Mag een tracking cookie van de AVG als je het “gerechtvaardigd belang” noemt?

| AE 12165 | Ondernemingsvrijheid, Privacy | 8 reacties

Een lezer vroeg me:

Sinds een tijdje valt het me op dat er steeds meer cookie-popups zijn die schermen met de term “gerechtvaardigd belang” als reden waarom ze cookies mogen plaatsen. Ook tracking cookies, terwijl dat toch gewoon onder toestemming valt volgens de AVG? Waar komt die term vandaan en hoezo is het niet misleidend om jouw commerciële belang op voorhand “gerechtvaardigd” te noemen?
Die term is inderdaad wat misleidend, zeker gezien hoe mensen de term nu gebruiken namelijk als schaamlap voor alles dat ze maar willen. Maar ‘gerechtvaardigd’ betekent niet dat jij het goed moet vinden, het betekent dat het binnen de wet past, van de wet te rechtvaardigen is.

In de kern komt het erop neer dat er situaties zijn waarin jij ook gewoon een belang hebt, bijvoorbeeld de bescherming van jouw eigendom (een grondrecht, immers). Dat belang moet je dan kunnen beschermen, zoals door cameratoezicht. De AVG zegt dan dat dat mag, mits je maar zo veel mogelijk de privacy van passanten beschermt.

Daar zit dan een hele belangenafweging in, inclusief zo mogelijk een opt-out op basis van persoonlijke omstandigheden. Maar in de kern zegt de AVG dus dat het mag, “in principe” zoals de AVG dat noemt.

Het lastige is natuurlijk wanneer een belang “gerechtvaardigd” is. De AVG gaat daar niet op in, en er is ook geen jurisprudentie hierover van het Hof van Justitie. Onze eigen Autoriteit Persoonsgegevens publiceerde in haar normuitleg hier wel een formulering over:

[Gerechtvaardigd] houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden.
De insteek is dus dat een belang ergens te herleiden moet zijn tot de wet, zoals in mijn voorbeeld van het eigendomsrecht dat ik wil beschermen. Een ander belang zou kunnen zijn dat ik een rechtsvordering wil instellen tegen jou, omdat jij mijn schadeclaim niet betaalt. Daarvoor heb ik jouw persoonsgegevens nodig, en dat zou ik dan onder deze grondslag kunnen doen.

Bij al die cookiedingen wordt er geschermd met “direct marketing” als gerechtvaardigd belang, omdat de AVG dat expliciet noemt als een voorbeeld. Daar zet de AP tegenover:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc
Over wat een “zuiver commercieel belang” is, heb ik het eerder gehad. Ik las dat als dat je “ik wil geld verdienen anders ga ik failliet” niet als belang mag opvoeren, maar de AP lijkt het te interpreteren als “iedere motivatie waarin ‘ik wil geld verdienen’ staat, is ongeldig”. Dat gaat wel héél ver, met name omdat grondrechten wél als gerechtvaardigd belang kunnen dienen en de vrijheid van ondernemerschap een grondrecht is. Net als de vrijheid van meningsuiting; als ik jouw privacy mag schenden door iets te publiceren, waarom dan niet door jou te tracken?

Specifiek bij cookies werkt dit trouwens bijna nooit. De Telecommunicatiewet eist toestemming voor ieder plaatsen of uitlezen van informatie, ongeacht wat de AVG eventueel zegt over de persoonsgegevens-aspecten van die informatie. Dus een cookie plaatsen of een remote software update uitvoeren mag alleen met toestemming.

De Nederlandse uitzondering daarop is dat cookies die geen of geringe privacy-inbreuk maken, géén toestemming nodig hebben. Daarmee kun je dus bijvoorbeeld third-party analytics inzetten, hoewel daar tracking cookies bij komen kijken. Als je dat goed dichttimmert, dan is dat legaal zonder toestemming – en dán kun je je dus op gerechtvaardigd belang beroepen. Ik zou dus zeggen vrijheid van informatiegaring – weten hoe je site bezocht wordt.

Arnoud

VoetbalTV spant rechtszaak aan tegen Autoriteit Persoonsgegevens wegens treuzelen

| AE 12007 | Ondernemingsvrijheid, Privacy | 18 reacties

VoetbalTV is het wachten zat en sleept de Autoriteit Persoonsgegevens voor de rechter, las ik bij BNR Nieuwsradio. De privacytoezichthouder is anderhalf jaar geleden een onderzoek gestart naar het videoplatform, maar de resultaten laten nog altijd op zich wachten. Op het platform kun je amateurvoetbalwedstrijden uit heel Nederland bekijken, maar omdat men onzekerheid voelt of dat wel mag van de AVG, komt het niet op gang en dreigen de investeerders er nu mee te stoppen. De AP moet dus zeggen of het mag, maar dat duurt en duurt maar.

Het probleem is natuurlijk: mag VoetbalTV die beelden via internet uitzenden zonder dat ze van iedere voetballer toestemming heeft verkregen? Dat zou een onmogelijke opgaaf zijn (en u weet het: wie toestemming vraagt, is verkeerd bezig (of heeft een nieuwsbrief)) dus logisch dat VoetbalTV het gooit op het eigen legitiem belang, de grondslag waarbij zo ongeveer alles mag als je het maar goed genoeg onderbouwt.

VoetbalTV had zo’n onderbouwing maar de Autoriteit Persoonsgegevens was een onderzoek gestart waaruit ze concludeerde dat deze niet goed genoeg was. Alleen bleef het bij dat rapport; een formeel besluit in de zin van de Algemene Wet Bestuursrecht kwam maar niet. En dat is vervelend, want als zo’n onderzoek gestart wordt dan mag je niets tot het besluit genomen is. En dat duurt nu dus al anderhalf jaar, een onhoudbare toestand en nogal unfair naar VoetbalTV – ongeacht wat je van hun standpunt vindt.

Persoonlijk had ik gezegd: wij brengen als nieuwsplatform sportverslaggeving, dat valt onder de informatievrijheid en dus de journalistieke exceptie, en dan is de AP in het geheel niet bevoegd. Want dan kun je verder en dwing je ze tot een onderbouwd besluit, immers ze kunnen je pas beboeten als ze een formeel besluit nemen. En dan vecht je dat dus weer aan met een beroep op hun onbevoegdheid.

Maar daar zit een fors financieel risico aan: dan ga je dus lanceren, komt drie maanden later dat besluit en legt men ondertussen een last onder dwangsom op dat je platform offline moet tot de uitspraak van de rechter er is. En hoe veel bitcoins John de Mol ook verdient naast zijn investeringen in dit platform, niemand heeft zin in het dragen van zulke financiële onzekerheden.

Bovendien klopt het principieel niet. Als er een onderzoek en een rapport is, dan moet er gewoon met gezwinde spoed een besluit komen. Zo werkt het bestuursrecht, dan kun je bezwaar maken en daarna naar de bestuursrechter als je het er echt niet mee eens bent. Er is geen enkele reden om dan anderhalf jaar te wachten.

In een heel andere zaak (pdf) las ik nog van een vrouw die dwangsommen bij de AP opeist omdat ze maar geen besluit kreeg tegen haar klacht dat haar gegevens ten onrechte voor kwaliteitsbenchmarking werden gebruikt. Die dwangsommen werden toegewezen, maar ze kreeg meteen ook een afwijzing van haar klacht.

Arnoud

Hoe generiek mag je privacyverklaring zijn onder de AVG?

| AE 11148 | Privacy | 12 reacties

Een lezer vroeg me:

Een van mijn ‘leveranciers’ heeft in de Privacy Verklaring staan dat ze bij websitebezoek mijn IP-adres, Internetbrowser, besturingssysteem en apparaattype opslaan. Dat doen ze “Voor het onderzoeken van je (surf)gedrag op onze website, zo kunnen we bijvoorbeeld de website en onze tools nog beter maken.” Bij navraag blijkt dat ze zich beroepen op het gerechtvaardigd belang. Mag dat zo generiek? Als dat zo is, dan mag iedereen weer alles opslaan van de website bezoeker, want alles is bruikbaar voor verbetering van de website.

Het is inderdaad mogelijk om met een beroep op het gerechtvaardigd belang van alles te doen onder de AVG. Maar dat moet je wel onderbouwen, en een tekst als deze voelt wat magertjes.

Het eigen gerechtvaardigd belang is een grondslag voor de verwerking van persoonsgegevens. Als je je hierop beroept, heb je geen toestemming nodig maar alleen een gemotiveerde belangenafweging die in jouw voordeel uitkomt. Het is dus ten onrechte dat dingen “niet mogen” van de AVG of niet mogen zonder toestemming; deze grondslag (en er zijn er nog 4) is net zo goed als met toestemming werken.

Die belangenafweging is natuurlijk wel kern. Bij toestemming weet je dat het mag, omdat je hebt uitgelegd wat je gaat doen en de betrokkene daar expliciet mee instemt. Bij het gerechtvaardigd belang weet je dat niet, je moet zelf verzinnen wat men ervan zou vinden en hoe je de privacy van betrokkenen afweegt tegen jouw belang.

In de praktijk komt het erop neer dat je eerst op een rijtje zet wat je wilt doen en wat je daarvoor nodig hebt, en dat je daarna kijkt of het niet een onsje minder kan. In juridische taal: dat je privacybevorderende maatregelen neemt die eventuele inbreuken door jouw verwerking beperken of tot nul reduceren.

Bij de verwerking hierboven kun je je afvragen hoe lang daarbij is stilgestaan. Het is zeker een gerechtvaardigd belang om te kijken hoe je site wordt gebruikt zodat je deze beter kunt maken. Maar daarmee is niet gezegd dat je dus alles mag verzamelen. In dit geval vind ik wel dat inventariseren van besturingssysteem en apparaattype weinig kwaad kan, die gegevens zijn erg relevant in de aggregatie (moeten we Safari blijven ondersteunen, tablets gebruikt niemand meer) maar niet voor persoonsgebonden onderzoek (he daar heb je die Linuxgebruiker weer).

Natuurlijk kún je die gegevens ook voor heel persoonlijk volgen gebruiken (device fingerprinting) maar dat wordt hier niet genoemd en zou ook een hele andere belangenafweging eisen. Gegevens verzamelen voor doel X en dan inzetten voor niet-genoemd doel Y is AVG-technisch onder geen voorwaarde toegestaan (oké tenzij X en Y zeer dicht bij elkaar liggen), dus als jurist zou ik dan zeggen dat hier niets aan de hand is.

Ik had wel graag gezien dat in de privacyverklaring werd uitgelegd dát die gegevens alleen voor geaggregeerde gebruiksstatistieken werden ingezet. Dat had in ieder geval deze vraagsteller gerustgesteld vermoed ik.

Arnoud