Hoe navigeer je tussen werkbare procedures en de omstandigheden van het geval?

| AE 11547 | Informatiemaatschappij | 3 reacties

Mijn oog viel op deze tweet van de Engelse toezichthouder, waar ik een tikje van opkeek:

Hi, orgs should not look to adopt a blanket approach in asking for ID when responding to a SAR [inzageverzoek onder de AVG]. They should consider each request on a case by case basis and identify which form of ID is most proportionate if required.

De tweet was een reactie op een vraag van de onvolprezen privacyvoorvechter Pat Walshe, die constateerde dat je bij het vragen van een kopie van je persoonsgegevens bij Engelse politieke partijen altijd een kopie ID moet meesturen. Uit de reactie valt op te maken dat dat niet mag, en dat een organisatie dus per verzoek moet kijken of de persoon duidelijk geïdentificeerd is als de betrokkene en zo nee wat in dat geval het handigste is.

Mijn wenkbrauwen fronsen bij zo’n benadering, omdat ik net daarvoor dit onderzoek las over waarom organisaties regels schenden. Iets dat voor juristen vaak moeilijk te vatten is. Het staat toch in de wet dat dat niet mag, opgelost slotje. Maar voor organisaties werkt dat niet zo:

Because organizations rely on routines for following rules, complex rules would require complex routines, which would be harder to execute reliably. As expected, both types of rule complexity increased noncompliance. The two also reinforced one another such that having many components and connections made it far more likely that the rule would be broken.

Met name die eerste zin springt in het oog natuurlijk: organisaties werken altijd met routines, met procedures. Dat is de enige manier om het werkbaar te houden voor de mensen die het moeten doen. Elk geval toetsen op de individuele merites is ongelofelijk kostbaar en geeft veel ruimte voor onduidelijkheid. Het voelt dan ook wat onwerkbaar wat de ICO hier zegt.

Natuurlijk is het niet perse zo dat je altijd een kopie ID kunt vragen en anders stomeenvoudig zeggen, uw verzoek wordt afgewezen. Je moet een controle hebben die past bij de situatie. Als mensen bijvoorbeeld zich online aanmelden voor je dienst (zoals bij de bekende “Mijn Dinges” portalen) dan is een aanvullende identificatie niet nodig. En staan ze aan de balie, dan kun je gewoon hun ID bekijken zonder dat een kopie nodig is. Dat zijn prima procedures.

Maar écht maatwerk, dat zou de uitzondering moeten zijn. Ik vrees dat het juist eerder misgaat als ieder geval als maatwerk wordt behandeld. Dat duurt langer, leidt tot willekeur en fouten.

Arnoud

Mag een bedrijf telefonisch informatie verstrekken aan iemand anders dan de contracthouder?

| AE 9357 | Security | 9 reacties

Een lezer vroeg me:

Steeds vaker merk ik dat wanneer ik voor mijn partner of ouders een helpdesk bel, ze meteen afhaken wanneer ik zeg dat ik niet zelf de contracthouder ben. Dit “vanwege de privacy” en “omdat ze niet kunnen verifiëren dat ik gemachtigd ben”. Maar is die privacywet echt zo streng? En hoe zou het dan wel moeten?

Vroeger, toen bits nog van hout waren, kon je inderdaad een stuk makkelijker namens anderen bellen of informatie inwinnen. Maar het vertrouwen dat daaronder lag, is ondertussen wel stevig aangetast. En terecht, social engineering is wel érg makkelijk als iemand bij mijn gegevens kan door te zeggen dat hij mijn echtgenoot is.

Het is wat verwarrend als bedrijven dan “vanwege de privacy” zeggen, want dit is niet specifiek een privacy-issue. Het is meer een veiligheidsissue of een bevoegdheids-issue, als je het juridisch bekijkt. Maar wellicht dat dat lastiger aan de telefoon uit te leggen is.

Als je gemachtigd bent, dan zou “vanwege de privacy” of security geen issue moeten zijn. Die persoon mág dan namens die ander de conversatie voeren. Alleen, hoe toon je dat aan als gemachtigde? Machtigen kan ook mondeling (of per mail), dus het is denkbaar dat iemand belt die geen stuk papier kan laten zien.

Het lijkt me in beginsel redelijk dat je als bedrijf zegt, telefonisch willen we geen gemachtigden spreken want dat is niet te verifiëren. Maar in veel gevallen zou ik dat wel wat streng vinden. Denk aan afspraken maken of dingen aanvragen die vervolgens worden opgestuurd.

Arnoud

Mag je iemands ware identiteit bekendmaken?

| AE 5400 | Privacy, Uitingsvrijheid | 26 reacties

anoniem-pseudoniem-nickname-bijnaam-naam.pngDoxing is de wat merkwaardige internetterm voor “iemands identiteit achterhalen”. Veel mensen op internet zijn anoniem, en het kan dan een sport zijn te achterhalen wie dit werkelijk is. En soms heeft dat vervelende gevolgen voor die persoon, variërend van rare brieven bij de buren of stapels pizza’s tot de buurt moeten ontvluchten.

Het is niet verboden om iemands ware identiteit achter een pseudoniem te onthullen. Dergelijke informatie publiceren valt onder de vrijheid van meningsuiting, ook als de pseudonymous het niet leuk vindt. Pas als er bijkomstige omstandigheden zijn die schade opleveren, zoals dat die persoon vervolgens gevaar loopt, zou je onrechtmatig kunnen handelen.

Het is verboden om iemands ware identiteit achter een pseudoniem te onthullen. Dergelijke informatie maakt deel uit van de persoonlijke levenssfeer, en daar beslist de betrokkene zelf over. Pas als er bijkomstige omstandigheden zijn die publicatie rechtvaardigen, zou de publicatie legaal kunnen zijn. Dergelijke omstandigheden zouden kunnen zijn dat de naam essentieel deel is van een nieuwsfeit.

Ja, ik spreek mezelf tegen hier. Maar dit is wat je altijd krijgt bij botsende grondrechten, in dit geval de uitingsvrijheid versus de privacy. Beiden werken met een “mag, tenzij beperking noodzakelijk” constructie en die kun je niet in één regel samenvatten. De juridisch-pragmatische oplossing is dan de argumenten voor en tegen op een rijtje te zetten en af te wegen, wat voor blogs als deze zeer onbevredigend is want ik heb een hekel aan “dat hangt er van af” maar dat is de enige algemene regel.

Maar Arnoud, in de media vermelden ze toch altijd de namen van verdachten met een initiaal, waarom is dat dan? Nou, dat is niet gebaseerd op een wet. Ooit namen de Nederlandse hoofdredacteuren een vrijwillig besluit om geen volledige namen meer te publiceren, puur zelfregulering dus. De Leidraad van de Raad voor de Journalistiek verbiedt dat journalisten gegevens over verdachten (én veroordeelden) publiceert waarmee deze “eenvoudig kunnen worden geïdentificeerd en getraceerd.” De Leidraad maakt uitzonderingen, onder meer wanneer de naam al algemeen bekend is, maar ook als de betrokkene zelf de openbaarheid zoekt.

Toevallig kwam dit onderwerp aan de orde in een kort geding over een vrouw die publiceerde over de prostitutie onder de schuilnaam Patricia Perquin. De Volkskrant had haar ware identiteit achterhaald en wilde dit in een krantenartikel publiceren, omdat ze wat opmerkelijke feiten had ontdekt. De vrouw spande een kort geding aan, dat ze won omdat de krant onvoldoende onderbouwing had. Maar in een vervolgartikel had men het nodige bewijs op tafel gekregen.

De krant had twaalf argumenten op tafel gelegd, waarvan de meesten de rechter overtuigend voorkomen. Het enige echte tegenargument was dat de publicatie tot bedreigingen en gevaar tegen de vrouw zou leiden. Maar daar zet de rechter zijn twijfels bij, vooral omdat ze al eerder zelf aan een radioprogramma had meegewerkt zonder te eisen dat haar stem werd vervormd. Als je dat doet dan neem je al een risico, dus kennelijk viel het wel mee met dat gevaar. Ook speelde mee dat ze zelf de publiciteit had gezocht – iemand uit de anonimiteit trekken is ernstiger dan een populaire anonymous ontmaskeren.

Ook werd de Wbp weer eens in stelling gebracht tegen de persvrijheid, maar ook dat mocht niet baten. De rechter bepaalt allereerst dat er geen sprake is van een geautomatiseerde verwerking, en ziet vervolgens de persexceptie en houdt dan op met lezen. Jammer, eigenlijk had hier toch echt een expliciete afweging van de “dringende noodzaak” moeten plaatsvinden.

Stelling: het is onmogelijk op internet te publiceren zonder traceerbaar te zijn.

Arnoud