Eh, de fysieke inhoud van een gevonden portemonnee hoef je dus niet te vernietigen van de AVG

| AE 11544 | Privacy | 25 reacties

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij ons gaat rondzingen als we niet uitkijken. Immers, als je ongevraagd toegezonden persoonsgegevens, moet vernietigen, dan toch zeker ook met ongewenst aangetroffen fysieke dragers met die gegevens?

Een vuistregel bij juridische uitkomsten is, als de uitkomst absurd is dan is je redenering fout. De winkelketen (het Engelse Co-op) maakt dus een fout, maar waar gaat het mis? Je kunt het op twee manieren bekijken.

Allereerst puur de AVG: het in bezit nemen van een gevonden portemonnee met pasjes is nog geen verwerking van persoonsgegevens die onder de AVG valt. Het betreft hier immers geen elektronische verwerking, dus geldt de AVG alleen wanneer de gegevens bestemd zijn om (bij jou) in een bestand opgenomen te worden. En daar is geen sprake van, de kluis van de manager is geen bestand. De AVG stelt dus überhaupt geen eisen aan deze verwerking, laat staan de eis tot vernietiging.

Ook kun je zeggen dat dit gewoon mag van de AVG, want dit is in het belang van de eigenaar (artikel 6 lid 1 sub f AVG) en als je het ding gewoon in de kluis laat liggen dan zijn de risico’s voor de eigenaar minimaal, mag ik aannemen. Het ligt in de kluis. Natuurlijk, als je portemonnees bewaart op een plankje achter de kassa dan wordt dat anders maar dat is gewoon dom en moet je dus niet doen. (Soms is juristerij makkelijk.) Er is dus niet a priori een eis dat die pasjes meteen vernietigd moeten worden.

Ten tweede speelt er naast de AVG – als die dus al geldt – ook nog gewoon andere wetgeving, zoals dat het strafbaar is om andermans eigendom te vernietigen. Nu is er in het recht de regel dat jonger recht (zoals de AVG) wint van ouder recht (zoals het wetboek van strafrecht), en ook de regel dat hoger recht (Europees) boven lager recht (Nederlands) gaat. Maar die regels spelen pas bij een conflict, en dat conflict is er pas als de AVG ondubbelzinnig zou zeggen dat die pasjes vernietigd moeten worden. En dat doet de AVG dus niet.

Arnoud

De Spaanse Liga mag dus niet je microfoon inzetten om illegale voetbaluitzendingen te detecteren

| AE 11332 | Intellectuele rechten, Privacy | 3 reacties

De Spaanse voetbalbond heeft een boete van 250.000 euro gekregen van de toezichthouder vanwege overtreding van de AVG, meldde Tweakers vorige week. De app luistert met de microfoon mee om illegale voetbalstreams op te sporen aan de hand van voor mensen onhoorbare tonen in de sportuitzendingen. Hoewel de app daarmee niet direct mensen afluistert (althans iets doet met wat mensen zeggen) is dat toch een AVG-overtreding: niet privacy by design, want je kunt niet zien dat je microfoon staat op te nemen.

In juni 2018 kwam in het nieuws dat de Liga (de Spaanse voetbalbond) microfoons van telefooneigenaren met hun app erop had ingezet om onhoorbaar geluid op te vangen dat als watermerk in voetbaluitzendingen zit. Hiermee kan men illegale voetbaluitzendingen detecteren en zo een database opbouwen van locaties die wedstrijden uitzenden, zowel thuis als in cafés en andere gelegenheden. Als dan blijkt dat een locatie geen licentie heeft, dan kan daartegen worden opgetreden. Maar ondertussen sta je dus wel tienduizenden (of meer) microfoons van mensen te beluisteren.

De algemene voorwaarden vermelden expliciet dat dit gebeurt:

LaLiga will enable the microphone of your device, solely if you accept by checking the box enabled for htis purpose or the pop-up window emerging in the APP, to find out if you are watching football matches. This information shall be employed to detect fraud in unauthorized public establishments.

Ik zei toen, vanuit AVG- of privacyperspectief zie ik hier weinig mis mee, omdat het hier niet gáát om het vastleggen van persoonlijke informatie zoals wat je zegt of waar je bent terwijl je iets zegt. Maar de Spaanse Autoriteit Persoonsgegevens is toch wat strenger: je bent wél bezig met persoonlijke informatie, ook al is het bijvangst in je jacht naar de verborgen piepjes.

En vooral: dit is niet privacy by design, want mensen hebben niet dóór dat je die informatie aan het verzamelen bent. De AV zijn natuurlijk niet relevant, je moet dit duidelijk melden. En dan dus niet een verplichte popup (de standaardkeuze van een geërgerde developer die iets hoort over “je moet X van de wet”) maar nadenken over design, hoe je dit integreert in je app. Een icoontje dat je microfoon aan staat bijvoorbeeld. En zo moeilijk zou dat ook niet hoeven te zijn.

Arnoud

Kandidaat zijn zonder dat je het weet, mag dat?

| AE 11253 | Informatiemaatschappij | 18 reacties

Voor het radiospel ‘De Uitverkorene’ stuurt Qmusic een privédetective af op onbekende Nederlanders. Dat meldde RTL maandag. Het concept: een Nederlander wordt door een privédetective gevolgd. Wie de gelukkige denkt te zijn en dat raadt, wint 10.000 euro. De kandidaat-zonder-wil wordt gekozen op basis van een “goede daad” die hij eerder verricht heeft, maar wel eentje die Q-Music in scène heeft gezet. Het signalement wordt enigszins generiek opgebouwd en alleen op basis van gegevens verkregen in de openbare ruimte. Desondanks de vraag: huh, sinds wanneer mag dat?

“Je mag willekeurige personen gewoon observeren in het publieke. Het gebeurt wel vaker, bijvoorbeeld in stalkingszaken.” aldus de verdediging van het programma in een notendop. Eh ja, maar dat is omdat er dan een zwaarwegend belang is, namelijk het vastleggen van stalkingsgedrag zodat je aangifte kunt doen. Een andere reden om mensen te observeren, is fraude bij bijvoorbeeld ziekmeldingen op te sporen. En zelfs bij het onderzoeken van zeg overspel in een relatie kan ik me nog wat voorstellen bij een zwaarwegend belang om dat te willen weten.

Hier gaat het echter om een zelfbedacht belang: men zet een “goede daad” in scène, zoals een portemonnee neerleggen die iemand dan opraapt en retourneert. En dan wil je vervolgens die persoon in het zonnetje zetten met een opsporingsbericht en een privédetective. Nee, daar vind ik dan toch wel wat van.

Hoe zou het dan wel moeten? Geen idee eerlijk gezegd. Ja, toestemming vragen aan de betrokkenen maar dan is de lol er wel een beetje af natuurlijk. De enige manier om dit te spelen is via de belangenafweging van de grondslag “eigen gerechtvaardigd belang”. En omdat het hier gaat om puur entertainment, kun je natuurlijk spreken van vrijheid van meningsuiting maar sterk zal dat niet zijn. Daarmee is het moeilijk het privacybelang van de kandidaten-in-spe te overrulen.

En ja, mensen worden gevolgd in het publiek domein, in het openbaar. Maar dat maakt niet uit bij privacy: die houdt niet op bij de voordeur. Ook op de openbare weg heb je recht op privacy, waaronder dus ook valt het structureel vastleggen van je persoonsgegevens met als doel deze in een televisieprogramma te gebruiken. De openbaarheid van de gegevens is een factor in die belangenafweging, maar geen doorslaggevende.

Arnoud

Wat kun je doen om na de Brexit Engelse bedrijven data te laten verwerken?

| AE 11082 | Privacy | 15 reacties

Ook het laatste voorstel vanuit het Verenigd Koninkrijk om tot een ordelijke Brexit te komen lijkt te zijn mislukt, las ik in diverse media. Daarmee wordt de kans reëel dat men op 29 maart geen overeenstemming heeft bereikt met de Europese Unie over het vertrek van het land. Dat riep bij diverse lezers de zenuwachtige… Lees verder

Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek

| AE 10995 | Privacy | 7 reacties

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens. Dat meldde Tweakers eerder deze week. Uber was te laat met het melden van een datalek, dat de gegevens van 174.000 Nederlandse klanten en chauffeurs betrof. De boete is lager dan je onder de AVG zou verwachten, maar dat komt omdat het… Lees verder

Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

| AE 10964 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA… Lees verder

Groningse telecomprovider weigert klantenbestand preventief aan politie te geven

| AE 10909 | Regulering | 10 reacties

Telecomproviders zijn verplicht om preventief de persoonlijke gegevens van alle klanten te overhandigen aan de politie, maar het Groningse Voys weigert dat. Dat las ik bij de NOS. Dit is ingegeven door eerder nieuws dat het zogeheten Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) niet altijd zorgvuldig omgaat met deze gegevens. Er is veel onduidelijkheid over de… Lees verder

‘Mijn ouders krijgen een pushmelding van al mijn nieuwe cijfers’

| AE 10408 | Privacy | 35 reacties

Ouders kunnen het schoolgedrag van hun kind bijna real-time volgen via allerlei leerlingvolgsystemen als Magister of SOMtoday. Dat meldde de NOS onlangs. De leerlingvolgsystemen op middelbare scholen zijn bedoeld om ouders te informeren, maar het grijpt natuurlijk wel diep in op de privacy van de leerling die geen onvoldoende of spijbeluurtje meer kan verstoppen. Bovendien… Lees verder

Valt mijn account onder de fiscale bewaarplicht?

| AE 10363 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me: Bij een webwinkel heb ik gevraagd mijn account te verwijderen, omdat ik er al tijden niets meer koop. Zij weigeren dit met het argument dat de gegevens nodig zijn voor de fiscale bewaarplicht. Klopt dat? Iedere ondernemer is wettelijk verplicht zijn administratie 7 jaar te bewaren, zo omschrijft de Belastingdienst de… Lees verder

Wat moet ik doen als mijn klant me productiedata geeft om te testen?

| AE 10350 | Intellectuele rechten, Privacy, Security | 19 reacties

Een lezer vroeg me: Wij ontwikkelen enterprisesoftware voor klanten, en testen deze uiteraard ook. Meestal ontvangen we daarvoor de testdata van de klant en soms zit daar ineens productiedata tussen inclusief persoonsgegevens. Zijn wij daarvoor aansprakelijk onder de GDPR? Het is uiteraard een goed idee om software te testen alvorens je deze gebruikt, zeker wanneer… Lees verder