Misschien doet handhaven op informatieplichten wel meer pijn dan op toestemming/belang?

| AE 12135 | Privacy | 32 reacties

Whatsappen met Wopke Hoekstra? Bellen met Kajsa Ollongren of Carola Schouten? Het kan dankzij Lusha, een onlinedienst die mailadressen en telefoonnummers van het internet plukt. Zo opende Trouw onlangs. Met deze vage dienst zijn mobiele telefoonnummers te vinden van vele, vele mensen. En er is een handige browser plugin waarmee je het telefoonnummer meteen ziet als je iemands social media profiel bezoekt. Natuurlijk is er geen toestemming gevraagd want even zo natuurlijk ziet het bedrijf hier een eigen legitiem belang – fraudebestrijding. Ik word zo moe van die discussie, dus laten we het eens over de informatieplichten hebben.

Een van de grondslagen om onder de AVG met persoonsgegevens te kunnen werken is het eigen legitiem belang. Je zegt dan grofweg, ik heb gewoon een eerlijke reden om dit te mogen doen en ik houd rekening met je privacy, maar dit moet gewoon kunnen. Dat “ik houd rekening met je privacy” is belangrijk; je moet wel waarborgen inbouwen en rekening houden met bezwaren.

Wat zijn nou “eerlijke redenen”? Nou ja, fraudebestrijding dus bijvoorbeeld. Net als netwerkbeveiliging of beschermen van eigendom, de reden dus dat je security monitoring of cameratoezicht mag inzetten. In principe, want je moet dus die afweging maken. Honderd camera’s op de werkvloer gaat hem dus niet worden, dat is niet proportioneel in die afweging ook al heb je eigendommen te beschermen.

Ik roep altijd dat je niet om toestemming moet vragen (tenzij je een nieuwsbrief hebt), en dat blijf ik ook nu doen. Lusha kiest volgens mij inderdaad de juiste grondslag. Ik geloof er vervolgens direct geen bal van dat ze die afweging hebben gemaakt, ze citeren een stukje AVG en produceren een leuterverhaal zonder onderbouwing – ik was blij verrast dat de Trouw-journalist dat keurig affakkelt overigens. Maar ik zie wel hoe je een lange discussie kunt krijgen over de inhoud van zo’n afweging.

De insteek van professor Zwenne (geciteerd in Trouw) is een veel simpeler én effectiever: je hebt als betrokkene het recht geïnformeerd te worden voor of bij het eerste gebruik van die gegevens. En dat is dus niet “wanneer je gebeld wordt” maar “wanneer Lusha je nummer in hun database stopt of via de API opvraagt bij vagedatabases.kremvax.ru”. En dat is niet gebeurd, zeker weten. Dus daarmee overtreedt Lusha keihard de AVG, en als ze een jurist hadden ingehuurd (nee, ik had ze lachend naar buiten gewezen) dan hadden ze dat geweten.

Blijft natuurlijk het probleem van handhaving: het is een Amerikaans-Israelisch bedrijf, dus een boete opleggen en incasseren is een lastig traject. Ik kon zo gauw geen Nederlandse bv ontdekken waar royalties (de Dutch/Irish sandwich) doorheen gaan of iets dergelijks, in ieder geval.

Wel is het natuurlijk zo dat iedereen die Lusha zakelijk gebruikt, automatisch de AVG overtreedt. Ja, ook als jij zelf wél een duidelijk onderbouwd gerechtvaardigd belang hebt én mensen meteen informeert dat je nummers bij Lusha inkoopt. Want naast die specifieke regels is er ook artikel 5, de basisprincipes. En eentje daarvan is “rechtmatig, behoorlijk en transparant”. Het is natuurlijk niet rechtmatig of behoorlijk dat je gegevens inkoopt bij een bedrijf dat zo duidelijk de AVG overtreedt. Ook niet als je een vrijwaring hebt opgenomen bij een garantie van Lusha dat ze de AVG wél naleven.

Arnoud

Mag WhatsApp data gaan delen met Facebook?

| AE 8893 | Privacy | 26 reacties

whatsappChat-app WhatsApp gaat standaard accountinformatie van gebruikers delen met Facebook, zodat het sociale netwerk relevantere advertenties gaat aanbieden. Dat meldde Tweakers vorige week. Wie dat niet wil, kan het uitzetten (klik gerust, ik wacht wel even) maar moet wel bedenken dat Facebook dan minder optimaal “spam [kan] bestrijden en advertenties relevanter [] maken”. Maar ik mis iets, mag dit zomaar?

“We have not, we do not, and we will not ever sell your personal information to anyone. Period. End of story”. Dat was ooit de stoere uitspraak van de chatdienst over privacy. Dat werd bevestigd na de aankoop door Facebook – WhatsApp zou een autonoom bedrijf blijven. Maar al is de marketingmeelbal nog zo snel, het wijzigingsbeding achterhaalt hem wel. Want uiteraard had ook WhatsApp ergens in de voorwaarden een “Wij mogen deze voorwaarden herzien en als je dat niet bevalt dan hoepel je maar op”-clausule.

En ja, zulke clausules zijn legaal. De wet ziet WhatsApp als niet anders dan een schoonmaakbedrijf dat elke week je huis komt reinigen. Dienstverlening moet van tijd tot tijd kunnen wijzigen, en het is dan logisch dat de opdrachtgever mag opzeggen. Logisch bij schoonmaken en dergelijke, iets minder logisch bij online diensten en apps. Want dan krijg je dus dit soort dingen.

Privacytechnisch zie ik ook weinig dat je kunt doen. Want ja, de gegevens die ze gaan delen zijn persoonsgegevens onder de Wbp en straks de Privacyverordening (check die cursus) en nee dat mag niet zonder uitdrukkelijke toestemming worden gekoppeld (ook in de VS niet) maar daar komt vast een draai dat stilzitten uitdrukkelijk instemmen is, want dat is het bij de cookiewet ook. Sorry, ik ben alweer rustig.

Ik werd nog getroffen door de reactie van ‘Rainbow’ bij Tweakers:

Wat ik persoonlijk het meest bezwaarlijk vind is dat je er niet onderuit kan, ook als je zelf geen WhatsApp gebruikt (en dus niet hebt ingestemd met de gebruikersvoorwaarden van die dienst). Voorheen was dit nog niet echt een probleem, omdat de privacyvoorwaarden van WhatsApp wel prima waren, ze verzamelden de gegevens, maar deden er in principe niets mee. Nu dus wel.

En dat is hier nog wel een hele interessante. Want inderdaad, bij WhatsApp worden ook telefoonnummers van niet-gebruikers opgeslagen. Hoewel in Nederland alleen als hash zodat niet-gebruikers van WhatsApp beter beschermd zijn, zoals de Autoriteit Persoonsgegevens eind 2015 nog meldde. Maar “hashen == privacy” is ook een beetje overrated: matchen blijft gewoon mogelijk, alleen moet Facebook nog even de hash van de bij haar bekende 06-nummers berekenen. Alleen gebruikers wier 06 niet bij Facebook bekend is (oeps, handig joh die tweefactorauthenticatie), zouden nu buiten schot moeten blijven. Ik ben benieuwd.

Arnoud

Moet een Whats-Appbuurtgroep rekening houden met de Wbp?

| AE 8664 | Privacy | 32 reacties

whatsappEen lezer vroeg me:

In steeds meer buurten worden zogenaamde WABP-groepen opgericht. Dit zijn Whatsapp groepen voor buurtbewoners zodat die elkaar via zo’n groep snel kunnen alarmeren als er iets verdachts in de buurt aan de hand is. Je deelt dan foto’s en beschrijvingen van verdachte personen, plus iedereen ziet natuurlijk elkaars telefoonnummer, en beheerders vragen vaak om nog meer gegevens (zoals namen en adressen). Valt zo’n groep ook onder de Wet bescherming persoonsgegevens?

De Wbp is van toepassing op iedere geautomatiseerde verwerking (en dat is ieder gebruik) van persoonsgegevens. Niet alleen als een bedrijf of stichting dat doet. Ook privépersonen hebben dus te maken met deze wet.

De enige echte uitzondering is die voor het strikt huishoudelijk gebruik, maar die uitzondering werd in 2014 ver uitgekleed, toen het Hof bepaalde dat zodra je “buiten de privésfeer geraakt van degene die door middel van dit systeem gegevens verwerkt” je die uitzondering niet meer mag inroepen. Oftewel, het moet écht iets privé zijn en het mag niet met de openbare ruimte te maken hebben.

Een WhatsApp-bericht sturen met daarin een beschrijving (of foto) van een verdacht iemand is dus een verwerking van persoonsgegeven, waar de plaatser voor verantwoordelijk is. De gegevens van groepsleden worden beheerd door de beheerder, en die is daar dus verantwoordelijk voor. En die 06-nummers die iedereen kan zien, daar is WhatsApp dan weer verantwoordelijk voor.

In de praktijk gaat dit allemaal per ongeluk goed, omdat niemand er echt een probleem van maakt. En meestal komt de belangenafweging binnen de Wbp ook wel goed uit: er is een dringend belang bij het elkaar wijzen op verdachte figuren in de buurt, iedereen snapt wat een WhatsApp-Buurtpreventie is, eigenlijk ontbreken alleen de verplichte contactgegevens van de verantwoordelijke. Maar in theorie heb je echt een privacyverklaring nodig, beveiligingsregels en onderlinge afspraken over gebruik van die gegevens.

Arnoud