Ministers gevraagd of filmpjes van leraren in strijd met AVG zijn

De VVD heeft minister Van Engelshoven van Onderwijs en minister Dekker voor Rechtsbescherming gevraagd of filmpjes van leraren die door leerlingen worden gemaakt en op internet geplaatst in strijd met de Algemene verordening gegevensbescherming (AVG) zijn. Dat las ik bij Security.nl vorige week. De vragen zijn naar aanleiding van diverse filmpjes van leraren die op internet verschenen en leidden tot schorsing en ophef. De minister gaat niet over interpretatie van de AVG dus de vragen zijn juridisch niet zinnig, maar wel een aardige aanleiding voor de vraag: mag dat, je leraar filmen en dat op internet zetten?

Al in 2014 blogde ik over dit probleem, dat natuurlijk alleen maar groter is geworden de afgelopen jaren. En dan heb ik het niet alleen maar over opnames van lessen, maar juist over gekke situaties (‘pranks’, zeg maar pestgedrag waar je geacht wordt om te lachen) of escalaties die niet perse objectief in beeld komen. Het is logisch dat je als school daar wat mee wilt doen, of als getroffen leraar.

De AVG is nieuw, en zegt iets over beeldmateriaal, dus zal het wel een goede stok zijn om hier wat aan te doen. Een foto of video van iemand is natuurlijk een persoonsgegeven, maar dat wil echter niet zeggen dat je dus op grond van de AVG zo’n publicatie tegen kunt houden.

Allereerst zit je met het probleem dat deze leerling niet perse onder de AVG valt. De strikt huishoudelijke of privé-activiteit van verwerking is uitgesloten van de AVG. Voor jezelf en of een beperkte groep vrienden een filmopname maken zou best eens aan dat criterium kunnen voldoen. Daar staat tegenover dat een beveiligingscamera op de openbare weg hangen al buiten dat criterium viel en dus wél onder de AVG.

Ten tweede en belangrijker zit je met de vrijheid van meningsuiting, waar ook het maken van beeld onder valt. De AVG geldt maar beperkt bij journalistieke verwerkingen, zo heb je géén recht van verwijdering bij een dergelijke publicatie. Natuurlijk is een Youtube-publicatie van een schokkerig telefoonfilmpje heel wat anders dan een diepgravende documentaire van de BBC, maar dat is een kwaliteitstoets en geen juridisch relevant argument. Zolang de scholier er iets mee wil informeren of aan de kaak stellen, zit je al heel snel aan de AVG.

Daar staat dan weer tegenover dat een school gewoon huisregels kan stellen over het maken en/of publiceren van camerabeelden. Ik zou daar wel wat moeite mee hebben, omdat het vergaren van informatie een grondrecht is (deel van de vrijheid van meningsuiting) en een opleidingsinstituut die vrijheid niet zomaar even aan banden mag leggen. Maar als je het koppelt aan onaangekondigd filmen en/of tijdens de les, dan denk ik dat je zeker bij scholieren een heel eind komt.

Arnoud

Nog meer dingen die van de AVG ineens niet zouden mogen

Oh jee, de AVG. Dat begint een beetje een vervelend mantra te worden sinds 25 mei. Omdat de nieuwe privacyverordening zo veel nieuwe regels met zich meebrengt, komt vrijwel iedereen erachter dat dingen anders moeten. En vernieuwing is vervelend, zeker als het op grond van zoiets raars als privacy moet gebeuren. Een greep dus uit de nieuwsberichten van de afgelopen tijd van mensen die dingen niet meer mogen, en vooral: waarom ze ongelijk hebben.

Niet meer durven bidden voor de zieken – dankzij de privacywet. Dat schreef NRC onlangs. Het noemen van een naam in het gebed (eventueel in combinatie met een verwijzing naar ziekte) kan mogelijk als een verwerking van persoonsgegevens gezien worden. En dan zou de kerk een boete kunnen krijgen.

Onterechte angst, lijkt me. Allereerst is hier sprake van een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terecht komen. Een gebed of preek is geen doorzoekbaar gestructureerd geheel aan informatie. Daarnaast krijg je hier dan onmiddellijk een botsing met de vrijheid van godsdienstuitoefening (artikel 18 UVRM en artikel 6 Grondwet), zodat je op zijn minst een belangenafweging moet maken tussen de grondrechten privacy en godsdienst: wat weegt zwaarder, de religieuze behoeftes van de gelovigen of de privacy van de zieke die wellicht niet in gebed genoemd wil worden?

Wij kunnen geen medicijnendoosjes met etiketten meer aannemen bij onze retourdienst medicijnen, aldus mijn apotheek. Dat twitterde ik een paar weken terug. Het goed verwerken van oude medicijnen is belangrijk omdat deze het milieu ernstig vervuilen en gezondheidsrisico’s vertegenwoordigen, dus biedt vrijwel elke apotheek een inleverdienst aan. Maar dat ‘mag’ dus niet meer van de AVG. Eveneens onterecht, wat mij betreft. En wel om dezelfde reden: een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terechtkomen. Dit valt gewoon buiten de AVG.

School maakt gezichten leerlingen zwart op foto: ‘Privacy staat voorop’, aldus RTL Nieuws. De school had leerlingen foto’s mee naar huis gegeven (gewoon als stukjes papier dus) maar daarop alle gezichten met een zwarte stift onherkenbaar gemaakt. “”We zijn een speciale school met een kwetsbare doelgroep. En we hebben altijd te maken met kinderen die niet op de foto willen”, zo motiveerde het bestuur de beslissing.

Een beetje raar. Het gaat om portfolios gemaakt door de kinderen zelf tijdens de lessen van het afgelopen jaar. Dat lijkt me dus redelijkerwijs noodzakelijk voor het leveren van het onderwijs, en daarmee te rechtvaardigen binnen de AVG. (Als die foto’s niet nodig zijn, waarom worden ze dan gemaakt?) En de privacy-impact lijkt me zeer gering omdat de foto’s alleen worden gedeeld met de betrokkenen zelf en hun wettelijk vertegenwoordigers. Deze zie ik dus niet helemaal.

Zelfs op het oog ‘onschuldige’ gegevens zoals het vrijgeven van het gewicht of de lengte van een voetbalspeler aan media is naar de letter van de nieuwe wetgeving niet toegestaan, zo meldde voetbalclub Feyenoord onlangs. Voetbalspelers zijn immers werknemers van de clubs, en werkgevers hebben de privacy van personeel te respecteren. Zij worden daarom terughoudender in mededeling doen over blessures en dergelijke van spelers.

Wederom onterecht volgens mij. Inderdaad, een gewone werkgever moet terughoudend zijn met privacygevoelige informatie van de werknemer aan derden verstrekken. Dat mag alleen als het voor het werk noodzakelijk is of er een zwaarwegend belang is voor de werkgever. Denk aan een klant bellen dat een afspraak niet doorgaat omdat de betreffende collega ziek is: dat is relevant voor het werk (maar wat deze persoon precies heeft, natuurlijk niet).

Specifiek bij professioneel voetballers en andere topsporters zie ik dat echter anders. Hun rol in de maatschappij is veel groter, zodat de informatievrijheid hier een zwaardere rol gaat spelen. Heel kort door de bocht, het publiek heeft er recht op te weten wat er met ‘hun’ sterspelers aan de hand is. Natuurlijk zitten daar grenzen aan, een live camera boven het ziekbed gaat hem niet worden. Maar een voetbalclub mag volgens mij best melden dat hun speler Robin van Persie een kuitblessure opgelopen heeft en daarom niet kan spelen.

Wie heeft er nog meer “oh jee dat mag niet van de AVG” berichten gezien recent?

Arnoud

RET weigert nieuwe leerling vanwege tweet

tram-trein-vervoerDe RET heeft een 20-jarige Rotterdammer niet toegelaten tot de opleiding van metrobestuurder omdat hij een racistisch bericht op Twitter verstuurde, las ik bij RTV Rijnmond. Metro noemt het een ‘gaskamertweet’, wat het niveau wel aangeeft denk ik. De RET vindt deze tekst onacceptabel (joh) en heeft daarom zijn inschrijving geweigerd.

U denkt nu misschien dat ik mezelf ga vragen “mag dat, iemand weigeren wegens een racistische tweet” maar dat is vrij simpel denk ik: ja. Wie zulke uitlatingen doet, diskwalificeert zich al heel snel als geschikte collega of leerling. Zo iemand hoef je niet in je organisatie te accepteren.

Interessanter vind ik de vraag hoe de RET erachter is gekomen dat deze leerling deze tweet had verstuurd. Ik zie drie mogelijkheden:

  1. Iemand (een medeleerling?) die het bericht zag, stuurde het naar de RET.
  2. De RET is meneer gaan googelen en kwam het bericht tegen.
  3. Iemand zag het bericht, maakte het een social media ding waarna de PR-afdeling van RET zei “dumpen die figuur”.

Optie 1 kan natuurlijk altijd, en is voorstelbaar als er een beperkt aantal plaatsen is. Optie 2 kan ook (hoewel Metro zegt dat het een afgesloten Twitteraccount betrof en dan is ernaar googelen wat lastig). Iedereen met een onderbuik weet dat iedere organisatie iedere sollicitant googelt, dus waarom zou datzelfde niet gebeuren bij een opleiding met een beperkt aantal plaatsen? En optie 3 komt steeds vaker voor in de praktijk, al dan niet met nepberichten.

Optie 2 is denk ik juridisch het interessantst. Immers, het googelen van een sollicitant is een verwerking van zijn persoonsgegevens. Je doorzoekt een databank (Google) op zoek naar persoonlijke informatie (persoonsgegevens) van een natuurlijk persoon. In beginsel is daarvoor dus toestemming nodig. Je kunt het ook gooien op de “eigen dringende noodzaak”, de uitzondering in de privacywet waarmee je zonder toestemming mag handelen. Je noodzaak moet dan zwaarder wegen dan de privacy van de persoon. Dat vereist een belangenafweging, en daarbij zal meespelen welke bronnen je raadpleegt. Openbare, zelf gepubliceerde bronnen zoals een homepage of openbaar Twitteraccount zijn daarmee wel te raadplegen, maar een vriendschapsverzoek op Facebook sturen vanaf het privéaccount van de HR-medewerker lijkt me niet kunnen.

In de praktijk gebeurt dat googelen natuurlijk vrij massaal. Maar voor leerlingen aan een opleiding?

Arnoud