Mag je schoolfoto’s in een Dropbox delen met alle ouders?

| AE 9245 | Privacy | 53 reacties

Een lezer vroeg me:

Wanneer er bij onze basisschool foto’s worden gemaakt van een evenement (zoals Sinterklaas of een schoolreisje) dan delen wij die met de betreffende ouders door de foto’s in een Dropbox aan te bieden. Alleen zij kunnen er dan bij, verder is het niet openbaar. (Voor publicatie op de site vragen we apart toestemming.) Maar nu klaagt een ouder dat dit zo niet mag en dat ook verspreiding in Dropbox alleen met aparte toestemming mag. Klopt dat?

Op grond van het portretrecht mogen portretfoto’s als deze (“portretten in opdracht”) niet worden gepubliceerd zonder toestemming van de geportretteerde. Omdat het hier nu gaat om kinderen, is toestemming van de ouders nodig voor publicatie.

De vraag is dan, is dit een publicatie? Je zou zeggen van niet, want slechts een groep ouders kan erbij en niet de hele wereld. Maar de Auteurswet is streng: zodra je buiten de directe familie- of vriendenkring komt, is al sprake van een ‘openbaarmaking’ oftewel een publicatie van het portret. Deze Dropbox-verspreiding is voor alle ouders van die klas beschikbaar, en het lijkt mij lastig verdedigbaar dat alle ouders van klasgenoten de “familie- of vriendenkring” vormt. En als het de hele school is, dan gaat het natuurlijk helemaal niet meer op.

Je kunt het ook via de privacywet (Wet bescherming persoonsgegevens, straks de Privayverordening) spelen maar dan kom je op hetzelfde uit. Verspreiding van een foto telt als een “verwerking van persoonsgegevens”, en dat mag alleen met toestemming of op grond van een andere grondslag uit die wet. Ik zie alleen geen grondslag die hier op kan gaan. Er is geen overeenkomst die verspreiding onder al die ouders rechtvaardigt, en een eigen gerechtvaardigd belang dat zwaarder weegt dan de privacy van de kinderen al helemaal niet.

Ik vrees dus dat er formeel weinig aan te doen is behalve de verspreiding per foto beperken tot enkel de kinderen die op die foto staan. Dat zou denk ik nog nét te verdedigen zijn als familie- of vriendenkring, of onder de privacywet een gerechtvaardigde verwerking. Je kunt immers moeilijk toestemming vragen voor een foto zonder de foto te laten zien aan de betrokkenen.

Arnoud

Mag het systeembeheer zomaar zelf regels maken?

| AE 7988 | Arbeidsrecht, Beveiliging | 19 reacties

bofh-systeembeheerEen lezer vroeg me:

Bij ons bedrijf heerst een erg open cultuur, behalve bij onze systeembeheerders. Die zijn erg tegen gebruikers die zelf dingen installeren of eigen apparatuur aansluiten. Zo verbieden ze gebruik van Dropbox en het mailen van gegevens naar je privéadres, en dat wordt steeksproefgewijs gecontroleerd door een beheerder. Kan dat zomaar, mogen zij de regels maken?

Binnen een bedrijf maakt de directie de regels. Zij hebben daar grote vrijheid in. Als zij iedereen op Windows willen laten werken, heb je als Mac-fan toch echt pech. Vinden zij Dropbox stom, dan mag je geen Dropbox gebruiken hoe handig het ook is en hoe ongefundeerd hun reden om Dropbox te weigeren ook is.

De directie mag die regelmakende bevoegdheid delegeren, bijvoorbeeld naar de IT-afdeling. Dat hoeft niet heel expliciet te gebeuren, maar vaak zie je dat de directie überhaupt geen mening heeft over ICT en erop vertrouwt dat het systeembeheer in staat is de goede regels te maken.

Als het beheer dan weinig feeling heeft met de cultuur in het bedrijf, dan krijg je dus situaties als van deze vraagsteller. Streng beleid is begrijpelijk vanuit een beheer-achtergrond, en als je in de positie bent dat te mogen invoeren dan krijg je dat ook.

De handhaving van zulk beleid middels steekproeven is iets gevoeliger. Er mag niet zonder reden worden gesteekproefd in accounts of apparatuur van werknemers, ook niet als het werkgerelateerde bestanden of dingen betreft. Je loopt al heel snel tegen de privacy van de werknemer aan, zeker in een bedrijf waar een open cultuur heerst en het dus toegestaan is om privédingen te doen op je werkcomputer of met je werkaccount.

Op zijn minst moet er expliciet beleid zijn dat regelt wanneer accounts of apparatuur mogen worden doorzocht en welke waarborgen omtrent privacy er zijn. Dat beleid mag de directie aan de IT-afdeling laten, maar het moet er wel zijn. En als een bedrijf een open cultuur heeft, dan verwacht ik niet dat de directie snel zulk beleid wíl gaan maken. Het botst immers nogal met elkaar.

Een echte oplossing heb ik niet, behalve “ga eens met z’n allen op de hei zitten en verzin iets dat voor iedereen werkt”. Je verschuilen achter beleid en security is natuurlijk dé manier om een bedrijfscultuur om zeep te helpen.

Arnoud

‘Apple iCloud schendt Noorse en Europese wet’

| AE 6649 | Contracten | 8 reacties

Apple verschaft zichzelf het recht de voorwaarden van clouddienst iCloud te allen tijde aan te passen, in strijd met de Noorse en Europese wet. Dat las ik bij Nu.nl. Waarop ik denk? Welke wet dan? Want een wet op de cloudvoorwaarden lijkt me een goed idee, maar die is er bij mijn weten nog lang niet.

Het blijkt te gaan om een klacht van de Noorse Consumer Council, volgens mij het equivalent van onze Autoriteit Consument en Markt (maar al bestaand sinds 1953). Zij hebben een klacht neergelegd bij Apple omdat deze de Noorse en Europese wet zou schenden door het recht te bedingen in de gebruiksvoorwaarden om eenzijdig het contract aan te mogen passen.

Uit de tekst van de klacht (pdf) blijkt dat het gaat om de algemene Noorse regel dat algemene voorwaarden niet onredelijk bezwarend mogen zijn. Die regel hebben wij ook. Naast de grijze en zwarte lijsten geldt er ook een open norm: als iemand kan hardmaken dat een voorwaarde onredelijk bezwarend is, dan moet deze van tafel. De bewijslast is daarbij niet altijd eenvoudig.

De Noren hebben echter nóg een lijst gevonden, de zogeheten blauwe lijst uit Richtlijn 93/13/EEG met daarop nog een setje oneerlijke bedingen. En wat staat er in artikel 3 van die Richtlijn?

Een beding in een overeenkomst waarover niet afzonderlijk is onderhandeld, wordt als oneerlijk beschouwd indien het, in strijd met de goede trouw, het evenwicht tussen de uit de overeenkomst voortvloeiende rechten en verplichtingen van de partijen ten nadele van de consument aanzienlijk verstoort.

Het lijkt me evident dat een voorwaarde die zegt “wij mogen het contract op ieder moment aanpassen en u moet maar hopen dat dat acceptabel is, anders moet u weg” het evenwicht tussen de partijen nogal verstoort. Sterker nog, wélk evenwicht?

In een bijlage bij dit artikel zijn bedingen opgenomen die als oneerlijk kunnen worden aangemerkt. Een soort grijsblauwe lijst dus: de gebruiker van zo’n voorwaarde zal moeten bewijzen dat deze wél eerlijk is. En lid j van die bijlage noemt bedingen die:

de verkoper te machtigen zonder geldige, in de overeenkomst vermelde reden eenzijdig de voorwaarden van de overeenkomst te wijzigen;

Helaas staat er verderop dan weer wel een uitzondering:

Punt j) staat evenmin in de weg aan bedingen waarbij de verkoper zich het recht voorbehoudt de voorwaarden van een overeenkomst voor onbepaalde tijd eenzijdig te wijzigen, mits hij verplicht is de consument daarvan redelijke tijd vooraf in kennis te stellen en het de laatste vrijstaat de overeenkomst te ontbinden.

Dat was in 1993 wellicht redelijk bij de toen gebruikelijke duurovereenkomsten: levering van kranten, vuilophaaldiensten en dergelijke. Daar wil je vanaf kunnen als ze ineens de voorwaarden aanpassen. Maar bij een clouddienst is het zeer zeker niet redelijk om te zeggen “je mag weg als het je niet bevalt” want dat is al snel zo veel gedoe dat menig consument het niet eens zal proberen. Welke Apple-gebruiker zal overstappen naar Dropbox als er weer 8000 woorden nieuwe voorwaarden langskomen?

En dat is juist wat het zo oneerlijk maakt. Je weet dat mensen dat niet lezen. Je weet dat mensen er noodgedwongen maar op vertrouwen dat er geen gekke dingen in je voorwaarden staan. En dat vertrouwen tast je in de basis aan door zo’n eenzijdig-wijzigingsbeding. De hoogste tijd dus voor een nieuwe cloudblauwe lijst.

Arnoud