Tag: Toegang

About Toegang

Subscribe Feeds

Mag ik na mijn laatste werkdag nog even in de zakelijke mail kijken voor de zekerheid?

Geplaatst op in Ondernemingsvrijheid, 19 reacties

Een lezer vroeg me:

Ik ga op 1 maart met pensioen na 35 jaar bij dit bedrijf. Per die dag wordt mijn wachtwoord ook geblokkeerd en alle toegang tot online diensten. Ik heb daar wel moeite mee, want wellicht zijn er de komende dagen nog relaties die mij iets willen zeggen of wil ik voor mijn autobiografie nog wat oude stukken inzien. Is de wet echt zo hard, of heb ik (bijvoorbeeld via de GDPR) recht op toegang?
Ik moest gelijk denken aan de situatie van een ex-directeur die op vrijdag zijn laatste dag met afscheidsborrel had (met 250 aanwezigen), op maandag nog even een vergeten doos ging ophalen en toen een identiteitsbewijs moest laten zien en contactpersoon moest noemen. Ja, de receptioniste had net haar eerste dag en de procedure was streng maar raar is het wel.

Maar om de vraag te beantwoorden, nee, je hebt geen recht op voortgezette toegang tot je mailbox. Net zo min als je recht hebt op toegang tot het pand na je laatste werkdag, ook niet om nog even te kijken of er nagekomen post op je bureau ligt of om gemiste collega’s even de hand te schudden. (Oké, als je dus een afspraak met die mensen maakt dan mag het wel, maar dat is wat anders.)

Tegelijk snap ik het wel, het voelt natuurlijk heel onwennig en raar om ineens niet meer aan het infuus van nieuwe berichten te liggen, zeker na zo veel jaren en in een senior positie. Maar de wet kan je daarbij niet helpen, sympathieke collega’s wel.

Gepensioneerde lezers, hoe zijn jullie van dit gevoel van “ik mis vast nog een mail” afgekomen?

Arnoud

Kan een ICT-leverancier bij contractuele ruzie weigeren de wachtwoorden te geven?

Geplaatst op in Ondernemingsvrijheid, 13 reacties

Een lezer vroeg me:

Als opdrachtgever zijn we erg ontevreden met een ICT-leverancier. We zeggen op (conform contract), en verzoeken ze de wachtwoorden van alle diensten over te dragen zodat we alles in eigen beheer kunnen nemen. Dit wordt geweigerd omdat er volgens hen nog facturen open staan en een afkoopsom betaald zou moeten worden. Wij betwisten dat. Kunnen wij de wachtwoorden opeisen?
Dat zal echt 100% afhangen van wat in je contract met die leverancier staat. Als er niets staat, dan heb je een enorm probleem als je de wachtwoorden niet hebt en de diensten kritisch zijn voor je bedrijfsvoering.

Er is in de wet niets bijzonders geregeld over toegang tot diensten. Die worden geen eigendom van de klant bijvoorbeeld, in tegenstelling tot zeg de producten die voor je worden gemaakt. Zulke producten zou je nog kunnen opeisen (hoewel eigendomsvoorbehoud et cetera daar het ingewikkeld kan maken) maar het wachtwoord voor een dienst die beheerd wordt door de dienstverlener, dat valt daar zeker niet onder.

Natuurlijk kun je zeggen, het contract met die dienst staat op mijn naam, dus ik wil de toegang tot mijn dienst. Maar dan moet je bij de eigenlijke dienstverlener zijn, de derde partij wiens dienst door jouw ICT-leverancier wordt beheerd. Die zou jou dan een nieuw wachtwoord moeten geven. Of die dat doet, is de vraag; vaak werken die met resellers of dit soort ICT-partners omdat ze niet zelf met de eindklant bezig willen zijn.

Dit is dus waarom je het contractueel moet regelen met die leverancier. Daarbij zit er nog wel één grote angel: als er ruzie ontstaat over het contract, dan kan de leverancier het contract besluiten op te schorten. Dan hoeven ze niets te doen, dus ook niet de afspraak nakomen dat ze je wachtwoord moeten geven. Natuurlijk moet de reden voor die ruzie dan wel kloppen, maar hoe dan ook ben je vele weken verder totdat de rechter in kort geding oordeelt dat de wachtwoorden toch moeten worden gegeven.

Met wachtwoorden is het dus net als met data in het algemeen: vertrouw niet op juridische constructies om erbij te kunnen. Zorg dat je ze gewoon hebt.

Arnoud

Hoe toegankelijk moet je videospel zijn?

Geplaatst op in Ondernemingsvrijheid, 19 reacties

Via Reddit:

I can’t use one hand and some fingers on the other after an industrial accident. I do things on the computer using mouse and 3 foot pedals. I play this game called Path of Exile, and in the game you need to refresh 4 potion buffs every 3-8 seconds. I physically can’t press 4 keys every few seconds so I use a macro that automatically does it for me. I got banned for it recently.

Een en ander blijkt nep te zijn, maar de vraag bleek desondanks interessant genoeg om duizenden discussies in allerlei subreddits op te werpen. De kern is: hoe ver moet je als game-ontwikkelaar mensen tegemoet komen die vanwege een lichamelijke beperking het spel niet kunnen spelen op de manier die jij had bedacht?

In de VS gaat het dan om de Americans With Disabilities Act uit 1990, die kort gezegd bepaalt dat je mensen niet vanwege een fysieke beperking de toegang tot een “locatie opengesteld voor publiek” mag ontzeggen. Heb je een verhoogde ingang, dan moet daar dus een oprit voor rolstoelen bij, bijvoorbeeld. En moet je dingen lezen om wat te kunnen doen, dan moet er dus braille bij (zoals bij geldautomaten op het nummerpad). Maar is een website een locatie? In 2016 bepaalde het Hof van Beroep van niet – de website van Domino’s hoeft niet toegankelijk te zijn voor een schermlezer van een blinde persoon die een pizza wilde bestellen.

Rond die tijd was er ook in Europa ophef: in januari 2016 werd het verdrag inzake de rechten van personen met een handicap goedgekeurd. Dit verdrag beschrijft rechten van mensen met een handicap (langdurige fysieke, mentale, intellectuele of zintuiglijke beperkingen) en bevat tevens de verplichting dat verdragsstaten alle passende maatregelen nemen om te waarborgen dat redelijke aanpassingen worden verricht.

Vanaf 2017 geldt in Nederland daarom de reden dat dienstverleners – ook online – “verplicht [zijn] tot het treffen van voorzieningen van eenvoudige aard en gaandeweg zorg te dragen voor de algemene toegankelijkheid voor personen met een handicap of chronische ziekte, tenzij dat voor hem een onevenredige belasting vormt.” Er zijn geen harde specifieke regels; zo is het ondertitelen van Youtubevideo’s een voorziening maar die hoeft dus alleen als dat geen onevenredige belasting oplevert.

Maar wat betekent dat nu voor games? In 2001 bepaalde het Amerikaanse Supreme Court dat een golfer met een fysieke handicap toegestaan moest worden met een golfkarretje van hole naar hole te rijden, omdat de reglementair verplichte wandeling voor hem niet haalbaar was. Dit omdat “use of the golf cart does not “fundamentally alter the nature” of the game of golf.” Een eis dat hij de bal met de hand zou mogen werpen, zou dus niet toegewezen hoeven te worden om eens een simpel voorbeeld te noemen.

In Nederland is er volgens mij nooit zo’n zaak geweest, maar in principe zou dit criterium heel goed bij ons kunnen werken. Er zit een fundamenteel stukje eerlijkheid in: als de regel mede bepalend is voor hoe het spel verloopt, dan zou je het spel dus aantasten als je uitzonderingen gaat maken. Is het een zijdelingse kwestie (zoals dat je een bril nodig hebt als voetballer) dan is een uitzondering dus in beginsel vereist.

Tussengevallen houd je dan nog over, en die zijn lastig. In een restaurant moet de voedselhygiëne goed geregeld zijn, dus geen dieren naar binnen. Maar als ik een hond nodig heb om vrij te kunnen lopen, dan moet die hond mee naar binnen. Daar kom je denk ik niet snel uit – al is in de VS bepaald dat zo’n hond dan wél mag omdat de impact van één geleidehond op de hygiëne acceptabel klein is.

Hoe zou dat bij dit spel uitpakken? De vraagsteller gebruikt dus een trucje om niet elke zo veel minuten snel vier toetsen achter elkaar in te hoeven drukken, omdat hij daar simpelweg de vingers en flexibiliteit in de hand niet voor heeft. Het doel van deze eis uit het spel is te controleren dat je nog steeds in het spel zit. Dat voelt voor mij als een zijdelingse kwestie. Bij een boks-spel waar snel toetsen indrukken snel slaan zou betekenen, zou dit een oneerlijk voordeel opleveren namelijk beter vechten dan je eigenlijk kan.

De complicatie is natuurlijk dat de spel-aanbieder dat niet kan zien, in tegenstelling tot een scheidsrechter bij het voetbal die je medische verklaring over je ogen kan lezen, of een restaurateur die zelf waarneemt dat een persoon blind is en die hond dus nodig heeft. Het voelt dan ook best risicovol om dit toe te staan enkel omdat mensen zeggen vingers te missen. Maar heel cru oordelen “dat doen we niet want cheaters” is wettelijk ook weer niet de bedoeling.

Hebben jullie een idee?

Arnoud

 

Raad van State: Tweede Kamer hoeft broncode van debat-app niet openbaar te maken

Geplaatst op in Informatiemaatschappij, 1 reacties

De Tweede Kamer hoeft de broncode van de Debat Direct-app definitief niet openbaar te maken, meldde Tweakers donderdag. Dit is de einduitspraak in die zaak van laatst, waarin een IT’er al sinds 2018 probeert toegang te krijgen tot de broncode van de Debat Direct app van het parlement. De Raad van State oordeelt nu dat dit niet kan, omdat de ingezette wetten – de Wob en de Wet hergebruik overheidsinformatie – niet van toepassing zijn op de Tweede Kamer als orgaan. Het artikel bij Tweakers gaf vele reacties, inclusief speculatie waarom de overheid toch zo moeilijk zou doen met het achterhouden van deze informatie. Die nota bene feitelijk al online staat, want het is Javascript.

Mijn gevoel bij de zaak is dat men dacht, een Apple + Android app én een webapp dan kan iedereen erbij. Er is dan geen reden om ook nog de API’s vrij te geven. Misschien kortzichtig/naïef, maar ik zie het praktijkgerichte argument wel dat “iedereen er nu toch naar kan kijken”? De vraag om API’s is marginaal te noemen.

Je houdt dan het principiële punt over, en dat is natuurlijk een zeer geliefde kluif voor juristen. (Wat zegt een advocaat in een contractenzaak als eerste? “Pacta sunt servanda”. En als tweede? “Dit lijkt een eenvoudig geschil, maar het gaat om het principe”. De rechter weet dat het dan een lange dag gaat worden.)

Bij een principieel punt moet natuurlijk je algemene regels aandragen om je zaak te onderbouwen, en dan gaan andere belangen meespelen. Zoals hier, als je zegt “in principe heeft de burger recht op de broncode” dan moet je een wet zoals de Wet hergebruik overheidsinformatie erbij slepen. En dan is er een principieel verweer: de TK valt buiten die wet. Je wilt dan niet als TK het precedent scheppen dat je voor software wél onder die wet valt. Waarom niet? Uit principe niet. Dat werkt twee kanten op.

Vervolgens liet men de advocaten los en die zijn vanuit dat principieel verweer gaan terugvechten. Er is dan niemand die een stap terugdoet, zoals door te zeggen “jongens alles stáát al online” of “weet je wat, hier is een API definitie en onze endpoint staat hier, zullen we de rest van het geld besteden aan wat nuttigs”. Want het ligt onder de rechter, dus blijf je eraf.

Zoals ik wel vaker zeg, geen complot veronderstellen waarin simpele incompetentie of naïviteit genoeg is als verklaring.

Arnoud

Mag de VVE eisen dat alle bezoekers badges krijgen?

Geplaatst op in Security, 32 reacties

Een lezer vroeg me:

De VvE van het appartementencomplex waarin ik woon, maakt sinds kort gebruik van een beveiligingssysteem met toegangsbadges in plaats van sleutels. Iedere bewoner krijgt er eentje, en wie meer wil moet dat onder opgaaf van naam en adres van de beoogde verkrijger doen, plus waar de badge toegang toe moet geven (hoofddeur, parkeergarage, appartement etc). Maar kan een VvE bepalen wie ik wel of niet toegang wil verlenen tot het complex waarin ik woon?
Een VVE kan inderdaad samen afspreken hoe de beveiliging en toegangscontrole van het complex wordt geregeld. Ik snap de overstap van sleutels naar badges wel. Sleutels kunnen worden nagemaakt of raken kwijt, en dat levert gedoe op. Badges kun je intrekken.

Daarnaast kun je met badges veel fijnmaziger toegang regelen: wel de hoofdingang en de deur van appartement 3, maar verder niets. En je kunt zelfs bijhouden welke badge wanneer is gebruikt, wat handig is als er schade of andere ongeregeldheden zich hebben voorgedaan.

Daar staat tegenover dat dit middel een stuk privacy-invasiever is, precies omdat je in meer detail kunt nagaan wie (althans, welke badgehouder) waar en wanneer binnen of buiten ging. Omdat het hier gaat om elektronische registratie gekoppeld aan personen, is de AVG van toepassing. (De uitzondering voor huishoudelijk gebruik geldt niet bij een VVE die zélf dit regelt.)

De AVG eist natuurlijk een goede beveiliging: wie mag bij de gegevens, wie bepaalt wat er wordt vastgelegd, hoe wordt omgegaan met verlies, klachten en claims tot inzage. Maar minstens zo belangrijk is de noodzaak, want in gevallen als dit zul je je moeten beroepen op een legitiem belang en dat vereist een afweging van respectieve belangen.

Het voornaamste belang lijkt hier te zijn dat de VVE niet wil dat er sleutels gaan ‘rondzwerven’ (omdat bewoners kopieën uitreiken) of dat bewoners hun garage gaan verhuren aan derden door de sleutel uit te lenen. Dat belang zie ik, maar moet wel duidelijk en concreet aanwezig zijn. Als er dus problemen zijn geweest met onderverhuurde garages, dan zie ik deze stap wel. Enkel “het zou kunnen en dat willen wij niet” is niet genoeg.

Het doet wel wat raar aan dat de VVE naam en adres wil van de houders van de badges. Ik zou zeggen dat ik mijn moeder of de schoonmaker best zo’n badge moet kunnen geven, welke reden kan erop tegen zijn om deze frequente bezoekers met verdenking tegemoet te zien? En wat voegt het toe te weten waar deze mensen normaal wonen? Ik denk dat je dát niet kunt eisen als VVE.

Arnoud

Mag een band je uit de zaal weren als je ze aanspreekt op misbruik van je foto’s?

Geplaatst op in Uitingsvrijheid, 43 reacties

Als je een foto van de Zweedse melodicdeathmetalband Arch Enemy maakt, en ze vervolgens aanspreekt op hun ongeautoriseerd gebruik daarvan, dan wordt je verbannen bij hun optredens. Dat maak ik op uit dit verhaal van rockjournalist J. Salmeron. Hij fotografeerde de band en publiceerde de foto online, waarna de band deze overnam en een aan hen gelieerde commerciële club er reclame mee maakte. Nadat hij ze erop aansprak, werd de band boos en werd hij vervolgens voor eeuwig geweerd bij hun concerten. Wat nogal wat verontwaardiging gaf, en zelfs leidde tot doodsbedreigingen bij de fotograaf.

Voor een persfotograaf voelt het volkomen normaal dat je foto’s maakt van je onderwerp, zoals een optreden van een band, en dat die foto’s alleen met jouw toestemming mogen worden gebruikt. Vaak is er wel enige coulance naar fans die zonder commercieel oogmerk de foto publiceren, of naar de band die uit trots de foto herpubliceert op sociale media. Maar in dit geval begon het gedoe met een commerciële club:

Just as I saw that fans were re-posting the photo (something that I tend to turn a blind eye to, as long as they don’t edit the images), I noticed that a company named Thunderball Clothing had posted it to promote their products. … Since the post had been made on the account of the company, it was obvious that its purpose was to advertise. It was placed on an Instagram page that had a link to their online store, and my image was used to show the products that they had created for Alissa.

En wat doe je dan als fotograaf annex jurist? Precies, dan stuur je een sommatiebrief:

In general, I charge a fee of at least €500 (five hundred Euro) to businesses that have posted my work in an unauthorized manner. In this case, however, I would be willing to forget about this problem and let you keep up the above post in exchange for a donation of €100 (one hundred Euro) to the Dutch Cancer Foundation.

De eigenaar van het bedrijf nam vervolgens contact op met de band omdat ze een blafbrief met dreigement van 500 euro had ontvangen. Daar was de band niet blij mee, getuige de mail die de fotograaf vervolgens ontving:

I would like to ask why you are sending discontent emails to people sharing the photo of [leadzangeres] Alissa? Alissa’s sponsors and fan clubs are authorized to share photos of her. Thunderball Clothing is a sponsor of Alissa and Arch Enemy.

De tweede zin laat een andere volkomen normaliteit zien: veel organisaties (met name zij die drijven op social media) gaan ervan uit dat zij zeggenschap hebben over afbeeldingen van hun activiteiten. In dit geval dus, dat zij mogen bepalen wie wat doet met foto’s van hun optredens. Fotografen moeten blij zijn met de exposure (ook al staat hun naam er niet bij) en wie daar anders over denkt, heeft een probleem:

We have immediately removed the picture you took at FortaRock. By the way, we are sure you don’t mind that you are not welcome anymore to take pictures of Arch Enemy performances in the future, at festivals or solo performances. I have copied in the label reps and booking agent who will inform promoters – no band wants to have photographers on site who later send such threatening correspondence to monetise on their images.

Bepaald ongezellig allemaal. En natuurlijk klopt het formeel niet wat de band zegt, het auteursrecht op zo’n foto ligt gewoon bij de fotograaf en dat jij een merk bent, maakt daarbij niet uit. Ook met portretrecht kom je er niet, daarmee kun je in dit soort situaties hooguit een commerciële vergoeding vragen bij exploitatie door de fotograaf van de foto’s maar geen gebruiksrecht voor jezelf opeisen.

Mag je dan als pressiemiddel de andere kant op wel de fotograaf vervolgens van je concerten weren? Ja, dat denk ik wel. Private partijen hebben het recht zelf huisregels te bepalen en te selecteren wie er wel en niet welkom is. Alleen op discriminerende gronden iemand weren, is niet toegestaan. Maar een specifieke persoon weren vanwege een zakelijk conflict is volgens mij nergens verboden.

Een beroep op de persvrijheid (je moet verslag kunnen doen van zo’n concert) zie ik niet snel slagen. Al sinds jaar en dag mogen de KNVB en de voetbalclubs regels stellen over uitzendrechten van voetbalwedstrijden. Wie die niet accepteert, mag het privégrondgebied van de voetbalclubs (het stadion) niet betreden om te filmen. Gezien het maatschappelijk belang van voetbal zou je zeggen dat als dáár het eigendomsrecht boven de persvrijheid gaat, dat bij een toch wat minder bekende metalband zéker ook zou gelden.

Arnoud

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

Geplaatst op in Privacy, 10 reacties

Een lezer vroeg me:

Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan?

Vaste lezers, roep maar even mee: ook op het werk heb je privacy, en een werkgever mag dus niet zomaar in je mailbox kijken. Daar moet een goede reden voor zijn, en er moet rekening worden gehouden met je privacy. Een werkgever moet dus in een reglement uitwerken wanneer er zonder toestemming in een mailbox mag worden gekeken en wat het protocol dan is. Bijvoorbeeld, de manager en HR-directeur kijken samen en men negeert het mapje “Persoonlijk”. Of, we zoeken alleen op trefwoorden gelijk aan namen van zakelijke relaties.

Dat iemand uit dienst is, zou ik een goede reden vinden om een collega de mailbox in beheer te geven. Ik zou wel aanraden dat die mailbox even opgeschoond wordt, en ik hoorde laatst de slimme suggestie dat je de werknemer op zijn laatste dag vraagt of hij dat zelf heeft gedaan (en zo niet, doe het nu gelijk even).

Bij geschillen ligt het wat ingewikkelder, want daar is dan niet echt een objectieve reden – men gaat gewoonlijk dan juist op zóek naar redenen, om ontslag te forceren door aan te tonen dat er geheimen naar buiten zijn gesmokkeld of met relaties concurrerend contact is onderhouden bijvoorbeeld. Nu zijn dat natuurlijk op zich redenen, maar je mag pas gaan zoeken als je al een vermoeden hebt dat die redenen er zijn. Een snuffeltocht (fishing expedition) is niet toegestaan.

Een complicatie hier is dat de vraag nu wordt neergelegd bij een externe leverancier van ICT-diensten. Het doet denken aan die recente discussie over login-logs, waarbij dit ook aan een externe leverancier werd gevraagd. Het antwoord is hetzelfde:

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Bij mailboxen geldt dus precies hetzelfde. Ook de hosted e-mail provider heeft een zorgplicht onder de AVG en moet dus zelf nagaan of het verzoek in orde is. Dat kan natuurlijk niet voor de volle 100% nagegaan worden, maar iets meer dan “tsja het is de klant, en hij betaalt dus hij bepaalt” moet er wel zijn. Een protocol hierover toevoegen aan je opdrachtovereenkomst of verwerkersovereenkomst lijkt me dan ook een heel goed idee.

Arnoud

Mensen boos omdat Google Docs hun privédocumenten als abuse aanmerkte

Geplaatst op in Informatiemaatschappij, 18 reacties

Mensen worden buitengesloten van hun Google Docs, en daar zijn ze boos over. Dat meldde Slate vorige maand. Om onduidelijke redenen merkte een grote groep mensen ineens dat de toegang tot bepaalde van hun documenten geblokkeerd was, met als melding dat hier de Terms of Service waren overtreden. Censuur, omdat het ging om privédocumenten?

Uiteindelijk bleek het een typefout in de software:

This morning, we made a code push that incorrectly flagged a small percentage of Google Docs as abusive, which caused those documents to be automatically blocked. A fix is in place and all users should have full access to their docs.

Het laat wel weer mooi de grote zwakte van de cloud zien: er is geen cloud, er is alleen uitbesteden en daarmee een afhankelijkheid van je leverancier. Die kan en mag de dienstverlening veranderen, en als hij door een foutje je gegevens ontoegankelijk maakt dan heb je even pech. Net zoals een butler die de boodschappen vergeten is.

Die vergelijking maak ik niet zomaar, want voor de wet is er geen verschil tussen een butler en een clouddienst. Het is allebei dienstverlening, en de regels zijn simpel: die mag worden aangepast of opgezegd, en dat is het wel zo’n beetje. Dus nee, er is niet veel te doen tegen dit soort grappen.

Tegelijk weet ik ook niet goed hoe dit op te lossen, want het gaat ook weer erg ver om te zeggen, clouddiensten moeten tot jaar en dag ongewijzigd beschikbaar zijn. Dat kun je ook weer niet van mensen vragen.

Arnoud

Mag een appartementencomplex werken met kentekenherkenning?

Geplaatst op in Privacy, 35 reacties

Een lezer vroeg me:

De vereniging van eigenaren van mijn appartementencomplex wil gaan werken met kentekenherkennning bij de poort. Alleen bewoners en vooraf aangemelde bezoekers kunnen dan nog automatisch naar binnen, de rest moet aanbellen. En van iedere bezoeker worden naam, kenteken en in- en uitrijtijden vastgelegd. Hoe zit dat juridisch?

Het is natuurlijk toegestaan om de toegang tot je complex te reguleren. Alleen wanneer je gaat werken met kentekens, dan loop je tegen de privacywetgeving (nu de Wbp, vanaf 25 mei de AVG) aan. Kentekens worden namelijk gezien als persoonsgegevens, zeker in gevallen wanneer je ze concreet kunt koppelen aan de identiteit van bewoners of bezoekers.

Gelukkig verbiedt de wet niet categorisch het gebruik van persoonsgegevens om de toegang tot een pand of terrein te reguleren. Het mag, maar je bent aan een aantal regels gebonden. De belangrijkste eis is dat je kunt motiveren waarom je voor dit middel hebt gekozen. Kun je niet werken met sleutels en een bel bijvoorbeeld? Is er echt geen andere oplossing?

Daarnaast moet duidelijk zijn uitgewerkt wat er gebeurt met de vastgelegde gegevens. Waarom die, en niet minder? Wie heeft er toegang toe en onder welke voorwaarden? Hoe lang worden ze bewaard, en waarom kan het niet eerder weg. Wat gebeurt er mee? Komen alle kentekens op een bord in de hal, of blijft het bij de portier?

Beveiliging is natuurlijk ook van belang. Hoe worden de gegevens afgeschermd voor ongeautoriseerde toegang, welke logging is ingevoerd en wie heeft daar toegang toe. Afgeleid daarvan, wat gebeurt er met datalekken. Hoe wordt daarop gemonitord en wie gaat een datalek aanmelden en de betrokkenen informeren?

Het is dus vooral een kwestie van zaken goed motiveren en op schrift stellen. Dat reglement is ook nodig, je moet mensen informeren over het waarom en hoe. En het waarom is het belangrijkste.

Arnoud