Hoe veel privacy heb je bij reparatie van je computer of smartphone?

Bij het laten repareren van computers en smartphones is geen privacy en lopen mensen het risico dat hun persoonlijke foto’s en andere gegevens worden bekeken en gekopieerd, zo stellen onderzoekers van de University of Guelph in Canada. Dat meldde Security.nl onlangs. Speciaal geprepareerde laptops hielde in detail bij wat reparateurs op de machines allemaal uitvoerden: foto’s kopiëren, browsegeschiedenis bekijken en wachtwoorden noteren. Hoe zou dat bij ons uitpakken?

In theorie is het een strafbaar feit (art. 272/273 Strafrecht) om vertrouwelijke informatie van het werk te onthullen of voor andere doeleinden te gebruiken. Ik ken echter geen situaties waarin reparateurs werden vervolgd voor het soort handelen als in dat onderzoek werd beschreven. De AVG zou wel kunnen helpen, want je verwerkt als reparatiebedrijf dan persoonsgegevens op een manier die niet hoort bij de reparatie-opdracht. En uit je zorgplicht als dienstverlener volgt lijkt me ook wel dat je dit gewoon niet doet.

Het grote probleem is natuurlijk dat je hier moeilijk tot niet achter komt als klant. Heel misschien die wachtwoorden, maar de andere dingen kan een gewone gebruiker echt niet detecteren. En ze vooraf weghalen of afschermen is natuurlijk niet echt mogelijk, tegen de tijd dat je naar een reparatiewinkel gaat is de gemiddelde laptop of smartphone niet meer benaderbaar voor backups en afschermen.

Interessant vond ik nog het nieuwtje van Samsung en haar “Repair Mode“:

De modus geeft voldoende toegang om een reparatie uit te voeren, inclusief data over de apps van een device. Technici krijgen geen toegang tot de gebruikersgegevens van apps. Foto’s, sms’jes en e-mails blijven privé. … Samsung deelde geen details over de onderliggende technologie, maar we hebben een idee. Android-toestellen maken het reeds mogelijk om verschillende accounts voor verschillende gebruikers aan te maken.
Dit werkt bij smartphones denk ik vrij goed, zo’n gastaccount voor reparateurs zal dan geen sleutel bevatten om de user content te unlocken, maar biedt wel toegang tot instellingen van het apparaat zodat diagnostiek en controle uit te voeren is. Bij laptops zou ook zoiets kunnen, maar daar is disk encryptie (zoals Bitlocker) bij consumenten niet standaard. Dan zou je dus ook vanuit een gastenaccount op de harddisk kunnen gaan snuffelen, of gewoon de HD eruit halen en uitlezen.

Arnoud

Kan iemand me uitleggen waar de NCTV ook weer goed voor is?

OpenClipart-Vectors / Pixabay

De Autoriteit Persoonsgegevens heeft zware kritiek op het wetsvoorstel dat de Nationaal Coördinator Terrorismebestrijding (NCTV) toestaat om burgers online te volgen en gevoelige persoonsgegevens te verzamelen, analyseren en met binnen- en mogelijk ook buitenlandse partijen te delen. Dat meldde Security.nl onlangs. Na het lezen van het stuk kan er voor mij maar een conclusie mogelijk zijn (en dat zie je niet vaak bij de AP): waarom wilden we ook weer een NCTV?

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) is een instantie van de Nederlandse overheid die in 2012 werd ingesteld “om Nederland te beschermen tegen bedreigingen die de maatschappij kunnen ontwrichten. Samen met partners binnen overheid, wetenschap en bedrijfsleven zorgt de NCTV ervoor dat de Nederlandse vitale infrastructuur veilig is én blijft.” Van zo veel ambtenarenjargon ontgaat je meteen de lust om er wat van te vinden, met name die “én” met accent is een plastic lipje in je toetje van 220 euro.

En wat dóen ze nou precies? Nederlanders volgen op social media, wat dus een probleem is omdat dat niet mag zonder nadere bevoegdheden. Die ze niet hadden, vandaar een wetsvoorstel – wat sowieso al raar is, als een dienst tegen de wet handelt dan zou ik zeggen dat je die dienst vijf jaar lang niet in de búúrt laat komen van die activiteiten in plaats van het te legaliseren. Maar ja, wie ben ik.

“Als je bij de geheime diensten en politie ziet met hoeveel randvoorwaarden het verwerken van dergelijke gevoelige informatie omgeven is, dan valt toch niet te verdedigen dat dit bij de NCTV niet nodig is? Dat bij de NCTV een enkele, door de NCTV zelf uit te voeren toets voldoende zou zijn? Dat is de slager die zijn eigen vlees keurt”, zegt AP-voorzitter Aleid Wolfsen.
Minister Grapperhaus liet onlangs weten dat het kabinet het wetsvoorstel snel wil behandelen, en doet daarbij zonder enige ironie een beroep op de nationale veiligheid. Oké. Maar mij is nog steeds niet duidelijk waarom we een NCTV nodig hebben naast de bestaande diensten?

Arnoud

Mijn klant wil medische gegevens laten mailen, welke zorgplicht heb ik?

OpenClipart-Vectors / Pixabay

Een lezer vroeg me:

Ik ontwikkel een website voor een zorgverlener. Daarin zit ook een intake-formulier, waarin cliënten zich aanmelden en daarbij medische gegevens (bijvoorbeeld klachten of voorgeschiedenis) kunnen opgeven. De zorgverlener is een eenmanszaak en wil graag dat de gegevens naar hem gemaild worden vanuit het formulier. Ook moet de cliënt de optie krijgen om een kopie naar zichzelf te laten sturen ter bevestiging. Ik vind dat nogal onveilig, maar de klant staat erop. Hoe moet ik hiermee omgaan juridisch gezien?
De kern van de vraag is of e-mail wel een veilig medium is voor het transporteren van medische persoonsgegevens. De AVG stelt hoge eisen aan de beveiliging, en e-mail is natuurlijk niet inherent voorzien van de hoogste beveiliging. Het kan, maar je moet er wel je best voor doen. Denk aan situaties waarin de mailserver binnen hetzelfde domein draait als de website met het formulier, als die omgeving als geheel veilig is dan is natuurlijk dat mailtje ook beveiligd.

Vaak zie je echter dat men een oplossing inzet die voor ‘gewone’ bevestigingsmails (aanvraag offerte, inschrijving nieuwsbrief et cetera) gebruikt. De inhoud van het formulier wordt in een mailtje geplakt en via een standaardfunctie van je websitesoftware verstuurd. Ik zou dat een risico vinden, en daar dus aandringen op end-to-end encryptie of een gespecialiseerde oplossing. Een simpel alternatief kan zijn dat de medewerker een mailtje krijgt met een link naar de informatie, en dan moet inloggen op de backend van de website om de informatie te zien.

Specifiek bij de kopie naar de klant kan het anders liggen. Je kunt dan zeggen, de zorgvrager verzoekt met dat vinkje zelf om de kopie, en daarmee valt het versturen buiten de verantwoordelijkheid van de zorgaanbieder. Dan is er dus niets aan de hand. Alleen: weet de zorgvrager wel wat zhij vraagt met dat vinkje, of gaat die er vanuit dat de zorgaanbieder het veilig ingeregeld heeft? Dat laatste lijkt mij vrij waarschijnlijk. Bovendien ontkom je niet aan het feit dat de zorgaanbieder toch een en ander doet met die persoonsgegevens – en wel in opdracht, dus als verwerker namens de zorgvrager. En dan blijf je zitten met de beveiligingseisen.

Het lastige is natuurlijk dat e-mail over het algemeen wordt gezien als een handig en snel middel, en dat mensen de risico’s lastig kunnen inschatten. Want laten we wel wezen, de meeste mail infrastructuur is vandaag de dag voorzien van TLS verbindingen en stevige security op de transportservers. Het klassieke scenario dat iemand meeleest met de mail in transport, of een admin van een tussenliggende mailserver even koekeloert in de wachtrij lijkt mij ondertussen wel een beetje achterhaald. Maar met alleen het abstracte verhaal “je moet voorzichtig zijn met mail” kom je er niet als dienstverlener.

Wat is voor jullie het meest aansprekende risico dat je loopt met dit soort systemen?

Arnoud

Foto’s van je kinderen op internet plaatsen versus de AVG

Gedaagde heeft beeldmateriaal (foto’s en filmpjes) op social media geplaatst van het minderjarige zoontje van eiseres, zo opende een recent vonnis van de rechtbank Overijssel. Dat mocht niet van de ex-partner. Want voor het plaatsen van foto’s van minderjarigen die de leeftijd van zestien jaren nog niet hebben bereikt, is toestemming van de wettelijk vertegenwoordiger vereist. Althans, ongeveer. En over die ongeveer wilde ik het even hebben.

Heel kort: de vrouw in de relatie had met een andere man een kind gekregen, waar de gedaagde (ik denk ook een man) later ouderlijk gezag over kreeg. Dit gezag bleef gezamenlijk toen de relatie uitging. En op enig moment daarna plaatste de gedaagde foto’s van het kind op Facebook. De eiseres was het daarmee oneens en stapte naar de rechter.

De rechter is er werkelijk in één alinea mee klaar: er is toestemming nodig van de ouders voor publicatie van foto’s van kinderen, die toestemming moet van beide ouders komen en die is er niet, dus die foto’s moeten weg. Dwangsom 50 euro per dag, maximum 2.500 euro, boem u kunt gaan.

Inhoudelijk denk ik weinig mis mee, het is al vaker bepaald dat foto’s van minderjarigen niet tegen de wil van (een van) de ouder(s) door de andere ouder mogen worden gepubliceerd. Maar ik zie hier een veel voorkomend misverstand, namelijk dat de AVG (en UAVG) zeggen dat je áltijd toestemming van de ouders nodig hebt voor publicatie. Dat is namelijk niet waar.

Het misverstand komt door artikel 8 lid 1 AVG, dat begint met

Wanneer artikel 6, lid 1, punt a), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind rechtmatig wanneer het kind ten minste 16 jaar is. Wanneer het kind jonger is dan 16 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.
En daarbij is dan artikel 6 lid 1 sub a AVG de grondslag toestemming. Snel lezend staat hier inderdaad dat toestemming bij internetdiensten door minderjarigen niet kan, dat moeten de ouders of verzorgers geven. Maar lees het nog eens: er staat niet dat verwerken alleen mag met zulke toestemming, er staat dat als je met toestemming werkt, die toestemming moet worden verleend door de ouders.

Niets houdt je dus tegen om te verwerken met een andere grondslag, zoals uitvoering overeenkomst of een eigen gerechtvaardigd belang. Een kind van dertien dat zijn naam invoert in een chatdienst, hoeft geen ouderlijke toestemming. Die naam (een persoonsgegeven) is nodig voor de dienst, je moet aangesproken kunnen worden door medechatters en daar is je naam het logische element voor.

In dit geval had de mede-ouder het wellicht kunnen gooien op dat gerechtvaardigd belang, kort door de bocht zijn uitingsvrijheid. Of dat was gelukt, weet ik niet – je moet als publicerende ouder rekening houden met de privacy van je kind, en hoe je dat doet bij Facebookpublicaties is mij nog niet duidelijk. Maar het is dus zeker geen geval “geen toestemming = mag niet”.

Arnoud

Leveranciers GPS-horloges doen tevergeefs beroep op AVG tegen concurrenten

Een poging van twee leveranciers van GPS-horloges om een concurrent aan te pakken via de privacywet AVG is tot nu toe niet geslaagd. Dat meldde het FD onlangs. De rechtszaak was aangespannen omdat de concurrent de AVG zou overtreden, en daarmee een oneerlijke voorsprong zou nemen op de wél netjes AVG-compliant opererende eisers uit de zaak. Maar volgens de rechter is de AVG niet bedoeld om concurrenten mee aan te pakken; alleen consumenten en de AP kunnen zich op deze wet beroepen. Buitengewoon jammer!

De rechtszaak was aangespannen door Leading Care Technologies (LCT) en Lifewatcher uit Zoetermeer. Deze bedrijven leveren GPS-horloges aan ouderen, die daarmee direct contact kunnen houden met verzorgers. Alles netjes geregeld, zo te lezen: ze kopen in bij een Oostenrijks bedrijf en voor de verwerking van persoonsgegevens is een verwerkersovereenkomst gesloten met de leverancier.

De gedaagde was iets makkelijker: het door hem geleverde horloge en de app komen uit China. De app is gratis en kan gedownload worden uit de app-stores van Apple en Google, zonder enige check of toezicht vanuit de verkoper. Dat lijkt mij ook niet direct AVG-compliant, dus ik snap wel dat je je dan gefrustreerd voelt als concurrent die wél hard z’n best doet.

Het vonnis laat zien dat het gaat om de ‘relativiteit’, is het wel de bedoeling dat deze wet voor dit doel wordt ingezet. De AVG is een vertaling van het grondrecht van grip op je persoonsgegevens, en dat is per definitie iets persoonlijks waar gewone mensen wat aan hebben. De concurrent van een gebruiker van persoonsgegevens heeft weinig te maken met mijn grondrechten als betrokkene.

Het is natuurlijk erg jammer want juist private handhaving heeft bij dit soort wetgeving het meeste effect. Kijk naar reclamerecht en oneerlijke handelspraktijken: daar gaat het erg netjes mee in Nederland, omdat iedereen weet dat de concurrent in je nek springt als je ten onrechte zegt dat je goedkoper, sneller, beter of compatibeler bent.

Formeel is natuurlijk ook die wetgeving gericht op bescherming van consumenten, maar in de Europese Richtlijn over handelspraktijken staat vrij expliciet dat deze indirect legitieme ondernemingen beschermt tegen concurrenten die de regels in de richtlijn niet in acht nemen. Een dergelijke opmerking ontbreekt in de AVG, dus dat argument gaat hier niet op.

Dat had bij de AVG ook best kunnen werken: wie persoonsgegevens oneerlijk verwerkt, zet zichzelf op een oneerlijke voorsprong en daar lijdt de concurrent schade door. En bedrijven zijn prima in staat om in te schatten waar een bedrijf de fout in gaat met een wet als de AVG. Maar daar zet de rechter nu dus een streep door. Gemiste kans.

Opvallend nog is wat de rechter zegt over de gratis app. Die zou oneerlijke concurrentie opleveren: een gooi-en-smijt app met mogelijk Chinese achterdeur versus een zorgvuldig ontwikkelde en pas na dpia uitgebrachte Europese app, dat gaat nergens over natuurlijk. Maar nee:

Op computers kan gratis software worden geïnstalleerd en ook met de mogelijkheid om via App Store of Google Play Store gratis apps te downloaden zijn gebruikers van smartphones en tablets al jaren bekend. Ook de eventueel daaraan verbonden voor- en nadelen mogen inmiddels bekend worden verondersteld. Eén van die gratis apps is de SeTracker app, die niet alleen op de door Avium geleverd GPS-horloges werkt maar door iedereen op een geschikt apparaat, zoals een smartwatch of smartphone, kan worden geïnstalleerd.
Dit voelt wel erg kort door de bocht: iedereen weet dat gratis apps de privacy kunnen schenden, dus het is niet oneerlijk als een bedrijf daarvoor kiest. Zolang ze maar eerlijk zijn dat je AVG-technisch kaalgesnuffeld wordt. Daar heb ik geen juridische argumenten meer tegen.

Arnoud

Kun je eisen dat je persoonsgegevens uit een gerechtelijk vonnis worden gehaald?

Het is altijd een goed onderwerp voor verwarring: hoezo persoonsgegevens, dit is toch geanonimiseerd? En dat klopt, als iets geanonimiseerd is dan zitten er (per definitie) geen persoonsgegevens meer in. Maar de grap is: echt anonimiseren dat doet bijna niemand. Wat bijna iedereen doet, heet pseudonimiseren en je blijft dan gewoon onder de AVG vallen. Zelfs de rechtspraak, zoals een recent vonnis laat zien.

In deze zaak had de eiser eerder een rechtszaak tegen Google gevoerd over verbergen van zekere zoekresultaten bij een opdracht op zijn naam. Dat verloor hij, en de uitspraak werd gepubliceerd. Uiteraard conform de anonimiseringsrichtlijnen van de rechtspraak, maar desondanks vond de man het nodig om verwijdering van het gepubliceerde vonnis te vorderen.

Dat roept de vraag op, staan er nog persoonsgegevens in zo’n vonnis dan, als het geanonimiseerd is? Namen worden weggehaald, geboortedata tot jaren teruggebracht en adressen blijven natuurlijk ook buiten schot. Daarnaast worden ook meer indirect identificerende dingen weggehaald, zoals URLs waarin de naam van de eisende partij voorkomt.

Maar wat doe je met persoonlijke informatie in het vonnis zelf? De rechter moet bijvoorbeeld als argument brengen dat weliswaar iemands naam op een website staat, maar dat die vermelding niet onjuist of irrelevant lijkt. Daarvoor moet je in het vonnis de naam noemen en denk ik ook de tekst van de vermelding, anders onderbouw je je analyse niet. Maar dan staat er dus een naam én een tekst die iets over die meneer zegt, in het vonnis.

Nu komen we in een van de vele hoofdpijnstukken uit de AVG. In 2014 bepaalde het Hof van Justitie dat juridische analyses over een persoon an sich wel persoonsgegevens bevatten maar geen persoonsgegevens zijn. Je kunt dus niet bijvoorbeeld een vonnis of beschikking laten corrigeren omdat er een fout in staat (artikel 16 AVG) of laten wissen (artikel 17). Daar zijn eigen procedures voor.

Ik zeg eerlijk dat ik hier helemaal niets van snap; een juridische redenering dat ik een strafbaar feit heb gepleegd (om eens wat te noemen) lijkt mij evident een persoonsgegeven want er staat in dat ik een oplichter ben. Dat ik dat niet mag corrigeren of verwijderen, volgt gewoon uit de systematiek van de AVG – het is niet fout en niet irrelevant of overdadig of zo. Maar goed, het Hof heeft het gezegd en het Hof heeft per definitie gelijk.

De beschikking (de uitspraak in een verzoekschriftprocedure) is dus geen persoonsgegeven en kan niet worden verwijderd op grond van de AVG. Mogelijk kan dat wel gelden voor specifieke feitelijke stukjes:

In het hiervoor onder 4.6. genoemde arrest heeft het HvJEU immers overwogen dat de gegevens die de feitelijke basis vormen voor de juridische analyse persoonsgegevens in de zin van de Richtlijn persoonsgegevens kunnen zijn. De omstandigheid dat die feitelijke gegevens in een rechterlijke beslissing door de rechter worden vastgesteld conform de regels van het procesrecht maakt niet dat van persoonsgegevens geen sprake meer is.
De verzoekster had echter haar bezwaar vooral gericht op de juridische delen van de beschikking, en daar geldt dit argument dus niet bij. Maar inderdaad zitten er dus wel degelijk persoonsgegevens in geanonimiseerde vonnissen.

Arnoud

Mag je WhatsApp-screenshots met anderen delen?

Interessante vraag op Reddit:

Een kennis stuurt vaak screenshots heen en weer van privé WhatsApp gesprekken naar andere vrienden van die kennis, waarbij niet om toestemming gevraagd wordt. Kan deze persoon hiervoor legale consequenties voor ondervinden worden jegens schending van privacy?
Legaal gezien, pardon juridisch gezien maakt het niet heel veel uit met welk technisch middel zo’n gesprek doorgezet wordt. Of je nu een screenshot maakt, het voorleest of met de hand overtypt, waar het om gaat is dat je de inhoud van een conversatie deelt met derden.

Het opnemen of loggen van gesprekken waar je zelf deelnemer aan bent, is in Nederland toegestaan – ook zonder toestemming van je wederpartij. In andere landen (zoals Duitsland) kan dat anders liggen, maar hier is het juridisch prima om dat te doen. Een gesprek opnemen waar je géén deelnemer aan bent, is strafbaar (art. 139c Strafrecht).

De reden dat dat legaal is, is omdat wij vinden dat je bewijs moet kunnen bewaren van wat jij in een conversatie hebt gezegd, of wat je wederpartij tegen jou zei. Daaruit volgt natuurlijk meteen dat je die gesprekslogs (of screenshots dus) niet zomaar met derden mag delen, want dat gaat het doel te buiten. Doe je dat toch, dan kom je ook in het strafrecht terecht want het in strijd met de wet delen van gespreksopnames is strafbaar (art. 139e Strafrecht).

Je kunt het natuurlijk ook via de AVG spelen, want zo’n gesprekslogscreenshot is een persoonsgegeven en mag dus niet zonder toestemming of andere grondslag worden verspreid. Ik zou niet weten hoe je dat rechtbreidt.

De eigenlijk enige situatie waarin delen wél gerechtvaardigd is, is als je iets juridisch of nieuwswaardigs wil doen met dat gesprek. Een screenshot maken en delen met de politie bij een aangifte is natuurlijk wel toegestaan, net zoals het aan je werkgever geven omdat een collega je lastigvalt. Een journalist zou heel misschien een privégesprek kunnen screenshotten en gebruiken in het nieuws, al heb ik moeite met een concreet voorbeeld bedenken. Maar dit zijn echt uitzonderingen en zeker niet hetzelfde als “stuurt vaak screenshots naar andere vrienden”.

Arnoud

Waarom zou je een videoconferentie of elearning mogen opnemen van de AVG?

Een lezer vroeg me:

Sinds de coronacrisis zitten we met z’n allen massaal in videovergaderingen, maar ook werkoverleg en online trainingen (elearning). Het valt me op dat de organisatoren dat vaak opnemen, en ik vroeg me af of dat wel in de haak is? Dat gebeurde bij ‘ouderwetse’ vergaderingen of trainingen ook lang niet altijd, dus echt nodig lijkt het niet. En toestemming wordt zelden gevraagd. Kun je hier je juridisch licht eens over laten schijnen?
Het gebruik van videotools voor overleg, kennisoverdracht en vergaderen is natuurlijk alomtegenwoordig, maar roept ook veel vragen op. Ik denk dat je in het algemeen wel kunt zeggen dat je daaraan moet meedoen, als het onderwerp van het overleg of de meeting sowieso al een verplicht nummer voor je was.

Het is al discutabel of je verplicht kunt worden je camera aan te zetten. Jezelf in beeld brengen is heel wat anders dan alleen maar meeluisteren. Ik zie daar niet meteen het nut van in, tenzij het bijvoorbeeld (in de context van een training) gaat om een oefening of presentatie. Dan wil je vaak ook zien hoe iemand het brengt of het doet, en dan is video dus essentieel.

Het opnemen van een overleg of training kan handig zijn, zeker bij elearning waarbij niet iedereen op hetzelfde tijdstip aanwezig kan of wil zijn. Dan kun je de opname achteraf terugkijken. Ik denk dat dát prima te rechtvaardigen is als een eigen belang (dat van de organisator en/of de deelnemers), mits je maar zorgt dat de opname dan ook echt alleen voor terugkijken wordt ingezet. Niet delen dus met derden, en wissen nadat de cursus is afgelopen.

Bij een vergadering vind ik dit iets minder logisch, is er werkelijk iemand die een vergadering wil terugkijken? Je zou zeggen dat notulen (of liever nog een actielijst) genoeg zijn om de essentie van de vergadering te achterhalen.

Dan heb je nog grapjassen die denken dat je onder de grondslag toestemming werkt, omdat je videoconferencingtool bovenin de uitzending zegt “Door deel te nemen geeft u toestemming voor opname”. (Ja ik kijk naar jou, Microsoft Teams.) Dat heeft natuurlijk nul betekenis die tekst, want dat is niet hoe toestemming onder de AVG werkt. Maar zelfs als er wél rechtsgeldig toestemming is: die kan de deelnemer op ieder moment intrekken, zonder gevolgen en zonder beperkingen (“nee sorry Jaap, je intrekking kan pas als hoofdstuk 3 klaar is”). Nogmaals, wie denkt op toestemming te kunnen varen, die schendt de AVG – of heeft een nieuwsbrief.

Arnoud

Ho stop, datakluizen gaan niets doen aan Facebook en consorten

Geef gebruikers controle over hun persoonlijke data, om daarmee de te grote macht van grote technologiebedrijven terug te dringen, las ik in NRC voor mijn vakantie. Het huidige model van omgaan met data is niet geschikt om de techbedrijven te bedwingen, zo betoogt daar professor Ruben Verborgh. Zijn betoog lijkt vooral te gaan over het gebrek aan dataportabiliteit: je kunt data niet meenemen, alles zit opgesloten bij Facebook en dáárdoor zijn ze zo machtig. Want daardoor ga je niet weg, en concurrenten kunnen niets opzetten want er komt niemand. Leuk en ik zie het punt, maar dat is niet het probleem.

En wat al helemaal niet het punt is, is de oplossing om data in een decentrale persoonlijke kluis te zetten. Die metafoor heb ik vaker voorbij zien komen. Het idee is altijd dat als je de data maar ergens anders opslaat, er dan meer grip op komt. Ongeacht het probleem is de oplossing een database, zoals dat in IT-land heet. Maar daar gáát het niet om.

Het punt van die macht van Facebook is natuurlijk dat iedereen daar zit omdat iedereen daar zit. En dat ze je privacy eenvoudig kunnen schenden omdat je daar niet mee bezig bent. Dat los je niet op met een extra database waar dan je privacygevoelige gegevens in zitten. Praktisch gezien vraagt Facebook dan gewoon “mag ik even in je kluis” en dan klik je op ja, waarna dezelfde situatie ontstaat. Ik zie dat echt niet.

Helemaal jeuk krijg ik dan (ik weet het, ik krijg overal jeuk van maar het is dit of hoofdpijn) van het idee dat je dan als consument geld zou kunnen vragen voor toegang tot je kluis. Persoonsgegevens zijn geen eigendom, dat is een heel slecht idee. Het gaat om je fundamentele rechten, niet om stukjes arbeid of producten die anderen best mogen hebben tegen betaling.

Dit nog los van het punt dat het in de meeste gevallen niet eens gáát om het soort data dat je in een kluis stopt. Dan moet je immers denken aan dingen als je NAW gegevens, kopie identiteitsbewijs, schoolresultaten; algemeen gezegd, dossierstukken. Maar wat Facebook wil weten is of jij die video leuk vindt. Dat artikel leest. Wel eens vaker op sites voor onzekere mannen komt. Iets vindt van Black Lives Matter. Dát geeft ze inzicht in jouw interesses en daarmee inzicht in waar op te adverteren. En dat is haast per definitie informatie die een Facebook zelf verzamelt, niet iets dat in jouw digitale kluis gaat.

Arnoud

Je eigen gesprekken opnemen is je goed recht en daarmee basta

Via de onvolprezen Charlotte Meindersma op Twitter:

Als ik jullie goed advies mag geven: wees bij een belangrijk gesprek nooit zo fatsoenlijk om te vragen of je het op mag nemen, maar doe het gewoon. Als je zelf deelnemer bent aan het gesprek, is het niet strafbaar.

Dat gaf enige heftige reacties, van ongeloof (“mag dat echt zonder te vragen”) tot gefronste wenkbrauwen gevolgd door grote woorden over de AVG en zelfs de Grondwet. Dat schiet bij mij in het verkeerde keelgat, want het is gewoon juist wat ze zegt.

Het is inderdaad niet strafbaar om gesprekken op te nemen waar je deelnemer aan bent (art. 139a Strafrecht). Je hoeft het niet te melden aan je gesprekspartner, en komt het uit dan heeft zhij ook geen recht op een kopie. De gedachte van de strafwet is dat afluisteren van andermans privégesprekken kwalijk is, maar als je zelf in het gesprek zit, dan is er geen probleem op dat gebied.

Naast het strafrecht heb je natuurlijk de AVG. Die vindt inderdaad iets van het maken van gespreksopnamen, want dat zijn persoonsgegevens die je dan verwerkt. Alleen: wanneer je die opname maakt voor jezelf, omdat je bewijs wil van wat er is gezegd en dat bewijs hooguit inzet in juridische procedures, dan valt dat onder de exceptie voor huishoudelijke doeleinden.

Krijg je natuurlijk meteen het verwijt dat “huishoudelijke doeleinden” heel beperkt uitgelegd wordt. Daar ben ik dus even ingedoken, en dat valt reuze mee. Het is natuurlijk in zoverre beperkt, want het moet gaan om iets particuliers (dus niet met je zakelijke pet op, ook niet als eenmanszaak) en iets dat tot jouw huishoudelijke activiteiten beperkt is. Oftewel jij in je eentje doet de hele verwerking, het gaat om mensen die dichtbij je staan en alles gebeurt op kleine schaal.

Ik zie werkelijk niet hoe “ik neem mijn eigen gesprekken op en bewaar die voor het geval er een juridisch conflict is waarbij ik de opname nodig heb” conflicteert met bovenstaande.

Minstens zo belangrijk: het opnemen van je eigen gesprekken valt vrij evident onder de informatievrijheid, het recht feiten en inlichtingen te mogen verzamelen (artikel 10 EVRM, artikel 11 Handvest). Dat is een grondrecht, net zo goed als privacy (artikel 8 EVRM) en bescherming van persoonsgegevens (artikel 9 Handvest). Vanuit dat perspectief is het raar om te zeggen “moet dat nou, je kunt het toch even vragen”. Je hebt geen ‘moet’ nodig om een grondrecht uit te mogen oefenen. Dat mag je, punt.

Natuurlijk kan het ene grondrecht botsen bij het andere, en dat is wat hier dan gebeurt. Een opname is inderdaad een inperking op iemands bescherming van persoonsgegevens, en mogelijk ook een privacyschending (ik twijfel, want je was erbij tijdens het gesprek en waarom is het dan privé als de ander terug kan halen wat je zei). Je komt dan in een afweging van belangen terecht, waarbij uitgangspunt is dat beide grondrechten even zwaar wegen.

Voor mij geeft uiteindelijk de doorslag dat a) het gaat om opname ten behoeve van bewijs, dus géén publicatie b) welk bewijs je niet op andere wijze kunt krijgen en c) een gesprek van karakter verandert als je zegt dat je het opneemt. Je verliest dus je positie als je zegt wat je gaat doen, en de privacy- of persoonsgegevensinbreuk zie ik als minimaal omdat het gaat om dat beperkte doel als bewijs.

Praktische tip nog: als je dit doet, maak dan pas zo laat mogelijk bekend dat je een opname hebt. Het netste lijkt mij dat je eerst gewoon samenvat wat er is gezegd (bijvoorbeeld in je bezwaarschrift of dagvaarding), als daar over gepiept wordt dan reproduceer je wat er letterlijk is gezegd en pas als men dán nog ontkent dan laat je de opname horen.

En nog eentje: het is handig als je de opname ergens bewaart waar er een onafhankelijke timestamp op gezet wordt (wellicht een soundcloud of online cloudopslag) en liefst waar bewerken niet zomaar mogelijk is zonder dat dat sporen achterlaat. Dan weerleg je meteen het verwijt dat je de opname gemanipuleerd hebt.

(En voor de zekerheid: wie om welke reden dan ook die gesprekken publiceert anders dan in een gerechtelijke procedure die kan zich niet op bovenstaande beroepen.)

Arnoud