Oma moet van rechter foto’s kleinkinderen van social media verwijderen

| AE 11949 | Privacy | 18 reacties

Een oma moet de foto’s die ze van haar kleinkinderen op Facebook en Pinterest heeft geplaatst verwijderen, omdat dit zonder toestemming van de moeder gebeurde. Dat las ik bij Security.nl. Dit is weer zo’n vonnis dat tot vele misverstanden en broodjeaapverhalen gaat leiden. In de kern komt het (niet verrassend) erop neer dat als je iets publiceert op internet, je onder de AVG valt en dat als je geen goed verhaal hebt waarom je mag publiceren, je fout zit omdat je dan niet eens toestemming hebt gevraagd. Maar wie nu harde regels concludeert als “oma’s hebben toestemming nodig voor kleinkindfoto’s”, die zitten minstens zo fout.

De vrouw en haar dochter hebben vanwege een ruzie al ruim een jaar geen contact meer met elkaar. De dochter heeft drie minderjarige kinderen, waarvan de oma dus foto’s op Facebook en Pinterest publiceerde. De moeder maakte daar bezwaar tegen omdat zij nooit toestemming had gegeven. Ook de vader had aangegeven niet te willen dat de oma dit deed.

Toen zij desondanks daarmee door bleef gaan, stapte de dochter naar de rechter. Ze hanteerde daarbij de AVG als vordering, omdat een publicatie van een foto immers telt als een verwerking van persoonsgegevens onder die wet. En je kunt er veel sneller mee rondkomen dan de klassieke vordering op grond van schending portretrecht.

Voor juristen is het totaal niet vreemd dat een publicatie van informatie over iemand op internet telt als “verwerking van persoonsgegevens”. Dat weten we al sinds 2003, toen het Hof van Justitie bepaalde dat “Deze bijeenkomst gaat niet door omdat mevrouw Lindqvist haar been gebroken heeft” op je website zetten onder de Wbp valt. Maar omdat de Wbp geen tanden had, trok niemand zich daar wat van aan.

De AVG heeft wél tanden, ook privaatrechtelijk: een verbod met dwangsom of een schadeclaim zijn prima te eisen. En deze wet heeft een brede scope. Een belangrijke uitzondering is daarbij wel de zuiver huishoudelijke en persoonlijke verwerking, zeg maar je eigen adresboek of digitale fotomap. Die valt buiten de AVG. Alleen kun je je afvragen of een publicatie op internet nog wel “persoonlijk” is, als willekeurige anderen deze kunnen zien. Daar had de oma niets over gezegd, het was niet duidelijk hoe afgeschermd de foto’s waren. En dan ga je als rechter maar uit van “ze zijn publiek” en dan val je dus buiten de uitzondering.

Dan gaat het mis:

In de UAVG is bepaald dat voor het plaatsen van foto’s van minderjarigen, die de leeftijd van 16 jaren nog niet hebben bereikt, toestemming van hun wettelijke vertegenwoordiger(s) is vereist.

Dat is niet wat in de UAVG staat en het is een van de hardnekkigste misverstanden. Artikel 5 UAVG zegt dat als toestemming nodig is, je bij minderjarigen toestemming van de ouders moet hebben. En dat is nadrukkelijk wat anders dan dat toestemming nodig is voor een verwerking. De AVG kent immers zes grondslagen, niet alleen de grondslag toestemming. Als jij een rechtsgeldige overeenkomst met een minderjarige hebt en daarvoor is verwerking van zijn persoonsgegevens nodig, dan is ouderlijke toestemming voor die verwerking niet aan de orde. (Concreet: een kind van 12 bestelt bij jou een doos Lego en jij geeft zijn adresgegevens aan PostNL voor het vervoer. Ouderlijke toestemming niet nodig, niet voor de verwerking en niet voor de bestelling an sich.)

Het is natuurlijk wel een vraag welke grondslag de oma dan had kunnen aanvoeren. De enige optie zou het eigen gerechtvaardigd belang zijn, wat neerkomt op dat oma een journalistiek belang zou inroepen (“verspreiding van feiten, ideeën en opvattingen”, niet voorbehouden aan media-organisaties). Maar zelfs bij een hardnekkig pleitbevechter voor een ruimhartige journalistieke exceptie in de AVG als ik zie ik niet hoe publicatie van die foto belangrijker is dan de privacy van het kind. In ieder geval niet in deze situatie waarin er kennelijk ook een ouder-kind conflict is.

Arnoud

Inderdaad, bescherming van persoonsgegevens gaat over veel meer dan privacy

| AE 11887 | Informatiemaatschappij, Privacy | 8 reacties

Maar pas deze week zag ik welk fundamenteel maatschappelijk misverstand door dat rare begrip ‘privacy’ is ontstaan. Dat schreef Maxim Februari vorige week in NRC Handelsblad. Hij noemt het een ‘gruwelijk misverstand’ dat het steeds maar over de private kwestie van privacy gaat – de omgang met persoonsgegevens is een kwestie van algemeen belang. Het raakt het hart van de rechtsstaat. En dat is een gruwelijk goed punt, en maakt de discussie zó veel sterker.

De omgang met persoonsgegevens is natuurlijk altijd gebracht vanuit de context van privacy, meestal onder verwijzing naar artikel 8 EVRM waar inderdaad bescherming van je persoonlijke levenssfeer staat geregeld. Juristen maken dan het onderscheid tussen de klassieke of relationele privacy (met rust gelaten worden, jezelf kunnen zijn) en de informationele privacy (niet zomaar digitaal besnuffeld worden). De regels van de Wbp en nu de AVG zijn heel logisch in die context: ze regelen de informationele privacy, ze geven je rechten om te voorkomen dat je gegevens nodeloos worden gebruikt, dat fouten worden gemaakt die jou in je menszijn raken.

Echter. Privacy is een vrij breed begrip, heel flexibel ook. De discussie over het ‘waarom’ van zulke regels komt dan ook al snel uit bij “omdat je recht hebt op privacy”, en dat is dan een heel ongrijpbaar argument. Daar komt bij dat het vaak niet perse gáát over jezelf zijn, over met rust gelaten worden. Februari noemt het voorbeeld van de Belastingdienst die persoonsgegevens misbruikt in de toeslagenaffaire: dat was een ramp omdat aan onbetrouwbare data verregaande en foute conclusies werden verbonden, niet omdat mensen zonder respect voor hun gezinsleven werden behandeld. De Belastingdienst was niet transparant en niet eerlijk.

Dat zijn kwesties van algemeen belang, die raken aan hoe een rechtsstaat moet opereren. (En ja, ook hoe burgers onderling moeten opereren, ook naar elkaar toe heb je eerlijk te zijn.) Wie bestuurt, of wie afspraken maakt, moet zorgen dat hij kan rechtvaardigen wat hij vervolgens doet. Dat is waar het nu vaak misgaat: datamodellen zijn niet volledig of niet inzichtelijk, welke data wordt gebruikt of waarvoor is totaal niet transparant en tegen de conclusies kun je zelden wat doen.

Dát is het ongewenste aan misbruik van persoonsgegevens. Het gaat om eerlijkheid, een nette behandeling van iedereen. Algoritmes (pardon, datasets maar dat bekt minder lekker) inzetten om mensen te beoordelen is niet een individueel probleem maar een probleem van de maatschappij: het is niet netjes, zo willen we mensen niet behandelen.

Zoals ikelders las:

Data-gedreven technologie slaat sociale problemen plat. Het reduceert de werkelijkheid tot data zonder rekening te houden met de verschillende, rauwe, niet-kloppende, tegenstrijdige kanten.

Dat, veel meer dan “laat mij mezelf zijn”, is de kern van dataprotectie.

Arnoud

Volgens mij bestaat “echt geanonimiseerde data” helemaal niet bij locatiedata, maar goed

| AE 11846 | Privacy, Regulering | 12 reacties

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op echt geanonimiseerde data, las ik bij Security.nl. Deze citeert de Europese privacytoezichthouder (EDPS) die daarmee reageert op plannen van de Europese Commissie om mobiele locatiegegevens in de strijd tegen het coronavirus te gebruiken. Het punt is namelijk dat locatiedata van mensen geldt als persoonsgegevens, maar dat je wel die data grootschalig nodig hebt om een goede analyse te doen over verspreidingspatronen en dergelijke. En ja, in de AVG staat dat anonieme gegevens geen persoonsgegevens zijn. Maar het is vrijwel onmogelijk om data echt te anonimiseren. En wie denkt dat hij daarmee bezig is, is vrijwel altijd stiekem aan het pseudonimiseren.

Doel van de gegevensverzameling is verspreidingspatronen van het coronavirus in kaart te brengen. Omdat veel mensen rondlopen met mobiele telefoons, en telecomoperators daarmee in detail van de hele Europese bevolking de gangen kunnen reconstrueren (excuses als u zich nu in de koffie verslikt) is het voor de bestrijding van corona zeer nuttig om deze informatie te verkrijgen. Maar dergelijke gegevens zijn – terecht – in de AVG als persoonsgegevens aangemerkt, en kunnen dus niet zomaar even bijeengeharkt in een mega-Excel bestand (pardon, “in een big data cluster”) worden voor wat dan ook.

De EDPS is de toezichthouder op het equivalent van de AVG voor de Europese instanties. Deze heeft dus een advies uitgebracht dat zegt dat het mag als de data maar écht anoniem is. Want in de AVG (en in dat EU-equivalent) stat dat data die echt anoniem is, geen persoonsgegeven meer is. Nogal wiedes: data is echt anoniem als hij totaal niet meer tot een persoon te herleiden is, en dat is dus precies het tegenovergestelde van de definitie van een persoonsgegeven.

Het punt is natuurlijk dat het vrijwel onmogelijk is om zoiets te doen. Ja, natuurlijk denkt u meteen aan het weghalen van namen en 06/IMEI/sim-nummers maar dát is onder de AVG echt niet genoeg. De AVG noemt dat pseudonimiseren, je vervangt dan een naam door een zelfgekozen label. Maar dat is niet hetzelfde als anonimiseren, want je hebt dan nog steeds een gegeven over een persoon. Je weet alleen niet meer hoe die persoon heet (of je kunt hem niet meer bellen), maar het is nog steeds data over die persoon.

De EDPS geeft niet aan hoe dit probleem op te lossen. Ik zit er zelf ook best wel mee, volgens mij is het hier fundamenteel onmogelijk. Natuurlijk, geaggregeerde patronen zijn anoniem (want gaan niet over individuele personen) maar om die te maken moet je eerst de persoonsgebonden brondata hebben. En tot dat punt zit je dus gewoon met de AVG als telecomoperator. Het enige wat ik kan bedenken is dan ook dat die operators de bronbewerkingen doen en de Europese instanties vanaf daar verder gaan. Maar dat lijkt me minder effectief dan dat één organisatie direct (en alleen voor dit doel) met álle data aan de slag kan.

Arnoud

Heb ik recht op een kopie van mijn oude werkmailbox?

| AE 11797 | Ondernemingsvrijheid, Privacy | 11 reacties

Een lezer vroeg me: Ik heb de afgelopen 10 jaar bij 6 werkgevers gewerkt. Graag zou ik een kopie van mijn persoonlijke emailboxen bij deze bedrijven willen. Het gaat hier om outlook pst bestanden. Het gaat dus om een kopie van mijn persoonlijke zakelijke mailbox bij de betreffende ex-werkgevers. Hoe kan ik dat onder de… Lees verder

Avast verkoopt data van gebruikers gratis antivirussoftware onder pseudoniem

| AE 11747 | Ondernemingsvrijheid, Privacy | 8 reacties

Beveiligingsbedrijf Avast verkoopt op grote schaal gepseudonimiseerde data van gebruikers van de gratis versie aan adverteerders. Dat meldde Tweakers vorige maand. Het gaat onder andere om de browsegeschiedenis, die onder andere aan grote bedrijven zoals Google, Microsoft, Pepsi en McKinsey wordt verkocht. Na enige herrie stopt men daarmee, want “Mensen beschermen is onze topprioriteit en… Lees verder

Huh, afpersen is niet verboden als je dreigt met openbaarmaking?

| AE 11711 | Privacy, Regulering | 16 reacties

Af en toe kom je gekke zaken tegen als je op ‘internet’ zoekt op Rechtspraak.nl. Zo ook deze zaak over een relatief simpele afpersing zo lijkt het: een man breekt in bij een bedrijf, kopieert persoonsgegevens en eist bitcoins anders zal hij deze openbaar maken. Je zou zeggen dat dat strafbaar is, en omdat hij… Lees verder

Hongarije geeft Facebook miljoenenboete voor pretenderen gratis te zijn

| AE 11654 | Ondernemingsvrijheid | 7 reacties

De Hongaarse concurrentiewaakhond Hungarian Competition Authority heeft een boete uitgedeeld aan Facebook voor het pretenderen een gratis dienst te zijn. Dat las ik bij Nu.nl. De boete bedraagt ruim 3,5 miljoen euro en is gebaseerd op het idee dat je betaalt met je persoonsgegevens, als ik de bron Bloomberg goed begrijp (mijn Hongaars is wat… Lees verder

Eh, de fysieke inhoud van een gevonden portemonnee hoef je dus niet te vernietigen van de AVG

| AE 11544 | Privacy | 25 reacties

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij… Lees verder

De Spaanse Liga mag dus niet je microfoon inzetten om illegale voetbaluitzendingen te detecteren

| AE 11332 | Intellectuele rechten, Privacy | 3 reacties

De Spaanse voetbalbond heeft een boete van 250.000 euro gekregen van de toezichthouder vanwege overtreding van de AVG, meldde Tweakers vorige week. De app luistert met de microfoon mee om illegale voetbalstreams op te sporen aan de hand van voor mensen onhoorbare tonen in de sportuitzendingen. Hoewel de app daarmee niet direct mensen afluistert (althans… Lees verder

Kandidaat zijn zonder dat je het weet, mag dat?

| AE 11253 | Informatiemaatschappij | 18 reacties

Voor het radiospel ‘De Uitverkorene’ stuurt Qmusic een privédetective af op onbekende Nederlanders. Dat meldde RTL maandag. Het concept: een Nederlander wordt door een privédetective gevolgd. Wie de gelukkige denkt te zijn en dat raadt, wint 10.000 euro. De kandidaat-zonder-wil wordt gekozen op basis van een “goede daad” die hij eerder verricht heeft, maar wel… Lees verder