Vader mag van rechter geen foto’s van zijn kind op Facebook delen

| AE 9799 | Privacy | 49 reacties

Een gescheiden vader uit Twente mag op Facebook geen foto’s van zijn 2-jarige kind meer delen, las ik bij de NOS. De kinderrechter bepaalde dat dit niet in het belang is van het kind en de broze omgangsregeling die net getroffen is. (Volgens mij was de man niet getrouwd met de moeder.) Met de ietwat opmerkelijke uitspraak dat je bij een Facebook-publicatie het sociale netwerk eigenaar maakt van de foto zodat die er alles mee mag doen. Nee, dat klopt niet.

Steeds vaker speelt bij echtscheidingen en ouderschapsregelingen de vraag hoe om te gaan met kinderbeelden op sociale media. In principe zijn de regels simpel: je hebt als ouders rekening te houden met de privacy van je kind (dat volgt uit het Kinderrechtenverdrag), en je moet dus bij alles een afweging maken of dit de privacy van je kind wel waard is. Het kan natuurlijk dat je daarvoor kiest, zoals wanneer je je kind aan een film laat meewerken, maar het moet een bewuste keuze zijn.

Helemaal ingewikkeld wordt het wanneer de ouders er niet hetzelfde in staan, zoals in deze rechtszaak. De moeder had als enige het gezag, en de vader vorderde nu een omgangsregeling. Daarbij werd een twistpunt dat de vader af en toe foto’s van het kind op Facebook plaatste, iets dat de moeder absoluut niet wilde hebben. Het argument van de vader was dat de foto zo veel mogelijk werd afgeschermd, waar de moeder tegenover zette dat je nooit écht controle hebt op iets dat internet op gaat.

De rechtbank erkent dat, maar in een tikje ongelukkige bewoordingen:

Echter, op het moment dat een foto op Facebook staat, is deze eigendom van Facebook. Facebook kan de foto bijvoorbeeld doorverkopen aan derden. Zo kan het zijn dat een foto opeens opduikt in een reclamecampagne of voor andere doeleinden wordt gebruikt. Degene die de foto heeft geplaatst heeft er dan geen controle meer over.

Het is natuurlijk onjuist dat Facebook eigenaar wordt van foto’s die je daar plaatst, en de voorwaarden van Facebook staan ook niet toe dat zij deze mogen doorverkopen aan derden. Maar de laatste zin klopt wel, die foto kán overal opduiken en praktisch gezien heb je daar weinig tot geen grip op. En dat is dan een goede reden om te zeggen, dit mag niet, dit is niet in het belang van het kind.

Uiteindelijk komt de rechtbank dan ook tot de enige juisteconclusie: de vader mag geen foto’s van het kind op sociale media plaatsen, mede gezien de lange weg die vader en moeder al zijn gekomen om tot een omgangsregeling te komen. En om dan terug te komen op de NOS-kop en tekst: wel érg tendentieus, het is niet zo dat vaders in het algemeen geen kinderfoto’s op Facebook mogen zetten natuurlijk.

Arnoud

Internationale domeinbeheerder staat afschermen domeininfo toe

| AE 9785 | Domeinnamen, Privacy | 13 reacties

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer het gaat om persoonsgegevens, en ICANN lijkt daardoor nu overstag te gaan.

Domeinnamen en WHOIS bestaan al enkele decennia. In de basis is het erg nuttig dat je kunt zien wie de eigenaar is van een domeinnaam, zodat je deze bijvoorbeeld kunt contacteren in geval van misbruik van het systeem. Meestal was dat ook geen probleem voor de eigenaar, want lange tijd hadden eigenlijk alleen bedrijven en instellingen hun eigen domeinnamen.

Nadat steeds meer privépersonen domeinnamen gingen registreren, begon het ietwat te knellen. Je moest namelijk je ware en volledige gegevens invullen, inclusief je naam en privéwoonadres. Dat voelt nogal privacygevoelig en dat is het natuurlijk ook, maar zo waren de regels nu eenmaal. En zeker met de AVG in het vooruitzicht werd het tijd dat hier een knoop over werd doorgehakt.

De AP is stellig, zij het kort:

Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens via internet is een vorm van verwerking van persoonsgegevens waarvoor een wettelijke grondslag is vereist. Volgens de AP én eerder dus ook WP29, kunnen ICANN en de registries zich niet beroepen op de grondslagen ‘noodzakelijk voor de uitvoering van een overeenkomst’ en ‘gerechtvaardigd belang’. Ook een beroep op de grondslag ‘toestemming van individuele domeinnaamhouders’ is niet mogelijk, omdat het geven van toestemming een vereiste is voor het verwerven van een domeinnaam en er dus geen vrije wilsuiting is.

De kern zit hem natuurlijk in die noodzaak. ICANN zei altijd dat die gegevens nodig waren, maar dat is eigenlijk een cirkelredenering: zij hadden een regel ingevoerd dat het moest, dus moest het. Maar dat is niet genoeg, je moet een objectieve noodzaak kunnen aantonen. En die is er eigenlijk niet. Het zou net zo goed kunnen werken bijvoorbeeld als de WHOIS gegevens afgeschermd zijn, en men via een opvraagprocedure gemotiveerd moet aangeven waarom men die gegevens wil hebben.

Ook is er geen sprake van toestemming, want (zeker onder de AVG) wie zegt “zonder toestemming kom je er niet in” die dwingt toestemming af, en die is dan niet rechtsgeldig. Niet meer dan logisch.

In haar verklaring zegt ICANN dat ze nu voorlopig dit vereiste los gaat laten voor persoonsgebonden domeinnamen. Een registrar die op deze manier wil gaan werken, moet wel aan ICANN uitleggen wat haar proces is om op zorgvuldige manier de werkelijke houderdata te verkrijgen en te bewaren.

Voor Nederlandse domeinnamen geldt dit niet: die worden beheerd door SIDN en die heeft al jaren een afgeschermd register. Alleen een zelfgekozen mailadres moet zichtbaar zijn bij privépersonen, de overige gegevens zijn alleen gemotiveerd op te vragen.

Arnoud

Kan een werknemer worden verplicht een GPS-armband te dragen?

| AE 9759 | Privacy | 23 reacties

Een lezer vroeg me:

Als beveiliger bij een groot bedrijf kreeg ik enige tijd terug een GPS-armband om te dragen. Op mijn vraag waarom was het antwoord dat men zo kon zien waar ik was in geval van een calamiteit, ook geeft het bewijs aan de klant dat ik werkelijk mijn route loop. Echter, nu enkele maanden later blijkt dat mijn werkgever het ook gebruikt om mij aan te spreken op hoe ik mijn werk uitvoer. Ik sta te lang stil, loop niet exact het goede pad, houd pauze op de verkeerde plek en ga zo maar door. Kan dat zomaar, dat ik met zo’n armband op de centimeter gevolgd word?

In beginsel bepaalt de werkgever hoe het werk wordt uitgevoerd en welke spullen je daarbij moet gebruiken. Als een GPS-armband dus redelijkerwijs nodig is voor het werk, dan moet je die bij je dragen. Net zoals je je werktelefoon bij je moet hebben of je pet op moet als beveiliger, om eens wat te noemen.

Verschil tussen pet en armband is natuurlijk dat die armband wel even een stevige inbreuk op je privacy is. Wie toegang heeft tot de metingen, kan precies zien waar je bent. Dát vereist een stevige aparte rechtvaardiging én waarborgen om de privacy toch te beschermen. (Wie denkt dat je de beveiligers toestemming kunt laten geven: vergeet het maar, dat mogen werknemers juridisch niet doen.)

Die waarborgen moeten er met name voor zorgen dat je niet meer ziet dan waarvoor je de armband wilt gebruiken. In dit geval wil de klant de looproutes zien, daar kun je prima een geaggregeerde grafiek van laten zie. Maar waarom zou de werkgever live mee moeten kijken, én ook nog eens de werknemer aanspreken op rare loopjes? Op zijn minst zou ik een pauzeknop verwachten: wat je tijdens je pauze doet, gaat je werkgever niets aan.

Specifiek bij het beoordelen van werknemers geldt ook nog eens dat dat apart vooraf gemeld moet zijn én dat de ondernemingsraad (als die er is natuurlijk) hiermee ingestemd moet hebben. Dus wat hier gebeurt, kan eigenlijk gewoon echt niet.

Ik kan afgezien van de beveiliging en misschien een bezorgdienst weinig bedrijven bedenken waar zo’n armband überhaupt een reëel iets is om mensen te bevelen bij zich te hebben. Heel misschien bij topsporters, omdat daar je werk – je aan je trainschema houden – niet ophoudt zodra je het stadion verlaat. Maar ook daar zijn grenzen:

Het is inderdaad mogelijk om uit de data af te leiden wanneer spelers seks hebben, of te lang in de kroeg staan. Als de hartslag van een speler ’s nachts een piek heeft voor het slapen gaan, kun je wel raden wat hij net deed.

Arnoud

Moet ik als werknemer akkoord gaan met de privacyvoorwaarden van Google?

| AE 9498 | Arbeidsrecht | 17 reacties

Een lezer vroeg me: Mijn werkgever (een mkb bedrijf) is overgestapt naar een Google domein voor mail, en nu moeten wij bij ingebruikname akkoord gaan met de privacyvoorwaarden van Google. Kan ik dat weigeren? Natuurlijk, het gaat om werk mail, maar toch, Google accounts doen veel meer dan alleen werkgedrag in de gaten houden. Dit… Lees verder

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

| AE 9265 | Cloud, Privacy | 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet… Lees verder

Moeten we de toestemming niet eens afschaffen in het privacyrecht?

| AE 9153 | Privacy | 37 reacties

Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die… Lees verder

Tweede Kamer wil agent niet meer herkenbaar in beeld, eh nee vergeet het maar

| AE 9118 | Meningsuiting | 25 reacties

De Tweede Kamer vindt dat politieagenten voortaan niet meer herkenbaar in beeld mogen worden gebracht, las ik bij het AD. Men spreekt zelfs van het tegengaan van ‘treitervloggers’ die kennelijk agenten hinderlijk volgen. Maar de motie, die oproept tot een wetsvoorstel, gaat verder dan dat: agentenportretten mogen dan niet meer worden uitgezonden waar dan ook… Lees verder

Privacyprogramma AVROTROS offline gehaald vanwege privacyschending

| AE 9014 | Beveiliging | 11 reacties

Jaja, dat is hilarisch: het AVROTROS-programma De Privacytest, dat vorige week maandagavond werd uitgezonden op NPO 3, blijkt zelf de privacy van nietsvermoedende Instagram-gebruikers te hebben geschonden. Men wilde met een quiz aandacht vragen voor onverwachte privacykwesties, en daarbij werden foto’s van rijbewijzen en sleutels van Instagram geplukt om het punt te maken dat die… Lees verder