Mag mijn werkgever eisen dat ik mijn pasfoto bij mijn Slack-account toon?

| AE 12903 | Ondernemingsvrijheid, Privacy | 39 reacties

AlexandraKoch / Pixabay

Via Reddit:

Mijn werkgever heeft mij verzocht om een foto van mijzelf toe te voegen aan mijn profiel op Slack (een chatprogramma waarbij medewerkers met elkaar kunnen communiceren). Als reden gaf hij dat andere collega’s hierdoor een “gezicht bij de naam hebben”. Ik heb aangegeven dat ik zo min mogelijk persoonlijke informatie op het internet wil hebben, en dit dus liever niet wil. Mijn werkgever gaf aan dat hij controleren of hij mij hiertoe kan verplichten. Mijn vraag is nu als volgt: kan mijn werkgever mij verplichten om foto van mijn profiel toe te voegen aan Slack?
De vraag is natuurlijk vaker langsgekomen, bijvoorbeeld in 2019 toen een werkgever eiste “dat wij allemaal onszelf op internet zetten. Op de bedrijfswebsite “zodat de klant weet wie er langskomt” en ook op social media, om onszelf te promoten. We moeten zelfs meedoen aan discussies op Linkedin.” Dit valt natuurlijk onder de AVG, zodat de werkgever het hetzij als onontkoombaar voor het werk moet aanmerken (met onderbouwing) of een belangenafweging moet maken tussen zijn bedrijfsbelang en de privacy van de werknemer.

Ik denk dat we anno 2021 hier toch nog eens op terug moeten komen, nu op afstand werken zo’n groot deel van het werk is geworden en digitale afstandscommunicatiemiddelen dus veel meer een standaardinstrument dan in 2019. Zoals in een van de comments op Reddit te lezen is: “Communiceren zonder iemand te zien is geen enkel probleem; anders dat anders zou zijn dan hadden alle bedrijven inmiddels beeldtelefoon.” En dat is dus grappig, want alle bedrijven hébben beeldtelefonie; is het niet van Zoom of Teams dan wel van Jira, Bluejeans of een van de vele andere videoconferencingtools.

Het lijkt me dus goed verdedigbaar vandaag de dag dat elkaar op afstand willen zien een reëel belang is, misschien juist omdat we zo veel op afstand werken. Dan is een rondje met je initialen niet genoeg meer – wat het vroeger wel was, omdat je na de chat op Slack elkaar sprak bij het koffieapparaat, zeg maar.

Verder gaat het hier om een profiel dat alleen bij collega’s zichtbaar is. En je kunt de foto zelf kiezen (of je had er al eentje die de werkgever gemaakt heeft), dus ik vind het moeilijk dan een heel zwaarwegend privacybelang te bedenken. Ja, wat de vraagsteller zegt, dat je “zo min mogelijk persoonlijke informatie op het internet wil hebben”. Maar dat speelt hier niet; die foto komt niet in een publiek profiel dat overal vindbaar is.

Arnoud

Mag FaceApp echt zomaar je gezicht voor alles gebruiken?

| AE 11401 | Ondernemingsvrijheid, Privacy | 9 reacties

Met het populaire FaceApp kun je er op foto’s ouder uitzien, maar geef je ook je foto’s en persoonsgegevens weg aan een bedrijf dat deze mag verkopen. Dat meldde Nu.nl onlangs. Er is nogal wat ophef over deze voor mij onbegrijpelijk populaire app, omdat in de kleine lettertjes staat dat men alles mag met je foto en dat zou Russische criminelen faciliteren in het plegen van cybercrime. Aldus Rian van Rijbroek denk ik, want ik begrijp er niets van. Ik zie eerlijk gezegd niets dat fundamenteel anders is dan hoe zeg Facebook of Instagram met je foto’s omgaat. Maar dat zijn geen Russen, zoiets?

FaceApp heeft niets met Facebook te maken: het is een app waar je een portretfoto in stopt en die dan een verouderde versie van je gezicht genereert. Leuk, maar de foto’s gaan naar een server van FaceApp en die staat in Rusland ergens. De app bestaat al een paar jaar maar is nu populair vanwege de zogeheten “FaceApp Challenge”, wat geloof ik neerkomt op dat je laat zien wat de app met je gezicht doet. Ja, ik voel me ontzettend oud bij het typen van deze regels.

Een developer veroorzaakte enige ophef toen hij meldde dat foto’s naar servers in Rusland werden geüpload én dat in de voorwaarden van FaceApp staat dat de foto’s commercieel gebruikt mogen worden door het bedrijf en haar zusters/moeders, plus alle “bedrijven die zich later bij deze groep kunnen aansluiten”. Dat laatste suggereerde volledige vrijheid: iedereen kan immers lid worden van zo’n groep. Alleen: een ‘groep’ is juridisch voor “concern”, en zomaar lid worden van iemands bedrijfsconcern komt echt niet voor. Dat noemen we een fusie of overname, en het is vrij ondenkbaar dat je dat doet om toegang tot foto’s te krijgen.

Daarnaast bleek vervolgens dat de foto’s helemaal niet in Rusland terechtkomen maar gewoon gezellig in de VS, en het bedrijf wist foto’s na 48 uur. Ja, zeggen ze en dat kun je lastig controleren. Maar toch. Het voelt behoorlijk als een storm in een glas water, zeker gezien de weinig unieke werkwijze van deze app. Er zijn tientallen apps waar je foto’s uploadt die dan in de cloud terechtkomen, pardon in de VS.

Maar stel nu eens dat de gegevens echt in Rusland komen en dat de voorwaarden wel letterlijk zeggen “wij mogen alles inclusief verkopen voor alle doeleinden”. Mag dat dan? Auteursrechtelijk (je hebt auteursrecht op je selfies) is dat mogelijk, zo’n brede licentie kun je vormvrij geven zoals dat heet. Dus daar kun je als fotograaf weinig meer tegen doen.

Privacytechnisch ligt dit anders: de AVG is van toepassing op FaceApp omdat het gaat om persoonsgegevens die in Europa verzameld worden. FaceApp heeft dan toestemming nodig, en die kun je niet in de voorwaarden opvragen. FaceApp kan natuurlijk zeggen dat het uploaden en analyseren van de foto noodzakelijk is voor de gevraagde dienst – hoe kun je een portret verouderen als je geen kopie van het portret krijgt – maar dat zou met zich meebrengen dat de foto weg moet direct nadat deze is geanalyseerd en verouderd. Immers daarna is de dienst klaar.

Het enige argument voor FaceApp dat ik kan bedenken is dat het bijtrainen van de AI met geuploade foto’s een aanverwant doel is (en dus doelbinding heeft) met het maken van de veroudering. Het leren van een dienst om in de toekomst andere mensen betere dienstverlening te geven, is denk ik wel te rechtvaardigen als zo’n aanverwant doel. Ik mag ook tevredenheidsenquêtes doen onder mijn klanten zonder aparte toestemming. Daarnaast kun je zeggen dat dit bijtrainen een vorm van statistisch onderzoek is, en dan is er per definitie sprake van doelbinding. Hier is vooralsnog nul jurisprudentie over maar ik zie hem wel.

Arnoud

Je kunt nog gewoon blijven fotograferen na de AVG!

| AE 10577 | Privacy | 41 reacties

Vele, vele fotografen mailden me de afgelopen weken met de vraag: mag je nog blijven fotograferen (en foto’s publiceren natuurlijk) vanaf 25 mei? Onder de AVG zijn foto’s immers persoonsgegevens, en volgens de strenge regels moet je dan bij het maken van iedere foto toestemming vragen anders volgt automatisch een miljoenenboete. En nou ja, het klopt dat een foto een persoonsgegeven is en dat het maken en gebruiken daarvan dus onder de AVG valt, maar dat wil niet zeggen dat je dus altijd toestemming nodig hebt van de geportretteerde. Zeker niet als je foto onder de uitingsvrijheid valt – en dat is al heel snel het geval.

Een persoonsgegeven is ieder gegeven dat direct of indirect te herleiden is tot een persoon, zo luidt de definitie uit de AVG. Bij een foto is dat evident het geval zodra een persoon herkenbaar is. Dat hoeft niet perse omdat er een naam onder staat, je gezicht (of herkenbare postuur) is al genoeg om het een persoonsgegeven te maken.

Daarmee krijg je als fotograaf te maken met de regels van de AVG, en dat begint dan al vanaf het máken van de foto. Immers, de AVG geldt op iedere “verwerking” van persoonsgegevens en het vervaardigen oftewel maken daarvan is een voorbeeld daarvan. (Uitzondering: de analoge foto, dus met ouderwetse film, wanneer die foto niet bestemd is om in een gecatalogiseerd archief terecht te komen. Dan val je buiten de AVG.) Het publiceren is evenzo een ‘verwerking’ en dus onderworpen aan de regels van de AVG.

Die regels kunnen streng zijn. Zo moet je een register hebben van iedere categorie verwerking die je doet, zoals je klantadministratie, je personeel, het jaarlijks uitje met collega’s, en ga zo maar door. Je moet persoonsgegevens goed beveiligen. En je moet aantoonbaar een grondslag hebben, zoals toestemming, om die verwerking überhaupt te mogen doen.

Gelukkig zijn er een aantal uitzonderingen. Allereerst val je buiten de AVG wanneer je fotografie echt alleen als persoonlijke hobby doet, en de foto’s niet in grote kring publiceert. Dat valt dan onder de uitzondering voor “strikt huishoudelijke verwerkingen”. Die uitzondering is wel beperkt, zodra je je portfolio op internet zet val je er al buiten. Een afgeschermde Instagram- of Facebookgroep kan denk ik nog net, als je selectief bent met wie je toelaat.

De belangrijkste uitzondering is wanneer je handelen valt onder de journalistieke exceptie. Al bij invoering van de AVG werd geroepen dat de persvrijheid of uitingsvrijheid in het gedrang zou komen – als je een journalist kunt ‘pakken’ op bijvoorbeeld inadequate beveiliging van een artikel met rare opmerkingen over jou, is dat veel sneller dan een smaadprocedure – en vandaar dat er speciale uitzonderingen zijn opgenomen voor deze activiteiten. Helemaal in Nederland, waar we in de Uitvoeringswet de nodige artikelen uit de AVG buiten toepassing hebben verklaard voor journalistiek handelen.

Wanneer handel je nu journalistiek? Ik formuleer het met opzet zo, om aan te geven dat het hier gaat om een activiteit en niet een beroepsgroep. Journalist of fotograaf zijn is immers geen beschermd beroep, en niet iedere vorm van foto’s (of teksten) maken valt onder een activiteit uit dat beroep. Je moet dus kijken naar wat je aan het doen bent. Volgens de hoogste Europese rechtbank is iedereen journalist:

bij de bekendmaking aan het publiek van informatie, meningen of ideeën , ongeacht het overdrachtsmedium. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen een winstoogmerk hebben.

Die tweede zin is belangrijk: ook gewone mensen met een blog of andere plek voor die informatie, meningen of ideeën vallen gewoon onder deze definitie. Je hoeft dus geen journalist te zijn om journalistiek bezig te zijn. Waar het om gaat, is of je iets wilt publiceren (informatie, meningen of ideeën) en daarbij die foto nodig hebt. (Naast journalistiek geldt deze uitzondering ook voor academische, artistieke en literaire uitingsvormen. Hiervoor gelden vergelijkbare definities.)

Deze definitie is volgens mij zo breed dat je haast moeite moet doen er buiten te vallen. Ik kom niet veel verder dan beveiligingsbeelden, pasfoto’s, smoelenboeken en klassenfoto’s als voorbeelden van niet-journalistieke fotografie.

Wanneer je journalistiek bezig bent, dan gelden een hoop artikelen uit de AVG niet voor jou. Dat is in de Uitvoeringswet AVG zo bepaald. Ik ga ze niet allemaal noemen, maar dit zijn de belangrijkste gevolgen:

  • Eenmaal gegeven toestemming van een geportretteerde is niet meer intrekbaar (artikel 7 lid 3 is buiten werking).
  • Als geportretteerde heb je geen recht van inzage, correctie of verwijdering bij de fotograaf (heel hoofdstuk III is buiten werking).
  • Je hoeft datalekken niet te melden bij de toezichthouder of bij geportretteerden (hoofdstuk IV is op dit punt, artikelen 33 en 34, buiten werking).
  • Je hoeft je geen zorgen te maken over opslag van je foto’s in het grote boze Amerika (heel hoofdstuk V is buiten werking).
  • Je mag ook strafrechtelijke en bijzondere persoonsgegevens verwerken (artikelen 9 en 10 zijn buiten werking).
  • Je hoeft geen register van je journalistieke verwerkingen bij te houden (hoofdstuk IV is op dit punt, artikel 30, buiten werking).

Wel heb je nog steeds een grondslag nodig (artikel 6 blijft van kracht). Dat kan zijn toestemming van de betrokkene, maar er zijn er meer. Omdat je bezig bent met het aan het publiek bekend maken van informatie, meningen of ideeën, is in principe automatisch de vrije nieuwsgaring de grondslag (dit is een eigen gerechtvaardigd belang). Bij dat belang geldt altijd een afweging met de privacy van de geportretteerden, maar die afweging komt de facto neer op wat we al decennia kennen als de redelijk-belangtoets in het portretrecht. De AVG is niet strenger dan het portretrecht.

Normaal kun je als betrokkene bezwaar maken tegen zo’n gerechtvaardigdbelangafweging, maar specifiek bij journalistiek geldt dit niet: het recht van bezwaar bestaat niet (heel hoofdstuk III met daarin artikel 21 is buiten werking).

Ook moet je als fotograaf zorgen voor een goede beveiliging van je persoonsgegevens (artikel 32 blijft van kracht), en als je andere mensen met je foto’s laat werken (denk aan een backupdienst of een ingehuurde illustrator die ze mooi bewerkt) dan moet je daarmee een verwerkersovereenkomst sluiten (artikel 28 blijft van kracht).

Alles bij elkaar zie ik dus geen reden tot zorg bij fotografen om aan de AVG te voldoen.

Arnoud

Volkskrant moet schadevergoeding betalen aan man op foto Schiphol

| AE 8929 | Privacy, Uitingsvrijheid | 25 reacties

De Volkskrant moet 1.500 euro schadevergoeding betalen aan Mohammed Rashid, die stond afgebeeld bij een artikel over veiligheid op Schiphol. Dat meldde NRC gisteren. Rashid werd bij een controle gefotografeerd, en de foto verscheen onder tendentieuze kop in de Volkskrant. Philippe Remarque, hoofdredacteur van de Volkskrant, ziet het vonnis als het begin van het einde… Lees verder

Wat is het verschil tussen portretrecht en de Wet bescherming persoonsgegevens?

| AE 8410 | Privacy | 14 reacties

Een lezer vroeg me: Afgelopen maandag blogde je over de regels over cameratoezicht. Het viel me op dat het daar nergens ging over je portretrecht wanneer je met een camera wordt gefilmd. Maar het gaat toch allebei over hetzelfde, dat je zeggenschap hebt over je portret? De regels over cameratoezicht die de Autoriteit Persoonsgegevens recent… Lees verder