popup Archives - Ius Mentis

Een popup bij het inloggen is geen toestemming om je mail te lezen

Geplaatst op 14 januari 20227 januari 2022 in Ondernemingsvrijheid, Privacy, 15 reacties

Snelle quiz voor vrijdagochtend: als het loginscherm van je werk “Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.” zegt, mag je baas dan je systeem monitoren? Het even snelle antwoord van de rechtbank Midden-Nederland: nee, hoe kom je erbij. En daarom mag je mensen niet ontslaan als je dat toch deed en wat geks tegenkomt.

Het vonnis van december leest als een wat merkwaardige ontslagzaak. Een man werkte sinds 1997 bij een bedrijf dat iets financieels deed (mijn gok: een bank). In 2021 startte de afdeling Corporate Security & Investigations een onderzoek vanwege niet-gemelde nevenbelangen en een vermoeden van hypotheekfraude. De signalen daarover zouden al in 2018 en/of 2019 zijn opgedoken, en tijdens het onderzoek is de mail en het systeem van de werknemer doorzocht.

Dit klinkt wat vaag en dat is het ook. ICT-juridisch interessant is dat er niet echt een reglement e-mail/internet monitoring lijkt te zijn, iets dat wel gewoon een harde eis is sinds toch alweer heel wat jaartjes (wat, is het al 2022). De werkgever zwaaide met een Reglement verwerking persoonsgegevens door middel van Personeelsvolg- en informatiesystemen en

stelt dat dit Reglement met instemming van de Centrale Ondernemingsraad [N.V.] tot stand is gekomen en op […] , dat voor alle medewerkers toegankelijk is, is gepubliceerd. [eiseres] wijst erop dat in paragraaf 3 op bladzijde 3 van het Reglement is beschreven dat [N.V.] medewerkers mag controleren wanneer er zodanige verdenkingen van overtreding van de Algemene Gedragscode [N.V.] Nederland en/of misbruik en/of ander laakbaar en/of strafbaar gedrag zijn, dat een dergelijke controle gerechtvaardigd is.

Dat is allemaal leuk en aardig, alleen zo merkt de kantonrechter op:

Zonder kennis van de aard van [de in 2018/19 gegeven] signalen – en daarmee van een concrete legitieme grond ter rechtvaardiging van deze monitoring – kan niet worden vastgesteld of de monitoring aan de vereisten van proportionaliteit heeft voldaan. Ook kan niet worden vastgesteld of de verwijten die [eiseres] [verweerder] maakt en die zij aan het ontbindingsverzoek ten grondslag heeft gelegd, direct verband houden met deze signalen of dat sprake is van “bijvangst”. Daarbij is ook van belang dat [eiseres] geen informatie heeft verstrekt over de mate waarin en de wijze waarop de monitoring plaatsvindt. Het Reglement en de Procedure bij Onregelmatigheden die [eiseres] in het geding heeft gebracht, geven hierover geen uitsluitsel.

Een probleem was namelijk dat de afdeling CSI niet kon of wilde laten zien om welke signalen het precies ging en hoe men daarbij deze werknemer op de korrel had gekregen. Daarnaast ging het dus mis op het punt van de werknemer informeren dat er kan worden gemonitord, en wat en wanneer. Want die zin die ik hierboven citeerde, kwam uit de loginbanner:

WARNING Access only to persons explicitly authorized by [N.V.] [..] . Regulations for the use and security of [N.V.] hardware, software, electronic communication, device, and databases as stated in the General Code of Conduct (=sw de Algemene Gedragscode [N.V.] ) are applicable. Users may be monitored.

Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.

Ik zie links al twee security officers zenuwachtig aantekeningen maken, want inderdaad dit leest als een standaardtekst die mogelijk ten tijde van de ISO 27001 certificering erin gezet is of van een willekeurige “web security policy” overgenomen is (natuurlijk als zijnde best practice). Voor mij als jurist is dit een typische Oud-Usanian Tough Policy, met name door de “criminal activity” en het feit dat men “law enforcement officials” zal informeren in plaats van -zoals bedrijven toch meestal doen- intern een onderzoek te starten. Gokje: dit begon bij een BBS of een dergelijke publieke terminal.

Hoe dan ook, met zo’n tekst kom je er niet. Niet nodig en niet relevant. Zorg dat je een duidelijk en specifiek reglement hebt, én zorg dat je mensen informeert over het monitoren dat je mogelijk kunt gaan doen. (Dus niet: hoi Jaap, we gaan je vanaf maandag gericht monitoren. Maar: Jaap en collega’s, op deze afdeling kan worden gemonitord op misbruik van bedrijfsgeheimen.) En doe dan ook wat je in je reglement zegt: hoe vaak ik zie dat het reglement zegt “misbruik van bedrijfsgeheimen” en er dan wordt gemonitord op zeg intimidatie op de werkvloer.

Omdat het onduidelijk is wat de signalen waren en waarom men daarop een onderzoek startte, heeft de rechter geen keus dan de hele stapel bewijs het raam uit te gooien. Dan blijft er dus geen zaak over, en is er dus ook geen ontslag. Meneer mag dus weer gewoon aan het werk; ongetwijfeld een gezellige nieuwjaarsborrel komende donderdag. Maar dat terzijde.

Arnoud

Kan iemand mij uitleggen waarom ik het gerechtvaardigd belang van anderen aan en uit kan zetten?

Geplaatst op 31 mei 202127 mei 2021 in Ondernemingsvrijheid, 11 reacties

Via Reddit:

Al een tijdje krijgen we in de koekjesschermen een andere keuze. Het gaat niet alleen meer om waar ik toestemming voor geef, maar ook om gerechtvaardigd belang. … Wat ik niet snap, is waarom ik dan in de cookiebanner naast de toestemmingsvraag ook een vraag krijg over legitiem belang. Er staat legitiem belang en dan met een slider ernaast. Alsof ik het legitieme belang van een bedrijf aan en uit kan zetten. Wat doet die slider daar?

Adverteerders zijn een jaartje of zo geleden ineens massaal van de toestemming afgestapt en naar legitiem belang gegaan. Waarom is me nog steeds niet helemaal duidelijk, maar ik vermoed dat men de bui wel zag hangen dat met cookiemuren afgedwongen toestemming niet rechtsgeldig zou zijn.

Legitiem belang of gerechtvaardigd belang is een andere grondslag: je zegt dan eigenlijk, ik mag dit gewoon want mijn belang weegt zwaarder dan uw privacy. Daar horen dan bepaalde privacybeschermende maatregelen bij. En de marketeers hebben dan het voordeel dat in overweging 47 staat dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst ‘legitimate interest’ zegt.

Die slider heb ik ook altijd over zitten denken. Ik had altijd het beeld dat die er was omdat hij er bij toestemming ook stond, en dat daar verder niet over nagedacht is. Want het is niet logisch, dat je iemands belang aan of uit kunt zetten.

Als je even doorbladert in de AVG dan kom je uit bij het recht van bezwaar, artikel 21 AVG:

1. De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 6, lid 1, onder e) of f), van artikel 6, lid 1, met inbegrip van profilering op basis van die bepalingen. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.

Bezwaar maken kan dus, maar het moet gaan om redenen vanwege zijn specifieke situatie, zeg maar persoonlijke redenen. En dan moet een afweging volgen: heeft de verwerkingsverantwoordelijke dwingende gronden om tóch door te gaan?

Maar voor direct marketing is het simpeler:

3. Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.

Je moet de slider dus zien als zo’n bezwaar tegen marketing. De slider op uit zetten is dus “I object”, ik maak bezwaar. Dat voelt ergens niet correct, UI-technisch gezien, maar het werkt wel.

Arnoud

Waarom hebben alle cookiepopups ineens een legitiem belang?

Geplaatst op 25 september 202022 september 2020 in Privacy, 13 reacties

Een lezer vroeg me:

Sinds een tijdje valt me op dat allerlei cookiepopups niet alleen om toestemming vragen, maar ook opties aanbieden onder het kopje “legitiem belang”. Vaak kun je die opties niet uitzetten, maar soms wel alleen heet dat dan “bezwaar”. Wat is dit in vredesnaam?

Wie dit heeft bedacht, weet ik ook niet, maar ik vermoed dat diverse grote cookiepopuptechnologieleveranciers (dat is een branche) dit hebben ingevoerd op verzoek van organisaties zoals het Interactive Advertising Bureau (IAB). Iedereen die iets doet met cookies en tracking, ziet de bui namelijk wel hangen dat toestemming het niet lang meer uithoudt als reden (grondslag) om marketing en profiling te doen.

Toestemming was ooit het argument om persoonsgegevens te mogen verzamelen en om met cookies te kunnen werken. Dus iedereen zette lekker een dikke cookiemuur voor zijn site, waardoor we nu met het fenomeen jaklikmoeheid of consent fatigue zitten. En, belangrijker, waardoor toezichthouders eens beter zijn gaan kijken en de terechte vraag stellen waarom het eigenlijk vrijwillig is, dat mensen moeten klikken om je site te kunnen bekijken. Ja, het is jouw site en je mag mensen weigeren, maar in de AVG/GDPR staat nu eenmaal dat toestemming weigeren zonder gevolgen moet blijven – en weigeren is een gevolg, hoe je het ook wendt of keert.

Snel op zoek naar alternatieven, en dan komen we natuurlijk meteen uit bij artikel 6 lid 1 sub f AVG:

de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde,

waarbij iedereen dan meteen wijst op overweging 47 die zegt dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst ‘legitimate interest’ zegt.

Toen is er ergens een brainstorm gekomen over welke soorten cookies en profiling onder dit kopje gerechtvaardigd kunnen worden. Je ziet dat terug in die menu’s: dingen als security & monitoring, first-party analytics en het beperken van overlast door excessief cookiegebruik (ja, serieus heb ik gezien). Daar is dan dus geen toestemming voor nodig, dus die blijven dan buiten het lijstje met dingen waar je toestemming voor moet geven.

Wel staat in de AVG dat je de mogelijkheid tot bezwaar maken moet hebben, op basis van persoonlijke omstandigheden. Bij marketing is de bezwaarmogelijkheid onbeperkt, er hoeft dan geen omstandigheid te worden opgegeven. Daarom zie je dan weer afmeldknopjes bij veel “legitiem belang” opties. Maar een afmeldoptie is in het algemeen niet verplicht. Bij security-opties (monitoring van gedrag om inbrekers-in-spe te pakken) is het natuurlijk niet zinnig om mensen zich te laten afmelden.

Arnoud

Is Google Analytics zonder toestemmingspopup legaal onder de nieuwe cookiewet?

Geplaatst op 14 oktober 201416 oktober 2014 in Privacy, 33 reacties

De Tweede Kamer is dinsdagmiddag akkoord gegaan met een minder strenge cookiewet, meldde onder meer Tweakers. Cookies die geen inbreuk maken op de privacy, zoals first-party analytics en affiliatecookies, zullen legaal worden als dit wetsvoorstel de Eerste Kamer overleeft. Waarbij de hamvraag natuurlijk is: mag dan Google Analytics ineens zonder toestemming te vragen?

Al sinds de invoering van de cookiewet is deze hoogst controversieel. Het idee dat een wet zou bepalen welke (tracking of andere) cookies je mocht plaatsen, was voor vele webmasters buitengewoon stuitend en dom. Al snel verschenen dan ook overal popups en vooral cookiemuren: geen cookies, dan geen site voor jou. Buitengewoon ergerlijk, vooral ook voor mensen die wél geven om hun privacy en daarom tracking cookies willen uitschakelen.

Na veel gedoe is er dan nu een wetsvoorstel door de Tweede Kamer geaccepteerd: cookies die “geen of slechts geringe” inbreuk op de privacy van de bezoeker maken en dienen om informatie te verkrijgen over kwaliteit of effectiviteit van de dienst, zullen buiten het toestemmingsvereiste vallen als dit voorstel wet wordt.

Wanneer maakt nu zo’n cookie “geen of slechts geringe” inbreuk op de privacy? Dat staat er niet letterlijk bij. Er is ook nooit gesproken over de Analyticsdienst van Google als zodanig. Verder dan dat dat “sommige” analytic cookies geringe privacygevolgen opleveren. Het moet dan gaan om first party analytics, en het is niet toegestaan de informatie voor iets anders dan analytics te gebruiken, je mag dus geen bezoekersprofielen of iets dergelijks verrijken met analyticsdata.

Googles dienst lijkt hieraan te voldoen. Echter, Google is strikt gesproken niet first-party: niet de website-eigenaar verzamelt de data maar Google. Formeel weliswaar in opdracht (‘bewerker’) van de website-eigenaar, maar Google wordt eigenaar van de analyticsdata en de website-eigenaar kan niet zien wat Google ermee doet.

Bovendien worden met de Google-dienst analyticsgegevens naar buiten de EU geëxporteerd. Dat is op zichzelf een niet-geringe inbreuk op de privacy, aangezien ze in de VS geen adequate bescherming van persoonsgegevens hebben. Daarmee zal Google Analytics dus niet voldoen aan “geen of geringe inbreuk op de privacy”. Een eigen first-party analyticstool zoals Piwik zou wel voldoen aan deze eis, mits je het maar houdt bij zuiver meten en statistieken bedrijven en de analyticsdata niet gebruikt om persoonsgebonden siteveranderingen door te voeren.

En ik erger me rot aan media die meldt dat “de cookiewet gewijzigd is”. Dat. Is. Niet. Zo. De Tweede Kamer heeft ja gezegd, maar de Eerste Kamer moet dat ook nog doen. En juist de Eerste Kamer is meer gespitst op de principiële aspecten van wetten, en hoe dit binnen Europese regels past. Het is dus zeer zeker geen gegeven dat de EK dit zal goedkeuren.

Arnoud

Mag een dienst zomaar gewijzigde voorwaarden popuppen?

Geplaatst op 24 september 201322 september 2013 in Informatiemaatschappij, 7 reacties

ie-aagree-ezel Een lezer vroeg me:

Op een forum waar ik vaak kom, werden ineens nieuwe voorwaarden doorgevoerd. Ik kreeg een groot scherm met de tekst en een knop “Ik ga akkoord”. Als ik die niet indruk, kan ik niets meer doen terwijl ik al jaren lid ben. Kan dat zomaar, zo eenzijdig en ineens?

Op zich is het toegestaan algemene voorwaarden te wijzigen, mits in de oude voorwaarden staat dat dit mag. Voorwaarden wijzigen zonder bevoegdheid daarvoor in de oude voorwaarden is een contractswijziging, die niet mag zonder toestemming van de wederpartij.

Bij het doorvoeren van zo’n wijziging gelden dezelfde regels als bij het initieel aanbieden van algemene voorwaarden. Ze hoeven niet gelezen te worden, maar ze moeten wel ter hand gesteld zijn zodat de wederpartij ze kan opslaan voor latere kennisname. Expliciet akkoord hoeft niet, maar een melding moet wel.

Bij popups is dat een probleem, want teksten in popups zijn niet eenvoudig op te slaan. En nee, “je kunt ze handmatig selecteren en dan via copy-paste in Word plakken” is wettelijk gezien niet ‘eenvoudig’. Die scrolvensters van drie centimeter hoog die sommige sites hanteren zijn dus óók niet rechtsgeldig. Een zinnetje met hyperlink naar een PDF-bestand is dat dan weer wél.

Het proces dat dit forum hanteert, lijkt dus legaal hoewel het buitengewoon eenzijdig en onvriendelijk is. Tenzij ze dus de oude voorwaarden niet nakomen (waar bijvoorbeeld in kan staan dat ze een maand van tevoren moeten worden gemeld), zie ik zo geen grond om dit aan te vechten. Als dat forum mijn klant was, dan had ik aangeraden om ruim van tevoren te beginnen met een banner of waarschuwing dat er nieuwe voorwaarden aankomen. Mensen kunnen dan akkoord gaan of nog een paar weken nemen om ze door te lezen. Pas ná die periode kun je dan een akkoord afdwingen.

Natuurlijk wil een akkoord op nieuwe algemene voorwaarden niet zeggen dat ze dús bindend zijn. Algemene voorwaarden mogen niet onredelijk bezwarend zijn, en het feit dat je instemt met de voorwaarden betekent niet dat je erkent dat ze redelijk zijn. Dit mechanisme staat zo in de wet precies vanwege dit soort grappen.

Arnoud

Ik kan niet eens meer gewoon een spelletje spelen

Geplaatst op 17 april 201314 april 2013 in Informatiemaatschappij, 10 reacties

Installeer ik op mijn pad een nieuw spelletje – Quiz Battle – moet ik een account aanmaken en krijg ik dít voor mijn neus:

Argh. Waar te beginnen.

“Ga je ermee akkoord Terms of Service en dat we je informatie”. Oké, nou, vooruit, iets te snel dat “Terms of Service” toegevoegd nadat een vriendje op de borrel zei “hee je moet wel akkoord op je voorwaarden vragen hè”.

Maar, eh waar zíjn die Terms of Service dan? Er staat niet eens een hyperlink in dat balkje. Plus, ik gok zomaar dat ik de tekst achter zo’n link niet had kunnen opslaan, waardoor die voorwaarden sowieso ongeldig (vernietigbaar) zijn.

Verder: ik ga -zo staat hier- akkoord met toezending van allerlei “informatie, aanbiedingen en nieuwsbrieven” van het programma zelf en van een of ander tijdschrift. Kan dat? Ja, dat is een leuke vraag.

Toestemming voor nieuwsbrieven en dergelijke moet specifiek en apart worden gegeven. Je kunt deze niet opeisen in algemene voorwaarden. Op zich doen ze het dus goed hier, door het in de popup zelf te vragen en niet in die niet-gelinkte voorwaarden. Wel vind ik “informatie, aanbiedingen” wat vaag – ik gok dat dit betekent dat ik allerlei reclame ga krijgen maar waarvan en waarover?

Ook gok ik (maar ik heb nog geen mail gehad) dat ik nu aanbiedingen ga krijgen van zorgvuldig geselecteerde partners van de app-aanbieder. En dát zou juridisch wel een probleem zijn, want dat staat niet in de popup en al helemaal niet in het specifieke formaat dat de OPTA eist. “Partners” is onvoldoende als aanduiding, je moet echt vermelden wíe het gaan zijn. Ik hoop dat binnenkort de rechtbank uitspraak doet in die opt-inzaak uit 2011 waarbij de OPTA zes ton boete oplegde voor een dergelijke constructie.

En ja, zo zit ik dan op zondagavond algemene voorwaarden van spelletjes te lezen.

Arnoud