ook direct met een boete aanzetten. Wat dus mag onder de AVG én de boetebeleidsregels van de AP zelf, als de overtreding ernstig genoeg is. En dat is dus hier het geval, aldus de toezichthouder.

Inhoudelijk komt het vooral neer op de vraag: wanneer mag je zonder opt-in commercieel handelen in persoonsgegevens? Daar is naar de letter van de AVG een antwoord op: als je je kunt beroepen op een eigen gerechtvaardigd belang, en daarbij een privacyafweging hebt gemaakt die in jouw voordeel afweegt. Een voorbeeld van zo’n afweging is dat je camera’s in kan zetten om je terrein te bewaken, maar dat je inzage in de beelden beperkt tot politie in geval van strafbare feiten. Het onderliggende belang is dan het beschermen van je eigendomsrecht.

De AP komt nu met het strenge standpunt dat commerciële belangen nooit gerechtvaardigd kunnen zijn. Die zijn namelijk niet als zodanig in de wet erkend, in tegenstelling tot zeg eigendomsrecht of de vrijheid van meningsuiting. Er is natuurlijk het grondrecht van de ondernemingsvrijheid, maar dat vindt men te onbepaald en generiek om als grondslag te kunnen dienen voor de handel in persoonsgegevens. Daarmee is er dus eigenlijk nóóit een rechtvaardiging te verzinnen om in persoonsgegevens te handelen, als ik even tussen de regels samenvat.

Daar komt bij dat tot 2007 de leden bij lid worden niet expliciet werden gemeld dat dit zou gaan gebeuren. Voor die categorie gaat het nog iets erger mis: de doelbinding tussen de oorspronkelijke verzameldoeleinden (de lidmaatschapsovereenkomst) en het nieuwe doel (de handel) ontbreekt volledig. En dan mag je simpelweg de gegevens niet inzetten voor het nieuwe doel, ook niet als je daar een mooie grondslag-redenering voor weet te verzinnen. En nee, dat krijg je ook niet recht door je privacystatement aan te passen, want de gegevens hád je dan al. Je moet het dus echt opnieuw vragen, maar in die situatie is het onvermijdelijk dat je toestemming gaat vragen.

En ja, ik vind dit controversiële standpunten, ik zou zelfs zeggen gedurfd. Het betekent natuurlijk de doodsteek voor datahandel, dus daarom volgt hoe dan ook bezwaar en daarna beroep bij de rechtbank. Maar het boetebesluit legt de pijn bloot van hoe datahandel werkt en hoe hard het eigenlijk niet klopt. Dus ik ben benieuwd.

Arnoud

Hoe moet je omgaan met bronvermeldingen versus de AVG?

| AE 11770 | Ondernemingsvrijheid, Privacy | 8 reacties

Interessante discussie via Twitter: wanneer moet of mag je nu bronvermeldingen geven met persoonsgegevens daarin, en hoe moet je omgaan met verwijderverzoeken van mensen die zich in de bron herkennen? Dit speelt vaak bij publicaties van genealogische gegevens zoals stambomen. Men wil graag de juiste bron noemen, ook voor andere onderzoekers, maar die bron kan best een persoon zijn of verwijzen naar een persoon. En dan loop je tegen de AVG aan. Wat dan?

Genealogie is een discipline van de geschiedkunde die zich bezighoudt met voorouderonderzoek dan wel de afstamming van de familienaam. Dat betekent vaak spitten in bronnen, en die wil je dan ook graag noemen bij je publicatie van de resultaten. Dat is wetenschappelijk gezien netjes, en het helpt andere onderzoekers om weer verder te komen met hun onderzoek. Maar zoals gezegd kan zo’n bron een persoon zijn: de naam van de persoon die de brondocumenten aanbood bijvoorbeeld, of de auteur van een boek waar je de gegevens in aantrof.

Wie iets overtypt uit een boek (of andere publicatie) zal gelijk denken, daar heb ik vast het citaatrecht voor nodig. En dat eist inderdaad dat je de bron, waaronder de naam van de maker noemt. Echter, dat geldt alleen als je iets overneemt dat anders het auteursrecht zou schenden. Typ je enkel feiten over (zoals een naam en geboortedatum) dan heb je niets met auteursrechten te maken en hoef je dus ook geen bron of maker/auteur te noemen.

Het mág natuurlijk wel, want ik snap goed dat het netjes voelt om een bron te noemen waar je je op baseert. Al is het maar dankbaarheid of een wetenschappelijke ethos. Maar dan kom je weer bij een andere wet terecht, namelijk die vermaledijde AVG die dat dan een verwerking van persoonsgegevens noemt en dan héél streng schijnt te doen over toestemming en recht te worden vergeten. Zit je dan met je ethos.

Gelukkig denk ik dat het specifiek hier wel meevalt. Het noemen van de naam van een bron zie ik als journalistieke verwerking onder de AVG, het is een vorm van feiten en informatie delen met het publiek immers. Daarmee zit je op het eigen belang (artikel 6 lid 1 sub f AVG) waardoor toestemming niet meer aan de orde is.

Natuurlijk moet je dan wel een privacy-afweging maken, maar als het gaat om een naam die de persoon zelf ook al publiek maakte bij een gelijksoortige publicatie dan heb ik héle grote moeite een te respecteren privacybelang te bedenken. Als er bijzondere redenen zijn, dan is dat wel iets om rekening mee te houden (artikel 21 AVG) maar dat is meer dan “ik vind het niet prettig”. En de persoon in kwestie moet zich dan eerst melden met die onderbouwde persoonlijke redenen.

Het verwijderrrecht geldt niet bij journalistieke verwerkingen (artikel 17 lid 3 AVG) en meer algemeen niet als jij gewoon een belang hebt bij publicatie. Wissen van gegevens moet pas als je ze eigenlijk toch al weg had moeten gooien.

Arnoud

Natuurlijk mag je niet om extra legitimatie vragen bij een online account

| AE 11697 | Privacy | 21 reacties

Wanneer iemand zijn online pseudonieme account wil laten verwijderen, mag de beheerder van die site geen aanvullende informatie eisen bovenop het kunnen inloggen op dat account. Dat bepaalde (pdf) de Oostenrijkse privacytoezichthouder onlangs. Bij registratie op een advertentiesite hoefde je niet meer te doen dan een nepnaam en een mailadres op te geven, maar als… Lees verder

Moet je als hostingbedrijf AVG-verzoeken voor klanten honoreren?

| AE 11648 | Ondernemingsvrijheid, Privacy | 25 reacties

Een lezer vroeg me: Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen? Sinds de AVG zijn… Lees verder

Doe mij eens wat meer van die boetes van 5000 euro

| AE 11637 | Ondernemingsvrijheid | 5 reacties

De Belgische privacywaakhond heeft twee boetes van 5000 euro opgelegd aan lokale politici, las ik bij Tweakers. De politici gebruikten gegevens die ze in hun ambt hadden verkregen (“burgers die een beroep op hen als burgemeester/schepen deden”) om ze politieke reclame te sturen. Dat is in strijd met het beginsel van doelbinding aldus de Gegevensbeschermingsautoriteit,… Lees verder

Mogen wij een AI onze sollicitanten laten prescreenen?

| AE 11612 | Ondernemingsvrijheid, Privacy | 17 reacties

Een lezer vroeg me: Ik werk op de HR afdeling van de Nederlandse vestiging van een Amerikaans concern. Vanuit ‘Houston’ is ons nu opgedragen alle sollicitaties eerst door een AI-driven screening te halen. Alleen mensen die door het algoritme worden geselecteerd, mogen op gesprek komen. Mag dat wel van de GDPR? De inzet van AI,… Lees verder

“Het probleem is niet databescherming, maar dataverzameling.”

| AE 11585 | Ondernemingsvrijheid, Privacy | 6 reacties

Edward Snowden denkt dat de AVG tot nu toe nog weinig effect heeft gehad in Europa. Dat las ik bij Tweakers tijdens mijn kraamperiode (dank iedereen voor de felicitaties). De NSA-klokkenluider zei op een conferentie dat de Europese privacyverordening vooral ‘een papieren tijger’ is zolang internetbedrijven geen grote boetes krijgen opgelegd. De kern van het… Lees verder

Hoe navigeer je tussen werkbare procedures en de omstandigheden van het geval?

| AE 11547 | Informatiemaatschappij | 3 reacties

Mijn oog viel op deze tweet van de Engelse toezichthouder, waar ik een tikje van opkeek: Hi, orgs should not look to adopt a blanket approach in asking for ID when responding to a SAR [inzageverzoek onder de AVG]. They should consider each request on a case by case basis and identify which form of… Lees verder

Eh, de fysieke inhoud van een gevonden portemonnee hoef je dus niet te vernietigen van de AVG

| AE 11544 | Privacy | 25 reacties

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij… Lees verder