Nog meer dingen die van de AVG ineens niet zouden mogen

| AE 10713 | Privacy | 62 reacties

Oh jee, de AVG. Dat begint een beetje een vervelend mantra te worden sinds 25 mei. Omdat de nieuwe privacyverordening zo veel nieuwe regels met zich meebrengt, komt vrijwel iedereen erachter dat dingen anders moeten. En vernieuwing is vervelend, zeker als het op grond van zoiets raars als privacy moet gebeuren. Een greep dus uit de nieuwsberichten van de afgelopen tijd van mensen die dingen niet meer mogen, en vooral: waarom ze ongelijk hebben.

Niet meer durven bidden voor de zieken – dankzij de privacywet. Dat schreef NRC onlangs. Het noemen van een naam in het gebed (eventueel in combinatie met een verwijzing naar ziekte) kan mogelijk als een verwerking van persoonsgegevens gezien worden. En dan zou de kerk een boete kunnen krijgen.

Onterechte angst, lijkt me. Allereerst is hier sprake van een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terecht komen. Een gebed of preek is geen doorzoekbaar gestructureerd geheel aan informatie. Daarnaast krijg je hier dan onmiddellijk een botsing met de vrijheid van godsdienstuitoefening (artikel 18 UVRM en artikel 6 Grondwet), zodat je op zijn minst een belangenafweging moet maken tussen de grondrechten privacy en godsdienst: wat weegt zwaarder, de religieuze behoeftes van de gelovigen of de privacy van de zieke die wellicht niet in gebed genoemd wil worden?

Wij kunnen geen medicijnendoosjes met etiketten meer aannemen bij onze retourdienst medicijnen, aldus mijn apotheek. Dat twitterde ik een paar weken terug. Het goed verwerken van oude medicijnen is belangrijk omdat deze het milieu ernstig vervuilen en gezondheidsrisico’s vertegenwoordigen, dus biedt vrijwel elke apotheek een inleverdienst aan. Maar dat ‘mag’ dus niet meer van de AVG. Eveneens onterecht, wat mij betreft. En wel om dezelfde reden: een niet-geautomatiseerde verwerking van gegevens die niet in een bestand terechtkomen. Dit valt gewoon buiten de AVG.

School maakt gezichten leerlingen zwart op foto: ‘Privacy staat voorop’, aldus RTL Nieuws. De school had leerlingen foto’s mee naar huis gegeven (gewoon als stukjes papier dus) maar daarop alle gezichten met een zwarte stift onherkenbaar gemaakt. “”We zijn een speciale school met een kwetsbare doelgroep. En we hebben altijd te maken met kinderen die niet op de foto willen”, zo motiveerde het bestuur de beslissing.

Een beetje raar. Het gaat om portfolios gemaakt door de kinderen zelf tijdens de lessen van het afgelopen jaar. Dat lijkt me dus redelijkerwijs noodzakelijk voor het leveren van het onderwijs, en daarmee te rechtvaardigen binnen de AVG. (Als die foto’s niet nodig zijn, waarom worden ze dan gemaakt?) En de privacy-impact lijkt me zeer gering omdat de foto’s alleen worden gedeeld met de betrokkenen zelf en hun wettelijk vertegenwoordigers. Deze zie ik dus niet helemaal.

Zelfs op het oog ‘onschuldige’ gegevens zoals het vrijgeven van het gewicht of de lengte van een voetbalspeler aan media is naar de letter van de nieuwe wetgeving niet toegestaan, zo meldde voetbalclub Feyenoord onlangs. Voetbalspelers zijn immers werknemers van de clubs, en werkgevers hebben de privacy van personeel te respecteren. Zij worden daarom terughoudender in mededeling doen over blessures en dergelijke van spelers.

Wederom onterecht volgens mij. Inderdaad, een gewone werkgever moet terughoudend zijn met privacygevoelige informatie van de werknemer aan derden verstrekken. Dat mag alleen als het voor het werk noodzakelijk is of er een zwaarwegend belang is voor de werkgever. Denk aan een klant bellen dat een afspraak niet doorgaat omdat de betreffende collega ziek is: dat is relevant voor het werk (maar wat deze persoon precies heeft, natuurlijk niet).

Specifiek bij professioneel voetballers en andere topsporters zie ik dat echter anders. Hun rol in de maatschappij is veel groter, zodat de informatievrijheid hier een zwaardere rol gaat spelen. Heel kort door de bocht, het publiek heeft er recht op te weten wat er met ‘hun’ sterspelers aan de hand is. Natuurlijk zitten daar grenzen aan, een live camera boven het ziekbed gaat hem niet worden. Maar een voetbalclub mag volgens mij best melden dat hun speler Robin van Persie een kuitblessure opgelopen heeft en daarom niet kan spelen.

Wie heeft er nog meer “oh jee dat mag niet van de AVG” berichten gezien recent?

Arnoud

RET weigert nieuwe leerling vanwege tweet

| AE 7984 | Ondernemingsvrijheid | 43 reacties

tram-trein-vervoerDe RET heeft een 20-jarige Rotterdammer niet toegelaten tot de opleiding van metrobestuurder omdat hij een racistisch bericht op Twitter verstuurde, las ik bij RTV Rijnmond. Metro noemt het een ‘gaskamertweet’, wat het niveau wel aangeeft denk ik. De RET vindt deze tekst onacceptabel (joh) en heeft daarom zijn inschrijving geweigerd.

U denkt nu misschien dat ik mezelf ga vragen “mag dat, iemand weigeren wegens een racistische tweet” maar dat is vrij simpel denk ik: ja. Wie zulke uitlatingen doet, diskwalificeert zich al heel snel als geschikte collega of leerling. Zo iemand hoef je niet in je organisatie te accepteren.

Interessanter vind ik de vraag hoe de RET erachter is gekomen dat deze leerling deze tweet had verstuurd. Ik zie drie mogelijkheden:

  1. Iemand (een medeleerling?) die het bericht zag, stuurde het naar de RET.
  2. De RET is meneer gaan googelen en kwam het bericht tegen.
  3. Iemand zag het bericht, maakte het een social media ding waarna de PR-afdeling van RET zei “dumpen die figuur”.

Optie 1 kan natuurlijk altijd, en is voorstelbaar als er een beperkt aantal plaatsen is. Optie 2 kan ook (hoewel Metro zegt dat het een afgesloten Twitteraccount betrof en dan is ernaar googelen wat lastig). Iedereen met een onderbuik weet dat iedere organisatie iedere sollicitant googelt, dus waarom zou datzelfde niet gebeuren bij een opleiding met een beperkt aantal plaatsen? En optie 3 komt steeds vaker voor in de praktijk, al dan niet met nepberichten.

Optie 2 is denk ik juridisch het interessantst. Immers, het googelen van een sollicitant is een verwerking van zijn persoonsgegevens. Je doorzoekt een databank (Google) op zoek naar persoonlijke informatie (persoonsgegevens) van een natuurlijk persoon. In beginsel is daarvoor dus toestemming nodig. Je kunt het ook gooien op de “eigen dringende noodzaak”, de uitzondering in de privacywet waarmee je zonder toestemming mag handelen. Je noodzaak moet dan zwaarder wegen dan de privacy van de persoon. Dat vereist een belangenafweging, en daarbij zal meespelen welke bronnen je raadpleegt. Openbare, zelf gepubliceerde bronnen zoals een homepage of openbaar Twitteraccount zijn daarmee wel te raadplegen, maar een vriendschapsverzoek op Facebook sturen vanaf het privéaccount van de HR-medewerker lijkt me niet kunnen.

In de praktijk gebeurt dat googelen natuurlijk vrij massaal. Maar voor leerlingen aan een opleiding?

Arnoud