Inderdaad, bescherming van persoonsgegevens gaat over veel meer dan privacy

| AE 11887 | Informatiemaatschappij, Privacy | 8 reacties

Maar pas deze week zag ik welk fundamenteel maatschappelijk misverstand door dat rare begrip ‘privacy’ is ontstaan. Dat schreef Maxim Februari vorige week in NRC Handelsblad. Hij noemt het een ‘gruwelijk misverstand’ dat het steeds maar over de private kwestie van privacy gaat – de omgang met persoonsgegevens is een kwestie van algemeen belang. Het raakt het hart van de rechtsstaat. En dat is een gruwelijk goed punt, en maakt de discussie zó veel sterker.

De omgang met persoonsgegevens is natuurlijk altijd gebracht vanuit de context van privacy, meestal onder verwijzing naar artikel 8 EVRM waar inderdaad bescherming van je persoonlijke levenssfeer staat geregeld. Juristen maken dan het onderscheid tussen de klassieke of relationele privacy (met rust gelaten worden, jezelf kunnen zijn) en de informationele privacy (niet zomaar digitaal besnuffeld worden). De regels van de Wbp en nu de AVG zijn heel logisch in die context: ze regelen de informationele privacy, ze geven je rechten om te voorkomen dat je gegevens nodeloos worden gebruikt, dat fouten worden gemaakt die jou in je menszijn raken.

Echter. Privacy is een vrij breed begrip, heel flexibel ook. De discussie over het ‘waarom’ van zulke regels komt dan ook al snel uit bij “omdat je recht hebt op privacy”, en dat is dan een heel ongrijpbaar argument. Daar komt bij dat het vaak niet perse gáát over jezelf zijn, over met rust gelaten worden. Februari noemt het voorbeeld van de Belastingdienst die persoonsgegevens misbruikt in de toeslagenaffaire: dat was een ramp omdat aan onbetrouwbare data verregaande en foute conclusies werden verbonden, niet omdat mensen zonder respect voor hun gezinsleven werden behandeld. De Belastingdienst was niet transparant en niet eerlijk.

Dat zijn kwesties van algemeen belang, die raken aan hoe een rechtsstaat moet opereren. (En ja, ook hoe burgers onderling moeten opereren, ook naar elkaar toe heb je eerlijk te zijn.) Wie bestuurt, of wie afspraken maakt, moet zorgen dat hij kan rechtvaardigen wat hij vervolgens doet. Dat is waar het nu vaak misgaat: datamodellen zijn niet volledig of niet inzichtelijk, welke data wordt gebruikt of waarvoor is totaal niet transparant en tegen de conclusies kun je zelden wat doen.

Dát is het ongewenste aan misbruik van persoonsgegevens. Het gaat om eerlijkheid, een nette behandeling van iedereen. Algoritmes (pardon, datasets maar dat bekt minder lekker) inzetten om mensen te beoordelen is niet een individueel probleem maar een probleem van de maatschappij: het is niet netjes, zo willen we mensen niet behandelen.

Zoals ikelders las:

Data-gedreven technologie slaat sociale problemen plat. Het reduceert de werkelijkheid tot data zonder rekening te houden met de verschillende, rauwe, niet-kloppende, tegenstrijdige kanten.

Dat, veel meer dan “laat mij mezelf zijn”, is de kern van dataprotectie.

Arnoud

Oke mag ik dan wél thuiswerken (of e-lesgeven) van de AVG vanwege het coronavirus?

| AE 11831 | Ondernemingsvrijheid, Privacy | 7 reacties

Nederland is koploper thuiswerken, las ik op diverse plekken. Bestrijding van het coronavirus vereist dat we onszelf zo veel mogelijk isoleren, en thuiswerken is dan ook een logische maatregel (en ja, mijn kantoor is natuurlijk ook dicht nu). Ook het onderwijs is dicht, en daar wordt nu ook breed gegrepen naar elearning en video-oplossingen. En ja, vorige week was ik ook al aan het zeuren over de AVG maar ik kom er toch nog eens op terug want ik zie toch veel misgaan bij de snelle keuze voor video, monitoring en onderwijs op afstand.

Natuurlijk snap ik dat het nu voor iedereen hoogst acuut is om toch even iéts te kunnen realiseren. Geen onderwijs of niet kunnen werken is erger dan kunnen werken met een suboptimale tool. Mijn zorg is alleen vooral dat als we over een aantal maanden, als dit virus weer onder controle is, we blijven werken met deze tools omdat het nu eenmaal lekker werkt. Toch even verder kijken en onderzoeken lijkt me dan ook wel verstandig.

Het probleem zit hem wat mij betreft vooral in het feit dat de snelst inzetbare thuiswerk- en elearningtools uit Amerika komen. De regels over privacy zitten daar, laten we zeggen, net even anders dan bij ons. De aanbieders van die tools beschouwen de gebruikers als de ruwe grondstof voor het verbeteren van hun dienstverlening, al dan niet gekoppeld aan advertentieverkoop of profileren. En dat mag prima in de VS, moet je de privacyverklaring maar lezen en/of de voorwaarden maar afwijzen als het je niet bevalt. En dat is natuurlijk een volkomen absurde fictie maar wel het geldend recht in Amerika.

Hier zouden we iets veiliger moeten zitten omdat de AVG rare voorwaarden verbiedt. Zo kun je niet in gebruiksvoorwaarden akkoord gaan met het monitoren van je elearning- of thuiswerkgedrag door de dienstverlener, of voor het analyseren daarvan voor het ahem “verbeteren van de dienstverlening”. Je zult heel expliciet (dus met een privacyverklaring in eenvoudige taal) moeten uitleggen wat dat precies inhoudt en hoezo die dienstverlener dat zelf gaat doen.

Daarnaast hebben thuiswerk- en elearning tools nog wel eens monitoring features waar we in Europa de wenkbrauwen juridisch van fronsen. Ik blogde al over die webcam die foto’s maakt om je werk te monitoren, maar ook bij studenten en scholieren blijkt er te kunnen worden meegekeken door docenten zonder dat dat gemeld is bij de ouders (of meerderjarige studenten zelf). Dat is natuurlijk heel erg niet de bedoeling.

In het onderwijs zou ik zo hard mogelijk willen benadrukken: kijk bij het privacy Convenant voor partijen waar je wél keurig onder de Europese regels kunt werken. Voor werkgevers is er niet direct zo’n site maar je kunt natuurlijk wel gewoon kiezen voor een Europese leverancier die zelf durft te zeggen dat hij GDPR compliant is terwijl er geen toestemmingsknopje in beeld komt bij de installatieprocedure. (Wie om toestemming vraagt, doet het fout onder de AVG.)

Arnoud

Nee, het coronavirus is geen ontheffing voor de AVG

| AE 11808 | Ondernemingsvrijheid, Privacy | 17 reacties

Mijn werkgever verplicht alle werknemers nu thuis te werken vanwege de corona uitbraak. Dat las ik bij Tweakers (dank, tipgever). So far so good, maar dan komt ‘ie: men moet timetrackingsoftware installeren en deze “doet echter op random intervallen screenshots maken en volgens de privacy voorwaarden van deze software ook een lijst bijhouden met alle urls die bezocht worden en verdere activiteit op het apparaat.” De werkgever komt niet veel verder dan dat timetracking hoort bij thuiswerken en weet kennelijk niet wat die software doet. Dat is dus een probleem onder de AVG, en nee daar kom je niet mee weg omdat het een noodsituatie is en/of thuiswerken de enige optie gezien de kennelijke pandemie die zich in Nederland voordoet.

Toevallig las ik gisteren over WorkSmart, Amerikaanse software die zogenaamd de productie monitort maar in feite mensen de ziektewet in helpt:

… even using the bathroom in his own home required speed and strategy: he started watching for the green light of his webcam to blink before dashing down the hall to the bathroom, hoping he could finish in time before WorkSmart snapped another picture.

Het bedrijf achter deze software zegt dat het slechts een hulpmiddel is en dat bedrijven zelf na moeten denken hoe ze deze in willen zetten. Want als de software zegt dat iemand niet productief is, dan is dat natuurlijk reden voor een goed gesprek en geen manager koppelt aan zo’n handige indicatie een betalingsinhouding of negatieve beoordeling. Precies, zou ik ook zeggen als ik dat bedrijf was.

Mag het? Nee, natuurlijk niet. Ik zie in de draad mensen suggereren dat het zou mogen omdat het thuiswerken is en je toch iets moet om de productiviteit van je mensen in de gaten te houden. Nieuwsflash: je mag mensen sowieso al niet in de gaten houden op het werk, of je moet een héél goede reden hebben én de privacy-impact van de werknemers daarin meegenomen hebben.

En dat is tien keer zo erg thuis. In principe mág je thuis niet eens kijken hoe mensen hun werkplek ingericht hebben (en ja ondertussen ben je wel aansprakelijk als die werkplek niet arbocompliant is en mensen daardoor klachten krijgen). Dus waarom zou dat wel mogen omdat het een ict-middel is? Oh ja wacht, het is met de computer en dat is anders he. Dat is gewoon software die mensen monitort. Nee natuurlijk niet. Misschien moeten we aan de AVG een artikel toevoegen dat zegt “als het raar is wanneer een mannetje met een notitieblok het live doet, dan mag software het ook niet”.

Want nee, het elke tien minuten fotograferen van je personeel terwijl dat aan het werk is, dat krijg je echt niet rond onder de AVG. Ook niet als je zegt dat je geen ander middel hebt om hun productiviteit te meten. Want dat heb je wel, al is het maar de output die er ligt op vrijdagmiddag. Dus definieer maar een betere output metric en ga daar op sturen, zo moeilijk moet dat niet zijn als mensen in staat zijn om thuis te werken.

Arnoud

Hoe verhoudt de AVG zich tot mijn huwelijkse gemeenschap van goederen?

| AE 11755 | Privacy, Security | 13 reacties

Ik ben voor deze posting even mevrouw van Dam. Gehuwd in gemeenschap van goederen. Zo opende een forumbericht bij Security.nl onlangs. Met daaraan gekoppeld de vraag: hoe zit dat dan met de AVG, stel dat je een bestelling van je vrouw wilt ophalen of van een account van je man een inzage- of correctieverzoek wil… Lees verder

Moet je als hostingbedrijf AVG-verzoeken voor klanten honoreren?

| AE 11648 | Ondernemingsvrijheid, Privacy | 25 reacties

Een lezer vroeg me: Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen? Sinds de AVG zijn… Lees verder

Kandidaat zijn zonder dat je het weet, mag dat?

| AE 11253 | Informatiemaatschappij | 18 reacties

Voor het radiospel ‘De Uitverkorene’ stuurt Qmusic een privédetective af op onbekende Nederlanders. Dat meldde RTL maandag. Het concept: een Nederlander wordt door een privédetective gevolgd. Wie de gelukkige denkt te zijn en dat raadt, wint 10.000 euro. De kandidaat-zonder-wil wordt gekozen op basis van een “goede daad” die hij eerder verricht heeft, maar wel… Lees verder

Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische… Lees verder

Facebook overtreedt Belgische privacywet door volgen niet-gebruikers

| AE 10406 | Privacy | 22 reacties

Facebook overtreedt de Belgische privacywet door het internetgedrag te volgen van mensen die geen account bij het sociale netwerk hebben. Dat meldde Nu.nl zaterdag. De vind-ik-leuk knopjes die alomtegenwoordig zijn, zetten cookies en gebruiken andere trackingtechnieken om internetgedrag op te slaan. Ook bij mensen die geen klant (product?) zijn van het sociaal netwerk, en dat… Lees verder