Wanneer moet je nou met iemand een verwerkersovereenkomst sluiten?

| AE 10538 | Privacy | 9 reacties

Het begint dagelijkse kost te worden voor veel organisaties: of je even een verwerkersovereenkomst wilt tekenen, want de AVG komt eraan en die eist grote zorgvuldigheid en compliance et cetera. Wat me daarbij opvalt, is dat die overeenkomsten opgedrongen worden aan allerlei partijen die überhaupt geen verwerkers zijn. Dat geeft hoogst merkwaardige spraakverwarring. Maar het iemand laten tekenen van een verwerkersovereenkomst is iets dat je kunt doen om AVG compliance aan te tonen, dus zullen er verwerkersovereenkomsten worden getekend. Tegen beter weten in dan ook vandaag, wanneer is iemand nou een verwerker?

De positie van een verwerker onder de AVG is in theorie heel simpel. Dat is een partij die door de verantwoordelijke is ingeschakeld om bepaalde dingen te doen met persoonsgegevens. De verantwoordelijk bepaalt daarbij wat er uiteindelijk moet gebeuren en hoe (“doel en middelen”, in de AVG terminologie), zij het dat de verwerker wel enige ruimte heeft om dit praktisch in te vullen.

Een simpel voorbeeld van een verwerker is een clouddienstverlener die jouw klantgegevens online opslaat. Jij kiest voor die clouddienst en welke gegevens je daar opslaat, de praktische invulling daarvan laat je aan de dienstverlener. Die is dus een verwerker. Géén verwerker is een clouddienst zoals Facebook, omdat die zelf bepaalt welke gegevens ze willen hebben en wat ze daarmee doen.

Natuurlijk zit je vaak met grijze gevallen. Zo’n clouddienst kan die klantgegevens gebruiken voor eigen “kwaliteitsdoeleinden”, of zelfs reclameprofielen opbouwen van die klanten en daar gerichte reclame aan tonen. Dan verschuift die dienstverlener van een zuivere verwerker toch meer richting een eigen verantwoordelijkheid. Er zijn helaas niet echt harde regels om hier een algemene scheidslijn in te trekken.

Ik heb een tijdje terug een advieswizard gemaakt die probeert met een aantal vragen een inschatting te maken. Dat werkt beter dan vage passages zoals in de Handleiding AVG van de Rijksoverheid, met daarin

Wanneer de verwerking van persoonsgegevens niet uw primaire opdracht is, maar het een uitvloeisel is van een andere vorm van dienstverlening, dan bent u als dienstverlener zélf de verwerkingsverantwoordelijke voor deze verwerking.

Hierdoor gaan mensen dus denken dat een clouddienstverlener of IT-supportbedrijf geen verwerker is omdat het gebruik van persoonsgegevens een “uitvloeisel” is van de echte opdracht. Er is niet één vuistregel, één formule om dit te bepalen. Je moet kijken naar alle factoren bij elkaar, en zo inschatten hoe veel eigen ruimte de dienstverlener heeft om te bepalen wat hij doet.

In ieder geval sluit je géén verwerkersovereenkomst met

  1. Je personeel. Die zijn immers gewoon deel van je eigen organisatie.
  2. Je vrijwilligers en ingehuurde krachten. Die vallen onder het kopje “personen onder gezag” van jouw organisatie en zijn dus geen verwerkers.
  3. De personen wiens persoonsgegevens je verwerkt. Ja, dit wordt geëist.
  4. Bedrijven die contactgegevens van jouw personeel in hun CRM systeem stoppen. Dat doen ze immers voor hun eigen bedrijfsvoering.

Overigens zou de verwerkersovereenkomst eigenlijk afgeschaft moeten worden, maar dat een andere keer.

Arnoud

Hoe kan Facebook legaal gezichten gaan scannen onder de AVG?

| AE 10513 | Privacy | 10 reacties

Als voorbereiding op de AVG gaat Facebook gezichtsherkenning aanzetten voor Europese gebruikers die dat willen, las ik bij de socialenetwerksite. Dat is verrassend, omdat ze het in 2011 uitgezet hadden na klachten dat de (Duitse) Wbp werd overtreden met deze feature. Doel van de nieuwe feature is te zorgen dat mensen in kunnen grijpen als hun gezicht ergens op Facebook opduikt, waarvoor gezichtsherkenning best wel nodig is.

De status van portretfoto’s onder de privacywet is lange tijd nogal punt van discussie geweest. Wanneer iemand herkenbaar in beeld is, dan is die foto een persoonsgegeven, daar is iedereen het wel over eens. Maar aan een foto kun je vaak ook dingen zien die als bijzonder persoonsgegeven aan te merken zijn, zoals iemands etnische afkomst of medische aandoeningen. Daarmee zouden portretten onder de strengste regels van de privacywet vallen, en dan gaan allerlei dingen mis.

De AVG kiest een compromis. Een foto van een mens is een persoonsgegeven, maar wordt pas een bijzonder persoonsgegeven als de foto wordt gemaakt of gebruikt met het oog op identificatie. De pasfoto op een toegangspas is dus een bijzonder persoonsgegeven, een sfeerfoto van een receptie is dat niet. (Het portret van het bruidspaar op de receptie denk ik dan weer wel, we willen immers weten wie er 50 jaar getrouwd waren. Maar die foto valt dan weer onder de uitingsvrijheid en daarmee buiten de AVG.)

Gaat zo’n sfeerfoto op Facebook, dan is dus een gewone verwerking. Je kunt je afvragen of dat dan valt onder het eigen gerechtvaardigd belang van de uploader, namelijk zijn uitingsvrijheid, of dat er toestemming nodig is van de geportretteerde. Maar wat Facebook vervolgens doet is problematisch: gezichtsherkenning om de personen op de foto te melden dat die foto geupload is, zodat ze daar bezwaar tegen kunnen maken.

Nu zegt Facebook dat ze dit alleen doen als je daarmee instemt:

If you choose to opt in then you will have access to the following features:
– We’ll let you know when someone else uploads a photo of you as their profile picture. We’re doing this to prevent people from impersonating others on Facebook.
– You’ll hear from us if you’re in a photo and are part of the audience, even if you haven’t been tagged. You can choose whether to tag yourself, leave yourself untagged, or reach out to the person who posted the photo if you have concerns about it.

En ik geloof onmiddellijk dat ik geen berichten ga krijgen hierover tenzij ik de feature aanzet. Maar in de praktijk betekent dit volgens mij dat ieder gezicht op iedere foto gescand en herkend wordt, inclusief dus personen die daar nog geen toestemming voor hebben gegeven. En dat zou een probleem zijn, want in die situatie werkt Facebook dus met bijzondere persoonsgegevens zonder uitdrukkelijke toestemming.

Misschien dat ze alleen screenen op features van gezichten van personen die die toestemming wel gaven. Dan worden andere personen dus niet herkend, en dan is het denk ik wel legaal. Dit voelt alleen erg inefficiënt, en bovendien kun je dan oude foto’s van mensen die later toestemming geven niet verwerken. Dus ik denk niet dat dit het gaat zijn.

(En terzijde: het portretrecht komt dus te vervallen vanaf 25 mei, afgezien van het verzilverbaar portretrecht voor bekende personen.)

Arnoud

Geldt het vergeetrecht onder de AVG ook bij forumdiscussies?

| AE 10495 | Meningsuiting | 23 reacties

Een lezer vroeg me:

Ik beheer een relatief groot discussieforum. Moet ik straks onder de AVG van iedereen die dat vraagt zijn berichten weghalen onder het vergeetrecht? Dan houd ik straks geen historie meer over!

Het klopt dat je als aanbieder van internetdiensten al snel te maken krijgt met de AVG. Heel vaak werk je immers met persoonsgegevens, informatie die tot personen te herleiden is. Namen of e-mailadressen, maar ook IP-adressen en cookies met unieke nummers zijn persoonsgegevens. Als die informatie achterhaald of irrelevant is, dan moet deze op verzoek weg.

Dit geldt dan net zo goed voor online forums. Punt is wel dat een bericht dat mensen posten (net als een reactie op deze blog) an sich óók persoonsgegevens zijn, omdat de berichten van iemand zijn en daarmee over die iemand gaan. Dan zou die iemand dus ook bij een inmiddels compleet dode discussie of stokoud bericht kunnen eisen dat het wordt weggehaald.

Echter, specifiek bij forums loop je dan tegen een probleem aan dat daarmee de discussie toch een stuk verstoord wordt, of het archief niet meer volledig. Dat is een probleem, want bij zulke situaties komt dan de vrijheid van meningsuiting in het gedrang. Mensen moeten kunnen lezen wat in het verleden is gezegd, en de privacy mag daar niet als een 1984-bulldozer doorheen rauzen.

Dit probleem werd bij invoering van de AVG al onderkend, en er staat dan ook bij het vergeetrecht dat het niet van toepassing is wanneer de verwerking (de publicatie dus) noodzakelijk is voor de uitoefening van het grondrecht van de uitingsvrijheid (artikel 17 lid 3 AVG). Daarmee kan een forumbeheerder dus in principe het weghalen van berichten voorkomen. Een profiel of registratie van een gebruiker valt buiten dat grondrecht en moet dus wél worden weggehaald op verzoek.

In Nederland komt er naast de AVG de zogeheten Uitvoeringswet AVG, met daarin een aantal belangwekkende uitzonderingen bij “journalistieke doeleinden of academische, artistieke of literaire uitdrukkingsvormen”. Alle rechten die je normaal hebt, zoals inzage, correctie en verwijdering, gelden bij deze uitingsvormen niet. Daarmee kun je als forum dus ook andere verzoeken pareren, althans voor zover het gaat om persoonsgegevens die als journalistiek of literair te duiden zijn. Dat is wat mij betreft beperkt tot de postings of reacties zelf. Zaken als iemands profiel of interesses vallen daar buiten.

Arnoud

‘Amerikaanse politie ontgrendelt iPhones met vingers overledenen’

| AE 10476 | Strafrecht | 13 reacties

Politiediensten in de VS zouden regelmatig iPhones met de Touch ID-beveiliging ontgrendelen, door de vinger van overledenen op de vingerafdrukscanner te houden. Dat meldde Tweakers vorige week. De reden erachter zou zijn dat men zo een stuk goedkoper die telefoon kan ontgrendelen, een forensisch specialist is duur en Apple werkt zelf niet mee zonder gerechtelijk… Lees verder

Mag Slack een werkgever toegang geven tot chats van personeel?

| AE 10473 | Privacy | 9 reacties

De zakelijke chatdienst Slack laat werkgevers voortaan de privégesprekken van personeel inzien, las ik bij Nu.nl. De chatdienst, die populair is bij veel IT-werknemers en programmeurs, heeft haar exportfunctie voor chatberichten herzien. Het is nu makkelijker om je eigen chats te downloaden (dat moet immers van de AVG), maar wie een Plus- of Enterprise Grid-abonnement… Lees verder

Je hebt nog 64 dagen om de AVG te implementeren #64totavg

| AE 10253 | Privacy | 8 reacties

Vandaag zijn er nog precies 64 dagen te gaan tot 25 mei 2018, de datum waarop de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht wordt. Deze nieuwe Europese privacywet is de opvolger van een Europese richtlijn uit 1995, die in Nederland omgezet werd in de Wet bescherming persoonsgegevens…. Lees verder

Mogen loonstroken onder de AVG nog gewoon per e-mail als pdf?

| AE 10454 | E-mail | 40 reacties

Een lezer vroeg me: Als administratiekantoor verzorgen wij onder meer salarisadministratie voor medewerkers. De loonstroken sturen wij dan per mail met in de bijlage de pdf met de informatie. Mogen we dit onder de AVG blijven doen, of moeten we het versleutelen of op een portaal aanbieden? Onder de AVG gaat er veel veranderen, maar… Lees verder

Moet ik voor de AVG al mijn opt-ins opnieuw om toestemming vragen voor de nieuwsbrief?

| AE 10433 | E-mail | 24 reacties

Een lezer vroeg me: Ik heb al jaren goedlopende nieuwsbrieven, waar ik aan verdien met affiliatelinks. Ik heb altijd netjes confirmed opt-in gehanteerd, maar ik lees nu overal dat toestemming on der de AVG veel strenger wordt. Ook zou er geen coulanceregeling zijn voor bestaande opt-ins. Klopt dat? Moet ik echt al mijn opt-ins opnieuw… Lees verder

Mag een trol eisen dat hij wordt vergeten op een forum?

| AE 10377 | Meningsuiting, Privacy | 30 reacties

Naar aanleiding van mijn blog van vorige week over accounts versus bewaarplicht kreeg ik via Twitter de reactie: Leerzaam! En in de comments ook: recht van betrokkene geldt ook voor een troll. Gegevens laten verwijderen na block, herinschrijven en overnieuw beginnen…. Nooit aan gedacht. Natuurlijk zullen er na 25 mei de nodige trollen zijn die… Lees verder

Je hebt nog 128 dagen om de AVG te implementeren #128totavg

| AE 10247 | Privacy | 36 reacties

Vandaag zijn er nog precies 128 dagen te gaan tot 25 mei 2018, de datum waarop de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht wordt. Deze nieuwe Europese privacywet gaat een hoop veranderen, en juristen en consultants draaien massaal overuren om hun klanten compliant te krijgen. Maar steeds… Lees verder