Tag: Boete

About Boete

Subscribe Feeds

Deze startup ontmaskert scanauto’s om parkeerboetes te voorkomen

Geplaatst op in Ondernemingsvrijheid, 68 reacties

Oké dan. Een startup uit Amsterdam werkt aan een dienst die scanauto’s van gemeentelijke parkeerdiensten herkent en gebruikers een seintje geeft zodra zo’n controleur een geparkeerde auto passeert, las ik bij Sprout. Zo kun je snel parkeerbelasting voldoen (en deze club €1,49 betalen voor de alert sms), wat voor de goedwillende maar vergeetachtige gemiddelde bestuurder absoluut een verrijking is. En, ik citeer: “De ondernemer zegt dat hij het concept heeft voorgelegd aan een (op privacyrecht gepromoveerde) jurist, en dat die geen ernstige juridische bezwaren kon ontdekken.”

Als startup moet je tegenwoordig artificial intelligence hebben (net zoals recent nog een blockchain) en dat is er dus ook: het bedrijf heeft software die scanauto’s herkent met statistische trucjes – de Nederlandse vertaling van artificial intelligence. Een heleboel mensen draaien die software op hun beveiligingscamera of dashcam, en een gedetecteerde scanauto wordt gemeld bij iedereen die in de buurt parkeert zonder te betalen. Die kan dan snel parkeerbelasting voldoen.

Dit is uiteraard om “vergeetachtige” parkeerders aan hun wettelijke plicht te voldoen, en zeer zeker niet om moedwillige foutparkeerders een hulpmiddel te geven om zo min mogelijk te betalen. Maar wat nu als de laatste categorie ook deze app inzet? ‘Ik vind dat een moeilijke vraag’, zo wordt de oprichter geciteerd.

Juridisch gezien is dit – in Nederland – een legale, zij het wat vervelend geurende dienst. Je mag op de openbare weg constateren dat de gemeente met een scanauto rijdt, en mensen daarover informeren. Wij vinden dat deel van de vrijheid van meningsuiting, hoewel ik weet dat men in Frankrijk en Duitsland dat anders ziet. Ik kan niet vinden hoe deze landen dat binnen de informatievrijheid (recht van ontvangen en delen van openbare informatie) rechtvaardigen maar daar zal ongetwijfeld over nagedacht zijn.

Er zit natuurlijk wel een asociaal geurtje aan zo’n app, en ik zou me als investeerder dan ook even achter de oren krabben of ik hier mijn geld in wil steken. We hebben afgesproken dat je moet betalen om te parkeren. Deze mensen ondermijnen die gezamenlijke afspraken, dat voelt maatschappelijk gezien niet heel netjes. Maar ik geef toe dat dit geen juridische grond is om zo’n melder aan te pakken.

Arnoud

Rijk worden van schadeclaims lijkt me niet de bedoeling, ook niet voor fotojournalisten

Geplaatst op in Intellectuele rechten, 88 reacties

Zonder toestemming overnemen op sociale media van professioneel gemaakte beelden is diefstal. Zo, met die fijngevoelige opening start NVJ-secretaris Thomas Bruning zijn betoog dat het een schande is dat rechters tegenwoordig maar zo weinig geld toewijzen bij foto-auteursrechtinbreuk. Rechters zijn steeds kritischer, bovendien krijg je je proceskosten niet meer vergoed én de grote techbedrijven zijn nergens aansprakelijk voor te houden terwijl die er eigenlijk het meest van profiteren. Men stuurde een brandbrief naar de minister van Justitie met diezelfde strekking. (En mijn gevoel is dan ook dat het er vooral om gaat die techbedrijven, die toch al aardig onder vuur liggen, nog eens wat extra te kunnen aanpakken.)

Wie deze blog wat langer leest, weet dat ik me behoorlijk kwaad kan maken om rechters die juist ongemotiveerd enorme bedragen toewijzen bij wat ik een kleine inbreuk noem. Dat leidde tot een onderzoeksartikel in 2012 en een vervolg in 2015, waarin ik grofweg twee stromingen in de rechtspraak onderscheid. De ene vindt dat inbreuk niet moet kunnen, en ziet het toewijzen van hoge schadeclaims als de manier om dit te bestrijden. De andere ziet een hoge schadeclaim als overvragen – als jij normaal 50 euro vraagt voor je foto, dan kun je niet nu 3500 vragen omdat het gaat om inbreuk en er maar eens een voorbeeld gesteld moet worden.

De laatste jaren zie je inderdaad dat rechters wat vaker richting dat laatste standpunt gaan. Formeel juridisch klopt dat: de schade is de gemiste inkomsten uit licenties, daar allerlei opslagen en verdriedubbelaars bij doen is gewoon niet hoe het werkt in het schadevergoedingsrecht. Ook niet als je al héél vaak door inbreuken getroffen bent. In de analogie: dat er elke dag jongetjes in je voortuin lopen om hun voetbal op te halen, betekent niet dat je vandaag een bal lek mag steken omdat je er eindelijk eentje te pakken hebt.

De NVJ ziet dit iets anders:

Iedereen die publiceert op digitale kanalen dient zich ervan bewust te zijn dat professioneel beeld waarde vertegenwoordigt en dat ongevraagd hergebruik feitelijk diefstal betreft. Omdat de ‘pakkans’ op het wereldwijde web bij dit soort hergebruik klein is, zou er van de straffen hiervoor een stevige preventieve werking moeten uitgaan.
Het is natuurlijk waar dat straffen ook een preventieve werking moeten hebben. Als ik zie wat een ander voor straf krijgt, dan zal ik zelf ook minder snel geneigd zijn het te doen. Alleen, straffen worden uitgedeeld onder het strafrecht – en dit soort claims zijn burgerlijk recht, schadevergoedingsrecht.

Het NVJ pleit echter niet voor harder politie-optreden bij online inbreuk (en de politie & het OM gaan dat ook echt niet doen). Ik begrijp uit de brief dat men eerder zou willen dat men zélf mensen mag straffen, door zelf eens driemaal of viermaal de geleden schade te gaan claimen én graag de volledige advocaatkosten vergoed krijgen. Dus inderdaad, waar men een foto voor 75 euro verkoopt dan mag er nu 8000 euro worden afgetikt. Moet je maar niet stelen. Maar hoezo mag de fotograaf dat geld dan in eigen zak steken, sinds wanneer gaan boetes naar het slachtoffer?

Maar goed, ik denk dat de NVJ ook wel weet dat die trend van dalende schadevergoedingen niet te keren is. Het lijkt vooral een opmaat om de grote techbedrijven op de korrel te kunnen nemen:

Ons pleidooi is dan ook helder: maak socialemediabedrijven altijd (financieel) verantwoordelijk voor de publicatie van tekst en beeld, dat zonder toestemming is gepubliceerd op hun platformen en herintroduceer een vergoeding bij auteursrechtschendingen, die recht doet aan de werkelijk geleden schade.
Hiervoor wil men aanhaken bij de Richtlijn auteursrechten uit 2019 die nu in de wet verwerkt moet worden, het gewraakte artikel 17 dus. Bij iedere geuploade of overgenomen foto moet er dus meteen afgerekend worden. Dat is niet helemaal hoe de Richtlijn werkt: die bevat weliswaar de regel dat men aansprakelijk kan zijn als platform, maar kort gezegd pas nadat blijkt dat er te weinig is gedaan om de inbreuk te voorkomen. Voor strengere Nederlandse regels lijkt mij geen ruimte te zijn.

Dat gezegd hebbende, leuke opsteker dat de tendens anno 2020 dus écht lijkt te zijn dat rechters het aansprakelijkheidsrecht toepassen volgens het boekje.

Arnoud

 

BKR krijgt boete van 830.000 euro wegens geld vragen voor inzage dossier

Geplaatst op in Ondernemingsvrijheid, 15 reacties

Het Nederlandse Bureau Krediet Registratie krijgt een boete van 830.000 euro omdat het geld vroeg aan mensen om versneld hun eigen dossiers in te zien. Dat meldde Tweakers maandag. Voor gratis inzage moest je vier weken wachten en een kopie identiteitsbewijs opsturen. Wie betaalde, kreeg direct toegang en wel elektronisch. Dat laatste maakt natuurlijk het verhaal rond gratis vanaf het begin een gotspe: hoezo kun je niet gewoon gratis je elektronische dossiers ontsluiten? Helemaal omdat het mensen betreft die naar hun aard financiële problemen hebben?

De boete was dus voor het niet gratis elektronisch antwoorden op elektronisch gedane verzoeken. Het moest per post, of je moest een betaald abonnement nemen. BKR maakt daarvan in haar kletspersbericht dat “uit de AVG niet duidelijk blijkt of het überhaupt verplicht is om digitaal inzage te faciliteren”. Ik citeer de AVG, artikel 12: “Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.” Oh en overweging 59: “De verwerkingsverantwoordelijke dient ook middelen te verstrekken om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. ” Ik kan daar weinig onduidelijkheid in vinden.

Oh ja, het BKR zegt dan ook “De wet stelt duidelijk dat inzage verschaffen binnen een maand verplicht is”. Dat staat er niet, de AVG zegt “onverwijld en in ieder geval binnen een maand”. Dat is dus min(onverwijld, een maand) en niet onverwijld OR maand.

Daarnaast bleek dat het BKR dus actief communiceert dat je eens per jaar, en daarna werd dat twee keer, je gegevens mocht inzien. ‘Op onze website stond dat een consument een keer per jaar gratis inzage kon aanvragen, omdat wij zijn uitgegaan van de frequentie waarmee consumenten normaliter inzage doen. In de praktijk zijn we daar natuurlijk ruimhartig mee omgegaan. Dus is er naar ons idee geen sprake geweest van een overtreding van de AVG.’ Fijn dat je ruimhartig tegen je eigen regels in gaat, maar het is natuurlijk wél een overtreding van de AVG als je begint met dat het maar twee keer mag. Dat is niet wat in de wet staat, daar staat “met regelmatige tussenpozen”. Niet hetzelfde.

Dit is het digitale equivalent van dat bordje “de directie stelt zich niet aansprakelijk” of de website-disclaimer. Het slaat juridisch helemaal nergens op, maar toch schrik je een hoop mensen af. En dan zeggen “ja maar je kunt toch een jurist vragen” of “als mensen piepen dan zijn we ruimhartig”. Waar het om gaat is dat mensen niet hóeven te piepen. Zeker niet de BKR-geregistreerden: die zitten meestal niet in de financiële problemen omdat ze zeer assertief zijn en een jurist kunnen raadplegen bij juridische twijfels. Daarom vind ik het zo ergerlijk.

En och arme: ‘Het liefst zou Stichting BKR consumenten laten inloggen met DigiD en hun unieke BSN om gegevens te registreren en op te vragen, maar dat mag wettelijk niet omdat BKR geen overheidsinstantie is’.

Als laatste: ja, sinds 2019 is men gestopt met deze praktijk. En dat is leuk en aardig maar dus een jaar te laat. Dáár gaat het uiteindelijk om.

Arnoud

Dat mag dus toch niet, persoonsgegevens van je leden verkopen?

Geplaatst op in Ondernemingsvrijheid, Privacy, 46 reacties

De KNLTB heeft van de Autoriteit Persoonsgegevens (AP) een geldboete gekregen van ruim een half miljoen euro voor het verstrekken van persoonsgegevens aan twee commerciële partners. Dat meldde het AD onlangs. De tennisbond gaat in beroep tegen de sanctie. De verstrekking is in strijd met de AVG, omdat er geen invulling van het eigen gerechtvaardigd belang mogelijk is wanneer je niets meer doet dan persoonsgegevens verstrekken tegen betaling. En ja, ik dacht dat het wel mocht maar ik ga dus toch proberen enigszins objectief een analyse te maken van de zaak. Want stiekem worden hier toch een paar best fundamentele standpunten ingenomen die laten we zeggen voor de markt een tikje verrassend waren.

In maart vorig jaar kwam in het nieuws dat de KNLTB op zoek was naar extra bronnen van inkomens, en haar ledenlijst als een waardevol betaalmiddel ziet. Daarom is besloten om die ledenlijst eens commercieel te activeren, door ze aan (ongetwijfeld zorgvuldig geselecteerde) partners te geven. Deze mogen dan bellen of brieven sturen met reclame, totaal maximaal drie keer per kwartaal. E-mail is uitgezonderd, daarvoor moeten leden een aparte opt-in geven vanwege het spamverbod uit de Telecomwet. (En daar ging het overigens ook bij mis, uit het boetebesluit blijkt dat er wél zonder opt-in mailadressen zijn verhandeld. Maar dat terzijde.)

Een aantal leden pikte dat niet, en diende klachten in bij de AP. Die trad vervolgens zeer voortvarend op, inclusief een mediaoptreden van de voorzitter waaruit je zou kunnen afleiden dat een boete onvermijdelijk was. (De AP betreurt die gang van zaken maar stelt desondanks gewoon objectief te hebben gehandeld.) Na onderzoek kwam men dan ook direct met een boete aanzetten. Wat dus mag onder de AVG én de boetebeleidsregels van de AP zelf, als de overtreding ernstig genoeg is. En dat is dus hier het geval, aldus de toezichthouder.

Inhoudelijk komt het vooral neer op de vraag: wanneer mag je zonder opt-in commercieel handelen in persoonsgegevens? Daar is naar de letter van de AVG een antwoord op: als je je kunt beroepen op een eigen gerechtvaardigd belang, en daarbij een privacyafweging hebt gemaakt die in jouw voordeel afweegt. Een voorbeeld van zo’n afweging is dat je camera’s in kan zetten om je terrein te bewaken, maar dat je inzage in de beelden beperkt tot politie in geval van strafbare feiten. Het onderliggende belang is dan het beschermen van je eigendomsrecht.

De AP komt nu met het strenge standpunt dat commerciële belangen nooit gerechtvaardigd kunnen zijn. Die zijn namelijk niet als zodanig in de wet erkend, in tegenstelling tot zeg eigendomsrecht of de vrijheid van meningsuiting. Er is natuurlijk het grondrecht van de ondernemingsvrijheid, maar dat vindt men te onbepaald en generiek om als grondslag te kunnen dienen voor de handel in persoonsgegevens. Daarmee is er dus eigenlijk nóóit een rechtvaardiging te verzinnen om in persoonsgegevens te handelen, als ik even tussen de regels samenvat.

Daar komt bij dat tot 2007 de leden bij lid worden niet expliciet werden gemeld dat dit zou gaan gebeuren. Voor die categorie gaat het nog iets erger mis: de doelbinding tussen de oorspronkelijke verzameldoeleinden (de lidmaatschapsovereenkomst) en het nieuwe doel (de handel) ontbreekt volledig. En dan mag je simpelweg de gegevens niet inzetten voor het nieuwe doel, ook niet als je daar een mooie grondslag-redenering voor weet te verzinnen. En nee, dat krijg je ook niet recht door je privacystatement aan te passen, want de gegevens hád je dan al. Je moet het dus echt opnieuw vragen, maar in die situatie is het onvermijdelijk dat je toestemming gaat vragen.

En ja, ik vind dit controversiële standpunten, ik zou zelfs zeggen gedurfd. Het betekent natuurlijk de doodsteek voor datahandel, dus daarom volgt hoe dan ook bezwaar en daarna beroep bij de rechtbank. Maar het boetebesluit legt de pijn bloot van hoe datahandel werkt en hoe hard het eigenlijk niet klopt. Dus ik ben benieuwd.

Arnoud

Doe mij eens wat meer van die boetes van 5000 euro

Geplaatst op in Ondernemingsvrijheid, 5 reacties

De Belgische privacywaakhond heeft twee boetes van 5000 euro opgelegd aan lokale politici, las ik bij Tweakers. De politici gebruikten gegevens die ze in hun ambt hadden verkregen (“burgers die een beroep op hen als burgemeester/schepen deden”) om ze politieke reclame te sturen. Dat is in strijd met het beginsel van doelbinding aldus de Gegevensbeschermingsautoriteit, die aan de boete tevens een berisping koppelde. Het getal van 5000 euro zal misschien wat wenkbrauwen doen fronsen: kon de AVG niet tot 20 miljoen per overtreding aan boetes opleveren? Ja, en toch ben ik erg blij met deze eh microboete. Want dit werkt beter.

In België zijn burgemeester en schepen (wethouden) politieke beroepen. De beboete burgemeester en schepen gebruikten lijsten van burgers uit hun gemeente om ze op te roepen op hen te stemmen. En die lijsten verkregen ze dus via hun ambt, wat strijd oplevert met de doelbinding: gegevens mag je niet voor andere doeleinden inzetten dan waarvoor ze zijn verkregen (behoudens de direct nabij en volkomen logisch aanverwante doelen). Politieke reclame voor jou als persoon heeft natuurlijk niets te maken met je werk als ambtenaar, ook niet als je via verkiezingen op die plek gekomen bent en daar graag weer wilt zitten.

Boetewaardig dus. En stevig ook, in theorie staat daar die 20 miljoen per overtreding op. Maar de Gegevensbeschermingsautoriteit houdt het bescheiden en wel bij 5000 euro per persoon. Dat komt zo te lezen omdat het gaat om een eerste overtreding door privépersonen en een gering aantal persoonsgegevens, hoewel de zaak zo ernstig wordt gezien (het gaat over verkiezingen, dat is de kern van de legitimatie van ons bestuur) dat men er ook nog een publieke reprimande tegenaan gooit. (Die de politieke tegenstanders ongetwijfeld in het verkiezingsdebat gaan aanvoeren.)

Waarom ben ik nou zo blij met 5000 euro? Nou ja, omdat zo’n boete écht afschrikt. Zeg nou zelf, als je weet dat je in privé 20 miljoen moet ophoesten, dan zul je daar weinig wakker van liggen. Dat bedrag lukt toch niet, dus dat spreekt niet tot de verbeelding. Maar 5000 euro kwijt zijn aan een overtreding? Dat is voorstelbaar, doet echt pijn en je kunt je inleven op welke manier. Dat hakt er dus veel meer in – zeker bij de vele kleinere bedrijven dan de clubs waarvoor die 20M als maximale boete in de wet is gezet.

Natuurlijk staat of valt het uiteindelijk met handhaving. Maar ook dan denk ik, juist kleine boetes kun je makkelijker opleggen. Megaboetes hebben de neiging gejuridiseerd te worden. Als je Facebook een boete oplegt, wéét je dat je hoe dan ook vele jaren verder bent totdat het Hof van Justitie van de EU een uitspraak doet, en dan nog. Een mkb-ondernemer die 5000 euro moet aftikken omdat hij een klantenlijst verkocht, die gaat die stappen niet nemen. Die baalt als een stekker, ontslaat zijn marketeer en doet het beter. En zijn collega’s ook.

En het leuke is volgens mij dat juist die handhaving in het klein vaak te automatiseren is. Privacystatements checken of ze wel in eenvoudige taal is, dat kun je met een script. Het verwerkingsregister van een bedrijf opvragen en op trefwoorden controleren (is er een tab Personeelsadministratie, bijvoorbeeld) is ook eenvoudig uit te voeren. Maak dáár nou eens werk van, dan wordt de AVG veel effectiever gehandhaafd.

Arnoud

Wat als ik in het wintertijduur te hard rijd?

Geplaatst op in Regulering, 12 reacties

Een lezer vroeg me:

Gisternacht reed ik om 03:15 (zomertijd) oftewel 02:15 (wintertijd) over de A2 langs een flitspaal. Ik reed keurig 100 maar bedacht me, als ik te hard had gereden dan was ik geflitst en dan had er dus 02:15 op de boete gestaan. Maar om 02:15 (zomertijd) was ik nog op het werk, en daar zijn beelden en logs van (een datacenter). Had ik daarmee dan onder de boete uit gekund?

Leuk geprobeerd, maar nee.

Ik dacht eerst dat het antwoord makkelijk zou zijn: de tijd van de overtreding zal wel in UTC vastgelegd zijn, en dan is corrigeren voor wintertijd triviaal. Maar dat viel dus tegen, want op alle voorbeelden van verkeersboetes die ik kan vinden staat gewoon “02:15” zonder tijdzone-aanduiding. En toen las ik dat in 2013 de trajectcontrole bij de zomertijd misging, de klok werd niet verzet waardoor iedereen foute boetes kreeg. Dus eh, kennelijk is het wel mogelijk, dit theoretisch scenario.

Maar desondanks, nee je komt er niet mee onder de boete uit. Deze specifieke optie kende ik nog niet, maar dat verkeerscontrolesystemen fouten maken met de tijd van de overtreding komt vaker voor. Mensen gaan dan in beroep (Wet Mulder, meestal, maar ook in het strafrecht) en dan wordt de foute tijd aangepast door de officier en gaat de zaak gewoon verder.

Een fout als deze is volgens de leerboekjes een vormfout, de overtreding is immers niet begaan op het tijdstip dat er staat. Maar in de praktijk moet je het als officier wel héél bont maken wil je op een vormfout je zaak verliezen. Zeker als het gaat om triviale details zoals wanneer het feit precies begaan is, tenzij het tijdstip van de overtreding natuurlijk raakt aan de kern.

In geval van een verkeersovertreding als deze is het tijdstip hier niet relevant. Ja, er zijn stukken op de A2 waar de maximumsnelheid tijdsafhankelijk is, maar dan gaat het om 06:00-19:00 en of het nu 01:15, 02:15 of 03:15 was, je zit altijd binnen hetzelfde vak. Er is geen plek op de A2 waar het voor de snelheid van belang is of je er om 01:15, 02:15 of 03:15 reed.

De discussie over tijd wordt pas relevant als het gaat om zo’n tijdvakgrens. Want als je 130 rijdt om 19:02 en het systeem zegt dat je dat deed om 07:02, dan kan dat het verschil maken tussen wel of niet strafbaar zijn (pardon, onderwerp zijn van een administratieve boete, het is bestuursrecht immers). Dat is dus wat er misging in 2013 op de A2, dat zijn onterechte boetes want er was geen strafbaar feit begaan.

Maar dit zijn héél zeldzame situaties. De hoofdregel is en blijft: de tijd deed er niet toe, het gaat erom of het feit begaan is. Dus zelfs als de flitscameraklok werkelijk 100% verkeerd stond en je kunt aantonen dat je op het vermelde tijdstip werkelijk ergens anders was, dan nog krijg je de boete en die moet je gewoon betalen – als je op enig ander tijdstip wel die fout hebt begaan.

Arnoud

De Spaanse Liga mag dus niet je microfoon inzetten om illegale voetbaluitzendingen te detecteren

Geplaatst op in Intellectuele rechten, Privacy, 3 reacties

De Spaanse voetbalbond heeft een boete van 250.000 euro gekregen van de toezichthouder vanwege overtreding van de AVG, meldde Tweakers vorige week. De app luistert met de microfoon mee om illegale voetbalstreams op te sporen aan de hand van voor mensen onhoorbare tonen in de sportuitzendingen. Hoewel de app daarmee niet direct mensen afluistert (althans iets doet met wat mensen zeggen) is dat toch een AVG-overtreding: niet privacy by design, want je kunt niet zien dat je microfoon staat op te nemen.

In juni 2018 kwam in het nieuws dat de Liga (de Spaanse voetbalbond) microfoons van telefooneigenaren met hun app erop had ingezet om onhoorbaar geluid op te vangen dat als watermerk in voetbaluitzendingen zit. Hiermee kan men illegale voetbaluitzendingen detecteren en zo een database opbouwen van locaties die wedstrijden uitzenden, zowel thuis als in cafés en andere gelegenheden. Als dan blijkt dat een locatie geen licentie heeft, dan kan daartegen worden opgetreden. Maar ondertussen sta je dus wel tienduizenden (of meer) microfoons van mensen te beluisteren.

De algemene voorwaarden vermelden expliciet dat dit gebeurt:

LaLiga will enable the microphone of your device, solely if you accept by checking the box enabled for htis purpose or the pop-up window emerging in the APP, to find out if you are watching football matches. This information shall be employed to detect fraud in unauthorized public establishments.

Ik zei toen, vanuit AVG- of privacyperspectief zie ik hier weinig mis mee, omdat het hier niet gáát om het vastleggen van persoonlijke informatie zoals wat je zegt of waar je bent terwijl je iets zegt. Maar de Spaanse Autoriteit Persoonsgegevens is toch wat strenger: je bent wél bezig met persoonlijke informatie, ook al is het bijvangst in je jacht naar de verborgen piepjes.

En vooral: dit is niet privacy by design, want mensen hebben niet dóór dat je die informatie aan het verzamelen bent. De AV zijn natuurlijk niet relevant, je moet dit duidelijk melden. En dan dus niet een verplichte popup (de standaardkeuze van een geërgerde developer die iets hoort over “je moet X van de wet”) maar nadenken over design, hoe je dit integreert in je app. Een icoontje dat je microfoon aan staat bijvoorbeeld. En zo moeilijk zou dat ook niet hoeven te zijn.

Arnoud

De eerste schadeclaim onder de AVG is binnen, maar het is wel een rare zaak

Geplaatst op in Privacy, 22 reacties

Het is waarschijnlijk een juridische primeur: een rechter heeft een schadevergoeding toegekend op grond van de Algemene verordening gegevensbescherming (AVG). Dat meldde RTL Z afgelopen vrijdag. De gemeente Deventer moet van de rechter 500 euro betalen aan een man van wie de gemeente de naam en woonplaats doorspeelde naar tientallen andere gemeenten. Ik ken ook geen andere uitspraken waarin sec voor misbruik van persoonsgegevens een schadevergoeding moest worden betaald. Het bedrag is niet mis dus ik hoop dat dit andere organisaties aan het denken zet. Want privaat handhaven kan iedereen, zelfs zonder advocaat.

De man wordt in diverse media als een professioneel wobber aangeduid, wat de zaak een reukje moet geven want wie doet dat nou, stelselmatig gemeentes om informatie vragen? Maar het is een grondrecht dat je dat mag doen. Gemeentes worstelen daar soms mee, en gaan dan onderling tips uitwisselen. RTL legt uit:

Een aantal van die gemeenten wilde kennis uitwisselen over hoe ze moesten omgaan met zijn verzoeken. In een e-mail aan ongeveer veertig tot vijftig andere overheden gaf de gemeente Deventer aan ook een Wob-verzoek van de man te hebben ontvangen, waarbij ze zijn naam noemden, aangaven dat het om een man ging (‘hij’), waar hij woonde en hoe ze zijn verzoek hadden afgehandeld.

Dat was een probleem, want onder de Wbp én de AVG is het zomaar delen van persoonsgegevens niet echt de bedoeling. Onrechtmatig dus, en een onrechtmatige daad geeft aanleiding tot een schadevergoeding. Alleen, wat is dan je schade? Dat is al een decennium of zo het discussiepunt bij privacykwesties. En waar ze dan bij andere rechten – zoals het auteursrecht – een willekeurige tarieflijst erbij pakken of een bedrag uit de duim zuigen, word je bij persoonsgegevens er hard op gewezen dat je schade écht moet onderbouwen meneertje. Frustrerend ja.

Deze rechter pakt het in zoverre verfrissend aan dat hij het als immateriële schade aanmerkt en dan een bedrag van €500 billijk verklaart. De grond is dan de algemene “schending van de privacy”, dat de rechter herleidt tot “verlies van controle over zijn persoonsgegevens”. Controle over persoonsgegevens is één van de kerndoelen van de AVG (overweging 7), dus dat is een mooie invulling van dat grondrecht. Blijf van mijn gegevens af.

Opvallend daarbij is wel dat de rechter nadrukkelijk vaststelt dat Deventer geen oogmerk had de man kwaad te doen. Dit is dus uitdrukkelijk de schade bij een onschuldige inbreuk. En dat maakt het precedent des te interessanter. Als deze vogel tot een zomer leidt, dan kunnen dus heel wat organisaties 500 euro per geval af gaan tikken voor onschuldige slordigheden. Ik zei al, private handhaving gaat het helemaal worden.

Arnoud

Nog meer dingen die van de AVG ineens niet zouden mogen

Geplaatst op in Privacy, 62 reacties

Oh jee, de AVG. Dat begint een beetje een vervelend mantra te worden sinds 25 mei. Omdat de nieuwe privacyverordening zo veel nieuwe regels met zich meebrengt, komt vrijwel iedereen erachter dat dingen anders moeten. En vernieuwing is vervelend, zeker als het op grond van zoiets raars als privacy moet gebeuren. Een greep dus uit de nieuwsberichten van de afgelopen tijd van mensen die dingen niet meer mogen, en vooral: waarom ze ongelijk hebben.

Niet meer durven bidden voor de zieken – dankzij de privacywet. Dat schreef NRC onlangs. Het noemen van een naam in het gebed (eventueel in combinatie met een verwijzing naar ziekte) kan mogelijk als een verwerking van persoonsgegevens gezien worden. En dan zou de kerk een boete kunnen krijgen.

Onterechte angst, lijkt me. Allereerst is hier sprake van een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terecht komen. Een gebed of preek is geen doorzoekbaar gestructureerd geheel aan informatie. Daarnaast krijg je hier dan onmiddellijk een botsing met de vrijheid van godsdienstuitoefening (artikel 18 UVRM en artikel 6 Grondwet), zodat je op zijn minst een belangenafweging moet maken tussen de grondrechten privacy en godsdienst: wat weegt zwaarder, de religieuze behoeftes van de gelovigen of de privacy van de zieke die wellicht niet in gebed genoemd wil worden?

Wij kunnen geen medicijnendoosjes met etiketten meer aannemen bij onze retourdienst medicijnen, aldus mijn apotheek. Dat twitterde ik een paar weken terug. Het goed verwerken van oude medicijnen is belangrijk omdat deze het milieu ernstig vervuilen en gezondheidsrisico’s vertegenwoordigen, dus biedt vrijwel elke apotheek een inleverdienst aan. Maar dat ‘mag’ dus niet meer van de AVG. Eveneens onterecht, wat mij betreft. En wel om dezelfde reden: een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terechtkomen. Dit valt gewoon buiten de AVG.

School maakt gezichten leerlingen zwart op foto: ‘Privacy staat voorop’, aldus RTL Nieuws. De school had leerlingen foto’s mee naar huis gegeven (gewoon als stukjes papier dus) maar daarop alle gezichten met een zwarte stift onherkenbaar gemaakt. “”We zijn een speciale school met een kwetsbare doelgroep. En we hebben altijd te maken met kinderen die niet op de foto willen”, zo motiveerde het bestuur de beslissing.

Een beetje raar. Het gaat om portfolios gemaakt door de kinderen zelf tijdens de lessen van het afgelopen jaar. Dat lijkt me dus redelijkerwijs noodzakelijk voor het leveren van het onderwijs, en daarmee te rechtvaardigen binnen de AVG. (Als die foto’s niet nodig zijn, waarom worden ze dan gemaakt?) En de privacy-impact lijkt me zeer gering omdat de foto’s alleen worden gedeeld met de betrokkenen zelf en hun wettelijk vertegenwoordigers. Deze zie ik dus niet helemaal.

Zelfs op het oog ‘onschuldige’ gegevens zoals het vrijgeven van het gewicht of de lengte van een voetbalspeler aan media is naar de letter van de nieuwe wetgeving niet toegestaan, zo meldde voetbalclub Feyenoord onlangs. Voetbalspelers zijn immers werknemers van de clubs, en werkgevers hebben de privacy van personeel te respecteren. Zij worden daarom terughoudender in mededeling doen over blessures en dergelijke van spelers.

Wederom onterecht volgens mij. Inderdaad, een gewone werkgever moet terughoudend zijn met privacygevoelige informatie van de werknemer aan derden verstrekken. Dat mag alleen als het voor het werk noodzakelijk is of er een zwaarwegend belang is voor de werkgever. Denk aan een klant bellen dat een afspraak niet doorgaat omdat de betreffende collega ziek is: dat is relevant voor het werk (maar wat deze persoon precies heeft, natuurlijk niet).

Specifiek bij professioneel voetballers en andere topsporters zie ik dat echter anders. Hun rol in de maatschappij is veel groter, zodat de informatievrijheid hier een zwaardere rol gaat spelen. Heel kort door de bocht, het publiek heeft er recht op te weten wat er met ‘hun’ sterspelers aan de hand is. Natuurlijk zitten daar grenzen aan, een live camera boven het ziekbed gaat hem niet worden. Maar een voetbalclub mag volgens mij best melden dat hun speler Robin van Persie een kuitblessure opgelopen heeft en daarom niet kan spelen.

Wie heeft er nog meer “oh jee dat mag niet van de AVG” berichten gezien recent?

Arnoud

“Mijn werkgever wil me een contract met boete over de AVG laten tekenen, is dat normaal?”

Geplaatst op in Ondernemingsvrijheid, Privacy, 6 reacties

Diverse lezers tipten me (dank) over deze vraag op Reddit:

Mijn werkgever wilt mij een contract laten tekenen ivb met de nieuwe privacywet (avg). Is dit normaal?

Wie het contract in kwestie leest, ziet dat het een addendum is op een arbeidscontract waarbij de werknemer geheimhouding opgelegd krijgt, en belooft netjes met persoonsgegevens om te gaan en alle documenten en dergelijke te retourneren aan het einde van het dienstverband. Dat zijn op zich geen rare afspraken. De teksten vind ik als jurist volkomen standaard. Je zou zelfs kunnen zeggen dat dat gewoon werkinstructies zijn, zo werken wij hier nu eenmaal en jij dus ook.

Wat de wenkbrauwen doet fronsen, is dat de werkgever er een stevig boetebeding aan koppelt: iedere overtreding van één van deze instructies wordt gestraft met een boete van €2.500 per keer en 250 euro per dag. Dat is natuurlijk geen instructie, dat is een afspraak. Boetes mogen in arbeidscontracten worden opgenomen, maar dat is een tweezijdige vrijwillige keuze die je in zo’n contract maakt, en geen eenzijdige “hier even tekenen en dan hang je vanaf nu”.

Een werkgever kan in principe niet eisen dat je iets ondertekent, tenzij de handtekening uitsluitend dient als bewijs dat je iets gezien hebt. Een akkoord op een aanpassing van je arbeidscontract kan niet worden afgedwongen, behalve als het gaat om een kleine wijziging die je in redelijkheid niet kunt weigeren. Dat is natuurlijk niet aan de orde bij een boetebeding, omdat dit zozeer 100% in het nadeel van de werknemer is.

Dus nee, ik denk niet dat je dit hoeft te tekenen. Als de werkgever bewijs wil dat jij deze instructies (artikel 1 dus) hebt gelezen, dan kan hij je verplichten bij artikel 1 “voor gezien” en krabbel te zetten. Artikel 2 is niet eenzijdig op te leggen, een boete vereist instemming van de werknemer. Dat moet er dus uit. En je persoonlijk aansprakelijk stellen voor de schade gaat ‘m ook niet worden, de lat daarvoor ligt héél hoog en enkel dat je een instructie negeert of je werkgever schade berokkent is nadrukkelijk bij lange na niet genoeg.

Arnoud