Tag: avg

About avg

Subscribe Feeds

Mag mijn private leasebedrijf bijhouden waar mijn auto is?

Geplaatst op in Ondernemingsvrijheid, Privacy, 28 reacties

Een lezer vroeg me:

Het (private) leasebedrijf waar ik mijn auto heb geleased registreert alle ritgegevens via de ingebouwde GPS. Dus starttijd en eindtijd, maar ook de bijbehorende locaties. Men bewaart dit (zo kan ik zien in het account) gedurende de hele looptijd van het contract. Mag dat wel van de AVG?
Het verzamelen en bewaren van zulke gegevens valt natuurlijk onder de AVG. Die stelt als belangrijke eis onder meer dat je aan dataminimalisatie moet doen: niet meer bewaren dan nodig voor het beoogde doel. Daarbij is ‘nodig’ echt een dringende noodzaak, geen “wellicht was dit handig” of “misschien komt het eens van pas”.

Het doel is volgens het leasebedrijf het verzorgen van facturatie en het kunnen opsporen van de auto bij bijvoorbeeld diefstal. Dat lijken me allebei op zich legitieme doelen. De vraag is dan dus: is het echt noodzakelijk dat je die gegevens bewaart voor deze doelen?

Ik kan me voorstellen dat je voor een factuur het gereden aantal kilometers nodig hebt van de afgelopen periode, en dat je bij een melding van diefstal wilt weten waar de auto het laatst zichtbaar was. Maar dan hoef je niet gedurende vele jaren al die gegevens te bewaren.

Ik zou zeggen dat je prima na elke rit datum, misschien tijdstip en aantal kilometers kunt registreren, of na elke dag het dan gereden totaal, zodat je aan het eind van de maand een gespecificeerde rekening kunt opstellen. En voor antidiefstal lijkt me de laatste locatie genoeg, dus oude locaties kunnen weg zodra er een nieuwe is geregistreerd.

Ik vermoed dat dit bedrijf zo werkt omdat ze begonnen zijn met zakelijke lease. Een werkgever heeft eerder belang bij weten van start- en eindlocatie per rit, en natuurlijk datum en tijd. Al is het maar om te bepalen of er wel zakelijk werd gereden. En vanwege fiscale regels is het voor zo’n werkgever wellicht eerder nodig om daar meerdere jaren terug te gaan met brongegevens.

Dus daar bouwt zo’n bedrijf dan een systeem voor, daarna besluit men naar private lease te gaan en krijgt de consumentklant hetzelfde systeem. Heel logisch, alleen mag dat dus niet zomaar van de AVG. Als je software voor een nieuwe doelgroep inzet, zul je opnieuw moeten ijken wat je dán nodig hebt.

Arnoud

Een vindikleuk is geen steunbetuiging naar Nederlands recht

Geplaatst op in Privacy, Regulering, 3 reacties

Pijnlijk: de massaclaim van The Privacy Collective tegen Oracle en Salesforce is gestrand op een procedurefout, las ik bij VPNgids. Deze werd augustus 2020 gestart als grote poging om de online advertentieveilingen, waarbij grootschalig in profieltoegang wordt gehandeld, aan te pakken door van vele kleintjes één grote claim te maken. Dat kan in Nederland, maar je moet daarbij kunnen aantonen voldoende representatief te zijn voor je achterban. TPC gebruikte daarvoor een simpel en transparant mechanisme, dat nu door de rechtbank wordt afgekeurd: de vindikleuk-knop. (Geen grappen over dat die knoppen zelf ook zouden tracken.)

In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent. Hoe meer informatie je dan kunt combineren, hoe beter je dat kunt. Vervolgens kun je een bod uitbrengen om een advertentie te mogen tonen, en het hoogste bod wint dan. Maar geen hond wordt daar duidelijk over geïnformeerd, dus de AVG-schending zie ik wel.

Het probleem is natuurlijk de schade: welk geldbedrag kun je zetten op het leed dat ik heb ondervonden door dit proces?Daar kom je niet uit. Vandaar:  claims bundelen om zo massa te creëren waardoor er genoeg geld binnenkomt. Daar hebben we een wettelijke basis voor, de Wet afhandeling massaschade in collectieve actie (Wamca). Maar om te voorkomen dat iedereen een stichting opricht en claimt namens heel Nederland, eist die wet dat je moet aantonen voldoende representatief te zijn.

TPC deed dat zo (afbeelding uit vonnis):

Inderdaad, één klik was genoeg. Weliswaar met serverside ontdubbelen op basis van IP-adres en een onafhankelijke audit, maar geen inschrijfformulier, betaling of andere techniek om officiële NAW gegevens van je achterban te verzamelen.

De rechtbank heeft daar moeite mee, om twee redenen:

  1. De tekst van de knop is te vaag: steunt men concreet de claimrechtszaak of enkel het abstracte idee van grote bedrijven aanpakken wegens inbreuk (“je stem laten horen”)? Die vond ik ook wat gezocht.
  2. De organisatie dient nauwkeurig te omschrijven voor welke groep personen zij opkomt. “Zij die ons liken” is niet nauwkeurig genoeg, bijvoorbeeld omdat we nu niet weten of deze personen in de relevante periode een cookie van Oracle en Salesforce op hun apparatuur hebben gehad.
Deze twee punten zijn fundamenteel en TPC mag terug naar huis om na te denken over een volgende zaak. Dit alsnog herstellen vindt de rechtbank niet de bedoeling. Je moet op dit punt je zaken in één keer op orde hebben.

Voor de volledigheid (en dat is opmerkelijk, want als de zaak afgeschoten is dan hou je normaal op met vonnissen) komt de rechtbank nog met een juridische spitsvondigheid: kún je wel namens een achterban een AVG-claim indienen als stichting? Of moet je per benadeelde een procesvolmacht hebben? Ik dacht nooit dat dat een discussie was: het hele punt van zo’n stichting is immers een collectieve claim te kunnen doen. Als je dan alsnog van iedereen apart een formulier moet hebben, dan schiet dat niet bepaald op. Maar goed, de rechtbank houdt het bij de signalering en trekt geen conclusie.

Arnoud

Hebben universiteiten nu een AVG-probleem met die Proctorio hack?

Geplaatst op in Privacy, 23 reacties

Vele tienduizenden Nederlandse studenten zijn maandenlang gemakkelijk te hacken geweest, omdat hun opleiding hen verplichtte onveilige antispieksoftware te installeren. Dat meldde RTL Nieuws onlangs. Criminelen kunnen de software van Proctorio misbruiken om mee te gluren met de webcam en opnames te maken, of om toegang te krijgen tot online accounts, zoals je e-mail, betaaldiensten of crypto (de zogeheten online wallet). Diverse studerende lezers vroegen me: heeft mijn universiteit of hogeschool nu een AVG probleem, en moeten ze nu stoppen met Proctorio?

We hebben het eerder gehad over proctoring-software, die sinds de coronacrisis breed ingezet werd. Het argument daarbij was klassiek het privacy argument: studenten moeten zichzelf digitaal blootgeven in hun huisomgeving om vermoedens van fraude uit te sluiten. De rechter is daarin niet meegegaan: fraude bij tentamens is ernstig, het gaat maar om enkele uren per tentamen dus hoe erg is dat nou helemaal. (Bovendien, hoe moet het dan bij tentamens van 300 man.)

De onderliggende aanname is dan – zoals wel vaker – dat de software an sich veilig is en doet wat ie belooft. IT’ers beginnen nu te lachen, en die snap ik ook want als er iets is dat we de afgelopen vijf jaar hebben geleerd dan is het wel dat alle software lek is, onbedoelde features heeft en als je niet uitkijkt wordt ingezet om persoonsgegevens te harvesten voor ontwikkeling van diverse AI’s.

Deze hack is in zoverre een AVG probleem dat de inzet van proctoring software onder de AVG gerechtvaardigd moet worden, en bekend onveilige software voldoet natuurlijk niet. Het Proctorio lek is ondertussen alweer gedicht zo lees ik, waardoor er dus eigenlijk geen AVG issue meer zou moeten zijn. Natuurlijk kunnen er meer lekken zijn (alle software is immers lek) maar zonder specifieke aanwijzingen denk ik niet dat je hier wat mee kunt.

Arnoud

IAB Europe heeft wellicht Europese privacywet geschonden met cookiepop-ups

Geplaatst op in Ondernemingsvrijheid, Privacy, 9 reacties

OpenClipart-Vectors / Pixabay

IAB’s raamwerk waarop de cookiepop-ups voor veel websites zijn gebaseerd, is wellicht in strijd met de Europese privacywetgeving.Dat meldde Tweakers onlangs. De Belgische Gegevensbeschermingsautoriteit heeft een concept-uitspraak (die dus het raamwerk in strijd met de AVG verklaart) afgerond en met de collega-toezichthouders gedeeld voor commentaar. Dit is verplicht vanwege het grensoverschrijdend karakter van de inbreuk. De kern is dat het systeem te onduidelijk voor gewone mensen is.

Na invoering van de AVG lanceerde de Interactive Advertising Board een handig framework waarmee adverteerders in heel Europa AVG-compliant marketingcookies zouden kunnen zetten. Met een standaard interface geef (of weiger) je toestemming, of beheer je je legitiem-belang wensen. Deze worden centraal beheerd in een consent string, waarmee adverteerders dus niet bij elke site opnieuw toestemming hoeven te vragen.

Een kernvereiste van de AVG is transparantie en duidelijkheid: wat gebeurt er precies, tot in detail en in gewonemensentaal. Dat gaat al snel mis bij iets complex als online adverteren, helemaal als we het begrip real-time bidding (RTB) erbij halen. De kern daarvan is dat als je een site bezoekt, er een paar honderd (of duizend) robots met elkaar gaan bieden op advertentieruimte gericht op jou, op basis van wat zij van je weten en hoe interessant jij op dat moment bent.

Dit uitleggen is een stuk moeilijker dan de IAB consent teksten doen voorkomen, en dat is dan gelijk het probleem: als je niet duidelijk en in eenvoudige taal uitlegt wat er speelt, dan ga je op dat moment al tegen de AVG in. We komen dan niet eens toe aan de vraag of er op eerlijke manier toestemming is gevraagd, of de legitiem belang afweging klopt of ga zo maar door. U bent af, delete al uw data en doe het niet meer. En dat zou een pijnlijke zijn.

Een bijkomend probleem is dat  hoewel het IAB framework expliciet niet bedoeld is om de zogeheten bijzondere persoonsgegevens te verwerken (zoals seksuele voorkeur of etnische afkomst), dit in de praktijk wel gebeurt. Zo bleek in 2019 mensen uit de LGBTQI+ community getarget te worden voor Poolse wetgevingslobby, en in Ierland 1300 mensen te zijn getarget in de categorieën “Brain Tumor,” “Incontinence” and “Depression”.

Formeel is het nog geen besluit, want in theorie kunnen de collega-toezichthouders de boel afkeuren of een geheel andere insteek presenteren. Maar het voorspelt weinig goeds.

Arnoud

Mag de vereniging van eigenaren stemmen over inzet van camera’s van bewoners?

Geplaatst op in Privacy, 25 reacties
StockSnap / Pixabay

Maandag op de Rijdende Rechter:

De familie Schreurs ontdekt vlak na hun verhuizing een lekkage in hun gang. Ze willen dat de VVE onderzoek laat doen naar de oorzaak. Maar meerdere onderzoeken en twee en een half jaar verder is de oplossing nog niet gevonden. Intussen loopt de spanning op. De familie Schreurs voelt zich niet gehoord door de VVE en de VVE vindt dat ze alles hebben gedaan wat ze konden. Ze staan hierin lijnrecht tegenover elkaar. De lekkage is niet het enige pijnpunt in het complex. De overburen van de familie Schreurs hebben diverse camera’s opgehangen en ze willen dat de VVE de buren houdt aan het opgelegde verbod.
Kort en goed: een bewoner had een deurbelcamera opgehangen die de hele hal op die verdieping filmde, en kon deze vanaf zijn vakantieadres uitkijken. Daarnaast hingen er maar liefst drie camera’s in de berging, met uitzicht op de parkeerplaats van de auto van die bewoner. Dit naar aanleiding van incidenten waarbij tegen de deur geschopt zou zijn en de auto bekrast. Een begrijpelijke reactie, maar andere bewoners zitten er natuurlijk niet op te wachten om steeds gefilmd te worden.

Nou is er al enige duidelijkheid over cameratoezicht door de VvE: dat mag, mits goed gemotiveerd, goed beveiligd en goed geïnformeerd naar de leden. Ook mag alleen de openbare ruimte in het pand (hal, liften, trappenhuis, parkeerplaatsen etc) gefilmd worden. Maar hoe het zit met bewoners die zélf cameratoezicht houden, dat is lastiger.

De hoofdregel is volgens mij gewoon dezelfde als die voor huisbewoners: je mag alleen je eigen grond of pand filmen. Is de openbare weg onvermijdelijk (je voordeur kijkt uit op de stoep, je oprit grenst opzij aan de weg) dan mag je dat filmen maar zo beperkt mogelijk, dus inclusief softwarematig afschermen van de openbare ruimte waar dat kan. In een appartementencomplex een deurbel met camera ophangen kan dus, als je wilt weten wie er voor de deur staat. Maar niet zodanig dat de hele hal continu bekeken kan worden, want dan film je meer dan je eigen bezoek. (Je kunt je afvragen of het überhaupt nodig is, want bezoek moet beneden bij de voordeur aanbellen zodat je weet wie er komt. Maar als er veel passanten in het complex zijn, wellicht wel.)

De uitspraak van Mr Reid bevatte een interessante overweging: het is “voorbehouden aan de ALV om te beslissen of een dergelijk vergaande inbreuk op de privacy is toegestaan”. Het bestuur werd dus aangeraden zo snel mogelijk een ALV te organiseren waarop het punt “mogen leden camera’s op de hal/parkeerplaats richten” aan de orde zou komen. Dit is een slimme oplossing om draagvlak te creëren: als de ALV zegt dat het niet mag, dan is daarna handhaving eenvoudig mogelijk. En wil de ALV het wel, wellicht binnen zekere grenzen, dan is er kennelijk consensus en zou het dus geen problemen meer moeten geven. En omdat het gaat om camera’s die de gemeenschappelijke ruimte filmen, is de VvE bevoegd er regels over te stellen.

Het wil echter niet zeggen dat wanneer de VvE zegt “het mag”, het dus automatisch ook mag. Je moet nog steeds een grondslag hebben, een eigen rechtvaardiging waarom. Enkel “ik wil mijn auto niet bekrast hebben en het huishoudelijk reglement zegt dat camera’s niet verboden zijn” is nogal mager. Dus ik hoop dat de VvE zo verstandig is om een paar “indien noodzakelijk” of “als er geen andere opties zijn” in hun cameraclausule op te nemen.

Arnoud

 

Wacht even, nu gaan privacytoezichthouders ook al notice/takedown verzoeken doen?

Geplaatst op in Privacy, Regulering, 15 reacties

De Ierse privacytoezichthouder DPC heeft noyb, de organisatie van privacyactivist Max Schrems, een take down request gestuurd waarin wordt verzocht een document te verwijderen. Dat meldde Security.nl vorige week. Het document is het conceptbesluit op noyb’s handhavingsverzoek tegen Facebook, waarin een opmerkelijke interpretatie van de AVG wordt geïntroduceerd die een joekel van een loophole oplevert. De DPC wil deze publicatie offline omdat ze interfereert met het overlegproces om het besluit te finaliseren.

Er is al jaren kritiek op de Ierse privacytoezichthouder omdat het niet zou optreden tegen techbedrijven, die vaak in Ierland hun Europees hoofdkantoor hebben. Iets wat de DPC ontkent. De nieuwe kritiek gaat over de opmerkelijke draai die Facebook op 25 mei 2018 maakte: vanaf toen hoefde niemand meer toestemming te geven onder de AVG voor wat Facebook deed, dat was sindsdien namelijk allemaal een noodzakelijk deel van de dienstverlening en voor verwerkingen die nodig voor een contractsuitvoering zijn, is geen toestemming nodig.

Ik ken werkelijk niemand behalve Facebook die met een serieus gezicht volhoudt dat “als wij in de voorwaarden zetten dat het nodig is, dan is het nodig” een valide interpretatie van de AVG is. Maar goed, nu dus de Ierse toezichthouder ook. Ik snap dus wel dat iemand als Schrems daar een publicatie over doet.

Dat valt juridisch een beetje slecht, want formeel is deze interpretatie van de DPC (disclaimer: er zijn geen aanwijzingen dat Facebook het conceptbesluit heeft voorgekookt of geschreven) slechts een concept, dat nu gedeeld wordt met belanghebbenden en andere toezichthouders, die dan commentaar mogen leveren, waarna er een definitief, openbaar besluit komt. Het is niet heel gebruikelijk dat conceptbesluiten in de pers komen, want er kunnen immers fouten in staan, slordigheden en ga zo maar door. Precies daarom wil je feedback verwerken voor je het besluit oplegt.

In veel procedures zijn dan ook expliciete geheimhoudingsregels opgenomen. De AVG kent die niet, en ook in de Ierse Uitvoeringswet AVG kan ik zoiets niet vinden. De DPC verwijst naar artikel 26 daarvan, maar zo te lezen gaat dat alleen over medewerkers van de DPC. Desondanks is de takedownbrief heel stellig: weg met die publicatie, en wel meteen. Maar wie als cynische jurist leest, komt tot de conclusie dat er veel bangmakerij staat maar géén “op grond van artikel 26 van de wet beveel ik u”. En reken maar dat een jurist die zin opneemt als hij daar aanleiding toe ziet, weinig dingen zo heerlijk als keihard in je recht te staan en met wapperende toga de wederpartij tot de orde te roepen.

De discussie wordt wat complex omdat noyb in de eerdere onderzoeksfase had toegezegd documenten vrijwillig geheim te houden om het onderzoek niet te schaden. De DPC citeert passages van noyb die zonder voorbehoud lijken te zeggen dat men die documenten gewoon, altijd geheim zal houden. noyb stelt daar tegenover dat de volledige toezeggingsmails duidelijk maken dat het alleen ging om de onderzoeksfase, die ondertussen allang is afgerond.

Ondertussen is het mij een raadsel wat de DPC dacht te bereiken nu hun conceptbesluit al wereldnieuws bleek te zijn geworden toen men de boze brief ging sturen.

Arnoud

Mijn zorgverlener heeft ons gesprek opgenomen zonder toestemming, mag dat?

Geplaatst op in Privacy, 30 reacties

Via Reddit:

Laatst heb ik een gesprek met een zorgverlener gehad en hierbij uitte ik dat ik teleurgesteld was in de manier van handelen tijdens het eerste gesprek tussen ons. De zorgverlener gaf toen aan dat zij het gesprek toen der tijd heeft opgenomen. Dit heeft zij gedaan zonder mijn toestemming. Ik vroeg of we het gesprek konden afluisteren. Zij gaf aan dat zij dit niet wilt doen en dat ze het pas wilt luisteren als het zo ver komt. Zij geeft aan dat de opname alleen voor haar is bedoeld.

Regelmatig blog ik hier dat het verstandig kan zijn je eigen gesprekken op te nemen met bijvoorbeeld zorg- of hulpverleners. Daarbij zeg ik altijd dat je geen toestemming hoeft te vragen. Dat hoeft namelijk niet van de wet. Of het ethisch is, is een tweeede, maar gezien de kwetsbare positie waar je als zorg- of hulpvrager in zit vind ik het antwoord een dikke vette ja.

Wanneer het omgekeerde gebeurt, gaan ook bij mij de wenkbrauwen omhoog. Een zorgverlener als professional bij een grote organisatie die zonder te vragen een gesprek opneemt, daar klopt iets niet. Natuurlijk, ook daar geldt de strafwetbepaling die bepaalt dat het mag tenzij je andermans gesprek opneemt. Maar hier speelt meer, ja precies roept u maar: de AVG.

Een organisatie die gesprekken opneemt, moet dat onder de AVG rechtvaardigen. Want een gespreksopname met een cliënt telt als persoonsgegeven (ongeacht of het een dossier in gaat, omdat het elektronisch is) en de AVG is dan gewoon van toepassing. Je zult dan als organisatie een grondslag moeten hebben. Toestemming, uitvoering overeenkomst of een eigen legitiem belang zijn dan de bekende riedel.

Ik heb grote twijfels of die grondslag er is, gezien het wat rommelige karakter van een en ander. Het voelt als een zorgverlener die op eigen houtje is gaan opnemen. Dat is problematisch voor de organisatie, want dat telt dan als AVG schending voor hen (fouten van werknemers komen immers voor rekening van de werkgever).

Er is één uitzondering, namelijk die voor het strikt persoonlijk gebruik van de persoon die de opname maakt. Mijn privé-contactenlijst hoef ik niet onder de AVG te behandelen, want die is van mij privé. (Ons zakelijk CRM systeem valt natuurlijk wel gewoon onder de AVG.) En dat kan in theorie ook zakelijk, je kunt als ondernemer of werknemer ook best voor je persoonlijk (werk)gebruik aantekeningen of lijstjes hebben. Deze zorgverlener zou zich dus daarop kunnen beroepen.

Ik zet daar wel gelijk grote vraagtekens bij, omdat ik me moeilijk kan voorstellen wat dan het zuiver persoonlijke gebruik is. Dat ik de geboortedatum van mijn secretaresse ergens noteer, zodat ik tijdig een cadeau kan kopen, dat is ergens nog wel zakelijk+persoonlijk te noemen. Daar heeft verder ook niemand last van.

Maar deze gespreksopnames strikt persoonlijk? Ik geloof het niet. Want wat gaat ze ermee doen dan? Het gesprek uittypen en daarna de opname vernietigen is zo ongeveer het enige dat ik kan bedenken. “Gebruiken voor aangifte als cliënt bedreigend wordt” of “bij onenigheid kunnen aantonen wat er is gezegd” zijn géén persoonlijke redenen maar zakelijke keuzes. Die prima zijn maar wel vanuit de organisatie gerechtvaardigd moeten worden. Onder de AVG dus.

Arnoud

Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR ‘ondermijnt’

Geplaatst op in Ondernemingsvrijheid, Privacy, 9 reacties

Het Oostenrijkse Hooggerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. Dat las ik bij Tweakers. De vraag draait om het verschil tussen toestemming en een contract als grondslag om persoonsgegevens te mogen verwerken. Sinds de AVG van kracht is, houdt Facebook namelijk vol dat mensen bij hen een dienst met gepersonaliseerde advertenties bestellen (als in: een daartoe strekkende overeenkomst sluiten) zodat je het niet over toestemming hoeft te hebben. Eh, wat.

De vragen van het Hof komen (hoe kan het ook anders) uit een rechtszaak die de privacyvoorvechters van None Of Your Business hebben aangespannen. NOYB verzet zich op alle mogelijke manieren tegen de Amerikaanse dataplundering van Facebook en consorten, en dan is dit een logische stap.

Facebook had in het verleden altijd gezegd dat het zich beriep op toestemming. Maar sinds de AVG is toestemming een heikele, zo niet onmogelijke grond om mee te werken: toestemming kan op ieder moment worden ingetrokken en dat mag geen vervelende consequenties hebben. Logisch dus dat de Facebook-juristen al snel bedachten dat je beter op uitvoering overeenkomst kon gaan zitten, want dat is niet zomaar intrekbaar. Besteld is besteld, zeg maar.

De vraag is alleen: wát is er dan besteld. Waren dat die advertenties (graag met een onsje extra personalisatie en hee wat leuk, de doorverkoop voor militaire gezichtsherkenning is afgeprijsd, doe maar) of was dat de communicatiedienst, het kunnen chatten en lezen wat mijn vrienden online doen? Mijn idee was altijd het laatste, maar omdat de Facebook-juristen zo nadrukkelijk hameren op het eerste, moeten we daar een juridische discussie over gaan voeren.

Het Oostenrijkse Hof citeert allereerst een berg literatuur die hier vrij negatief over is: Facebook is steeds het standaardvoorbeeld van een dienst met het niet-essentiële aspect van advertenties erbij. Dat helpt niet voor de beeldvorming, zullen we maar zeggen. En dan concludeert men:

The objective purpose of the contract is decisive for the definition of “necessary” in the sense of Art. 6(1)(b) of the GDPR. Artificially or unilaterally imposed services cannot be subsumed under this. The necessity of data processing for the performance of a contract depends on whether there is a direct factual connection between the intended data processing and the specific purpose of the legal obligation. … The fact that the purposes of the processing are covered by contractual clauses formulated by the provider does not automatically mean that the processing is necessary for the performance of the contract.
Dat laatste is denk ik de kern: dat een partij zegt dát het hoort bij de dienst, maakt het nog niet écht noodzakelijk voor de dienst. Daarvoor is een objectieve toets nodig. Alleen: hoe ziet die toets eruit, en hoe veel speelruimte mag je daar dienstverleners in gunnen? Is bijvoorbeeld bij WhatsApp het noodzakelijk dat iedereen mijn profielfoto ziet, of is enkel de door mij ingevulde naam noodzakelijk om te tonen aan contacten? Of ook dat niet?

Tijd dus om de hoogste Europese rechter hier een uitspraak over te laten doen. Helaas duurt dat altijd wel een dik jaar.

Arnoud

Wat moet je met privacygevoelige informatie bij een bedrijfsovername?

Geplaatst op in Ondernemingsvrijheid, 12 reacties

Een lezer vroeg me:

Als een bedrijf een afdeling/onderdeel verkoopt, hoe moet er dan worden omgegaan met privacygevoelige informatie? Ik denk dan aan niet alleen de personeelsadministratie maar ook bijvoorbeeld backups van oude klantgegevens.
De eerste vraag is altijd op wat voor manier zo’n verkoop juridisch vormgegeven wordt. Er zijn grofweg twee vormen: de betreffende organisatie krijgt een nieuwe eigenaar, of de “assets” oftewel bezittingen et cetera die horen bij de organisatie krijgen een nieuwe eigenaar.

In het eerste geval blijft de organisatie bestaan maar komen de aandelen in nieuwe handen. Dat is juridisch dan heel simpel: dat verandert helemaal niets. Het bedrijf is er nog steeds, heeft dezelfde rechtsvorm en rechten en plichten. Alles gaat dan gewoon door zoals het was.

In het tweede geval is het juridisch een stuk ingewikkelder, omdat je dan al snel in ongeregeld gebied terechtkomt. Zo is het bijvoorbeeld niet zo dat als  je een computer verkoopt, de ontvanger eigenaar (of verwerkingsverantwoordelijke) wordt van de persoonsgegevens die daar op staan. Softwarelicenties of databases overdragen zijn nog weer ingewikkelder, en of personeel meegaat is ook weer een vraag.

Daarnaast moet je ook inderdaad backups en andere ‘extra’ kopieën van persoonsgegevens goed in de gaten houden. Een extreem geval hiervan zagen we in mei: in een kelder in Schiedam bleken cd’s met de gevoelige dossiers van duizenden cliënten van ggz-instelling Riagg Rijnmond opgeslagen te zijn. De curator die het faillissement afhandelt ging ervan uit dat Parnassia ook de verantwoordelijkheid over de dossiers van Riagg Rijnmond kreeg. De cd’s zijn daarbij over het hoofd gezien.

En als laatste is bij zo’n verkoop natuurlijk de vraag of de AVG dit überhaupt toestaat. Met name curatoren hebben er nog wel eens een handje van om klantenlijsten te verkopen aan de hoogste bieder, dat is eenvoudigweg niet mogelijk onder de AVG. Als je de garantiecontracten overdraagt, dan moeten de klantgegevens natuurlijk mee, dat is dan wel legaal.

Helaas kan ik dus geen algemeen antwoord geven dat verder gaat dan “dat hangt er vanaf, maar let heel goed op”. Ik merk wel dat het vaak een ondergeschoven kindje is of dat mensen vergeten de backups te controleren.

Arnoud

Zijn hashes van vingerafdrukken anoniem of mogen ze toch niet van de AVG?

Geplaatst op in Privacy, Security, 27 reacties

Een lezer vroeg me:

Ik weet dat onder de AVG het gebruik van biometrie strikt beperkt is tot hele specifieke toepassingen. Ik wil als security officer biometrie inzetten en heb daarvoor een oplossing die met templates en hashes werkt, zodat er geen vingerafdrukken hoeven te worden opgeslagen. Een nieuw genomen vingerafdruk wordt tot een hash omgezet die wordt gematcht tegen een database. Dat lijkt mij veilig en bovendien buiten de AVG vallen. Onze FG zegt dat dit nog steeds biometrische gegevens zijn en dat het dus niet mag. Klopt dat?
Het klopt dat ook zo’n systeem met templates biometrische persoonsgegevens verwerkt, maar het klopt niet dat de AVG dan automatisch zegt dat het dus niet mag.

Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG, “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon” (artikel 4 lid 14). Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Je blijft die kenmerken van die vinger bewaren.

De meeste systemen die werken met vingerafdrukken of andere biometrie, verwijzen naar hashes en roepen dan dat het anoniem is. Dat is AVG-technisch niet waar. Een gegeven is pas anoniem als het niet meer tot een persoon te herleiden is, maar het is niet genoeg dat namen ontbreken of iets dergelijks. Een toegangscontrolesysteem dat vingerafdrukken opslaat met enkel daarbij “mag naar binnen ja/nee” zonder namen of rugnummers valt gewoon onder de AVG.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Die noodzaak is een hoge eis. Kort gezegd, je hebt eigenlijk geen andere reële optie – en je kunt onderbouwen dat andere opties niet goed genoeg werken. Vaak zie je dat men volstaat met “het is algemeen bekend dat biometrie heel veilig is” of “de kosten voor sleutels zijn hoog” maar dat is niet genoeg.

Voor mij zijn belangrijke factoren dat het echt nodig is dat je weet wélke personen naar binnen mogen (of toegang hebben), dat menselijk toezicht onhaalbaar is (bijvoorbeeld omdat men maar zelden naar binnen gaat) en dat alternatieven (zoals pasjes) geprobeerd zijn en vanwege een concreet probleem niet werken. Dus niet “we denken dat vingerafdrukken het beste zijn” maar “de rest werkt niet, zie hieronder waarom”.

Arnoud