Valt iedere bit straks onder de Privacyverordening?

| AE 9642 | Privacy | 27 reacties

Naar aanleiding van de recente vraag of een klassenfoto privacygevoelig is, kreeg ik diverse opmerkingen onder meer via Twitter:

Net als het getal 098773557 . Want misschien een bsn. Het AVG virus noem ik dat, elk stukje data wordt er uiteindelijk door besmet.

De Privacyverordening als virus, het moet niet gekker worden. Maar ik snap de zorg, want inderdaad kunnen heel wat brokjes informatie persoonsgegevens zijn, zeker met de nieuwe, brede definitie van dat begrip die we vanaf 25 mei gaan krijgen.

Ik geloof onmiddellijk dat het getal 098773557 ergens een persoonsidentificatie is, maar die definitie is echter niet zo breed dat een sequentie van tekens een persoonsgegeven is enkel omdat het ergens gekoppeld zou kunnen zijn aan een persoon.

Waar het om gaat, is of het getal of andere sequentie met redelijke inspanning te herleiden is tot een persoon. Dat hoeft niet perse door jou te kunnen, het gaat erom of objectief gezien die herleiding mogelijk is. Een IP-adres is daarom dus al snel een persoonsgegeven: via de internetprovider is het te herleiden tot de natuurlijke persoon die abonnee is. Dat die provider daar niet snel aan meewerkt, doet er niet toe. Het is eenvoudig genoeg.

Voor mij gaat het mis bij het genoemde getal: ik heb geen idee hoe ik van daar moet komen tot een persoon, op welke wijze dan ook. Dat ergens iemand dat als sleutel in een lijst heeft, zal best – maar hoe weet ik wie die lijst heeft?

Je zou een redelijke aanname kunnen doen dat een groot bedrijf zoals Shell haar personeel personeelsnummers geeft, en dat 098773557 dan een geldig nummer is. Of een CRM-pakket blijkt met dergelijke identifiers te werken, en je weet een aantal bedrijven te noemen die dat gebruiken en dus (zo mag je vermoeden) iemand hebben als klant of personeel met dat nummer.

Dan blijf je echter terugkomen bij het feit dat met dit nummer wel op een of andere manier bedoeld moet zijn om te wijzen naar die persoon. Waar blijkt dat uit? De tweet in dit voorbeeld geeft nergens enige hint van een persoon wiens bsn dit zou moeten zijn. Daarmee gaat de herleidbaarheid dus al heel snel mis.

Als meneer had getwitterd “Net als het getal 098773557 – ID van een klant van me – …”, dan zou ik het misschien wel een persoonsgegeven noemen. Hij kan dan immers het ID herleiden tot die klant, en dat maakt objectief gezien het gegeven inderdaad persoonlijk. Die tweet wordt daarmee dan in feite giftig afval, en je zou hem dan als een datalek kunnen zien.

Specifiek bij zo’n voorbeeld zou je denk ik het getal nog wel mogen retweeten en betrekken in discussie. De informatievrijheid zou in zo’n geval namelijk ook meewegen, en de kans op identificatie en schade is vrij klein, dus in de belangenafweging onder de AVG kom je denk ik al snel bij een rechtvaardiging uit.

Arnoud

De klassenfoto valt ook gewoon onder de privacywet!

| AE 9638 | Privacy | 26 reacties

De Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, roept scholen op zorgvuldig om te gaan met beeldmateriaal van leerlingen. Dat meldde Nu.nl dinsdag. In een persbericht legt de privacytoezichthouder uit dat klassenfoto’s (en ander beeldmateriaal waar leerlingen herkenbaar op staan) ook gewoon onder de Wet bescherming persoonsgegevens vallen, en dus in principe alleen met toestemming mogen worden gepubliceerd. Iets waar maar weinig scholen zich aan houden.

Dat foto’s te zien zijn als persoonsgegevens, is op zich niet heel nieuw. Een persoonsgegeven zegt iets over een persoon, en die term is niet alleen bedoeld voor administratieve gegevens zoals namen en adressen of cijferlijsten. Ook een foto zegt iets – uiterlijk, geschatte leeftijd, in welke klas je zit, soms ook eventuele fysieke afwijkingen en ga zo maar door. Dat maakt een foto dus net zo goed een beschermd gegeven als een tussenrapport.

Voor scholen zijn foto’s traditioneel een leuke manier om iets extra’s naar de ouders te doen. De klassenfoto waarop de gehele school of klas poseert is het bekendste voorbeeld, maar ook de snelle snapshot in de klas of op kamp is natuurlijk erg populair. Voor al dat soort zaken geldt dat het valt onder de Wet bescherming persoonsgegevens valt. Ook als de leraar in een opwelling een leuke spontane foto maakt of als er een app wordt gebruikt die bedoeld is om het contact tussen ouders en school te stimuleren.

Publicatie van persoonsgegevens op internet (waar de discussie met foto’s meestal over gaat) vereist in principe toestemming van de betrokkenen. Of, omdat het hier om minderjarigen gaat, toestemming van hun ouders of verzorgers. En dat is de heikele praktijk: veel scholen werken nog steeds met wie-zwijgt-stemt-toe of nemen in op het inschrijfformulier op dat je toestemming geeft voor van alles en nog wat. Dat is dus illegaal.

Toestemming moet vrijwillig worden gegeven, en ondubbelzinnig zijn. Je moet dus kort gezegd apart de vraag krijgen, wilt u dit of niet. En wie nee zegt, moet daar geen negatieve gevolgen van ondervinden. Ik ken bijvoorbeeld een school waar is gedreigd met niet mee op kamp als er geen toestemming voor fotograferen & op de schoolwebsite kwam.

Daarnaast moet de toestemming specifiek zijn, dus “ik geef toestemming voor foto’s” is niet rechtsgeldig, omdat je dan niet weet wélke foto’s en wat daarmee gebeurt. Het beste is dus een protocolletje te maken als school waarin je uitwerkt welke toestemming en waar en hoe die wordt verkregen.

Een ander aspect is de beveiliging. Een foto zomaar op internet is een datalek. Ook als er toestemming was voor de foto – of is er bij het toestemming vragen ook gezegd, deze komt op internet en is voor iedereen zichtbaar? Beter is foto’s af te schermen zodat alleen de ouders uit die klas erbij kunnen.

De AP heeft een en ander nader uitgewerkt in haar Dossier Scholen en de AVG, waar het meteen vooruit blikt naar de nieuwe regels.

(Dit staat allemaal los van het portretrecht. Daar is onder omstandigheden toestemming niet nodig maar volgt een belangenafweging. Maar bij kinderen komt die belangenafweging eigenlijk altijd uit bij niet mogen gebruiken zonder toestemming, en bovendien verdwijnt het portretrecht volgend jaar zodra de Privacyverordening in werking treedt. Die regelt immers álles over persoonsgegevens, dus ook over fotoprivacy, en nationale regels over portretten mogen dan niet meer.)

Arnoud

Mogen mensen je zomaar aan een WhatsApp-groep toevoegen?

| AE 9611 | Privacy | 16 reacties

Een lezer vroeg me:

In de messenger-app WhatsApp kun je groepschats opzetten, zodat je gemakkelijk kunt overleggen of bijvoorbeeld een datum prikken voor een gezamenlijke borrel. Een nadeel is echter dat iedereen je kan toevoegen aan de groepschat, zonder dat je daar toestemming voor moet geven. Iedereen ziet dan ook je naam en je telefoonnummer. Is dat wel toegestaan?

Namen en telefoonnummers zijn persoonsgegevens, en het gebruik daarvan valt in principe dan ook onder de Wet bescherming persoonsgegevens (en vanaf volgend jaar de Privacyverordening/AVG/GDPR). Het verstrekken van die gegevens aan derden kan onder die wetgeving eigenlijk alleen met toestemming of als het noodzakelijk is voor een aangevraagde dienst of gesloten overeenkomst.

Bij WhatsApp-groepen val je echter mogelijk buiten deze wet, omdat het vaak gaat om particulieren die die groepen opzetten. De privacywetgeving is niet van toepassing op verwerkingen voor strikt huishoudelijke doeleinden, en verdedigbaar is dat een dergelijke groep daaronder valt. Hoewel in 2014 werd bepaald dat het filmen van de openbare weg door een particulier niet meer strikt huishoudelijk was, dus als je streng in de leer bent dan gaat dit niet op.

Als de wet wel van toepassing is, dan moet je dus als groepsbeheerder nagaan of er toestemming is of een duidelijke noodzaak. In de praktijk zal men daar erg makkelijk mee omgaan, en kom je er pas achter dat je in de groep zit als je er berichten van ontvangt. Het ‘kwaad’ (de anderen die je naam en adres hebben) is dan al geschied.

Natuurlijk staat er over dit onderwerp ook van alles in de Voorwaarden van WhatsApp. Maar dat boeit weinig: toestemming kan niet in algemene voorwaarden worden verkregen, en bovendien moet toestemming specifiek zijn. Op WhatsApp zitten betekent niet dat iedereen je in alle mogelijke groepen mag prikken.

Ik vraag me af waarom WhatsApp niet gekozen heeft voor een popupje of iets dergelijks waarbij je moet goedkeuren dat je in een groep terecht wilt komen. Erg moeilijk lijkt me dat niet en het zou veel ergernis schelen.

Arnoud

Wat moet je onder de AVG doen met ongewenst verkregen persoonsgegevens?

| AE 9579 | Privacy | 16 reacties

Een lezer vroeg me: Af en toe krijgen wij als PC-reparateurs per mail allerlei persoonlijke informatie van klanten gemaild, ongevraagd. Denk aan een verslag wat er misging, maar soms ook medische of andere gevoelige gegevens. Soms zelfs van collegabedrijven die ons als tweedelijns ondersteuning inschakelen. Dat is een probleem onder de AVG, want die mail… Lees verder

Incassobureau dreigt wanbetaler met filmpje op YouTube

| AE 9543 | Privacy | 20 reacties

Incassobureau Straetus uit Flevoland dreigt wanbetalers en oplichters met het online zetten van beelden op YouTube. Dat meldde de NOS onlangs. De directeur van het bureau spreekt de wanbetaler aan op zijn schulden terwijl de camera het gesprek vastlegt. Met dat extra drukmiddel wil men betaling afdwingen, zo te lezen met name bij partijen die… Lees verder

Nee, werknemers kunnen geen toestemming geven voor privacyzaken

| AE 9313 | Arbeidsrecht, Privacy | 33 reacties

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP:… Lees verder

Wie is aansprakelijk voor dat #cloudbleed-lek van Cloudflare?

| AE 9280 | Cloud, Privacy | 11 reacties

Door een bug in de html-parser van CloudFlare konden gevoelige gegevens van klanten van het bedrijf lekken en stond data in de cache van zoekmachines. Na een melding van Google heeft de dienst voor optimilisatie van websites het lek in zeven uur gedicht. Dat meldde Tweakers, met meer details in The Register. De clouddienst had… Lees verder

Ja duh, natuurlijk moet een stemwijzer werken met https

| AE 9273 | Privacy | 6 reacties

De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar de beveiliging van websites die interactieve stemhulp bieden, las ik bij Nu.nl. De privacytoezichthouder meldt dat 14 van de 24 onderzochte websites geen gebruik bleken te maken van een versleutelde verbinding, en na de vingertik hebben vier meteen de handdoek in de ring gegooid. De rest is… Lees verder

Mag je schoolfoto’s in een Dropbox delen met alle ouders?

| AE 9245 | Privacy | 53 reacties

Een lezer vroeg me: Wanneer er bij onze basisschool foto’s worden gemaakt van een evenement (zoals Sinterklaas of een schoolreisje) dan delen wij die met de betreffende ouders door de foto’s in een Dropbox aan te bieden. Alleen zij kunnen er dan bij, verder is het niet openbaar. (Voor publicatie op de site vragen we… Lees verder

‘Meeste bedrijfssites versturen gevoelige gegevens onveilig’

| AE 9215 | Privacy, Webwinkels | 25 reacties

Honderdduizenden zakelijke websites laten gebruikers gevoelige informatie verzenden zonder dat daarvoor van een beveiligde verbinding gebruik wordt gemaakt, blijkt uit een onderzoek van domeinbeheerder SIDN en MKB Servicedesk dat woensdag wordt gepubliceerd. Dat meldde Nu.nl onlangs. De ‘gevoelige gegevens’ zijn meestal NAWE-gegevens, maar ook inloggegevens en wachtwoorden komen voor. Maar liefst 86% van de onderzochte… Lees verder