Eh, die meldplicht datalekken is dus voor het brakke bedrijf zelf, niet voor de ontdekker

| AE 12009 | Privacy | Er zijn nog geen reacties

Vele lezers vroegen me variaties op deze vraag:

Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vulmaarin] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens?

Er is geen algemene meldplicht dat wanneer je ergens een datalek aantreft, je dit moet melden bij de Autoriteit Persoonsgegevens. Sterker nog, er is op papier zelfs geen enkele reden om dat te doen. (Dit is anders dan bij aangifte van strafbare feiten, die iedereen mag doen die daar kennis van heeft.)

Inderdaad kent de AVG een meldplicht datalekken. Maar die geldt alleen voor verwerkingsverantwoordelijken die zélf een datalek hebben, niet voor partijen die elders een datalek ontdekken. Als je dus bij die [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt, dan is het dus genoeg om bij die partij een melding te doen (bij voorkeur bij de functionaris gegevensbescherming, als die er is) en dan moeten zij het zelf oppakken.

Dit geldt ook als je leverancier, partner of andere zakenrelatie van die [klant|leverancier|kennis|willekeurige website|app] bent. Mogelijk ben je dan een verwerker namens hen. Het ligt dan nog sterker: dan ben je juridisch gezien verplicht een melding te doen, maar ook dan moet het bij de verwerkingsverantwoordelijke. Als verwerker stap je niet naar de AP maar naar de klant dus. En ook dan moet de klant het oppakken en de melding doen bij de AP.

Heb je het idee dat die klant het niet goed oppakt, of weet je niet waar deze te bereiken, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen. Daarin beschrijf je dan het vermoedelijke datalek en het wat en hoe dat je hebt gevonden. Zij kunnen dat dan vergelijken met het datalek zoals dat een paar dagen later (hopelijk) wordt gemeld, of een onderzoek starten om zelf vast te stellen of er een datalek is geweest.

Natuurlijk kun je ook een journalist raadplegen. Een datalek bij een bedrijf of populaire internetdienst is al snel nieuwswaardig, en een journalist weet hoe je daar zorgvuldig bericht van doet (inclusief melden bij het bedrijf zelf). Bovendien kan een journalist je bronbescherming geven.

Arnoud

Studentenraad klaagt UvA aan wegens gebruik surveillancesoftware

| AE 11983 | Innovatie, Privacy | 8 reacties

De Centrale Studentenraad van de UvA stapt naar de rechter vanwege het gebruik van het surveillanceprogramma Proctorio. Dat las ik bij Tweakers. De CSr ziet de maatregel als een te vergaande inbreuk op het privéleven van studenten, omdat die bij tentamens dan hun hele hebben en houden thuis moeten onthullen en niet-transparante software van een Amerikaanse leverancier installeren, alles op straffe van een jaar studievertraging. Met een kort geding hoopt men dit alles tegen te kunnen houden. De UvA zet daar tegenover dat er niet echt een alternatief is; je kunt niet ineens iedereen openboektentamens of vrije opdrachten geven. Dus ja, wat nu.

Al eerder blogde ik over protesten van studenten tegen tentamensoftware. Dat wordt dan altijd samengevat als “inbreuk op de privacy”, en dat roept dan weer makkelijke tegenargumenten op zoals “in de tentamenzaal mag je ook bekeken worden” of “je kunt toch een laken over je bed trekken als je niet wil dat de surveillant je matras ziet”. Ik blijf er dus bij dat het geen privacydiscussie is, maar dat het gaat over hoe je het beste afstandsonderwijs moet gaan uitvoeren.

Maar goed, hoe je onderwijs uitvoert dat is uiteindelijk een keuze van de universiteit en niet iets dat de rechter ter discussie gaat stellen. Bij de rechter moet je met formele argumenten komen, zoals dat de AVG wordt overtreden of dat het besluit tot proctoring in strijd met de regels is genomen. Helaas staat de dagvaarding niet online, zodat ik niet kan zeggen welke argumenten de Studentenraad morgen bij de zitting ter tafel gaat brengen.

Onder de AVG komt de discussie neer over de vraag of het gerechtvaardigd belang als grondslag kan dienen. Dan moet je kort gezegd privacy van studenten afwegen tegen de belangen van de universiteit, waarbij de universiteit verliest tenzij ze kan bewijzen dat haar belangen écht de doorslag moeten geven. Juristen gooien dan met de begrippen noodzakelijkheid, proportionaliteit en subsidiariteit – moet het echt, kan het niet een onsje minder en kan het niet anders. Dan kom je dus uit bij die vraag of er alternatieve tentamenmogelijkheden zijn, of de proctoring echt op het niveau van eyetracking moet zijn of dat enkel een screencapturevideo genoeg is en waarom het noodzakelijk is als je ook tentamenzalen hebt waar men toch al op twee meter afstand van elkaar zit.

(In de AVG staat bij dit artikel nog dat overheidsorganen -waaronder universiteiten vallen- geen gebruik mogen maken van deze grondslag bij de uitoefening van hun publieke taak. Ik denk dat dat hier geen probleem is; de universiteit creëert hier niet stiekem een nieuwe publieke bevoegdheid maar vult de implementatie van een bestaande taak in. Maar dit komt hopelijk bij het kort geding uitgebreid aan bod.)

Dat van die Amerikaanse leverancier vind ik nog de lastigste. Ja, Proctorio heeft ook een Duitse vestiging en er is een keurige verwerkersovereenkomst en de FAQ van de UVA spreekt duidelijke taal. Alleen: je krijgt desondanks algemene voorwaarden en een privacyverklaring ter akkoord voor je snufferd als je tentamen gaat maken. En daarin staat onder meer dat Proctorio zelf bij de data kan en dat “de-identified” kan gebruiken voor eigen doeleinden. Wat dus nogal raar is. Maar goed, ik houd moed: waarschijnlijk dacht iemand bij de implementatie dat je gebruikers akkoord moet laten gaan met een privacyverklaring (“want je moet het toch uitleggen”) en dan die van Proctorio zelf maar pakte. Dit is een vaak voorkomende fout; allereerst gá je niet akkoord met wat een voorlichtingsfolder zou moeten zijn en ten tweede behoort Proctorio in het geheel niet in beeld te zijn maar uitsluitend de universiteit zelf.

Ik denk dat ik als student minder moeite zou hebben met dat ze mijn kamer bekijken (ik stop het inderdaad wel in dozen, of leg juist een provocerend object pontificaal in beeld) dan met dat al die informatie gratis naar zo’n Amerikaanse partij met eigen definitie van “anonieme gegevens” zou gaan. Dat is niet waarvoor ik me inschreef, volgens mij.

Arnoud

Oma moet van rechter foto’s kleinkinderen van social media verwijderen

| AE 11949 | Privacy | 18 reacties

Een oma moet de foto’s die ze van haar kleinkinderen op Facebook en Pinterest heeft geplaatst verwijderen, omdat dit zonder toestemming van de moeder gebeurde. Dat las ik bij Security.nl. Dit is weer zo’n vonnis dat tot vele misverstanden en broodjeaapverhalen gaat leiden. In de kern komt het (niet verrassend) erop neer dat als je iets publiceert op internet, je onder de AVG valt en dat als je geen goed verhaal hebt waarom je mag publiceren, je fout zit omdat je dan niet eens toestemming hebt gevraagd. Maar wie nu harde regels concludeert als “oma’s hebben toestemming nodig voor kleinkindfoto’s”, die zitten minstens zo fout.

De vrouw en haar dochter hebben vanwege een ruzie al ruim een jaar geen contact meer met elkaar. De dochter heeft drie minderjarige kinderen, waarvan de oma dus foto’s op Facebook en Pinterest publiceerde. De moeder maakte daar bezwaar tegen omdat zij nooit toestemming had gegeven. Ook de vader had aangegeven niet te willen dat de oma dit deed.

Toen zij desondanks daarmee door bleef gaan, stapte de dochter naar de rechter. Ze hanteerde daarbij de AVG als vordering, omdat een publicatie van een foto immers telt als een verwerking van persoonsgegevens onder die wet. En je kunt er veel sneller mee rondkomen dan de klassieke vordering op grond van schending portretrecht.

Voor juristen is het totaal niet vreemd dat een publicatie van informatie over iemand op internet telt als “verwerking van persoonsgegevens”. Dat weten we al sinds 2003, toen het Hof van Justitie bepaalde dat “Deze bijeenkomst gaat niet door omdat mevrouw Lindqvist haar been gebroken heeft” op je website zetten onder de Wbp valt. Maar omdat de Wbp geen tanden had, trok niemand zich daar wat van aan.

De AVG heeft wél tanden, ook privaatrechtelijk: een verbod met dwangsom of een schadeclaim zijn prima te eisen. En deze wet heeft een brede scope. Een belangrijke uitzondering is daarbij wel de zuiver huishoudelijke en persoonlijke verwerking, zeg maar je eigen adresboek of digitale fotomap. Die valt buiten de AVG. Alleen kun je je afvragen of een publicatie op internet nog wel “persoonlijk” is, als willekeurige anderen deze kunnen zien. Daar had de oma niets over gezegd, het was niet duidelijk hoe afgeschermd de foto’s waren. En dan ga je als rechter maar uit van “ze zijn publiek” en dan val je dus buiten de uitzondering.

Dan gaat het mis:

In de UAVG is bepaald dat voor het plaatsen van foto’s van minderjarigen, die de leeftijd van 16 jaren nog niet hebben bereikt, toestemming van hun wettelijke vertegenwoordiger(s) is vereist.

Dat is niet wat in de UAVG staat en het is een van de hardnekkigste misverstanden. Artikel 5 UAVG zegt dat als toestemming nodig is, je bij minderjarigen toestemming van de ouders moet hebben. En dat is nadrukkelijk wat anders dan dat toestemming nodig is voor een verwerking. De AVG kent immers zes grondslagen, niet alleen de grondslag toestemming. Als jij een rechtsgeldige overeenkomst met een minderjarige hebt en daarvoor is verwerking van zijn persoonsgegevens nodig, dan is ouderlijke toestemming voor die verwerking niet aan de orde. (Concreet: een kind van 12 bestelt bij jou een doos Lego en jij geeft zijn adresgegevens aan PostNL voor het vervoer. Ouderlijke toestemming niet nodig, niet voor de verwerking en niet voor de bestelling an sich.)

Het is natuurlijk wel een vraag welke grondslag de oma dan had kunnen aanvoeren. De enige optie zou het eigen gerechtvaardigd belang zijn, wat neerkomt op dat oma een journalistiek belang zou inroepen (“verspreiding van feiten, ideeën en opvattingen”, niet voorbehouden aan media-organisaties). Maar zelfs bij een hardnekkig pleitbevechter voor een ruimhartige journalistieke exceptie in de AVG als ik zie ik niet hoe publicatie van die foto belangrijker is dan de privacy van het kind. In ieder geval niet in deze situatie waarin er kennelijk ook een ouder-kind conflict is.

Arnoud

Inderdaad, bescherming van persoonsgegevens gaat over veel meer dan privacy

| AE 11887 | Informatiemaatschappij, Privacy | 8 reacties

Maar pas deze week zag ik welk fundamenteel maatschappelijk misverstand door dat rare begrip ‘privacy’ is ontstaan. Dat schreef Maxim Februari vorige week in NRC Handelsblad. Hij noemt het een ‘gruwelijk misverstand’ dat het steeds maar over de private kwestie van privacy gaat – de omgang met persoonsgegevens is een kwestie van algemeen belang. Het… Lees verder

Volgens mij bestaat “echt geanonimiseerde data” helemaal niet bij locatiedata, maar goed

| AE 11846 | Privacy, Regulering | 12 reacties

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op echt geanonimiseerde data, las ik bij Security.nl. Deze citeert de Europese privacytoezichthouder (EDPS) die daarmee reageert op plannen van de Europese Commissie om mobiele locatiegegevens in de strijd tegen het coronavirus te gebruiken. Het punt is namelijk dat locatiedata van mensen geldt als persoonsgegevens, maar… Lees verder

Heb ik recht op een kopie van mijn oude werkmailbox?

| AE 11797 | Ondernemingsvrijheid, Privacy | 11 reacties

Een lezer vroeg me: Ik heb de afgelopen 10 jaar bij 6 werkgevers gewerkt. Graag zou ik een kopie van mijn persoonlijke emailboxen bij deze bedrijven willen. Het gaat hier om outlook pst bestanden. Het gaat dus om een kopie van mijn persoonlijke zakelijke mailbox bij de betreffende ex-werkgevers. Hoe kan ik dat onder de… Lees verder

Avast verkoopt data van gebruikers gratis antivirussoftware onder pseudoniem

| AE 11747 | Ondernemingsvrijheid, Privacy | 8 reacties

Beveiligingsbedrijf Avast verkoopt op grote schaal gepseudonimiseerde data van gebruikers van de gratis versie aan adverteerders. Dat meldde Tweakers vorige maand. Het gaat onder andere om de browsegeschiedenis, die onder andere aan grote bedrijven zoals Google, Microsoft, Pepsi en McKinsey wordt verkocht. Na enige herrie stopt men daarmee, want “Mensen beschermen is onze topprioriteit en… Lees verder

Huh, afpersen is niet verboden als je dreigt met openbaarmaking?

| AE 11711 | Privacy, Regulering | 16 reacties

Af en toe kom je gekke zaken tegen als je op ‘internet’ zoekt op Rechtspraak.nl. Zo ook deze zaak over een relatief simpele afpersing zo lijkt het: een man breekt in bij een bedrijf, kopieert persoonsgegevens en eist bitcoins anders zal hij deze openbaar maken. Je zou zeggen dat dat strafbaar is, en omdat hij… Lees verder

Hongarije geeft Facebook miljoenenboete voor pretenderen gratis te zijn

| AE 11654 | Ondernemingsvrijheid | 7 reacties

De Hongaarse concurrentiewaakhond Hungarian Competition Authority heeft een boete uitgedeeld aan Facebook voor het pretenderen een gratis dienst te zijn. Dat las ik bij Nu.nl. De boete bedraagt ruim 3,5 miljoen euro en is gebaseerd op het idee dat je betaalt met je persoonsgegevens, als ik de bron Bloomberg goed begrijp (mijn Hongaars is wat… Lees verder

Eh, de fysieke inhoud van een gevonden portemonnee hoef je dus niet te vernietigen van de AVG

| AE 11544 | Privacy | 25 reacties

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij… Lees verder