Tag: coronavirus

About coronavirus

Subscribe Feeds

Facebook mag pagina’s offline halen die in strijd zijn met haar eigen COVID-19 beleid.

Geplaatst op in Uitingsvrijheid, 18 reacties

Facebook mag pagina’s offline halen die in strijd zijn met haar eigen COVID-19 beleid, las ik bij Rechtspraak.nl. Dat is gek, want Youtube mocht laatst juist niet bepaalde video’s offline halen omdat ze in strijd waren met haar eigen regels.

De betreffende Facebook-regels dateren uit januari. Sinds die tijd “werkt Facebook samen met wereldwijde organisaties zoals de Wereldgezondheidsorganisatie (WHO) en UNICEF om hen te helpen bij de bestrijding van verspreiding van informatie over COVID-19 die schadelijk zou kunnen zijn voor de volksgezondheid”, lees ik in het vonnis. Dat komt zo terug in de voorwaarden:

Nu mensen over de hele wereld worden geconfronteerd met deze ongekende noodsituatie voor de volksgezondheid, willen we er zeker van zijn dat onze richtlijnen voor de community mensen beschermt tegen schadelijke inhoud en nieuwe typen misbruik die zijn gerelateerd aan COVID-19. We werken eraan inhoud te verwijderen die mogelijk schade in de echte wereld kan toebrengen, zoals door ons beleid voor het verbod op de coördinatie van schade, verkoop van medische maskers en gerelateerde goederen, haatdragend taalgebruik, pesten en intimidatie en desinformatie die bijdraagt aan het risico op dreigend geweld of fysieke schade.
In juli dit jaar ontdekte horeca-belangenorganisatie Smart Exit dat haar Facebookpagina “Nee tegen 1,5 meter” was verwijderd, en bij navraag werd gemeld dat dat was vanwege overtreding van dit beleid. Ook de organisatie Viruswaanzin overkwam iets dergelijks, al blijkt vervolgens onduidelijk wat er nu precies bij wie verwijderd was. De rechtbank wijst de eis niet af vanwege deze onduidelijkheid, omdat het gaat om een algemene vraag: mag Facebook eigen beleid voeren over wat je wel  en niet mag zeggen over COVID-19?

Die discussie is terug te voeren op wat juristen noemen de horizontale werking van de vrijheid van meningsuiting. Die vrijheid geldt namelijk in principe tegen de overheid (“verticale werking”): die mag jou niet verbieden je mening te uiten, behalve voor zover noodzakelijk én wettelijk geregeld. Andere burgers (of bedrijven) zijn niet zo hard gebonden aan dat verbod. Die hoeven niet mee te werken en mogen je zelfs hinderen.

Pas als de vrijheid van meningsuiting als geheel in gevaar komt, dan kan dat anders komen te liggen. Dat is precies waar het Appleby-arrest over gaat (dat vanwege de AVG kennelijk nu het [partij]/Verenigd Koninkrijk-arrest heet):

Where, however, the bar on access to property has the effect of preventing any effective exercise of freedom of expression or it can be said that the essence of the right has been destroyed, the Court would not exclude that a positive obligation could arise for the State to protect the enjoyment of the Convention rights by regulating property rights.
Facebook heeft weliswaar een enorm bereik met haar platform, maar dat is op zichzelf nog geen argument dat zij dus maar iedere mening toe moet staan. Sterker nog: als je dat citaat hierboven goed leest, dan staat er dat in zo’n situatie de overheid iets moet doen, namelijk een wet maken om Facebook op dit punt te reguleren. Niet dat Facebook dan automatisch alles toe moet laten.

Indirect heeft de vrijheid van meningsuiting wel effect op relaties tussen burgers onderling. In juridische taal, deze werkt door in bijvoorbeeld de redelijkheid en billijkheid of de maatschappelijke betamelijkheid. Ook dan is het geen automatisme dat je dus alles moet mogen zeggen, een toetsing blijft vereist. En in dit geval valt die uit in het voordeel van Facebook:

In het licht hiervan wordt wel het volgende overwogen. Facebook handelt door haar COVID-19 beleid te hanteren voorshands niet in algemene zin in strijd met hetgeen – naar huidige opvattingen – maatschappelijk betamelijk is. Zij heeft een maatschappelijke plicht om zich te houden aan overheidsrichtlijnen, tenzij die evident onjuist zijn. Dat is voorshands niet het geval. Het wetenschappelijk en maatschappelijk debat over COVID-19 en wat passende en doeltreffende maatregelen zijn, is nog gaande.
En dan gaat de rechtbank nog een stapje verder. Want Facebook volgt de Europese aanbevelingen van de overheid, en die aanbevelingen moet je dan juist zien als een (softe) regulering van het spanningsveld tussen de uitingsvrijheid, de volksgezondheid en de belangen van Facebook en haar gebruikers. Daarmee doet Facebook dus eigenlijk al precies

En wat is nu het verschil met Youtube? Daar werd vooral gezegd dat in het algemeen kritische uitingen op overheidsbeleid en wetenschappelijke bevindingen niet zomaar tegengehouden mag worden, maar wel gevaarlijke uitingen afkomstig van een huisarts: die nemen mensen eerder serieus. Dus dat voelt als een specifieker geval dan deze uitspraak.

Arnoud

Studenten protesteren tegen tentamensoftware die beelden van hun huiskamer opslaat

Geplaatst op in Informatiemaatschappij, Privacy, 25 reacties

Kijk. Dit is dus wat ik gisteren bedoelde. “Studenten ervaren software voor online tentamens als een inbreuk op hun privacy”, meldde de Volkskrant onlangs. Schandalig, je moet tijdens tentamens iemand mee laten kijken via je webcam (én je mobiel die je op 3 meter afstand op je werkplek moet richten) zodat ze kunnen nagaan of je niet fraudeert. Dat is dus geen sterk verhaal, ondanks dat je de AVG erbij kunt halen want er zitten vast ergens bijzondere persoonsgegevens in beeld (niet gniffelen daar achterin) en oh ja er kijken algoritmes mee. Nee, hier is iets anders mis.

Sinds de coronacrisis zoekt iedereen naar manieren om op afstand te kunnen werken. Dat betekent vaak vanuit huis aan de slag, en communicatie gaat dan vaak met video want dat voelt handiger (of zo, ik ben zelf te ouderwets daarvoor). Ook bij studie of school, en dan wordt het gelijk ingewikkelder want daar moet getentamineerd of getoetst worden en daarbij ligt fraude op de loer.

De oplossing waar dan naar gegrepen wordt, is toezicht. Net als in de tentamenzaal immers. Dus je webcam aan, en om te voorkomen dat het hulpje dan achter je scherm gaat zitten (of er voor? in ieder geval, waar de webcam het niet ziet) moet er dan ook nog een opstelling met je telefoon gemaakt die dan een overzichtsbeeld geeft. En algoritmes analyseren dan de beelden op fraude-achtige signalen (iemand die door het beeld loopt, met name, of dat je opstaat) waarna je in aanmerking komt voor een extra onderzoek. Nee, word ik ook niet vrolijk van als ik mijn eigen studietijd met zulke tooling zou voorstellen.

Maar is het dan echt de beste koers om over je privacy te beginnen? Dat is dus precies wat ik gisteren bedoelde, waar het mis mee gaat met dat argument. Als je tentamen doet, moet je privacy maar even wijken, is het gemakkelijke tegenargument. In de tentamenzaal mag ook je boek geïnspecteerd en in de tas kijken bij enig vermoeden, daar moet je ook maar mee leren leven. Je wilt toch dat vak halen? Nou dan.

Het is vooral: die discussie leidt af van het werkelijke punt, dat de Volkskrant in een ander artikel aanstipte: het kan zo veel beter bij afstandsonderwijs:

Denk aan een toets waarbij een studieboek gebruikt mag worden (een openboektentamen), essays, mondelinge presentaties en ‘take home examens’, een test waarbij studenten enkele uren of dagen de tijd krijgen om een opdracht thuis uit te werken. … Geluk bij een ongeluk: dit zijn stuk voor stuk toetsen die zich lenen voor een ‘formatieve beoordeling’, waarbij het er niet om gaat of je slaagt of faalt voor een opdracht, maar je duidelijk wordt gemaakt waaraan je moet werken.

Cru gezegd: een universiteit die kiest voor digital proctoring, is lui en niet geïnteresseerd in zich aanpassen aan afstandsonderwijs. Als het onderwijs anders gaat, hoort ook de toetsing dat te worden. En dat de student dan op afstand allerlei hulpbronnen in kan zetten die hij in het zaaltje niet kan, dat is dan een gegeven waarmee je vertrekt bij je beoordelingsmethodologie. Dát zou de discussie moeten zijn, en niet hoe je toestemming voor proctoring vraagt of hoe je het beste iemands laptop inspecteert op overlegsoftware.

Arnoud

Wat gaan we doen met die corona-app van de overheid?

Geplaatst op in Privacy, Regulering, 30 reacties

De Nederlandse overheid is van plan om twee apps te gebruiken om besmettingen met het coronavirus te traceren. Dat meldde Tweakers eergisteravond. De eerste app “vertelt je of je in de buurt bent geweest van een andere gebruiker, die besmet blijkt te zijn. Je krijgt dan het advies om binnen te blijven en het verzoek om een tweede app te gebruiken”, aldus de minister. Die tweede app is bedoeld om makkelijk contact te houden met een dokter in de buurt. Het roept natuurlijk de nodige privacyvragen op, inclusief de onvermijdelijke dooddoener dat privacy zou moeten wijken voor volksgezondheid. Helaas is er nog veel onduidelijk hoe het werkt, zodat het lastig is precies te zeggen of dit nu goed gaat of niet.

Een oud gezegde in de IT luidt: ongeacht het probleem is de oplossing een database. Dat zou hier ook vrij voor de hand liggen, zeker als er met haast aan een app wordt gebouwd. De app stuurt door waar je bent geweest, dat wordt centraal opgeslagen en zodra bekend is dat persoon X besmet is, kijk je in die database welke personen bij hemhaar in de buurt waren en stuur je iedereen een quaraintaineverzoek.

Nadeel: dan heb je dus een database waar van iedere Nederlander in staat waar ie is geweest, en dat zal onvermijdelijk leiden tot feature creep en ander ongewenst gebruik. Want niets zo permanent als een noodoplossing (de noodgebouwen van mijn vwo-school stonden al 10 jaar toen ik brugwup was, en werden vijf jaar geleden gesloopt). En ik hoop dat ook de “privacy moet even wijken voor de volksgezondheid/ de economie”-mensen het met me eens zijn dat dit geen handige oplossing is.

Hoe moet het dan wel? Nou ja, uit gaan van het minimale, beginnen met privacy en dan kijken waar je aan moet knabbelen. Bijvoorbeeld heel simpel, de app houdt lokaal bij wie hij heeft gezien, en pas bij een besmetting wordt er -op peertopeer wijze- informatie uitgewisseld tussen telefoons. Ik hoef niet te weten wie er in Groningen besmet is als ik in Amsterdam thuis blijf, dus er hoeft geen database te zijn waarin mijn locatie en die van die Groningse opgeslagen is.

Is er een besmetting, dan wordt een unieke code voor het slachtoffer verspreid onder appgebruikers (zeg maar een pushbericht) en je telefoon kan dan nagaan of je die persoon in de buurt hebt gehad. Hier gaan techneuten dan los met hashing en zero knowledge proofs; ik vat dat even samen met dat je dan niet meer weet dan “je was in de buurt van een besmet iemand” en dat kan zodanig dat je niet eens een persoonsgegeven hebt in de vorm van iemands serienummer. Een uitwerking hiervan is al beschikbaar ook: Pan-European Privacy-Preserving Proximity Tracing.

Op Twitter las ik het voorstel voor, ahem, ‘Covimon Go‘ van André Koot. Die zet de toegang tot informatie voorop, wie mag erbij en waarom. Dergelijke systemen zijn bekend bij onder meer Pokemon Go, vandaar de naam. Je hebt dan niet meer nodig dan “Op deze geo heeft het afgelopen uur iemand met de status ‘besmet’ rondgehangen.” in de centrale database, en die informatie kan dan worden ontvangen door iedereen die daar ook recent geweest is. Je hebt dan niet eens een login of zelfs maar een identifier nodig.

Probleem blijft natuurlijk: hoe weten we dat iemand de status ‘besmet’ heeft? Met weinig testen is dat heel ingewikkeld, en dan heb je ook nog eens de vals positieven zoals de automobilist die naast een besmette fietser stond bij het stoplicht of bij de buren in de flat met dikke muur er tussen.

Verder werkt dit natuurlijk alleen als genoeg mensen (ik zou zeggen 80% van de bevolking) meedoen met deze app. Dat zal een heel eind lukken op vrijwillige basis, genoeg mensen willen immers weten of ze op een onveilige plek zijn geweest – en misschien kan de app zelfs zeggen, blijf even weg van locatie X want daar is net een besmetting gemeld.

Het verplicht stellen vanuit de overheid lijkt me een heel ander verhaal. Dat kan onder de AVG alleen onder de voorwaarde van artikel 6 lid 1 sub e AVG:

De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

Onder “algemeen belang” kun je ook de volksgezondheid rekenen, dus dat gaat op papier goed. Vervolgens krijg je de eis (lid 3) dat een en ander in een wet moet zijn uitgewerkt die ook nog eens de nodige waarborgen kent en de vereiste details uit de AVG (zoals bewaartermijn) uitwerkt. Vereist is ook dat de maatregel (dus het verplichte karakter) evenredig is met het belang dat de wet wil dienen.

Het komt dus neer op de vraag: moet je dit echt van iedereen eisen (de mensen zonder smartphone even uitgezonderd natuurlijk). Wat levert het op dat we niet op andere wijze kunnen bereiken, bijvoorbeeld door te zeggen: blijf gewoon binnen, zoals we nu al doen. Ik moet zeggen dat ik dat echt niet weet.

Arnoud

Volgens mij bestaat “echt geanonimiseerde data” helemaal niet bij locatiedata, maar goed

Geplaatst op in Privacy, Regulering, 12 reacties

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op echt geanonimiseerde data, las ik bij Security.nl. Deze citeert de Europese privacytoezichthouder (EDPS) die daarmee reageert op plannen van de Europese Commissie om mobiele locatiegegevens in de strijd tegen het coronavirus te gebruiken. Het punt is namelijk dat locatiedata van mensen geldt als persoonsgegevens, maar dat je wel die data grootschalig nodig hebt om een goede analyse te doen over verspreidingspatronen en dergelijke. En ja, in de AVG staat dat anonieme gegevens geen persoonsgegevens zijn. Maar het is vrijwel onmogelijk om data echt te anonimiseren. En wie denkt dat hij daarmee bezig is, is vrijwel altijd stiekem aan het pseudonimiseren.

Doel van de gegevensverzameling is verspreidingspatronen van het coronavirus in kaart te brengen. Omdat veel mensen rondlopen met mobiele telefoons, en telecomoperators daarmee in detail van de hele Europese bevolking de gangen kunnen reconstrueren (excuses als u zich nu in de koffie verslikt) is het voor de bestrijding van corona zeer nuttig om deze informatie te verkrijgen. Maar dergelijke gegevens zijn – terecht – in de AVG als persoonsgegevens aangemerkt, en kunnen dus niet zomaar even bijeengeharkt in een mega-Excel bestand (pardon, “in een big data cluster”) worden voor wat dan ook.

De EDPS is de toezichthouder op het equivalent van de AVG voor de Europese instanties. Deze heeft dus een advies uitgebracht dat zegt dat het mag als de data maar écht anoniem is. Want in de AVG (en in dat EU-equivalent) stat dat data die echt anoniem is, geen persoonsgegeven meer is. Nogal wiedes: data is echt anoniem als hij totaal niet meer tot een persoon te herleiden is, en dat is dus precies het tegenovergestelde van de definitie van een persoonsgegeven.

Het punt is natuurlijk dat het vrijwel onmogelijk is om zoiets te doen. Ja, natuurlijk denkt u meteen aan het weghalen van namen en 06/IMEI/sim-nummers maar dát is onder de AVG echt niet genoeg. De AVG noemt dat pseudonimiseren, je vervangt dan een naam door een zelfgekozen label. Maar dat is niet hetzelfde als anonimiseren, want je hebt dan nog steeds een gegeven over een persoon. Je weet alleen niet meer hoe die persoon heet (of je kunt hem niet meer bellen), maar het is nog steeds data over die persoon.

De EDPS geeft niet aan hoe dit probleem op te lossen. Ik zit er zelf ook best wel mee, volgens mij is het hier fundamenteel onmogelijk. Natuurlijk, geaggregeerde patronen zijn anoniem (want gaan niet over individuele personen) maar om die te maken moet je eerst de persoonsgebonden brondata hebben. En tot dat punt zit je dus gewoon met de AVG als telecomoperator. Het enige wat ik kan bedenken is dan ook dat die operators de bronbewerkingen doen en de Europese instanties vanaf daar verder gaan. Maar dat lijkt me minder effectief dan dat één organisatie direct (en alleen voor dit doel) met álle data aan de slag kan.

Arnoud

Mijn werkgever eist dat ik naar de fabriek kom maar ik kan prima thuiswerken, wat nu?

Geplaatst op in Ondernemingsvrijheid, 28 reacties

Een lezer vroeg me:

Ik ben systeembeheerder bij een productiebedrijf, en ik houd onder meer toezicht op essentiële processen. Dat is vergaand geautomatiseerd en ik kan dan ook prima vanuit huis werken, in het verleden ook wel gedaan zonder enige klachten. Nu zegt mijn werkgever echter dat ik op het werk moet komen, maar gezien de adviezen van het RIVM lijkt mij dat heel onverstandig. En dus ook niet nodig. Kan hij me werkelijk daartoe verplichten, wat moet ik doen?

Mijn eerste advies is om dit direct bij vakbond of OR neer te leggen, want dit zal bij meer werknemers spelen en het is handig als je dan samen op kunt trekken.

Op zich kan de werkgever eisen dat je naar het werk komt, dat is immers wat in het arbeidscontract staat. Maar een goed werkgever (art. 7:611 BW) houdt rekening met reële belangen van de werknemer, en als dat hier een kans op besmetting inhoudt zonder inhoudelijke noodzaak dan zie ik niet hoe je als goed werkgever thuis kunt werken.

Een echte noodzaak voor een systeembeheerder kan ik zo niet bedenken. Ja, het fysiek resetten van een server of het vervangen van een harddisk is natuurlijk lastig op afstand te doen, maar ook daar zijn oplossingen voor waardoor continu aanwezig zijn echt niet hoeft.

Ik zou hem de situatie nogmaals uitleggen (formele mail) en dan vragen om de redenen waarom er echt onmogelijk thuis gewerkt kan worden. Blijf redelijk, stel je open op, je wilt wel maar tot nu toe is het onbegrijpelijk helaas, als het moet dan moet het maar waarom moet het.

Arnoud

Kan ik me op overmacht beroepen vanwege het coronavirus?

Geplaatst op in Ondernemingsvrijheid, 10 reacties

Menig ondernemer worstelt hoe verder te werken nu het coronavirus de hele maatschappij opschudt. Thuiswerken is het devies, maar lang niet bij alle vormen van ict-dienstverlening is dat een werkbare oplossing. Daardoor komen deadlines in gevaar, komen projecten niet af zoals gewenst of wordt bestelde apparatuur niet geleverd. En dan gaan mensen, alle verhalen over coulant en samen ten spijt, toch eens in de contracten kijken hoe ze die leverancier kunnen aanpakken dan wel de levering uit kunnen stellen. En dan krijg je als jurist dus veelvuldig de vraag, is dit nu overmacht, dat virus?

We spreken van overmacht als zich een situatie voordoet die een contractspartij boven de macht gaat, waardoor zhij niet kan doen wat zhij had beloofd. Dat kan dus voor beide partijen gelden, een leverancier kan wellicht door overmacht niet leveren en een klant kan soms door overmacht niet betalen. In juridische taal (art. 6:75 BW):

Een tekortkoming kan de schuldenaar niet worden toegerekend, indien zij niet is te wijten aan zijn schuld, noch krachtens wet, rechtshandeling of in het verkeer geldende opvattingen voor zijn rekening komt.

Dat “niet zijn schuld” is dus het stukje boven de macht. Maar er staat nóg een belangrijke zinsnede: het moet niet alsnog voor jouw rekening komen. Er zijn dingen die je boven de macht gaan maar die we tóch jouw probleem vinden. Een zieke docent die om 8:35 afbelt bij de cursus die om 9 uur begint, dat is weliswaar overmacht (want aan ziek worden doe je niets) maar als cursusorganisatie moet jij dit probleem toch maar oplossen.

Oplossen betekent in de praktijk meestal dat je moet betalen. Juridisch gezegd, de tekortkoming is jouw schuld en dan ontstaat de plicht tot schadevergoeding. Die cursisten mogen dus hun reiskosten komen declareren, om eens wat te noemen. Mogelijk zelfs de gederfde uren omzet, aangenomen dat ze nu niet alsnog naar hun werk kunnen gaan. En oh ja, de cursuslocatie wil ook graag gewoon de daghuur.

De slimmeriken hadden ondertussen al gezien dat er bij dat “voor zijn rekening” onder meer stond “rechtshandeling”, en dat betekent dat je kunt afspreken wanneer iets wel of niet overmacht is. Een béétje (ICT- of ander) contract heeft dan ook een uitgebreide riedel met een definitie van overmacht plus een serie gebeurtenissen die daar dan wel (of juist niet) onder valt. Die cursusaanbieder kan ziekte gewoon in die lijst zetten en daarmee de reiskostendeclaraties afwijzen.

Punt is wel: het moet nog steeds gaan om een situatie die je boven de macht gaat. Een zzp’er die ziek is, die kan zeggen dat ziekte overmacht is want hij kan nu niet leveren. Dat houdt gewoon op. Maar een bedrijf met 80 programmeurs kan prima doorwerken en een vervanger regelen voor een zieke ontwikkelaar (en nee, “Wim is zo goed in z’n werk dat zijn uitval telt als overmacht” komt niet door de giecheltoets). Ik kwam een keer een datacenter tegen dat in haar AV “brand” als overmachtsituatie had opgenomen; een brandje bij de receptie in de prullenbak levert natuurlijk nog steeds juridisch geen overmacht op.

Bij het coronavirus is dus echt nog de open vraag of het voor jouw bedrijf écht overmacht oplevert. Als je kunt thuiswerken, ook al ben je dan minder productief, dan zou ik niet zeggen dat je in een overmachtsituatie zit. Zou je net vrijdag een nieuw ict-netwerk uitrollen en zitten de printers nog in Wuhan in quarantaine, dan zou ik dat wel overmacht noemen. Daar is even niet zo veel aan te doen. (Tenzij een andere leverancier gewoon wel op tijd die printers kan leveren, ook al is het ietsie duurder.)

Arnoud

Oke mag ik dan wél thuiswerken (of e-lesgeven) van de AVG vanwege het coronavirus?

Geplaatst op in Ondernemingsvrijheid, Privacy, 7 reacties

Nederland is koploper thuiswerken, las ik op diverse plekken. Bestrijding van het coronavirus vereist dat we onszelf zo veel mogelijk isoleren, en thuiswerken is dan ook een logische maatregel (en ja, mijn kantoor is natuurlijk ook dicht nu). Ook het onderwijs is dicht, en daar wordt nu ook breed gegrepen naar elearning en video-oplossingen. En ja, vorige week was ik ook al aan het zeuren over de AVG maar ik kom er toch nog eens op terug want ik zie toch veel misgaan bij de snelle keuze voor video, monitoring en onderwijs op afstand.

Natuurlijk snap ik dat het nu voor iedereen hoogst acuut is om toch even iéts te kunnen realiseren. Geen onderwijs of niet kunnen werken is erger dan kunnen werken met een suboptimale tool. Mijn zorg is alleen vooral dat als we over een aantal maanden, als dit virus weer onder controle is, we blijven werken met deze tools omdat het nu eenmaal lekker werkt. Toch even verder kijken en onderzoeken lijkt me dan ook wel verstandig.

Het probleem zit hem wat mij betreft vooral in het feit dat de snelst inzetbare thuiswerk- en elearningtools uit Amerika komen. De regels over privacy zitten daar, laten we zeggen, net even anders dan bij ons. De aanbieders van die tools beschouwen de gebruikers als de ruwe grondstof voor het verbeteren van hun dienstverlening, al dan niet gekoppeld aan advertentieverkoop of profileren. En dat mag prima in de VS, moet je de privacyverklaring maar lezen en/of de voorwaarden maar afwijzen als het je niet bevalt. En dat is natuurlijk een volkomen absurde fictie maar wel het geldend recht in Amerika.

Hier zouden we iets veiliger moeten zitten omdat de AVG rare voorwaarden verbiedt. Zo kun je niet in gebruiksvoorwaarden akkoord gaan met het monitoren van je elearning- of thuiswerkgedrag door de dienstverlener, of voor het analyseren daarvan voor het ahem “verbeteren van de dienstverlening”. Je zult heel expliciet (dus met een privacyverklaring in eenvoudige taal) moeten uitleggen wat dat precies inhoudt en hoezo die dienstverlener dat zelf gaat doen.

Daarnaast hebben thuiswerk- en elearning tools nog wel eens monitoring features waar we in Europa de wenkbrauwen juridisch van fronsen. Ik blogde al over die webcam die foto’s maakt om je werk te monitoren, maar ook bij studenten en scholieren blijkt er te kunnen worden meegekeken door docenten zonder dat dat gemeld is bij de ouders (of meerderjarige studenten zelf). Dat is natuurlijk heel erg niet de bedoeling.

In het onderwijs zou ik zo hard mogelijk willen benadrukken: kijk bij het privacy Convenant voor partijen waar je wél keurig onder de Europese regels kunt werken. Voor werkgevers is er niet direct zo’n site maar je kunt natuurlijk wel gewoon kiezen voor een Europese leverancier die zelf durft te zeggen dat hij GDPR compliant is terwijl er geen toestemmingsknopje in beeld komt bij de installatieprocedure. (Wie om toestemming vraagt, doet het fout onder de AVG.)

Arnoud

En nee, ook los van de AVG mag je werknemers (of klanten) niet temperaturen natuurlijk

Geplaatst op in Ondernemingsvrijheid, Privacy, 65 reacties

Ja, dat coronavirus blijft me zakelijk bezighouden. Kennelijk hebben een hoop mensen het in hun hoofd gekregen dat het temperaturen van bezoekers van je pand (dus personeel, maar ook zzp’ers en klanten) een nuttig idee is vanuit preventie. Ik kreeg dan ook menig journalist en werknemer in de mail met de vraag: mag je van de AVG je werknemers preventief temperaturen? Voor u verder leest: wat denkt u zelf?

Eh nee, je blijft als werkgever uit de lichaamsopeningen van je personeel. Het lijkt me vrij logisch dat dat iets is dat een goed werkgever gewoon niet doet. Dan kun je honderd redenen hebben om iets te willen weten, de lichamelijke integriteit van mensen wint gewoon van jouw zakelijk belang.

Dan heb je dus werkgevers die zeggen, ik neem zo’n contactloze thermometer zoals van het plaatje hierboven. Maar ook met zo’n contactloze thermometer gaat het niet. Die meet elektronisch en je verwerkt dan bijzondere persoonsgegevens over gezondheid. Dat mag niet als werkgever, daar heb je een arts voor nodig. Ja, ook als het iets is dat zo’n apparaat zegt dat iedereen kan. En ook als het iets is dat je thuis ook bij partner of kind doet. Op het werk gelden nu eenmaal andere regels.

En dat je een arts moet zijn, daar is een goede reden voor. Het idee achter een temperatuur nemen is dat je bezig bent met een diagnose stellen, en dat is nou eenmaal iets dat voorbehouden is aan artsen. Een van de mensen die me mailde, werd bijvoorbeeld geweigerd vanwege lichaamstemperatuur 37,8 – wat kwam omdat hij in motorpak snel naar het datacenter moest waar een cruciaal probleem moest worden opgelost. Oh ja, en hij hoestte omdat er drie man buiten stond te roken waar zijn astma niet zo goed tegen kan. Een arts zou dan zeggen, dat is geen coronoavirus, komt u binnen.

Bovendien, wat ga je doen? Iemand ziek verklaren die zich zelf gezond vindt, dat kan haast niet. Naar huis sturen preventief kan, maar dat is vrijstellen van werk dus je verzekering of UWV gaan niets betalen. En een klant wegsturen omdat zijn temperatuur te hoog is, ik zou niet eens wéten waar te beginnen in het salesgesprek.

Arnoud