Kun je miljoenen eisen van de Staat voor GGD-datalekken?

| AE 13054 | Privacy | 19 reacties

stevepb / Pixabay

De miljoenen slachtoffers van het datalek bij de GGD moeten honderden euro’s schadevergoeding krijgen, zo eist de stichting ICAM die een collectieve rechtszaak tegen het ministerie van Volksgezondheid is gestart. Dat meldde Security.nl onlangs. Eerder dit jaar bleek dat callcentermedewerkers van de GGD privégegevens van ruim 6,5 miljoen Nederlanders te koop aanboden via berichtendienst Telegram. De claim komt neer op 500 euro per potentieel getroffen persoon en €1500 voor bewezen lekken. Kan dat zomaar?

Massaclaims wegens privacyschendingen zijn een relatief nieuw begrip. Sinds de AVG staat vast dat je je schade vergoed kunt krijgen als je persoonsgegevens worden misbruikt of gelekt, maar het grote probleem is nog steeds wat die schade dan moet zijn. Een tientje is een bedrag dat iedere rechter wel zou willen toekennen denk ik, maar daarvoor ga je niet naar de rechter. Vijfhonderd euro is een logischer bedrag, maar dan kijken rechtbanken skeptisch: kunt u dat onderbouwen, het liefst met bonnetjes?

Bonnetjes komen bij zaakschade (de deuk in de auto van de collega) wel aan de orde, maar bij immateriële schade zoals potentiële problemen bij datalekken is dat niet echt een optie. Je zou echt concreet facturen van vervangen pinpassen moeten aandragen, een credit monitoring dienst of noem eens een optie – en daar zit hem het probleem, want wat kún je als je data gelekt wordt? Helemaal niets, en meestal merk je er ook niet (direct) iets van. En heel cru gezegd dan heb je dus geen schade.

Nee, daar klopt iets niet. En dan is het wel logisch om bedrijven bij de les te houden door dit soort claims. Vele kleintjes maken een grote, en hopelijk worden bedrijven die data lekken daar wél bang van. Daarom zijn dit goede stappen.

Natuurlijk is het wat lastig dat het hier gaat om een overheidsinstantie, namelijk de GGD. Stel dat die moet betalen, dan zal dat uit overheidsmiddelen gebeuren. En dan is het logisch te denken dat we dat volgend jaar terugzien in de belastingaanslag. Dus het sentiment “duurbetaalde advocaten pakken 20% van geld dat wij opbrengen” snap ik wel.

Zo direct kun je het wat mij betreft niet stellen. Het is zeker niet zo dat als de GGD een miljoen moet betalen, zij fluitend de hand ophouden bij Financiën die dan de tweede schijf 0,0001% verhoogt om het goed te maken. Eerder gaat dit uit het budget voor volgend jaar, of uit de reserves die de GGD zou hebben. Dat doet ook pijn want dan functioneert de gezondheidsvoorziening nog slechter.

Aan de andere kant: hoe moet je dan wél een overheid bij de les houden als grote groepen mensen schade (kunnen) leiden door hun wan-ICT?

Arnoud

Kan Ancestry.com eigenaar worden van je DNA?

| AE 9451 | Informatiemaatschappij | 13 reacties

Pas op, las ik op vele plekken: de genealogiesite Ancestry.com claimt eigendom op je DNA. Ze hebben een dienst waarbij je DNA wordt getest om verwanten te vinden in hun database, maar de voorwaarden zeggen dat men jouw DNA eeuwig en gratis mag gebruiken ter identificatie van “you or a genetic relative.” Oftewel, die wordt hun eigendom en ze mogen er mee doen wat ze willen. Maar zoals eigenlijk altijd met berichten over dat diensten eigendom claimen op iets van hun gebruikers: nee, dit klopt niet.

De dienst AncestryDNA claimt de “World’s Largest Consumer DNA Database” met het DNA van meer dan 3 miljoen mensen, waarmee je “ethnic mix” kunt ontdekken, en “discover distant relatives, and find new details about your unique family history with a simple DNA test.” Allemaal leuk en aardig, maar uiteraard moest daar weer een jurist goed voor gaan zitten want stel er komen claims:

By submitting DNA to AncestryDNA, you grant AncestryDNA and the Ancestry Group Companies a royalty-free, worldwide, sublicensable, transferable license to host, transfer, process, analyze, distribute, and communicate your Genetic Information for the purposes of providing you products and services, conducting Ancestry’s research and product development, enhancing Ancestry’s user experience, and making and offering personalized products and services. In other words: we use your Genetic Information to provide products and services to you and improve our products and services for all our users. In addition, you understand that by providing any DNA to us, you acquire no rights in any research or commercial products that may be developed by AncestryDNA using your Genetic Information.

Mooi is dat. Dus ten eerste claimen zij het recht om alles te mogen doen met jouw DNA – niet alleen naar jou, maar naar al hun gebruikers. Oftewel dat gaat gewoon de database in. En ten tweede heb jij nergens recht op. Ja, je mag het rapport lezen maar daar houdt het wel mee op.

Maar is dat “claimt eigendom op je DNA”? Volstrekt niet. Allereerst niet omdat dat er niet staat. Sterker nog, het tegendeel staat een alinea hoger:

AncestryDNA does not claim any ownership rights in the DNA that is submitted for testing.

En ten tweede en belangrijker, omdat DNA niet iets is waar het concept eigendom überhaupt voor kan gelden. Ja, DNA bestaat wel (in tegenstelling tot data) maar wordt niet gezien als tastbaar fysiek object. Je hebt er dus geen eigendomsrechten op, en je kunt die dus ook niet overdragen. En zelfs als dat wel kon, dan ten derde zou zoiets een schriftelijke verklaring met handtekening vereisen.

(Je kunt natuurlijk zeggen dat dit spitsvondige juristerij is, want een eeuwigdurende onbeperkte licentie met sublicentierechten is effectief hetzelfde als de eigendom. Maar ik vind de fout net zo basaal als mensen die spreken van een BSN nummer of de programmeertaal HTML.)

In Europa is dit nog een best lastige dienst om goed op te zetten. Genetische informatie wordt onder de Privacyverordening gezien als een bijzonder persoonsgegeven (art. 9.1 AVG). Die mag dus niet worden verwerkt zonder een specifieke grond, en voor diensten als deze zie ik eigenlijk alleen de uitdrukkelijke toestemming (art. 9.2(a) AVG) als mogelijke grond.

Natuurlijk geef je toestemming voor verwerking van je DNA als je dat uploadt (pardon, instuurt) naar deze dienst. Maar dat DNA wordt vervolgens gematcht tegen hun hele database, waarna je kennelijk informatie over potentiële verwanten krijgt. En dát mag niet zomaar. De in de voorwaarden geëiste toestemming is daar te generiek voor – en bovendien mág dergelijke toestemming niet in voorwaarden opgeëist worden, dat moet apart.

Arnoud

Linkedin brak Nederlandse wet met personeelsadvertentie met vraag naar etnische afkomst

| AE 5639 | Ondernemingsvrijheid | 19 reacties

Juridische foutje-bedankt van de maand: bij een personeelsadvertentie van zakelijkesocialmediasite LinkedIn werd naar ras en etnische afkomst van de sollicitant gevraagd, onder verwijzing naar Amerikaanse positieve-discriminatiewetgeving. Dat ontdekte Bas van de Haterd eerder deze week. De fout werd per direct opgelost, want dat mag natuurlijk absoluut niet.

Wie zijn CV wilde insturen naar LinkedIn, kreeg als laatste set vragen deze (optionele) items te zien:

Schermafbeelding-2013-06-09-om-13.58.43-550x242

In de VS stimuleert men positieve discriminatie op ras en geslacht, om zo meer minderheden aan het werk te krijgen. Dit is met name bij leveranciers van de overheid van belang. Op zijn minst móet je ras en geslacht bijhouden voor statistische doeleinden.

In Nederland mag een werkgever eenvoudigweg niet vragen naar bijzondere persoonsgegevens, en ook niet naar zaken die tot directe of indirecte discriminatie kunnen leiden. Bijzondere persoonsgegevens gaann over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en (belangrijk bij het werk) het lidmaatschap van een vakvereniging.

Van discriminatie is sprake als er zonder objectieve grond een onderscheid wordt gemaakt. Een werkgever mag bv. vragen dat iemand goed Nederlands spreekt als dat voor de functie relevant is, maar niet automatisch Polen uitsluiten omdat hij denkt dat die geen goed Nederlands kunnen spreken.

Ras en achtergrond mag je eigenlijk nooit vragen, behalve in heel bijzondere gevallen wanneer dat echt objectief relevant is (een acteur die Sinterklaas moet spelen). Een bekend voorbeeld is aan een vrouw vragen of ze zwanger is/gaat worden, dat mag niet want kan indirect tot uitsluiting van die vrouw leiden wegens haar geslacht. Bij mannen zou je zoiets nooit vragen immers.

Je mag zulke dingen niet vragen, ook niet in de “je hóeft niet te antwoorden maar”-vorm. Het punt is dat ook bij die vrijwillige vragen de ondertoon is “mensen die het niet invullen hebben een streepje minder”.

Gelukkig bleek dit een slordig foutje. Een woordvoerder van Linkedin liet Bas meteen weten:

 ‘’De vragen op ons sollicitatieformulier in Nederland over geslacht, etniciteit en ras zijn onjuist toegevoegd en wij hebben deze dan ook direct verwijderd toen dit onder onze aandacht werd gebracht. Deze vragen zijn onbedoeld toegevoegd op het Nederlandse formulier door een bug in de Applicant Tracking System (ATS) software die we gebruiken. We hebben nauw samengewerkt met Jobvite, onze ATS supplier, om dit aan te passen en zullen blijven samenwerken met Jobvite om ervoor te zorgen dat dit niet meer gebeurt.’’

Gevalletje “verkeerde vinkje aangezet”?

Arnoud

Mag je medische gegevens uit forumberichten gebruiken voor onderzoek?

| AE 5555 | Privacy | 9 reacties

Een lezer vroeg me: Voor mijn werk als onderzoeker wil ik nagaan hoe mensen over hun medicijngebruik praten op internetforums. Ik weet dat het verwerken van medische persoonsgegevens niet zomaar mag, maar hoe zit het in deze situatie? Het zijn immers openbare forums waar je zonder account op kunt. Geldt de privacywet dan ook nog?… Lees verder