Tag: Persoonsgegevens

About Persoonsgegevens

Subscribe Feeds

Eh, die meldplicht datalekken is dus voor het brakke bedrijf zelf, niet voor de ontdekker

Geplaatst op in Privacy, nog geen reacties

Vele lezers vroegen me variaties op deze vraag:

Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vulmaarin] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens?

Er is geen algemene meldplicht dat wanneer je ergens een datalek aantreft, je dit moet melden bij de Autoriteit Persoonsgegevens. Sterker nog, er is op papier zelfs geen enkele reden om dat te doen. (Dit is anders dan bij aangifte van strafbare feiten, die iedereen mag doen die daar kennis van heeft.)

Inderdaad kent de AVG een meldplicht datalekken. Maar die geldt alleen voor verwerkingsverantwoordelijken die zélf een datalek hebben, niet voor partijen die elders een datalek ontdekken. Als je dus bij die [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt, dan is het dus genoeg om bij die partij een melding te doen (bij voorkeur bij de functionaris gegevensbescherming, als die er is) en dan moeten zij het zelf oppakken.

Dit geldt ook als je leverancier, partner of andere zakenrelatie van die [klant|leverancier|kennis|willekeurige website|app] bent. Mogelijk ben je dan een verwerker namens hen. Het ligt dan nog sterker: dan ben je juridisch gezien verplicht een melding te doen, maar ook dan moet het bij de verwerkingsverantwoordelijke. Als verwerker stap je niet naar de AP maar naar de klant dus. En ook dan moet de klant het oppakken en de melding doen bij de AP.

Heb je het idee dat die klant het niet goed oppakt, of weet je niet waar deze te bereiken, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen. Daarin beschrijf je dan het vermoedelijke datalek en het wat en hoe dat je hebt gevonden. Zij kunnen dat dan vergelijken met het datalek zoals dat een paar dagen later (hopelijk) wordt gemeld, of een onderzoek starten om zelf vast te stellen of er een datalek is geweest.

Natuurlijk kun je ook een journalist raadplegen. Een datalek bij een bedrijf of populaire internetdienst is al snel nieuwswaardig, en een journalist weet hoe je daar zorgvuldig bericht van doet (inclusief melden bij het bedrijf zelf). Bovendien kan een journalist je bronbescherming geven.

Arnoud

Studentenraad klaagt UvA aan wegens gebruik surveillancesoftware

Geplaatst op in Innovatie, Privacy, 8 reacties

De Centrale Studentenraad van de UvA stapt naar de rechter vanwege het gebruik van het surveillanceprogramma Proctorio. Dat las ik bij Tweakers. De CSr ziet de maatregel als een te vergaande inbreuk op het privéleven van studenten, omdat die bij tentamens dan hun hele hebben en houden thuis moeten onthullen en niet-transparante software van een Amerikaanse leverancier installeren, alles op straffe van een jaar studievertraging. Met een kort geding hoopt men dit alles tegen te kunnen houden. De UvA zet daar tegenover dat er niet echt een alternatief is; je kunt niet ineens iedereen openboektentamens of vrije opdrachten geven. Dus ja, wat nu.

Al eerder blogde ik over protesten van studenten tegen tentamensoftware. Dat wordt dan altijd samengevat als “inbreuk op de privacy”, en dat roept dan weer makkelijke tegenargumenten op zoals “in de tentamenzaal mag je ook bekeken worden” of “je kunt toch een laken over je bed trekken als je niet wil dat de surveillant je matras ziet”. Ik blijf er dus bij dat het geen privacydiscussie is, maar dat het gaat over hoe je het beste afstandsonderwijs moet gaan uitvoeren.

Maar goed, hoe je onderwijs uitvoert dat is uiteindelijk een keuze van de universiteit en niet iets dat de rechter ter discussie gaat stellen. Bij de rechter moet je met formele argumenten komen, zoals dat de AVG wordt overtreden of dat het besluit tot proctoring in strijd met de regels is genomen. Helaas staat de dagvaarding niet online, zodat ik niet kan zeggen welke argumenten de Studentenraad morgen bij de zitting ter tafel gaat brengen.

Onder de AVG komt de discussie neer over de vraag of het gerechtvaardigd belang als grondslag kan dienen. Dan moet je kort gezegd privacy van studenten afwegen tegen de belangen van de universiteit, waarbij de universiteit verliest tenzij ze kan bewijzen dat haar belangen écht de doorslag moeten geven. Juristen gooien dan met de begrippen noodzakelijkheid, proportionaliteit en subsidiariteit – moet het echt, kan het niet een onsje minder en kan het niet anders. Dan kom je dus uit bij die vraag of er alternatieve tentamenmogelijkheden zijn, of de proctoring echt op het niveau van eyetracking moet zijn of dat enkel een screencapturevideo genoeg is en waarom het noodzakelijk is als je ook tentamenzalen hebt waar men toch al op twee meter afstand van elkaar zit.

(In de AVG staat bij dit artikel nog dat overheidsorganen -waaronder universiteiten vallen- geen gebruik mogen maken van deze grondslag bij de uitoefening van hun publieke taak. Ik denk dat dat hier geen probleem is; de universiteit creëert hier niet stiekem een nieuwe publieke bevoegdheid maar vult de implementatie van een bestaande taak in. Maar dit komt hopelijk bij het kort geding uitgebreid aan bod.)

Dat van die Amerikaanse leverancier vind ik nog de lastigste. Ja, Proctorio heeft ook een Duitse vestiging en er is een keurige verwerkersovereenkomst en de FAQ van de UVA spreekt duidelijke taal. Alleen: je krijgt desondanks algemene voorwaarden en een privacyverklaring ter akkoord voor je snufferd als je tentamen gaat maken. En daarin staat onder meer dat Proctorio zelf bij de data kan en dat “de-identified” kan gebruiken voor eigen doeleinden. Wat dus nogal raar is. Maar goed, ik houd moed: waarschijnlijk dacht iemand bij de implementatie dat je gebruikers akkoord moet laten gaan met een privacyverklaring (“want je moet het toch uitleggen”) en dan die van Proctorio zelf maar pakte. Dit is een vaak voorkomende fout; allereerst gá je niet akkoord met wat een voorlichtingsfolder zou moeten zijn en ten tweede behoort Proctorio in het geheel niet in beeld te zijn maar uitsluitend de universiteit zelf.

Ik denk dat ik als student minder moeite zou hebben met dat ze mijn kamer bekijken (ik stop het inderdaad wel in dozen, of leg juist een provocerend object pontificaal in beeld) dan met dat al die informatie gratis naar zo’n Amerikaanse partij met eigen definitie van “anonieme gegevens” zou gaan. Dat is niet waarvoor ik me inschreef, volgens mij.

Arnoud

Oma moet van rechter foto’s kleinkinderen van social media verwijderen

Geplaatst op in Privacy, 18 reacties

Een oma moet de foto’s die ze van haar kleinkinderen op Facebook en Pinterest heeft geplaatst verwijderen, omdat dit zonder toestemming van de moeder gebeurde. Dat las ik bij Security.nl. Dit is weer zo’n vonnis dat tot vele misverstanden en broodjeaapverhalen gaat leiden. In de kern komt het (niet verrassend) erop neer dat als je iets publiceert op internet, je onder de AVG valt en dat als je geen goed verhaal hebt waarom je mag publiceren, je fout zit omdat je dan niet eens toestemming hebt gevraagd. Maar wie nu harde regels concludeert als “oma’s hebben toestemming nodig voor kleinkindfoto’s”, die zitten minstens zo fout.

De vrouw en haar dochter hebben vanwege een ruzie al ruim een jaar geen contact meer met elkaar. De dochter heeft drie minderjarige kinderen, waarvan de oma dus foto’s op Facebook en Pinterest publiceerde. De moeder maakte daar bezwaar tegen omdat zij nooit toestemming had gegeven. Ook de vader had aangegeven niet te willen dat de oma dit deed.

Toen zij desondanks daarmee door bleef gaan, stapte de dochter naar de rechter. Ze hanteerde daarbij de AVG als vordering, omdat een publicatie van een foto immers telt als een verwerking van persoonsgegevens onder die wet. En je kunt er veel sneller mee rondkomen dan de klassieke vordering op grond van schending portretrecht.

Voor juristen is het totaal niet vreemd dat een publicatie van informatie over iemand op internet telt als “verwerking van persoonsgegevens”. Dat weten we al sinds 2003, toen het Hof van Justitie bepaalde dat “Deze bijeenkomst gaat niet door omdat mevrouw Lindqvist haar been gebroken heeft” op je website zetten onder de Wbp valt. Maar omdat de Wbp geen tanden had, trok niemand zich daar wat van aan.

De AVG heeft wél tanden, ook privaatrechtelijk: een verbod met dwangsom of een schadeclaim zijn prima te eisen. En deze wet heeft een brede scope. Een belangrijke uitzondering is daarbij wel de zuiver huishoudelijke en persoonlijke verwerking, zeg maar je eigen adresboek of digitale fotomap. Die valt buiten de AVG. Alleen kun je je afvragen of een publicatie op internet nog wel “persoonlijk” is, als willekeurige anderen deze kunnen zien. Daar had de oma niets over gezegd, het was niet duidelijk hoe afgeschermd de foto’s waren. En dan ga je als rechter maar uit van “ze zijn publiek” en dan val je dus buiten de uitzondering.

Dan gaat het mis:

In de UAVG is bepaald dat voor het plaatsen van foto’s van minderjarigen, die de leeftijd van 16 jaren nog niet hebben bereikt, toestemming van hun wettelijke vertegenwoordiger(s) is vereist.

Dat is niet wat in de UAVG staat en het is een van de hardnekkigste misverstanden. Artikel 5 UAVG zegt dat als toestemming nodig is, je bij minderjarigen toestemming van de ouders moet hebben. En dat is nadrukkelijk wat anders dan dat toestemming nodig is voor een verwerking. De AVG kent immers zes grondslagen, niet alleen de grondslag toestemming. Als jij een rechtsgeldige overeenkomst met een minderjarige hebt en daarvoor is verwerking van zijn persoonsgegevens nodig, dan is ouderlijke toestemming voor die verwerking niet aan de orde. (Concreet: een kind van 12 bestelt bij jou een doos Lego en jij geeft zijn adresgegevens aan PostNL voor het vervoer. Ouderlijke toestemming niet nodig, niet voor de verwerking en niet voor de bestelling an sich.)

Het is natuurlijk wel een vraag welke grondslag de oma dan had kunnen aanvoeren. De enige optie zou het eigen gerechtvaardigd belang zijn, wat neerkomt op dat oma een journalistiek belang zou inroepen (“verspreiding van feiten, ideeën en opvattingen”, niet voorbehouden aan media-organisaties). Maar zelfs bij een hardnekkig pleitbevechter voor een ruimhartige journalistieke exceptie in de AVG als ik zie ik niet hoe publicatie van die foto belangrijker is dan de privacy van het kind. In ieder geval niet in deze situatie waarin er kennelijk ook een ouder-kind conflict is.

Arnoud

Inderdaad, bescherming van persoonsgegevens gaat over veel meer dan privacy

Geplaatst op in Informatiemaatschappij, Privacy, 8 reacties

Maar pas deze week zag ik welk fundamenteel maatschappelijk misverstand door dat rare begrip ‘privacy’ is ontstaan. Dat schreef Maxim Februari vorige week in NRC Handelsblad. Hij noemt het een ‘gruwelijk misverstand’ dat het steeds maar over de private kwestie van privacy gaat – de omgang met persoonsgegevens is een kwestie van algemeen belang. Het raakt het hart van de rechtsstaat. En dat is een gruwelijk goed punt, en maakt de discussie zó veel sterker.

De omgang met persoonsgegevens is natuurlijk altijd gebracht vanuit de context van privacy, meestal onder verwijzing naar artikel 8 EVRM waar inderdaad bescherming van je persoonlijke levenssfeer staat geregeld. Juristen maken dan het onderscheid tussen de klassieke of relationele privacy (met rust gelaten worden, jezelf kunnen zijn) en de informationele privacy (niet zomaar digitaal besnuffeld worden). De regels van de Wbp en nu de AVG zijn heel logisch in die context: ze regelen de informationele privacy, ze geven je rechten om te voorkomen dat je gegevens nodeloos worden gebruikt, dat fouten worden gemaakt die jou in je menszijn raken.

Echter. Privacy is een vrij breed begrip, heel flexibel ook. De discussie over het ‘waarom’ van zulke regels komt dan ook al snel uit bij “omdat je recht hebt op privacy”, en dat is dan een heel ongrijpbaar argument. Daar komt bij dat het vaak niet perse gáát over jezelf zijn, over met rust gelaten worden. Februari noemt het voorbeeld van de Belastingdienst die persoonsgegevens misbruikt in de toeslagenaffaire: dat was een ramp omdat aan onbetrouwbare data verregaande en foute conclusies werden verbonden, niet omdat mensen zonder respect voor hun gezinsleven werden behandeld. De Belastingdienst was niet transparant en niet eerlijk.

Dat zijn kwesties van algemeen belang, die raken aan hoe een rechtsstaat moet opereren. (En ja, ook hoe burgers onderling moeten opereren, ook naar elkaar toe heb je eerlijk te zijn.) Wie bestuurt, of wie afspraken maakt, moet zorgen dat hij kan rechtvaardigen wat hij vervolgens doet. Dat is waar het nu vaak misgaat: datamodellen zijn niet volledig of niet inzichtelijk, welke data wordt gebruikt of waarvoor is totaal niet transparant en tegen de conclusies kun je zelden wat doen.

Dát is het ongewenste aan misbruik van persoonsgegevens. Het gaat om eerlijkheid, een nette behandeling van iedereen. Algoritmes (pardon, datasets maar dat bekt minder lekker) inzetten om mensen te beoordelen is niet een individueel probleem maar een probleem van de maatschappij: het is niet netjes, zo willen we mensen niet behandelen.

Zoals ikelders las:

Data-gedreven technologie slaat sociale problemen plat. Het reduceert de werkelijkheid tot data zonder rekening te houden met de verschillende, rauwe, niet-kloppende, tegenstrijdige kanten.

Dat, veel meer dan “laat mij mezelf zijn”, is de kern van dataprotectie.

Arnoud

Volgens mij bestaat “echt geanonimiseerde data” helemaal niet bij locatiedata, maar goed

Geplaatst op in Privacy, Regulering, 12 reacties

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op echt geanonimiseerde data, las ik bij Security.nl. Deze citeert de Europese privacytoezichthouder (EDPS) die daarmee reageert op plannen van de Europese Commissie om mobiele locatiegegevens in de strijd tegen het coronavirus te gebruiken. Het punt is namelijk dat locatiedata van mensen geldt als persoonsgegevens, maar dat je wel die data grootschalig nodig hebt om een goede analyse te doen over verspreidingspatronen en dergelijke. En ja, in de AVG staat dat anonieme gegevens geen persoonsgegevens zijn. Maar het is vrijwel onmogelijk om data echt te anonimiseren. En wie denkt dat hij daarmee bezig is, is vrijwel altijd stiekem aan het pseudonimiseren.

Doel van de gegevensverzameling is verspreidingspatronen van het coronavirus in kaart te brengen. Omdat veel mensen rondlopen met mobiele telefoons, en telecomoperators daarmee in detail van de hele Europese bevolking de gangen kunnen reconstrueren (excuses als u zich nu in de koffie verslikt) is het voor de bestrijding van corona zeer nuttig om deze informatie te verkrijgen. Maar dergelijke gegevens zijn – terecht – in de AVG als persoonsgegevens aangemerkt, en kunnen dus niet zomaar even bijeengeharkt in een mega-Excel bestand (pardon, “in een big data cluster”) worden voor wat dan ook.

De EDPS is de toezichthouder op het equivalent van de AVG voor de Europese instanties. Deze heeft dus een advies uitgebracht dat zegt dat het mag als de data maar écht anoniem is. Want in de AVG (en in dat EU-equivalent) stat dat data die echt anoniem is, geen persoonsgegeven meer is. Nogal wiedes: data is echt anoniem als hij totaal niet meer tot een persoon te herleiden is, en dat is dus precies het tegenovergestelde van de definitie van een persoonsgegeven.

Het punt is natuurlijk dat het vrijwel onmogelijk is om zoiets te doen. Ja, natuurlijk denkt u meteen aan het weghalen van namen en 06/IMEI/sim-nummers maar dát is onder de AVG echt niet genoeg. De AVG noemt dat pseudonimiseren, je vervangt dan een naam door een zelfgekozen label. Maar dat is niet hetzelfde als anonimiseren, want je hebt dan nog steeds een gegeven over een persoon. Je weet alleen niet meer hoe die persoon heet (of je kunt hem niet meer bellen), maar het is nog steeds data over die persoon.

De EDPS geeft niet aan hoe dit probleem op te lossen. Ik zit er zelf ook best wel mee, volgens mij is het hier fundamenteel onmogelijk. Natuurlijk, geaggregeerde patronen zijn anoniem (want gaan niet over individuele personen) maar om die te maken moet je eerst de persoonsgebonden brondata hebben. En tot dat punt zit je dus gewoon met de AVG als telecomoperator. Het enige wat ik kan bedenken is dan ook dat die operators de bronbewerkingen doen en de Europese instanties vanaf daar verder gaan. Maar dat lijkt me minder effectief dan dat één organisatie direct (en alleen voor dit doel) met álle data aan de slag kan.

Arnoud

Heb ik recht op een kopie van mijn oude werkmailbox?

Geplaatst op in Ondernemingsvrijheid, Privacy, 11 reacties

Een lezer vroeg me:

Ik heb de afgelopen 10 jaar bij 6 werkgevers gewerkt. Graag zou ik een kopie van mijn persoonlijke emailboxen bij deze bedrijven willen. Het gaat hier om outlook pst bestanden. Het gaat dus om een kopie van mijn persoonlijke zakelijke mailbox bij de betreffende ex-werkgevers. Hoe kan ik dat onder de AVG bewerkstelligen?

Volgens de AVG heb je recht op een kopie van je persoonsgegevens (artikel 15). Als je die zelf hebt geupload op basis van toestemming of overeenkomst, dan kun je die kopie zelfs in een machine-leesbaar formaat verlangen (artikel 20). Dat laatste zal hier niet spelen, een mailbox voldoet niet aan die criteria. Maar een printout van de mails zou in principe tot de mogelijkheden behoren. Als ze er nog zijn.

De eerste vraag is dus altijd of je ex-werkgever die bestanden nog heeft. Er is geen bewaarplicht voor dergelijke mailberichten (of mailboxen), dus het staat ze vrij die weg te gooien na einde dienstverband. Wat er niet is, kun je ook niet opvragen en je kunt op dat gemis geen schadeclaim baseren.

Zijn ze er wel, dan heb je dus in beginsel recht op een kopie. Een mail van of aan jou bevat immers jouw persoonsgegevens, al is het maar je naam of e-mailadres. Maar ook zaken als wat er aan je werd gevraagd of wat je antwoord was, zijn te zien als persoonsgegevens. Dat begrip is immers veel breder dan enkel de administratrivia over jou.

Ik zeg “in beginsel”, want lid 4 van artikel 15 zegt enigszins cryptisch:

3. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.

De strekking van dit lid 4 is dat jouw inzageverzoek geen rechten van anderen mag schenden, zoals hun privacy (denk aan de collega met wie je mailt) of intellectuele rechten zoals bedrijfsgeheimen of auteursrechten. Echter, dat betekent niet dat men eenvoudigweg “ja ho privacy van collega’s” of “oh noes bedrijfsgeheim” mag zeggen en dan inzage weigeren. Overweging 63 bij de AVG eist dat er een belangenafweging plaatsvindt met een poging ergens een middenweg te vinden.

Wat die middenweg moet zijn bij je zakelijke mailbox, dat weet ik zo net nog niet. Het praktische probleem dat ik zie, is vooral dat die mailbox zelden zo gestructureerd is dat je de persoonlijke mails eruit kunt lichten. De hele pst mailbox afgeven voelt als te veel voor het verzoek, en eisen dat de werkgever maar even door de mailbox heengaat om de relevante dingen te vinden, is ook weer disproportioneel. Maar “dat is heel veel werk” is dan weer geen argument onder de AVG (artikel 12 lid 5). Alleen als het echt buitensporig veel werk is, mag je weigeren.

Ik denk dat voor mij de hoofdvraag zou zijn om wat voor mails het dan precies gaat. Als je bedoelt “alle mails die vanaf mijn voornaam punt achternaam at bedrijfsnaam punt extensie zijn verzonden en ontvangen”, dan zou ik daar toch die bedrijfsgeheim-uitzondering tegenaan gooien. Dergelijke mails zijn primair zakelijk en dus bedrijfsvertrouwelijk. De meer persoonsgebonden mails (zeg, je correspondentie met de bedrijfsvertrouwenspersoon, de kattenbelletjes met je partner, de naar kantoor gemailde vakantiefoto’s om in kleur te printen) kan ik moeilijk als zakelijk vertrouwelijk zien, maar die uit een grote mailbox vissen zonder verder enige structuur zou ik wel buitensporig vinden.

Samenvattend denk ik dat een ex-werkgever dit dus mag weigeren. Tenzij je altijd heel braaf je privémails in een apart mapje hebt gestopt en het verzoek beperkt tot dat mapje (dat je dus bij naam noemt, met uitleg van de criteria van wat daar in ging). Alleen: dat mapje hoorde op de dag na einde dienstverband te zijn gewist, want er was nooit enige reden om dit te bewaren. Dus netto krijg je dan nog steeds niets, volgens mij.

Arnoud

Avast verkoopt data van gebruikers gratis antivirussoftware onder pseudoniem

Geplaatst op in Ondernemingsvrijheid, Privacy, 8 reacties

Beveiligingsbedrijf Avast verkoopt op grote schaal gepseudonimiseerde data van gebruikers van de gratis versie aan adverteerders. Dat meldde Tweakers vorige maand. Het gaat onder andere om de browsegeschiedenis, die onder andere aan grote bedrijven zoals Google, Microsoft, Pepsi en McKinsey wordt verkocht. Na enige herrie stopt men daarmee, want “Mensen beschermen is onze topprioriteit en al het tegenovergestelde dat we doen is onacceptabel” aldus de CEO die na zeven jaar datahandel direct ingrijpt. Oh ja, en hij zegt dat het bedrijf altijd binnen de juridische kaders is gebleven en dat het zich altijd aan wetten als de AVG heeft gehouden. Moehahaha.

Het is natuurlijk een welbewust “misverstand” dat pseudonieme data (dus je naam eraf) verkocht mag worden onder de AVG. Die vermeldt juist expliciet dat een pseudoniem gewoon wél onder de AVG valt – iedere identifier aan gegevens maakt dat het persoonsgegevens zijn. Cookie, hash, random ID, MAC, “die meneer daar achterin” en je bent er al.

Alleen écht anonieme data valt buiten de AVG. Maar daar heb je commercieel weer geen bal aan.

Pseudonimisering is op zich een nuttige manier om data minder kwetsbaar te maken. Als je dat doet, dan zijn de mogelijkheden groter om die data vervolgens in te zetten voor allerlei doeleinden. Je beroept je dan op je eigen legitiem belang (marketing, bijvoorbeeld) en de privacyafweging die daarbij hoort is dan makkelijk omdat het slechts pseudonieme data is waar je eigenlijk alleen matching met een advertentie mee kunt doen.

Wel blijf je zitten met doelbinding, de marketing-inzet moet wel binnen de verwachtingen blijven van het oorspronkelijke gebruik. Dat mijn virusscanner data doorgeeft aan een marketinginitiatief is volslagen van de pot gerukt, pardon niet verenigbaar met het oorspronkelijke doel. Dus alleen al daarop gaat het mis.

Soms denk ik wel eens, moet je als journalist wel zo’n statement van een CEO overnemen als het zo evident onwaar is? Een bijzin als “echter zonder enige onderbouwing” lijkt mij objectief waar. Ik snap dat je een weerwoord wilt opnemen in het kader van gebalanceerde nieuwsvoorziening, maar iemand feitenvrij zijn marketingreutel laten geven doet juist afbreuk aan de balans in het nieuws.

Arnoud

Huh, afpersen is niet verboden als je dreigt met openbaarmaking?

Geplaatst op in Privacy, Regulering, 16 reacties

Af en toe kom je gekke zaken tegen als je op ‘internet’ zoekt op Rechtspraak.nl. Zo ook deze zaak over een relatief simpele afpersing zo lijkt het: een man breekt in bij een bedrijf, kopieert persoonsgegevens en eist bitcoins anders zal hij deze openbaar maken. Je zou zeggen dat dat strafbaar is, en omdat hij nog gepakt werd ook zouden we dat gaan zien. Maar wat zegt de rechtbank: niet strafbaar, want nergens in de wet staat dat zulk openbaar maken verboden is. Eh, wat?

De man wist binnen te dringen in de webserver van een verhuurmakelaar middels een PHP-zwakheid. Hij kon daardoor bij de database en wist gegevens van 18.500 klanten te downloaden (waaronder emailadressen, bankrekeningnummers, werkgeversverklaringen en kopieën van identiteitsbewijzen van personen die zich hadden ingeschreven). Vervolgens nam hij contact op met het bedrijf en eiste 10.000 euro in bitcoin onder het dreigement dat hij de gegevens anders op internet zou zetten.

Omdat dat contact onder meer per telefoon ging, wist de politie de man te achterhalen. Hij werd vervolgens vervolgd voor afpersing (art. 317 Sr). Dat is normaal dreigen met geweld om zo iets te krijgen dat niet van jou is maar er is ook een digitale variant in lid 2:

Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

Al die exploitanten van ransomware zijn dus strafbaar onder dit artikel. Maar deze man had een iets andere insteek: niet wissen, maar openbaar maken oftewel reputatieschade (en mogelijk een AVG boete) als je niet betaalt. En daarvan zegt de rechtbank terecht, dat stáát er niet, in lid 2. Zo werkt strafrecht, dit wetboek lezen we heel letterlijk om te voorkomen dat mensen worden veroordeeld voor iets dat niet expliciet verboden was verklaard.

Ik blijf dan wel even bladeren om te zien hoe meneer wél voor dit feit veroordeeld had kunnen worden. Een mogelijkheid is artikel 318:

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Je zou dan zeggen dat deze klantendatabase een “geheim” (bedrijfsgeheim) is, en er wordt dan gedreigd met openbaarmaking daarvan. Dan kom je dus bij afdreiging en dat is strafbaar. Maar ik kan geen jurisprudentie vinden die dat punt maakt.

Arnoud

Hongarije geeft Facebook miljoenenboete voor pretenderen gratis te zijn

Geplaatst op in Ondernemingsvrijheid, 7 reacties

De Hongaarse concurrentiewaakhond Hungarian Competition Authority heeft een boete uitgedeeld aan Facebook voor het pretenderen een gratis dienst te zijn. Dat las ik bij Nu.nl. De boete bedraagt ruim 3,5 miljoen euro en is gebaseerd op het idee dat je betaalt met je persoonsgegevens, als ik de bron Bloomberg goed begrijp (mijn Hongaars is wat minder). Gebruikers zouden door de term ‘gratis’ misleid zijn; ze gaven immers gegevens van enige financiële waarde aan het bedrijf – ook gaat het om hooguit 50 cent per gebruiker. Maar ik vind dit een vervelend precedent.

Menig scriptie over social media en persoonsgegevens opent met de bekende quote dat als je niet betaalt, je niet de klant bent maar het product (de werkelijke quote). Want ja, het geld moet toch ergens vandaan komen. Dat is een wat defaitistische blik; op Facebook ben je niets, behalve een soort halffabrikaat dat als een dikke worst aan adverteerders wordt voorgeschoteld.

Het idee dat je betaalt met je persoonsgegevens klinkt dan iets positiever. Je maakt een keuze met welke tegenprestatie jij de dienstverlener compenseert voor het harde werk. En dat mag, juridisch gezien. Er zijn meer overeenkomsten mogelijk dan enkel de koop, en binnen de koop is betaling in natura (niet lachen daar achterin) zeker een optie.

Het enige is, dan heb je dus wel de aanname gedaan dat persoonsgegevens objecten zijn die een geldswaarde vertegenwoordigen. Vermogensrechten, zeg je dan. En dat haakt in op de recente discussie over persoonsgegevens als object van eigendom. Ik heb er dus moeite mee om dezelfde redenen:

Verder is eigendom natuurlijk iets dat je kunt verhandelen. Vanuit dat perspectief wordt je positie zelfs zwakker dan nu: de AVG geeft je sterke zeggenschap over je persoonsgegevens, en die blijven altijd bestaan. Zou je de eigendomsrechten op je persoonsgegevens verhandelen (artikel 23.7 in de Facebook TOS) dan kun je daarna dus helemaal niets meer vinden over wat dat bedrijf ermee doet.

In deze context: als je zegt dat je betaalt met persoonsgegevens, dan moet je daarna niet meer zeuren dat men dingen doet met die gegevens. Die heb je immers zelf afgestaan, als wederprestatie voor een afgenomen dienst. En dat is precies dezelfde puur economische visie, die niet past bij de omgang met persoonsgegevens. Het gaat bij dat recht om zelfbeschikking en expressie, jezelf kunnen zijn. Als je dat tot een prijs verklaart, dan devalueer (haha) je dat hele principe. Dan is privacy en dingen geheim kunnen houden gewoon een stukje handelswaar, in plaats van onderdeel van je menselijke waardigheid.

Dus nee, ik ben het er niet mee eens. Facebook is gratis. Ze besnuffelen en bespioneren je, en dat tolereren we tot op zekere hoogte omdat ze als onderneming nou eenmaal ook grondrechten hebben. Maar inbreuken op iemands grondrechten tolereren is niet hetzelfde als betalen.

Arnoud

Eh, de fysieke inhoud van een gevonden portemonnee hoef je dus niet te vernietigen van de AVG

Geplaatst op in Privacy, 25 reacties

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij ons gaat rondzingen als we niet uitkijken. Immers, als je ongevraagd toegezonden persoonsgegevens, moet vernietigen, dan toch zeker ook met ongewenst aangetroffen fysieke dragers met die gegevens?

Een vuistregel bij juridische uitkomsten is, als de uitkomst absurd is dan is je redenering fout. De winkelketen (het Engelse Co-op) maakt dus een fout, maar waar gaat het mis? Je kunt het op twee manieren bekijken.

Allereerst puur de AVG: het in bezit nemen van een gevonden portemonnee met pasjes is nog geen verwerking van persoonsgegevens die onder de AVG valt. Het betreft hier immers geen elektronische verwerking, dus geldt de AVG alleen wanneer de gegevens bestemd zijn om (bij jou) in een bestand opgenomen te worden. En daar is geen sprake van, de kluis van de manager is geen bestand. De AVG stelt dus überhaupt geen eisen aan deze verwerking, laat staan de eis tot vernietiging.

Ook kun je zeggen dat dit gewoon mag van de AVG, want dit is in het belang van de eigenaar (artikel 6 lid 1 sub f AVG) en als je het ding gewoon in de kluis laat liggen dan zijn de risico’s voor de eigenaar minimaal, mag ik aannemen. Het ligt in de kluis. Natuurlijk, als je portemonnees bewaart op een plankje achter de kassa dan wordt dat anders maar dat is gewoon dom en moet je dus niet doen. (Soms is juristerij makkelijk.) Er is dus niet a priori een eis dat die pasjes meteen vernietigd moeten worden.

Ten tweede speelt er naast de AVG – als die dus al geldt – ook nog gewoon andere wetgeving, zoals dat het strafbaar is om andermans eigendom te vernietigen. Nu is er in het recht de regel dat jonger recht (zoals de AVG) wint van ouder recht (zoals het wetboek van strafrecht), en ook de regel dat hoger recht (Europees) boven lager recht (Nederlands) gaat. Maar die regels spelen pas bij een conflict, en dat conflict is er pas als de AVG ondubbelzinnig zou zeggen dat die pasjes vernietigd moeten worden. En dat doet de AVG dus niet.

Arnoud