Persoonsgegeven Archives - Pagina 4 van 12

Bild nagelt ‘vluchtelinghatende’ Facebookers aan schandpaal, mag dat?

Geplaatst op 26 oktober 201522 oktober 2015 in Privacy, Uitingsvrijheid, 25 reacties

De Duitse krant Bild heeft dinsdag een selectie haatdragende teksten van Facebookgebruikers gepubliceerd – inclusief namen en profielfoto’s. Dat las ik in de Volkskrant. Bild wil zo de -aldus de Volkskrant- welig tierende vluchtelingenhaat op sociale media aan de kaak stellen en de gebruikers ‘aan de schandpaal nagelen’.

De term ‘schandpaal’ suggereert natuurlijk nogal sterk dat dat niet mag, die is immers in 1854 afgeschaft. Maar dat is een kwestie van framing: als je het “een bijdrage aan een actueel maatschappelijk debat” noemt, dan klinkt het ineens heel redelijk.

En daar zit hem de kneep, juridisch gezien. We hebben hier te maken met een klassiek voorbeeld van twee botsende grondrechten: het recht op vrijheid van meningsuiting van Bild om te melden wat er in de maatschappij gebeurt versus het recht op privacy van deze mensen om niet zomaar in de spotlight te worden getrokken als privépersoon.

Hebben die mensen privacy dan? Ja, privacy geldt namelijk altijd, ook op Facebook. In principe is het een privacyschending om een Facebookbericht uit zijn context te trekken en elders te herpubliceren, als de plaatser dat niet voor ogen had toen hij het plaatste. (Dat staat dus los van welke instellingen men koos. Hooguit kun je uit die instellingen betogen wat mensen redelijkerwijs voor ogen moeten hebben gehad, maar dan moet je wel ook betogen dat Facebook zo eenvoudig is dat de gemiddelde gebruiker precies weet wat er kan gebeuren, inclusief meelezende kranten.)

In principe dus, want dit is geen harde regel. Als het nieuwswaardig is om te melden dat Pieter de Vries die uiting deed, dan mag dat worden gemeld ondanks Pieters privacy. En ja daar zit een soort van cirkelredenering in. Grondrechten winnen het niet automatisch van elkaar. Ze zijn gelijkwaardig, en het is dus per definitie een afweging per geval waarbij je de argumenten voor de een tegenover die voor de ander zet, om zo tot een slotsom te komen welke het hier wint.

Eens even kijken. Pro meningsuiting: actueel issue, uitingen in openbaarheid gedaan (niet afgeschermd of uit privéberichten gelift), schokkende uitingen, ze kozen er zelf voor deze te plaatsen. Pro privacy: dit zijn gewone burgers (geen Bekende Duitsers) dus waarom is hun mening nieuws, het punt “kijk wat mensen op Facebook zeggen, schandalig” had ook zonder naam en foto gemaakt kunnen worden, uitingen zijn in hitte van het moment geplaatst en niemand voorziet dat ‘ie dan met naam en foto in de krant komt onder de kop “Schandpaal”.

Mijn gevoel zegt me dat hier dan de vrijheid van meningsuiting zou moeten winnen. Nee, niet iedereen snapt Facebook en er zullen er bij zitten die oprecht niet beseften dat het wereldwijd te lezen was en ook nog eens in de krant zou komen. En ja, het had ook zonder naam gekund. Maar het punt van Bild is volgens mij óók dat je ziet dat het gewone mensen zijn in plaats van rare pseudoniemen van professionele trollen. Het enige echte tegenargument is voor mij dat Bild het zelf een schandpaal nóemt, en dus daarmee ieder hoger motief over bijdrage aan debatten al meteen van tafel veegt.

En kunnen we nog wat met de Wbp? Het zijn tenslotte persoonsgegevens en die worden langs elektronische weg verwerkt. De Wbp geldt ook voor journalisten en kranten (afgezien van een paar randvoorwaarden zoals de informatieplicht). Echter, die afweging komt op hetzelfde neer als de algemene vraag hoe meningsuiting versus privacy uitpakt. Het kan dus niet gebeuren dat je met die grondrechten-afweging concludeert “het mag” en vervolgens “van de Wbp mag het niet”.

Ben benieuwd naar jullie afwegingen!

Arnoud

Safe Harbor getorpedeerd; het einde van de Amerikaanse cloud?

Geplaatst op 7 oktober 20156 oktober 2015 in Privacy, 40 reacties

Het Europese Hof van Justitie heeft vandaag het Safe Harbor-verdrag met de Verenigde Staten, waarin staat hoe Amerikaanse bedrijven gegevens moeten opslaan zodat ze aan de Europese privacywetgeving voldoen, ongeldig verklaard. Dat meldde Security.nl en nog een hele sloot media. Een lichte ramp natuurlijk: zonder Safe Harbor staan heel veel persoonsgegevens illegaal in de Amerikaanse cloud. Wat nu?

De uitspraak is een uitkomst van het al lang lopende conflict dat Oostenrijker Max Schrems heeft met Facebook. Het begon met een inzageverzoek: wat weten jullie allemaal over mij. Dat escaleerde tot een stevige juridische strijd, waarbij op zeker moment het argument ter tafel kwam dat persoonsgegevens veilig in de VS staan want Safe Harbor. Dat we ondertussen van alles weten over de NSA en ander amerikaanseoverheidsgesnuffel deed daarbij niet ter zake.

Het arrest (zaaknr C-362/14) gaat vooral over dat punt. Mag de Europese Commissie afspraken met de VS maken waarin ze in feite zeggen “de VS is gewoon veilig, punt”, of mag het Hof daar toch nog wat van vinden als bij nader inzien blijkt dat het in de VS toch niet zo lekker loopt als gedacht? Het verrast niet echt dat het Hof het laatste vindt.

En wát ze er dan van vinden, is niet mals. De VS ziet Safe Harbor als een leuk speeltje maar uiteindelijk niet zo belangrijk als de eigen wetten:

86 Thus, Decision 2000/520 lays down that ‘national security, public interest, or law enforcement requirements’ have primacy over the safe harbour principles, primacy pursuant to which self-certified United States organisations receiving personal data from the European Union are bound to disregard those principles without limitation where they conflict with those requirements and therefore prove incompatible with them.

Oftewel: er staat gewoon ín dat als Amerikaanse wetgeving wat anders zegt dan mag in de Safe Harbor, dan wint die wetgeving het gewoon. Hoe kun je dat dan nog een veilige haven noemen die volgens Europese regels werkt? Want dát was het idee achter de wettelijke eis “geen gegevens de EU uit tenzij dat adequaat geborgd is”.

We hebben nu dus een probleem. Heel veel organisaties hebben data in de VS staan met een beroep op Safe Harbor, en dat is nu dus niet meer mogelijk. Er zijn juridische oplossingen te verzinnen – zoals gaan werken met een modelcontract – maar het is nog maar de vraag of die standhouden tegen het argument “de FBI kan er tóch altijd toegang tot afdwingen”, analoog aan het citaat hierboven.

Naar de Europese clouddiensten dan maar? Immers, data opgeslagen bij Amazon in Ierland of Microsoft in Brussel valt onder een dochtermaatschappij die gewoon onder Europees recht valt. Het is nog maar de vraag of dat gaat helpen. We hebben al een tijdje een slepende rechtszaak tussen Microsoft en de Amerikaanse overheid, met de vraag centraal of de overheid gegevens mag opeisen bij Microsoft-dochters in Europa. De rechter in eerste instantie zei van wel, het hoger beroep loopt. Als dát overeind blijft, zijn ook die datacenters verboden terrein voor Europese bedrijven.

Gaat er wat gebeuren? Het zou me verbazen. De impact is namelijk zo groot dat weinigen er aan zullen willen. Eerst maar eens een jurist zorgvuldig naar laten kijken, en dan afwachten wat de concurrent gaat doen. Want het kost gewoon gigantisch veel geld om equivalente diensten te vinden – als die er al zijn. Als je concurrent lekker op Amazon blijft zitten, dan ben je weliswaar legaal bezig maar commercieel heel dom.

Wellicht dat de nieuwe wetgeving persoonsgegevens per 1 januari hier wat in gaat veranderen. Die heet weliswaar meldplicht datalekken maar hij zet ook boetes op het exporteren van persoonsgegevens zonder juridische basis. Maar u kent mij als professioneel cynicus: het zou me verbazen.

Arnoud

Oh ja, en we krijgen per 1 januari een datalekmeldplicht en boetes op brakke beveiligingen

Geplaatst op 23 juli 201519 juli 2015 in Privacy, Security, 20 reacties

Op 1 januari 2016 treedt de Wet Datalekmeldplicht in werking. Vanaf dat moment moeten bedrijven bij de toezichthouder én de consument melding doen van datalekken, oftewel inbraken en beveiligingslekken waardoor persoonsgegevens zijn ontvreemd. Wordt er niet gemeld, of blijkt na melding dat een bedrijf nalatig was, dan kunnen tot acht ton aan bestuurlijke boetes worden opgelegd. En als je die wet goed leest, dan zie je dat er óók boetes kunnen worden opgelegd voor wie de beveiliging überhaupt niet op orde had.

Veel mensen denken bij de term ‘datalek’ aan een grootschalige inbraak waarbij alle klantgegevens worden gedownload, of een publicatie op een Russische hackersite van patiëntdossiers. De wettelijke definitie is echter veel breder. Iedere inbreuk op de beveiliging van persoonsgegevens wordt gezien als een datalek. En de wet (art. 13 Wbp) noemt “verlies of enige vorm van onrechtmatige verwerking” als een inbreuk. Ook wanneer gegevens binnen een organisatie dus op te vragen zijn door ongeautoriseerde medewerkers, is strikt gesproken sprake van een datalek. Voor webwinkels of sites met online inschrijf- of bestelformulieren zou al sprake zijn van een datalek wanneer deze formulieren niet over een beveiligde verbinding (SSL) worden verzonden.

Wie data op deze manier lekt, moet dat melden bij de toezichthouder en vaak ook bij de getroffen consument. Een datalek moet bij de toezichthouder worden gemeld wanneer deze “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen” of daadwerkelijk die gevolgen heeft, en bij de betrokkene als het lek “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”. Dit zijn vrij vage criteria, en dat is dan meteen een zwak punt: een bedrijf kan met een stalen gezicht volhouden dat die diefstal van 200.000 patiëntgegevens toch niet een aanzienlijke kans heeft op nadelige gevolgen, laat staan op ernstige. Maar dat is dan iets waar de rechter of het Cbp al dan niet met giecheltoets wat van kan vinden.

De boetebevoegdheid van de toezichthouder wordt uitgebreid – of eigenlijk ingevoerd want die hebben ze nu in de praktijk niet. Onder het nieuwe regime kunnen boetes tot in theorie acht ton worden opgelegd voor het ten onrechte niet melden van een datalek. Maar niet alleen dat: de boetebevoegdheid geldt voor zo ongeveer elke serieuze plicht die je hebt onder de Wet bescherming persoonsgegevens: verwerken zonder grondslag (art. 8) of op onzorgvuldige manier (art. 6-10), het niet nakomen van informatieplichten (art. 33 en 35) en misbruik van het BSN (art. 24). En tot mijn vreugde ook: het niet hebben van een passende beveiliging (art. 13 Wbp). Een brakke beveiliging hebben is dus vanaf 1 januari wel degelijk strafbaar (pardon: sanctioneerbaar met een bestuursrechtelijke boete).

Wel moet het Cbp in principe eerst een bindende aanwijzing geven voordat boetes mogen worden opgelegd. Maar daar is dan weer een uitzondering op voor het geval men opzettelijk of ernstig verwijtbaar handelt. Dat is een vage norm, maar in de praktijk zal zich dat wel wijzen denk ik.

Ja, hier word ik wel een beetje vrolijk van. Ik snap alleen niet waarom het vrijwel nergens in het nieuws gaat over die boetebevoegdheid op beveiliging maar alleen over het al dan niet moeten melden van datalekken?

Arnoud

Moment, ik app even uw huiduitslag naar mijn collega

Geplaatst op 9 juli 20158 juli 2015 in Privacy, 24 reacties

In veel ziekenhuizen wisselen artsen informatie over patiënten uit via WhatsApp, meldde NRC Q op gezag van diverse medici uit verschillende ziekenhuizen. Ze gebruiken de app bijvoorbeeld voor het versturen van foto’s van aandoeningen, om aan collega’s op afstand om hulp te vragen bij een acute diagnose. Eh, wacht, wàt?

Foto’s van aandoeningen, en chatberichten met beschrijvingen van patiënten of problemen, zijn al heel snel persoonsgegevens. Zodra gegevens één persoon betreffen, is dat namelijk het geval. Ook als er geen naam of patiëntnummer bij staat. Waar het namelijk om gaat, is of identificatie redelijkerwijs mogelijk is. En met een foto van een specifieke huidaandoening of een ongelukje met een shampoofles wil dat nog wel lukken.

Dit soort gegevens zijn niet zomaar persoonsgegevens, ze zijn bijzonder. En daarvoor geldt een speciaal regime: die mag je niet gebruiken tenzij in de Wbp of andere wet expliciet staat van wel (art. 16 Wbp).

Voor medisch personeel is er een uitzondering: “voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is”. Wel moeten ze nog steeds een grondslag kunnen aanwijzen, zoals toestemming of de uitvoering van de behandelovereenkomst. Je zou dan als arts moeten zeggen, dit overleg met een collega is noodzakelijk want anders weet ik niet welke behandeling te starten. Dat kan.

Maar dan het kanaal WhatsApp, mag dat dan? Dan kom je bij de algemene eis dat persoonsgegevens veilig moeten worden behandeld. En je kunt je afvragen of dat wel goed zit bij WhatsApp. Niet dat ik gelijk NSA-niveau spionage bedoel: gewoon heel simpel, mensen kunnen je telefoon vinden en berichten lezen. Of je stuurt een bericht naar de verkeerde persoon, of diens partner leest het bericht toevallig. Of de ander vindt het een bijzondere foto en plaatst hem op Figure 1 (twijfelachtig SFW). En ja dat is dan jouw schuld want jij moest dat voorkomen.

Maar om nou te zeggen, WhatsApp bij deze verboden voor collega-overleg, dat gaat ook weer wat ver. NRC citeert een neurochirurg uit Utrecht:

“Het komt zeker veel voor dat artsen via WhatsApp overleggen en patiënteninformatie delen. Ik heb zelfs wel eens levens gered doordat we via een mobiel bericht veel sneller over een noodsituatie konden overleggen en beslissen dan via de oude systemen. Maar er zijn duidelijke privacy-bezwaren.”

En daar zit vandaag de dag precies het dilemma: het kanaal is erg handig, snel en bruikbaar, maar de privacy is bepaald niet ingeprogrammeerd en je moet maar hopen dat het goed gaat. (Goh, het lijkt internet als zodanig wel.) Terwijl de voor privacy ontworpen kanalen bepaald niet handig of snel te noemen zijn – een brief in dubbele envelop, vervoerd per koerier bijvoorbeeld – en daardoor in de praktijk dus niet werken. Wat moet je dan?

Arnoud

Sinds wanneer zijn gehashte MAC-adressen persoonsgegevens?

Geplaatst op 24 april 201523 april 2015 in Privacy, 22 reacties

hashcodes De Verkeersinformatiedienst (VID) volgt al jarenlang de bewegingen van miljoenen auto’s op de weg. Deze data zijn geen persoonsgegevens en niet herleidbaar, stelt het bedrijf, maar dat is dubbel onjuist. Dat meldde Computerworld onlangs, op basis van mijn antwoord dat “Hashing is absoluut een privacyvriendelijke oplossing, maar daarmee blijven de data nog steeds persoonsgegevens, ze zijn immers niet onherleidbaar geanonimiseerd”. Maar, zo mailden veel mensen me: een hash is toch niet meer tot een persoon te herleiden, je weet niet meer wie het is, hoezo is het dan nog steeds een persoonsgegeven?

Vaak wordt gedacht dat een gegeven pas een persoonsgegeven is als je weet om wie het gaat. Er zou een naam of contactgegevens nodig zijn, en zolang je die maar niet hebt, zou er niets aan de hand zijn. Dit is echter onjuist en wel hierom, zoals dat heet.

Een persoonsgegeven is volgens de wet een gegeven dat direct of indirect tot een persoon te herleiden. Als je iemands naam of contactgegevens hebt, dan heet dat “direct herleidbaar”. Maar heb je die niet, maar zegt wat je hebt wel iets over een persoon, dan is het indirect identificeerbaar en dus alsnog een persoonsgegeven. “Die man met de hoed daar achterin” is dus net zo goed een persoonsgegeven als “Wim ten Brink”.

Ik vind dat niet meer dan logisch: een naam is niet perse een groter privacyprobleem dan een IP-adres. Sterker nog, ik denk dat ik vaker gevolgd/gemonitord wordt via mijn IP-adres dan via mijn voor- en achternaam. En de regels over persoonsgegevens zijn gemaakt om te zorgen dat dergelijke privacyproblemen verminderd worden. “Geen naam = geen persoongegeven” zou dan een maas in de wet zijn waar een Google Modular Data Center doorheen kan.

De Artikel 29-werkgroep, het samenwerkingsverband van privacytoezichthouders, heeft dit al in 2007 gesignaleerd in haar Advies over het begrip ‘persoonsgegeven’. In de context van medisch onderzoek worden patiëntgegevens vaak gepseudonimiseerd (“patiënt X123”), maar dat is niet genoeg: dat gegeven gaat over één patiënt en is dus nog steeds een persoonsgegeven. Althans, als het redelijkerwijs mogelijk is om die gegevens terug te herleiden:

Zijn de gebruikte codes uniek voor elke persoon, dan doet het risico van identificatie zich voor als het mogelijk is de encryptiesleutel te achterhalen. Het risico dat de systemen door een buitenstaander worden gekraakt, de waarschijnlijkheid dat iemand binnen de organisatie van de verzender (ondanks het beroepsgeheim) de sleutel ter beschikking stelt en de haalbaarheid van indirecte identificatie zijn dus allemaal factoren waarmee rekening moet worden gehouden om te bepalen of de betrokkenen kunnen worden geïdentificeerd met alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn, en of de informatie dus als “persoonsgegevens” moet worden beschouwd.

Een hash functie is ook een “encryptie” in de zin van deze analyse. Een hash is weliswaar niet omkeerbaar, maar je kunt wel met een nieuwe invoer kijken of deze dezelfde hash geeft. Dus het probleem is hetzelfde.

Zoals het Cbp het zegt in haar richtsnoeren beveiliging van persoonsgegevens:

Het toepassen van cryptografische bewerkingen op identificerende gegevens leidt op zichzelf tot pseudonimisering (het identificerende gegeven wordt vervangen door een ander identificerend gegeven) en niet tot anonimisering (de gegevens worden omgezet naar “een vorm die identificatie van de betrokkene feitelijk niet langer mogelijk maakt”84[1]).

Dit betekent dus dat persoonsgegevens hashen er niet voor zorgt dat je onder de Wbp uit komt.

Maar er is een sprankje hoop: dat je onder de Wbp valt, wil niet zeggen dat je dus toestemming moet vragen aan iedereen. Er is die uitzondering voor de eigen dringende noodzaak, en daarbij moet je een afweging maken of de privacy van de betrokkenen zwaarder weegt of niet dan jouw noodzaak. Onderdeel van die afweging is hoe makkelijk of moeilijk het is om mensen te identificeren (direct of indirect). Dus als je werkt met hashes dan zit je eerder aan de goede kant dan wanneer je met blote IP-adressen of e-mailadressen gaat werken.

Wél zit je vast aan alle andere regels uit de Wbp, zoals het moeten geven van inzage, het uitleggen wat je doet en het omgaan met een verwijderverzoek.

Arnoud

Curator van Radio Shack wil klantenbestand verkopen, mag dat?

Geplaatst op 31 maart 201530 maart 2015 in Privacy, 11 reacties

radio-shack De curator van het failliete Radio Shack is van plan hun klantenbestand te verkopen, las ik bij Ars Technica. Dit ondanks de privacyverklaring die men jarenlang hanteerde, waarin netjes “Wij verkopen uw data nimmer aan derden” stond. Mag dat zomaar?

Nou ja, het is recht, dus niets mag (of mag niet) zómaar. Maar dit soort zaken zijn erg lastig, omdat er geen harde regels zijn over wat een curator mag doen met gegevens. Digitale gegevens zijn immers niet iets dat je kunt kopen of verkopen. In het speciale geval van virtuele goederen (en belminuten of credits) kan dat wel, maar daarvan is hier geen sprake. De reden is simpel: iets is pas een zaak als iemand er de beschikkingsmacht over kan hebben, zeg maar als het gestolen kan worden. En dat kan niet bij zo’n klantenbestand. De curator zou het ding probleemloos honderd keer kunnen verkopen.

Het bestand zou bij ons onder de Wet bescherming persoonsgegevens vallen. Die bepaalt alleen niets over koop en verkoop daarvan. Het enige dat de Wbp zegt, is dat wie een bestand heeft, dit alleen mag gebruiken met toestemming of een wettelijke grondslag (zoals nakoming overeenkomst). Het tegen geld geven van een kopie van het bestand aan een derde vereist dus zo’n grondslag, en ik zou hem niet weten in dit geval.

Als iemand een doorstart wil maken met het bedrijf, dan is het logisch dat hij ook het klantenbestand krijgt. Dat is daarvoor nodig, zeker als hij de oude contracten met die klanten alsnog wil nakomen. De wet hanteert hiervoor het criterium van “verenigbaarheid” met het oorspronkelijke doel. Overnemen van klanten om de originele dienst zo veel mogelijk alsnog te leveren, lijkt me wel legaal.

Hier is echter geen sprake van verkoop van een klantenbestand mét contractsinformatie maar alleen van contactgegevens. Het enige doel daarvoor dat ik kan bedenken is acquisitie, kijken of die klanten nu interesse in jouw bedrijf hebben. Dat is problematisch, zeker als er ook digitale contactinformatie bij zit want dan loop je tegen spamverbod en dergelijke aan.

De insteek van de juridische klacht tegen de curator is ook wel een aardige: contractbreuk, er is immers via de privacyverklaring afgesproken dat dit niet zou gebeuren. Maar een curator contractbreuk verwijten is heel erg lastig. Weliswaar mag de curator geen contracten schenden, maar een schending is normaal een claim die je maar op de boedel van het failliete bedrijf moet zien te verhalen. En dat valt meestal niet mee, ze zijn niet voor niets failliet gegaan.

Arnoud

‘Containerkwestie’ geen argument voor verwijdering zoekresultaten

Geplaatst op 18 februari 201515 februari 2015 in Ondernemingsvrijheid, Privacy, 15 reacties

Een KPMG-topman die vanwege een geschil met zijn aannemer enkele maanden in een container moest bivakkeren, kan artikelen daarover niet in Google zoekresultaten laten blokkeren. Dat vonniste de rechtbank Amsterdam in de tweede vergeetrechtzaak in ons land. Artikelen laten blokkeren is een laatste redmiddel bij irrelevante en overmatige zoekresultaten, geen alternatief kanaal voor als een nieuwsbericht je niet bevalt.

In het vorige vonnis ging het om een vrij recente strafrechtelijke veroordeling in een ophefmakende zaak. Deze keer was het meer een tikje genânte privékwestie. De Telegraaf en enkele andere nieuwsmedia hadden gepubliceerd over een geschil met zijn aannemer, waardoor hij langer in een tijdelijke woning moest wonen en bij de Raad voor Arbitrage van de Bouw een zaak had aangespannen.

Die tijdelijke woning was met aangeplaatste containers voor extra ruimte, waar de Telegraaf van maakte dat hij een jaar in een container moest wonen. Een tikje tendentieus, bovendien waren volgens de topman diverse andere feiten uit de artikelen niet waar. En omdat hij het elke keer maar te horen kreeg (“Als zijn kinderen in een nieuwe klas of een nieuw hockeyteam komen”), was hij het nu zat: Google, blokkeer dit uit de zoekresultaten op mijn naam.

De rechter begint met terecht op te merken dat het vergeetrecht niet gaat over de vraag of een artikel rechtmatig is of niet. Als een artikel niet klopt, dan is de geëigende weg de plaatser daarvan aan te spreken en verwijdering te eisen. (Daarna gaat het ook bij Google wel weg immers.) Het vergeetrecht gaat alleen over de vraag of het nou echt nog nodig is dat een op zich legaal artikel nog steeds op pagina 1 van de zoekresultaten terecht komt.

Volgens Google wel:

[D]e publicaties zijn gedaan in een breder kader van verschillende financiële affaires rond KPMG en rond de discussie over de financiële moraal van topmannen uit het bedrijfsleven, waartoe eiser kan worden gerekend als partner bij KPMG. Zo heeft Google Inc ook gewezen op een artikel in De Telegraaf van 16 april 2014 over privé-investeringen van een aantal KPMG-partners, onder wie eiser. Daarnaast wijst Google Inc erop dat de artikelen zijn verschenen in verschillende prominente landelijke en lokale media. Die hebben ze kennelijk als ‘nieuws’ bestempeld, hetgeen voor Google Inc een belangrijke factor is bij het bepalen van de relevantie van een zoekterm. Zo waardeert zij een artikel in een landelijk dagblad hoger in relevantie dan een stukje op een persoonlijke blog.

De rechter vindt dit voldoende onderbouwing dat sprake is van relevante zoekresultaten, en daarmee gaat een beroep op het vergeetrecht niet op. Ik heb daar wel wat moeite mee. Iets is dus nieuws omdat er veel over geschreven wordt. Maar dat is toch een circulaire definitie? Neem een non-nieuwtje, laat dat rondzingen en hupla, het is nieuws. Ik moest denken aan dit Correspondent-artikel over “context collapse”:

‘Goedenavond dames en heren. Ergens is er iets aan de hand. Er wordt ook iets van gevonden. Of het waar is en wat het precies betekent, is nog niet bekend. Dit was het Journaal.’

Als dingen nieuws worden omdat iemand ergens er iets van vindt, hoe kun je in die situatie nog bepalen wat nieuws is en wat niet?

Ik weet het, ik weet het, iedere gecensureerde byte is in beginsel een bomaanslag op de vrijheid van meningsuiting maar dit voelt toch even net iets anders dan een veroordeelde misdadiger die artikelen over zijn misdrijf uitgepoetst wil hebben. Is het werkelijk nieuws, en moet dat werkelijk te vinden zijn?

Arnoud

Mag mijn werkgever Google Analytics op het intranet zetten?

Geplaatst op 23 januari 201523 januari 2015 in Ondernemingsvrijheid, Privacy, 10 reacties

google-analytics Een lezer vroeg me:

Onlangs viel me op dat ons intranet cookies van Google Analytics zet. Mijn manager zei dat dat gewoon mag omdat het om werkgerelateerde gegevens gaat en niet om privégerelateerde gegevens. Maar klopt dat wel?

Nou nee, niet helemaal. Met Google Analytics verzamel je gegevens over bezoekers van je website of intranet. Die gegevens zijn te herleiden tot specifieke individuen en dús zijn het persoonsgegevens waarop de Wet bescherming persoonsgegevens van toepassing is.

Hoofdregel is toestemming, maar voor werknemers is het best lastig om toestemming te geven aangezien de wet eist dat dit op vrijwillige basis gebeurt. En in principe kun je als werknemer geen vrijwillige toestemming geven als je werkgever iets vraagt, omdat er op de achtergrond áltijd de vage angst zal heersen “als ik dit niet doe, dan ontslaat hij me/krijg ik geen verhoging/promotie volgend jaar”.

Als werkgever kom je dan al snel uit bij de grond van noodzaak voor de (arbeids-)overeenkomst. Oftewel, ik moet deze gegevens wel verzamelen anders gaat het mis met het werk en/of kun jij je werk niet doen. Een rittenadministratie bijhouden of mensen laten in- en uitklokken valt hieronder. Maar is het echt net zo nodig om te monitoren hoe je intranet wordt gebruikt?

De trend is om social intranets in te zetten voor kennisdelen en contact houden tussen collega’s. Binnen die trend zou ik het verdedigbaar vinden om ook te willen monitoren hoe het intranet wordt gebruikt. Je moet immers kunnen inspelen op gebruikersgedrag.

Is er geen noodzaak voor het werk, dan is de enige redding nog de eigen dringende noodzaak die zwaarder weegt dan de privacy. Je moet dan als werkgever aantonen dat je eigenlijk niet anders kunt. Bij bijvoorbeeld een camera op het werk is dit de rechtvaardiging: ik móet het magazijn filmen want er wordt anders te veel gestolen. Ik móet wel met Analytics werken anders gaat er iets stúk, namelijk.. eh, nee die zie ik ook niet direct.

Beroep je je op zo’n dringende noodzaak dan moet je ook alles hebben gedaan om de privacy zo veel mogelijk beschermen. Er zal dus een privacyreglement moeten zijn dat uitlegt wat je doet en waarom, je moet de IP-adressen zo veel mogelijk verbergen en Google vertellen dat ze écht niets anders mogen doen met jouw Analyticsdata. En rapportages mogen niet op individueel niveau gedaan worden.

Oh ja. Er is een Vrijstelling Intranetten binnen de wet, maar die vrijstelling houdt alleen in dat je niet aan het Cbp hoeft te melden dat je gebruikersgegevens verwerkt via je intranet. Het wil niet zeggen dat als je het zo doet, je legáál handelt. Bovendien dekt die vrijstelling niet het monitoren met Google Analytics (of Piwik of wat dan ook).

Verder is hoe dan ook instemming van de Ondernemingsraad nodig (art. 27 Wet OR). Immers, het gaat om

k. een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen;

dan wel

l. een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen;

En bij al dergelijke regelingen is voorafgaande instemming verplicht. Ik gok zomaar dat de OR van de vraagsteller niet gevraagd is of Google Analytics op het intranet mag worden ingezet. Want dit is Hip en Leuk en gaan we doen. En ik snap dat ook wel, het ís ook gewoon handig en leuk zo’n tool. Maar ja. Die Wbp hè.

Arnoud

Als particulier de openbare weg filmen valt onder de privacywet

Geplaatst op 16 december 20148 december 2023 in Security, 29 reacties

Wie met een beveiligingscamera de openbare weg filmt, valt onder de privacywet (Wet bescherming persoonsgegevens) ook als hij dat als privépersoon doet. Dat bepaalde het Hof van Justitie vorige week. Je kunt je niet beroepen op de uitzondering voor “strikt privégebruik” en je moet dus een belangenafweging maken tussen jouw beveiligingsbelang en het belang van de mensen die voor je camera komen. Dat verbaast me toch een klein beetje.

Wie met een camera mensen filmt, verwerkt persoonsgegevens. Op foto- of filmbeelden zijn immers details over mensen te zien (tenzij je de camera heel hoog hangt, denk aan een stadsbeeldcamera) en per definitie spreek je dan van persoonsgegevens. Ook als je niet weet hoe de mensen heten of je ze kunt contacteren.

Dat is op zich een logische interpretatie maar het leidt wel tot allerlei onverwachte consequenties, zoals hier. Het betekent namelijk dat als je iemand filmt, je moet regelen onder de Wbp dat je dat mag. Toestemming vragen dus, een contract hebben met die mensen of een eigen dringend belang dat zwaarder weegt dan hun privacy.

De Wbp geldt niet voor gebruik van persoonsgegevens in de strikte privésfeer maar het Hof beslist hier dat daarvan geen sprake is als je de openbare ruimte filmt. Ik snap werkelijk niet waaróm, de motivatie is dat je dan “buiten de privésfeer geraakt van degene die door middel van dit systeem gegevens verwerkt”. Oftewel het is niet privé omdat het niet privé is. Wacht, wat. Maar álle verwerkingen raken toch aan de privacy van andere personen?

De onontkoombare conclusie is dus dat áls je dit doet, ook als privépersoon, dat je moet voldoen aan de hele mikmak aan eisen voor cameratoezicht en opslag van beelden. Je zult allereerst een dringende noodzaak moeten aantonen (waarom kun je niet anders dan een camera), je moet een reglement hebben, je moet mensen op verzoek een kopie van ‘hun’ beelden geven en je moet opslag van de beelden strikt beveiligen.

En mensen vragen zich nog steeds af waarom ik altijd zo denigrerend doe over de Wbp.

Hoe geef je toestemming tot meegluren aan je televisie?

Geplaatst op 28 november 201428 november 2014 in Privacy, 10 reacties

Via Twitter zag ik het screenshot rechts (klik voor vergroting) voorbij komen van Willem Karssenberg. Willem kreeg dit in beeld toen hij Ziggo on demand installeerde. Wij legen uw kijk en klikgedrag vast, ga hiermee akkoord want zo verbeteren wij onze producten en verhogen wij uw gebruiksgemak. Wacht, wat, we zaten toch televisie te kijken?

De vaste lezer weet ondertussen dat algemene voorwaarden in zo’n scrolvenster niet rechtsgeldig zijn. Je moet ze kunnen opslaan voor latere kennisname. En dat is hier onmogelijk – oké, je kunt een foto nemen maar dat is niet de bedoeling van de wetgever. Dat telt dus niet.

Echter, hier gaat het niet om algemene voorwaarden (aansprakelijkheid, gebruiksrecht, duur en opzegging, dat soort prullaria) maar om iets veel wezenlijkers: men wil toestemming om iets met je persoonsgegevens te mogen doen. En die toestemming moet volgens de wet in vrijheid worden gegeven. Een knop die je verplicht moet indrukken of vinkje dat je verplicht moet zetten (zoals bij algemene voorwaarden gebruikelijk is), is dus niet rechtsgeldig als het om privacygerelateerde zaken gaat.

Opmerkelijk genoeg is er geen aparte eis dat de informatie over wát er met die privacy gaat gebeuren, op te slaan moet zijn voor latere kennisname. Maar die informatie moet wel beschikbaar zijn, dus op zijn minst moet dit venster met uitleg ergens later terug te halen zijn zodat je nog eens kunt lezen of je dit wel wilt. En de toestemming moet intrekbaar zijn.

Op Twitter meldt de webcare dat het niet verplicht is om deze optie te gebruiken. Ik moet zeggen dat me dat verbaasde gezien de interface met uitsluitend een “akkoord”-knop, maar kennelijk is op “vorige” drukken hetzelfde als annuleren.

Arnoud