Facebook overtreedt Belgische privacywet door volgen niet-gebruikers

| AE 10406 | Privacy | 11 reacties

Facebook overtreedt de Belgische privacywet door het internetgedrag te volgen van mensen die geen account bij het sociale netwerk hebben. Dat meldde Nu.nl zaterdag. De vind-ik-leuk knopjes die alomtegenwoordig zijn, zetten cookies en gebruiken andere trackingtechnieken om internetgedrag op te slaan. Ook bij mensen die geen klant (product?) zijn van het sociaal netwerk, en dat is waar de Belgische privacytoezichthouder over viel. De rechtbank bevestigt dit en eist op straffe van een dwangsom van 250.000 euro per dag dat Facebook ermee stopt.

Bij Reuters lees ik dat Facebook het blabla teleurstellend vindt (duh) en meent dit te mogen omdat het een industriebreed gebruik is. Dat is zonder licht fietsen ook, maar toch mag het niet. En dat je “enable hundreds of thousands of businesses to grow their businesses” met deze truc, maakt natuurlijk ook helemaal niets uit als het gaat om mensen hun privacy.

Voor mensen die Facebookgebruiker zijn, kun je misschien nog zeggen dat ze gekozen hebben voor deze functionaliteit op andere sites dan de blauwe hoofdsite. Maar voor mensen zonder Facebook (ja, het bestaat) kan dat argument niet opgaan natuurlijk. En dan is de “clear notice” die het bedrijf eist dat websites met de knop geven, natuurlijk niet genoeg. Als die cookies of trackers achter de knop mensen volgen, dan moet je daar toestemming voor vragen en dat doe je niet door te melden dat je ze aan het volgen bent.

Ja, hieronder staan ook socialenetwerkknopjes die tracking doen. Maar let op: die staan pas aan als je daar expliciet toestemming voor geeft (dank, Arjan Snaterse) en dat doe je door op de standaard dichtgeklapte balk te klikken. Dat is wél in lijn met de Europese wet, en het lijkt me niet moeilijk om dat overal uit te rollen. Ben benieuwd hoe veel sites dit op 25 mei hebben aangepast.

Arnoud

Kun je als volwassen je kinderfoto’s offline halen?

| AE 10354 | Privacy | 10 reacties

Een lezer vroeg me:

Wanneer ouders of andere mensen een foto van jou als kind online hebben gezet, kun je die dan weg laten halen met een beroep op je privacy als je meerderjarig bent?

Dat kan, maar zal er vooral van afhangen of je ouders destijds ingestemd hebben met de publicatie.

Als je ouders toestemming hebben gegeven, dan kun je relatief makkelijk eisen dat de foto wordt verwijderd. Die toestemming is in te trekken, zo staat in de Wet bescherming persoonsgegevens (artikel 5 lid 2). Ook door jou, even los van of je ouders dat willen. Het belang van de wederpartij doet er in principe niet toe. En vanaf zestien jaar kunnen je ouders rechtsgeldig geen toestemming meer geven voor publicatie van je foto’s (artikel 5 lid 1), dat moet je zelf doen. Dus in die situatie kan de wederpartij zich niet beroepen op toestemming gegeven door je wettelijk vertegenwoordigers.

Je zult je overigens nog lange tijd op de Wbp moeten beroepen; de AVG of GDPR die er 25 mei aankomt geldt namelijk niet voor ‘verwerkingen’ oftewel publicaties van voor die datum. Maar voor wie deze blog over een paar jaar leest, dan heb je minder mogelijkheden: eenmaal gegeven toestemming onder de AVG is niet intrekbaar wanneer de verwerking oftewel publicatie plaatsvindt voor journalistieke of literaire doeleinden. En dat geldt ook voor publicatie door bijvoorbeeld een school of je tante op Facebook, de term “journalistiek” is heel breed.

Als er geen toestemming is gegeven, dan is dat moeilijker. Hoofdregel is dat de privacy van een minderjarige hoog wordt aangeslagen, zodat die het dus in principe snel zal winnen van iemands recht om foto’s te publiceren. Natuurlijk zijn er uitzonderingen mogelijk, en dat zit hem dan met name in de nieuwswaarde van de foto. Als er een duidelijk nieuwsbelang is bij de foto, dan kun je er geen bezwaar tegen maken. Denk aan deelname aan een openbaar sportevenement, een bijzondere maatschappelijke prestatie of iets dergelijks. Dit zal natuurlijk vaak tot discussie leiden.

Arnoud

Mag een consult bij een arts worden opgenomen?

| AE 9967 | Privacy | 9 reacties

Een lezer vroeg me:

Wat mag er van de wet bij consulten bij een arts? Mag een patiënt deze gesprekken opnemen, en omgekeerd mag een arts dat ook?

De wet is vrij simpel over het opnemen van gesprekken waar je als privépersoon deelnemer aan bent: dat mag, en je hoeft je gesprekspartner(s) daar niets over te zeggen. De opnames zijn wel maar beperkt bruikbaar, in principe alleen als bewijs bij de rechter (of politie) om aan te tonen wat er is gezegd.

Deze regel geldt ook als je een gesprek voert met je arts, of een andere dienstverlener (zoals je advocaat, aannemer of hypotheekadviseur). Soms hoor je dat een organisatie huisregels stelt waarbij wordt gezegd dat je geen opname-apparatuur aan mag hebben. Ik twijfel zeer of dat rechtsgeldig is. Ik denk dat dit in strijd is met je informatievrijheid, een grondrecht.

Omgekeerd ligt het voor professionals iets ingewikkelder. Zij krijgen allereerst te maken met de Wet bescherming persoonsgegevens, en vanaf volgend jaar dus de AVG/GDPR. Deze eist dat het opnemen van gesprekken vooraf wordt gemeld en hetzij met toestemming gebeurt, hetzij een héél goede reden (eigen dringende noodzaak) kent.

Die reden zie ik niet echt, zeker niet bij een arts gezien het zeer gevoelige onderwerp (bijzondere persoonsgegevens). De arts zal dus toestemming nodig hebben van de patiënt, en de patiënt moet vrijelijk deze kunnen weigeren. Kort door de bocht lijkt dat me vrij ingewikkeld dus ik denk dat een arts gesprekken niet kan opnemen.

In oktober raadde de KNMG haar leden (59.000 artsen en studenten geneeskunde) aan om binnen deze regels te gaan werken. Hun voornaamste aanbeveling aan artsen is duidelijk te maken dat je als patiënt het recht hebt je consult op te nemen, maar tegelijk wel de discussie aan te gaan waarom de patiënt dit wil. Ook kun je dan aangeven dat publicatie (waaronder ook valt het delen op sociale media) niet toegestaan is.

Arnoud

Internationale domeinbeheerder staat afschermen domeininfo toe

| AE 9785 | Domeinnamen, Privacy | 13 reacties

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer… Lees verder

Moet ik als werknemer akkoord gaan met de privacyvoorwaarden van Google?

| AE 9498 | Arbeidsrecht | 17 reacties

Een lezer vroeg me: Mijn werkgever (een mkb bedrijf) is overgestapt naar een Google domein voor mail, en nu moeten wij bij ingebruikname akkoord gaan met de privacyvoorwaarden van Google. Kan ik dat weigeren? Natuurlijk, het gaat om werk mail, maar toch, Google accounts doen veel meer dan alleen werkgedrag in de gaten houden. Dit… Lees verder