Hoe de KNVB en Always meisjes maandverband opdringen

e-mail-email-brief-post-envelopIemand met de functie ‘marketing intelligence’ bevestigt dat de KNVB ‘persoonsgegevens’ van leden verkoopt, meldde de Volkskrant licht verontwaardigd. De verkochte persoonsgegevens betroffen namelijk Volkskrantlezer Anne de Rooij en haar elfjarige dochter, die een “vrolijke envelop met smileys en de tekst ‘Kleine meisjes worden groot…’ ” ontving met daarin twee stuks Always maandverband. Ja, die puntjes vond ik ook dubieus. Maar goed, laten we bij het juridische blijven: mag de KNVB dat zo doen en mag de Always dan die reclame uit sturen?

De dochter blijkt vier jaar eerder bij de KNVB lid te zijn geweest. De voetbalbond heeft bepaalde gegevens (ongeveer: “Op adres X woont een meisje geboren in 2005”) verkocht aan databeheerbedrijf EDM, die ze op basis van intelligente profielen in liet zetten voor deze reclameactie van het maandverbandmerk. Dus laten we eens met de KNVB beginnen, mag die dat? Ja, aldus de bond: er is door de ledenvergadering toestemming gegeven voor dergelijke handel. Dat lijkt me niet heel relevant, sinds wanneer geeft de ledenvergadering opt-ins op lidgegevens?

Toen viel ik van mijn stoel, want de journalist had de Autoriteit Persoonsgegevens gebeld en die zegt:

Een vereniging mag na toestemming van de ledenvergadering inderdaad gegevens over die leden verstrekken voor commerciële activiteiten.

Dat wordt bevestigd in hun informatieblad over verenigingen:

Uw vereniging hoeft u niet expliciet om toestemming te vragen om uw gegevens door te geven als het gaat om activiteiten die zijn goedgekeurd door de ledenvergadering.

Wel moet je worden geïnformeerd en heb je een recht van verzet (opt-out) als je niet wilt dat men dit doet.

In telefonisch overleg meldt de AP aan mij dat goedkeuring door de ALV niet genoeg is. Je moet nog steeds toestemming of een andere grondslag vinden, bijvoorbeeld een eigen dringende noodzaak (art. 8 sub f) die zwaarder weegt dan de privacy van de leden. De goedkeuring ALV is een extra controle: zonder goedkeuring mag het überhaupt niet. Maar goedkeuring impliceert niet “alles mag”. Ik kan dan werkelijk geen rechtvaardiging bedenken onder die dringende noodzaak die handel in persoonsgegevens rechtvaa rdigt.

Dan duik ik nog even in de melding van de KNVB van haar verwerkingen als vereniging. Hierin staat gemeld dat men gegevens gebruikt voor reclame- en marketingactiviteiten. Alleen zie ik daar niet dat er verstrekt wordt aan dat EDM, tenzij dat onder “listmanagers” valt wat ik wel héél obscuur zou vinden. Verder is dat gebruik gekoppeld aan “Informatievoorziening aan de leden”, wat voor mij betekent dat het informatievoorziening dóór de KNVB is, waaronder reclame en marketing. Van de KNVB zelf dus. Ik zie dan ook geen melding van deze verkoop aan derden.

Via Twitter wijst Simon Hania erop dat het mogelijk kan gaan om een foute interpretatie van het Vrijstellingsbesluit Wbp. Daarin staat namelijk een vrijstelling voor verenigingen bij een verstrekking van persoonsgegevens aan

anderen, in de gevallen bedoeld in artikel 8, onder e en f, van de wet, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen.

Die zou goed kunnen. Er is een wijdverbreid misverstand dat dingen mogen omdat ze in een vrijstelling staan. Dat is echt onzin. De vrijstelling gaat immers alleen over het moeten melden van deze verwerking. Het wil niet zeggen dat de verwerking überhaupt legaal is. Je moet nog steeds gewoon voldoen aan alle wettelijke eisen, en netjes het Vrijstellingsbesluit volgen is géén garantie dat je voldoet. Maar als ik een euro kreeg voor elke keer dat mensen dat misverstand uiten, dan had ik een dag minder kunnen werken. Maar de tekst hier lijkt genoeg op die uit het informatieblad om de basis te kunnen zijn van het misverstand.

Vervolgens dat matchen en reclamemaken door EDM voor Always. Als er een grondslag is voor de KNVB om die gegevens aan EDM te geven ten behoeve van marketing, dan mag EDM natuurlijk ook die marketingactiviteit uitvoeren. Niet naar kinderen, staat er dan. Klopt: het is een verboden (‘agressieve’) handelspraktijk, art. 6:193i BW om

e. kinderen in reclame er rechtstreeks toe aanzetten om geadverteerde producten te kopen of om hun ouders of andere volwassenen ertoe over te halen die producten voor hen te kopen;

Het doet dan wel wat raar aan dat de envelop zodanig is opgemaakt dat een kind zou denken, dit is wat voor mij. Maar goed, daar ben ik vast een kniesoor in.

En raar, dat is het algehele gevoel dat ik hierbij heb. Ik kan niet vinden hoe dit legaal is onder de Wbp. Maar je zou denken dat een club als de KNVB toch wel dingen juridisch checkt voordat ze zulke marketing doen?

Tijd om massaal te gaan opt-outen tegen zulke handel?

Arnoud

Mag de helpdesk me complimenteren met mijn sportprestaties?

je-hoeft-niet-gek-te-zijn-om-hier-te-werken-maar-het-helpt-wel.jpgEen lezer vroeg me:

Laatst had ik op mijn werk een probleem met de mail. De helpdesk gebeld, en het lag aan een mail met gigantische bijlage van een collega. Tijdens het uitzoeken zei de helpdeskmedewerker echter spontaan: “Goh wat leuk, heb je ook de halve marathon in Hengelo gedaan, ik ook!”. Dit haalde hij uit de subject van een andere mail in die map. Mogen ze dat?

Heel strikt gesproken mag dat niet, maar als we dát gaan handhaven dan wordt de Wbp net zo populair als de Auteurswet.

Een mailbox bevat persoonsgegevens, en het bedrijf moet zorgen voor een zorgvuldige omgang daarmee. Deel daarvan is dat er geen persoonsgegevens worden verwerkt die niet noodzakelijk zijn voor het doel van waar je mee bezig bent. Gaat een mailbox stuk, dan is het logisch dat je in het mailoverzicht kijkt naar bijvoorbeeld grote bijlagen, gecorrumpeerde headerregels of virusbijlagen. Mails lezen hoort daar bijvoorbeeld dus eigenlijk al niet bij, inhoud raadpleeg je pas als de metadata niet helpt.

Hier zat de privéinformatie in de header. Op zich dus iets dat je gewoon tegen kunt komen als medewerker. Eigenlijk mag je dat niet verwerken want het is privé. Maar de verwerking is onvermijdelijk gezien waar het staat en het doel van waar hij mee bezig is. Dus dan mag het. Maar de verwerking moet dan beperkt blijven tot “oké, niet relevant bericht” en drukken op de Next-knop. De informatie hoort dan eigenlijk het andere oog weer uit te gaan.

Het lijkt me vooral een stukje professionaliteit. Als helpdeskmedewerker moet je weten dat je bij het openen van mail privédingen kunt zien. En even los van de discussie of dat mag, privédingen in werkmail, dan wel of het handig is: daar blijf je dan gewoon vanaf tenzij het probleem ermee te maken lijkt te hebben. Net zo goed als de automonteur bij de zakelijke leaseauto niet in het handschoenenkastje kijkt tenzij hij daar moet zijn voor bepaalde kabeltjes of zo. Dat doe je gewoon niet.

Alleen: als je iemand treft die dat wél normaal vindt (“gewoon een praatje met de klant, je ziet toch soms ook een foto op het bureau of een poster aan de muur” of het nog dodelijker “ah joh doe niet zo ongezellig”), hoe reageer je dán?

Arnoud

Onder de 16 geen Facebook, geen Twitter, geen Instagram?

kinderen-oppassen-bord-verkeersbord-waarschuwing.pngWie jonger is dan 16 jaar, mag zonder toestemming van zijn ouders geen sociale media gebruiken, meldde het AD maandag. De nieuwe Privacyverordening stelt strenge regels over persoonsgegevens van minderjarigen, en als gevolg daarvan mogen die straks (2018) niet meer op sociale media. Alleen, hoe is dat nieuws?

Het AD denkt van wel, want: “[t]ot op vandaag bestaat er geen aparte wet over de leeftijd waarop je als kind een account mag hebben op sociale media zoals Facebook, Twitter of Instagram.” Maar dat klopt eenvoudigweg niet. Al sinds 2001 bestaat er een wet, namelijk de Wet bescherming persoonsgegevens die precies dat zegt. (Ja, of ze bedoelen dat er geen Wet op de Sociale Media is die letterlijk wat over accounts zegt. Maar, eh, kom nou.)

De Wbp regelt in het algemeen hoe om te gaan met persoonsgegevens, en in artikel 5 staat dat bij personen onder de 16 toestemming van hun ouders nodig is om die gegevens te mogen gebruiken. Om een of andere reden is dat een gekke regel die periodiek nieuws is: in 2007 bleken Hyves en Sugababes illegaal, en sindsdien zie ik het bij elk nieuw social netwerk weer opduiken als nieuwtje. Maar goed, dat zal aan mij liggen.

De Verordening verruimt eigenlijk juist de mogelijkheden. Lidstaten mogen een lagere grens instellen dan zestien, mits die grens maar minimaal dertien is. Een grens die wij overigens niet hebben, wederom in tegenstelling tot wat het AD schrijft. Toegegeven, de regel wordt totaal niet gehandhaafd dus als je wilt spreken van gedoogbeleid dan is dat prima, maar het stáát nergens.

Arnoud

Wbp move over: de Europese Privacyverordening is hier!

wbp-west-bengal-policeNa buitengewoon veel gelobby, gesteggel en geharrewar over toestemming geven, profiling, toezicht en boetes zijn we er dan eindelijk uit: de Europese Privacyverordening is definitief aangenomen in het Europees Parlement. De nieuwe regels zullen de huidige nationale privacywetten, zoals onze Wet bescherming persoonsgegevens, gaan vervangen en zo een éénvormige privacyregulering bieden voor alle Europese burgers. Dat werd hoog tijd, want die oude regels waren uit 1995 en toen werkte internet iets anders dan nu. Wat betekent de privacyverordening voor de praktijk?

De definitieve tekst laat zien dat het in principe vooral méér, méér, méér regeltjes op gaat leveren. Er zijn geen volstrekt nieuwe begrippen of fundamenteel andere insteken. Het is aanscherpen, verdiepen, en vooral meer verplichten voor bedrijven die omgaan met persoonsgegevens. In theorie moet dit de privacy van de burger zeer ten goede komen. Maar ik ben bang voor een cookiewet on steroids: alle waarborgen uit de Verordening ten spijt zie ik de duizenden popups met “Graag willen wij uw uitdrukkelijke toestemming” al voor me.

Het begrip ‘persoonsgegeven’ wordt een eind opgerekt. Het gaat niet perse meer over identificeren aan de hand van iemands naam of contactgegevens: ook locatie en online nicknames zijn nu beschermde data geworden:

an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Hiermee komt (hoop ik dan) een einde aan de discussie of een IP-adres, kenteken, nickname of “die meneer op de achterste bank met dat rode shirt” nu een persoonsgegeven is. Dat zijn ze: ze identificeren iemand aan de hand van een bepaalde identifier, en dat is genoeg. Een naam is ook maar gewoon een tekentje.

Ook de toestemming wordt opgerekt. Waar de huidige wet een vrije, specifieke en op informatie beruste uiting vereiste, luidt de huidige riedel als volgt:

any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

De toestemming moet dus nu ook “niet-ambigu” zijn, en er moet een verklaring of duidelijke bevestigende handeling zijn. Uit impliciet handelen valt dus geen toestemming meer af te leiden. En oh ja:

If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language.

Wil je dus meerdere dingen vragen waarvan eentje een privacytoestemming is, dan zul je die privacytoestemming apart moeten vragen in gewone taal. En dit is dus waarom ik duizenden cookiepopups verwacht onder de nieuwe wet.

Het ‘recht te worden vergeten’ staat ook in de Verordening. Inhoudelijk weinig nieuws: je hád al het recht je gegevens te laten wissen als ze niet meer relevant zijn, en gewist worden in Google-zoekresultaten is niet anders dan gewist worden bij een winkel waar je jaren terug eens wat bestelde. Wel nieuw is dat de verantwoordelijke nu ook de plicht krijgt bij collega’s die deze data van hem hebben gekregen, het ook daar te laten verwijderen.

Verder heb je straks het recht een kopie van je data te krijgen in een portable formaat, zodat je deze bijvoorbeeld bij een andere dienstverlener kunt laten importeren. (Wel moet het gaan om geautomatiseerde diensten én moet de data verwerkt zijn krachtens toestemming of een contract.)

Verwerken zonder toestemming mag op zich nog steeds, mits je het kunt rechtvaardigen onder een eigen dringende noodzaak. Nieuw is dat mensen bezwaar kunnen maken tegen dergelijke verwerkingen. Bij zo’n bezwaar moet de verantwoordelijke vervolgens een stevige motivatie geven waarom ondanks het bezwaar hij tóch verder mag gaan. En dit wordt nog een leuke: specifiek bij profiling voor direct marketing is die motivatie per definitie niet mogelijk. De vraag voor de komende vijf jaar wordt dus of getargete internetadvertenties hieronder vallen.

De nieuwe wet zet veel zwaarder in op compliance. Bedrijfsprocessen die met persoonsgegevens werken, moeten gedocumenteerd worden (met name hoe toesteming verkregen is). Bedrijven moeten kunnen verantwoorden waarom het niet een onsje minder kan met die persoonsgegevens. En bedrijven wiens kernactiviteit het

processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale

is, moeten een onafhankelijke privacy officer aanstellen.

Om dit alles kracht bij te zetten, krijgt de toezichthouder een boetebevoegdheid die op kan lopen tot € 20.000.000 per overtreding of 4% van de wereldwijde jaaromzet voor de grote overtredingen en 10 miljoen/2% voor de meer formele dingen. Wereldwijd, want Google, Facebook en andere Amerikaanse bedrijven kunnen ‘pakken’ is expliciet de bedoeling. Deze vallen volgens de Verordening onder Europese jurisdictie wanneer zij persoonsgegevens van Europese burgers verwerken, ongeacht in welk land dat gebeurt. (En hee, komt dát even handig uit dat ze allemaal hun omzet via een Nederlandse IP-bv doorstromen.)

De Verordening is alles bij elkaar 261 pagina’s juridische taal, dus dat gaat nog wel even flink wat gepuzzel worden voor mij en mijn collega’s. En dat roept gelijk wel een zorg bij me op: deze wet is zó groot, kun je daar wel aan voldoen? Of omgekeerd, deze wet is zó groot, daar is altijd wel een truc in te vinden om er onderuit te komen. Dus was dit wel een goed idee, zó veel ineens regelen?

Arnoud

Mag GHTorrent openbare data van Github aggregeren als onderzoeksdataset?

ghtorrent-data-structureMag je eisen dat je e-mailadres verwijderd wordt uit de GHTorrent dataset? Een veel voorkomende klacht bij dit project. GHTorrent is een onderzoeksproject dat Github-softwareprojecten indexeert en gemakkelijk doorzoekbaar maakt. Hierbij worden ook de e-mailadressen van ontwikkelaars geïndexeerd, waardoor je allerlei koppelingen kunt leggen. Maar mag dat eigenlijk wel?

Github is een van de grootste platforms voor gedistribueerde softwareontwikkeling, met name voor open source. De activiteit op het platform maakt het ook interessant voor wetenschappelijk onderzoek naar gedrag en handelen bij softwareontwikkeling. Zo las ik dat bijdragen van vrouwen eerder opgenomen worden in softwareprojecten dan die van mannen.

Dit onderzoeken betekent dat je honderdduizenden projecten moet doorlopen, iets dat handmatig vrijwel onmogelijk is. Vandaar GHTorrent: plat gezegd een offline mirror van alle Github metadata, zodat je niet per onderzoeksvraag de hele site af hoeft te struinen.

Niet iedereen is daar blij mee. Met name niet omdat ook het e-mailadres van ontwikkelaars opgenomen is. Je kunt dat e-mailadres dan als identifier gebruiken (het man/vrouw onderzoek werkte zo: via het e-mailadres kon je het Google+ profiel vinden en daar het geslacht van de ontwikkelaar achterhalen). En je kunt er natuurlijk ook mail heen sturen, waar de klachten over begonnen. Continu vragen krijgen om mee te doen aan allerlei onderzoek is niet prettig.

De data is publiek. E-mailadressen zijn gewoon zichtbaar, dus iedereen die wil kan dezelfde dataset verkrijgen als GHTorrent. Is het dan slechts een kwestie van fatsoen dat je toch mailadressen blokkeert of van antispam-maatregelen voorziet? Nou, niet per se. In Europa – waar het project vandaan komt – gelden strenge privacyregels ten aanzien van persoonsgegevens, en die gelden ook als de gegevens uit openbare bron zijn verkregen.

Een e-mailadres is een persoonsgegeven onder de Europese regels, omdat het naar een persoon (de ontwikkelaar) te herleiden is. Wie dergelijke gegevens bij elkaar brengt en ontsluit, is daar verantwoordelijk voor. Deze verantwoordelijke moet een grondslag in de wet hebben om dit te mogen doen, en moet zich houden aan de informatieplichten en het recht van inzage, correctie en verwijdering dat alle betrokken personen hebben.

Ook als de data publiek is. Dat ondervond Google in 2014 met het vergeetrecht-arrest: hoewel Google-zoekresultaten afgeleid zijn van openbare bronnen, heeft Google een eigen verantwoordelijkheid bij hoe zij die resultaten rangschikt en presenteert. Zij is dus zelf onderworpen aan het vergeetrecht (en de andere wettelijke plichten voor verantwoordelijken), los van de bronnen waar zij zich op baseert.

Hetzelfde geldt voor GHTorrent. Zij brengt openbare data bij elkaar, maar die data bevat persoonsgegevens. En daarom is de beheerder van GHTorrent de verantwoordelijke en verplicht om te informeren en om correctie en verwijdering toe te staan.

Verwijdering hoeft echter niet altijd. De vraag is of de data irrelevant is voor het doel waarvoor deze is verzameld. In het geval van Google: wanneer de zoekresultaten achterhaald of anderszins niet meer relevant zijn voor de persoon op wie je zocht, bij een zoekopdracht naar een persoon. Bij GHTorrent geldt hetzelfde, maar dat vertaalt zich lastiger naar de praktijk. Immers, ook oude gegevens van een ontwikkelaar zijn relevant voor wetenschappelijk onderzoek, dus het Google-criterium gaat hier niet op. Welk criterium dan wel, dat weet ik zo even niet.

Maar misschien is er een simpeler oplossing. Er moet immers sowieso een wettelijke grondslag zijn voor je gebruik van de gegevens. Enkel “ze komen uit openbare bron” is niet genoeg als grondslag, net zo min als “wij doen wetenschappelijk onderzoek”. Toestemming is er niet, een contract met GHTorrent ook niet, dus dan val je terug op de eigen dringende noodzaak: er is een legitiem belang (wetenschappelijk onderzoek), de gegevens zijn daar écht voor nodig (die zie ik wel) en alles is in het werk gezet om de privacy zo veel mogelijk te beschermen.

En bij dat laatste gaat het mis, want in principe is dan een opt-out vereist. Niet perse, andere maatregelen mogen ook. Zo kun je bijvoorbeeld de e-mailadressen hashen, zodat je er wel op kunt matchen maar ze niet kunt gebruiken om te mailen. Of je laat ze weg uit de publieke dataset en verstrekt ze alleen als mensen apart akkoord gaan met geheimhouding van die set. Maar opt-out lijkt mij het makkelijkste.

GHTorrent lijkt me dus legaal, maar ze moeten zich wel houden aan de Europese regels over persoonsgegevens. En in de praktijk betekent dat dus wel degelijk dat er een opt-out moet zijn.

Arnoud

Wat is het verschil tussen portretrecht en de Wet bescherming persoonsgegevens?

camera-foto-filmen-straat-openbare-weg.pngEen lezer vroeg me:

Afgelopen maandag blogde je over de regels over cameratoezicht. Het viel me op dat het daar nergens ging over je portretrecht wanneer je met een camera wordt gefilmd. Maar het gaat toch allebei over hetzelfde, dat je zeggenschap hebt over je portret?

De regels over cameratoezicht die de Autoriteit Persoonsgegevens recent stelde, zijn allemaal geschreven vanuit het perspectief van de Wet bescherming persoonsgegevens, de privacywet. Een foto of filmopname waar je herkenbaar op staat, is een persoonsgegeven omdat deze tot jou te herleiden is. Op grond van de wet mag dat gegeven niet zomaar worden verwerkt, daar moet toestemming of een andere grondslag (zoals een eigen dringende noodzaak) voor zijn.

Het portretrecht is ouder dan de Wbp en staat om historische redenen in de Auteurswet, waar het verder niets mee te maken heeft. Portretrecht gaat ook over zeggenschap over je portret, maar de benadering is iets anders. Allereerst is er het onderscheid tussen portretten in opdracht en anderen portretten. Bij de eerste categorie mag de fotograaf niets met de foto zonder toestemming van de geportretteerde(n). Dat is dus strenger dan de Wbp, die uitzonderingsgronden biedt zoals die eigen dringende noodzaak of de goede uitvoering van een contract.

Bij een portret “anders dan in opdracht” ligt het subtieler. De wet zegt dat publicatie mag, tenzij de geportretteerde een redelijk belang tégen publicatie heeft. Dat belang kan een privacybelang zijn, maar ook een ander belang – het financiële of het commerciële portretrecht. Zo kun je op grond van je portretrecht optreden tegen je gezicht in reclame, zeker als bekende persoonlijkheid met een verzilverbare bekendheid zoals dat heet. Dit vereist een belangenafweging, hoe groot is het belang bij publicatie en hoe weegt dat op tegen de privacy. Die afweging lijkt sterk op de afweging voor de eigen dringende noodzaak onder de Wbp.

En daarmee heb je nog een ander onderscheid te pakken: portretrecht gaat over publicatie van foto’s en filmbeelden, de Wbp over het verwerken van dergelijk beeld en dat is veel breder. Op grond van je portretrecht kun je niets doen tegen een verborgen beveiligingscamera die je filmt, tenzij de beelden zeg maar op Youtube komen. Maar de Wbp stelt hele hoge eisen aan verborgencameratoezicht.

Portretrecht loopt overigens ook nog langer door dan de bescherming van persoonsgegevens: tot tien jaar na het overlijden, in plaats van direct na overlijden. Een cru voorbeeld: het is legaal gegevens van recent overledenen van hun grafzerk over te typen en te publiceren, maar niet om de daaronder hangende portretfoto erbij te reproduceren. (En ja, hier krijg ik ook vaak vragen over.)

In de praktijk zal er vaak overlap zijn. Wie structureel foto’s of films van personen maakt en die op een of andere wijze publiceert, loopt zowel tegen portretrecht als Wbp aan. De juridische analyses verschillen maar het komt uiteindelijk meestal op grofweg hetzelfde neer: welk belang is er voor publicatie en welk belang is daartegen. Bij een publicatie in de pers is traditioneel het portretrecht de aangewezen route, bij cameratoezicht zou de Wbp de logische insteek zijn. Maar volgens mij is dat meer historisch zo gegroeid dan perse juridisch de enige manier.

Arnoud

Is videosolliciteren bij wet verboden?

camera-laptop-video-chat-gesprekVideosolliciteren is in de wet bescherming persoonsgegevens verboden, meldde HRlog van Michel Rijnders onlangs. Bij deze opkomende trend in recruitmentland stuur je geen brief, maar presenteer je jezelf in een video. Een leuk idee, maar juridisch problematisch: foto’s en video’s van personen tellen als bijzondere persoonsgegevens en die mag je als recruterend bedrijf niet verwerken van je sollicitanten. De praktijk is echter anders.

Videosolliciteren houdt in dat je jezelf presenteert in een video in plaats van in een sollicitatiebrief. Sinds de opkomst van de webcam duikt het onderwerp op gezette tijden op in de media, meldt Intermediair enigszins cynisch. Voordelen zijn dat je jezelf kunt presenteren op een manier die in tekst niet kan, en dat eigenschappen als spontaniteit, representativiteit en uitstraling beter uit de verf komen. Bovendien, is een brief kunnen schrijven echt wel een relevante kwaliteit bij veel banen vandaag de dag?

Het juridische punt bij video’s is echter dat portretten bijzondere persoonsgegevens zijn. Je kunt er immers gevoelige informatie uit halen, zoals iemands ras of etnische afkomst, of een aandoening of ziekte. Denk aan littekens of aangeboren afwijkingen, of bij video’s de aanwezigheid van Parkinson. En dergelijke gegevens mogen onder de privacywet eenvoudig niet worden ‘verwerkt’ – een term waar ook het ontvangen en afspelen van een video onder valt, zelfs als die video vervolgens niet in een dossier terecht komt.

Exit videosolliciteren dus. Maar nee, toch niet: Rijnders meldt dat de Autoriteit Persoonsgegevens camerabeelden van een persoon “om opportuniteitsredenen” niet als bijzondere persoonsgegevens beschouwt als aan een aantal voorwaarden is voldaan. Kort gezegd: het was niet je bedoeling die bijzondere gegevens te verkrijgen, maar de ontvangst is onvermijdelijk, en je doet er vervolgens niets mee. In het bijzonder: je laat het niet meewegen in je beslissing. Onvermijdelijke bijvangst waar we heel professioneel niet naar kijken vervolgens.

Oh nee, toch wel: Merel Eilander, woordvoerder Autoriteit Persoonsgegevens, meldt dat deze voorwaarden niet opgaan bij videosolliciteren:

Bij videosollicitaties is het wél voorzienbaar dat de verwerking zal leiden tot het maken van onderscheid op basis van rasgegevens. Videosollicitaties zijn wel toegestaan als iemand er daadwerkelijk vrij voor kan kiezen, bijvoorbeeld als er ook de mogelijkheid is om per brief te solliciteren.

Het achterliggende argument is denk ik hetzelfde als Hans versus Mohammed op je cv: je kunt mensen te makkelijk meteen afkeuren op oneigenlijke (en verboden) gronden. Natuurlijk kun je die ook in een gesprek ontdekken (bijvoorbeeld, een aspirant-receptioniste die blijkt te stotteren) maar dan kun je er nog naar vragen in het gesprek.

De juridische conclusie is dus onontkoombaar: videosolliciteren mag alleen als vrijwillige keuze, een bedrijf mag sollicitanten niet verplichten per videobericht zichzelf aan te dragen.

De Wbp zou de Wbp niet zijn als zij niet massaal genegeerd werd, en dat zie je ook hier weer. Vrijwel alle bedrijven die videosollicitatie inzetten, doen dat in verplichte vorm. Logisch, want dat werkt het efficiëntst, en je kunt ook lastiger twee kandidaten vergelijken als de een een keurige brief op geschept papier aandraagt en de andere een hippe video. Maar het mag niet.

Zolang er niemand een probleem van maakt zal het geen probleem zijn, concludeert Rijnders. En afgaande op de observatie van Intermediair kan het inderdaad best meevallen – die videosollicitatieapps zijn nu even hot maar over drie maanden is er vast weer wat anders. Aan de andere kant, als het deze keer wél aanslaat, dan zitten we dus wel met een levensgroot wettelijk privacyprobleem. Er staan in theorie hoge boetes op dit soort onrechtmatige verwerking, maar dan moeten mensen dit wel als een probleem ervaren.

Arnoud

Is whatsappen nu ook al een datalek?

whatsappDe datalekken vliegen je om de oren de laatste tijd. En om een of andere reden zit WhatsApp daar hoog in de buzz. Je communiceert dan immers over een kanaal beheerd door een derde, en niet zomaar een derde maar een perfide Amerikaanse imperialist met allerlei snode aftap- en profilingplannen. Dat moet toch haast wel een datalek zijn?

Voor een datalek dat moet worden gemeld gelden vier eisen (eisen 3 en 4 bepalen of gemeld moet worden):

  1. Er is sprake van een inbreuk op de beveiliging. Dat kan gaan om een inbreuk op techniek (een inbraak, een geraden wachtwoord) of een organisatorisch falen (zonder kaartje naar binnen kunnen, geen toezicht op een dossierkast) maar er moet iets van een beveiliging zijn en die moet geschonden worden.
  2. Het moet gaan om persoonsgegevens. Andere gegevens, hoe waardevol ook, kunnen geen datalek in de zin van de wet opleveren.
  3. Er moet een aanmerkelijke kans zijn dat de persoonsgegevens misbruikt worden. Is misbruik slechts een theoretisch risico, dan is het lek geen datalek.
  4. Betrokken personen moeten er nadeel van (kunnen) ondervinden. Die lat ligt niet hoog, maar hij is hoger dan nul. Nadeel kan zijn reputatieschade, oplichting en dergelijke maar ook dingen als moeten ruziën over dat je had betaald (de betalingsbewijzen waren gewist, ook een datalek).

Een conversatie voeren via WhatsApp zie ik op zich niet als een datalek. Als beide partijen ervoor kiezen hun eigen gegevens via dit kanaal te verstrekken, dan zie ik dat niet als een inbreuk op de beveiliging. Ze aanvaarden dan beiden de kans dat er iets mis kan gaan, en zien dat kennelijk als acceptabel.

Kiezen ze ervoor om andermans gegevens te verspreiden, zoals artsen wel deden, dan wordt het iets schemeriger. Die ander heeft niet gekozen voor het kanaal. Bovendien haal je je in die situatie nog een extra verplichting op de hals: je besteedt dan een stukje verwerking van andermans persoonsgegevens uit bij WhatsApp Inc, en de wet eist dat je dan een bewerkersovereenkomst sluit waarin je rechten en plichten vastlegt. Volgens mij kán dat niet eens met WhatsApp.

Toevallig kwam ik dit Linkedin-bericht tegen waarin Gjerryt Leuverink beschrijft hoe zorginstelling ’s Heeren Loo Zorggroep graag dichtbij en gastvrij wil zijn; ook digitaal. Daarom gebruikt men WhatsApp als communicatiemiddel. Dat leverde de nodige kritiek op, maar zoals Leuverink reageert:

Waar het om gaat is dat iemand die een appje stuurt aan een ander daarmee indirect toestemming geeft aan WhatsApp om ‘iets’ met dat berichtje en de twee betrokken 06-nummers te doen. Als je dat niet wilt, moet je niet WhatsAppen. Als je dat wel wilt, moet je bewust de app installeren, bewust je nummer koppelen en de voorwaarden accepteren, bewust een nummer toevoegen aan je contacten daar dan bewust een berichtje naartoe sturen.

Maar ik kan als jurist niet ontkennen dat er toch stevige juridische bezwaren te verzinnen zijn. Die bewerkersovereenkomst is nu eenmaal echt een ding, en zeker als je gegevens van anderen (zoals die artsen) gaat versturen dan zit je met een levensgroot toestemmingsprobleem. Alleen: is dat erg?

We komen dan weer terug bij de al vaker gevoerde discussie: mag de privacywet innovatie in de weg staan, of andersom mag innovatie zomaar over privacy heen denderen? Want als we de privacywet hard inzetten, dan moet je stoppen met WhatsApp. Dan kun je de Amerikaanse cloud gelijk uit en houden er ook een heleboel andere dingen op. Maar ga je mee in elke nieuwe hippe innovatie, dan kunnen we privacy wel afschrijven want wat dóen al die startups met persoonsgegevens en hoezo is het normaal dat een Amerikaans-wollig document dat “Privacy Policy” heet genoeg is om onze mooie wetgeving opzij te zetten? Ik ben er nog steeds niet uit wat nu de beste insteek is.

Arnoud

Mogen ze over je auto met nummerbord praten op een forum?

nummerborden.pngEen lezer vroeg me:

Is het toegestaan dat derden je kenteken op een openbaar forum plaatsen samen met datum en tijdstip dat men je gespot heeft? Dat kan dan zijn om over je auto te praten, of om je uit te maken voor wegmisbruiker.

Een kenteken is te zien als een persoonsgegeven als het te herleiden is tot de eigenaar van de auto. Op zich is dat niet eenvoudig, want je moet langs de RDW om die gegevens te krijgen, of toevallig op internet bijvoorbeeld een “auto te koop”-advertentie vinden. Het Cbp houdt daarom tegenwoordig een slag om de arm:

Kentekens van motorvoertuigen zijn persoonsgegevens voor degenen die toegang hebben tot het kentekenregister van de Rijksdienst voor het Wegverkeer. Zij kunnen immers tenaamstelling van het kenteken zonder bijzondere inspanning te weten komen. Voor personen die geen toegang hebben tot de tenaamstellingsgegevens uit het kentekenregister, zijn kentekens geen persoonsgegevens indien redelijkerwijs ook niet te verwachten valt dat die gegevens langs een omweg (eventueel door derden) zullen worden herleid. Het hangt dus van de context van het gebruik af of het wel of niet gaat om persoonsgegevens.

Dit standpunt verbaast me nu in de Richtsnoeren persoonsgegevens op internet nog vrij eenvoudig kentekens als persoonsgegevens werden aangemerkt. Mij leek dat ook altijd erg logisch; hoewel niet iedereen bij de RDW kan, is het niet uit te sluiten dat je via een andere route ook die gegevens kunt koppelen. Bovendien – en daar gaat het uiteindelijk om volgens mij – betreft het kenteken in het kader van een discussie over de bestuurder een gegeven over één persoon, waarmee het haast per definitie een persoonsgegeven is. Net zoals je MAC-adres en locatie een persoonsgegeven is.

Een persoonsgegeven publiceren mag alleen als je dat onder de Wet bescherming persoonsgegevens kunt rechtvaardigen. Toestemming is de meest gehoorde rechtvaardiging, maar die is er in dit geval niet.

In principe kom je dan uit bij de restcategorie van de eigen dringende noodzaak. Je zegt dan, ik kan geen toestemming vragen, ik heb een legitiem belang en daarvoor is het een absolute noodzaak dat ik dit gegeven publiceer, bovendien heb ik zo veel mogelijk rekening gehouden met de privacy van de persoon over wie het gaat.

Het legitiem belang zou hem hier zitten in die discussie, dat is immers een beroep op de vrijheid van meningsuiting. In principe is dat al snel gerechtvaardigd, tenzij de discussie niet meer is dan belachelijk maken en afzeiken zonder enige werkelijke discussie of debat. “Deze auto is een wegmisbruiker” zou ik al net aan de goede kant van de grens vinden zitten, als de beelden dat duidelijk laten zien.

Alleen dat rekening houden met de privacy, wat moet je daar dan mee? Ik denk dat dat er toch al snel op neerkomt dat het nummerbord uitgeblurd moet worden. Dat is immers niet echt nodig voor de discussie over wegen misbruiken of om je mening over de auto te geven, positief of negatief. Natuurlijk, met nummerbord kunnen anderen de auto herkennen, maar hoe relevant is dat?

Arnoud

Wifi-tracking rond winkels in strijd met de wet?

Het College bescherming persoonsgegevens heeft een van de grote aanbieders van wifi-tracking in Nederland op de vingers getikt, las ik bij Tweakers. Het bedrijf Bluetrace zou ten behoeve van wifi analytics mensen in en rond winkels via het wifi-signaal van hun smartphone volgen zonder hen daarover goed te informeren. In haar rapport meldt de toezichthouder dat er meer verzameld werd dan nodig, dat de gegevens te lang bewaard werden en dat ook mensen op de openbare weg gevolgd werden.

Wifi tracking is al een paar jaar in populariteit aan het toenemen. Kort gezegd meet een winkel dan langskomende wifi-signalen uit mobiele telefoons, om vervolgens te registreren waar die signalen heen gaan, hoe lang de telefoon ergens stilstaat et cetera. Via het MAC-adres zijn de metingen uniek te correleren aan één telefoon.

Het argument is dan altijd, dat is niet erg want het is maar je telefoon en ze weten niet hoe je heet. Maar het Cbp is daar snel klaar mee: dit zijn persoonsgegevens (want herleidbaar tot de eigenaar van de telefoon) en locatie-informatie is best wel gevoelig:

Omdat smartphones en tabletcomputers onlosmakelijk verbonden zijn met hun eigenaren, leveren de verplaatsingen van de apparaten een zeer intieme inkijk in het leven van hun eigenaren.

Dat je de náám niet weet van de persoon, doet er niet toe. Het is de vaste opvatting van de privacytoezichthouders dat het erom gaat dat de “gegevens via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon.” Kort gezegd gaat het erom dat de gegevens over één persoon gaan.

Vervolgens moet Bluetrace maar aantonen waarom zij dit mag onder de Wbp. De enige reële optie is die van de eigen dringende noodzaak: het belang om de gegevens te verzamelen weegt zwaarder dan het privacybelang van de langslopende smartphone-eigenaren, én er is alles aan gedaan om de privacy zo veel mogelijk te waarborgen.

Op zich is het een legitiem belang om te willen weten hoe mensen door je winkel lopen. Maar de vraag wordt dan, moet dat dan wel op deze manier gemeten worden, kan het niet een onsje minder? Bijvoorbeeld door tijdens sluitingstijd de sensoren uit te zetten, of door in plaats van ruwe MAC-adressen hashes te bewaren die na 48 uur worden gewist.

Ook een probleem is dat men MAC-adressen vastlegt van mensen die langs de winkel lopen maar niet naar binnen gaan. “Ohooh een verwerking aan de openbare weg”, en dat mag dan categorisch niet. Nou nee, het ligt iets subtieler: je mag wel persoonsgegevens verzamelen aan de openbare weg maar je moet daar dan wel een specifiek belang voor hebben dat opweegt tegen dat privacybelang. En dat zal er zelden zijn. Welk legitiem belang ís er om te meten wie er over de weg loopt?

Verder ontbrak het aan adequate informatie over wat men doet met persoonsgegevens en hoe je als winkelbezoeker informatie kunt krijgen over deze gegevensvergaring.

Kort samengevat: leuk idee, mislukte uitvoering. Want het Cbp zegt letterlijk dat het zeker mogelijk is om legaal persoonsgegevens van smartphones te verzamelen om winkelbezoek te monitoren, mits je dat maar een stukje zorgvuldiger inkleedt. De pers maakt veel van het hashen van de MAC-adressen, maar dat is niet de kern: het gaat erom zo min mogelijk gegevens te verzamelen en dingen zo snel mogelijk weer weg te gooien.

Arnoud