Tag: CBP

About CBP

Subscribe Feeds

Mogen ze over je auto met nummerbord praten op een forum?

Geplaatst op in Privacy, Uitingsvrijheid, 25 reacties

nummerborden.pngEen lezer vroeg me:

Is het toegestaan dat derden je kenteken op een openbaar forum plaatsen samen met datum en tijdstip dat men je gespot heeft? Dat kan dan zijn om over je auto te praten, of om je uit te maken voor wegmisbruiker.

Een kenteken is te zien als een persoonsgegeven als het te herleiden is tot de eigenaar van de auto. Op zich is dat niet eenvoudig, want je moet langs de RDW om die gegevens te krijgen, of toevallig op internet bijvoorbeeld een “auto te koop”-advertentie vinden. Het Cbp houdt daarom tegenwoordig een slag om de arm:

Kentekens van motorvoertuigen zijn persoonsgegevens voor degenen die toegang hebben tot het kentekenregister van de Rijksdienst voor het Wegverkeer. Zij kunnen immers tenaamstelling van het kenteken zonder bijzondere inspanning te weten komen. Voor personen die geen toegang hebben tot de tenaamstellingsgegevens uit het kentekenregister, zijn kentekens geen persoonsgegevens indien redelijkerwijs ook niet te verwachten valt dat die gegevens langs een omweg (eventueel door derden) zullen worden herleid. Het hangt dus van de context van het gebruik af of het wel of niet gaat om persoonsgegevens.

Dit standpunt verbaast me nu in de Richtsnoeren persoonsgegevens op internet nog vrij eenvoudig kentekens als persoonsgegevens werden aangemerkt. Mij leek dat ook altijd erg logisch; hoewel niet iedereen bij de RDW kan, is het niet uit te sluiten dat je via een andere route ook die gegevens kunt koppelen. Bovendien – en daar gaat het uiteindelijk om volgens mij – betreft het kenteken in het kader van een discussie over de bestuurder een gegeven over één persoon, waarmee het haast per definitie een persoonsgegeven is. Net zoals je MAC-adres en locatie een persoonsgegeven is.

Een persoonsgegeven publiceren mag alleen als je dat onder de Wet bescherming persoonsgegevens kunt rechtvaardigen. Toestemming is de meest gehoorde rechtvaardiging, maar die is er in dit geval niet.

In principe kom je dan uit bij de restcategorie van de eigen dringende noodzaak. Je zegt dan, ik kan geen toestemming vragen, ik heb een legitiem belang en daarvoor is het een absolute noodzaak dat ik dit gegeven publiceer, bovendien heb ik zo veel mogelijk rekening gehouden met de privacy van de persoon over wie het gaat.

Het legitiem belang zou hem hier zitten in die discussie, dat is immers een beroep op de vrijheid van meningsuiting. In principe is dat al snel gerechtvaardigd, tenzij de discussie niet meer is dan belachelijk maken en afzeiken zonder enige werkelijke discussie of debat. “Deze auto is een wegmisbruiker” zou ik al net aan de goede kant van de grens vinden zitten, als de beelden dat duidelijk laten zien.

Alleen dat rekening houden met de privacy, wat moet je daar dan mee? Ik denk dat dat er toch al snel op neerkomt dat het nummerbord uitgeblurd moet worden. Dat is immers niet echt nodig voor de discussie over wegen misbruiken of om je mening over de auto te geven, positief of negatief. Natuurlijk, met nummerbord kunnen anderen de auto herkennen, maar hoe relevant is dat?

Arnoud

Wifi-tracking rond winkels in strijd met de wet?

Geplaatst op in Privacy, 37 reacties

Het College bescherming persoonsgegevens heeft een van de grote aanbieders van wifi-tracking in Nederland op de vingers getikt, las ik bij Tweakers. Het bedrijf Bluetrace zou ten behoeve van wifi analytics mensen in en rond winkels via het wifi-signaal van hun smartphone volgen zonder hen daarover goed te informeren. In haar rapport meldt de toezichthouder dat er meer verzameld werd dan nodig, dat de gegevens te lang bewaard werden en dat ook mensen op de openbare weg gevolgd werden.

Wifi tracking is al een paar jaar in populariteit aan het toenemen. Kort gezegd meet een winkel dan langskomende wifi-signalen uit mobiele telefoons, om vervolgens te registreren waar die signalen heen gaan, hoe lang de telefoon ergens stilstaat et cetera. Via het MAC-adres zijn de metingen uniek te correleren aan één telefoon.

Het argument is dan altijd, dat is niet erg want het is maar je telefoon en ze weten niet hoe je heet. Maar het Cbp is daar snel klaar mee: dit zijn persoonsgegevens (want herleidbaar tot de eigenaar van de telefoon) en locatie-informatie is best wel gevoelig:

Omdat smartphones en tabletcomputers onlosmakelijk verbonden zijn met hun eigenaren, leveren de verplaatsingen van de apparaten een zeer intieme inkijk in het leven van hun eigenaren.

Dat je de náám niet weet van de persoon, doet er niet toe. Het is de vaste opvatting van de privacytoezichthouders dat het erom gaat dat de “gegevens via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon.” Kort gezegd gaat het erom dat de gegevens over één persoon gaan.

Vervolgens moet Bluetrace maar aantonen waarom zij dit mag onder de Wbp. De enige reële optie is die van de eigen dringende noodzaak: het belang om de gegevens te verzamelen weegt zwaarder dan het privacybelang van de langslopende smartphone-eigenaren, én er is alles aan gedaan om de privacy zo veel mogelijk te waarborgen.

Op zich is het een legitiem belang om te willen weten hoe mensen door je winkel lopen. Maar de vraag wordt dan, moet dat dan wel op deze manier gemeten worden, kan het niet een onsje minder? Bijvoorbeeld door tijdens sluitingstijd de sensoren uit te zetten, of door in plaats van ruwe MAC-adressen hashes te bewaren die na 48 uur worden gewist.

Ook een probleem is dat men MAC-adressen vastlegt van mensen die langs de winkel lopen maar niet naar binnen gaan. “Ohooh een verwerking aan de openbare weg”, en dat mag dan categorisch niet. Nou nee, het ligt iets subtieler: je mag wel persoonsgegevens verzamelen aan de openbare weg maar je moet daar dan wel een specifiek belang voor hebben dat opweegt tegen dat privacybelang. En dat zal er zelden zijn. Welk legitiem belang ís er om te meten wie er over de weg loopt?

Verder ontbrak het aan adequate informatie over wat men doet met persoonsgegevens en hoe je als winkelbezoeker informatie kunt krijgen over deze gegevensvergaring.

Kort samengevat: leuk idee, mislukte uitvoering. Want het Cbp zegt letterlijk dat het zeker mogelijk is om legaal persoonsgegevens van smartphones te verzamelen om winkelbezoek te monitoren, mits je dat maar een stukje zorgvuldiger inkleedt. De pers maakt veel van het hashen van de MAC-adressen, maar dat is niet de kern: het gaat erom zo min mogelijk gegevens te verzamelen en dingen zo snel mogelijk weer weg te gooien.

Arnoud

Gebruikers Google Analytics schenden Nederlandse privacywet

Geplaatst op in Informatiemaatschappij, 23 reacties

analytics-cookie.pngGebruikers van Google Analytics hebben volgens de wet een aparte bewerkersovereenkomst nodig, maar Google weigert dit, zo las ik bij Webwereld. In een onderzoek van de privacytoezichthouder naar persoonsgegevensverwerkende smart TV’s kwam ook voorbij dat je zo’n overeenkomst moet afsluiten als je met Google Analytics werkt. Niemand doet dat, sterker nog niemand kán dat doen want Google vindt dat er geen sprake is van een privacyschending.

Wanneer je het verwerken van persoonsgegevens uitbesteedt, heet die andere partij een bewerker. De verantwoordelijke bepaalt wat er gaat gebeuren en hoe (doel en middelen), en de bewerker voert dat uit. Dit is geschreven voor situaties waarin je bv. een bedrijf inhuurt om een papieren mailing uit te doen naar je relaties of om een stukje van je dienstverlening uit te kunnen besteden. Maar de definitie past ook prima bij een clouddienst: de cloudgebruiker bepaalt wat er moet gebeuren en kiest de middelen – de clouddienst – en de dienstverlener voert dat simpelweg uit.

De wet schrijft voor dat je verplicht een bewerkersovereenkomst moet sluiten tussen verantwoordelijke en bewerker. Hierin komt te staan wat de bewerker mag doen (en wat vooral niet), welke beveiligingsmaatregelen hij moet nemen en hoe de verantwoordelijke op een en ander toezicht houdt. Dat moet dus ook in de cloud, en daar gaat het al snel mis want geen hond (cloudhond?) die zich daaraan houdt.

Nu zou je zeggen dat een partij als Google dat eenvoudig kan fixen. Maak een standaard bewerkersovereenkomst, zet die naast de gebruikersvoorwaarden (hij mag er niet ín, het moet een aparte overeenkomst zijn) en klaar is Sergey. Maar nee, Googles bedrijfsbeleid is dat Google Analytics geen persoonsgegevens verwerkt en men herkent zich niet in de mening van het Cbp.

Je kunt je afvragen óf er wel persoonsgegevens worden verwerkt met deze dienst. Zoals Webwereld schrijft,

TP Vision gebruikt first party cookies in plaats van third party tracking cookies, verwijdert het laatste octet van alle IP-adressen voordat ze worden opgeslagen, heeft de optie ‘gegevens delen’ in Google Analytics uitstaan en maakt geen gebruik van Google AdWords en AdSense.

Dit is de best practice van hoe je zo privacyvriendelijk mogelijk Google Analytics inzet. Maar nee, aldus het Cbp:

Voor Google zijn deze gegevens op zichzelf persoonsgegevens. De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden.

Het feit dat Google het kán herleiden maakt Analyticsdata dus persoonsgegevens, ook als Google via de uitstaande optie ‘gegevens delen’ belóóft het niet te doen. Tsja. Dan houdt het wel een beetje op inderdaad met dit soort diensten, want herleiden kán vrijwel altijd.

Exit Google Analytics? Nou, dat denk ik niet. Net als met de cookiewet gaat dit massaal genegeerd worden. Het Cbp kan het wel een “waarschuwing aan de hele branche” noemen maar zonder boetes en handhavend optreden is dat geen echt compliance-afdwingende waarschuwing.

Arnoud

Google biedt opt out voor wifi-sniffing, voldoet aan privacywet?

Geplaatst op in Privacy, 47 reacties

streetview-spin.jpgOnder druk van privacywaakhond CBP biedt Google nu wereldwijd de optie om wifi-routers uit zijn database met locatiedata te verwijderen door ‘_nomap’ aan de netwerknaam (SSID) toe te voegen. Daarmee voldoet het bedrijf aan de Wet bescherming persoonsgegevens, aldus datzelfde CBP. Maar, eh, hoezo, vroegen veel mensen mij: dit is opt-out en de privacywet eist toch een opt-in?

Het College had Google een dwangsom opgelegd nadat bleek dat het bedrijf van 4 maart 2008 tot 6 mei 2010 met de rondrijdende Street View-auto’s gegevens had verzameld over ruim 3,6 miljoen verschillende wifi-routers in Nederland. Meer precies ging het om de locatie, de signaalsterkte en het SSID (netwerknaam) van die netwerken. Met die gegevens bood Google een geolocatiedienst aan. Door te kijken welke netwerken er in de buurt zijn, en in een database op te zoeken waar die zich bevinden, kun je redelijk nauwkeurig vaststellen waar jij bent. In ieder geval nauwkeurig genoeg om geografisch passende advertenties te sturen.

Deze gegevens zijn persoonsgegevens: ze zijn indirect ofwel met enige moeite te herleiden tot de eigenaar van dat netwerk, al is het maar door zijn huis te lokaliseren en aan te bellen. En daarmee is het opbouwen van zo’n database onderworpen aan de Wet bescherming persoonsgegevens, de privacywet. Hoofdregel daaruit is dat voor het gebruik van iemands persoonsgegevens toestemming nodig is. En die krijgt Google niet door rond te rijden – het feit dat iemand zijn SSID uitzendt is géén toestemming voor het opnemen daarvan in een database.

Toch vindt het Cbp dat Google de privacywet niet schendt, zeker niet nu men de “_nomap” extensie voor het SSID belooft te gebruiken om routers te negeren. Het Cbp doet dit door Google’s activiteit goed te keuren onder artikel 8 sub f. Dit artikel bepaalt dat je zonder toestemming iemands persoonsgegevens mag verwerken als dat “noodzakelijk is voor de behartiging van het gerechtvaardigde belang” van degene die die gegevens verwerkt én als dat belang van die persoon zwaarder weegt dan de privacy.

Googles belang is om een volle database te hebben van routers en locaties, zodat ze een goed werkende geolocatiedienst kunnen aanbieden. Dat vindt het Cbp op zich allemaal leuk en aardig, maar het is niet noodzakelijk voor een geolocatiedienst om zo’n database te hebben. Je kunt ook (zoals Microsoft, Skyhook en Apple doen) met andere middelen en uit andere geo-informatie vergaren. Er is dus niet voldaan aan de eerste eis, er is geen noodzaak deze gegevens te verzamelen.

Vervolgens gaat men verder over de tweede eis, die van de belangenafweging. Daarbij citeert men de memorie van toelichting bij de wet:

Bij de in onderdeel f voorgeschreven afweging speelt een rol de mate van gevoeligheid van de gegevens die de verantwoordelijke wil verwerken en de maatregelen die de verantwoordelijke heeft genomen ten einde rekening te houden met de belangen van de betrokkene. De belangen van de betrokkene zullen in mindere mate gewicht in de schaal leggen naarmate in zijn belang meer waarborgen voor een zorgvuldig gebruik van de gegevens zijn genomen

Bij deze belangenafweging is belangrijk dat Google moet zorgen voor een afmeldmogelijkheid, om de belangen van de betrokkenen (de eigenaren van die routers) tegemoet te kunnen komen. De _nomap is dus formeel geen opt-out maar een “waarborg voor zorgvuldig gebruik”. Ook moet Google de eigenaren van routers informeren, wat men deed met advertenties in landelijke kranten en een FAQ op de site.

Op onnavolgbare wijze komt het Cbp na dit stukje ineens tot de conclusie dat het wél legaal is wat Google doet als ze dus maar aan deze eisen voldaan. Ik snap daar werkelijk niets van. Eerst zeggen dat de ene eis (noodzakelijk voor je belang) niet gehaald wordt, daarna uitleggen hoe de andere eis (belangenafweging) wél gehaald wordt en dan is het legaal? Ik zal wel iets missen hoor.

In Tweede Kamer zijn ze al gaan roepen dat er een expliciete opt-in moet komen, maar hoe ze dat willen regelen, mis ik eveneens: dit zijn Europese privacyregels waar we niet zomaar een extra Nederlands wetje bij kunnen maken. Plus, het idee van opt-in als oplossing is onzinnig: 99% van de mensen weet niet waar ze voor opt-int en/of klikt ongezien op Akkoord bij alles dat je ze voorlegt.

Arnoud

Privacywerkgroep slaat koektrommel dicht op Google’s handen

Geplaatst op in Ondernemingsvrijheid, Privacy, 12 reacties

Een datacentrum in Groningen is juridisch hetzelfde als een cookie op een PC in Eindhoven, vindt de Artikel 29-werkgroep. Dit samenwerkingsverband van Europese privacytoezichthouders (met de op het OHIM na onwaarschijnlijkste naam voor een overheidsinstelling) heeft een Opinie over zoekmachines en privacy uitgegeven met als doel het verzamelen van persoonsgegevens van Europeanen door Amerikaanse zoekmachines (u mag drie keer raden wie) aan banden te leggen.

Uitgangspunt is dat iemands zoekgeschiedenis (natuurlijk) persoonsgebonden informatie is, en daarmee onderworpen aan de privacywetgeving. Ook als er geen naam aan vast zit: via een cookie of e-mailadres zijn mensen ook te herkennen. En de mogelijkheid dat je een stukje informatie tot iemand kunt herleiden, is genoeg om die informatie tot persoonsgegeven te maken.

Maar hoe kan Europese privacywetgeving nu van toepassing zijn op een Amerikaans bedrijf? Simpel, omdat het bedrijf apparatuur en computersystemen in Europa gebruikt. Een datacentrum in Groningen bijvoorbeeld. Of een cookie op een PC van een Europeaan.

Inderdaad, het plaatsen van een cookie op een Europese PC is genoeg om je aan de Europese wetgeving te binden. Dat concludeerde deze werkgroep al in 2002 maar toen luisterde niemand, dus zegt men het nu nog maar een keer:

The use of cookies and similar software devices by an online service provider can also be seen as the use of equipment in the Member State’s territory, thus invoking that Member State’s data protection law. … [T]he user’s PC can be viewed as equipment in the sense of Article 4 (1) c of Directive 95/46/EC. It is located on the territory of a Member State.

De specifieke regels die zoekmachines vervolgens voor hun kiezen krijgen, zijn niet verrassend: men moet blokkades zoals robots.txt respecteren, duidelijk aangeven welke informatie men verzamelt en deze zo snel mogelijk, maar uiterlijk na zes maanden weer weggooien (waar Google het niet mee eens is). Of anonimiseren, maar dat is een vrijwel onmogelijke opgave. En wie dat wil, kan zoekmachines aanschrijven met een verzoek tot inzage in het over hem opgebouwde profiel.

Wat nog opvalt, is dat het document vooral ingaat op het verzamelen van persoonsgegevens van gebruikers van de dienst (zoekopdrachten en andere informatie over zoekgedrag). Het feit dat bij indexatie van webpagina’s ook persoonsgegevens worden hergepubliceerd en op nieuwe manieren wordt gekoppeld, komt slechts heel kort aan bod. Maar dat is natuurlijk ook een vele malen complexer probleem.

Via Tweakers.

Arnoud

Richtsnoeren Persoonsgegevens: niet voor Web 2.0 (bij Netkwesties)

Geplaatst op in Privacy, nog geen reacties

Op 11 december 2007 publiceerde het College Bescherming Persoonsgegevens (CBP) de Richtsnoeren Publicatie van persoonsgegevens op internet. Hierover schreef ik een column bij Netkwesties:

WBP en Richtsnoeren zien de internetter als consument: een passieve gebruiker van informatie, wiens persoonsgegevens hem door grote bedrijven worden ontfutseld en op ondoorzichtige manier voor alle mogelijke doeleinden worden gebruikt. De WBP is bedoeld om de consument te beschermen tegen misbruik in deze ongelijke situatie. Op zich een goede zaak.

Alleen, websites zijn geen geïsoleerde silo’s meer waarin een kleine, professionele redactie publiceert en de bezoeker dit aanbod braaf consumeert. Er heeft zich de afgelopen jaren een kleine revolutie voorgedaan

Lees verder in Netkwesties: column Arnoud Engelfriet: Richtsnoeren Persoonsgegevens: niet voor Web 2.0.

Arnoud

CBP: regels privacy en persoonsgegevens op internet, nu definitief

Geplaatst op in Privacy, 5 reacties

Een verjaardagskadootje dat me niet eens was opgevallen. Op 11 december publiceerde College bescherming persoonsgegevens (CBP) de definitieve tekst van de Richtsnoeren ‘Publicatie van persoonsgegevens op internet’ (PDF). Deze Richtsnoeren leggen uit hoe het CBP vindt dat de Wet Bescherming Persoonsgegevens toegepast zou moeten worden op internet, met name bij websites en forums.

Veel kritiek, pardon feedback over het omgaan met persoonsgegevens van minderjarigen. Je mag geen stamboom met daarin de naam van je kind publiceren, om eens wat te noemen. Maar, iets belangrijker, sites zoals Hyves, Sugababes en CU2 zijn illegaal bezig omdat ze kinderen profielen laten aanmaken zonder expliciet toestemming aan de ouders te vragen. Deze regel zal grote problemen op gaan leveren voor veel sites, nu meer dan 90 procent van alle jongeren regelmatig online bezig is en 58% vaak gebruik maakt van zulke sites. Toch vindt het Cbp het door haar gepropageerde strenge regime belangrijk:

Bij publicatie op internet moet echter rekening worden gehouden met het feit dat de gevolgen pas jaren later merkbaar kunnen worden, door koppeling van gegevens over een persoon door de tijd heen, of omdat een jongere zich in een nieuwe omgeving (bijvoorbeeld bij wisseling van school) op een andere manier wil kunnen ontwikkelen dan voorheen.

Ook handhaaft het Cbp de opvatting dat een IP-adres een persoonsgegeven is (in combinatie met een datum en tijdstip). Hierop was de nodige kritiek gekomen, omdat IP-adressen eigenlijk bij elke communicatie via internet nodig zijn en de Wbp zo wel heel ruim uitgelegd wordt. Maar deze brede uitleg past binnen de wet en de Europese privacyrichtlijn.

Als laatste bleek er veel verwarring te zijn over de verschillende begrippen, en met name wat de bijbehorende consequenties zijn. Zo gaat het vaak over de “verantwoordelijke” voor een verwerking van persoonsgegevens. Deze term lijkt te suggereren dat je die persoon dan dus aan kunt spreken op de gevolgen. Verantwoordelijkheid op grond van de Wbp is echter iets anders dan aansprakelijkheid. Je kunt verantwoordelijk zijn voor een verwerking zonder aansprakelijk te zijn voor de gevolgen. Zo is Youtube niet aansprakelijk voor schade door een daar gepubliceerd filmpje waar iemand herkenbaar op te zien is. Pas als Youtube getipt wordt, en men het filmpje dan niet weghaalt, kan dat anders worden.

De beheerder van een discussieforum is daarentegen wel verantwoordelijk én aansprakelijk voor persoonsgegevens die op zijn forum geplaatst worden. Een goed moderator-team is dus erg belangrijk. Het Cbp gaat nog een stapje verder:

Houders van websites of forums zijn onder de Wbp ook verantwoordelijk voor onjuiste of onnodige vermeldingen van persoonsgegevens door de bezoekers van hun publicatie. De verantwoordelijke moet daarom actief modereren om aperte onrechtmatigheden te voorkomen, zeker als het gaat om bijzondere gegevens, zoals strafrechtelijke of gezondheidsgegevens (zie hoofdstuk I paragraaf 8). Om onrechtmatigheid van de publicatie te voorkomen, dienen verantwoordelijken ervoor te zorgen dat bijdragen alleen gepubliceerd kunnen worden op tijdstippen dat er moderatie aanwezig is.

Dat wil niet zeggen dat het dus verplicht is om alleen publicaties na moderatie te laten verschijnen. Wie die strenge regel hanteert, zit goed volgens het Cbp. Wie dat niet doet, loopt het risico dat er een bijdrage op het forum komt die achteraf gezien iemands privacy schendt. Maar als dat niet gebeurt, is er geen juridisch probleem.

De regels zijn officieel gepubliceerd in de Staatscourant 2007, 240, pag. 27.

Eerste commentaar bij Netkwesties.

Arnoud

Miljoenen kinderprofielen illegaal wegens schending privacywet

Geplaatst op in Informatiemaatschappij, Privacy, 3 reacties

Alle profielen met persoonsgegevens van kinderen tot 16 jaar op sites als Sugababes/Superdudes, Hyves en Cu2 zijn in feite illegaal, meldt Planet naar aanleiding van een symposium over sociale netten, tieners en privacy gisteren. Inderdaad.

<BR/>Privacy
Planet citeert artikel 37 van de Wet Bescherming Persoonsgegevens, maar veel relevanter is en ook het hoofdartikel artikel 5. Dit artikel bepaalt dat de voor verwerking noodzakelijke toestemming door de ouders gegeven moet worden als de persoon in kwestie nog geen zestien jaar is. Artikel 37 gaat alleen over verzoeken tot verwijderen of corrigeren van gegevens.

Hyves, Habbo en al die anderen schenden dus de privacywet omdat ze de ouders niet om toestemming vragen om profielen van minderjarige deelnemers aan te maken en te publiceren.

In Nederland is het namelijk alleen toegestaan om iets te doen met persoonsgegevens als er toestemming is van de betrokkene, de persoon om wiens persoonsgegevens het gaat. Zonder toestemming persoonsgegevens verwerken mag alleen onder strenge voorwaarden en in hele specifieke gevallen. Een krant mag bijvoorbeeld iemands naam publiceren als dat relevant is voor een verhaal. Een site mag persoonsgegevens verwerken in het kader van beveiliging, bijvoorbeeld door IP-adressen en gebruikersnamen te loggen.

Als de betrokkene dus nog geen zestien is, moeten de ouders die toestemming geven. Zoals Sjaak Nouwt van de Universiteit van Tilburg al uitlegde, zijn de regels hier strenger dan bij kinderen die iets kopen in de winkel. Ook daarvoor is formeel toestemming van de ouders nodig, maar die wordt geacht te zijn gegeven als de aankoop “normaal” is voor een kind van die leeftijd. Bij de privacywet moeten ouders echt elke keer expliciet die toestemming geven, en mag de site niet aannemen dat deze gegeven is omdat vrijwel alle kinderen online zitten.

Arnoud

Auteursrecht op foto’s bestaat niet, aldus privacy-waakhond

Geplaatst op in Intellectuele rechten, Privacy, nog geen reacties

In een artikel van het CBP foto’s en ander beeldmateriaal op internet een bijzonder opmerkelijk stukje:

Uw foto kan worden gezien als een bijzonder persoonsgegeven omdat het iets zegt over uw ras. De houder van de website mag geen foto’s van u op zijn website plaatsen zonder dat hij u daarover heeft geïnformeerd en uw uitdrukkelijke toestemming heeft gevraagd. Als u de beelden zelf openbaar heeft gemaakt, bijvoorbeeld door ze op uw eigen website te plaatsen, dan is het niet verboden om de foto verder te publiceren.

Ik denk dat de fotograaf toch nog wel iets te zeggen heeft over het herpubliceren van zijn foto’s.

Via Planet, wier vergelijking van het CBP met “een aap [die kijkt] naar een verroest horloge: niet wetend wat te beginnen” ik absoluut hilarisch vond.

Arnoud

Privacywaakhond CBP kan burgers niet langer helpen

Geplaatst op in Privacy, nog geen reacties

Mede door geldtekort gaat het College Bescherming Persoonsgegevens (CBP) zich niet langer bezighouden met privacy-problemen van privépersonen, meldt De Pers. In een memorandum op haar site legt het CBP uit waarom:

Daarnaast vinden talloze burgers en individuele professionals inmiddels de weg naar het CBP: in 2006 waren dat er 6200. … Maar eerlijkheid gebied te zeggen dat (te) veel van deze individuele voorlichtingsverzoeken en verzoeken om advies niet verder in behandeling worden genomen: wij kunnen ons , hoe graag we dat ook zouden willen, gegeven de hoogte van het aan ons toegekende budget, onmogelijk het privacyleed van een ieder aantrekken omdat dat ten koste zou gaan van ons toezicht op een selectie van ontwikkelingen die potentieel élke burger kunnen raken.

Zonder klachtmogelijkheid bij het CBP kan de burger alleen nog naar de rechter, wat niet altijd even praktisch is.

Jammer. Bewaking van de privacy is en blijft belangrijk. Ook al is wellicht nieuwe wetgeving nodig in het Internet-tijdperk.

Arnoud