De Spaanse Liga mag dus niet je microfoon inzetten om illegale voetbaluitzendingen te detecteren

| AE 11332 | Intellectuele rechten, Privacy | 3 reacties

De Spaanse voetbalbond heeft een boete van 250.000 euro gekregen van de toezichthouder vanwege overtreding van de AVG, meldde Tweakers vorige week. De app luistert met de microfoon mee om illegale voetbalstreams op te sporen aan de hand van voor mensen onhoorbare tonen in de sportuitzendingen. Hoewel de app daarmee niet direct mensen afluistert (althans iets doet met wat mensen zeggen) is dat toch een AVG-overtreding: niet privacy by design, want je kunt niet zien dat je microfoon staat op te nemen.

In juni 2018 kwam in het nieuws dat de Liga (de Spaanse voetbalbond) microfoons van telefooneigenaren met hun app erop had ingezet om onhoorbaar geluid op te vangen dat als watermerk in voetbaluitzendingen zit. Hiermee kan men illegale voetbaluitzendingen detecteren en zo een database opbouwen van locaties die wedstrijden uitzenden, zowel thuis als in cafés en andere gelegenheden. Als dan blijkt dat een locatie geen licentie heeft, dan kan daartegen worden opgetreden. Maar ondertussen sta je dus wel tienduizenden (of meer) microfoons van mensen te beluisteren.

De algemene voorwaarden vermelden expliciet dat dit gebeurt:

LaLiga will enable the microphone of your device, solely if you accept by checking the box enabled for htis purpose or the pop-up window emerging in the APP, to find out if you are watching football matches. This information shall be employed to detect fraud in unauthorized public establishments.

Ik zei toen, vanuit AVG- of privacyperspectief zie ik hier weinig mis mee, omdat het hier niet gáát om het vastleggen van persoonlijke informatie zoals wat je zegt of waar je bent terwijl je iets zegt. Maar de Spaanse Autoriteit Persoonsgegevens is toch wat strenger: je bent wél bezig met persoonlijke informatie, ook al is het bijvangst in je jacht naar de verborgen piepjes.

En vooral: dit is niet privacy by design, want mensen hebben niet dóór dat je die informatie aan het verzamelen bent. De AV zijn natuurlijk niet relevant, je moet dit duidelijk melden. En dan dus niet een verplichte popup (de standaardkeuze van een geërgerde developer die iets hoort over “je moet X van de wet”) maar nadenken over design, hoe je dit integreert in je app. Een icoontje dat je microfoon aan staat bijvoorbeeld. En zo moeilijk zou dat ook niet hoeven te zijn.

Arnoud

Kandidaat zijn zonder dat je het weet, mag dat?

| AE 11253 | Informatiemaatschappij | 18 reacties

Voor het radiospel ‘De Uitverkorene’ stuurt Qmusic een privédetective af op onbekende Nederlanders. Dat meldde RTL maandag. Het concept: een Nederlander wordt door een privédetective gevolgd. Wie de gelukkige denkt te zijn en dat raadt, wint 10.000 euro. De kandidaat-zonder-wil wordt gekozen op basis van een “goede daad” die hij eerder verricht heeft, maar wel eentje die Q-Music in scène heeft gezet. Het signalement wordt enigszins generiek opgebouwd en alleen op basis van gegevens verkregen in de openbare ruimte. Desondanks de vraag: huh, sinds wanneer mag dat?

“Je mag willekeurige personen gewoon observeren in het publieke. Het gebeurt wel vaker, bijvoorbeeld in stalkingszaken.” aldus de verdediging van het programma in een notendop. Eh ja, maar dat is omdat er dan een zwaarwegend belang is, namelijk het vastleggen van stalkingsgedrag zodat je aangifte kunt doen. Een andere reden om mensen te observeren, is fraude bij bijvoorbeeld ziekmeldingen op te sporen. En zelfs bij het onderzoeken van zeg overspel in een relatie kan ik me nog wat voorstellen bij een zwaarwegend belang om dat te willen weten.

Hier gaat het echter om een zelfbedacht belang: men zet een “goede daad” in scène, zoals een portemonnee neerleggen die iemand dan opraapt en retourneert. En dan wil je vervolgens die persoon in het zonnetje zetten met een opsporingsbericht en een privédetective. Nee, daar vind ik dan toch wel wat van.

Hoe zou het dan wel moeten? Geen idee eerlijk gezegd. Ja, toestemming vragen aan de betrokkenen maar dan is de lol er wel een beetje af natuurlijk. De enige manier om dit te spelen is via de belangenafweging van de grondslag “eigen gerechtvaardigd belang”. En omdat het hier gaat om puur entertainment, kun je natuurlijk spreken van vrijheid van meningsuiting maar sterk zal dat niet zijn. Daarmee is het moeilijk het privacybelang van de kandidaten-in-spe te overrulen.

En ja, mensen worden gevolgd in het publiek domein, in het openbaar. Maar dat maakt niet uit bij privacy: die houdt niet op bij de voordeur. Ook op de openbare weg heb je recht op privacy, waaronder dus ook valt het structureel vastleggen van je persoonsgegevens met als doel deze in een televisieprogramma te gebruiken. De openbaarheid van de gegevens is een factor in die belangenafweging, maar geen doorslaggevende.

Arnoud

Wat kun je doen om na de Brexit Engelse bedrijven data te laten verwerken?

| AE 11082 | Privacy | 15 reacties

Ook het laatste voorstel vanuit het Verenigd Koninkrijk om tot een ordelijke Brexit te komen lijkt te zijn mislukt, las ik in diverse media. Daarmee wordt de kans reëel dat men op 29 maart geen overeenstemming heeft bereikt met de Europese Unie over het vertrek van het land. Dat riep bij diverse lezers de zenuwachtige vraag op, mag ik dan nog wel persoonsgegevens bij Engelse (of Schotse of Welshe) bedrijven laten verwerken? Immers, zonder regeling is het VK straks gewoon een “derde land” en daar mag je eigenlijk geen persoonsgegevens stallen.

Onder de AVG zijn de regels voor opslag van persoonsgegevens buiten de Europese Economische Ruimte (de EU plus Liechtenstein, Noorwegen en IJsland) erg streng. Het onderliggende argument is dat deze landen geen fatsoenlijke wetgeving rondom persoonsgegevens hebben, en daarom die gegevens van Europese burgers gewoon niet moeten krijgen. Uitzonderingen daargelaten: twaalf landen zijn erkend als adequaat op dit gebied, en Japan is vlakbij erkenning. Met die landen kun je dus gewoon zaken doen rondom persoonsgegevens.

Voor andere landen ligt het ingewikkelder. Hoofdstuk V van de AVG noemt vele opties, maar de eisen zijn behoorlijk streng. Praktisch gezien zijn er twee werkbare opties: de uitdrukkelijke specifieke toestemming van de betrokken personen, en de zogeheten modelclausules als basis voor een overeenkomst met je Engelse bedrijf.

Toestemming. Artikel 49 AVG biedt deze optie, maar kleedt ‘m zo zwaar in dat het eigenlijk niets oplevert:

a) de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen;

Even voor de duidelijkheid: hier staat niet dat je mag werken met een popup met vinkje “Ik ben akkoord met opslag van mijn gegevens in Londen”. Je moet een uitdrukkelijke handeling of verklaring halen en je moet kunnen bewijzen dat je mensen in eenvoudige en duidelijke taal (taalniveau B2, de folder bij de apotheek) hebt uitgelegd wat de risico’s zijn als hun gegevens in Engeland opslaat of een Engelse verwerker er mee aan de slag laat gaan.

Het zou flauw zijn om nu te zeggen, leg zelf maar eens uit wat die risico’s zijn. Maar ingewikkeld is het wel. In de kern komt het erop neer dat je niet kunt voorkomen dat die Engelse bedrijven die je erbij betrekt, andere dingen doen dan van de AVG/GDPR mogen. En dan heb ik het niet alleen over stiekeme toegang door overheidsdiensten zoals MI5 of Special Branch, maar ook over datahandel door die bedrijven zelf. Er is geen fatsoenlijke privacywet daar, dus je weet gewoon niet wat die bedrijven vinden dat legaal is.

Natuurlijk kun je dan zeggen, ik ga een contract met ze maken waarin ik dat gewoon keihard verbied. Dat is juridisch alleen niet genoeg binnen deze optie, je moet nog steeds die voorlichting bieden. En vooral – mijn grootste bezwaar – tegen deze optie: mensen kunnen hun toestemming te allen tijde intrekken. Dat maakt werken op deze basis erg wankel.

Werken met de zogeheten Model Clauses is dan ook volgens mij de enige reële optie. Je maakt dan een speciaal contract waarin in strenge taal (door de EU opgesteld en goedgekeurd) de Engelse partij allerlei plichten opgelegd krijgt over hoe om te gaan met persoonsgegevens, hoe te borgen dat jouw personeel of klanten hun rechten kunnen halen en hoe jij toezicht houdt op wat die Engelsen gaan doen.

Dit voelt als een redelijk papieren exercitie en dat is het natuurlijk ook. Maar het is wel iets om op papier mee verder te kunnen totdat de EU en het VK er werkelijk uit zijn. En dan hopen we maar dat dat binnen een jaar of twee bekeken is, want tegen die tijd zullen de model clauses sneuvelen vermoed ik gezien een rechtszaak van de onvermoeibare Max Schrems die tegen dit soort papieren tijgers ten strijde trekt.

De meer cynisch georiënteerde jurist zal dus zijn klanten eerder een vertrek uit het VK aanraden. Gebruik de model clauses als lapmiddel totdat je de migratie compleet hebt, maar heb een plan om weg te gaan op de kortst mogelijke termijn.

Arnoud

Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek

| AE 10995 | Privacy | 7 reacties

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens. Dat meldde Tweakers eerder deze week. Uber was te laat met het melden van een datalek, dat de gegevens van 174.000 Nederlandse klanten en chauffeurs betrof. De boete is lager dan je onder de AVG zou verwachten, maar dat komt omdat het… Lees verder

Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

| AE 10964 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA… Lees verder

Groningse telecomprovider weigert klantenbestand preventief aan politie te geven

| AE 10909 | Regulering | 10 reacties

Telecomproviders zijn verplicht om preventief de persoonlijke gegevens van alle klanten te overhandigen aan de politie, maar het Groningse Voys weigert dat. Dat las ik bij de NOS. Dit is ingegeven door eerder nieuws dat het zogeheten Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) niet altijd zorgvuldig omgaat met deze gegevens. Er is veel onduidelijkheid over de… Lees verder

‘Mijn ouders krijgen een pushmelding van al mijn nieuwe cijfers’

| AE 10408 | Privacy | 35 reacties

Ouders kunnen het schoolgedrag van hun kind bijna real-time volgen via allerlei leerlingvolgsystemen als Magister of SOMtoday. Dat meldde de NOS onlangs. De leerlingvolgsystemen op middelbare scholen zijn bedoeld om ouders te informeren, maar het grijpt natuurlijk wel diep in op de privacy van de leerling die geen onvoldoende of spijbeluurtje meer kan verstoppen. Bovendien… Lees verder

Valt mijn account onder de fiscale bewaarplicht?

| AE 10363 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me: Bij een webwinkel heb ik gevraagd mijn account te verwijderen, omdat ik er al tijden niets meer koop. Zij weigeren dit met het argument dat de gegevens nodig zijn voor de fiscale bewaarplicht. Klopt dat? Iedere ondernemer is wettelijk verplicht zijn administratie 7 jaar te bewaren, zo omschrijft de Belastingdienst de… Lees verder

Wat moet ik doen als mijn klant me productiedata geeft om te testen?

| AE 10350 | Intellectuele rechten, Privacy, Security | 19 reacties

Een lezer vroeg me: Wij ontwikkelen enterprisesoftware voor klanten, en testen deze uiteraard ook. Meestal ontvangen we daarvoor de testdata van de klant en soms zit daar ineens productiedata tussen inclusief persoonsgegevens. Zijn wij daarvoor aansprakelijk onder de GDPR? Het is uiteraard een goed idee om software te testen alvorens je deze gebruikt, zeker wanneer… Lees verder

Mag onze vereniging onder de AVG wedstrijdgegevens aan de andere club geven?

| AE 9894 | Privacy | 29 reacties

Een lezer vroeg me: Bij onze schaakvereniging publiceren wij de wedstrijduitslagen inclusief namen van deelnemers op de site. Nu maakte een bezoeker daar bezwaar tegen, vandaar dat ik me nu afvraag hoe dit wettelijk zit, zeker onder de AVG die in mei van kracht wordt. Moeten wij toestemming vragen aan onze leden en hoe moeten… Lees verder