Mag een abonnementsverlener eisen dat ik een toegangspas met foto gebruik?

| AE 13536 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me:

Ik heb een abonnement voor toegang tot dierentuinen genomen. Daarbij stond in de voorwaarden dat het abonnement persoonlijk is, en om dat af te dwingen moest er een foto bij. Mijn foto werd echter automatisch afgekeurd omdat deze zoals een ‘echte’ pasfoto van voren, neutraal kijkend en beide oren in beeld. Is dit allemaal toegestaan?
Algemeen is het zeker toegestaan om een persoonsgebonden abonnement te verkopen. Overeenkomsten voor dienstverlening zijn namelijk als hoofdregel altijd met een specifiek persoon, niet met iedereen die een pasje kan laten zien.

Vanuit die regel is het dus ook in beginsel toegestaan om via het pasje te regelen dat je met de abonnementshouder te maken hebt, en niet met een willekeurige lener van het pasje. Een pasfoto opnemen is dan ook een op zich logisch middel.

Alleen loop je dan wel tegen het probleem aan dat je dan de foto tot biometrisch persoonsgegeven maakt: je gebruikt de foto als herkenningsmiddel. Dat mag alleen onder de strenge voorwaarde dat je geen reëel alternatief hebt, zoals de naam via een overheidsidentiteitsbewijs controleren of een eenmalige scanbare code op je telefoon laten zien die je via je account kocht.

Wat hier verder nog gebeurt, is dat de dienstverlener zo te lezen met een machine learning algoritme onderzoekt of de foto geschikt is voor het beoogde doel. Dat is toegestaan áls het onderliggende gebruik van de foto (als identificatiemiddel van de abonnementshouder) dat ook is. Wel moet de dienstverlener natuurlijk voorkomen dat de ML-aanbieder de foto gaat hergebruiken voor trainingsdoeleinden (training van het ML-algoritme, voor de duidelijkheid).

Arnoud

Banken mogen onbewerkte ID zien, maar alleen gewatermerkt (en zonder bsn/foto) bewaren

| AE 13119 | Ondernemingsvrijheid | 16 reacties

Voor het (opnieuw) identificeren en verifiëren van de identiteit van de consument mag de bank een foto of scan van een onbewerkt ID-bewijs opvragen. Dat bepaalde geschillencommissie Kifid onlangs. Echter, voor het vastleggen en bewaren van een kopie van dit ID-bewijs moet de bank de pasfoto afschermen en een watermerk aanbrengen om misbruik te voorkomen. Deze uitspraak zet een mooie streep in het zand, die hopelijk ook werkelijk gaat leiden tot herziene procedures. (Ik ben altijd wat cynisch over bureaucratische procesvernieuwing.)

Even voor de duidelijkheid: het Kifid is een geschillencommissie, waar alle banken wettelijk verplicht bij aangesloten zijn. De uitspraken van het Kifid moeten zij dus opvolgen. En dat zou goed nieuws zijn – deze uitspraak is zo logisch dat ik ‘m als modelantwoord zou gebruiken bij onze opleiding tot privacyjurist.

De kern: wie bij een bank zit, moet met enige regelmaat een kopie ID overleggen. Zeker nu moet dat vrijwel altijd digitaal, en soms zelfs via de e-mail. Daar krijg ik veel vragen over, maar in de kern moet dit want in verband met anti-witwaswetgeving (de Wet ter voorkoming van witwassen en financieren van terrorisme, Wwft) is identiteitscontrole van je klanten verplicht.

Daar zit meteen ook het punt, want het gaat om verifiëren van iemands identiteit (artikel 3 Wwft). De ouderwetse methode is dan dat iemand naar de balie komt (haha, een balie van een bank, stel je voor, in een toegankelijk gebouw zeker) en daar zhaar identiteitsbewijs laat zien. De medewerker kijkt daarnaar, controleert de echtheidskenmerken en vergelijkt de foto. Als alles in orde is, zet de medewerker een vinkje bij “verificatie in orde” en we zijn er.

Dit verklaart waarom een bank een onbewerkte (dus niets afgeschermd en geen watermerken) kopie van een identiteitsbewijs mag eisen. Echtheidskenmerken kunnen zijn afgeschermd of verminkt door zo’n bewerkte kopie. En omdat het wettelijk verplicht is te toetsen aan die kenmerken, moet de bank dus een originele, volledige kopie van het identiteitsbewijs hebben.

Er is echter nog een plicht, namelijk het bewaren van zekere bewijsstukken van die verificatie. Dit is geregeld in artikel 33 Wwft, en de bank beroept zich daarop om die kopie identiteitsbewijs te mogen bewaren. Dat is verdedigbaar, want de wet noemt een “afschrift” van je identiteitsbewijs als iets dat moet worden bewaard. Alleen: pasfoto en echtheidskenmerken zijn nu niet meer relevant, want de check is al gedaan. Dit moet de bank dus afschermen bij het opslaan van de kopie.

En het Kifid gaat nog een stapje verder: de bank moet actief de kopie voorzien van een watermerk of iets dergelijks, zodat bij een datalek de kopie niet zomaar gebruikt kan worden. Doet zij dat niet (de ABN Amro had hier gesteld dat dit onmogelijk was) dan mag ze de kopie niet bewaren, want dat is te onveilig voor de consument.

De discussie over het bsn is ook nog het vermelden waard. Het bsn staat op het identiteitsbewijs, maar de Wwft schrijft niet voor dat de bank dit moet gebruiken bij die identiteitscontrole. (Zorgverleners en zorgverzekeraars bijvoorbeeld wel.) En als het niet moet, dan mag het niet.

Althans, niet in het kader van de Wwft-verificatie. De bank is wél verplicht het bsn te gebruiken in de communicatie met de Belastingdienst (Algemene wet inzake rijksbelastingen) en de DNB (het depositogarantiestelsel). Op die wettelijke grond moet de bank dus het bsn opvragen, en dat mag best tijdens dat verificatieproces gebeuren. Daarom hoeft de bank het bsn niet af te schermen, mits ze maar wel de consument uitlegt waarom ze dat niet doet.

Dit stukje snap ik niet helemaal, want je kunt prima na de verificatie – dit is het bsn van Wim – het bsn apart opslaan en het daarna op de kopie onleesbaar maken. Die Awr en DNB-regels eisen namelijk niet dat je een kopie identiteitsbewijs moet kunnen tonen om aan te tonen dat je het juiste bsn had. En het is wel een serieus risico als een bsn uitlekt. Maar goed.

Samenvattend: De consument mag niet schrijven op de foto of scan die zij aanlevert ter identificatie. Zij mag wel van de bank eisen dat de kopie die zij vastlegt en bewaart bewerkt wordt. En de bank weet nu dat die bewerkte kopie voldoet aan de Wwft.

Arnoud

 

 

 

 

Geen richtprijzen, wel schadevergoeding voor gebruik creatieve pasfoto

| AE 2157 | Intellectuele rechten | 10 reacties

pasfoto-lijstje-kader-polaroid.jpgVijftienhonderd euro voor een pasfoto “die niet geschikt is voor de officiële documenten, maar wel érg leuk is!” Dat moest Ringfoto betalen nadat ze een via Google gevonden pasfoto op haar site had opgenomen. Er was 4500 euro gevorderd exclusief proceskosten. De rechter wijst de “richtprijzen van de Fotografenfederatie” af als basis en wijst 1500 euro toe als niet-betwiste licentievergoeding.

Op een pasfoto zit normaal geen auteursrecht, omdat zo’n foto puur functioneel en zakelijk is en er geen ruimte is voor creativiteit (dat is immers verboden bij pasfoto’s). Maar het ging hier om wat de fotograaf “leuke pasfoto’s” noemde. Het is echt jammer dat de site van de fotograaf gesloten is, want ik had graag de betreffende foto erbij gehad. Nu moeten we het doen met de inschatting van de kantonrechter:

Uit de vergelijking van de gewone pasfoto van [YYY] met de foto waarop het onderhavige geschil betrekking heeft, blijkt naar het oordeel van de kantonrechter in voldoende mate van persoonlijke, creatieve keuzes die [eiser] heeft gemaakt teneinde het verschil met de gewone pasfoto tot uitdrukking te brengen. Het mag dan zo zijn, dat de beide foto’sniet (zichtbaar) verschillen in achtergrond en kleding van [YYY], de overige aspecten, zoals de uitsnede van de foto, de pose van [YYY], de belichting van haar gezicht, de wijze waarop het haar is geschikt, getuigen van even zovele zelfstandige, subjectieve keuzes van de maker bij het tot stand brengen van het portret

De kantonrechter hanteert daarbij overigens nog het oude criterium “persoonlijk stempel van de maker”, wat dus “eigen intellectuele schepping” moet zijn. Maar op zich lijkt me de invulling van die criteria niet heel verschillend.

De pasfoto is beschermd, en is zonder toestemming overgenomen op een bedrijfsmatige site. Dat mag niet, en de fotograaf kan dan een schadeclaim indienen. Wel moet hij dan bewijzen dat hij schade heeft, en dat valt bij fotografen lang niet mee. Zeker hier: hoe kun je iemands pasfoto immers in licentie geven? En welk bedrag vraag je dan?

Terecht wijst de rechter de gevorderde boeteschadeclaim van 4500 euro af. Die was immers gebaseerd op de “door de Fotografenfederatie opgestelde algemene voorwaarden en de door de Fotografenfederatie opgestelde richtprijzen voor de fotografie”, maar dat kan niet: de Fotografenfederatie hanteert sinds 2004 geen richtprijzen meer (dat mag ook niet van de NMa). En ik zie dat het particuliere initiatief www.richtprijzen.org opgeheven is.

Er wordt wel een schadevergoeding toegewezen van 1500 euro, op basis van een niet-betwiste verklaring van de fotograaf zelf. Die zou 750 euro licentievergoeding en 750 euro afkoop gevraagd hebben als er vooraf om een licentie was gevraagd. Dat is trouwens wel opmerkelijk, omdat de site van de fotograaf vermeldt “Een set kost slechts ” 8,95″ (hoewel dat natuurlijk niet exploitatie op een website dekt, maar toch). De proceskostenvergoeding wordt niet toegekend, omdat beide partijen gedeeltelijk in het ongelijk worden gesteld.

Arnoud