Internetrecht door Arnoud Engelfriet

Ik ben voor deze posting even mevrouw van Dam. Gehuwd in gemeenschap van goederen. Zo opende een forumbericht bij Security.nl onlangs. Met daaraan gekoppeld de vraag: hoe zit dat dan met de AVG, stel dat je een bestelling van je vrouw wilt ophalen of van een account van je man een inzage- of correctieverzoek wil doen? En is het dan relevant of je in gemeenschap van goederen bent getrouwd? Of, iets pikanter -zoals de vraagsteller- kun je daarmee achterhalen of je man stiekeme accountjes heeft bij een niet-nader te noemen immorele datingdienst die aanzet tot echtbreuk maar toch van de RCC mag blijven adverteren?

Privacy en de bescherming van persoonsgegevens zijn grondrechten, en die zijn persoonlijk. Dus als partner in een huwelijk heb je daar in principe niets over te zeggen, het gaat jou niet aan hoe je partner daarmee omgaat. Althans, juridisch niet; natuurlijk mag je er best wat van vinden omdat je nu eenmaal getrouwd bent. Maar bij de rechter is dat niet afdwingbaar.

Uitzondering zou zijn als de gegevens ook die van jou betreffen, denk aan een gezamenlijke bestelling of hypotheek. Maar een bestelling is niet al gezamenlijk enkel omdat je in gemeenschap van goederen bent getrouwd, deze staat op naam van een van de partners en die is dan AVG-technisch de ‘betrokkene’. Dat je via het vermogensrecht als partner opdraait voor de kosten als je partner niet betaalt, staat daar los van.

Heel formeel zie ik dus onder de AVG geen grond om de persoonsgegevens van je partner op te vragen, ook niet als de aanwezigheid van die persoonsgegevens ergens in een systeem kunnen leiden tot financiële claims op jou. Of omdat je er sterker mee komt te staan in een echtscheidingsprocedure. Het zijn niet jouw gegevens.

Wellicht is er wel een uitweg als je zegt, in een huwelijk is het gebruikelijk dat je voor elkaar ook rechtshandelingen uitvoert. Ik bestel iets voor mijn vrouw omdat zij het druk heeft, iemand belt naar de apotheek voor een medicijn voor zijn man, je vrouw boekt een afspraak bij de kapper voor je, en ga zo maar door.

Juridisch gezien zeg je dan, ik ben gemachtigd om dit te doen althans de wederpartij mag veronderstellen dat ik dat mag. Daarmee zou je dan ook kunnen zeggen dat je onder de AVG inzageverzoeken (en correctie, verwijdering et cetera) mag doen. Dat zijn immers ook gewoon rechtshandelingen, en daar ben je dan toe gemachtigd. Wel zou de wederpartij dan bewijs kunnen vragen dát je gemachtigd bent, zeker als in hun systemen niet na te gaan is dat jullie getrouwd zijn. Tot nu toe heb ik zelf alleen maar knipperende ogen gehad als ik met zo’n stuk papier namens mijn vrouw me ergens meldt, maar het zal onwennigheid zijn.

Arnoud
PS en ja dat laatste is de premisse van mijn verhaal A New Intelligence, mocht je het nog niet gelezen hebben.

Een lezer vroeg me:

Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen?

Sinds de AVG zijn steeds meer mensen zich bewust van hun rechten omtrent persoonsgegevens. Je ziet dan ook vaker en vaker dat men op websites vergeetverzoeken, correctieaanvragen en dergelijke doet. Een site-beheerder moet daaraan meewerken, maar helaas gebeurt dat niet altijd.

We kennen deze problematiek van andere juridische domeinen, zoals het auteursrecht. Je gaat dan hogerop in de keten, en je spreekt de hoster aan. Volgens de gewone regels voor aansprakelijkheid (art. 6:196c BW) moet een hoster ingrijpen als een klant evident (onmiskenbaar) onrechtmatig handelt. De site of publicatie weghalen bijvoorbeeld, of de klant dwingen een correctie door te voeren.

Bij auteursrechtinbreuk is dat relatief simpel: weg die film, weg die muziek. Of er komt discussie, van wie is die foto eigenlijk, en dan is de overtreding niet meer evident. Daar kom je nog wel uit.

Bij privacykwesties is dit een stuk lastiger. Is dit vergeetverzoek terecht of is de informatie nog actueel? Is er toestemming gegeven (en/of niet ingetrokken) of is het beroep op een legitiem belang hier juist? Is dit hergebruik binnen de doelbinding? Daar kom je gewoon niet uit als hostingbedrijf.

Een complicatie is dat veel hosters zich opstellen als verwerkers, oftewel partijen die de informatie uitsluitend in opdracht van de klant online zetten. Dan mógen ze niet eens zelf besluiten om in te grijpen, ook al is de overtreding nog zo evident. Onder de AVG moet een verwerker verzoeken van betrokkenen doorspelen naar de verantwoordelijke (de klant dus) en die het laten afhandelen.

Wel is het zo dat een verwerker verplicht is verwerking te staken als deze evident in strijd is met de AVG. Hij moet dan in discussie met de verantwoordelijke over hoe verder. Effectief komt dat volgens mij op hetzelfde neer: je zegt dan alsnog tegen de klant, volgens mij gaat hier iets mis met deze persoonsgegevens op je site, hoe ga je dat oplossen of haal ik de site/pagina offline? De route is anders maar het resultaat volgens mij gelijk.

Een lezer vroeg me:

Mijn werkgever wil dat ik mobiel bereikbaar ben, niet alleen om te bellen maar ook via een chat-app. Ik heb geen smartphone en wordt dus zo gedwongen die te kopen én een account bij Apple of Google te nemen. Kan een werkgever me dit werkelijk verplichten?

Anno 2019 is dit niet 100% duidelijk. In de kern moet de werkgever aan de werknemers de gereedschappen beschikbaar stellen voor het werk, maar als het in de branche gebruikelijk is dat die het zelf meeneemt, dan kan de werkgever zich daarop beroepen. Dit speelt bijvoorbeeld bij kappers en chefkoks die eigen scharen en messen meenemen zodat het het beste bij hun hand past. Een restaurant kan dan zeggen, bij ons krijg je geen eigen messen, die moet je zelf meenemen.

Het gaat voor mij echter te ver om te zeggen, koop als ‘gewone’ werknemer maar een smartphone van vele honderden euro’s en zet daar onze app op. Een dergelijke investering kun je niet verlangen van werknemers. En ja, ik weet dat messensets ook duur kunnen zijn maar dat zijn werknemers die ook navenant beloond worden en unieke skills hebben. Als je als werknemer in een met chefkoks vergelijkbare situatie bent én het normaal is dat iedereen met eigen smartphones rondloopt, dan wil ik dit standpunt nog wel herzien.

De meeste mensen hebben een eigen smartphone, en dan kun je dat ‘duur’ argument natuurlijk niet meer gebruiken. Dan gaat het in de praktijk vooral over het gedoe rondom die chat-app en wat er nog meer bij komt kijken. Het installeren van WhatsApp is praktisch gezien weinig gedoe en vergt niet veel van je telefoon, dus daar heb je alleen je privacy-argument nog over. Een custom chat-app inclusief MDM en remote wipe optie is op zich alweer een hele burden voor de werknemer.

Dat privacyargument is wel iets wezenlijk extra’s ten opzichte van die messen- of scharenset. Daar gaat die vergelijking dan ook scheef op, wat mij betreft. Je kunt denk ik best verlangen dat mensen eigen spullen meenemen die hen op het lijf zijn gesneden, zeker als iedereen dat al jaren doet, maar eisen dat ze ook bij jou hun privacy te grabbel gooien is volgens mij geen goed werkgeverschap.

Arnoud

Voor het radiospel ‘De Uitverkorene’ stuurt Qmusic een privédetective af op onbekende Nederlanders. Dat meldde RTL maandag. Het concept: een Nederlander wordt door een privédetective gevolgd. Wie de gelukkige denkt te zijn en dat raadt, wint 10.000 euro. De kandidaat-zonder-wil wordt gekozen op basis van een “goede daad” die hij eerder verricht heeft, maar wel… Lees verder

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische… Lees verder

Facebook overtreedt de Belgische privacywet door het internetgedrag te volgen van mensen die geen account bij het sociale netwerk hebben. Dat meldde Nu.nl zaterdag. De vind-ik-leuk knopjes die alomtegenwoordig zijn, zetten cookies en gebruiken andere trackingtechnieken om internetgedrag op te slaan. Ook bij mensen die geen klant (product?) zijn van het sociaal netwerk, en dat… Lees verder

Een lezer vroeg me: Wanneer ouders of andere mensen een foto van jou als kind online hebben gezet, kun je die dan weg laten halen met een beroep op je privacy als je meerderjarig bent? Dat kan, maar zal er vooral van afhangen of je ouders destijds ingestemd hebben met de publicatie. Als je ouders… Lees verder

Een lezer vroeg me: Wat mag er van de wet bij consulten bij een arts? Mag een patiënt deze gesprekken opnemen, en omgekeerd mag een arts dat ook? De wet is vrij simpel over het opnemen van gesprekken waar je als privépersoon deelnemer aan bent: dat mag, en je hoeft je gesprekspartner(s) daar niets over… Lees verder

Via Reddit: Voor een vak op school (HBO) moet ik als onderdeel van het lesprogramma een video van mezelf maken en deze in het online programma van school zetten. Echter is deze video dan te zien voor elke leerling die dit vak volgt (meer dan 200) en dus ook te kopiëren. De bedoeling is dat… Lees verder

Een gescheiden vader uit Twente mag op Facebook geen foto’s van zijn 2-jarige kind meer delen, las ik bij de NOS. De kinderrechter bepaalde dat dit niet in het belang is van het kind en de broze omgangsregeling die net getroffen is. (Volgens mij was de man niet getrouwd met de moeder.) Met de ietwat… Lees verder