Mag je inzage in je emailarchief weigeren onder de AVG?

| AE 12029 | Privacy | 21 reacties

Wat moet je doen als iemand inzage eist in emails die jij in je archief hebt? Met die vraag zag de rechter zich recent geconfronteerd in een zaak tussen zo te lezen een student (of medewerker) en een universiteit. De eerste wilde inzage in emails over hem, de organisatie weigerde dat voor een groot deel.

Bij elke AVG cursus is het weer een verrassing: het inzagerecht onder de AVG kun je ook uitoefenen op emails en andere informele documenten waarin je persoonsgegevens staan. Dat recht (op een kopie en uitleg van je persoonsgegevens) is niet beperkt tot formele dossiers of gestructureerde bestanden. En ja, dan heb je een probleem als je je emails niet netjes archiveert. Gelukkig voor organisaties staat daar tegenover dat als iemand zegt “ik wil alles dat u heeft” je niet elke backuptape op een eventuele nog in de prullenbak zittende mail hoeft na te lopen.

Een lastiger probleem is dat emails natuurlijk meer bevatten dan enkel je persoonsgegevens. Of dat de persoonsgegevens niet zuiver feitelijk zijn maar bijvoorbeeld een beoordeling – denk aan de mail van je manager aan HR over een recent incident waar je bij betrokken was, of de Slack-chatdiscussie over je sollicitatie vanochtend. Dat zijn dan wel persoonsgegevens van jou – ze zeggen iets over jou – maar dat is ook een stukje privé van die manager of collega’s.

De AVG kent daar een oplossing voor: op grond van artikel 23 (lid 1 sub i) hoef je geen persoonsgegevens te verstrekken voor zover dat noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Dat is geen vrijbrief om te weigeren: het komt neer op dat je moet witmaken (niet zoals het COA) of weglaten wat je echt niet kunt onthullen. En ja, dat is een afweging per geval, geen generieke “emails bevatten interne opvattingen en worden dus niet verstrekt”.

In deze zaak was een berg mails weggelaten:

De rechtbank verwijst onder meer naar de e-mails met de nummers 4, 9, 12, 15, 17, 24, 39, 42, 47, 48, 52, 54, 58, 63, 66-68, 73, en 91. De rechtbank noemt als voorbeeld de passages die beginnen met: ‘Een email van een [naam] , die (…)’ in document 9, ‘Officieel zou [eiser] moeten aanvragen maar, (…)’ en ‘Waarschijnlijk omdat [eiser] (…)’ in document 12, ‘De heer [eiser] is sinds begin dit jaar al (…)’ in document 15 en ‘De goedkeuring door [verweerder] heeft lang op zich laten wachten door moeizame communicatie (…)’ in document 24. Deze passages, en ook andere in de hiervoor genoemde e-mail nummers, bevatten naar het oordeel van de rechtbank feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen van eiser. Door deze passages in de e-mails niet in het verwerkingsoverzicht te vermelden dan wel van deze passages geen afschriften aan eiser te verstrekken, kan eiser niet controleren of verweerder zijn persoonsgegevens op juiste wijze heeft verwerkt.

Ook dergelijke mails moeten dus worden verstrekt, zij het dat je irrelevante passages (die dus niet over de persoon gaan) mag weglaten. Maar je moet dan wel een motivatie per passage hebben waaróm het irrelevant is. Enkel de algemene formule dat het “gaat om interne notities die persoonlijke gedachten van medewerkers van [verweerder] bevatten en uitsluitend voor intern overleg en beraad zijn bedoeld”, is daarbij niet genoeg. De universiteit mag dus terug naar de tekentafel en opnieuw per mailtje bedenken waarom ze niet mogen worden ingezien.

Arnoud

Hoe gratis moet een inzageverzoek in je dossier zijn?

| AE 10619 | Privacy | 32 reacties

Een lezer vroeg me:

Als een klant gebruik maakt van het inzage- en/of dataportabiliteit recht, mag je daar dan een vergoeding voor vragen? En zo ja, hoe hoog zou een dergelijke vergoeding mogen zijn?

Onder de AVG is die vraag in theorie heel kort: Nee, dat mag niet. Dit moet allemaal kosteloos gebeuren (artikel 12 lid 4 AVG). Er zijn slechts twéé gronden om een verzoek te weigeren: het verzoek is kennelijk ongegrond, of het verzoek is buitensporig.

Een verzoek is kennelijk ongegrond als evident niet is voldaan aan de randvoorwaarden bij een verzoek, of als wordt gevraagd om iets waar men evident geen recht in de AVG op heeft. Een voorbeeld zou zijn een inzageverzoek in persoonsgegevens van een ander of een wissingsverzoek op een openstaande factuur.

Een verzoek is buitensporig als het een zeer disproportionele last legt op de verwerkingsverantwoordelijke, bijvoorbeeld wanneer elke week grote dossiers opgevraagd worden of iemand dagelijks verlangt dat zijn achternaam wordt weggehaald en vervolgens weer toegevoegd.

Ik las in diverse media dat sommige organisaties (zoals het BKR) geld blijven vragen voor inzage. Maar daar zit een truc achter: er is een gratis route, alleen vereist die papier en een hoop gedoe. Wie wil betalen, krijgt sneller antwoord en online ook nog.

Het is een tikje gek omdat artikel 12 lid 3 eist dat als iemand elektronisch een verzoek doet, daar ook elektronisch antwoord op gegeven wordt. Ik kan geen manier vinden om bij het BKR gratis een elektronisch verzoek te doen.

Wie dit irritant vindt, kan overigens het BKR bellen en vragen of ze het dossier willen voorlezen. Artikel 12 lid 1 AVG zegt namelijk dat “Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.” Je moet dus alleen wel voorafgaand aan dat gesprek aantonen dat jij het bent, die belt.

Arnoud

Moment, ik app even uw huiduitslag naar mijn collega

| AE 7823 | Privacy | 24 reacties

dokter-doctor-stetoscoop-gezondheidIn veel ziekenhuizen wisselen artsen informatie over patiënten uit via WhatsApp, meldde NRC Q op gezag van diverse medici uit verschillende ziekenhuizen. Ze gebruiken de app bijvoorbeeld voor het versturen van foto’s van aandoeningen, om aan collega’s op afstand om hulp te vragen bij een acute diagnose. Eh, wacht, wàt?

Foto’s van aandoeningen, en chatberichten met beschrijvingen van patiënten of problemen, zijn al heel snel persoonsgegevens. Zodra gegevens één persoon betreffen, is dat namelijk het geval. Ook als er geen naam of patiëntnummer bij staat. Waar het namelijk om gaat, is of identificatie redelijkerwijs mogelijk is. En met een foto van een specifieke huidaandoening of een ongelukje met een shampoofles wil dat nog wel lukken.

Dit soort gegevens zijn niet zomaar persoonsgegevens, ze zijn bijzonder. En daarvoor geldt een speciaal regime: die mag je niet gebruiken tenzij in de Wbp of andere wet expliciet staat van wel (art. 16 Wbp).

Voor medisch personeel is er een uitzondering: “voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is”. Wel moeten ze nog steeds een grondslag kunnen aanwijzen, zoals toestemming of de uitvoering van de behandelovereenkomst. Je zou dan als arts moeten zeggen, dit overleg met een collega is noodzakelijk want anders weet ik niet welke behandeling te starten. Dat kan.

Maar dan het kanaal WhatsApp, mag dat dan? Dan kom je bij de algemene eis dat persoonsgegevens veilig moeten worden behandeld. En je kunt je afvragen of dat wel goed zit bij WhatsApp. Niet dat ik gelijk NSA-niveau spionage bedoel: gewoon heel simpel, mensen kunnen je telefoon vinden en berichten lezen. Of je stuurt een bericht naar de verkeerde persoon, of diens partner leest het bericht toevallig. Of de ander vindt het een bijzondere foto en plaatst hem op Figure 1 (twijfelachtig SFW). En ja dat is dan jouw schuld want jij moest dat voorkomen.

Maar om nou te zeggen, WhatsApp bij deze verboden voor collega-overleg, dat gaat ook weer wat ver. NRC citeert een neurochirurg uit Utrecht:

“Het komt zeker veel voor dat artsen via WhatsApp overleggen en patiënteninformatie delen. Ik heb zelfs wel eens levens gered doordat we via een mobiel bericht veel sneller over een noodsituatie konden overleggen en beslissen dan via de oude systemen. Maar er zijn duidelijke privacy-bezwaren.”

En daar zit vandaag de dag precies het dilemma: het kanaal is erg handig, snel en bruikbaar, maar de privacy is bepaald niet ingeprogrammeerd en je moet maar hopen dat het goed gaat. (Goh, het lijkt internet als zodanig wel.) Terwijl de voor privacy ontworpen kanalen bepaald niet handig of snel te noemen zijn – een brief in dubbele envelop, vervoerd per koerier bijvoorbeeld – en daardoor in de praktijk dus niet werken. Wat moet je dan?

Arnoud

Mag ik citeren uit blafbrieven?

| AE 2858 | Intellectuele rechten, Privacy, Uitingsvrijheid | 21 reacties

Regelmatig krijg ik mails van mensen die boze brieven ontvangen van advocaten of zich benadeeld voelende partijen. Soms zijn die terecht, soms niet. En de ontvanger wil dan vaak het geschil delen met zijn publiek, en knalt die brieven dan online. Maar mag dat zomaar? Een brief (of mail) is bedoeld als privécorrespondentie. Die online… Lees verder

Dossier op internet zetten: auteursrechtschending?

| AE 2514 | Intellectuele rechten, Uitingsvrijheid | 11 reacties

Over het publiceren van dossiers is altijd veel te doen. Je eigen teksten mag je online zetten, maar mag dat ook met brieven of stukken van de wederpartij? Vorig jaar beschreef ik de regels, maar één specifiek stuk wil ik nu nader uitlichten. De rechtbank Almelo oordeelde namelijk recent dat publiceren van stukken van de… Lees verder

Ik wil mijn dossier op internet zetten, mag dat?

| AE 2108 | Uitingsvrijheid | 17 reacties

Diverse lezers vroegen me, in allerlei variaties: Al geruime tijd ben ik verwikkeld in een conflict met een niet nader te noemen instantie. Mijn klachten worden constant getraineerd en afgewezen om onterechte redenen, zelfs nadat ik reeds enkele rechtszaken heb gewonnen en ze gewoon moeten doen wat de rechter zegt. Nu wil ik dit graag… Lees verder