Kan iemand me uitleggen waar de NCTV ook weer goed voor is?

| AE 13025 | Regulering | 10 reacties

De Autoriteit Persoonsgegevens heeft zware kritiek op het wetsvoorstel dat de Nationaal Coördinator Terrorismebestrijding (NCTV) toestaat om burgers online te volgen en gevoelige persoonsgegevens te verzamelen, analyseren en met binnen- en mogelijk ook buitenlandse partijen te delen. Dat meldde Security.nl onlangs. Na het lezen van het stuk kan er voor mij maar een conclusie mogelijk zijn (en dat zie je niet vaak bij de AP): waarom wilden we ook weer een NCTV?

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) is een instantie van de Nederlandse overheid die in 2012 werd ingesteld “om Nederland te beschermen tegen bedreigingen die de maatschappij kunnen ontwrichten. Samen met partners binnen overheid, wetenschap en bedrijfsleven zorgt de NCTV ervoor dat de Nederlandse vitale infrastructuur veilig is én blijft.” Van zo veel ambtenarenjargon ontgaat je meteen de lust om er wat van te vinden, met name die “én” met accent is een plastic lipje in je toetje van 220 euro.

En wat dóen ze nou precies? Nederlanders volgen op social media, wat dus een probleem is omdat dat niet mag zonder nadere bevoegdheden. Die ze niet hadden, vandaar een wetsvoorstel – wat sowieso al raar is, als een dienst tegen de wet handelt dan zou ik zeggen dat je die dienst vijf jaar lang niet in de búúrt laat komen van die activiteiten in plaats van het te legaliseren. Maar ja, wie ben ik.

“Als je bij de geheime diensten en politie ziet met hoeveel randvoorwaarden het verwerken van dergelijke gevoelige informatie omgeven is, dan valt toch niet te verdedigen dat dit bij de NCTV niet nodig is? Dat bij de NCTV een enkele, door de NCTV zelf uit te voeren toets voldoende zou zijn? Dat is de slager die zijn eigen vlees keurt”, zegt AP-voorzitter Aleid Wolfsen.
Minister Grapperhaus liet onlangs weten dat het kabinet het wetsvoorstel snel wil behandelen, en doet daarbij zonder enige ironie een beroep op de nationale veiligheid. Oké. Maar mij is nog steeds niet duidelijk waarom we een NCTV nodig hebben naast de bestaande diensten?

Arnoud

Mijn klant wil medische gegevens laten mailen, welke zorgplicht heb ik?

| AE 12804 | Privacy | 28 reacties

Een lezer vroeg me:

Ik ontwikkel een website voor een zorgverlener. Daarin zit ook een intake-formulier, waarin cliënten zich aanmelden en daarbij medische gegevens (bijvoorbeeld klachten of voorgeschiedenis) kunnen opgeven. De zorgverlener is een eenmanszaak en wil graag dat de gegevens naar hem gemaild worden vanuit het formulier. Ook moet de cliënt de optie krijgen om een kopie naar zichzelf te laten sturen ter bevestiging. Ik vind dat nogal onveilig, maar de klant staat erop. Hoe moet ik hiermee omgaan juridisch gezien?
De kern van de vraag is of e-mail wel een veilig medium is voor het transporteren van medische persoonsgegevens. De AVG stelt hoge eisen aan de beveiliging, en e-mail is natuurlijk niet inherent voorzien van de hoogste beveiliging. Het kan, maar je moet er wel je best voor doen. Denk aan situaties waarin de mailserver binnen hetzelfde domein draait als de website met het formulier, als die omgeving als geheel veilig is dan is natuurlijk dat mailtje ook beveiligd.

Vaak zie je echter dat men een oplossing inzet die voor ‘gewone’ bevestigingsmails (aanvraag offerte, inschrijving nieuwsbrief et cetera) gebruikt. De inhoud van het formulier wordt in een mailtje geplakt en via een standaardfunctie van je websitesoftware verstuurd. Ik zou dat een risico vinden, en daar dus aandringen op end-to-end encryptie of een gespecialiseerde oplossing. Een simpel alternatief kan zijn dat de medewerker een mailtje krijgt met een link naar de informatie, en dan moet inloggen op de backend van de website om de informatie te zien.

Specifiek bij de kopie naar de klant kan het anders liggen. Je kunt dan zeggen, de zorgvrager verzoekt met dat vinkje zelf om de kopie, en daarmee valt het versturen buiten de verantwoordelijkheid van de zorgaanbieder. Dan is er dus niets aan de hand. Alleen: weet de zorgvrager wel wat zhij vraagt met dat vinkje, of gaat die er vanuit dat de zorgaanbieder het veilig ingeregeld heeft? Dat laatste lijkt mij vrij waarschijnlijk. Bovendien ontkom je niet aan het feit dat de zorgaanbieder toch een en ander doet met die persoonsgegevens – en wel in opdracht, dus als verwerker namens de zorgvrager. En dan blijf je zitten met de beveiligingseisen.

Het lastige is natuurlijk dat e-mail over het algemeen wordt gezien als een handig en snel middel, en dat mensen de risico’s lastig kunnen inschatten. Want laten we wel wezen, de meeste mail infrastructuur is vandaag de dag voorzien van TLS verbindingen en stevige security op de transportservers. Het klassieke scenario dat iemand meeleest met de mail in transport, of een admin van een tussenliggende mailserver even koekeloert in de wachtrij lijkt mij ondertussen wel een beetje achterhaald. Maar met alleen het abstracte verhaal “je moet voorzichtig zijn met mail” kom je er niet als dienstverlener.

Wat is voor jullie het meest aansprekende risico dat je loopt met dit soort systemen?

Arnoud

Foto’s van je kinderen op internet plaatsen versus de AVG

| AE 12616 | Privacy | 15 reacties

Gedaagde heeft beeldmateriaal (foto’s en filmpjes) op social media geplaatst van het minderjarige zoontje van eiseres, zo opende een recent vonnis van de rechtbank Overijssel. Dat mocht niet van de ex-partner. Want voor het plaatsen van foto’s van minderjarigen die de leeftijd van zestien jaren nog niet hebben bereikt, is toestemming van de wettelijk vertegenwoordiger vereist. Althans, ongeveer. En over die ongeveer wilde ik het even hebben.

Heel kort: de vrouw in de relatie had met een andere man een kind gekregen, waar de gedaagde (ik denk ook een man) later ouderlijk gezag over kreeg. Dit gezag bleef gezamenlijk toen de relatie uitging. En op enig moment daarna plaatste de gedaagde foto’s van het kind op Facebook. De eiseres was het daarmee oneens en stapte naar de rechter.

De rechter is er werkelijk in één alinea mee klaar: er is toestemming nodig van de ouders voor publicatie van foto’s van kinderen, die toestemming moet van beide ouders komen en die is er niet, dus die foto’s moeten weg. Dwangsom 50 euro per dag, maximum 2.500 euro, boem u kunt gaan.

Inhoudelijk denk ik weinig mis mee, het is al vaker bepaald dat foto’s van minderjarigen niet tegen de wil van (een van) de ouder(s) door de andere ouder mogen worden gepubliceerd. Maar ik zie hier een veel voorkomend misverstand, namelijk dat de AVG (en UAVG) zeggen dat je áltijd toestemming van de ouders nodig hebt voor publicatie. Dat is namelijk niet waar.

Het misverstand komt door artikel 8 lid 1 AVG, dat begint met

Wanneer artikel 6, lid 1, punt a), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind rechtmatig wanneer het kind ten minste 16 jaar is. Wanneer het kind jonger is dan 16 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.
En daarbij is dan artikel 6 lid 1 sub a AVG de grondslag toestemming. Snel lezend staat hier inderdaad dat toestemming bij internetdiensten door minderjarigen niet kan, dat moeten de ouders of verzorgers geven. Maar lees het nog eens: er staat niet dat verwerken alleen mag met zulke toestemming, er staat dat als je met toestemming werkt, die toestemming moet worden verleend door de ouders.

Niets houdt je dus tegen om te verwerken met een andere grondslag, zoals uitvoering overeenkomst of een eigen gerechtvaardigd belang. Een kind van dertien dat zijn naam invoert in een chatdienst, hoeft geen ouderlijke toestemming. Die naam (een persoonsgegeven) is nodig voor de dienst, je moet aangesproken kunnen worden door medechatters en daar is je naam het logische element voor.

In dit geval had de mede-ouder het wellicht kunnen gooien op dat gerechtvaardigd belang, kort door de bocht zijn uitingsvrijheid. Of dat was gelukt, weet ik niet – je moet als publicerende ouder rekening houden met de privacy van je kind, en hoe je dat doet bij Facebookpublicaties is mij nog niet duidelijk. Maar het is dus zeker geen geval “geen toestemming = mag niet”.

Arnoud

Leveranciers GPS-horloges doen tevergeefs beroep op AVG tegen concurrenten

| AE 12511 | Ondernemingsvrijheid, Privacy | 10 reacties

Een poging van twee leveranciers van GPS-horloges om een concurrent aan te pakken via de privacywet AVG is tot nu toe niet geslaagd. Dat meldde het FD onlangs. De rechtszaak was aangespannen omdat de concurrent de AVG zou overtreden, en daarmee een oneerlijke voorsprong zou nemen op de wél netjes AVG-compliant opererende eisers uit de… Lees verder

Kun je eisen dat je persoonsgegevens uit een gerechtelijk vonnis worden gehaald?

| AE 12343 | Privacy | 1 reactie

Het is altijd een goed onderwerp voor verwarring: hoezo persoonsgegevens, dit is toch geanonimiseerd? En dat klopt, als iets geanonimiseerd is dan zitten er (per definitie) geen persoonsgegevens meer in. Maar de grap is: echt anonimiseren dat doet bijna niemand. Wat bijna iedereen doet, heet pseudonimiseren en je blijft dan gewoon onder de AVG vallen. Zelfs de… Lees verder

Mag je WhatsApp-screenshots met anderen delen?

| AE 12238 | Privacy, Uitingsvrijheid | 26 reacties

Interessante vraag op Reddit: Een kennis stuurt vaak screenshots heen en weer van privé WhatsApp gesprekken naar andere vrienden van die kennis, waarbij niet om toestemming gevraagd wordt. Kan deze persoon hiervoor legale consequenties voor ondervinden worden jegens schending van privacy? Legaal gezien, pardon juridisch gezien maakt het niet heel veel uit met welk technisch middel… Lees verder

Waarom zou je een videoconferentie of elearning mogen opnemen van de AVG?

| AE 12141 | Privacy | 6 reacties

Een lezer vroeg me: Sinds de coronacrisis zitten we met z’n allen massaal in videovergaderingen, maar ook werkoverleg en online trainingen (elearning). Het valt me op dat de organisatoren dat vaak opnemen, en ik vroeg me af of dat wel in de haak is? Dat gebeurde bij ‘ouderwetse’ vergaderingen of trainingen ook lang niet altijd,… Lees verder

Ho stop, datakluizen gaan niets doen aan Facebook en consorten

| AE 12127 | Ondernemingsvrijheid | 24 reacties

Geef gebruikers controle over hun persoonlijke data, om daarmee de te grote macht van grote technologiebedrijven terug te dringen, las ik in NRC voor mijn vakantie. Het huidige model van omgaan met data is niet geschikt om de techbedrijven te bedwingen, zo betoogt daar professor Ruben Verborgh. Zijn betoog lijkt vooral te gaan over het… Lees verder

Je eigen gesprekken opnemen is je goed recht en daarmee basta

| AE 12047 | Privacy, Uitingsvrijheid | 31 reacties

Via de onvolprezen Charlotte Meindersma op Twitter: Als ik jullie goed advies mag geven: wees bij een belangrijk gesprek nooit zo fatsoenlijk om te vragen of je het op mag nemen, maar doe het gewoon. Als je zelf deelnemer bent aan het gesprek, is het niet strafbaar. Dat gaf enige heftige reacties, van ongeloof (“mag… Lees verder

Ik word gefotografeerd als ik iemands huis fotografeer, mag dat?

| AE 11910 | Privacy, Uitingsvrijheid | 102 reacties

Een lezer vroeg me: Ik fotografeer graag huizen. Wanneer ik een huis zie dat voldoet en waar ik een gevoel bij krijg dan neem ik vanaf de openbare weg, vaak staand op mijn auto, foto’s. Nu iedereen dus thuis zit ben ik afgelopen week al meerdere malen aangesproken door enkele buurtgenoten van het desbetreffende huis… Lees verder