Jonge Skype- en Outlook-gebruikers in de problemen door privacywet

Kinderen onder de 16 jaar met een Outlook- of Skype-account hebben een probleem: ze kunnen opeens niet meer inloggen. Dat meldde de NOS vorige week op basis van een PR-meelbal van Microsoft die het afsluiten van minderjarigen in het belang van hun veiligheid noemt. De geciteerde reden – dat moet van de AVG – is de grootste onzin die ik over deze wet in tijden heb gelezen. En ik héb wat onzin over de AVG gelezen.

Het klopt dat er voor kinderen (zestienminnners dus) speciale regels in de AVG staan. Wanneer je namelijk een kind onder de zestien rechtstreeks een internetdienst aanbiedt, en je wilt daarbij toestemming voor gebruik van diens persoonsgegevens, dan moet je die bij de ouders gaan halen. Dat staat in artikel 8 lid 1. En in lid 2 staat dat de aanbieder van zo’n dienst een inspanningsplicht heeft om daadwerkelijk te controleren dat die toestemming er is.

Alleen: het moet gaan om een “rechtstreeks aanbod”, staat er letterlijk. Ik kan dat maar op één manier lezen en dat is dat de dienst zich specifiek op kinderen richt. Een dienst die toevallig ook kinderen toelaat, doet die kinderen weliswaar een aanbod maar geen rechtstreeks aanbod. Als je zegt van wel, dan doet iedere internetdienst te allen tijde een “rechtstreeks” aanbod door een signup formulier te bieden, en dan heeft de frase “rechtstreeks aanbod” geen betekenis. En dat is juridisch een gevalletje delen door nul, dat kan niet waar zijn dat een zinsnede niets betekent. Een wetgever schrijft het niet voor niet zo op.

Daarnaast geldt het alleen voor gebruik van persoonsgegevens met als grondslag toestemming. Ik zou denken dat bij Microsoft die persoonsgegevens (je account, de daaraan gekoppelde gegevens die je opslaat et cetera) onder de grondslag overeenkomst verwerkt worden. Ook daarom zou dit dus gewoon niet van toepassing moeten zijn. Je vraagt niet om toestemming om een dienst te mogen leveren, je sluit een online contract waaronder je een dienst gaat leveren. Dat is wezenlijk wat anders.

Ik snap dus werkelijk niet hoe Microsoft hierbij komt. Je zou kunnen denken dat het een voorzichtige interpretatie is, maar als ik dan “We zijn er ons van bewust dat de vereisten die de AVG met zich meebrengt tijdelijk vervelend kunnen zijn.” lees in dat persbericht dan is mijn eerste gedachte, wordt hier subtiel gelobbyd tegen de werkelijke doelen van de AVG? Is er werkelijk geen andere manier dan een creditcardbetaling?

Het grappige vind ik dan nog dat onder de Wbp (en dus in heel Europa) er wel categorisch altijd toestemming nodig was van ouders om zestienminners internetdiensten te laten gebruiken. De huidige wet kent namelijk géén beperking tot “direct aanbod” of zelfs maar tot internetdiensten. Toestemming geven voor een schoolfoto moet nu dus via de ouders, vanaf 25 mei kan een kind die toestemming zelf geven (tenzij volgens de algemene regel van artikel 1:234 BW die toestemming niet gebruikelijk is voor iemand van die leeftijd). Dus eigenlijk erkent Microsoft dat het al die jaren het fout heeft gedaan?

Arnoud

Moet ik de Outlook-kalenders op kantoor openzetten?

outlook-gedeelde-kalender.pngEen lezer vroeg me:

Als systeembeheerder bij een MKB-bedrijf kreeg ik de instructie om alle Outlook-kalenders openbaar toegankelijk te maken voor alle mensen binnen het bedrijf, zonder de betrokkenen daarvoor apart toestemming voor te vragen. Het betreft hier niet alleen de beschikbaarheidsinformatie die standaard wordt getoond, maar ook de inhoud van de individuele afspraken. Als argument word gegeven dat het dan makkelijker plannen is, en dat als iemand iets geheim wil houden hij het maar moet markeren als een privé-afspraak. Wordt de privacy niet geschonden zo, en moet ik hieraan meewerken?

Een afspraak in een agenda kan zeker onder de privacywet vallen. Wel denk ik dat bij zakelijke afspraken de werkgever al heel snel een belang kan hebben dat zwaarder weegt dan de privacy. Het is immers een afspraak voor het werk, en de inhoud van de afspraak kan relevant zijn voor anderen. “Bezet tussen 12 en 13” is immers te weinig informatie om te weten of je iemand tussen 13 en 14 kunt spreken: is hij op kantoor, gaat hij uit lunchen, zit hij bij een klant aan de andere kant van het land?

Privézaken zoals tandarts of etentje met je partner mag je best in de zakelijke agenda zetten, en daar moet de werkgever dan van afblijven. Wel is het redelijk om te verwachten dat mensen de afspraak markeren als privé zodat de werkgever dat wéét.

Een regeling dat agenda’s open moeten zijn behalve privé gemarkeerde afspraken, lijkt me op zich redelijk. Maar aankondigen vooraf is eigenlijk wel verplicht. Mensen moeten immers weten dat dit gaat gebeuren, zodat ze oude privéafspraken alsnog af kunnen sluiten.

Of je als systeembeheerder moet meewerken, blijft een lastige vraag. Ik adviseer altijd dit soort instructies eerst op schrift te laten krijgen, en daarna met een stalen gezicht de bedrijfsjurist te vragen om te duiden hoe dit binnen de Wet bescherming persoonsgegevens vormgegeven moet worden. Daar is die immers voor. Met een beetje geluk gaat er dan een “OMG dit kan niet, aansprakelijkheid, whargarbl” naar de directie en ben je er vanaf. En als hij zegt dat dit legaal is, dan kun je met een gerust hart aan het werk lijkt me.

Arnoud