Overheden verzamelen op grote schaal tweets zonder gebruikers te informeren

| AE 13617 | Privacy | 40 reacties

Overheidsinstanties zoals het ministerie van sociale zaken, de Belastingdienst en de Nederlandse Voedsel- en Warenautoriteit (NVWA) verzamelen op grote schaal tweets over onder andere hun beleid zonder Twittergebruikers hierover te informeren. Dat meldde Security.nl onlangs op gezag van onderzoek door AG Connect en Trouw. Het gaat om sentimentanalyse, data-analyse waarbij bakken met tweets zeg maar als “positief” of “negatief” worden gelabeld zodat je kunt zien hoe je beleid valt bij de mensen. Ook hier heerst dus die misvatting dat dat mag omdat Twitter openbaar is. Kunnen we eens ophouden met “ja maar openbare bron” als argument?

Het idee achter sentimentanalyse is dat je op basis van grote datasets de werkelijkheid kunt meten, en dat dat een stuk goedkoper/makkelijker is dan steeds een enquête eruit doen of 1200 Nederlands bellen. Waar zeker wat in zit, en we hebben ook genoeg tools (zoals van Microsoft) die op basis van statistische tekstanalyse kunnen zeggen of een tweet over een onderwerp gaat en daar dan positief of negatief over is. Dat kun je dan over de tijd meten, groeperen naar locatie van gebruikers (Randstad versus de provincie, bijvoorbeeld), groei of daling signaleren en ga zo maar door.

Punt is natuurlijk wel, dat begint allemaal bij een enorme verzameling berichten van Twitter. En tweets (met Twitternaam) zijn nu eenmaal persoonsgegevens en dus valt het verzamelen en tot sentimenten omturnen van die gegevens onder de AVG. Mag dat? Ja, in principe wel: dit is een vorm van wetenschappelijk en statistisch onderzoek en dat kun je binnen de grondslag van het gerechtvaardigd belang (art. 6 lid 1 sub f AVG) prima rechtvaardigen. (Ook bij overheden, omdat dit niet gaat om uitoefening van een publiekrechtelijke taak.) Toestemming van de twitteraars is dus niet nodig.

Wat wél nodig is, is dat mensen worden geïnformeerd over dit verdere gebruik. Dat staat gewoon in de AVG, en is iets dat altijd moet bij data harvesting. Ik geef toe dat dit bij een klantanalyse wat makkelijker is, daar zet je het in je privacyverklaring of je stuurt een update in het portaal. Bij dit soort gebruik van Twitterdata is er maar één manier en dat is iedereen een tweet sturen (DM’s sturen kan niet altijd). Daar zouden we gek van worden als iedereen dat deed, maar dat is voor een individuele organisatie niet disproportioneel of onmogelijk. (Bij data-verzameling met een drone of sensoren op straat is het natuurlijk een ander verhaal qua complexiteit, dus dan is een bordje of banner genoeg.)

Ik zie in de reacties her en der boosheid met het argument “kom op, Twitter is openbaar en iedereen doet het”. Dat laatste is vast waar, maar verandert niets aan het punt dat de makkelijke toegankelijkheid van de bron géén argument is onder de AVG. Je bent niet vogelvrij omdat men kan scrapen zonder ingewikkelde contracten of toelatingsprocedure. En vanuit juridisch perspectief zou dat ook heel raar zijn, dat het legaal is om iets te doen omdat het heel makkelijk is, en dat alleen bij moeilijk scrapen je mensen zou moeten gaan informeren of zo?

Arnoud

 

Hebben werknemers recht op een kopie van hun privébestanden bij uitdiensttreding?

| AE 9689 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me:

Beleid bij ons bedrijf is dat bij uitdiensttreding de home-schijf van werknemers wordt gewist aan het einde van de laatste werkdag. Nu kan het voorkomen dat daar privé-informatie op staat (dit is oogluikend toegestaan in ons reglement). Zijn wij verplicht de werknemer hier een kopie van te geven, en verandert de GDPR daar nog wat aan?

Wanneer iemand uit dienst gaat, is het voor de werkgever natuurlijk prima om dan diens laptop en/of netwerkinformatie te wissen. Die apparatuur en opslag zijn dan niet meer nodig voor het werk, en mogen dus weg.

Het is mogelijk (en wettelijk toegestaan) dat er hier en daar wat privéinformatie tussen zit. Veel mensen hebben bijvoorbeeld muziekbestanden opgeslagen om naar te luisteren, wat administratie om bij te werken of logs van privéchats. Dat is op zich prima, en een goed werkgever heeft dat te tolereren zolang het werk er geen last van ondervindt.

Een werknemer heeft echter geen recht op een kopie van die informatie. Informatie is geen eigendom, en als deze dus wordt gewist na einde dienstverband dan heeft de ex-werknemer daar niets tegenin te brengen. Heel misschien als je zegt, een goed werkgever laat mensen die privézaken meenemen, en stuurt ze na als die vergeten blijken, maar ik vind dat hij dat gewoon op de laatste werkdag zelf had moeten uitzoeken.

De GDPR of AVG verandert daar weinig aan. Het klopt dat deze een recht bevat om een kopie van jouw persoonsgegevens op te vragen. Daarmee kun je dus je personeelsdossier in kopie krijgen, maar met een beetje goede wil zou je ook daar die privédocumenten met administratie onder kunnen rekenen. (Een muziekbestand is geen persoonsgegeven enkel omdat het in jouw home-schijf staat.) Alleen vervalt dit recht wanneer de gegevens met goede reden zijn gewist – en uitdiensttreding zie ik als een goede reden.

Arnoud