Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Ik fotografeer graag huizen. Wanneer ik een huis zie dat voldoet en waar ik een gevoel bij krijg dan neem ik vanaf de openbare weg, vaak staand op mijn auto, foto’s. Nu iedereen dus thuis zit ben ik afgelopen week al meerdere malen aangesproken door enkele buurtgenoten van het desbetreffende huis die vervolgens mij + nummerplaat gaan fotograferen met hun mobieltje. Waarschijnlijk om een beetje stoer te doen of het door te sturen naar de politie. Dat is toch de omgekeerde wereld? Waar sta ik juridisch?

Het is inderdaad toegestaan om vanaf de openbare weg huizen (of andere objecten, of zelfs dieren) te fotograferen wanneer je daar zin in hebt. Dat valt onder de vrijheid van informatiegaring, deel van de vrijheid van meningsuiting (artikel 10 EVRM). Je doel bij de foto’s of het artistiek niveau van de resultaten doet er niet toe.

Portretrecht, de AVG of je eigendomsrecht inroepen als huiseigenaar gaat hem niet worden. Ook dat het onprettig voelt dat iemand met een camera voor je huis staat is geen argument. Alleen als je mensen op de foto zet dan kan privacy in beeld komen, en bij heel vaak op dezelfde plek komen fotograferen héél misschien het argument stalking maar die zie ik eerlijk gezegd niet.

Die huiseigenaren of buurtgenoten die gaan “terugfotograferen” zitten dus iets lastiger in de race, want zij maken nadrukkelijk wel foto’s van een herkenbaar persoon. Dat is ook vrije informatiegaring maar zij moeten rekening houden met de belangen van de persoon die ze op de foto zetten.

De vraag daarbij is dus met welk doel zij dat doen. Stoerdoen is een zuiver particulier doel en dat valt buiten de AVG. Daar is juridisch dus niets tegen te doen. Als ze de foto’s gebruiken voor het geval de fotograaf iets raars blijkt te gaan doen (een inbraak plannen, stalking, kidnapping, ik noem eens een dwarsstraat) dan is dat ook nog te rechtvaardigen. Maar ander doelen zouden niet toegestaan zijn, denk aan de foto preventief op Twitter zetten “wie kent deze rare man met telelens”.

Arnoud

Maar pas deze week zag ik welk fundamenteel maatschappelijk misverstand door dat rare begrip ‘privacy’ is ontstaan. Dat schreef Maxim Februari vorige week in NRC Handelsblad. Hij noemt het een ‘gruwelijk misverstand’ dat het steeds maar over de private kwestie van privacy gaat – de omgang met persoonsgegevens is een kwestie van algemeen belang. Het raakt het hart van de rechtsstaat. En dat is een gruwelijk goed punt, en maakt de discussie zó veel sterker.

De omgang met persoonsgegevens is natuurlijk altijd gebracht vanuit de context van privacy, meestal onder verwijzing naar artikel 8 EVRM waar inderdaad bescherming van je persoonlijke levenssfeer staat geregeld. Juristen maken dan het onderscheid tussen de klassieke of relationele privacy (met rust gelaten worden, jezelf kunnen zijn) en de informationele privacy (niet zomaar digitaal besnuffeld worden). De regels van de Wbp en nu de AVG zijn heel logisch in die context: ze regelen de informationele privacy, ze geven je rechten om te voorkomen dat je gegevens nodeloos worden gebruikt, dat fouten worden gemaakt die jou in je menszijn raken.

Echter. Privacy is een vrij breed begrip, heel flexibel ook. De discussie over het ‘waarom’ van zulke regels komt dan ook al snel uit bij “omdat je recht hebt op privacy”, en dat is dan een heel ongrijpbaar argument. Daar komt bij dat het vaak niet perse gáát over jezelf zijn, over met rust gelaten worden. Februari noemt het voorbeeld van de Belastingdienst die persoonsgegevens misbruikt in de toeslagenaffaire: dat was een ramp omdat aan onbetrouwbare data verregaande en foute conclusies werden verbonden, niet omdat mensen zonder respect voor hun gezinsleven werden behandeld. De Belastingdienst was niet transparant en niet eerlijk.

Dat zijn kwesties van algemeen belang, die raken aan hoe een rechtsstaat moet opereren. (En ja, ook hoe burgers onderling moeten opereren, ook naar elkaar toe heb je eerlijk te zijn.) Wie bestuurt, of wie afspraken maakt, moet zorgen dat hij kan rechtvaardigen wat hij vervolgens doet. Dat is waar het nu vaak misgaat: datamodellen zijn niet volledig of niet inzichtelijk, welke data wordt gebruikt of waarvoor is totaal niet transparant en tegen de conclusies kun je zelden wat doen.

Dát is het ongewenste aan misbruik van persoonsgegevens. Het gaat om eerlijkheid, een nette behandeling van iedereen. Algoritmes (pardon, datasets maar dat bekt minder lekker) inzetten om mensen te beoordelen is niet een individueel probleem maar een probleem van de maatschappij: het is niet netjes, zo willen we mensen niet behandelen.

Zoals ikelders las:

Data-gedreven technologie slaat sociale problemen plat. Het reduceert de werkelijkheid tot data zonder rekening te houden met de verschillende, rauwe, niet-kloppende, tegenstrijdige kanten.

Dat, veel meer dan “laat mij mezelf zijn”, is de kern van dataprotectie.

Arnoud

Nederland is koploper thuiswerken, las ik op diverse plekken. Bestrijding van het coronavirus vereist dat we onszelf zo veel mogelijk isoleren, en thuiswerken is dan ook een logische maatregel (en ja, mijn kantoor is natuurlijk ook dicht nu). Ook het onderwijs is dicht, en daar wordt nu ook breed gegrepen naar elearning en video-oplossingen. En ja, vorige week was ik ook al aan het zeuren over de AVG maar ik kom er toch nog eens op terug want ik zie toch veel misgaan bij de snelle keuze voor video, monitoring en onderwijs op afstand.

Natuurlijk snap ik dat het nu voor iedereen hoogst acuut is om toch even iéts te kunnen realiseren. Geen onderwijs of niet kunnen werken is erger dan kunnen werken met een suboptimale tool. Mijn zorg is alleen vooral dat als we over een aantal maanden, als dit virus weer onder controle is, we blijven werken met deze tools omdat het nu eenmaal lekker werkt. Toch even verder kijken en onderzoeken lijkt me dan ook wel verstandig.

Het probleem zit hem wat mij betreft vooral in het feit dat de snelst inzetbare thuiswerk- en elearningtools uit Amerika komen. De regels over privacy zitten daar, laten we zeggen, net even anders dan bij ons. De aanbieders van die tools beschouwen de gebruikers als de ruwe grondstof voor het verbeteren van hun dienstverlening, al dan niet gekoppeld aan advertentieverkoop of profileren. En dat mag prima in de VS, moet je de privacyverklaring maar lezen en/of de voorwaarden maar afwijzen als het je niet bevalt. En dat is natuurlijk een volkomen absurde fictie maar wel het geldend recht in Amerika.

Hier zouden we iets veiliger moeten zitten omdat de AVG rare voorwaarden verbiedt. Zo kun je niet in gebruiksvoorwaarden akkoord gaan met het monitoren van je elearning- of thuiswerkgedrag door de dienstverlener, of voor het analyseren daarvan voor het ahem “verbeteren van de dienstverlening”. Je zult heel expliciet (dus met een privacyverklaring in eenvoudige taal) moeten uitleggen wat dat precies inhoudt en hoezo die dienstverlener dat zelf gaat doen.

Daarnaast hebben thuiswerk- en elearning tools nog wel eens monitoring features waar we in Europa de wenkbrauwen juridisch van fronsen. Ik blogde al over die webcam die foto’s maakt om je werk te monitoren, maar ook bij studenten en scholieren blijkt er te kunnen worden meegekeken door docenten zonder dat dat gemeld is bij de ouders (of meerderjarige studenten zelf). Dat is natuurlijk heel erg niet de bedoeling.

In het onderwijs zou ik zo hard mogelijk willen benadrukken: kijk bij het privacy Convenant voor partijen waar je wél keurig onder de Europese regels kunt werken. Voor werkgevers is er niet direct zo’n site maar je kunt natuurlijk wel gewoon kiezen voor een Europese leverancier die zelf durft te zeggen dat hij GDPR compliant is terwijl er geen toestemmingsknopje in beeld komt bij de installatieprocedure. (Wie om toestemming vraagt, doet het fout onder de AVG.)

Arnoud

Mijn werkgever verplicht alle werknemers nu thuis te werken vanwege de corona uitbraak. Dat las ik bij Tweakers (dank, tipgever). So far so good, maar dan komt ‘ie: men moet timetrackingsoftware installeren en deze “doet echter op random intervallen screenshots maken en volgens de privacy voorwaarden van deze software ook een lijst bijhouden met alle… Lees verder

Ik ben voor deze posting even mevrouw van Dam. Gehuwd in gemeenschap van goederen. Zo opende een forumbericht bij Security.nl onlangs. Met daaraan gekoppeld de vraag: hoe zit dat dan met de AVG, stel dat je een bestelling van je vrouw wilt ophalen of van een account van je man een inzage- of correctieverzoek wil… Lees verder

Een lezer vroeg me: Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen? Sinds de AVG zijn… Lees verder

Een lezer vroeg me: Mijn werkgever wil dat ik mobiel bereikbaar ben, niet alleen om te bellen maar ook via een chat-app. Ik heb geen smartphone en wordt dus zo gedwongen die te kopen én een account bij Apple of Google te nemen. Kan een werkgever me dit werkelijk verplichten? Anno 2019 is dit niet… Lees verder

Voor het radiospel ‘De Uitverkorene’ stuurt Qmusic een privédetective af op onbekende Nederlanders. Dat meldde RTL maandag. Het concept: een Nederlander wordt door een privédetective gevolgd. Wie de gelukkige denkt te zijn en dat raadt, wint 10.000 euro. De kandidaat-zonder-wil wordt gekozen op basis van een “goede daad” die hij eerder verricht heeft, maar wel… Lees verder

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische… Lees verder

Facebook overtreedt de Belgische privacywet door het internetgedrag te volgen van mensen die geen account bij het sociale netwerk hebben. Dat meldde Nu.nl zaterdag. De vind-ik-leuk knopjes die alomtegenwoordig zijn, zetten cookies en gebruiken andere trackingtechnieken om internetgedrag op te slaan. Ook bij mensen die geen klant (product?) zijn van het sociaal netwerk, en dat… Lees verder