corona Archives - Ius Mentis

LinkedIn moet account van Tweede Kamerlid Van Haga terugplaatsen

Geplaatst op 7 oktober 20216 oktober 2021 in Ondernemingsvrijheid, Uitingsvrijheid, 13 reacties

LinkedIn moet het verwijderde profiel van Tweede Kamerlid Wybren van Haga van de rechter binnen drie werkdagen terugplaatsen, meldde de NOS gisteren. Negen specifieke verwijderde berichten hoeven niet te worden teruggezet, en Linkedin hoeft haar handelen niet te rectificeren. Het is voor zover ik weet de eerste keer dat een sociaal medium door de Nederlandse rechter wordt gecorrigeerd bij een accountverwijdering.

Het account van Van Haga werd verwijderd, nadat hij het sterftepercentage van corona volgens LinkedIn had gebagatelliseerd en had gezegd dat mondkapjes niet werken. Dergelijke uitspraken doen denken aan de diverse rechtszaken tegen Youtube, waarbij juist werd bepaald dat zo’n kanaal wél mensen mag weren op grond van haar beleid. Ook als dat tot eenzijdige beeldvorming zou leiden.

Uit het Linkedin-vonnis blijkt een cruciaal verschil: het sociale-medium-met-stropdas had niet of nauwelijks beleid geformuleerd over wanneer accounts worden opgeheven, maar was zo te lezen gebleven bij “ons café, daar is de deur als wij dat zeggen”:

Anders dan andere grote platforms inmiddels hebben gedaan, heeft LinkedIn haar beleid op dit gebied nauwelijks uitgeschreven. Zij heeft volstaan met de enkele mededeling in haar Beleidslijn dat een gebruiker ‘geen content mag delen die volledig ingaat tegen richtlijnen van toonaangevende, wereldwijde gezondheidsorganisaties en overheidsinstellingen voor volksgezondheid’. Die mededeling is weinig informatief. Zij maakt niet duidelijk waar volgens LinkedIn de grens loopt tussen berichten die volledig in strijd zijn met die richtlijnen en berichten die kritische kanttekeningen plaatsen bij die richtlijnen.

Dat je als zakelijk netwerk niet gewend bent aan onzakelijke berichten zoals die van Van Haga, is dan geen excuus. Als iets zó maatschappelijk relevant is en iedereen erover praat, dan heb je als grote professionele partij maar snel beleid te maken voordat je gaat handhaven.

Opmerkelijk is dat de rechter alvast aansluiting zoekt bij de Digital Services Act, een voorstelde Europese Verordening voor regulering van sociale media zoals Linkedin. Dat mag, want je kunt zo’n voorstel zien als hoe de regelgevende wind staat en dat gebruiken om open normen als redelijkheid en billijkheid mee in te vullen. Een van die aankomende regels is dat je mensen uitlegt waarom je een bericht of account weghaalt. En dat ging hier mis:

Die zorgvuldigheid houdt in ieder geval in dat bij iedere verwijdering notificatie aan de gebruiker plaatsvindt, waarbij, afhankelijk van de inhoud van het bericht, ernaar moet worden gestreefd de verwijdering zodanig te motiveren dat de gebruiker uit de beslissing lering kan trekken.

Ook lijkt het erop dat men na de opheffing van een tijdelijke schorsing het een tijdje heeft aangezien met nieuwe berichten die zogezegd tegen de regels zouden zijn, om dan te kunnen zeggen “nu is het genoeg, wegwezen”. Maar ook dat is niet redelijk. Je kunt natuurlijk zeggen “bij tien kleine overtredingen ben je af” maar daarmee mag je niet individuele kleine overtredingen bewust negeren tot je er tien hebt, zodat je van iemand af kunt.

De voorzieningenrechter is wel van oordeel dat “LinkedIn op goede gronden betoogt dat [Kamerlid] ’s misinformatie past in het standaard patroon van Covid-19 gerelateerde misinformatie en als zodanig schadelijk is.” Daarom hoeven de specifieke berichten die apart verwijderd waren, niet te worden teruggezet.

Arnoud

Mag je werknemers vragen of ze gevaccineerd zijn tegen het coronavirus?

Geplaatst op 15 januari 202112 januari 2021 in Ondernemingsvrijheid, Privacy, 75 reacties

Een lezer vroeg me:

Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij gevaccineerd heb. Is dat toegestaan, en maakt het uit of men dat eenmalig vraagt of het ook opslaat?

Of je besmet bent met het covid-19 virus dan wel daartegen gevaccineerd bent, of zelfs maar getest, dat zijn gezondheidsgegevens in de zin van de AVG. Het zijn immers gegevens “die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon”.

De wet is daar terecht streng in: die gegevens mogen eigenlijk niet worden verwerkt tenzij je in de wet een grondslag kunt aanwijzen waarom je het wél mag. En die is niet makkelijk te vinden, met name omdat je er altijd een noodzaak bij moet onderbouwen. Dus “het is handig” of zelfs “bij een uitbraak op kantoor gaan we failliet” is echt bij lange na niet genoeg.

Bij het temperaturen is de nodige discussie geweest. Iemands lichaamstemperatuur zegt wat (kan wat zeggen) over zijn gezondheid, dus wordt dat gegeven ook gezien als persoonsgegevens. De AP zegt daarover dat je deze niét mag nemen, tenzij je het zo doet dat het buiten de AVG valt. Dat wil zeggen: een niet-geautomatiseerde meting (dus géén warmtecamera), geen registratie of opslag van de meting en géén automatische handeling laten volgen op de meting (dus geen poortje dicht of claxon bij te hoge temperatuur).

Vragen of men gevaccineerd is of dat men besmet is (geweest), mag sowieso niet. Deze gegevens zijn ook medische persoonsgegevens, en dit registreren (in bijvoorbeeld personeelsdossier) is dus problematisch. Toestemming vragen aan personeel kan per definitie niet, want werknemers voelen zich niet vrij daarop te antwoorden. Plus: toestemming mag worden geweigerd zonder consequenties, dus wat ga je doen als een werknemer ‘nee’ zegt?

Als je om kunt gaan met werknemers die niet willen zeggen of ze besmet zijn, dan mag je het ze vragen – alleen, waarom vraag je het nog als het niet noodzakelijk is? Je hebt immers net gezegd, als ze nee zeggen, kan ik daarmee omgaan. Je werkplek is dus coronaproof en dan hoef je het niet meer te vragen. (Voor juristen: noodzaak en proportionaliteit geldt immers óók bij de toestemming als grondslag.)

In uitzonderlijke situaties zou het in het algemeen belang kunnen zijn om iemands besmetting of vaccinatie gedwongen te onthullen. De enige reële situatie lijkt te zijn in de zorg: je wilt dat een arts of verpleegkundige geen patiënten of collega’s besmet, en gezien de aard van het werk is de kans daarop veel groter dan bij andersoortig werk. Deze grond zou dus voor andere werkgevers niet mogelijk zijn om in te roepen.

Als je die benadering van temperaturen toepast op het vragen naar vaccinatie, dan zou je wellicht uitkomen bij de situatie dat de werkgever het mondeling vraagt (dus niet geautomatiseerd), de werknemer een briefje laat zien met zhaar status en de werkgever dan besluit of thuiswerken dan wel op kantoor werken toegestaan is.

Alleen; als thuiswerken mogelijk is, waarom komt die werknemer dan überhaupt naar kantoor? En als zhij op kantoor moet werken, waarom is de werkplek niet coronaproof? Iemand kan in de tijd tussen test en naar kantoor komen net besmet zijn, of uit principiële redenen niet gevaccineerd willen worden (of vanwege gezondheid niet kunnen worden). En als je werkplek coronaproof is, waarom moet je dan nog weten wie besmet dan wel gevaccineerd is?

Arnoud

Mag de horeca gasten weigeren die geen naam en contactgegevens willen geven?

Geplaatst op 14 augustus 202010 augustus 2020 in Ondernemingsvrijheid, Privacy, 33 reacties

Horecagelegenheden mogen gasten die geen naam en contactgegevens willen geven niet weigeren, las ik bij Security.nl. Dit blijkt uit een bericht van Koninklijke Horeca Nederland in reactie op de nieuwe maatregelen voor de horeca in de strijd tegen corona. Een van die nieuwe regels is dat iedere horecatent moet werken met reserveringen, ook als het een kleine zaak is. En daarbij is het vragen naar naam en contactgegevens verplicht voor contactonderzoek. Maar of je ook antwoord moet geven is dus niet duidelijk aldus de belangenorganisatie.

Dat is inderdaad een tikje dubbel van de Rijksoverheid:

Daarnaast worden alle bezoekers gevraagd zich te registreren. Bezoekers laten op vrijwillige basis naam- en contactgegevens achter zodat de GGD contact kan opnemen bij een besmetting die verband houdt met de horecagelegenheid.

Vragen is dus verplicht, maar als ik zeg “dat krijg je niet” dan heb je dus pech als horecagelegenheid. Dat riep bij velen (onder meer in de draad bij Security.nl en in mijn inbox) de vraag op of je dat niet alsnog gewoon kunt afdwingen. Het is toch jouw tent, als jij wil dat alleen bij jou bekende personen binnen zijn en dat je hun mailadres hebt dan is dat toch gewoon jouw ondernemersvrijheid?

Nou ja, niet helemaal. De hoofdregel klopt natuurlijk, maar er kunnen wel degelijk wetten zijn die jou hinderen in die vrijheid. De AVG/GDPR is hier echter echt wel een probleem. Een restaurant dat zegt “geef me naam en adres zodat ik marketing op je kan doen, anders eet je maar ergens anders” loopt tegen artikel 7 AVG aan dat zegt dat toestemming vrijwillig gegeven moet worden, zonder enige dwang.

Dit is precies de discussie van de cookiemuur: kan een ondernemer zeggen, geef me toestemming voor cookies anders geen website voor jou? De AP neigt naar de interpretatie “nee”, maar de rechter heeft zich er nog niet over uitgelaten. Ik zie zelf veel voor het standpunt van de AP, ook bij horeca want tegen de tijd dat ik daar sta om half zeven dan heb ik honger en ga ik echt geen ander restaurant opzoeken.

Praktisch gezien zou ik een nepnaam en mailadres invullen net als iedereen. En als je dat wil afvangen door een online reservering te eisen met emailvalidatie of bevestigings-06, dan prima maar dan wel (artikel 13 AVG en 11.7 Telecomwet) expliciet erbij zetten dat je me reclamemails gaat sturen én een afmeldoptie op voorhand. Doen of het alleen is voor coronatracing en dán reclame sturen is gewoon tegen de wet.

Arnoud

Moeten mensen bij een horecareservering hun contactgegevens opgeven?

Geplaatst op 27 juli 202021 juli 2020 in Informatiemaatschappij, 24 reacties

Een lezer vroeg me:

Vanwege de coronacrisis is het bij restaurants, pretparken en dergelijke verplicht om je naam en/of adres op te geven. Geldt daarvoor ook de AVG en wat moeten ze je hierover informeren? En mogen die gegevens voor marketing worden gebruikt?

Als hygiënemaatregel geldt inderdaad sinds kort dat men verplicht is vooraf te reserveren (en dat een gezondheidscheck plaats moet vinden). Althans bij grotere zalen of ruimtes waar 100 man of meer kan zitten. Kleine cafés hoeven dus niet met reservering te werken.

De meeste bedrijven kiezen voor online reserveren, en de bouwers van zulke sites kiezen dan voor de standaard aanpak waarbij mensen naam en contactgegevens opgeven. Dat is immers hoe het altijd ging. Je zou ook per reservering een random getal kunnen genereren dat mensen kunnen noemen; mogelijk doet men dit niet omdat klanten die getallen kwijtraken.

Maar je valt inderdaad onder de AVG als je mensen laat reserveren. Dat het wettelijk verplicht is, maakt dat niet anders. Dat betekent alleen dat je in je privacyverklaring aangeeft dat je het vraagt omdát het wettelijk verplicht is.

Alleen: het ís niet verplicht om contactgegevens te vragen. De noodverordening eist alleen dat plekken op reservering worden uitgegeven, niet dat je weet hoe die personen heten of hoe je ze kunt benaderen. Ja, de minister wil die gegevens daarvoor gebruiken maar dat kan alleen met aparte toestemming.

Als je dus contactgegevens vraagt bij een reservering, dan moet je uitleggen waarom je die nodig hebt. Dus niet “om uw reservering te beheren” maar concreet, wat doe je met die naam en met dat mailadres? Bevestig je het daarmee (en gaat het mailadres dus daarna weg) of kan men daarmee inloggen en annuleren? Stuur je informatie naar het 06-nummer dat je vroeg? Hoe lang bewaar je die gegevens, hoe krijgt men inzage en wanneer gooi je ze weg?

Er mag veel, maar je moet het wel aangeven. Ook direct marketing op die gegevens is toegestaan, maar daar moet je wel een opt-out bij aanbieden (op het reserveringsformulier dus, niet in de privacyverklaring) en je moet in de privacyverklaring uitleggen wat je ermee doet.

Maar let wel: als je zegt dat het wettelijk verplicht is om die gegevens te verstrekken, dan hang je. Dat is niet zo, en dan verwerk je ze onrechtmatig (want je gebruikt de verkeerde grondslag). En dan mag je niet zeggen “oh ja ik bedoelde uitvoering overeenkomst” of “het was stilzwijgende toestemming”.

Waarom werkt niemand eigenlijk met iets anders dan naam en contactgegevens bij reserveren?

Arnoud