Mijn klant wil medische gegevens laten mailen, welke zorgplicht heb ik?

| AE 12804 | Privacy | 28 reacties

Een lezer vroeg me:

Ik ontwikkel een website voor een zorgverlener. Daarin zit ook een intake-formulier, waarin cliënten zich aanmelden en daarbij medische gegevens (bijvoorbeeld klachten of voorgeschiedenis) kunnen opgeven. De zorgverlener is een eenmanszaak en wil graag dat de gegevens naar hem gemaild worden vanuit het formulier. Ook moet de cliënt de optie krijgen om een kopie naar zichzelf te laten sturen ter bevestiging. Ik vind dat nogal onveilig, maar de klant staat erop. Hoe moet ik hiermee omgaan juridisch gezien?
De kern van de vraag is of e-mail wel een veilig medium is voor het transporteren van medische persoonsgegevens. De AVG stelt hoge eisen aan de beveiliging, en e-mail is natuurlijk niet inherent voorzien van de hoogste beveiliging. Het kan, maar je moet er wel je best voor doen. Denk aan situaties waarin de mailserver binnen hetzelfde domein draait als de website met het formulier, als die omgeving als geheel veilig is dan is natuurlijk dat mailtje ook beveiligd.

Vaak zie je echter dat men een oplossing inzet die voor ‘gewone’ bevestigingsmails (aanvraag offerte, inschrijving nieuwsbrief et cetera) gebruikt. De inhoud van het formulier wordt in een mailtje geplakt en via een standaardfunctie van je websitesoftware verstuurd. Ik zou dat een risico vinden, en daar dus aandringen op end-to-end encryptie of een gespecialiseerde oplossing. Een simpel alternatief kan zijn dat de medewerker een mailtje krijgt met een link naar de informatie, en dan moet inloggen op de backend van de website om de informatie te zien.

Specifiek bij de kopie naar de klant kan het anders liggen. Je kunt dan zeggen, de zorgvrager verzoekt met dat vinkje zelf om de kopie, en daarmee valt het versturen buiten de verantwoordelijkheid van de zorgaanbieder. Dan is er dus niets aan de hand. Alleen: weet de zorgvrager wel wat zhij vraagt met dat vinkje, of gaat die er vanuit dat de zorgaanbieder het veilig ingeregeld heeft? Dat laatste lijkt mij vrij waarschijnlijk. Bovendien ontkom je niet aan het feit dat de zorgaanbieder toch een en ander doet met die persoonsgegevens – en wel in opdracht, dus als verwerker namens de zorgvrager. En dan blijf je zitten met de beveiligingseisen.

Het lastige is natuurlijk dat e-mail over het algemeen wordt gezien als een handig en snel middel, en dat mensen de risico’s lastig kunnen inschatten. Want laten we wel wezen, de meeste mail infrastructuur is vandaag de dag voorzien van TLS verbindingen en stevige security op de transportservers. Het klassieke scenario dat iemand meeleest met de mail in transport, of een admin van een tussenliggende mailserver even koekeloert in de wachtrij lijkt mij ondertussen wel een beetje achterhaald. Maar met alleen het abstracte verhaal “je moet voorzichtig zijn met mail” kom je er niet als dienstverlener.

Wat is voor jullie het meest aansprekende risico dat je loopt met dit soort systemen?

Arnoud

Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR ‘ondermijnt’

| AE 12801 | Ondernemingsvrijheid, Privacy | 9 reacties

Het Oostenrijkse Hooggerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. Dat las ik bij Tweakers. De vraag draait om het verschil tussen toestemming en een contract als grondslag om persoonsgegevens te mogen verwerken. Sinds de AVG van kracht is, houdt Facebook namelijk vol dat mensen bij hen een dienst met gepersonaliseerde advertenties bestellen (als in: een daartoe strekkende overeenkomst sluiten) zodat je het niet over toestemming hoeft te hebben. Eh, wat.

De vragen van het Hof komen (hoe kan het ook anders) uit een rechtszaak die de privacyvoorvechters van None Of Your Business hebben aangespannen. NOYB verzet zich op alle mogelijke manieren tegen de Amerikaanse dataplundering van Facebook en consorten, en dan is dit een logische stap.

Facebook had in het verleden altijd gezegd dat het zich beriep op toestemming. Maar sinds de AVG is toestemming een heikele, zo niet onmogelijke grond om mee te werken: toestemming kan op ieder moment worden ingetrokken en dat mag geen vervelende consequenties hebben. Logisch dus dat de Facebook-juristen al snel bedachten dat je beter op uitvoering overeenkomst kon gaan zitten, want dat is niet zomaar intrekbaar. Besteld is besteld, zeg maar.

De vraag is alleen: wát is er dan besteld. Waren dat die advertenties (graag met een onsje extra personalisatie en hee wat leuk, de doorverkoop voor militaire gezichtsherkenning is afgeprijsd, doe maar) of was dat de communicatiedienst, het kunnen chatten en lezen wat mijn vrienden online doen? Mijn idee was altijd het laatste, maar omdat de Facebook-juristen zo nadrukkelijk hameren op het eerste, moeten we daar een juridische discussie over gaan voeren.

Het Oostenrijkse Hof citeert allereerst een berg literatuur die hier vrij negatief over is: Facebook is steeds het standaardvoorbeeld van een dienst met het niet-essentiële aspect van advertenties erbij. Dat helpt niet voor de beeldvorming, zullen we maar zeggen. En dan concludeert men:

The objective purpose of the contract is decisive for the definition of “necessary” in the sense of Art. 6(1)(b) of the GDPR. Artificially or unilaterally imposed services cannot be subsumed under this. The necessity of data processing for the performance of a contract depends on whether there is a direct factual connection between the intended data processing and the specific purpose of the legal obligation. … The fact that the purposes of the processing are covered by contractual clauses formulated by the provider does not automatically mean that the processing is necessary for the performance of the contract.
Dat laatste is denk ik de kern: dat een partij zegt dát het hoort bij de dienst, maakt het nog niet écht noodzakelijk voor de dienst. Daarvoor is een objectieve toets nodig. Alleen: hoe ziet die toets eruit, en hoe veel speelruimte mag je daar dienstverleners in gunnen? Is bijvoorbeeld bij WhatsApp het noodzakelijk dat iedereen mijn profielfoto ziet, of is enkel de door mij ingevulde naam noodzakelijk om te tonen aan contacten? Of ook dat niet?

Tijd dus om de hoogste Europese rechter hier een uitspraak over te laten doen. Helaas duurt dat altijd wel een dik jaar.

Arnoud

Grapperhaus wil delen privégegevens om te intimideren strafbaar maken

| AE 12782 | Regulering | 31 reacties

Demissionair minister Grapperhaus van Justitie heeft een wetsvoorstel ingediend om het delen van privégegevens van een persoon met als doel om diegene te intimideren, strafbaar te stellen. Dat las ik bij de NOS. Het zogeheten doxing is nu nog moeilijk aan te pakken, maar als het aan Grapperhaus ligt gaat dat veranderen. Het wetsvoorstel bevat een strafbaarstelling van het gebruik van persoonsgegevens voor intimiderende doeleinden.

Doxing is de wat merkwaardige internetterm voor “iemands identiteit achterhalen”. Veel mensen op internet zijn anoniem, en het kan dan een sport zijn te achterhalen wie dit werkelijk is. En soms heeft dat vervelende gevolgen voor die persoon, variërend van rare brieven bij de buren of stapels pizza’s tot de buurt moeten ontvluchten. Maar omdat bij het publiceren van die gegevens vaak niet direct wordt opgeroepen om de betrokkene iets aan te doen, blijkt het in de praktijk moeilijk om doxing strafrechtelijk aan te pakken.

Het nieuwe wetsvoorstel introduceert een lagere strafrechtelijke lat:

Hij die zich identificerende persoonsgegevens van een ander of een derde verschaft, deze gegevens verspreidt of anderszins ter beschikking stelt met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen dan wel te laten hinderen, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.
Er is een uitzondering opgenomen voor het geval je te goeder trouw mocht denken dat de publicatie in het algemeen belang was. (Dat is de standaardtruc om klachten over censuur te pareren.)

Het achterliggende probleem is dat er vaak wel sprake is van intimidatie of angst aanjagen (gericht op mensen weg te jagen of ergens mee te laten stoppen) maar dat dat niet op het niveau van strafbare bedreiging met geweld komt. Of in ieder geval, het is een stuk moeilijker: als iemand een foto van je dochter publiceert en zegt “wie weet waar ze naar school gaat, en is daar een drukke weg vlakbij” dan is dat geen evidente bedreiging maar wie dit ziet over zichzelf, zal daar toch van schrikken. Dat is dus een vorm van intimidatie die niet strafbaar is.

Het gaat niet zo ver dat iedere vorm van publiceren van persoonsgegevens als doxing aangemerkt kan worden. Het doel van de publicatie moet wel die intimidatie, vrees aanjagen zijn. En daar zit hem natuurlijk de kneep: bij een politicus langsgaan met zes man met hooivorken en een fles wijn voelt intimiderend, maar je kunt natuurlijk zeggen “haha ja nee we komen net van het werk en wilden even een fles wijn geven, gewoon gezellig”. Nou heb ik de stelregel dat wie een juridisch argument begint met “haha ja nee”, automatisch verloren heeft, maar gelukkig werkt het Nederlands recht niet zo.

Juridisch is wel nog van belang dat het niet uitmaakt of je werkelijk bang wérd van de intimidatie, van de doxing. Als de dader de bedoeling had je bang te maken, dan is dat genoeg. Hiermee wil men voorkomen dat vervolging niet zou kunnen bij mensen die in het openbaar zeggen er boven te staan, bijvoorbeeld. Om diezelfde reden is er geen aangifte van het slachtoffer vereist: het OM kan optreden op basis van enkel de publicaties, en als ze dan het oogmerk rond krijgen dan zou dat genoeg moeten zijn.

Het wetsvoorstel ligt ter internetconsultatie en moet daarna nog door Tweede en Eerste Kamer. Dus het zal nog even duren voor het echt van kracht is.

Arnoud

 

Ik hoop dat die orthodontist z’n webbouwer aansprakelijk stelt voor die 12.000 euro boete

| AE 12727 | Security | 53 reacties

De Autoriteit Persoonsgegevens heeft een boete van 12.000 euro uitgedeeld aan een orthodontistenpraktijk omdat die op een aanmeldformulier geen ssl-verbinding gebruikte. Dat meldde Tweakers vorige week. Door het ontbrekende ‘slotje’ liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Opmerkelijk dat die basale beveiligingsmaatregel er niet was, maar minstens zo… Lees verder

Telecomprovider Voys hoeft geen boete te betalen wegens weigering datadelen CIOT

| AE 12696 | Privacy, Regulering | 7 reacties

Telecombedrijf Voys hoeft van het Nederlandse gerecht geen boete of dwangsom betalen omdat het weigerde klantendata te delen met de overheid wegens privacyoverwegingen. Dat meldde Tweakers dit weekend. De rechtbank vonnist dat Voys (dat tegenwoordig VoIPGRID heet) geen afdoende antwoorden kreeg op vragen en daarom niets verweten kan worden bij haar weigering sinds 2010. Die… Lees verder

RDC mag miljoenen Nederlandse autobezitters niet over datalek informeren

| AE 12584 | Privacy | 15 reacties

Ict-bedrijf RDC, waar de gegevens van miljoenen Nederlandse autobezitters werden gestolen, mag getroffen personen naar eigen zeggen niet over het datalek informeren. Dat meldde Security.nl onlangs. Het zou gaan om herleidbare gegevens van mogelijk 7,3 miljoen personen (afhankelijk van hoe veel dubbels er in de data zitten). Behalve om NAW-gegevens gaat het ook om e-mailadressen, kentekens, telefoonnummers en… Lees verder

Hoe geautomatiseerd is de besluitvorming van Uber nu eigenlijk?

| AE 12558 | Privacy | 1 reactie

Vorige week verschenen drie uitspraken tegen Uber bv, waarin chauffeurs inzage in hun persoonsgegevens vroegen alsmede uitleg over de geautomatiseerde besluitvorming die het bedrijf zou toepassen. De uitspraken zijn fors en pittig, maar laten mooi zien hoe je als rechter de grenzen trekt tussen al dan niet toelaatbare besluitvorming. De kern van het geschil werd… Lees verder

Illegale handel in privégegevens miljoenen Nederlanders uit coronasystemen GGD

| AE 12476 | Privacy, Regulering | 19 reacties

Er wordt grootschalig gehandeld in miljoenen adresgegevens, telefoon- en burgerservicenummers, afkomstig uit de twee belangrijkste coronasystemen van de GGD. Dat ontdekte RTL Nieuws onlangs. De politie heeft twee personen gearresteerd die worden verdacht van deze illegale datahandel. Het gaat om handel in data uit twee coronasystemen van de GGD: CoronIT, waar de privégegevens van Nederlanders… Lees verder

Mag je contactgegevens via WhatsApp doorgeven of is dat ook al een AVG probleem?

| AE 12287 | Privacy, Uitingsvrijheid | 20 reacties

Een lezer vroeg me: Er zijn beperkingen bij het doorgeven van het e-mailadres aan derden. Maar contactgegevens doorgeven via WhatsApp is een standaard feature. Het zijn weliswaar geen e-mailadressen, maar kan dat volgens de wet zo maar? Voor het doorgeven van e-mailadressen, 06-nummers en alle andere contactgegevens van personen (ook indien voor zakelijk contact) gelden gewoon dezelfde… Lees verder

Is het een datalek als een app het bsn van je clipboard uitleest?

| AE 12040 | Privacy | 16 reacties

Via Twitter: Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens. Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn… Lees verder