Groningse telecomprovider weigert klantenbestand preventief aan politie te geven

| AE 10909 | Regulering | 8 reacties

Telecomproviders zijn verplicht om preventief de persoonlijke gegevens van alle klanten te overhandigen aan de politie, maar het Groningse Voys weigert dat. Dat las ik bij de NOS. Dit is ingegeven door eerder nieuws dat het zogeheten Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) niet altijd zorgvuldig omgaat met deze gegevens. Er is veel onduidelijkheid over de regels voor politie en Justitie, en de beveiliging ligt ook niet helemaal lekker. Maar het is ondertussen wel wettelijk verplicht.

Het CIOT is in 2000 ingesteld onder het Besluit verstrekking gegevens telecommunicatie. De kern is dat internetproviders elke dag basisgegevens over hun abonnees uploaden naar een centrale databank beheerd door dat Informatiepunt, waarna Justitie daar makkelijk centraal in kan graven bij een vermoeden van een misdrijf. De basisgegevens zijn kort gezegd naam en adres, IP-adressen en eventuele accountinformatie behorend bij een mailbox van de provider zelf.

Hiermee is het sneller schakelen voor de politie dan wanneer men elke keer een individueel bevel aan de provider moet geven, die dan moeilijk gaat doen en roepen dat er een gerechtelijk bevel moet komen. Dat is niet zo -iedere agent mag zonder bevel of machtiging dergelijke gegevens opvragen als dat in het belang van het onderzoek is- maar dat kost natuurlijk tijd en die wil je als politieagent niet hieraan verspillen.

Aanname achter het CIOT was natuurlijk wel dat de toegang goed geregeld wordt. Dit staat ook zo in het Besluit:

Een verzoek van de bevoegde autoriteit, bedoeld in artikel 3, tweede lid, kan slechts in het systeem worden ingevoerd door een door Onze Minister van Veiligheid en Justitie geautoriseerde ambtenaar die daartoe gebruik maakt van een hem toegekende toegangscode.

In de praktijk valt dat tegen. Er is ‘onduidelijkheid’ over de procedures, informatie wordt te lang bewaard en aan die toegangscontrole schort het nogal. Daarmee snap ik wel dat Voys besluit (en al zes jaar lang, volgens de NOS) om geen gegevens te verstrekken vanuit het privacybelang van haar klanten. Wat zeer loffelijk is.

Tegelijk, je bent wettelijk verplicht om aan het CIOT mee te werken. Doe je dat niet, dan kun je bestuursrechtelijk worden vervolgd met mogelijk hoge boetes in het vooruitzicht. Gezien de periode van zes jaar waarin Voys al niet meewerkt, lijkt het onwaarschijnlijk dat dit er nu van gaat komen. Jammer, het zou een interessante vraag zijn wat er wint: de plicht om te doen wat de wet zegt, of de onredelijkheid van een wet die de verplichtingen voor de overheid niet waarmaakt.

Arnoud

‘Mijn ouders krijgen een pushmelding van al mijn nieuwe cijfers’

| AE 10408 | Privacy | 35 reacties

Ouders kunnen het schoolgedrag van hun kind bijna real-time volgen via allerlei leerlingvolgsystemen als Magister of SOMtoday. Dat meldde de NOS onlangs. De leerlingvolgsystemen op middelbare scholen zijn bedoeld om ouders te informeren, maar het grijpt natuurlijk wel diep in op de privacy van de leerling die geen onvoldoende of spijbeluurtje meer kan verstoppen. Bovendien werkt het systeem ook zo voor zestienplussers en meerderjarige leerlingen, waardoor het wettelijk ook nog eens dubieus wordt.

Het basisidee is natuurlijk niet verkeerd. Het is handig dat leerlingprestaties worden bijgehouden, en omdat ouders graag willen weten hoe hun kind het doet, is het logisch om hen daar toegang toe te geven. Vroeger was dat wat ingewikkelder, bij rapporten lukte dat natuurlijk wel maar cijfers had je alleen op papier en om nou elke keer brieven te sturen, dat werkt niet.

Het gemak waarmee de informatie nu gedeeld wordt, leidt wel tot een andere manier van doen. Je signaleert als ouder veel eerder problemen, of dat nu een onvoldoende is of het feit dat je kind een les gemist heeft. Daardoor krijg je als kind veel meer controle over je heen, wat juist op de middelbareschoolleeftijd erg vervelend kan voelen.

Mag het? Dat is natuurlijk de grote vraag. Algemeen geldt dat ouders bij de opvoeding veel van hun kind mogen weten, maar wel rekening moeten houden met de privacy. Het dagboek lezen van je zeventienjarige dochter kan echt niet zomaar door de beugel, maar bij een zesjarige meekijken op de iPad is natuurlijk zeer gewenst. Bij schoolcijfers en afwezigheid geldt eigenlijk hetzelfde: is het relevant dat je dit weet en levert het geen onevenredige privacyschending op voor je kind?

Als we het onder de privacywet of AVG gaan bekijken, dan kom je eigenlijk vrijwel meteen bij dezelfde discussie uit. Wanneer een kind nog geen zestien is, geven de ouders toestemming voor verwerking van zijn persoonsgegevens. (We nemen maar even aan dat die hier netjes na afdoende uitleg specifiek is gevraagd en vrijwillig is gegeven. Niet lachen daar achterin.) Maar ook dan geldt dat de school niet meer mag doen dan redelijkerwijs nodig is voor het doel van de toestemming.

Wordt het kind zestien, dan moet het zelf die toestemming geven (artikel 5 Wbp en artikel 5 Uitvoeringswet AVG). En omdat toestemming vrijwillig gegeven moet worden, mag er dus vanuit de school noch vanuit de ouders druk worden uitgeoefend om dit te doen. Het lijkt erop dat er geen school is die dit doet. Sterker nog, in het NOS artikel is te lezen dat ook bij mensen van achttien (dus geen kind meer) deze gegevens naar hun ouders worden gestuurd. En dat kan natuurlijk écht niet door de beugel.

Wel vraag ik me nog af of je niet kunt zeggen, de verstrekking van deze informatie is gewoon nodig voor het onderwijs, een goede orde op school et cetera. Dan kom je AVG-technisch uit bij de grondslag “uitvoering overeenkomst”, alleen is voortgezet onderwijs volgens mij geen privaatrechtelijke overeenkomst. En dan houd je dus over het eigen legitiem belang van de school en/of de ouders, oftewel we kúnnen niet anders dan dit aan je ouders geven, en we menen dat dat belangrijker is dan jouw privacy. Ik denk niet dat dat snel standhoudt.

Update met dank aan Job Vos: wettelijk is vastgelegd (artikel 23b Wet voortgezet onderwijs) dat “Het bevoegd gezag rapporteert over de vorderingen van de leerlingen aan hun ouders, voogden of verzorgers, dan wel aan de leerlingen zelf indien zij meerderjarig en handelingsbekwaam zijn.” De grondslag is daarmee de wettelijke plicht, de school móet het melden. Hooguit kun je je dan nog afvragen of dat moet per pushbericht direct bij elk cijfer, of dat ook periodiek of bij zorgelijke ontwikkelingen pas gemeld wordt. Vandaar de streep door toestemming nodig.

Arnoud

Valt mijn account onder de fiscale bewaarplicht?

| AE 10363 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me:

Bij een webwinkel heb ik gevraagd mijn account te verwijderen, omdat ik er al tijden niets meer koop. Zij weigeren dit met het argument dat de gegevens nodig zijn voor de fiscale bewaarplicht. Klopt dat?

Iedere ondernemer is wettelijk verplicht zijn administratie 7 jaar te bewaren, zo omschrijft de Belastingdienst de fiscale bewaarplicht. Doel van deze wettelijke plicht is dat men daarmee je financiële positie en je transactiegeschiedenis als bedrijf kan achterhalen bij een boekencontrole. Daarom moet je onder meer je facturen en bijbehorende contracten bewaren, net als tussentijdse rekeningen en het kasboek.

Een webwinkel heeft vaak geen aparte stapel getekende aankoopbonnen en facturen, maar registreert dat in het account van de klant. Ook handig voor de klant, die kan dan zijn bestellingen terugzoeken en eventueel de factuur downloaden, bijvoorbeeld om een garantieclaim mee te onderbouwen.

Wanneer een onderneming elektronisch de aan- en verkopen registreert, vallen dergelijke gegevens onder die fiscale bewaarplicht. Die factuur in dat account van die klant moet dus bewaard worden, net als de ‘overeenkomst’, de registratie van de bestelling. Die informatie zit in het klantaccount maar valt nog steeds onder die fiscale bewaarplicht. Vanuit dat standpunt is het bewaren daarvan dus begrijpelijk.

Alleen, in een account kun je nog meer handige dingen doen, zoals je in- of uitschrijven voor de nieuwsbrief of dingen op je verlanglijstje zetten. Die informatie valt buiten de bewaarplicht, maar is persoonsgebonden en moet dus weg zodra deze niet meer van belang is.

Ook is het vaak mogelijk vanuit het account snel nieuwe bestellingen te doen, bijvoorbeeld met bewaarde betaalgegevens zoals een automatische incasso, een opgebouwd tegoed of een gekoppelde creditcard. Ook die mogelijkheid moet uit te schakelen zijn.

Voor webwinkeliers is het vanuit de software soms alles of niets: het hele account met alle gegevens kan weg, maar het is vaak niet mogelijk om te zeggen dat aankoophistorie en facturen wél maar interesseprofielen, betaalmogelijkheden en verlanglijstjes niét moeten worden bewaard. Die software is dan niet privacy by design, en dat maakt het problematisch deze verplichting goed na te komen.

Dit geldt natuurlijk ook voor andere diensten met accounts, maar je moet per dienst dan kijken wat er onder het account bewaard wordt en of dat fiscaal relevant is (of vanuit een andere wettelijke bewaarplicht). Bij een hoster zou ik bijvoorbeeld weinig meer verwachten dan facturen en dergelijke administratie, dus daar zou ik eerder het gehele account onder de bewaarplicht rekenen. Maar bij bijvoorbeeld een chatdienst of forum worden dingen gepubliceerd, en dat is natuurlijk totaal niet fiscaal van belang.

Meelezende webwinkeliers, hoe makkelijk is het in jullie software om accounts bijvoorbeeld onzichtbaar te maken maar wel de aankoophistorie met betaalinformatie te bewaren?

Arnoud

Wat moet ik doen als mijn klant me productiedata geeft om te testen?

| AE 10350 | Intellectuele rechten, Privacy, Security | 19 reacties

Een lezer vroeg me: Wij ontwikkelen enterprisesoftware voor klanten, en testen deze uiteraard ook. Meestal ontvangen we daarvoor de testdata van de klant en soms zit daar ineens productiedata tussen inclusief persoonsgegevens. Zijn wij daarvoor aansprakelijk onder de GDPR? Het is uiteraard een goed idee om software te testen alvorens je deze gebruikt, zeker wanneer… Lees verder

Mag onze vereniging onder de AVG wedstrijdgegevens aan de andere club geven?

| AE 9894 | Privacy | 29 reacties

Een lezer vroeg me: Bij onze schaakvereniging publiceren wij de wedstrijduitslagen inclusief namen van deelnemers op de site. Nu maakte een bezoeker daar bezwaar tegen, vandaar dat ik me nu afvraag hoe dit wettelijk zit, zeker onder de AVG die in mei van kracht wordt. Moeten wij toestemming vragen aan onze leden en hoe moeten… Lees verder

Minister pakt Russische site met privédocumenten van Nederlanders niet aan

| AE 9801 | Security | 10 reacties

Tegen de Russische website DocPlayer, die automatisch pdf-bestanden van internetgebruikers publiceert, wordt geen actie ondernomen. Dat meldde Nu.nl vorige week. De site publiceert 4,3 miljoen bestanden staan die door een computerprogramma worden verzameld en gepubliceerd. “Echter, het valt niet op voorhand te stellen dat deze gegevens illegaal verkregen zijn.” Want als ze uit openbare bronnen… Lees verder

AP gaat vragen stellen over reclameschermen met camera’s op stations

| AE 9656 | Privacy | 36 reacties

De Autoriteit Persoonsgegevens gaat vragen stellen aan de NS over reclameschermen van ExterionMedia die camera’s bevatten, meldde Tweakers eergisteren. Digitale reclameschermen van het bedrijf op stations bevatten camera’s waarmee wordt waargenomen of passanten naar de advertentie kijken. Daarover is veel discussie ontstaan: valt dat nu onder de privacywet of zijn het “alleen maar enen en… Lees verder

Wanneer is een ransomware-aanval eigenlijk een datalek?

| AE 9425 | Security | 10 reacties

Parkeerbedrijf Q-Park is onder de organisaties die zijn getroffen door de wereldwijde cyberaanval, meldde de NOS. Nou ja, cyberaanval: grootschalige ransomware-infectie. Wat onder meer de vraag via Twitter gaf: Dat is dus ook een geval van een #datalek omdat ze gegevens “kwijt” zijn toch @ictrecht ? Ook het verloren gaan van gegevens telt als datalek… Lees verder

Wat is het verschil tussen data delen en data verkopen?

| AE 9412 | Security | 10 reacties

Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens… Lees verder