Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Mijn werkgever wil dat ik mobiel bereikbaar ben, niet alleen om te bellen maar ook via een chat-app. Ik heb geen smartphone en wordt dus zo gedwongen die te kopen én een account bij Apple of Google te nemen. Kan een werkgever me dit werkelijk verplichten?

Anno 2019 is dit niet 100% duidelijk. In de kern moet de werkgever aan de werknemers de gereedschappen beschikbaar stellen voor het werk, maar als het in de branche gebruikelijk is dat die het zelf meeneemt, dan kan de werkgever zich daarop beroepen. Dit speelt bijvoorbeeld bij kappers en chefkoks die eigen scharen en messen meenemen zodat het het beste bij hun hand past. Een restaurant kan dan zeggen, bij ons krijg je geen eigen messen, die moet je zelf meenemen.

Het gaat voor mij echter te ver om te zeggen, koop als ‘gewone’ werknemer maar een smartphone van vele honderden euro’s en zet daar onze app op. Een dergelijke investering kun je niet verlangen van werknemers. En ja, ik weet dat messensets ook duur kunnen zijn maar dat zijn werknemers die ook navenant beloond worden en unieke skills hebben. Als je als werknemer in een met chefkoks vergelijkbare situatie bent én het normaal is dat iedereen met eigen smartphones rondloopt, dan wil ik dit standpunt nog wel herzien.

De meeste mensen hebben een eigen smartphone, en dan kun je dat ‘duur’ argument natuurlijk niet meer gebruiken. Dan gaat het in de praktijk vooral over het gedoe rondom die chat-app en wat er nog meer bij komt kijken. Het installeren van WhatsApp is praktisch gezien weinig gedoe en vergt niet veel van je telefoon, dus daar heb je alleen je privacy-argument nog over. Een custom chat-app inclusief MDM en remote wipe optie is op zich alweer een hele burden voor de werknemer.

Dat privacyargument is wel iets wezenlijk extra’s ten opzichte van die messen- of scharenset. Daar gaat die vergelijking dan ook scheef op, wat mij betreft. Je kunt denk ik best verlangen dat mensen eigen spullen meenemen die hen op het lijf zijn gesneden, zeker als iedereen dat al jaren doet, maar eisen dat ze ook bij jou hun privacy te grabbel gooien is volgens mij geen goed werkgeverschap.

Arnoud

Voor het radiospel ‘De Uitverkorene’ stuurt Qmusic een privédetective af op onbekende Nederlanders. Dat meldde RTL maandag. Het concept: een Nederlander wordt door een privédetective gevolgd. Wie de gelukkige denkt te zijn en dat raadt, wint 10.000 euro. De kandidaat-zonder-wil wordt gekozen op basis van een “goede daad” die hij eerder verricht heeft, maar wel eentje die Q-Music in scène heeft gezet. Het signalement wordt enigszins generiek opgebouwd en alleen op basis van gegevens verkregen in de openbare ruimte. Desondanks de vraag: huh, sinds wanneer mag dat?

“Je mag willekeurige personen gewoon observeren in het publieke. Het gebeurt wel vaker, bijvoorbeeld in stalkingszaken.” aldus de verdediging van het programma in een notendop. Eh ja, maar dat is omdat er dan een zwaarwegend belang is, namelijk het vastleggen van stalkingsgedrag zodat je aangifte kunt doen. Een andere reden om mensen te observeren, is fraude bij bijvoorbeeld ziekmeldingen op te sporen. En zelfs bij het onderzoeken van zeg overspel in een relatie kan ik me nog wat voorstellen bij een zwaarwegend belang om dat te willen weten.

Hier gaat het echter om een zelfbedacht belang: men zet een “goede daad” in scène, zoals een portemonnee neerleggen die iemand dan opraapt en retourneert. En dan wil je vervolgens die persoon in het zonnetje zetten met een opsporingsbericht en een privédetective. Nee, daar vind ik dan toch wel wat van.

Hoe zou het dan wel moeten? Geen idee eerlijk gezegd. Ja, toestemming vragen aan de betrokkenen maar dan is de lol er wel een beetje af natuurlijk. De enige manier om dit te spelen is via de belangenafweging van de grondslag “eigen gerechtvaardigd belang”. En omdat het hier gaat om puur entertainment, kun je natuurlijk spreken van vrijheid van meningsuiting maar sterk zal dat niet zijn. Daarmee is het moeilijk het privacybelang van de kandidaten-in-spe te overrulen.

En ja, mensen worden gevolgd in het publiek domein, in het openbaar. Maar dat maakt niet uit bij privacy: die houdt niet op bij de voordeur. Ook op de openbare weg heb je recht op privacy, waaronder dus ook valt het structureel vastleggen van je persoonsgegevens met als doel deze in een televisieprogramma te gebruiken. De openbaarheid van de gegevens is een factor in die belangenafweging, maar geen doorslaggevende.

Arnoud

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische gegevens over jou bevatten, wat natuurlijk gebeurt als je bij je zorgverzekeraar of ziekenhuis rondklikt. Heel verbazingwekkend zou dat niet moeten zijn – dergelijke pixels vallen immers gewoon onder de cookiewet, en er wordt zelden toestemming gevraagd zoals het hoort. Plus, je hebt een grondslag nodig voor deze bijzondere persoonsgegevens en ook dat gaat mis.

Het komt natuurlijk vooral in het nieuws omdat het gaat om Facebook, maar uiteindelijk is het gewoon een punt (haha): als je mensen gaat tracken en je doet dat over meerdere sites heen, dan moet daar gewoon toestemming voor gegeven zijn. Allereerst omdat het gaat om informatie die je bij iemand opslaat – cookiewet – en daarnaast ook omdat het een nogal invasieve verwerking van iemands persoonsgegevens is – Wbp/AVG. Bij dat tweede is soms nog te verdedigen dat je kunt werken onder een eigen gerechtvaardigd belang, maar dat houdt heel snel op als het gaat om third-party tracking over meerdere sites heen.

De Facebook pixel is technisch een niet zo ingewikkelde constructie. Een website-eigenaar neemt een code op van Facebook, waarmee een plaatje van 1×1 pixel wordt opgenomen in zijn site. Dit plaatje komt van Facebook, en men kan vervolgens informatie uitlezen van de browser waarmee het plaatje wordt opgehaald. Maar de pixel doet meer: hij kijkt of je ingelogd bent bij Facebook, en slaat dan informatie over de pagina op bij je Facebook-interesseprofiel. Vervolgens kan de eigenaar van die site op Facebook je reclame tonen voor deze site (“retargeting”).

Dit noemen we profileren onder de AVG, en het is natuurlijk een vorm van verwerken van persoonsgegevens. Daarom is daarop (vanaf 25 mei) de AVG van toepassing. Die zegt dat toestemming nodig is voor deze vorm van tracking. Bovendien geldt op deze pixel de cookiewet, want de pixel is immers informatie die wordt opgeslagen op de computer van de bezoeker terwijl die informatie niet technisch noodzakelijk is voor de website. En ook die wet eist dan toestemming. En als triple whammy hebben we het specifiek hier nog eens over bijzondere persoonsgegevens (immers over gezondheid).

Ik zie dus geen manier om dit legaal te doen, tenzij je als website-eigenaar toestemming vraagt voor het mogen plaatsen van deze pixel en daarbij uitlegt dat het doel is om op Facebook gerichte reclame te kunnen doen. Oh, en die toestemming moet te weigeren zijn zonder dat je van de site geweerd wordt.

Arnoud

Facebook overtreedt de Belgische privacywet door het internetgedrag te volgen van mensen die geen account bij het sociale netwerk hebben. Dat meldde Nu.nl zaterdag. De vind-ik-leuk knopjes die alomtegenwoordig zijn, zetten cookies en gebruiken andere trackingtechnieken om internetgedrag op te slaan. Ook bij mensen die geen klant (product?) zijn van het sociaal netwerk, en dat… Lees verder

Een lezer vroeg me: Wanneer ouders of andere mensen een foto van jou als kind online hebben gezet, kun je die dan weg laten halen met een beroep op je privacy als je meerderjarig bent? Dat kan, maar zal er vooral van afhangen of je ouders destijds ingestemd hebben met de publicatie. Als je ouders… Lees verder

Een lezer vroeg me: Wat mag er van de wet bij consulten bij een arts? Mag een patiënt deze gesprekken opnemen, en omgekeerd mag een arts dat ook? De wet is vrij simpel over het opnemen van gesprekken waar je als privépersoon deelnemer aan bent: dat mag, en je hoeft je gesprekspartner(s) daar niets over… Lees verder

Via Reddit: Voor een vak op school (HBO) moet ik als onderdeel van het lesprogramma een video van mezelf maken en deze in het online programma van school zetten. Echter is deze video dan te zien voor elke leerling die dit vak volgt (meer dan 200) en dus ook te kopiëren. De bedoeling is dat… Lees verder

Een gescheiden vader uit Twente mag op Facebook geen foto’s van zijn 2-jarige kind meer delen, las ik bij de NOS. De kinderrechter bepaalde dat dit niet in het belang is van het kind en de broze omgangsregeling die net getroffen is. (Volgens mij was de man niet getrouwd met de moeder.) Met de ietwat… Lees verder

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer… Lees verder

Een lezer vroeg me: Als beveiliger bij een groot bedrijf kreeg ik enige tijd terug een GPS-armband om te dragen. Op mijn vraag waarom was het antwoord dat men zo kon zien waar ik was in geval van een calamiteit, ook geeft het bewijs aan de klant dat ik werkelijk mijn route loop. Echter, nu… Lees verder