Hoe verhoudt het portretrecht zich tot de AVG?

| AE 9947 | Privacy | 13 reacties

Een lezer vroeg me:

Ik ben beroepsfotograaf en maak graag spontane foto’s van straatbeeld, waarbij natuurlijk mensen ook herkenbaar in beeld komen. Nu ken ik de regels over het portretrecht, maar hoe zit het met de AVG? Ik kan toch moeilijk toestemming vragen aan mensen die voorbij joggen.

Het portretrecht is een van de oudste rechten op het gebied van privacy, maar lijkt ondertussen een groot deel achterhaald door de algemenere wetgeving over persoonsgegevens. Ik blogde al in 2016 over het verschil tussen die twee; grofweg kom ik niet verder dan dat de ene bij fotografie ingezet wordt en de andere bij meer gestructureerde gegevensbronnen.

De AVG is duidelijk en expliciet: een foto is een persoonsgegeven, en wanneer het ter identificatie wordt gemaakt zelfs een bijzonder (want biometrisch) persoonsgegeven. En dan geldt er een bijzondere regel uit het Europees recht, namelijk dat nationale wetten ongeldig zijn voor zover ze hetzelfde onderwerp bestrijken als een Europese wet.

Vanaf 25 mei wordt het portretrecht dus een heel eind kleiner. Wanneer iemand een privacybelang inzet om publicatie van zijn portret te verhinderen, moet hij dat doen via de AVG en niet meer via het portretrecht. In principe kun je dus alleen nog een financieel of commercieel portretrecht inroepen: je verzilverbare bekendheid kun je verhandelen.

Daarbij gelden dan wel een aantal belangrijke uitzonderingen als die verwerking gebeurt voor journalistieke, artistieke of literaire doeleinden. De AVG is daarop maar beperkt van toepassing. Zo is het in die gevallen onmogelijk om je toestemming in te trekken, dus een zogeheten quitclaim is in principe niet te herroepen. Ook mogen journalisten en artistieke fotografen gewoon bijzondere persoonsgegevens verwerken in hun beeld, zodat je ook op die grond de publicatie niet tegen kunt houden.

Het recht op gegevenswissing, ook wel het vergeetrecht bevat ook een relevante beperking: wanneer een verwerking nodig is voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie, kan geen beroep op dit recht worden gedaan.

Kort en goed betekent dit dat je weliswaar de AVG moet inroepen in plaats van het portretrecht maar dat je uiteindelijk bij hetzelfde uitkomt. Of je publiceert met toestemming (en dan moet je die aantonen en moet die voldoen aan de strikte eisen uit de AVG) of je beroept je op de vrijheid van meningsuiting en dan krijg je vervolgens dezelfde belangenafweging als voorheen onder het portretrecht.

Arnoud

Mag ik een klant persoonsgegevens over zijn logins verschaffen?

| AE 9761 | Beveiliging, Cloud | 8 reacties

Een lezer vroeg me:

Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder de wet (en natuurlijk de AVG). Mogen wij deze informatie geven?

Logingedrag is inderdaad te classificeren als persoonsgegevens. Het gaat over een persoon – de gebruiker van het account – en zegt iets over zijn gedrag, zoals wanneer hij in- en uitlogde of wat hij deed in de tussentijd. En die data aan anderen geven mag niet zomaar, dus wat dat betreft is de zorg van de vraagsteller terecht.

Het gaat hier alleen om een bijzondere situatie, namelijk de afnemer van de dienst waar de accounts bij horen. In die specifieke situatie vind ik het eerder gerechtvaardigd dat die afnemer informatie krijgt over het daadwerkelijk gebruik. Je mag gevoeglijk aannemen dat de gebruikers van de accounts werknemers of andere hulppersonen van die afnemer zijn, en dat geeft dan een redelijk belang om in beginsel bij die gegevens te kunnen.

Ik zou hooguit twijfelen als de actie specifiek privacygevoelig is, denk aan een online agenda waar iemand een afgeschermde privéafspraak naar de tandarts in noteert. Maar dat zou de uitzondering zijn en niet de regel.

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Arnoud

Valt iedere bit straks onder de Privacyverordening?

| AE 9642 | Privacy | 27 reacties

Naar aanleiding van de recente vraag of een klassenfoto privacygevoelig is, kreeg ik diverse opmerkingen onder meer via Twitter:

Net als het getal 098773557 . Want misschien een bsn. Het AVG virus noem ik dat, elk stukje data wordt er uiteindelijk door besmet.

De Privacyverordening als virus, het moet niet gekker worden. Maar ik snap de zorg, want inderdaad kunnen heel wat brokjes informatie persoonsgegevens zijn, zeker met de nieuwe, brede definitie van dat begrip die we vanaf 25 mei gaan krijgen.

Ik geloof onmiddellijk dat het getal 098773557 ergens een persoonsidentificatie is, maar die definitie is echter niet zo breed dat een sequentie van tekens een persoonsgegeven is enkel omdat het ergens gekoppeld zou kunnen zijn aan een persoon.

Waar het om gaat, is of het getal of andere sequentie met redelijke inspanning te herleiden is tot een persoon. Dat hoeft niet perse door jou te kunnen, het gaat erom of objectief gezien die herleiding mogelijk is. Een IP-adres is daarom dus al snel een persoonsgegeven: via de internetprovider is het te herleiden tot de natuurlijke persoon die abonnee is. Dat die provider daar niet snel aan meewerkt, doet er niet toe. Het is eenvoudig genoeg.

Voor mij gaat het mis bij het genoemde getal: ik heb geen idee hoe ik van daar moet komen tot een persoon, op welke wijze dan ook. Dat ergens iemand dat als sleutel in een lijst heeft, zal best – maar hoe weet ik wie die lijst heeft?

Je zou een redelijke aanname kunnen doen dat een groot bedrijf zoals Shell haar personeel personeelsnummers geeft, en dat 098773557 dan een geldig nummer is. Of een CRM-pakket blijkt met dergelijke identifiers te werken, en je weet een aantal bedrijven te noemen die dat gebruiken en dus (zo mag je vermoeden) iemand hebben als klant of personeel met dat nummer.

Dan blijf je echter terugkomen bij het feit dat met dit nummer wel op een of andere manier bedoeld moet zijn om te wijzen naar die persoon. Waar blijkt dat uit? De tweet in dit voorbeeld geeft nergens enige hint van een persoon wiens bsn dit zou moeten zijn. Daarmee gaat de herleidbaarheid dus al heel snel mis.

Als meneer had getwitterd “Net als het getal 098773557 – ID van een klant van me – …”, dan zou ik het misschien wel een persoonsgegeven noemen. Hij kan dan immers het ID herleiden tot die klant, en dat maakt objectief gezien het gegeven inderdaad persoonlijk. Die tweet wordt daarmee dan in feite giftig afval, en je zou hem dan als een datalek kunnen zien.

Specifiek bij zo’n voorbeeld zou je denk ik het getal nog wel mogen retweeten en betrekken in discussie. De informatievrijheid zou in zo’n geval namelijk ook meewegen, en de kans op identificatie en schade is vrij klein, dus in de belangenafweging onder de AVG kom je denk ik al snel bij een rechtvaardiging uit.

Arnoud

De klassenfoto valt ook gewoon onder de privacywet!

| AE 9638 | Privacy | 26 reacties

De Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, roept scholen op zorgvuldig om te gaan met beeldmateriaal van leerlingen. Dat meldde Nu.nl dinsdag. In een persbericht legt de privacytoezichthouder uit dat klassenfoto’s (en ander beeldmateriaal waar leerlingen herkenbaar op staan) ook gewoon onder de Wet bescherming persoonsgegevens vallen, en dus in principe alleen met toestemming mogen… Lees verder

Mogen mensen je zomaar aan een WhatsApp-groep toevoegen?

| AE 9611 | Privacy | 16 reacties

Een lezer vroeg me: In de messenger-app WhatsApp kun je groepschats opzetten, zodat je gemakkelijk kunt overleggen of bijvoorbeeld een datum prikken voor een gezamenlijke borrel. Een nadeel is echter dat iedereen je kan toevoegen aan de groepschat, zonder dat je daar toestemming voor moet geven. Iedereen ziet dan ook je naam en je telefoonnummer…. Lees verder

Wat moet je onder de AVG doen met ongewenst verkregen persoonsgegevens?

| AE 9579 | Privacy | 16 reacties

Een lezer vroeg me: Af en toe krijgen wij als PC-reparateurs per mail allerlei persoonlijke informatie van klanten gemaild, ongevraagd. Denk aan een verslag wat er misging, maar soms ook medische of andere gevoelige gegevens. Soms zelfs van collegabedrijven die ons als tweedelijns ondersteuning inschakelen. Dat is een probleem onder de AVG, want die mail… Lees verder

Incassobureau dreigt wanbetaler met filmpje op YouTube

| AE 9543 | Privacy | 20 reacties

Incassobureau Straetus uit Flevoland dreigt wanbetalers en oplichters met het online zetten van beelden op YouTube. Dat meldde de NOS onlangs. De directeur van het bureau spreekt de wanbetaler aan op zijn schulden terwijl de camera het gesprek vastlegt. Met dat extra drukmiddel wil men betaling afdwingen, zo te lezen met name bij partijen die… Lees verder

Nee, werknemers kunnen geen toestemming geven voor privacyzaken

| AE 9313 | Arbeidsrecht, Privacy | 33 reacties

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP:… Lees verder

Wie is aansprakelijk voor dat #cloudbleed-lek van Cloudflare?

| AE 9280 | Cloud, Privacy | 11 reacties

Door een bug in de html-parser van CloudFlare konden gevoelige gegevens van klanten van het bedrijf lekken en stond data in de cache van zoekmachines. Na een melding van Google heeft de dienst voor optimilisatie van websites het lek in zeven uur gedicht. Dat meldde Tweakers, met meer details in The Register. De clouddienst had… Lees verder

Ja duh, natuurlijk moet een stemwijzer werken met https

| AE 9273 | Privacy | 6 reacties

De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar de beveiliging van websites die interactieve stemhulp bieden, las ik bij Nu.nl. De privacytoezichthouder meldt dat 14 van de 24 onderzochte websites geen gebruik bleken te maken van een versleutelde verbinding, en na de vingertik hebben vier meteen de handdoek in de ring gegooid. De rest is… Lees verder