Hoe gratis moet een inzageverzoek in je dossier zijn?

| AE 10619 | Privacy | 32 reacties

Een lezer vroeg me:

Als een klant gebruik maakt van het inzage- en/of dataportabiliteit recht, mag je daar dan een vergoeding voor vragen? En zo ja, hoe hoog zou een dergelijke vergoeding mogen zijn?

Onder de AVG is die vraag in theorie heel kort: Nee, dat mag niet. Dit moet allemaal kosteloos gebeuren (artikel 12 lid 4 AVG). Er zijn slechts twéé gronden om een verzoek te weigeren: het verzoek is kennelijk ongegrond, of het verzoek is buitensporig.

Een verzoek is kennelijk ongegrond als evident niet is voldaan aan de randvoorwaarden bij een verzoek, of als wordt gevraagd om iets waar men evident geen recht in de AVG op heeft. Een voorbeeld zou zijn een inzageverzoek in persoonsgegevens van een ander of een wissingsverzoek op een openstaande factuur.

Een verzoek is buitensporig als het een zeer disproportionele last legt op de verwerkingsverantwoordelijke, bijvoorbeeld wanneer elke week grote dossiers opgevraagd worden of iemand dagelijks verlangt dat zijn achternaam wordt weggehaald en vervolgens weer toegevoegd.

Ik las in diverse media dat sommige organisaties (zoals het BKR) geld blijven vragen voor inzage. Maar daar zit een truc achter: er is een gratis route, alleen vereist die papier en een hoop gedoe. Wie wil betalen, krijgt sneller antwoord en online ook nog.

Het is een tikje gek omdat artikel 12 lid 3 eist dat als iemand elektronisch een verzoek doet, daar ook elektronisch antwoord op gegeven wordt. Ik kan geen manier vinden om bij het BKR gratis een elektronisch verzoek te doen.

Wie dit irritant vindt, kan overigens het BKR bellen en vragen of ze het dossier willen voorlezen. Artikel 12 lid 1 AVG zegt namelijk dat “Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.” Je moet dus alleen wel voorafgaand aan dat gesprek aantonen dat jij het bent, die belt.

Arnoud

Moment, ik app even uw huiduitslag naar mijn collega

| AE 7823 | Privacy | 24 reacties

dokter-doctor-stetoscoop-gezondheidIn veel ziekenhuizen wisselen artsen informatie over patiënten uit via WhatsApp, meldde NRC Q op gezag van diverse medici uit verschillende ziekenhuizen. Ze gebruiken de app bijvoorbeeld voor het versturen van foto’s van aandoeningen, om aan collega’s op afstand om hulp te vragen bij een acute diagnose. Eh, wacht, wàt?

Foto’s van aandoeningen, en chatberichten met beschrijvingen van patiënten of problemen, zijn al heel snel persoonsgegevens. Zodra gegevens één persoon betreffen, is dat namelijk het geval. Ook als er geen naam of patiëntnummer bij staat. Waar het namelijk om gaat, is of identificatie redelijkerwijs mogelijk is. En met een foto van een specifieke huidaandoening of een ongelukje met een shampoofles wil dat nog wel lukken.

Dit soort gegevens zijn niet zomaar persoonsgegevens, ze zijn bijzonder. En daarvoor geldt een speciaal regime: die mag je niet gebruiken tenzij in de Wbp of andere wet expliciet staat van wel (art. 16 Wbp).

Voor medisch personeel is er een uitzondering: “voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is”. Wel moeten ze nog steeds een grondslag kunnen aanwijzen, zoals toestemming of de uitvoering van de behandelovereenkomst. Je zou dan als arts moeten zeggen, dit overleg met een collega is noodzakelijk want anders weet ik niet welke behandeling te starten. Dat kan.

Maar dan het kanaal WhatsApp, mag dat dan? Dan kom je bij de algemene eis dat persoonsgegevens veilig moeten worden behandeld. En je kunt je afvragen of dat wel goed zit bij WhatsApp. Niet dat ik gelijk NSA-niveau spionage bedoel: gewoon heel simpel, mensen kunnen je telefoon vinden en berichten lezen. Of je stuurt een bericht naar de verkeerde persoon, of diens partner leest het bericht toevallig. Of de ander vindt het een bijzondere foto en plaatst hem op Figure 1 (twijfelachtig SFW). En ja dat is dan jouw schuld want jij moest dat voorkomen.

Maar om nou te zeggen, WhatsApp bij deze verboden voor collega-overleg, dat gaat ook weer wat ver. NRC citeert een neurochirurg uit Utrecht:

“Het komt zeker veel voor dat artsen via WhatsApp overleggen en patiënteninformatie delen. Ik heb zelfs wel eens levens gered doordat we via een mobiel bericht veel sneller over een noodsituatie konden overleggen en beslissen dan via de oude systemen. Maar er zijn duidelijke privacy-bezwaren.”

En daar zit vandaag de dag precies het dilemma: het kanaal is erg handig, snel en bruikbaar, maar de privacy is bepaald niet ingeprogrammeerd en je moet maar hopen dat het goed gaat. (Goh, het lijkt internet als zodanig wel.) Terwijl de voor privacy ontworpen kanalen bepaald niet handig of snel te noemen zijn – een brief in dubbele envelop, vervoerd per koerier bijvoorbeeld – en daardoor in de praktijk dus niet werken. Wat moet je dan?

Arnoud

Mag ik citeren uit blafbrieven?

| AE 2858 | Intellectuele rechten, Privacy, Uitingsvrijheid | 21 reacties

Regelmatig krijg ik mails van mensen die boze brieven ontvangen van advocaten of zich benadeeld voelende partijen. Soms zijn die terecht, soms niet. En de ontvanger wil dan vaak het geschil delen met zijn publiek, en knalt die brieven dan online. Maar mag dat zomaar?

Een brief (of mail) is bedoeld als privécorrespondentie. Die online zetten is dan niet direct de bedoeling, maar automatisch onrechtmatig is het ook weer niet. Een privacybelang (het standaardargument bij brieven en mails) zal niet snel aanwezig zijn, het gaat immers om een zakelijke brief. Wel zul je zaken als telefoonnummers en afzendermailadressen moeten weghalen.

Wel moet er enige rechtvaardiging zijn waarom je de brief integraal online zet in plaats van eruit te citeren of in je eigen woorden te vertellen dát je zo’n brief hebt gehad. Enkel “ik wil mijn dossier compleet hebben” is niet genoeg. Waaróm moet dat dossier compleet online?

Een blafbrief kan auteursrechtelijk beschermd zijn. In het hoger beroep van de Nijntje-parodie-zaak riep de eiser wel van alles hierover, maar kwam dit niet tot een uitspraak.

In april vorig jaar verbood de rechter een partij bij een geschil om zijn dossier te publiceren omdat daar stukken van de wederpartij in zaten waar hij geen toestemming voor had. Daarbij miste ik wel enige afweging van de nieuwswaarde van die stukken, wat óók moet als het gaat om auteursrechtschending.

Een disclaimer of geheimhoudingszin onderaan die mail verandert hier niets aan overigens; zo’n tekst is niet juridisch bindend, ook niet als deze van een advocaat afkomstig is. Alleen correspondentie tussen advocaten onderling is wettelijk beschermd en mag niet zomaar online.

In de VS bestaat het Chilling Effects project, dat als doel heeft alle DMCA claims te publiceren. Dat kan daar, omdat de DMCA alléén geldt voor auteursrechtclaims en er zelden een privacy- of vergelijkbaar belang te bedenken is tegen het publiceren van een auteursrechtclaim. En auteursrecht op de notice is naar Amerikaans recht moeilijk voorstelbaar, nog even afgezien van een fair use-claim bij het publiceren. Maar in Nederland kun je takedownclaims doen op álle soorten gronden, ook smaad of privacyschending. En het automatisch publiceren van claims is dan ook iets moeilijker, want voor je het weet publiceer je intieme details waarin naar wordt verwezen in de claimbrief.

Arnoud

Dossier op internet zetten: auteursrechtschending?

| AE 2514 | Intellectuele rechten, Uitingsvrijheid | 11 reacties

Over het publiceren van dossiers is altijd veel te doen. Je eigen teksten mag je online zetten, maar mag dat ook met brieven of stukken van de wederpartij? Vorig jaar beschreef ik de regels, maar één specifiek stuk wil ik nu nader uitlichten. De rechtbank Almelo oordeelde namelijk recent dat publiceren van stukken van de… Lees verder

Ik wil mijn dossier op internet zetten, mag dat?

| AE 2108 | Uitingsvrijheid | 17 reacties

Diverse lezers vroegen me, in allerlei variaties: Al geruime tijd ben ik verwikkeld in een conflict met een niet nader te noemen instantie. Mijn klachten worden constant getraineerd en afgewezen om onterechte redenen, zelfs nadat ik reeds enkele rechtszaken heb gewonnen en ze gewoon moeten doen wat de rechter zegt. Nu wil ik dit graag… Lees verder