Hoe navigeer je tussen werkbare procedures en de omstandigheden van het geval?

| AE 11547 | Informatiemaatschappij | 3 reacties

Mijn oog viel op deze tweet van de Engelse toezichthouder, waar ik een tikje van opkeek:

Hi, orgs should not look to adopt a blanket approach in asking for ID when responding to a SAR [inzageverzoek onder de AVG]. They should consider each request on a case by case basis and identify which form of ID is most proportionate if required.

De tweet was een reactie op een vraag van de onvolprezen privacyvoorvechter Pat Walshe, die constateerde dat je bij het vragen van een kopie van je persoonsgegevens bij Engelse politieke partijen altijd een kopie ID moet meesturen. Uit de reactie valt op te maken dat dat niet mag, en dat een organisatie dus per verzoek moet kijken of de persoon duidelijk geïdentificeerd is als de betrokkene en zo nee wat in dat geval het handigste is.

Mijn wenkbrauwen fronsen bij zo’n benadering, omdat ik net daarvoor dit onderzoek las over waarom organisaties regels schenden. Iets dat voor juristen vaak moeilijk te vatten is. Het staat toch in de wet dat dat niet mag, opgelost slotje. Maar voor organisaties werkt dat niet zo:

Because organizations rely on routines for following rules, complex rules would require complex routines, which would be harder to execute reliably. As expected, both types of rule complexity increased noncompliance. The two also reinforced one another such that having many components and connections made it far more likely that the rule would be broken.

Met name die eerste zin springt in het oog natuurlijk: organisaties werken altijd met routines, met procedures. Dat is de enige manier om het werkbaar te houden voor de mensen die het moeten doen. Elk geval toetsen op de individuele merites is ongelofelijk kostbaar en geeft veel ruimte voor onduidelijkheid. Het voelt dan ook wat onwerkbaar wat de ICO hier zegt.

Natuurlijk is het niet perse zo dat je altijd een kopie ID kunt vragen en anders stomeenvoudig zeggen, uw verzoek wordt afgewezen. Je moet een controle hebben die past bij de situatie. Als mensen bijvoorbeeld zich online aanmelden voor je dienst (zoals bij de bekende “Mijn Dinges” portalen) dan is een aanvullende identificatie niet nodig. En staan ze aan de balie, dan kun je gewoon hun ID bekijken zonder dat een kopie nodig is. Dat zijn prima procedures.

Maar écht maatwerk, dat zou de uitzondering moeten zijn. Ik vrees dat het juist eerder misgaat als ieder geval als maatwerk wordt behandeld. Dat duurt langer, leidt tot willekeur en fouten.

Arnoud

Mag het systeembeheer zomaar zelf regels maken?

| AE 7988 | Ondernemingsvrijheid, Security | 19 reacties

bofh-systeembeheerEen lezer vroeg me:

Bij ons bedrijf heerst een erg open cultuur, behalve bij onze systeembeheerders. Die zijn erg tegen gebruikers die zelf dingen installeren of eigen apparatuur aansluiten. Zo verbieden ze gebruik van Dropbox en het mailen van gegevens naar je privéadres, en dat wordt steeksproefgewijs gecontroleerd door een beheerder. Kan dat zomaar, mogen zij de regels maken?

Binnen een bedrijf maakt de directie de regels. Zij hebben daar grote vrijheid in. Als zij iedereen op Windows willen laten werken, heb je als Mac-fan toch echt pech. Vinden zij Dropbox stom, dan mag je geen Dropbox gebruiken hoe handig het ook is en hoe ongefundeerd hun reden om Dropbox te weigeren ook is.

De directie mag die regelmakende bevoegdheid delegeren, bijvoorbeeld naar de IT-afdeling. Dat hoeft niet heel expliciet te gebeuren, maar vaak zie je dat de directie überhaupt geen mening heeft over ICT en erop vertrouwt dat het systeembeheer in staat is de goede regels te maken.

Als het beheer dan weinig feeling heeft met de cultuur in het bedrijf, dan krijg je dus situaties als van deze vraagsteller. Streng beleid is begrijpelijk vanuit een beheer-achtergrond, en als je in de positie bent dat te mogen invoeren dan krijg je dat ook.

De handhaving van zulk beleid middels steekproeven is iets gevoeliger. Er mag niet zonder reden worden gesteekproefd in accounts of apparatuur van werknemers, ook niet als het werkgerelateerde bestanden of dingen betreft. Je loopt al heel snel tegen de privacy van de werknemer aan, zeker in een bedrijf waar een open cultuur heerst en het dus toegestaan is om privédingen te doen op je werkcomputer of met je werkaccount.

Op zijn minst moet er expliciet beleid zijn dat regelt wanneer accounts of apparatuur mogen worden doorzocht en welke waarborgen omtrent privacy er zijn. Dat beleid mag de directie aan de IT-afdeling laten, maar het moet er wel zijn. En als een bedrijf een open cultuur heeft, dan verwacht ik niet dat de directie snel zulk beleid wíl gaan maken. Het botst immers nogal met elkaar.

Een echte oplossing heb ik niet, behalve “ga eens met z’n allen op de hei zitten en verzin iets dat voor iedereen werkt”. Je verschuilen achter beleid en security is natuurlijk dé manier om een bedrijfscultuur om zeep te helpen.

Arnoud

Gastblog: Je kind online in de gaten houden, hoe ver mag je gaan?

| AE 7902 | Privacy | 5 reacties

kinderen-oppassen-bord-verkeersbord-waarschuwing.pngOmdat ik met vakantie ben vandaag een gastbijdrage. Vandaag: Noortje Mulder over wanneer ouderlijk toezicht uitmondt in spionage.

Sociale media zoals Facebook, Twitter en Instagram worden volop door kinderen en jongeren gebruikt en er zijn tal van websites die zich specifiek op kinderen richten. Op dit moment is het echter nog onduidelijk hoe kinderrechten ‘online’ het best kunnen worden gewaarborgd. Tot dusver is de aandacht voornamelijk uitgegaan naar de betekenis van kinderrechten in de relatie tussen het kind en derden buiten gezinsverband, waarbij de verantwoordelijkheid van ouders voor het geven van de juiste begeleiding aan hun kinderen vaak wordt benadrukt. Volgens de wet zijn de ouders (of voogden) immers hoofdverantwoordelijk voor het welzijn en de bescherming van hun kinderen. Maar wat betekent de wet nu in de ‘online omgevingswereld’ van kinderen? Wat betekent de wet nu voor kinderen op sociale media?

De wet (artikel 1:247 lid 1 en 2 BW) en artikel 5 en 18 VN-Kinderrechtenverdrag bepaalt dat ouders een zorgplicht hebben om hun kind op te voeden. Nergens wordt echter specifiek uitgelegd op welke manier ouders dit het beste kunnen doen. Dit heeft uiteraard zo zijn voordelen. Ouders hebben immers het recht om de opvoeding naar eigen inzicht in te richten, zolang het belang van het kind hierbij maar het uitgangspunt vormt. Ouders staan tegenwoordig echter voor opvoedingsvraagstukken die in hun eigen kindertijd niet aan de orde waren. Hierdoor zullen ouders soms niet goed weten waar zij en hun kinderen aan toe zijn, wat tot onzekerheid en (over)bezorgdheid kan leiden. Nieuwsberichten over online-pesterijen en jihad-tienerbruiden dragen hieraan bij.

Deze angst leidt er soms toe dat ouders doorslaan in hun beschermingsplicht, waardoor zij het kind online nauwlettend in de gaten willen houden. In dit gat in de markt zijn diverse bedrijven gesprongen die zogenaamde parental monitoring-software aanbieden, welke zeer intensief ouderlijk toezicht mogelijk maakt. Dergelijke software biedt de mogelijkheid om mee te kijken met letterlijk álles wat het kind online uitvoert. Hierbij valt te denken aan wachtwoorden, toetsaanslagen, surfgeschiedenis, verstuurde en ontvangen bestanden/e-mails, privégesprekken. Kortom: het kind heeft vrijwel geen privacy meer ten opzichte van diens ouders. Gaat dit niet een beetje te ver?

Ouders zijn verantwoordelijk voor de verzorging en opvoeding van hun kinderen. Zij dienen het welzijn en de ontwikkeling van het kind bevorderen en te beschermen tegen schadelijke invloeden. Om het kind bescherming te kunnen bieden zullen ouders moeten weten wat het kind bezighoudt, wat ouderlijk toezicht tot op zekere hoogte noodzakelijk maakt. Tot op zekere hoogte. Volgens artikel 16 van het VN-Kinderrechtenverdrag heeft het kind namelijk recht op privacy. Dit recht geldt óók ten opzichte van diens ouders. Ondanks dat het kind dit recht heeft, blijkt dit in de praktijk niet altijd (strikt) te worden nageleefd. Het is natuurlijk begrijpelijk dat ouders niet denken in een ‘rechten-context’ bij de opvoeding. Daarnaast zullen de meeste ouders goede bedoelingen hebben wanneer zij parental monitoring-software gebruiken om toezicht te houden op hun kind.

Te vergaand toezicht zou het kind echter kunnen schaden. De meeste kinderen zullen immers gekwetst zijn wanneer zij de ‘online spionage’ van hun ouders ontdekken, wat hun (vertrouwens)relatie geen goed zal doen. Ook kan de ontwikkeling van het kind belemmerd worden wanneer het onvoldoende vrijheid krijgt om zichzelf te ontplooien. Daarnaast is het van groot belang dat ouders op een zorgvuldige manier omgaan met de in dit verband verzamelde gegevens van het kind. Zij horen deze bijvoorbeeld niet zomaar te delen met derden, zoals schoolleiding of andere ouders.

Maar wanneer gaat ouderlijk toezicht nu te ver? Deze vraag is lastig te beantwoorden, gelet op de dubbele rol die ouders hebben ten aanzien van de privacy van het kind. Enerzijds dienen zij het kind te beschermen, waardoor zij de privacy van het kind mogen beperken. In de meeste gevallen zal het beschermingsbelang van het kind een beperking van diens recht op privacy door de ouders rechtvaardigen. Anderzijds dienen zij zich niet onnodig te mengen in het privéleven van hun kind, laat staan bewust inbreuken daarop te maken. Hierbij valt te denken aan het niet zomaar plaatsen van foto’s en filmpjes van kinderen op sociale media-platformen, zoals de Facebook-pagina’s van de ouders zelf, maar ook aan het houden van te intensief ouderlijk toezicht. In artikel 5 van het VN-Kinderrechtenverdrag wordt gesteld dat ouders hun kinderen ‘passende leiding en begeleiding’ moeten geven bij de uitoefening van hun rechten, wat onder andere betekent dat ouders rekening moeten houden met de leeftijd en ontwikkelingsniveau van het kind en dat zij ook de mening van het kind moeten betrekken bij het nemen van opvoedingsbeslissingen (Zie hiervoor ook artikel 12 VN-Kinderrechtenverdrag). Aangezien opvoeding gericht dient te zijn op het toewerken naar de zelfstandigheid van het kind, zal het kind naarmate het opgroeit steeds meer de kans hiertoe moeten krijgen. Ouders dienen hun betrokkenheid dus continue aan te passen en toezicht te houden op een wijze die de ontwikkeling van het kind ondersteunt.

Kort gezegd: ouders moeten doen wat het beste voor het kind is. Maar wat als ouders simpelweg niet weten wat ‘passende leiding en begeleiding’ is? Dit is immers ook sterk afhankelijk van het kind in kwestie en de omstandigheden van het geval. Ondanks dat de meeste ouders het beste met hun kind zullen voorhebben, zullen er gevallen zijn waarin ouders de privacy van hun kind onvoldoende respecteren. In de eerste plaats omdat ouders het meekijken met het internetgedrag van het kind niet direct zullen zien als een privacy-inbreuk. Gelet op de mogelijkheden van parental monitoring-software, komt het er echter op neer dat vrijwel niets van het kind meer privé is. In wezen is dit vergelijkbaar met een ouder die in de struiken gaat liggen bij het schoolplein om zo álles te kunnen zien. Een beetje overdreven, wat mij betreft. Onder bepaalde omstandigheden kan intensief toezicht natuurlijk gerechtvaardigd zijn, maar dat moet dan –alle omstandigheden meegenomen- in het belang van het kind zijn. Bijvoorbeeld omdat dit de enige mogelijkheid is om het kind te beschermen. Een ander belangrijk punt hierbij is dat ouders soms op onzorgvuldige wijze met de door hen verzamelde gegevens van het kind omgaan. Dit zou de belangen van het kind ernstig kunnen schaden, gelet op het feit dat –vooral bij het gebruik van parental monitoring-software- de verzamelde informatie erg omvangrijk kan zijn en daarnaast vaak privacygevoelige inhoud heeft.

De meeste ouders zullen zich niet bewust zijn van de betrokken belangen en mogelijke risico’s. Ik pleit er daarom voor om ouders hierover voor te lichten en hen hulpmiddelen aan te bieden ter ondersteuning van hun opvoedingstaak. Het antwoord op de vraag wanneer ouderlijk toezicht te ver gaat is zoals gezegd afhankelijk van de omstandigheden van het geval. De ondersteuning zal daarom vooral gericht moeten zijn op het verduidelijken van de betrokken belangen, zodat ouders hier zelf een goede afweging tussen kunnen maken. Het doel hiervan is om ouders te ondersteunen in de uitoefening van hun opvoedingstaak, wat uiteindelijk moet leiden tot een betere waarborging van het recht op privacy van het kind.

Eleonora Mulder is onlangs afgestudeerd aan de Universiteit Utrecht, Master Privaatrecht. Haar masterscriptie schreef zij over het onderwerp ‘Ouderlijk toezicht en het recht op privacy van het kind in de digitale samenleving’, waarbij de vraag naar de grenzen aan het ouderlijk gezag –in het bijzonder met betrekking tot het houden van toezicht op het internetgedrag van het kind – en de wenselijkheid van regulering hiervan centraal stond.