Mag een bedrijf telefonisch informatie verstrekken aan iemand anders dan de contracthouder?

| AE 9357 | Beveiliging | 8 reacties

Een lezer vroeg me:

Steeds vaker merk ik dat wanneer ik voor mijn partner of ouders een helpdesk bel, ze meteen afhaken wanneer ik zeg dat ik niet zelf de contracthouder ben. Dit “vanwege de privacy” en “omdat ze niet kunnen verifiëren dat ik gemachtigd ben”. Maar is die privacywet echt zo streng? En hoe zou het dan wel moeten?

Vroeger, toen bits nog van hout waren, kon je inderdaad een stuk makkelijker namens anderen bellen of informatie inwinnen. Maar het vertrouwen dat daaronder lag, is ondertussen wel stevig aangetast. En terecht, social engineering is wel érg makkelijk als iemand bij mijn gegevens kan door te zeggen dat hij mijn echtgenoot is.

Het is wat verwarrend als bedrijven dan “vanwege de privacy” zeggen, want dit is niet specifiek een privacy-issue. Het is meer een veiligheidsissue of een bevoegdheids-issue, als je het juridisch bekijkt. Maar wellicht dat dat lastiger aan de telefoon uit te leggen is.

Als je gemachtigd bent, dan zou “vanwege de privacy” of security geen issue moeten zijn. Die persoon mág dan namens die ander de conversatie voeren. Alleen, hoe toon je dat aan als gemachtigde? Machtigen kan ook mondeling (of per mail), dus het is denkbaar dat iemand belt die geen stuk papier kan laten zien.

Het lijkt me in beginsel redelijk dat je als bedrijf zegt, telefonisch willen we geen gemachtigden spreken want dat is niet te verifiëren. Maar in veel gevallen zou ik dat wel wat streng vinden. Denk aan afspraken maken of dingen aanvragen die vervolgens worden opgestuurd.

Arnoud

Mag je iemands ware identiteit bekendmaken?

| AE 5400 | Meningsuiting, Privacy | 26 reacties

anoniem-pseudoniem-nickname-bijnaam-naam.pngDoxing is de wat merkwaardige internetterm voor “iemands identiteit achterhalen”. Veel mensen op internet zijn anoniem, en het kan dan een sport zijn te achterhalen wie dit werkelijk is. En soms heeft dat vervelende gevolgen voor die persoon, variërend van rare brieven bij de buren of stapels pizza’s tot de buurt moeten ontvluchten.

Het is niet verboden om iemands ware identiteit achter een pseudoniem te onthullen. Dergelijke informatie publiceren valt onder de vrijheid van meningsuiting, ook als de pseudonymous het niet leuk vindt. Pas als er bijkomstige omstandigheden zijn die schade opleveren, zoals dat die persoon vervolgens gevaar loopt, zou je onrechtmatig kunnen handelen.

Het is verboden om iemands ware identiteit achter een pseudoniem te onthullen. Dergelijke informatie maakt deel uit van de persoonlijke levenssfeer, en daar beslist de betrokkene zelf over. Pas als er bijkomstige omstandigheden zijn die publicatie rechtvaardigen, zou de publicatie legaal kunnen zijn. Dergelijke omstandigheden zouden kunnen zijn dat de naam essentieel deel is van een nieuwsfeit.

Ja, ik spreek mezelf tegen hier. Maar dit is wat je altijd krijgt bij botsende grondrechten, in dit geval de uitingsvrijheid versus de privacy. Beiden werken met een “mag, tenzij beperking noodzakelijk” constructie en die kun je niet in één regel samenvatten. De juridisch-pragmatische oplossing is dan de argumenten voor en tegen op een rijtje te zetten en af te wegen, wat voor blogs als deze zeer onbevredigend is want ik heb een hekel aan “dat hangt er van af” maar dat is de enige algemene regel.

Maar Arnoud, in de media vermelden ze toch altijd de namen van verdachten met een initiaal, waarom is dat dan? Nou, dat is niet gebaseerd op een wet. Ooit namen de Nederlandse hoofdredacteuren een vrijwillig besluit om geen volledige namen meer te publiceren, puur zelfregulering dus. De Leidraad van de Raad voor de Journalistiek verbiedt dat journalisten gegevens over verdachten (én veroordeelden) publiceert waarmee deze “eenvoudig kunnen worden geïdentificeerd en getraceerd.” De Leidraad maakt uitzonderingen, onder meer wanneer de naam al algemeen bekend is, maar ook als de betrokkene zelf de openbaarheid zoekt.

Toevallig kwam dit onderwerp aan de orde in een kort geding over een vrouw die publiceerde over de prostitutie onder de schuilnaam Patricia Perquin. De Volkskrant had haar ware identiteit achterhaald en wilde dit in een krantenartikel publiceren, omdat ze wat opmerkelijke feiten had ontdekt. De vrouw spande een kort geding aan, dat ze won omdat de krant onvoldoende onderbouwing had. Maar in een vervolgartikel had men het nodige bewijs op tafel gekregen.

De krant had twaalf argumenten op tafel gelegd, waarvan de meesten de rechter overtuigend voorkomen. Het enige echte tegenargument was dat de publicatie tot bedreigingen en gevaar tegen de vrouw zou leiden. Maar daar zet de rechter zijn twijfels bij, vooral omdat ze al eerder zelf aan een radioprogramma had meegewerkt zonder te eisen dat haar stem werd vervormd. Als je dat doet dan neem je al een risico, dus kennelijk viel het wel mee met dat gevaar. Ook speelde mee dat ze zelf de publiciteit had gezocht – iemand uit de anonimiteit trekken is ernstiger dan een populaire anonymous ontmaskeren.

Ook werd de Wbp weer eens in stelling gebracht tegen de persvrijheid, maar ook dat mocht niet baten. De rechter bepaalt allereerst dat er geen sprake is van een geautomatiseerde verwerking, en ziet vervolgens de persexceptie en houdt dan op met lezen. Jammer, eigenlijk had hier toch echt een expliciete afweging van de “dringende noodzaak” moeten plaatsvinden.

Stelling: het is onmogelijk op internet te publiceren zonder traceerbaar te zijn.

Arnoud