Tag: Privacy

About Privacy

Subscribe Feeds

Kun je als volwassen je kinderfoto’s offline halen?

Geplaatst op in Privacy, 10 reacties

Een lezer vroeg me:

Wanneer ouders of andere mensen een foto van jou als kind online hebben gezet, kun je die dan weg laten halen met een beroep op je privacy als je meerderjarig bent?

Dat kan, maar zal er vooral van afhangen of je ouders destijds ingestemd hebben met de publicatie.

Als je ouders toestemming hebben gegeven, dan kun je relatief makkelijk eisen dat de foto wordt verwijderd. Die toestemming is in te trekken, zo staat in de Wet bescherming persoonsgegevens (artikel 5 lid 2). Ook door jou, even los van of je ouders dat willen. Het belang van de wederpartij doet er in principe niet toe. En vanaf zestien jaar kunnen je ouders rechtsgeldig geen toestemming meer geven voor publicatie van je foto’s (artikel 5 lid 1), dat moet je zelf doen. Dus in die situatie kan de wederpartij zich niet beroepen op toestemming gegeven door je wettelijk vertegenwoordigers.

Je zult je overigens nog lange tijd op de Wbp moeten beroepen; de AVG of GDPR die er 25 mei aankomt geldt namelijk niet voor ‘verwerkingen’ oftewel publicaties van voor die datum. Maar voor wie deze blog over een paar jaar leest, dan heb je minder mogelijkheden: eenmaal gegeven toestemming onder de AVG is niet intrekbaar wanneer de verwerking oftewel publicatie plaatsvindt voor journalistieke of literaire doeleinden. En dat geldt ook voor publicatie door bijvoorbeeld een school of je tante op Facebook, de term “journalistiek” is heel breed.

Als er geen toestemming is gegeven, dan is dat moeilijker. Hoofdregel is dat de privacy van een minderjarige hoog wordt aangeslagen, zodat die het dus in principe snel zal winnen van iemands recht om foto’s te publiceren. Natuurlijk zijn er uitzonderingen mogelijk, en dat zit hem dan met name in de nieuwswaarde van de foto. Als er een duidelijk nieuwsbelang is bij de foto, dan kun je er geen bezwaar tegen maken. Denk aan deelname aan een openbaar sportevenement, een bijzondere maatschappelijke prestatie of iets dergelijks. Dit zal natuurlijk vaak tot discussie leiden.

Arnoud

Mag een consult bij een arts worden opgenomen?

Geplaatst op in Privacy, 9 reacties

Een lezer vroeg me:

Wat mag er van de wet bij consulten bij een arts? Mag een patiënt deze gesprekken opnemen, en omgekeerd mag een arts dat ook?

De wet is vrij simpel over het opnemen van gesprekken waar je als privépersoon deelnemer aan bent: dat mag, en je hoeft je gesprekspartner(s) daar niets over te zeggen. De opnames zijn wel maar beperkt bruikbaar, in principe alleen als bewijs bij de rechter (of politie) om aan te tonen wat er is gezegd.

Deze regel geldt ook als je een gesprek voert met je arts, of een andere dienstverlener (zoals je advocaat, aannemer of hypotheekadviseur). Soms hoor je dat een organisatie huisregels stelt waarbij wordt gezegd dat je geen opname-apparatuur aan mag hebben. Ik twijfel zeer of dat rechtsgeldig is. Ik denk dat dit in strijd is met je informatievrijheid, een grondrecht.

Omgekeerd ligt het voor professionals iets ingewikkelder. Zij krijgen allereerst te maken met de Wet bescherming persoonsgegevens, en vanaf volgend jaar dus de AVG/GDPR. Deze eist dat het opnemen van gesprekken vooraf wordt gemeld en hetzij met toestemming gebeurt, hetzij een héél goede reden (eigen dringende noodzaak) kent.

Die reden zie ik niet echt, zeker niet bij een arts gezien het zeer gevoelige onderwerp (bijzondere persoonsgegevens). De arts zal dus toestemming nodig hebben van de patiënt, en de patiënt moet vrijelijk deze kunnen weigeren. Kort door de bocht lijkt dat me vrij ingewikkeld dus ik denk dat een arts gesprekken niet kan opnemen.

In oktober raadde de KNMG haar leden (59.000 artsen en studenten geneeskunde) aan om binnen deze regels te gaan werken. Hun voornaamste aanbeveling aan artsen is duidelijk te maken dat je als patiënt het recht hebt je consult op te nemen, maar tegelijk wel de discussie aan te gaan waarom de patiënt dit wil. Ook kun je dan aangeven dat publicatie (waaronder ook valt het delen op sociale media) niet toegestaan is.

Arnoud

Mag mijn school me verplichten een video van mezelf online te zetten?

Geplaatst op in Privacy, 16 reacties

Via Reddit:

Voor een vak op school (HBO) moet ik als onderdeel van het lesprogramma een video van mezelf maken en deze in het online programma van school zetten. Echter is deze video dan te zien voor elke leerling die dit vak volgt (meer dan 200) en dus ook te kopiëren. De bedoeling is dat 1 mede-student de video moet bekijken en beoordelen, en de lerares moet zien dat je dit hebt gedaan zodat zij het kan afvinken. Ik ben niet zo gek op het idee om van mezelf een video online te zetten. Kan ik dit weigeren, ivm privacy redenen bijvoorbeeld? Zou ik dan ook het maken van heel de video kunnen weigeren? Ik doe dit namelijk liever niet. Aangezien /r/thenetherlands zo veel van digitale privacy etc houdt zou ik graag weten of iemand hier een antwoord op heeft. Bedankt!

Wat is dat toch met rare praktijken op scholen. En nee, dit kan natuurlijk niet zomaar.

Het is op zich denk ik wel legitiem dat bepaalde vakken een uitwerking eisen in de vorm van video. Denk aan trainen hoe je overkomt voor de camera, het oefenen van dansen of sportbewegingen, of gewoon registratie van hoe je presenteert zodat je concrete visuele feedback kunt krijgen.

Dat je die uitwerking moet delen met medestudenten zie ik ook nog wel. Peer feedback en leren van hoe je medestudenten het doen lijkt me een standaard manier van werken bij hogescholen. Maar op het moment dat het op internet gezet moet, dan kunnen dus ook mensen meekijken die gewoon niets te maken hebben met je studievoortgang en -prestaties.

In de Reddit-draad lees ik dan discussie of dit wel een legitiem argument is, omdat het riekt naar een smoes om onder je huiswerk uit te komen. Dat probleem zie ik dus niet, omdat er geen reden is voor de school om een internetpublicatie te eisen. En dan kom je bij het simpele fundamentele punt dat het hier om persoonsgegevens gaat, en dús niet mag zonder grondslag, zonder goede reden.

Arnoud

Vader mag van rechter geen foto’s van zijn kind op Facebook delen

Geplaatst op in Privacy, 53 reacties

Een gescheiden vader uit Twente mag op Facebook geen foto’s van zijn 2-jarige kind meer delen, las ik bij de NOS. De kinderrechter bepaalde dat dit niet in het belang is van het kind en de broze omgangsregeling die net getroffen is. (Volgens mij was de man niet getrouwd met de moeder.) Met de ietwat opmerkelijke uitspraak dat je bij een Facebook-publicatie het sociale netwerk eigenaar maakt van de foto zodat die er alles mee mag doen. Nee, dat klopt niet.

Steeds vaker speelt bij echtscheidingen en ouderschapsregelingen de vraag hoe om te gaan met kinderbeelden op sociale media. In principe zijn de regels simpel: je hebt als ouders rekening te houden met de privacy van je kind (dat volgt uit het Kinderrechtenverdrag), en je moet dus bij alles een afweging maken of dit de privacy van je kind wel waard is. Het kan natuurlijk dat je daarvoor kiest, zoals wanneer je je kind aan een film laat meewerken, maar het moet een bewuste keuze zijn.

Helemaal ingewikkeld wordt het wanneer de ouders er niet hetzelfde in staan, zoals in deze rechtszaak. De moeder had als enige het gezag, en de vader vorderde nu een omgangsregeling. Daarbij werd een twistpunt dat de vader af en toe foto’s van het kind op Facebook plaatste, iets dat de moeder absoluut niet wilde hebben. Het argument van de vader was dat de foto zo veel mogelijk werd afgeschermd, waar de moeder tegenover zette dat je nooit écht controle hebt op iets dat internet op gaat.

De rechtbank erkent dat, maar in een tikje ongelukkige bewoordingen:

Echter, op het moment dat een foto op Facebook staat, is deze eigendom van Facebook. Facebook kan de foto bijvoorbeeld doorverkopen aan derden. Zo kan het zijn dat een foto opeens opduikt in een reclamecampagne of voor andere doeleinden wordt gebruikt. Degene die de foto heeft geplaatst heeft er dan geen controle meer over.

Het is natuurlijk onjuist dat Facebook eigenaar wordt van foto’s die je daar plaatst, en de voorwaarden van Facebook staan ook niet toe dat zij deze mogen doorverkopen aan derden. Maar de laatste zin klopt wel, die foto kán overal opduiken en praktisch gezien heb je daar weinig tot geen grip op. En dat is dan een goede reden om te zeggen, dit mag niet, dit is niet in het belang van het kind.

Uiteindelijk komt de rechtbank dan ook tot de enige juisteconclusie: de vader mag geen foto’s van het kind op sociale media plaatsen, mede gezien de lange weg die vader en moeder al zijn gekomen om tot een omgangsregeling te komen. En om dan terug te komen op de NOS-kop en tekst: wel érg tendentieus, het is niet zo dat vaders in het algemeen geen kinderfoto’s op Facebook mogen zetten natuurlijk.

Arnoud

Internationale domeinbeheerder staat afschermen domeininfo toe

Geplaatst op in Intellectuele rechten, Privacy, 14 reacties

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer het gaat om persoonsgegevens, en ICANN lijkt daardoor nu overstag te gaan.

Domeinnamen en WHOIS bestaan al enkele decennia. In de basis is het erg nuttig dat je kunt zien wie de eigenaar is van een domeinnaam, zodat je deze bijvoorbeeld kunt contacteren in geval van misbruik van het systeem. Meestal was dat ook geen probleem voor de eigenaar, want lange tijd hadden eigenlijk alleen bedrijven en instellingen hun eigen domeinnamen.

Nadat steeds meer privépersonen domeinnamen gingen registreren, begon het ietwat te knellen. Je moest namelijk je ware en volledige gegevens invullen, inclusief je naam en privéwoonadres. Dat voelt nogal privacygevoelig en dat is het natuurlijk ook, maar zo waren de regels nu eenmaal. En zeker met de AVG in het vooruitzicht werd het tijd dat hier een knoop over werd doorgehakt.

De AP is stellig, zij het kort:

Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens via internet is een vorm van verwerking van persoonsgegevens waarvoor een wettelijke grondslag is vereist. Volgens de AP én eerder dus ook WP29, kunnen ICANN en de registries zich niet beroepen op de grondslagen ‘noodzakelijk voor de uitvoering van een overeenkomst’ en ‘gerechtvaardigd belang’. Ook een beroep op de grondslag ‘toestemming van individuele domeinnaamhouders’ is niet mogelijk, omdat het geven van toestemming een vereiste is voor het verwerven van een domeinnaam en er dus geen vrije wilsuiting is.

De kern zit hem natuurlijk in die noodzaak. ICANN zei altijd dat die gegevens nodig waren, maar dat is eigenlijk een cirkelredenering: zij hadden een regel ingevoerd dat het moest, dus moest het. Maar dat is niet genoeg, je moet een objectieve noodzaak kunnen aantonen. En die is er eigenlijk niet. Het zou net zo goed kunnen werken bijvoorbeeld als de WHOIS gegevens afgeschermd zijn, en men via een opvraagprocedure gemotiveerd moet aangeven waarom men die gegevens wil hebben.

Ook is er geen sprake van toestemming, want (zeker onder de AVG) wie zegt “zonder toestemming kom je er niet in” die dwingt toestemming af, en die is dan niet rechtsgeldig. Niet meer dan logisch.

In haar verklaring zegt ICANN dat ze nu voorlopig dit vereiste los gaat laten voor persoonsgebonden domeinnamen. Een registrar die op deze manier wil gaan werken, moet wel aan ICANN uitleggen wat haar proces is om op zorgvuldige manier de werkelijke houderdata te verkrijgen en te bewaren.

Voor Nederlandse domeinnamen geldt dit niet: die worden beheerd door SIDN en die heeft al jaren een afgeschermd register. Alleen een zelfgekozen mailadres moet zichtbaar zijn bij privépersonen, de overige gegevens zijn alleen gemotiveerd op te vragen.

Arnoud

Kan een werknemer worden verplicht een GPS-armband te dragen?

Geplaatst op in Privacy, 24 reacties

Een lezer vroeg me:

Als beveiliger bij een groot bedrijf kreeg ik enige tijd terug een GPS-armband om te dragen. Op mijn vraag waarom was het antwoord dat men zo kon zien waar ik was in geval van een calamiteit, ook geeft het bewijs aan de klant dat ik werkelijk mijn route loop. Echter, nu enkele maanden later blijkt dat mijn werkgever het ook gebruikt om mij aan te spreken op hoe ik mijn werk uitvoer. Ik sta te lang stil, loop niet exact het goede pad, houd pauze op de verkeerde plek en ga zo maar door. Kan dat zomaar, dat ik met zo’n armband op de centimeter gevolgd word?

In beginsel bepaalt de werkgever hoe het werk wordt uitgevoerd en welke spullen je daarbij moet gebruiken. Als een GPS-armband dus redelijkerwijs nodig is voor het werk, dan moet je die bij je dragen. Net zoals je je werktelefoon bij je moet hebben of je pet op moet als beveiliger, om eens wat te noemen.

Verschil tussen pet en armband is natuurlijk dat die armband wel even een stevige inbreuk op je privacy is. Wie toegang heeft tot de metingen, kan precies zien waar je bent. Dát vereist een stevige aparte rechtvaardiging én waarborgen om de privacy toch te beschermen. (Wie denkt dat je de beveiligers toestemming kunt laten geven: vergeet het maar, dat mogen werknemers juridisch niet doen.)

Die waarborgen moeten er met name voor zorgen dat je niet meer ziet dan waarvoor je de armband wilt gebruiken. In dit geval wil de klant de looproutes zien, daar kun je prima een geaggregeerde grafiek van laten zie. Maar waarom zou de werkgever live mee moeten kijken, én ook nog eens de werknemer aanspreken op rare loopjes? Op zijn minst zou ik een pauzeknop verwachten: wat je tijdens je pauze doet, gaat je werkgever niets aan.

Specifiek bij het beoordelen van werknemers geldt ook nog eens dat dat apart vooraf gemeld moet zijn én dat de ondernemingsraad (als die er is natuurlijk) hiermee ingestemd moet hebben. Dus wat hier gebeurt, kan eigenlijk gewoon echt niet.

Ik kan afgezien van de beveiliging en misschien een bezorgdienst weinig bedrijven bedenken waar zo’n armband überhaupt een reëel iets is om mensen te bevelen bij zich te hebben. Heel misschien bij topsporters, omdat daar je werk – je aan je trainschema houden – niet ophoudt zodra je het stadion verlaat. Maar ook daar zijn grenzen:

Het is inderdaad mogelijk om uit de data af te leiden wanneer spelers seks hebben, of te lang in de kroeg staan. Als de hartslag van een speler ’s nachts een piek heeft voor het slapen gaan, kun je wel raden wat hij net deed.

Arnoud

Moet ik als werknemer akkoord gaan met de privacyvoorwaarden van Google?

Geplaatst op in Ondernemingsvrijheid, 17 reacties

Een lezer vroeg me:

Mijn werkgever (een mkb bedrijf) is overgestapt naar een Google domein voor mail, en nu moeten wij bij ingebruikname akkoord gaan met de privacyvoorwaarden van Google. Kan ik dat weigeren? Natuurlijk, het gaat om werk mail, maar toch, Google accounts doen veel meer dan alleen werkgedrag in de gaten houden.

Dit lijkt me niet iets dat je kunt weigeren te doen. De werkgever bepaalt hoe het werk wordt uitgevoerd, en als hij ervoor kiest om Google als leverancier in te zetten dan heb jij het daarmee te doen. Dat je bij het gebruiken daarvan op een akkoord-knopje moet drukken, is dus gewoon deel van je werk.

Het is echter een misverstand dat je als werknemer dan ineens toestemming geeft aan Google voor wat dan ook. Ik geef toe, een gemakkelijke fout want er stáát immers “I agree” en er zit een privacyreglement bij ook nog. Maar als je als werknemer op zo’n knop druk, dan ga je hooguit namens je werkgever met dingen akkoord. Niet privé.

Natuurlijk kan Google allerlei dingen van je te weten komen wanneer je als werknemer met die diensten werkt. Maar ook dat is de verantwoordelijkheid van je werkgever. Als goed werkgever heeft hij de taak jouw privacy te waarborgen, en dus ook te zorgen dat leveranciers niet zomaar allerlei persoonlijke dingen van werknemers te weten komen. Hij zal dus bijvoorbeeld een bewerkersovereenkomst moeten treffen met die leveranciers, waarin staat dat deze niet gaat snuffelen in netwerkverkeer van werknemers. Je kunt hem daarop aanspreken als hij dat niet goed geregeld heeft.

En ik snap heus dat Google zich weinig aan zal trekken van zo’n Nederlands werkgevertje, maar daar zal het arbeidsrecht weinig rekening mee houden.

Arnoud

Mag je een spionerende drone met je luchtbuks neerhalen?

Geplaatst op in Privacy, 23 reacties

Buurjongen schiet de drone uit de lucht. Dat zie je niet vaak in een vonnis, dat er wordt geschoten in Nederland. Maar in deze privacyzaak wel: de drone-eigenaar vloog met een drone met camera boven de tuin van de buren, waarop de buurjongen zich zó in zijn privacy aangetast voelde dat hij met een luchtbuks vanuit het raam van zijn ouderlijke woning op de drone geschoten heeft – en deze geraakt had ook. Drone stuk. Wie is nu waar voor aansprakelijk?

De zaak werd in twee delen beslist. Allereerst lag daar de kwestie of de drone-eigenaar wel mocht vliegen waar hij vloog. Het kan voor aansprakelijkheid nogal uitmaken of het slachtoffer zelf binnen de wet bleef of niet, immers. In dit geval ging het om een relatief kleine drone die binnen het zicht van de vliegenier bleef, en binnen de 300 meter vanaf de grond. Daar zijn verder dan geen specifieke regels voor over waar je dan mag vliegen. Ook is nergens expliciet vastgelegd of je met een drone-camera mag vliegen.

Dat wil echter niet zeggen dat het dan dus mag. Privacy is immers een grondrecht, dat dus ook geschonden kan worden met handelingen die op zich wettelijk toegestaan zijn. Het komt altijd neer op een afweging van belangen. Hier begint het dan met dat het ging om vrijstaande woningen op ruime percelen in een landelijke omgeving, waardoor je je thuis een stuk vrijer zou voelen dan in een kamertje in een pijpenla drie hoog achter.

Het vliegen met een drone, zodanig dat een aan de drone bevestigde camera beelden kan maken van hetgeen zich in de woning van [gedaagde] afspeelt levert een ongerechtvaardigde schending op van de persoonlijke levenssfeer. In de privésfeer van de eigen woning mag de bewoner absolute eerbiediging van zijn privacy verwachten. Voor een inbreuk daarop is geen rechtvaardiging aangevoerd. Ook indien de camera niet ‘aan’ staat en dus feitelijk geen beelden vastlegt, brengt het enkele gegeven dat de camera aanwezig is en dat onzeker is of deze in werking is, in werking zal worden gesteld, of ‘uit’ blijft een inbreuk op. De onzekerheid zorgt voor een gevoel van onvrijheid waarvan men in de eigen woning gevrijwaard behoort te blijven.

Dat over de uit-staande camera betrof een verweer van de drone-eigenaar: hij zou wel hebben gevlogen daar maar zonder camera aan. Maar dat is dus geen argument, want het gaat er uiteindelijk om of je je geschonden voelt of niet. Daarmee was de kwestie van de privacy-inbreuk dus gegeven: nee, de buurman mocht daar niet vliegen (tussenvonnis).

Vervolgens de schade in het eindvonnis. Want die drone is wel stuk door dat schieten (dat op zich óók onrechtmatig is, het is immers strafbaar andermans eigendom te vernielen) en wie gaat dat betalen?

Ieder de helft, in principe:

De beide onrechtmatige handelingen hebben samen de schade aan de drone veroorzaakt. Immers, wanneer geen inbreuk was gemaakt op de privacy van [gedaagde] had deze niet geschoten en wanneer [gedaagde] niet had geschoten was de drone niet beschadigd door het schot. In artikel 6:101 BW is opgenomen dat in een dergelijk geval de schade wordt verdeeld over beiden, in evenredigheid met de maakte waarin de aan ieder toe te rekenen omstandigheden tot de schade hebben bijgedragen. Daar kan een billijkheidscorrectie op worden aangebracht indien de ernst van de gemaakte fouten of andere omstandigheden dat eisen.

De rechter constateert dat hier zowel het grondrecht privacy als het grondrecht eigendom even zwaar wegen. Er is geen bijzondere reden waarom dan de een meer of minder zou moeten betalen dan de ander, dus het is en blijft 50/50. Er is nog wat discussie over de exacte hoogte van het bedrag, maar daar moeten partijen samen uit zien te komen.

De drone-eigenaar krijgt verder nog wel een verbod onder dwangsom om met een drone te vliegen boven het perceel van de buren, ongeacht of die drone filmt of niet.

Arnoud

Mag een online spel bezorgd de politie naar je huis sturen?

Geplaatst op in Privacy, 18 reacties

Beetje raar verhaal: een Nederlandse League of Legends-speler kreeg bezoek van de politie na een tip van de maker van dat spel, las ik bij Numrush (dank, tipgever). Nee, geen reverse swatting van het bedrijf maar een stukje bezorgdheid: “Ze hebben ons laten weten dat je suïcidaal bent en daarom komen we een kijkje bij je nemen. Om te checken of alles goed met je gaat”, aldus de aanbellende agenten. En nee, dit waren ook geen medespelers of trollen in politiekostuum. Dus eh, wacht, wat krijgen we nou?

Numrush lijkt de oorzaak te hebben gevonden:

Soms gaat het niet zo lekker in de game, is hij aan het verliezen, en dan wil Xavieros zich nog wel eens uitdrukkingen met termen als “I want to kill myself” of “ow god please kill me”.

Daarnaast had hij mogelijk zich wel eens teneergeslagen geuit in de chat vanwege een hernia en andere frustraties. Dit leidde tot de conclusie dat het bedrijf berichten scant met algoritmes (of keywordscans) en bij bepaalde combinaties dan een suïcide-vermoeden concludeert en dan de autoriteiten inlicht. Wat ergens wel netjes voelt maar ook een tikje raar.

Mag het? Dit raakt aan persoonsgegevens, meer specifiek de zogeheten bijzondere persoonsgegevens van gezondheid en dergelijke. En die mag je als bedrijf eigenlijk helemaal niet verwerken. (Ik moet nu zeggen dat de GDPR of AVG hier streng op gaat zijn want dan verkoop ik meer boeken daarover, maar ook onder de Wbp mag dit eigenlijk al niet.)

Helemaal niet, nou ja er is een uitzondering: het zogeheten “vitaal belang” uit de Wbp en straks de AVG, zeg maar een dringende medische noodzaak. Ik citeer dat boek dan maar even, dan was die link geen reclame:

Een vitaal belang raakt aan het leven van die persoon. Te denken valt aan verwerkingen van medische gegevens bij een ongeval, of meer algemeen humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd (overweging 46).

Een serieuze vrees dat iemand zichzelf om het leven gaat brengen, zou je kunnen zien als het dienen van een vitaal belang. De ultieme zaakwaarneming zeg maar. En het is vrij lastig in die situaties toestemming te vragen, waardoor dus deze route open staat.

Verdedigbaar dus, juridisch gezien. Maar het blijft gek aanvoelen. Ik weet niet hoe dit te zeggen zonder heel cru te klinken, maar is het echt zo’n reëel probleem specifiek bij online games, dat mensen daar een zelfdoding aankondigen en dat vervolgens uitvoeren ook? Is dat probleem zo groot dat het maatschappelijk relevant wordt dat aanbieders daar wat aan gaan doen? Ik heb denk ik iets gemist.

Arnoud

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

Geplaatst op in Informatiemaatschappij, Privacy, 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet worden gewerkt met pseudoniemen of codes, zodat bij datalekken niet gelijk alle details van de leerlingen op straat liggen. Het idee is loffelijk maar moet dat nu echt zo met een wet?

De tekst van het wetsvoorstel wordt helaas pas openbaar nadat de Raad van State er advies over heeft gegeven, dus het is nog even speculeren. Ik hoop op een voorstel dat gewoon zegt, scholen mogen alleen pseudonimeen van leerlingen aan leveranciers doorgeven. In combinatie met een verbod voor leveranciers om meer dan dat te vragen. Het is immers echt nergens voor nodig om werkelijke persoonsgegevens van leerlingen te hebben om een dienst aan een school te leveren.

Ik ben een beetje bang dat er komt te staan dat de leverancier ontvangen persoonsgegevens moet pseudonimiseren. (Of, nog erger, dat dit in overleg moet worden vastgesteld.) Want dan schiet je er weinig mee op, dan is die brondata er nog steeds en dus blijft de kwetsbaarheid bestaan.

En ja ik weet het, de Privacyverordening roept op tot pseudonimiseren en staat toe dat dit gebeurt door de partij die vervolgens gaat werken met de gepseudonimiseerde gegevens. Het is niet verplicht dat je de sleutel en de pseudonieme data in aparte bedrijven bewaart. Dus het zou legaal zijn als een dienstverlener zo gaat werken, en het wetsvoorstel zou dan weinig toevoegen behalve dan dat dit móet in plaats van slechts een beste praktijk te zijn. (Sorry, de tekst van de Verordening is wat raar.)

Je kunt je natuurlijk sowieso afvragen wat dit wetsvoorstel gaat toevoegen bovenop die Verordening. Want ook daar staat al in dat je persoonsgegevens zo veel mogelijk moet beperken, dat je bij voorkeur pseudonimiseert dus en natuurlijk dat je adequaat beveiligt en daar afspraken over maakt met je verwerkers (voorheen je bewerkers), zoals die clouddienstverleners dus. Hooguit zou dat dan nog zijn dat het black letter law wordt in plaats van ahem een beste praktijk, of een richtsnoer van de toezichthouder waar een leverancier van kan zeggen dat zij toch alternatieve feitenandere inzichten hebben over hoe het zo veilig mogelijk te doen.

Arnoud