Hoe navigeer je tussen werkbare procedures en de omstandigheden van het geval?

| AE 11547 | Internetrecht | 3 reacties

Mijn oog viel op deze tweet van de Engelse toezichthouder, waar ik een tikje van opkeek:

Hi, orgs should not look to adopt a blanket approach in asking for ID when responding to a SAR [inzageverzoek onder de AVG]. They should consider each request on a case by case basis and identify which form of ID is most proportionate if required.

De tweet was een reactie op een vraag van de onvolprezen privacyvoorvechter Pat Walshe, die constateerde dat je bij het vragen van een kopie van je persoonsgegevens bij Engelse politieke partijen altijd een kopie ID moet meesturen. Uit de reactie valt op te maken dat dat niet mag, en dat een organisatie dus per verzoek moet kijken of de persoon duidelijk geïdentificeerd is als de betrokkene en zo nee wat in dat geval het handigste is.

Mijn wenkbrauwen fronsen bij zo’n benadering, omdat ik net daarvoor dit onderzoek las over waarom organisaties regels schenden. Iets dat voor juristen vaak moeilijk te vatten is. Het staat toch in de wet dat dat niet mag, opgelost slotje. Maar voor organisaties werkt dat niet zo:

Because organizations rely on routines for following rules, complex rules would require complex routines, which would be harder to execute reliably. As expected, both types of rule complexity increased noncompliance. The two also reinforced one another such that having many components and connections made it far more likely that the rule would be broken.

Met name die eerste zin springt in het oog natuurlijk: organisaties werken altijd met routines, met procedures. Dat is de enige manier om het werkbaar te houden voor de mensen die het moeten doen. Elk geval toetsen op de individuele merites is ongelofelijk kostbaar en geeft veel ruimte voor onduidelijkheid. Het voelt dan ook wat onwerkbaar wat de ICO hier zegt.

Natuurlijk is het niet perse zo dat je altijd een kopie ID kunt vragen en anders stomeenvoudig zeggen, uw verzoek wordt afgewezen. Je moet een controle hebben die past bij de situatie. Als mensen bijvoorbeeld zich online aanmelden voor je dienst (zoals bij de bekende “Mijn Dinges” portalen) dan is een aanvullende identificatie niet nodig. En staan ze aan de balie, dan kun je gewoon hun ID bekijken zonder dat een kopie nodig is. Dat zijn prima procedures.

Maar écht maatwerk, dat zou de uitzondering moeten zijn. Ik vrees dat het juist eerder misgaat als ieder geval als maatwerk wordt behandeld. Dat duurt langer, leidt tot willekeur en fouten.

Arnoud

Eh, de fysieke inhoud van een gevonden portemonnee hoef je dus niet te vernietigen van de AVG

| AE 11544 | Privacy | 22 reacties

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij ons gaat rondzingen als we niet uitkijken. Immers, als je ongevraagd toegezonden persoonsgegevens, moet vernietigen, dan toch zeker ook met ongewenst aangetroffen fysieke dragers met die gegevens?

Een vuistregel bij juridische uitkomsten is, als de uitkomst absurd is dan is je redenering fout. De winkelketen (het Engelse Co-op) maakt dus een fout, maar waar gaat het mis? Je kunt het op twee manieren bekijken.

Allereerst puur de AVG: het in bezit nemen van een gevonden portemonnee met pasjes is nog geen verwerking van persoonsgegevens die onder de AVG valt. Het betreft hier immers geen elektronische verwerking, dus geldt de AVG alleen wanneer de gegevens bestemd zijn om (bij jou) in een bestand opgenomen te worden. En daar is geen sprake van, de kluis van de manager is geen bestand. De AVG stelt dus überhaupt geen eisen aan deze verwerking, laat staan de eis tot vernietiging.

Ook kun je zeggen dat dit gewoon mag van de AVG, want dit is in het belang van de eigenaar (artikel 6 lid 1 sub f AVG) en als je het ding gewoon in de kluis laat liggen dan zijn de risico’s voor de eigenaar minimaal, mag ik aannemen. Het ligt in de kluis. Natuurlijk, als je portemonnees bewaart op een plankje achter de kassa dan wordt dat anders maar dat is gewoon dom en moet je dus niet doen. (Soms is juristerij makkelijk.) Er is dus niet a priori een eis dat die pasjes meteen vernietigd moeten worden.

Ten tweede speelt er naast de AVG – als die dus al geldt – ook nog gewoon andere wetgeving, zoals dat het strafbaar is om andermans eigendom te vernietigen. Nu is er in het recht de regel dat jonger recht (zoals de AVG) wint van ouder recht (zoals het wetboek van strafrecht), en ook de regel dat hoger recht (Europees) boven lager recht (Nederlands) gaat. Maar die regels spelen pas bij een conflict, en dat conflict is er pas als de AVG ondubbelzinnig zou zeggen dat die pasjes vernietigd moeten worden. En dat doet de AVG dus niet.

Arnoud

Toestemming vragen voor inzage in je studieschuld is waarom toestemming niet werkt

| AE 11517 | Privacy | 21 reacties

“Hypotheekverstrekkers gaan toestemming voor toegang tot studieschuld bij DUO opvragen”, las ik in het AD vorige week. Momenteel hebben hypotheekverstrekkers hier standaard geen informatie over, zodat het kan gebeuren dat mensen een hogere hypotheek krijgen dan verstandig zou zijn als wél rekening zou zijn gehouden met de DUO schuldpositie. Maar softwarebedrijf Ockto gaat komende maand de Dienst Uitvoering Onderwijs (DUO) toevoegen als databron voor hypotheekverstrekkers. Wel alleen toegankelijk na toestemming van de lener. En dat is wat mij betreft weer een mooi voorbeeld van waarom toestemming vragen onder de AVG niet werkt.

Natuurlijk, ik weet dat onder de AVG toestemming vrijelijk gegeven moet worden en deze toestemming afgedwongen is en dus niet rechtsgeldig, dus geen probleem. Welles. Want reken maar dat er een verhaal is waarom dit niet ‘echt’ dwang is, zoals dat altijd gaat wanneer je gaten in een wet laat die probeert mensenrechten te borgen. Kijk maar, daar gaan we:

Ook is het mogelijk dat de hypotheekverstrekkers het voor hun klanten gaan verplichten om toegang te verschaffen tot hun DUO-gegevens. Als je dat als klant niet wil, zul je naar een bank moeten gaan die dat niet verplicht stelt. Maar als ze het allemaal eisen, ontkom je er niet aan.

Aldus de ICT-leverancier die het toestemmingsknopje gaat bouwen. Want iedereen heeft standaard tientallen aantrekkelijke offertes voor hypotheek, en de vrije markt biedt vast ruimte voor verstrekkers die privacyvriendelijke hypotheken bieden waarbij de klant te veel leent. Nee precies.

Bijgevolg wordt er gewoon een toestemmingsvraag gesteld die ‘vrij’ geweigerd mag worden, maar ja hypotheken weigeren mag ook en je kunt tenslotte ook huren. Dus dat duurt wel een paar jaar tot het Europees Hof van Justitie zegt dat dit niet vrijwillig was. En zo gaat het dan elke keer met afgedwongen toestemming. We ‘vragen’ het gewoon, weigeren heeft gevolgen maar het lijkt net vrijwillig genoeg dat handhaven niet triviaal is. En het lijkt een redelijke vraag want schulden meld je toch gewoon? Dat is in je eigen belang toch?

Nope. Mensen willen graag een huis kopen, en rationeel is het op korte termijn beter een schuld te verzwijgen. Dan krijg je betere hypotheek. De schuldenlast zien we daarna wel, en in de toekomst verdien je meer dus het lost zich op, toch? Maar vooral: als je mensen de optie van toestemming geeft, dan zeg je: jij mag kiezen, het maakt niet uit of je A of B doet. En dat is oneerlijk als je vervolgens ze wél consequenties geeft als ze B (verzwijgen) kiezen. Als je niet wil dat mensen kiezen, moet je ze geen keuze geven.

(En ja, ik weet dat de AVG ook zegt dat met consequenties “ten sterkste rekening gehouden” wordt bij de vraag of toestemming vrij is. Maar dat is slappehapcompromis van EU wetgever. Kun je niets mee en gebeurt ook niets mee. )

Natuurlijk is het zorgelijk dat een hypotheeknemer een grote schuld kan verzwijgen. Maar volgens mij moet dat dan wettelijk geregeld, zodat er over nagedacht is of en wanneer deze schuld bekend moet En er waarborgen in de wet zijn wie er bij mag en wanneer. Bijvoorbeeld als het maandbedrag 1/4e van je inkomen is, want als daar dan ook nog een DUO schuld bovenop zit dan wordt het te veel. Of wanneer het totaalbedrag meer dan 3 ton is, of zoiets.

Of je zegt, kennis van volledige schuldstatus is nodig om fatsoenlijk hypotheekaanbod te doen. Dan is het noodzaak overeenkomst en dan moeten mensen het geven.

“Overigens is de minister niet de enige die wil voorkomen dat oud-studenten hun studieschuld verzwijgen.” Prima dus, maak een wetsvoorstel dat banken hierbij moeten mogen. Maar ga niet doen of mensen dit vrijwillig willen geven.

Arnoud

Het is natuurlijk van de zotte dat we op internet handhaving volledig geprivatiseerd hebben

| AE 11509 | Informatiemaatschappij, Privacy | 4 reacties

Facebook heeft zijn eigen Supreme Court, las ik laatst. Dit interne orgaan heeft de hoogste macht om directiebeslissingen (met name die van Zuckerberg zelf) tegen te houden. Ik dacht eerst dat dit een hogerberoepsorgaan was voor bezwaren vanuit de gemeenschap; een van de grootste problemen met dit soort platforms is namelijk de onmogelijkheid om echt… Lees verder

Google hoeft recht op vergetelheid niet wereldwijd toe te passen van EU

| AE 11507 | Ondernemingsvrijheid, Privacy | 11 reacties

Google heeft een rechtszaak gewonnen tegen de Franse privacywaakhond CNIL die wilde dat de gegevens van een persoon wereldwijd uit de zoekresultaten van Google verwijderd werden. Dat meldde Nu.nl gisteren. Iets preciezer: het Hof van Justitie oordeelde dat het Europees privacyrecht niet eist dat mensen wereldwijd vergeten hoeven te kunnen worden. Dit naar aanleiding van… Lees verder

Mag PostNL het nummer van mijn identiteitsbewijs overnemen bij een afhaling?

| AE 11502 | Privacy | 16 reacties

Via Twitter: Als ik een pakketje ophaal, moet ik me legitimeren. Logisch. Maar waarom moet het @PostNL-punt mijn documentnummer dan intypen en opslaan? Dat is behoorlijk gevoelige informatie die ik helemaal niet af wil geven. Waarop PostNL reageert: “Dit doen we op verzoek van de afzender om bij claims en navragen te kunnen controleren aan… Lees verder

Wie toestemming onder de AVG vraagt, snapt de AVG niet (of heeft een nieuwsbrief)

| AE 11479 | Privacy | 33 reacties

Een lezer vroeg me: Van mijn garagebedrijf kreeg ik een toestemmingsformulier voor het verwerken van mijn gegevens: opname in klantenbestand, verstrekking van mijn persoonsgegevens aan derden in het kader van betalingen en verstrekking van mijn persoonsgegevens aan partners in het kader van een goede dienstverlening, zover dit nodig is. Waarom eist de AVG in hemelsnaam… Lees verder

Mijn werkgever wil me op social media neerzetten, moet ik daaraan meewerken?

| AE 11428 | Ondernemingsvrijheid, Privacy | 17 reacties

Een lezer vroeg me: Mijn werkgever (een mkb-bedrijf met 14 man) wil dat wij allemaal onszelf op internet zetten. Op de bedrijfswebsite “zodat de klant weet wie er langskomt” en ook op social media, om onszelf te promoten. We moeten zelfs meedoen aan discussies op Linkedin. Na wat geruzie heeft een collega voorgesteld dat we… Lees verder

De AVG verbiedt helemaal niet dat je fraudemeldingen verzamelt

| AE 11411 | Privacy | 4 reacties

De Fraudehelpdesk moet stoppen met het op grote schaal verzamelen van voorbeelden van phishing en andere vormen van fraude. Dat meldde de NOS onlangs. Elk doorgestuurd phishing-mailtje kan immers informatie over verdachten bevatten, en die mag je niet zomaar bij elkaar rapen, hoe nobel je doel daarbij ook is. Maar dat ze moeten stoppen, is… Lees verder

Is Office 365 nu echt een AVG probleem of alleen voor Hessense openbare scholen?

| AE 11405 | Ondernemingsvrijheid, Privacy | 14 reacties

De gegevensbeschermingsautoriteit van de Duitse deelstaat Hessen heeft het gebruik van Microsoft Office 365 door scholen verboden omdat dit in strijd met de AVG is. Dat meldde Security.nl op gezag van de toezichthouder zelf. De aanleiding is dat Microsoft eerder de speciale optie van een Duits datacenter voor scholendata had geschrapt, zodat de mogelijkheid ontstond… Lees verder