Nee, werknemers kunnen geen toestemming geven voor privacyzaken

| AE 9313 | Arbeidsrecht, Privacy | 33 reacties

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP: dergelijke informatie wordt aangemerkt als bijzonder persoonsgegeven en dat mag als werkgever alleen worden verwerkt met aparte toestemming. En die kunnen werknemers niet geven.

Eind 2015 ontving de Autoriteit Persoonsgegevens signalen van werknemers van het bedrijf dat men akkoord moest gaan met beleid over random blaastests en drugscontroles (wangslijmtest, drugshonden, controleren van auto’s en werkplekken). Als een werknemer niet zou tekenen, zouden volgens die signalen sancties volgen, zoals plaatsing op een andere positie. Echt vrijwillig is dat dus niet te noemen. (Je zou ze de kost moeten geven, alle bedrijven waar je als werknemer moet tekenen voor allerlei beleid of gebruik van je persoonsgegevens waarna wordt geclaimd dat er ‘toestemming’ is.)

Dit leidde tot onderzoek, met als conclusie dat het bedrijf die gegevens echt niet zomaar mag verzamelen. Gegevens over alcohol- of drugsgebruik tellen als bijzonder persoonsgegeven – het zijn immers gegevens over gezondheid, als je het zuiver bekijkt. En als bedrijf mag je niet beschikken over dergelijke gegevens van je personeel. Ziekteverzuim en -dossiers mogen bijvoorbeeld alleen door een bedrijfsarts worden bijgehouden; de werkgever mag niet meer weten dan “Wim is ziek en waarschijnlijk maandag weer beter”. Zelfs Wim vragen “Goh wat had je eigenlijk vrijdag” is heel formeel verboden (oké oké alleen als je dat vervolgens in een bestand opslaat, of als je het hem appt).

Er zijn natuurlijk uitzonderingen. De hier meest relevante was die van uitdrukkelijke toestemming: wie in vrijheid zegt, het is prima dat je weet wat ik heb, heft daarmee het verbod op verwerking van dat persoonsgegeven op. Daar beriep Uniper zich op, maar dat sneuvelde al snel:

Uit [de wetsgeschiedenis] blijkt dus dat de toestemming niet onder druk mag worden gevraagd en gegeven. De testen worden uitgevoerd in opdracht van de werkgever. In het ‘Beleid alcohol-, medicijn- en drugsgebruik’ van 29 oktober 2015 staat dat een werknemer die geen verklaring tekent waarmee hij aangeeft in te stemmen met de testen in ieder geval een gesprek met de leidinggevende krijgt en bovendien het risico loopt op een andere positie te worden geplaatst. Een werknemer die bij de feitelijke test niet meewerkt wordt gesanctioneerd alsof er sprake is van een positieve uitslag. De werknemer wordt derhalve onder druk gezet om toestemming te verlenen. Er kan in dit geval dan ook niet gesproken worden van een ‘vrije toestemming’.

(Uniper beriep zich ook op gronden als een vitaal belang, dronken of onder de drugs gevaarlijke apparatuur bedienen is immers levensgevaarlijk. Daarvan werd echter gesteld dat de maatregel niet proportioneel was, en die laat ik verder even buiten beschouwing.)

Die uitspraak gaat natuurlijk over een specifieke context (geef toestemming of we behandelen je als drugsverslaafde en je kunt je promotie wel vergeten, even gechargeerd) maar de achterliggende gedachte is verstrekkend: een werknemer kan dus in beginsel geen toestemming geven voor privacykwesties aan zijn werkgever. Niet voor bijzondere gegevens, maar ook niet voor normale. Want ook in normale situaties is altijd enige ‘druk’ aanwezig, al is het maar de algemene druk dat je werkgever het onthoudt en mee laat wegen bij de keuze wie straks die promotie moet krijgen.

Een werkgever zal dus eigenlijk altijd een andere grondslag moeten hebben, zoals dat het nodig is voor het werk om die gegevens te hebben (wat alleen niet kan bij bijzondere persoonsgegevens) of dat hij een eigen zwaarwegend belang heeft (wat bij bijzondere persoonsgegevens overigens een ontheffing vereist). De naam en contactgegevens van personeel op je site zetten zou onder het eerste vallen; cameratoezicht met de juiste waarborgen onder het tweede.

Arnoud

Mag je de Twitter API scrapen voor wetenschappelijk onderzoek?

| AE 8877 | Auteursrecht | 9 reacties

twitter-agent-politieEen lezer vroeg me:

Deze meneer heeft een mooie data-analyse gemaakt van Donald Trump zijn tweets: Trump zelf gebruikt een Android-apparaat en een ghostwriter nuanceert de boel vanaf een iPhone. Daarbij vroeg ik mij af of dit zomaar mocht. Twitter zegt van wel bij onderzoeksdoeleinden (onder bepaalde voorwaarden). Zoals dat je je dataset niet mag delen met anderen, wat het weer moeilijk maakt voor écht onderzoek.

Op het eerste gezicht zou je zeggen dat onderzoek op Twitterberichten geen probleem zou zijn. Onderzoek op basis van krantenberichten is al decennia oud en geen probleem. En wat is Twitter nou anders dan een krant, zij het sneller en korter en met megaveel meer berichten?

Nou ja, om er eens eentje te noemen: Twitter is een dienst, en een krant is een product. Kranten kun je dan ook legaal inzien vanuit allerlei plekken, zoals bibliotheken, zonder dat daar allerlei gebruiksvoorwaarden gelden. Natuurlijk is het kopiëren van krantenberichten auteursrechtelijk een probleem, maar onderzoeken welke artikelen in Nederlandse kranten door ghostwriter zijn geschreven, is volgens mij volstrekt legaal.

Bij Twitter ligt dat anders. Twitter is een dienst, en kan daar voorwaarden aan verbinden. Die hebben ze dan ook, maar ik kan er geen specifieke regels over wetenschappelijk onderzoek in vinden. Deze API licentie gaat primair over het kunnen vertonen van tweets in je eigen dienst, eventueel licht gemasseerd om ze passend te krijgen. Het is bijvoorbeeld expliciet verboden de berichten op te slaan, wat onderzoek al bemoeilijkt – helemaal voor het verifieerbaar maken van je onderzoek want je mag de dataset dus niet vrijgeven.

Op zich is dat legaal. Een dienstverlener mag zelf weten wat ze toestaat met de resultaten van haar dienst, er is geen regeling zoals de auteursrechtelijke uitputting die bepaalt dat beschermde producten zoals boeken of kranten vrij bruikbaar zijn voor legale verkrijgers.

In de praktijk lijkt het wel mee te vallen. Ik heb nog nooit gezien dat Twitter een sommatie stuurde naar een researcher, en kan me dat (afgezien van research dat de servers overbelast) ook eigenlijk niet voorstellen. Twitter zou er weinig mee te winnen hebben en veel te verliezen. Maar afhankelijk zijn van een welwillende opstelling van een dienstverlener is natuurlijk wat anders dan iets mógen.

Arnoud

Mag een museum oude computervirussen tentoon stellen?

| AE 8412 | Beveiliging | 17 reacties

oud-virus-drop-charactesHet Internetarchief heeft een collectie van virussen en andere ‘schadelijke’ software gepubliceerd die in 1980 en 1990 werd verspreid, meldde Nu.nl vorige week. Sommige van die virussen herinner ik me ook nog wel – ja, ik word oud. Vooral die ene waarbij ineens letters verticaal omlaag vielen, maar die zie ik er dan net weer niet tussen. Maar goed, juridische blog: mag dat?

Het is natuurlijk strafbaar om gegevens zoals software te verspreiden die “zijn bestemd om schade aan te richten in een geautomatiseerd werk” (art. 350a Strafrecht), en vrijwel elk virus, worm of Trojan valt daaronder. Vroegâh stond er bij dat wetsartikel nog “door zichzelf te vermenigvuldigen”, zodat Trojans er niet onder vielen en je zelfs bij gewone virussen vraagtekens kon hebben (moet de schade komen door het vermenigvuldigen, hoe dan). Maar goed, dat is gefixt.

Er is een uitzondering op dit verspreidingsverbod, lid 4:

Niet strafbaar is degeen die het feit, bedoeld in het derde lid, pleegt met het oogmerk om schade als gevolg van deze gegevens te beperken.

Deze uitzondering is toegevoegd om ervoor te zorgen dat virusonderzoekers legaal hun bevindingen met elkaar kunnen delen. Soms moet je daarvoor ook immers viruscode aan elkaar geven, en dat zou toch niet strafbaar moeten zijn. Een museum heeft echter niet het oogmerk om “schade te beperken”, dat wil gewoon laten zien hoe die virussen eruit zagen.

Het “Malware Museum” heeft een andere oplossing gevonden – de code is gedeeltelijk onschadelijk gemaakt, ongeveer zoals je zou doen met een oud geweer voordat je het tentoon stelt. Zo’n aangepaste versie zou dan niet meer zijn “bestemd” om schade aan te richten, zodat je in principe niet meer strafbaar bent. Maar het zou er voor mij wel vanaf hangen hoe eenvoudig die aanpassing ongedaan te maken is. Hoewel? Iedere virusscanner is toch in staat om dit oud grut tegen te houden?

Arnoud

Mag een PC-reparateur aangifte doen van wat hij op je harddisk vindt?

| AE 7858 | Beveiliging | 23 reacties

Een lezer vroeg me: Als je je pc voor reparatie aanbiedt, kan men daarbij bijvoorbeeld zien dat je illegale software gebruikt. Of, als je pech hebt, dat je echt illegale zaken hebt staan (gestolen bedrijfsgegevens, terroristische literatuur, kinderporno, vul maar in). Mogen ze daar aangifte van doen? Ze hebben toch een geheimhoudingsplicht als opdrachtnemer? Als… Lees verder

Doorzoeken van een privélaptop mag ook niet zomaar

| AE 2308 | Beveiliging, Privacy | 17 reacties

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens… Lees verder

Massale laptopcontroles Schiphol leveren niets op

| AE 1574 | Beveiliging, Internetrecht | 10 reacties

De Marechaussee op Schiphol heeft vorig jaar meer dan duizend maal gecontroleerd op digitale gegevensdragers, meldde nu.nl afgelopen vrijdag. Vorig jaar begon men met een proef voor het doorzoeken van digitale gegevensdragers van reizigers, met als voornaamste doel het afschrikken van mensen die digitale kinderporno Nederland in zouden willen smokkelen. De juridische basis was en… Lees verder