Mag je onderzoeken naar een datalek bij een politieke partij?

De gegevens van 92.901 leden en oud-leden van de Nederlandse politieke partij Forum voor Democratie zijn gelekt. Dat meldde Tweakers donderdag. De administratieserver had een fout waardoor je zonder controle lidmaatschapsgegevens kon opvragen (namen, e-mailadressen, telefoonnummers en rekeningnummers van leden en oud-leden). Auw. De journalisten van RTL Nieuws kregen 92.901 records te pakken. Wat de vraag opriep: mag dat eigenlijk wel, zo’n lijst downloaden, gaat dat niet te ver?

Het lek is ondertussen gedicht, en afgezien van een melding bij de AP en een dreiging met aangifte tegen iedereen die de gegevens misbruikt lijkt er niets meer van te komen. Maar het punt blijft: had je als journalist zo ver mogen gaan?

Hoofdregel is natuurlijk dat ook journalisten zich aan de wet moeten houden. Maar er is een uitzondering: als het absoluut noodzakelijk is voor het aan de kaak stellen van een ernstige misstand, dan mag je verder gaan. Inclusief dus inbreken in een computersysteem, wanneeer dat dus de enige manier is om vast te stellen dat daar inderdaad een lek zit.

De omvang van het lek vaststellen mag ook, want dat is dan deel van het nieuws. Maar dan krijg je het dilemma: is het nodig om 92.901 records te downloaden om te controleren of je werkelijk álle ledengegevens te pakken kunt krijgen? Kun je niet volstaan met enkele records te zoeken (op je eigen naam, of op de naam van bekende leden, zodat je geen nodeloze schade aanricht) om zo de omvang van het probleem vast te stellen?

In de al wat oudere Nieuwe Revu-zaak werd het hacken van de mailbox van de toenmalige Staatssecretaris van Defensie legaal geacht, maar het vervolgens snuffelen in de mails dan weer niet. Voor het nieuwsfeit “is die mailbox zwak beveiligd” was op zich aanleiding, maar “hij doet mogelijk staatszaken in de privémailbox” was te theoretisch. En Henk Krol kreeg in 2013 ook een boete voor het grasduinen in EPD dossiers na bewezen te hebben dat een arts een zwak wachtwoord had, zij het dat meewoog dat hij dat voor de televisiecamera deed.

Mijn eerste gevoel bij deze zaak is dat omdat het hier gaat om zeer gevoelige gegevens, je in je recht staat om vast te stellen hoe ernstig de zaak precies is. Dan is downloaden van de gehele dataset wel nodig, al is het maar om te kunnen reageren op de onvermijdelijke downplaying die menig organisatie zou doen bij een dergelijk nieuwsbericht. Natuurlijk moet je die dataset vervolgens ergens in een kluis stoppen en verder niet aankomen.

Weet er iemand een andere manier om dit lek te valideren op zo’n manier dat de scope vast komt te staan maar zónder dat je alle records downloadt?

Arnoud

Oh jee, gaat je TikTok-data nu ineens naar China, dat wist ik niet?

geralt / Pixabay

TikTok gaat zijn Europese privacybeleid aanpassen, las ik bij Nu.nl. (Ruud help: zijn of haar beleid?) In de nieuwe versie van het document meldt het sociale netwerk dat data van Europese gebruikers toegankelijk zijn voor TikTok-medewerkers buiten Europa, en noemt Volksrepubliek China expliciet. Dat riep vele vragen op, want echt thee kun je dit niet noemen.

Het bedrijf achter de app TikTok valt onder de AVG, en moet dus melden naar welke landen buiten de Europese Economische Ruimte ze persoonsgegevens overbrengt. TikTok doet dat, zo schrijven ze, alleen aan andere onderdelen van haar “corporate group”, zeg maar het concern. En dan krijg je alinea’s als deze, die tentamenstof zijn voor onze opleiding FG:

Standard contractual clauses: Certain entities in our Corporate Group located in countries without an adequacy decision are granted, under standard contractual clauses, limited remote access to information described in What Information We Collect to provide important functions. These entities are located in Brazil, China, Malaysia, Philippines, Singapore, and the United States.
A lot to unpack here, zou de psycholoog zeggen. TikTok laat zusterbedrijven in andere landen bepaalde diensten uitvoeren en die hebben daar persoonsgegevens bij nodig. Als ik de privacyverklaring snel lees, dan gaat dat bijvoorbeeld om moderatie en controle van klachten. Als er klachten komen dat jij mensen lastigvalt via direct messages, dan is het logisch dat iemand in Singapore dan je direct messages krijgt.

TikTok mag niet zomaar gegevens naar die genoemde landen brengen, omdat die niet “adequaat” zijn, dat wil zeggen geen databeschermingswetgeving hebben die equivalent is aan de Europese. Daar is dan een juridisch lapmiddel voor, te weten de standard contractual clauses, een enórme lap met afspraken die de ontvanger buiten de EU dan moet tekenen. En als ze dat doen, dan weet je in de EU dat het goed zit. Op papier dan.

Een van de genoemde landen is China, niet gek want het bedrijf Bytedance achter TikTok is gevestigd in Beijing. Het komt voor mij dus zacht gezegd niet als verrassing dat er data van TikTok vanuit China benaderbaar is. Maar goed, nu kunnen we er niet meer omheen.

Heeft het gevolgen? Nee, niet direct, althans tenzij ons kabinet inderdaad Tiktok dit gaat verbieden maar hoe dat zou moeten gebeuren (gezien dit Europese regels zijn) zou ik niet weten. en we zitten nou eenmaal met de fictie dat iedereen vrijwillig op TikTok zit en toestemming geeft voor het gebruik, waarbij dankzij de SCC de MSS er niet aan mag, cap. Ik bedoel: dat de Chinese geheime dienst vanwege die contractuele afspraken écht niet aan die gegevens zal komen.

Arnoud

Je mag dus toch wél testen met productiepersoonsgegevens, mits je ze maar daarna weggooit

mohamedhassan / Pixabay

Goh, die zag ik dus niet helemaal aankomen: het Hof van Justitie oordeelt dat je wél je software mag testen met persoonsgegevens uit de productiedatabase. Mits je alles maar weggooit zodra je tests zijn afgerond. Dat bepaalde men onlangs (arrest C-77/21) in een zaak waarin een Hongaarse ISP (Digi) op de vingers werd getikt door de toezichthouder vanwege testdata laten slingeren, wat een datalek had gegeven.

Het is uiteraard een goed idee om software te testen alvorens je deze gebruikt, zeker wanneer die software persoonsgegevens gaat verwerken. Dergelijke software moet immers veilig zijn en voldoen aan de beginselen van privacy by design en privacy by default. Dat vereist een goede set aan testdata, maar die is vaak lastig te krijgen. Helemaal als je ook met de hele wereld rekening gaat houden (zie de bekende “Falsehoods about names“, welke verraste jullie het meeste?) omdat het enorm moeilijk is die variëteit zelf te verzinnen.

De Autoriteit Persoonsgegevens zegt echter dat het niet wenselijk is om dan gewoon een kopie van je productiedatabase te nemen en daarmee te gaan lopen testen:

Dat is niet aan te raden. Testen is een complex proces, waarvoor zorgvuldigheid en meerdere gescheiden omgevingen nodig zijn. Het testen met persoonsgegevens brengt namelijk risico’s met zich mee. … De mensen van wie u persoonsgegevens verwerkt, verwachten niet dat u hun gegevens ook voor testdoeleinden gaat gebruiken. Dat betekent onder meer dat u voor het testen een aparte grondslag moet hebben.
Dat eerste is zeg maar een “kijk nou uit” argument, wat juridisch te herleiden is tot de AVG-eis van adequate beveiliging (art. 32) en meer algemeen adequate processen om zorgvuldig met persoonsgegevens om te gaan (art. 24). Een risico is bijvoorbeeld dat je testsysteem dan mails gaat sturen naar de klanten in de database, wat die mensen opvatten als een echte mededeling. Of heel simpel dat er een Excel-bestand met de productiedatabase rondslingert op de desktop van de tester, die het vergeet te verwijderen. Of dat Excel-bestand komt ergens in een gedeelde map die dan onbeveiligd bij Amazon terecht komt. Niet handig, mag niet gebeuren, dus doe dat nou gewoon even niet. Fair enough.

Dat tweede is een juridisch argument. Dat mensen niet verwachten dat hun gegevens ook voor X worden gebruikt, is de vertaling van “doel X is niet verenigbaar met het oorspronkelijke doel” (art. 6 lid 4 AVG). En dat is een probleem, want dan is aparte toestemming (althans, een aparte grondslag) nodig en die is er eigenlijk niet.

Het Hof van Justitie zegt nu dat dat laatste iets te snel is:

[Het] beginsel van doelbinding [verzet] zich er niet tegen dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens vastlegt en opslaat die eerder in een andere databank zijn verzameld en bewaard, wanneer die verdere verwerking verenigbaar is met de specifieke doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld, hetgeen moet worden bepaald aan de hand van de in artikel 6, lid 4, van die verordening genoemde criteria en van alle omstandigheden van het geval.
Dat komt neer op “het zou kunnen maar je moet goed nadenken”, waar we dus weinig aan hebben. Maar het Hof gaat verder:

Wat ten derde deze beoordeling betreft, moet worden opgemerkt dat het uitvoeren van tests en het herstellen van fouten in het abonneebestand concreet verband houden met de uitvoering van abonnementsovereenkomsten van particuliere klanten, aangezien dergelijke fouten negatieve gevolgen kunnen hebben ten aanzien van de contractueel overeengekomen dienst waarvoor de gegevens aanvankelijk zijn verzameld. Zoals de advocaat-generaal in punt 60 van zijn conclusie heeft opgemerkt, wijkt een dergelijke verwerking immers niet af van de legitieme verwachtingen van deze klanten wat het latere gebruik van hun persoonsgegevens betreft. Uit de verwijzingsbeslissing blijkt overigens niet dat deze gegevens of een deel daarvan gevoelig zouden zijn geweest of dat de aan de orde zijnde verdere verwerking ervan als zodanig schadelijke gevolgen voor de abonnees zou hebben gehad of niet gepaard ging met passende waarborgen. Het is hoe dan ook aan de verwijzende rechter om dit na te gaan.

Als het dus gaat om testen ten behoeve van verbeteren van de dienst waarvoor je de gegevens hebt verkregen, dan is het dus in principe wél gewoon verenigbaar om te testen met de productiegegevens. Mensen verwachten dat er af en toe geknutseld en verbouwd wordt aan hun dienst, en moeten snappen dat er dan soms getest wordt. Natuurlijk ontslaat dat je niet van je verantwoordelijkheid de test netjes en veilig uit te voeren, wat dus betekent dat er géén mailtjes mogen ontsnappen of dingen gebeuren die toch effect hebben op de productie-omgeving.

De reden voor de ingreep van de Hongaarse AP was een datalek, veroorzaakt omdat een test-database was blijven staan op een slecht beveiligde server waar een ethisch hacker deze aantrof. Dat mag natuurlijk niet gebeuren, en het Hof trekt daar een grens vanuit de opslagbeperking: zodra het testen klaar is, moet de testdata weg. (Natuurlijk, het kán dat je maandelijks test in plaats van eenmalig. Dan mag je dus de testdata blijven bewaren, mits je er natuurlijk voor zorgt dat deze niet voor andere doeleinden wordt gebruikt of op een openbare AWS blob komt.)

Arnoud

‘Leg in het OER vast dat tentamens worden beoordeeld op studentennummer’

472301 / Pixabay

Het anoniem beoordelen van het werk van studenten moet op de UU verplicht worden om te zorgen voor een eerlijke beoordeling. Dat pleidooi las ik vorige week. Nee, geen internetrecht maar wel AVG en een hoop rechtenstudenten lezen deze blog, dus het krijgt vandaag toch een stukje aandacht hier. Want anoniem beoordelen zou niet kunnen volgens het CvB omdat de AVG in de weg zit. Eh, huh?

De kern van het pleidooi is dat de Universiteit Utrecht het anoniem beoordelen van tentamens en werkstukken verplicht moet stellen. Dit ter voorkoming van bias: een docent die weet dat hij het werk van Wim dan wel Wilma nakijkt, kan daar verschillende beoordelingen aan geven terwijl de antwoorden eigenlijk inhoudelijk hetzelfde zijn.

In 2020 zegde de rector van de UU nog toe hiervoor te gaan zorgen, maar dat werd later alsnog afgeblazen:

De vraag is volgens hem of anoniem tentamineren in alle gevallen past bij het uitgangspunt van het Utrechts onderwijsmodel. Dat gaat uit van kleinschalig onderwijs en persoonlijk contact tussen studenten en docenten. In sommige gevallen kan het dan bij de beoordeling van studenten juist een voordeel zijn als de docent de student wél kent.
De AVG was dus niet de eigenlijke reden. Die wet komt wel in beeld als het gaat om het verifiëren van de effectiviteit: deze wordt lastig aan te tonen als persoonlijke gegevens van studenten niet mogen worden verzameld. Ik vermoed dat dit zit in het externe onderzoekers toegang tot tentamens met naam en toenaam geven, of in het juist registreren van allerlei zeer privacygevoelige gegevens (denk aan geslacht of etnische afkomst) om op bias daartegen te testen. Dus ik snap die wel.

De studenten halen overigens genoeg onderzoek aan dat overtuigend laat zien dat die bias aanwezig is en dat anoniem nakijken dus effect daartegen zal hebben. Dan voelen de bezwaren toch weer meer als koudwatervrees, en is voor mij “soms kan het wél een voordeel zijn” dan niet goed te volgen.

Ik kan me als docent namelijk niet voorstellen dat je ooit iets haalt uit niet-anoniem nakijken. Ik zou het zelf juist lastig vinden, heb je een vraag op het randje en dan weet je dat het Wim is die dit vak moet halen of eruit gaat en dan direct terug naar Syrië kan (geen inschrijving = ongewenste vreemdeling). Die kennis moet je niet willen hebben bij het beoordelen van dat tentamen lijkt me.

Arnoud

Kan de AP wat doen tegen een bioscoop die geen contant geld wil?

Een lezer vroeg me:

Ik las dat er een rechtszaak speelt van privacy-activist Michiel Jonker tegen de weigering van de Autoriteit Persoonsgegevens (AP) om handhavend op te treden tegen de weigering van arthouse-bioscoop Focus Filmtheater in Arnhem om contante betaling te accepteren. Hoe kansrijk acht jij deze zaak?
Er spelen hier twee dingen. Allereerst gaat het hier om een zaak tegen de Autoriteit Persoonsgegevens, die dit niet belangrijk genoeg vindt (of niet genoeg redenen ziet) om handhavend tegen op te treden. En ten tweede is het zeer de vraag of die weigering inderdaad in strijd met de AVG is.

Deze rechtszaak gaat dus niet direct om de vraag “mag een bioscoop contant geld weigeren vanwege de AVG”. Die vraag is aan de AP voorgelegd: wilt u de AVG handhaven tegen een bioscoop die dit doet. De AP wilde dat niet, en dan kun je de rechter vragen te verklaren dat de AP dat wel moet doen. (Een beetje zoals je het OM iemand kunt laten vervolgen via de artikel 12-route bij het Gerechtshof Arnhem.)

De rechter beantwoordt dan niet de juridische vraag, maar kijkt of het AP met een goede analyse tot haar besluit (om er niets aan te doen) is gekomen. Dat kan zijn omdat de AP een goed antwoord op de vraag heeft, maar ook omdat ze bijvoorbeeld een goede motivatie hebben gegeven waarom dit geen prioriteit moet krijgen. En in dat geval kom je niet eens meer toe aan de juridische vraag. Een bestuursorgaan als de AP heeft veel ruimte om daarin zelf te beslissen, dus de kans is gewoonlijk groot dat de rechter de AP gelijk geeft in haar weigering tot handhaven.

Uit het nieuwsbericht haal ik dat de AP hier echter inhoudelijke redenen heeft aangevoerd:

Volgens de AP is niemand verplicht om contant geld als wettig betaalmiddel te accepteren. Tevens stelt de toezichthouder dat de bioscoop via haar algemene voorwaarden een “contract” met de bioscoopbezoekers tot stand brengt, waaruit een noodzaak zou voortvloeien om persoonsgegevens van de bioscoopbezoekers te verwerken.
Hier zitten twee juridische argumenten in. Allereerst dus het punt dat er geen wettelijke plicht is om wettige betaalmiddelen te aanvaarden. Dat klopt. De wet zegt alleen dat wie een geldschuld hééft bij iemand, deze heeft voldaan door met een wettig betaalmiddel het bedrag te voldoen.

Achteraf pas zeggen “ik wil die lening giraal terug” is niet mogelijk (voorbeeld). Maar zeg je het bij het aangaan van de afspraak (juridisch: je neemt een betalingsvoorwaarde op in je aanbod) dan is dat prima. Dit is bijvoorbeeld waarom je bij sommige winkels zo’n sticker “Hier alleen pinnen” ziet: dat is een algemene voorwaarde, een betalingsvoorwaarde die voor het sluiten van de koop wordt getoond. Dat is dus bindend. Als je het vooraf zegt, mag je wettige betaalmiddelen geheel weigeren.

Het tweede punt is of je door contant geld te weigeren en pinbetaling te eisen, de AVG overtreedt. Het argument is dan dat je die pinbetaling vraagt om de overeenkomst uit te voeren (art. 6 lid 1 sub b AVG), maar dat de daarmee verwerkte persoonsgegevens boventallig oftewel niet noodzakelijk zijn om die overeenkomst uit te voeren. Er is immers een alternatief, namelijk contant betalen, dat net zo goed mogelijk is. (Het bewijs: je kon al die jaren aan de kassa contant betalen.)

Ik noem dit wel de innovatieparadox: er is nooit een noodzaak om iets nieuws te doen, want het bestaande werkt prima en heeft eigenlijk altijd minder persoonsgegevens nodig. Dat kan in het algemeen niet waar zijn. Je moet dus kijken naar specifiek de situatie rond pinbetaling: waarom wil een bioscoop met alleen pinbetaling werken, en wat doen ze met de gegevens?

Als de reden bijvoorbeeld is (zoals deze bioscoop aangeeft) de zorg om berovingen, en de pingegevens worden direct na de transactie weggegooid, dan zou ik het wel redelijk vinden. Men biedt ook een alternatief, namelijk de bioscoopbon. Ik moet zeggen dat ik dan alleen nog héél algemene tegenargumenten kan bedenken (“het gaat om het principe”) en dat vind ik in concrete situaties nooit erg sterk. Ik denk dus dat ook inhoudelijk de bioscoop erg sterk staat en de zaak dus weinig kansrijk is.

Arnoud

Mag je persoonsgegevens gebruiken om een AI mee te trainen?

ahmedgad / Pixabay

Een lezer vroeg me:

Wij willen in onze organisatie gaan experimenteren met AI oftewel machine learning voor tekstanalyse. Onze bronbestanden bevatten persoonsgegevens (denk aan ingevulde aanvraagformulieren en onze beoordeling daarvan). Mogen we die meenemen in het bouwen van ons systeem?
Het gebruik van persoonsgegevens is natuurlijk gereguleerd onder de AVG. In principe is het niet de bedoeling dat je persoonsgegevens voor andere doeleinden gebruikt, zie mijn blog over testen met persoonsgegevens* als voorbeeld.

Er is echter een specifieke route bij het gebruik van data voor trainen van AI. AI oftewel machine learning is immers “alleen maar” statistiek, je zoekt naar patronen met wiskundige algoritmes, bijvoorbeeld lijnen die een heleboel metingen in twee groepen (ja/nee, gevaarlijk/normaal, etc) verdeelt of een formule waarmee je een nieuwe meting kunt plaatsen. In AVG terminologie noemen we dit een verwerking voor statistische doeleinden.

Vanwege artikel 5 lid 1 sub a AVG is dat dan in principe verenigbaar met het oorspronkelijke doel, wat dat doel ook was. Je mag statistisch onderzoek doen op je rechtmatig verkregen persoonsgegevens, daar is geen aparte toestemming voor nodig. De voornaamste eis is dat wat daaruit komt, niet rechtstreeks terug wordt toegepast op de betrokken personen, en al helemaal niet als een geautomatiseerde besluitvorming (artikel 22 AVG).

Dat is bij een AI model totaal niet aan de orde. Sterker nog, persoonsgegevens zijn gewoonlijk niet meer dan ruis – die paar keer dat er “Jansen” in een veld staat, heeft geen enkel effect. De vele duizenden bedragen waartussen geïnterpoleerd kan worden, of de velden met geslacht, werkzame status et cetera zijn veel belangrijker. Het statistisch model (“de AI”) dat eruit komt, zal dus niet of nauwelijks beïnvloed zijn door die namen of adressen in het bronbestand.

Het risico dat ik wel zie, is dat je een bron-dataset hebt waarin al die Jansens met naam en toenaam staan. Dat bestand zal dus goed moeten worden bewaakt, want daarin zitten dus leesbare persoonsgegevens en die zouden kunnen lekken of voor niet-statistische doelen worden ingezet. Tegelijk zul je dit bestand wel steeds nodig hebben bij iedere update, dus dit direct weggooien is ook weer geen optie.

Arnoud * sed s/Wbp/AVG/g

Hebben universiteiten nu een AVG-probleem met die Proctorio hack?

Vele tienduizenden Nederlandse studenten zijn maandenlang gemakkelijk te hacken geweest, omdat hun opleiding hen verplichtte onveilige antispieksoftware te installeren. Dat meldde RTL Nieuws onlangs. Criminelen kunnen de software van Proctorio misbruiken om mee te gluren met de webcam en opnames te maken, of om toegang te krijgen tot online accounts, zoals je e-mail, betaaldiensten of crypto (de zogeheten online wallet). Diverse studerende lezers vroegen me: heeft mijn universiteit of hogeschool nu een AVG probleem, en moeten ze nu stoppen met Proctorio?

We hebben het eerder gehad over proctoring-software, die sinds de coronacrisis breed ingezet werd. Het argument daarbij was klassiek het privacy argument: studenten moeten zichzelf digitaal blootgeven in hun huisomgeving om vermoedens van fraude uit te sluiten. De rechter is daarin niet meegegaan: fraude bij tentamens is ernstig, het gaat maar om enkele uren per tentamen dus hoe erg is dat nou helemaal. (Bovendien, hoe moet het dan bij tentamens van 300 man.)

De onderliggende aanname is dan – zoals wel vaker – dat de software an sich veilig is en doet wat ie belooft. IT’ers beginnen nu te lachen, en die snap ik ook want als er iets is dat we de afgelopen vijf jaar hebben geleerd dan is het wel dat alle software lek is, onbedoelde features heeft en als je niet uitkijkt wordt ingezet om persoonsgegevens te harvesten voor ontwikkeling van diverse AI’s.

Deze hack is in zoverre een AVG probleem dat de inzet van proctoring software onder de AVG gerechtvaardigd moet worden, en bekend onveilige software voldoet natuurlijk niet. Het Proctorio lek is ondertussen alweer gedicht zo lees ik, waardoor er dus eigenlijk geen AVG issue meer zou moeten zijn. Natuurlijk kunnen er meer lekken zijn (alle software is immers lek) maar zonder specifieke aanwijzingen denk ik niet dat je hier wat mee kunt.

Arnoud

Kun je miljoenen eisen van de Staat voor GGD-datalekken?

stevepb / Pixabay

De miljoenen slachtoffers van het datalek bij de GGD moeten honderden euro’s schadevergoeding krijgen, zo eist de stichting ICAM die een collectieve rechtszaak tegen het ministerie van Volksgezondheid is gestart. Dat meldde Security.nl onlangs. Eerder dit jaar bleek dat callcentermedewerkers van de GGD privégegevens van ruim 6,5 miljoen Nederlanders te koop aanboden via berichtendienst Telegram. De claim komt neer op 500 euro per potentieel getroffen persoon en €1500 voor bewezen lekken. Kan dat zomaar?

Massaclaims wegens privacyschendingen zijn een relatief nieuw begrip. Sinds de AVG staat vast dat je je schade vergoed kunt krijgen als je persoonsgegevens worden misbruikt of gelekt, maar het grote probleem is nog steeds wat die schade dan moet zijn. Een tientje is een bedrag dat iedere rechter wel zou willen toekennen denk ik, maar daarvoor ga je niet naar de rechter. Vijfhonderd euro is een logischer bedrag, maar dan kijken rechtbanken skeptisch: kunt u dat onderbouwen, het liefst met bonnetjes?

Bonnetjes komen bij zaakschade (de deuk in de auto van de collega) wel aan de orde, maar bij immateriële schade zoals potentiële problemen bij datalekken is dat niet echt een optie. Je zou echt concreet facturen van vervangen pinpassen moeten aandragen, een credit monitoring dienst of noem eens een optie – en daar zit hem het probleem, want wat kún je als je data gelekt wordt? Helemaal niets, en meestal merk je er ook niet (direct) iets van. En heel cru gezegd dan heb je dus geen schade.

Nee, daar klopt iets niet. En dan is het wel logisch om bedrijven bij de les te houden door dit soort claims. Vele kleintjes maken een grote, en hopelijk worden bedrijven die data lekken daar wél bang van. Daarom zijn dit goede stappen.

Natuurlijk is het wat lastig dat het hier gaat om een overheidsinstantie, namelijk de GGD. Stel dat die moet betalen, dan zal dat uit overheidsmiddelen gebeuren. En dan is het logisch te denken dat we dat volgend jaar terugzien in de belastingaanslag. Dus het sentiment “duurbetaalde advocaten pakken 20% van geld dat wij opbrengen” snap ik wel.

Zo direct kun je het wat mij betreft niet stellen. Het is zeker niet zo dat als de GGD een miljoen moet betalen, zij fluitend de hand ophouden bij Financiën die dan de tweede schijf 0,0001% verhoogt om het goed te maken. Eerder gaat dit uit het budget voor volgend jaar, of uit de reserves die de GGD zou hebben. Dat doet ook pijn want dan functioneert de gezondheidsvoorziening nog slechter.

Aan de andere kant: hoe moet je dan wél een overheid bij de les houden als grote groepen mensen schade (kunnen) leiden door hun wan-ICT?

Arnoud

Kun je via algemene voorwaarden je auteurs- en persoonlijkheidsrechten afstaan?

stevepb / Pixabay

Een interessante op het forum van Security.nl: “Bij ons in het dorp heeft een bedrijf diverse uitjes, dit is te boeken voor een groep. Van escaperoom, kinderfeestjes tot aan Wie is de Mol. Maar nu staat er in de Algemene voorwaarde dit:

7.5 Mogelijk zullen beeld- en/of geluidsopnamen worden gemaakt van het evenement en de deelnemers en worden opnamen openbaar gemaakt of verveelvoudigd. De bezoeker verleent onvoorwaardelijk toestemming tot het maken van voornoemde opnamen en exploitatie daarvan zonder dat de organisatie of derden een vergoeding aan de bezoeker verschuldigd is of zal zijn. Een eventueel naburig- en/of auteurs- en/of portretrecht draagt de bezoeker bij deze en zonder enige beperking over aan de organisatie. Voorts doet de bezoeker onherroepelijk afstand van het recht zich te beroepen op zijn/haar persoonlijkheidsrechten.
Tsja, hoe rechtsgeldig is zoiets. Het staat er -zoals zo vaak bij algemene voorwaarden- vooral omdat het mooi klinkt en je 90% van de klachten kunt pareren door meewarig te glimlachen en te zeggen “ja meneertje, maar artikel 7.5 zegt wat anders he”.

Het achterliggende punt is natuurlijk dat de organisatie video wil produceren op zo’n evenement, bijvoorbeeld voor reclame of social media. Dat kan niet zomaar, de mensen die daar rondlopen hebben recht op privacy en bescherming van hun persoonsgegevens. (Vroeger zouden we dan ook nog zeggen dat mensen portretrecht hebben als ze gefilmd worden, maar portretrecht is opgegaan in de AVG.)

Wat hier opvalt, is dat deze clausule zijn leven begon als een auteursrechtclausule, waar het portretrecht en persoonlijkheidsrechten aan toegevoegd zijn. Als forensisch jurist zeg ik dus dat deze tekst geschreven is door een IE-specialist. Echter, de kans dat een bezoeker een naburig of auteursrechtelijk relevante handeling verricht op het evenement is minimaal. Nog los van het feit dat voor overdracht van die rechten een ondertekend document nodig is, en algemene voorwaarden worden niet ondertekend.

Privacy/AVG technisch is dit een stuk lastiger te regelen. Je kunt in AV geen toestemming opeisen voor gebruik van je persoonsgegevens, dat moet immers van de AVG expliciet en dus apart gebeuren. Bovendien moet je vrijelijk toestemming kunnen weigeren en intrekken – je hebt er dus eigenlijk niets aan, als je toestemming vraagt aan mensen.

En ja, specifiek bij journalistieke verwerkingen is toestemming niet intrekbaar, dat klopt. Maar het soort video dat deze organisatie gaat maken zou ik héél moeilijk een journalistieke verwerking kunnen noemen, hoewel ik daar normaal erg ruimhartig in ben. Maar zelfs dan blijft het punt over dat je de toestemming expliciet moet vragen en dat deze vooraf geweigerd moet kunnen worden.

Arnoud

TikTok voor de rechter: moet het bedrijf miljarden betalen aan kinderen?

muhammadrizkyklinsman / Pixabay

De Consumentenbond en de stichting Take Back Your Privacy (TBYP) eisen van TikTok een schadevergoeding van 2 miljard euro, zo las ik bij Nutech.nl. Het gaat om een bedrag van 1500 euro per kind onder de dertien, 1250 voor 13-16 jarigen en 1000 euro per zestienplusser (leeftijd toen je begon op TikTok). Het is natuurlijk nog vrij vroeg, maar wat is de kans van slagen?

De kern van de zaak is natuurlijk dat TikTok de AVG heeft overtreden. Bijvoorbeeld door kinderen zomaar toe te laten op haar platform, door niet transparant te zijn over wat ze met kindergegevens doet en door gepersonaliseerde advertenties te vertonen op basis van profielen van die kinderen. Ik geloof niet dat er serieuze discussie is over of TikTok zich aan de wet hield.

De hamvraag is natuurlijk: wat kost dat nou, zo’n schending? Daar geeft de AVG geen antwoord op. Die zegt alleen dat schade moet worden vergoed, maar niet dát er schade is laat staan hoe veel die zal zijn. Dat is iets voor het nationale recht, ieder land moet dat zelf bepalen.

Nederland is terughoudend daarbij. In “Amerikaanse toestanden” hebben wij heel lang geen zin gehad, het is pas vrij recent dat een belangenorganisatie zoals de Consumentenbond geldbedragen kan eisen namens haar achterban. Meer dan een “verklaring voor recht”, een rechterlijke conclusie dat iets niet mag, kon men niet voor elkaar krijgen.

Er is eigenlijk nog geen jurisprudentie over wat privacyschade, immateriële schade, zou moeten kosten. We hebben een aantal probeersels gehad, en daaruit is met name naar voren gekomen dat je meer moet doen dan je dikke duim in de lucht steken en een bedrag roepen. Voor gewone persoonsgegevens zijn diverse claims afgewezen, eigenlijk altijd met het argument dat onderbouwing ontbreekt.

In de context van medische persoonsgegevens is 500 euro eens toegewezen, en zeer recent maar liefst 2.500 euro voor structurele onzorgvuldige omgang met zulke gevoelige gegevens. En dat biedt misschien een haakje: gegevens van kinderen worden ook als gevoelig gezien, dus daar zou je eerder schade mogen aannemen dan bij gewone gegevens van grote mensen. (Maar het is natuurlijk niet zo dat gegevens van kinderen juridisch net zo gevoelig zijn als medische gegevens.)

Ik blijf erbij: tijd voor tabellen met schadebedragen, het liefst jaarlijks gepubliceerd door de Autoriteit Persoonsgegevens.

Arnoud