Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR ‘ondermijnt’

| AE 12801 | Ondernemingsvrijheid, Privacy | 9 reacties

Het Oostenrijkse Hooggerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. Dat las ik bij Tweakers. De vraag draait om het verschil tussen toestemming en een contract als grondslag om persoonsgegevens te mogen verwerken. Sinds de AVG van kracht is, houdt Facebook namelijk vol dat mensen bij hen een dienst met gepersonaliseerde advertenties bestellen (als in: een daartoe strekkende overeenkomst sluiten) zodat je het niet over toestemming hoeft te hebben. Eh, wat.

De vragen van het Hof komen (hoe kan het ook anders) uit een rechtszaak die de privacyvoorvechters van None Of Your Business hebben aangespannen. NOYB verzet zich op alle mogelijke manieren tegen de Amerikaanse dataplundering van Facebook en consorten, en dan is dit een logische stap.

Facebook had in het verleden altijd gezegd dat het zich beriep op toestemming. Maar sinds de AVG is toestemming een heikele, zo niet onmogelijke grond om mee te werken: toestemming kan op ieder moment worden ingetrokken en dat mag geen vervelende consequenties hebben. Logisch dus dat de Facebook-juristen al snel bedachten dat je beter op uitvoering overeenkomst kon gaan zitten, want dat is niet zomaar intrekbaar. Besteld is besteld, zeg maar.

De vraag is alleen: wát is er dan besteld. Waren dat die advertenties (graag met een onsje extra personalisatie en hee wat leuk, de doorverkoop voor militaire gezichtsherkenning is afgeprijsd, doe maar) of was dat de communicatiedienst, het kunnen chatten en lezen wat mijn vrienden online doen? Mijn idee was altijd het laatste, maar omdat de Facebook-juristen zo nadrukkelijk hameren op het eerste, moeten we daar een juridische discussie over gaan voeren.

Het Oostenrijkse Hof citeert allereerst een berg literatuur die hier vrij negatief over is: Facebook is steeds het standaardvoorbeeld van een dienst met het niet-essentiële aspect van advertenties erbij. Dat helpt niet voor de beeldvorming, zullen we maar zeggen. En dan concludeert men:

The objective purpose of the contract is decisive for the definition of “necessary” in the sense of Art. 6(1)(b) of the GDPR. Artificially or unilaterally imposed services cannot be subsumed under this. The necessity of data processing for the performance of a contract depends on whether there is a direct factual connection between the intended data processing and the specific purpose of the legal obligation. … The fact that the purposes of the processing are covered by contractual clauses formulated by the provider does not automatically mean that the processing is necessary for the performance of the contract.
Dat laatste is denk ik de kern: dat een partij zegt dát het hoort bij de dienst, maakt het nog niet écht noodzakelijk voor de dienst. Daarvoor is een objectieve toets nodig. Alleen: hoe ziet die toets eruit, en hoe veel speelruimte mag je daar dienstverleners in gunnen? Is bijvoorbeeld bij WhatsApp het noodzakelijk dat iedereen mijn profielfoto ziet, of is enkel de door mij ingevulde naam noodzakelijk om te tonen aan contacten? Of ook dat niet?

Tijd dus om de hoogste Europese rechter hier een uitspraak over te laten doen. Helaas duurt dat altijd wel een dik jaar.

Arnoud

Activision betaalt medewerkers om zwangerschappen te volgen via gezondheidsapp

| AE 11239 | Ondernemingsvrijheid, Privacy | 6 reacties

Activision Blizzard betaalt vrouwelijke medewerkers om gegevens over hun vruchtbaarheid en zwangerschap in te voeren in de gezondheidsapp Ovia. Dat meldde Tweakers onlangs. De medewerkers die vrijwillig kiezen hieraan mee te doen, krijgen hiervoor dagelijks een kadokaart ter waarde van een dollar. De gegevens worden geanonimiseerd en als statistieken weergeven, met als doel -hou je vast- “het bedrijf in een competitieve industrie te laten excelleren en bijdragen aan het vasthouden en laten terugkeren van vrouwen met vaardigheden”. Mag ik een teiltje? En ondertussen de vraag, mag dat als je dat in Europa zou doen?

Gegevens over zwangerschap vallen binnen Europa onder het strenge regime van de bijzondere persoonsgegevens, namelijk onder het kopje ‘gezondheid’. Dat betekent dat verwerking van die gegevens verboden is, tenzij er een uitzonderingsgrond van toepassing is. Voor werkgevers is er een mogelijke grond, de arbeidsgezondheid en de “de beoordeling van de arbeidsgeschiktheid van de werknemer” (artikel 9 lid 2 sub i AVG). Een zwangere vrouw heeft een bijzondere positie, dus dat moet je kunnen registreren voor je bedrijfsvoering. Ook kun je het gooien op de Uitvoeringswet AVG, waarbij je die gegevens mag gebruiken als dat noodzakelijk is voor een goede uitvoering van wettelijke voorschriften (en die zijn er dus, ter bescherming van de vrouw).

Het soort actie van Blizzard kan ik moeilijk zien als zo’n uitzonderingsgrond. Tenzij je zegt, die app is bedoeld om bij te houden wat we wettelijk eigenlijk al moesten als werkgever, en die statistieken ten behoeve van kuchkuch excellentie zijn geen persoonsgegevens. Ik zie alleen dat er een héleboel gegevens worden verzameld (“… lopen uiteen van de status van lichaamsfuncties, medicijngebruik, gemoedstoestand, tot aan de geslachtsdrift”) en kan dat niet goed rijmen met de wettelijke taak als werkgever.

Maar er wordt uitdrukkelijk vrijwillig toestemming gevraagd, staat in het artikel. Dan zou het oké moeten zijn, want “uitdrukkelijke toestemming voor welbepaalde doelen” heft ook het verbod op. Dan kom je ‘gewoon’ uit bij een onderzoek onder zwangere vrouwen die voor een leuke cadeaukaart vrijwillig gegevens geven over hoe het met ze gaat, waar me an sich niets mis mee lijkt.

Alleen krijg je dan de complicatie omdat het hier gaat om werknemers. Die kunnen eigenlijk geen toestemming geven, omdat ze in een afhankelijkheidsrelatie zitten naar de werkgever toe. Of dat nu is dat ze een nieuw contract willen, een loonsverhoging of alleen maar hun baan op dezelfde manier terug na het ouderschapsverlof, doet er niet eens toe. Er zal altijd iets van een gevoel van dwang zijn, waardoor je als werknemer niet vrijwillig kunt beslissen.

Heel misschien dat het kan omdat het énkel gaat om statistieken. Dat kun je denk ik wel vrijwillig vragen, wil je meedoen aan dit onderzoek. Als je dan ook borgt dat je niet hoort wie er meedoet, dan zie ik wel weer vrijwilligheid ontstaan. Alleen, de werkgever weet het hier wél (je krijgt immers die cadeaubon) en deel van de inzet van de data is ook verbetering van het bedrijf. Dan voelt het ergens toch als een soort moetje, en dat zou tegen de AVG zijn.

Arnoud

Waarom is een IP-adres een persoonsgegeven en een kenteken niet?

| AE 10365 | Privacy | 28 reacties

Een lezer vroeg me:

Regelmatig lees ik dat IP-adressen als persoonsgegevens worden gezien, omdat ze tot een persoon (de gebruiker van de computer waar dat adres aan toegekend is) herleidbaar zijn. Dat klopt in theorie, maar je hebt daar de internetprovider voor nodig en die zal zonder gerechtelijk bevel niet meewerken, toch? Maar bij kentekens is de situatie hetzelfde en daarvan zegt de toezichthouder dat het géén persoonsgegevens zijn voor jou of mij, alleen voor de RDW. Waarom dat onderscheid?
Dit onderscheid is inderdaad lastig uit te leggen, maar gelukkig verdwijnt het met de AVG: beide gegevens zijn vanaf 25 mei gewoon keihard persoonsgegevens voor iedereen, punt.

Ik denk dat het onderscheid vooral om historische redenen zo gegroeid zijn. Bij invoering van de Wbp is gezegd dat kentekens alleen voor de RDW persoonsgegevens zijn. Dit was namelijk de klassieke opvatting: een gegeven is alleen persoonsgegeven voor wie de persoon kan identificeren, en gewone mensen kunnen dat niet. Omdat juristen graag de wet en dit soort parlementaire stukken overschrijven in leerboeken, is de opvatting “kenteken alleen voor RDW persoonsgegeven” gemeengoed geworden. (Zei hij cynisch.)

De discussie over IP-adressen is van recenter datum en veel meer een open vraag gebleven. Onze toezichthouder was er altijd stellig in: ja, in principe wel. Daar was de nodige kritiek op, met terechte vraagtekens overigens. Pas zeer recent (oktober 2016) is er een definitieve uitspraak gekomen: ja, in principe wel. Er is immers een mogelijkheid tot identificatie van de gebruiker, en dat daarvoor een gerechtelijk bevel nodig is, is een praktijkdetail maar theoretisch niet relevant. Voor iedereen die IP-adressen verwerkt, geldt dus dat ze persoonsgegevens zijn. En ook voor kentekens dus.

Maar zoals gezegd, eigenlijk is de discussie achterhaald want de AVG (of GDPR) kent een nieuwe definitie van het begrip ‘identificeerbaar’ bij persoonsgegevens:

als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
Die ‘online identificator’ kan natuurlijk prima het IP-adres van de persoon zijn. En het nieuwe is dan dat de AVG zegt dat je iemand geïdentificeerd hébt. Dus niet “deze persoon is te herkennen door NAW-gegevens op te vragen voor het IP-adres 192.168.1.1” maar “deze persoon héét 192.168.1.1”. Het doet er dan dus niet meer toe of je ook nog andere identificerende gegevens te pakken kunt krijgen en hoe moeilijk dat is. (Update 2 maart 2023: behalve natuurlijk de datum en tijd waarop het aan jou toegekend is, want morgen kan een IP-adres naar iemand andes wijzen.)

Arnoud

Mag ik een klant persoonsgegevens over zijn logins verschaffen?

| AE 9761 | Informatiemaatschappij, Security | 8 reacties

Een lezer vroeg me: Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder… Lees verder

Valt iedere bit straks onder de Privacyverordening?

| AE 9642 | Privacy | 27 reacties

Naar aanleiding van de recente vraag of een klassenfoto privacygevoelig is, kreeg ik diverse opmerkingen onder meer via Twitter: Net als het getal 098773557 . Want misschien een bsn. Het AVG virus noem ik dat, elk stukje data wordt er uiteindelijk door besmet. De Privacyverordening als virus, het moet niet gekker worden. Maar ik snap… Lees verder

De klassenfoto valt ook gewoon onder de privacywet!

| AE 9638 | Privacy | 27 reacties

De Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, roept scholen op zorgvuldig om te gaan met beeldmateriaal van leerlingen. Dat meldde Nu.nl dinsdag. In een persbericht legt de privacytoezichthouder uit dat klassenfoto’s (en ander beeldmateriaal waar leerlingen herkenbaar op staan) ook gewoon onder de Wet bescherming persoonsgegevens vallen, en dus in principe alleen met toestemming mogen… Lees verder

Mogen mensen je zomaar aan een WhatsApp-groep toevoegen?

| AE 9611 | Privacy | 16 reacties

Een lezer vroeg me: In de messenger-app WhatsApp kun je groepschats opzetten, zodat je gemakkelijk kunt overleggen of bijvoorbeeld een datum prikken voor een gezamenlijke borrel. Een nadeel is echter dat iedereen je kan toevoegen aan de groepschat, zonder dat je daar toestemming voor moet geven. Iedereen ziet dan ook je naam en je telefoonnummer…. Lees verder

Wat moet je onder de AVG doen met ongewenst verkregen persoonsgegevens?

| AE 9579 | Privacy | 16 reacties

Een lezer vroeg me: Af en toe krijgen wij als PC-reparateurs per mail allerlei persoonlijke informatie van klanten gemaild, ongevraagd. Denk aan een verslag wat er misging, maar soms ook medische of andere gevoelige gegevens. Soms zelfs van collegabedrijven die ons als tweedelijns ondersteuning inschakelen. Dat is een probleem onder de AVG, want die mail… Lees verder