Moet ik als werknemer akkoord gaan met de privacyvoorwaarden van Google?

| AE 9498 | Arbeidsrecht | 17 reacties

Een lezer vroeg me:

Mijn werkgever (een mkb bedrijf) is overgestapt naar een Google domein voor mail, en nu moeten wij bij ingebruikname akkoord gaan met de privacyvoorwaarden van Google. Kan ik dat weigeren? Natuurlijk, het gaat om werk mail, maar toch, Google accounts doen veel meer dan alleen werkgedrag in de gaten houden.

Dit lijkt me niet iets dat je kunt weigeren te doen. De werkgever bepaalt hoe het werk wordt uitgevoerd, en als hij ervoor kiest om Google als leverancier in te zetten dan heb jij het daarmee te doen. Dat je bij het gebruiken daarvan op een akkoord-knopje moet drukken, is dus gewoon deel van je werk.

Het is echter een misverstand dat je als werknemer dan ineens toestemming geeft aan Google voor wat dan ook. Ik geef toe, een gemakkelijke fout want er stáát immers “I agree” en er zit een privacyreglement bij ook nog. Maar als je als werknemer op zo’n knop druk, dan ga je hooguit namens je werkgever met dingen akkoord. Niet privé.

Natuurlijk kan Google allerlei dingen van je te weten komen wanneer je als werknemer met die diensten werkt. Maar ook dat is de verantwoordelijkheid van je werkgever. Als goed werkgever heeft hij de taak jouw privacy te waarborgen, en dus ook te zorgen dat leveranciers niet zomaar allerlei persoonlijke dingen van werknemers te weten komen. Hij zal dus bijvoorbeeld een bewerkersovereenkomst moeten treffen met die leveranciers, waarin staat dat deze niet gaat snuffelen in netwerkverkeer van werknemers. Je kunt hem daarop aanspreken als hij dat niet goed geregeld heeft.

En ik snap heus dat Google zich weinig aan zal trekken van zo’n Nederlands werkgevertje, maar daar zal het arbeidsrecht weinig rekening mee houden.

Arnoud

Mag je een spionerende drone met je luchtbuks neerhalen?

| AE 9445 | Privacy | 23 reacties

Buurjongen schiet de drone uit de lucht. Dat zie je niet vaak in een vonnis, dat er wordt geschoten in Nederland. Maar in deze privacyzaak wel: de drone-eigenaar vloog met een drone met camera boven de tuin van de buren, waarop de buurjongen zich zó in zijn privacy aangetast voelde dat hij met een luchtbuks vanuit het raam van zijn ouderlijke woning op de drone geschoten heeft – en deze geraakt had ook. Drone stuk. Wie is nu waar voor aansprakelijk?

De zaak werd in twee delen beslist. Allereerst lag daar de kwestie of de drone-eigenaar wel mocht vliegen waar hij vloog. Het kan voor aansprakelijkheid nogal uitmaken of het slachtoffer zelf binnen de wet bleef of niet, immers. In dit geval ging het om een relatief kleine drone die binnen het zicht van de vliegenier bleef, en binnen de 300 meter vanaf de grond. Daar zijn verder dan geen specifieke regels voor over waar je dan mag vliegen. Ook is nergens expliciet vastgelegd of je met een drone-camera mag vliegen.

Dat wil echter niet zeggen dat het dan dus mag. Privacy is immers een grondrecht, dat dus ook geschonden kan worden met handelingen die op zich wettelijk toegestaan zijn. Het komt altijd neer op een afweging van belangen. Hier begint het dan met dat het ging om vrijstaande woningen op ruime percelen in een landelijke omgeving, waardoor je je thuis een stuk vrijer zou voelen dan in een kamertje in een pijpenla drie hoog achter.

Het vliegen met een drone, zodanig dat een aan de drone bevestigde camera beelden kan maken van hetgeen zich in de woning van [gedaagde] afspeelt levert een ongerechtvaardigde schending op van de persoonlijke levenssfeer. In de privésfeer van de eigen woning mag de bewoner absolute eerbiediging van zijn privacy verwachten. Voor een inbreuk daarop is geen rechtvaardiging aangevoerd. Ook indien de camera niet ‘aan’ staat en dus feitelijk geen beelden vastlegt, brengt het enkele gegeven dat de camera aanwezig is en dat onzeker is of deze in werking is, in werking zal worden gesteld, of ‘uit’ blijft een inbreuk op. De onzekerheid zorgt voor een gevoel van onvrijheid waarvan men in de eigen woning gevrijwaard behoort te blijven.

Dat over de uit-staande camera betrof een verweer van de drone-eigenaar: hij zou wel hebben gevlogen daar maar zonder camera aan. Maar dat is dus geen argument, want het gaat er uiteindelijk om of je je geschonden voelt of niet. Daarmee was de kwestie van de privacy-inbreuk dus gegeven: nee, de buurman mocht daar niet vliegen (tussenvonnis).

Vervolgens de schade in het eindvonnis. Want die drone is wel stuk door dat schieten (dat op zich óók onrechtmatig is, het is immers strafbaar andermans eigendom te vernielen) en wie gaat dat betalen?

Ieder de helft, in principe:

De beide onrechtmatige handelingen hebben samen de schade aan de drone veroorzaakt. Immers, wanneer geen inbreuk was gemaakt op de privacy van [gedaagde] had deze niet geschoten en wanneer [gedaagde] niet had geschoten was de drone niet beschadigd door het schot. In artikel 6:101 BW is opgenomen dat in een dergelijk geval de schade wordt verdeeld over beiden, in evenredigheid met de maakte waarin de aan ieder toe te rekenen omstandigheden tot de schade hebben bijgedragen. Daar kan een billijkheidscorrectie op worden aangebracht indien de ernst van de gemaakte fouten of andere omstandigheden dat eisen.

De rechter constateert dat hier zowel het grondrecht privacy als het grondrecht eigendom even zwaar wegen. Er is geen bijzondere reden waarom dan de een meer of minder zou moeten betalen dan de ander, dus het is en blijft 50/50. Er is nog wat discussie over de exacte hoogte van het bedrag, maar daar moeten partijen samen uit zien te komen.

De drone-eigenaar krijgt verder nog wel een verbod onder dwangsom om met een drone te vliegen boven het perceel van de buren, ongeacht of die drone filmt of niet.

Arnoud

Mag een online spel bezorgd de politie naar je huis sturen?

| AE 9417 | Privacy | 18 reacties

Beetje raar verhaal: een Nederlandse League of Legends-speler kreeg bezoek van de politie na een tip van de maker van dat spel, las ik bij Numrush (dank, tipgever). Nee, geen reverse swatting van het bedrijf maar een stukje bezorgdheid: “Ze hebben ons laten weten dat je suïcidaal bent en daarom komen we een kijkje bij je nemen. Om te checken of alles goed met je gaat”, aldus de aanbellende agenten. En nee, dit waren ook geen medespelers of trollen in politiekostuum. Dus eh, wacht, wat krijgen we nou?

Numrush lijkt de oorzaak te hebben gevonden:

Soms gaat het niet zo lekker in de game, is hij aan het verliezen, en dan wil Xavieros zich nog wel eens uitdrukkingen met termen als “I want to kill myself” of “ow god please kill me”.

Daarnaast had hij mogelijk zich wel eens teneergeslagen geuit in de chat vanwege een hernia en andere frustraties. Dit leidde tot de conclusie dat het bedrijf berichten scant met algoritmes (of keywordscans) en bij bepaalde combinaties dan een suïcide-vermoeden concludeert en dan de autoriteiten inlicht. Wat ergens wel netjes voelt maar ook een tikje raar.

Mag het? Dit raakt aan persoonsgegevens, meer specifiek de zogeheten bijzondere persoonsgegevens van gezondheid en dergelijke. En die mag je als bedrijf eigenlijk helemaal niet verwerken. (Ik moet nu zeggen dat de GDPR of AVG hier streng op gaat zijn want dan verkoop ik meer boeken daarover, maar ook onder de Wbp mag dit eigenlijk al niet.)

Helemaal niet, nou ja er is een uitzondering: het zogeheten “vitaal belang” uit de Wbp en straks de AVG, zeg maar een dringende medische noodzaak. Ik citeer dat boek dan maar even, dan was die link geen reclame:

Een vitaal belang raakt aan het leven van die persoon. Te denken valt aan verwerkingen van medische gegevens bij een ongeval, of meer algemeen humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd (overweging 46).

Een serieuze vrees dat iemand zichzelf om het leven gaat brengen, zou je kunnen zien als het dienen van een vitaal belang. De ultieme zaakwaarneming zeg maar. En het is vrij lastig in die situaties toestemming te vragen, waardoor dus deze route open staat.

Verdedigbaar dus, juridisch gezien. Maar het blijft gek aanvoelen. Ik weet niet hoe dit te zeggen zonder heel cru te klinken, maar is het echt zo’n reëel probleem specifiek bij online games, dat mensen daar een zelfdoding aankondigen en dat vervolgens uitvoeren ook? Is dat probleem zo groot dat het maatschappelijk relevant wordt dat aanbieders daar wat aan gaan doen? Ik heb denk ik iets gemist.

Arnoud

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

| AE 9265 | Cloud, Privacy | 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet… Lees verder

Moeten we de toestemming niet eens afschaffen in het privacyrecht?

| AE 9153 | Privacy | 37 reacties

Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die… Lees verder

Tweede Kamer wil agent niet meer herkenbaar in beeld, eh nee vergeet het maar

| AE 9118 | Meningsuiting | 25 reacties

De Tweede Kamer vindt dat politieagenten voortaan niet meer herkenbaar in beeld mogen worden gebracht, las ik bij het AD. Men spreekt zelfs van het tegengaan van ‘treitervloggers’ die kennelijk agenten hinderlijk volgen. Maar de motie, die oproept tot een wetsvoorstel, gaat verder dan dat: agentenportretten mogen dan niet meer worden uitgezonden waar dan ook… Lees verder

Privacyprogramma AVROTROS offline gehaald vanwege privacyschending

| AE 9014 | Beveiliging | 11 reacties

Jaja, dat is hilarisch: het AVROTROS-programma De Privacytest, dat vorige week maandagavond werd uitgezonden op NPO 3, blijkt zelf de privacy van nietsvermoedende Instagram-gebruikers te hebben geschonden. Men wilde met een quiz aandacht vragen voor onverwachte privacykwesties, en daarbij werden foto’s van rijbewijzen en sleutels van Instagram geplukt om het punt te maken dat die… Lees verder

Duitse mededingingsautoriteit onderzoekt Facebook om gebruiksvoorwaarden

| AE 8484 | Internetrecht, Privacy | 22 reacties

Het Bundeskartellamt laat weten dat het is begonnen met een onderzoek naar Facebook, omdat de toezichthouder vermoedt dat het bedrijf zijn dominante marktpositie misbruikt, las ik bij Tweakers. Het misbruik zou eruit bestaan dat ze steeds meer privacyschendingen opdringen, waar iedereen dan zich verplicht voelt toestemming voor te geven. Want tsja, ga maar eens weg… Lees verder

Mag GHTorrent openbare data van Github aggregeren als onderzoeksdataset?

| AE 8460 | E-mail, Privacy, Software | 25 reacties

Mag je eisen dat je e-mailadres verwijderd wordt uit de GHTorrent dataset? Een veel voorkomende klacht bij dit project. GHTorrent is een onderzoeksproject dat Github-softwareprojecten indexeert en gemakkelijk doorzoekbaar maakt. Hierbij worden ook de e-mailadressen van ontwikkelaars geïndexeerd, waardoor je allerlei koppelingen kunt leggen. Maar mag dat eigenlijk wel? Github is een van de grootste… Lees verder