‘Mijn ouders krijgen een pushmelding van al mijn nieuwe cijfers’

| AE 10408 | Privacy | 35 reacties

Ouders kunnen het schoolgedrag van hun kind bijna real-time volgen via allerlei leerlingvolgsystemen als Magister of SOMtoday. Dat meldde de NOS onlangs. De leerlingvolgsystemen op middelbare scholen zijn bedoeld om ouders te informeren, maar het grijpt natuurlijk wel diep in op de privacy van de leerling die geen onvoldoende of spijbeluurtje meer kan verstoppen. Bovendien werkt het systeem ook zo voor zestienplussers en meerderjarige leerlingen, waardoor het wettelijk ook nog eens dubieus wordt.

Het basisidee is natuurlijk niet verkeerd. Het is handig dat leerlingprestaties worden bijgehouden, en omdat ouders graag willen weten hoe hun kind het doet, is het logisch om hen daar toegang toe te geven. Vroeger was dat wat ingewikkelder, bij rapporten lukte dat natuurlijk wel maar cijfers had je alleen op papier en om nou elke keer brieven te sturen, dat werkt niet.

Het gemak waarmee de informatie nu gedeeld wordt, leidt wel tot een andere manier van doen. Je signaleert als ouder veel eerder problemen, of dat nu een onvoldoende is of het feit dat je kind een les gemist heeft. Daardoor krijg je als kind veel meer controle over je heen, wat juist op de middelbareschoolleeftijd erg vervelend kan voelen.

Mag het? Dat is natuurlijk de grote vraag. Algemeen geldt dat ouders bij de opvoeding veel van hun kind mogen weten, maar wel rekening moeten houden met de privacy. Het dagboek lezen van je zeventienjarige dochter kan echt niet zomaar door de beugel, maar bij een zesjarige meekijken op de iPad is natuurlijk zeer gewenst. Bij schoolcijfers en afwezigheid geldt eigenlijk hetzelfde: is het relevant dat je dit weet en levert het geen onevenredige privacyschending op voor je kind?

Als we het onder de privacywet of AVG gaan bekijken, dan kom je eigenlijk vrijwel meteen bij dezelfde discussie uit. Wanneer een kind nog geen zestien is, geven de ouders toestemming voor verwerking van zijn persoonsgegevens. (We nemen maar even aan dat die hier netjes na afdoende uitleg specifiek is gevraagd en vrijwillig is gegeven. Niet lachen daar achterin.) Maar ook dan geldt dat de school niet meer mag doen dan redelijkerwijs nodig is voor het doel van de toestemming.

Wordt het kind zestien, dan moet het zelf die toestemming geven (artikel 5 Wbp en artikel 5 Uitvoeringswet AVG). En omdat toestemming vrijwillig gegeven moet worden, mag er dus vanuit de school noch vanuit de ouders druk worden uitgeoefend om dit te doen. Het lijkt erop dat er geen school is die dit doet. Sterker nog, in het NOS artikel is te lezen dat ook bij mensen van achttien (dus geen kind meer) deze gegevens naar hun ouders worden gestuurd. En dat kan natuurlijk écht niet door de beugel.

Wel vraag ik me nog af of je niet kunt zeggen, de verstrekking van deze informatie is gewoon nodig voor het onderwijs, een goede orde op school et cetera. Dan kom je AVG-technisch uit bij de grondslag “uitvoering overeenkomst”, alleen is voortgezet onderwijs volgens mij geen privaatrechtelijke overeenkomst. En dan houd je dus over het eigen legitiem belang van de school en/of de ouders, oftewel we kúnnen niet anders dan dit aan je ouders geven, en we menen dat dat belangrijker is dan jouw privacy. Ik denk niet dat dat snel standhoudt.

Update met dank aan Job Vos: wettelijk is vastgelegd (artikel 23b Wet voortgezet onderwijs) dat “Het bevoegd gezag rapporteert over de vorderingen van de leerlingen aan hun ouders, voogden of verzorgers, dan wel aan de leerlingen zelf indien zij meerderjarig en handelingsbekwaam zijn.” De grondslag is daarmee de wettelijke plicht, de school móet het melden. Hooguit kun je je dan nog afvragen of dat moet per pushbericht direct bij elk cijfer, of dat ook periodiek of bij zorgelijke ontwikkelingen pas gemeld wordt. Vandaar de streep door toestemming nodig.

Arnoud

Valt mijn account onder de fiscale bewaarplicht?

| AE 10363 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me:

Bij een webwinkel heb ik gevraagd mijn account te verwijderen, omdat ik er al tijden niets meer koop. Zij weigeren dit met het argument dat de gegevens nodig zijn voor de fiscale bewaarplicht. Klopt dat?

Iedere ondernemer is wettelijk verplicht zijn administratie 7 jaar te bewaren, zo omschrijft de Belastingdienst de fiscale bewaarplicht. Doel van deze wettelijke plicht is dat men daarmee je financiële positie en je transactiegeschiedenis als bedrijf kan achterhalen bij een boekencontrole. Daarom moet je onder meer je facturen en bijbehorende contracten bewaren, net als tussentijdse rekeningen en het kasboek.

Een webwinkel heeft vaak geen aparte stapel getekende aankoopbonnen en facturen, maar registreert dat in het account van de klant. Ook handig voor de klant, die kan dan zijn bestellingen terugzoeken en eventueel de factuur downloaden, bijvoorbeeld om een garantieclaim mee te onderbouwen.

Wanneer een onderneming elektronisch de aan- en verkopen registreert, vallen dergelijke gegevens onder die fiscale bewaarplicht. Die factuur in dat account van die klant moet dus bewaard worden, net als de ‘overeenkomst’, de registratie van de bestelling. Die informatie zit in het klantaccount maar valt nog steeds onder die fiscale bewaarplicht. Vanuit dat standpunt is het bewaren daarvan dus begrijpelijk.

Alleen, in een account kun je nog meer handige dingen doen, zoals je in- of uitschrijven voor de nieuwsbrief of dingen op je verlanglijstje zetten. Die informatie valt buiten de bewaarplicht, maar is persoonsgebonden en moet dus weg zodra deze niet meer van belang is.

Ook is het vaak mogelijk vanuit het account snel nieuwe bestellingen te doen, bijvoorbeeld met bewaarde betaalgegevens zoals een automatische incasso, een opgebouwd tegoed of een gekoppelde creditcard. Ook die mogelijkheid moet uit te schakelen zijn.

Voor webwinkeliers is het vanuit de software soms alles of niets: het hele account met alle gegevens kan weg, maar het is vaak niet mogelijk om te zeggen dat aankoophistorie en facturen wél maar interesseprofielen, betaalmogelijkheden en verlanglijstjes niét moeten worden bewaard. Die software is dan niet privacy by design, en dat maakt het problematisch deze verplichting goed na te komen.

Dit geldt natuurlijk ook voor andere diensten met accounts, maar je moet per dienst dan kijken wat er onder het account bewaard wordt en of dat fiscaal relevant is (of vanuit een andere wettelijke bewaarplicht). Bij een hoster zou ik bijvoorbeeld weinig meer verwachten dan facturen en dergelijke administratie, dus daar zou ik eerder het gehele account onder de bewaarplicht rekenen. Maar bij bijvoorbeeld een chatdienst of forum worden dingen gepubliceerd, en dat is natuurlijk totaal niet fiscaal van belang.

Meelezende webwinkeliers, hoe makkelijk is het in jullie software om accounts bijvoorbeeld onzichtbaar te maken maar wel de aankoophistorie met betaalinformatie te bewaren?

Arnoud

Wat moet ik doen als mijn klant me productiedata geeft om te testen?

| AE 10350 | Intellectuele rechten, Privacy, Security | 19 reacties

Een lezer vroeg me:

Wij ontwikkelen enterprisesoftware voor klanten, en testen deze uiteraard ook. Meestal ontvangen we daarvoor de testdata van de klant en soms zit daar ineens productiedata tussen inclusief persoonsgegevens. Zijn wij daarvoor aansprakelijk onder de GDPR?

Het is uiteraard een goed idee om software te testen alvorens je deze gebruikt, zeker wanneer die software persoonsgegevens gaat verwerken. Dergelijke software moet immers veilig zijn en voldoen aan de beginselen van privacy by design en privacy by default.

Goede testdata is daarbij van belang, maar is vaak moeilijk te krijgen. Daarom zie je regelmatig dat er toch met productiedata wordt getest, dat is dan de enige bron van een grote hoeveelheid uiteenlopende data waarmee genoeg aspecten getest kunnen worden.

Handig, maar erg problematisch: je weet immers per definitie nog niet of de software veilig is en wel privacytechnisch dichtgetimmerd is. Daarmee neem je als bedrijf (de klant dus van de vraagsteller) een serieus risico op datalekken. Bovendien moet je met je wederpartij (zoals de vraagsteller dus) een verwerkersovereenkomst sluiten waarin je de omgang met deze data expliciet reguleert, en dat wordt vaak vergeten want “het is maar om te testen”.

Het ontwikkelbedrijf zou ik adviseren om expliciet in de overeenkomsten op te nemen dat er géén productiedata wordt geleverd en al helemaal niets waar persoonsgegevens in zit. Een anti-verwerkersovereenkomst, zeg maar. Stuurt de klant die dan toch, dan heb je in ieder geval een sterk argument dat dit niet de bedoeling was. Uiteraard moet je dat bij ontdekking wel melden en die data vervolgens meteen wissen.

Arnoud

Mag onze vereniging onder de AVG wedstrijdgegevens aan de andere club geven?

| AE 9894 | Privacy | 29 reacties

Een lezer vroeg me: Bij onze schaakvereniging publiceren wij de wedstrijduitslagen inclusief namen van deelnemers op de site. Nu maakte een bezoeker daar bezwaar tegen, vandaar dat ik me nu afvraag hoe dit wettelijk zit, zeker onder de AVG die in mei van kracht wordt. Moeten wij toestemming vragen aan onze leden en hoe moeten… Lees verder

Minister pakt Russische site met privédocumenten van Nederlanders niet aan

| AE 9801 | Security | 10 reacties

Tegen de Russische website DocPlayer, die automatisch pdf-bestanden van internetgebruikers publiceert, wordt geen actie ondernomen. Dat meldde Nu.nl vorige week. De site publiceert 4,3 miljoen bestanden staan die door een computerprogramma worden verzameld en gepubliceerd. “Echter, het valt niet op voorhand te stellen dat deze gegevens illegaal verkregen zijn.” Want als ze uit openbare bronnen… Lees verder

AP gaat vragen stellen over reclameschermen met camera’s op stations

| AE 9656 | Privacy | 36 reacties

De Autoriteit Persoonsgegevens gaat vragen stellen aan de NS over reclameschermen van ExterionMedia die camera’s bevatten, meldde Tweakers eergisteren. Digitale reclameschermen van het bedrijf op stations bevatten camera’s waarmee wordt waargenomen of passanten naar de advertentie kijken. Daarover is veel discussie ontstaan: valt dat nu onder de privacywet of zijn het “alleen maar enen en… Lees verder

Wanneer is een ransomware-aanval eigenlijk een datalek?

| AE 9425 | Security | 10 reacties

Parkeerbedrijf Q-Park is onder de organisaties die zijn getroffen door de wereldwijde cyberaanval, meldde de NOS. Nou ja, cyberaanval: grootschalige ransomware-infectie. Wat onder meer de vraag via Twitter gaf: Dat is dus ook een geval van een #datalek omdat ze gegevens “kwijt” zijn toch @ictrecht ? Ook het verloren gaan van gegevens telt als datalek… Lees verder

Wat is het verschil tussen data delen en data verkopen?

| AE 9412 | Security | 10 reacties

Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens… Lees verder

Slimme vibrator met camera gekraakt door beveiligingsbedrijf

| AE 9362 | Privacy, Security | 29 reacties

De Svakom Siime Eye, een slimme vibrator met aan het uiteinde een camera, blijkt relatief eenvoudig te kunnen worden gemanipuleerd. Hierdoor zijn de gemaakte beelden ook op afstand door vreemden te bekijken, zo las ik bij Nu.nl na diverse tips (dank, iedereen). En ergens hoop ik dat dit faalproduct ten voorbeeld wordt gesteld aan alle… Lees verder