Mag je schoolfoto’s in een Dropbox delen met alle ouders?

| AE 9245 | Privacy | 50 reacties

Een lezer vroeg me:

Wanneer er bij onze basisschool foto’s worden gemaakt van een evenement (zoals Sinterklaas of een schoolreisje) dan delen wij die met de betreffende ouders door de foto’s in een Dropbox aan te bieden. Alleen zij kunnen er dan bij, verder is het niet openbaar. (Voor publicatie op de site vragen we apart toestemming.) Maar nu klaagt een ouder dat dit zo niet mag en dat ook verspreiding in Dropbox alleen met aparte toestemming mag. Klopt dat?

Op grond van het portretrecht mogen portretfoto’s als deze (“portretten in opdracht”) niet worden gepubliceerd zonder toestemming van de geportretteerde. Omdat het hier nu gaat om kinderen, is toestemming van de ouders nodig voor publicatie.

De vraag is dan, is dit een publicatie? Je zou zeggen van niet, want slechts een groep ouders kan erbij en niet de hele wereld. Maar de Auteurswet is streng: zodra je buiten de directe familie- of vriendenkring komt, is al sprake van een ‘openbaarmaking’ oftewel een publicatie van het portret. Deze Dropbox-verspreiding is voor alle ouders van die klas beschikbaar, en het lijkt mij lastig verdedigbaar dat alle ouders van klasgenoten de “familie- of vriendenkring” vormt. En als het de hele school is, dan gaat het natuurlijk helemaal niet meer op.

Je kunt het ook via de privacywet (Wet bescherming persoonsgegevens, straks de Privayverordening) spelen maar dan kom je op hetzelfde uit. Verspreiding van een foto telt als een “verwerking van persoonsgegevens”, en dat mag alleen met toestemming of op grond van een andere grondslag uit die wet. Ik zie alleen geen grondslag die hier op kan gaan. Er is geen overeenkomst die verspreiding onder al die ouders rechtvaardigt, en een eigen gerechtvaardigd belang dat zwaarder weegt dan de privacy van de kinderen al helemaal niet.

Ik vrees dus dat er formeel weinig aan te doen is behalve de verspreiding per foto beperken tot enkel de kinderen die op die foto staan. Dat zou denk ik nog nét te verdedigen zijn als familie- of vriendenkring, of onder de privacywet een gerechtvaardigde verwerking. Je kunt immers moeilijk toestemming vragen voor een foto zonder de foto te laten zien aan de betrokkenen.

Arnoud

Is bij mailafspraken stilzwijgen als toestemmen rechtsgeldig?

| AE 9198 | Contracten, E-mail | 14 reacties

Een lezer vroeg me:

Ik mailde voor een behandeling bij een fysiotherapeut. Deze stuurde me een datumvoorstel (in reactie op de drie data die ik had voorgesteld) en sloot af met “Zonder tegenbericht zie ik je dan.” Helaas zag ik die mail pas een dag van tevoren en moest ik afzeggen, maar daarop reageerde hij met een factuur want dat werkt kennelijk zo bij hem als je binnen 24 uur voor de afspraak annuleert. Kan dat zomaar?

Allereerst even een misverstand: het is niet toegestaan om afspraken te annuleren, tenzij de wederpartij daarmee instemt. Afspraak is afspraak, ook voor de consument die bij een bedrijf of zzp’er een dienst wil afnemen. (En ook niet als je via internet de afspraak maakt, als daarbij een specifieke datum of tijd geboekt wordt, of meer algemeen als je.) Vrijwel iedere dienstverlener heeft een annuleringsregeling, en daar zul je dan onder vallen.

Annuleren vereist alleen wel dat er een overeenkomst is, en dat kun je je afvragen bij bovenstaande mailwisseling. Op zich kun je prima zo’n behandelovereenkomst sluiten via internet. Beide partijen moeten instemmen met een aanbod. De vorm daarvan, of wie als laatste instemt, doet er niet toe.

Dat lijkt hier goed te gaan, alleen past de psycholoog hier de truc toe van “stilzwijgen is toestemming”. Dat is riskant, zeker bij mail. De mail komt wellicht niet aan, het stilzwijgen ligt ergens anders aan, en ga zo maar door. Je staat dus flink op achterstand als je op deze manier werkt.

Hier heeft de vraagsteller het wel een tikje laten liggen door pas zo laat te reageren, en dan ook nog eens alleen door af te zeggen. Daarmee staat hij niet sterk; het suggereert dat hij instemde door zijn stilzwijgen en pas op de laatste dag er vanaf wilde. Als hij die dag had gemaild “Sorry, ik heb geen mail gehad dus ik ga er vanuit dat het nu datum 2 zal worden” dan had de fysio een heel moeilijk verhaal gehad.

Arnoud

Moeten we de toestemming niet eens afschaffen in het privacyrecht?

| AE 9153 | Privacy | 37 reacties

Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die nu eenmaal even nodig is om bij die site te kunnen. Toch kent ook de nieuwe privacywet de toestemming als basisbeginsel, en blijft het op allerlei plekken opduiken als basis voor wat je maar wilt doen met iemands privé. Raar.

Het uitgangspunt was ongetwijfeld heel nobel en integer. Als je iemands persoonsgegevens wilt verwerken, dan vraag je die persoon om toestemming. Net zoals je zonder toestemming mensen niet gaat opereren of hun huis betreedt. Gewoon een kwestie van integriteit, van fatsoen. Dus dat zetten we dan ook in de wet: toestemming is de algemene grond, en natuurlijk pas te geven na adequate informatieverstrekking en in volstrekte vrijwilligheid.

Volgens mij was er daarbij wel altijd soort van de aanname dat het verwerken van persoonsgegevens een ietwat bijzondere gebeurtenis was. Iets om even bij stil te staan, iets dat mensen niet perse dagelijks doen dus iets waar je best even de tijd voor mag nemen. Zeg maar een poliklinische ingreep: geen operatie met drie dagen herstel daarna, maar wel iets om je even over te laten inlichten en goed bij stil te staan voordat je ja zegt.

Die aanname is echter volledig verdwenen in de informatiesamenleving. Toestemming vragen is aan de orde van de dag, en gebeurt zó veel en zó vaak dat niemand er meer van opkijkt of bij stilstaat. En dan gaat het hele effect er vanaf natuurlijk. Dan wordt het die droge klik zonder nadenken, zonder betekenis.

Is dat erg, kun je je afvragen. Ik denk het wel, omdat de wet nog steeds opereert onder de aanname dat je wél nadenkt. Wél jezelf even goed informeert. Juridisch advies inwint over wat die wollige taal betekent. En vooral: er vanaf zou zien als je denkt, dit is toch niets voor mij. En de constructie daarbij is dat als je in die situatie toestemming geeft, eigenlijk alles mag. Daar zit voor mij dan de pijn: mensen klikken murwgebeukt op elke Akkoord-knop en de gevolgen worden gebillijkt omdat ze geacht worden te hebben nagedacht en afgewogen alsof ze bij de huisarts een nieuw medicijn moeten uitkiezen.

Het onmiddellijke tegenargument is natuurlijk, dan moet je maar écht eens even nadenken en afwegen als je privacyvragen krijgt. (Bij voorkeur met de flauwe dooddoener dat je toch al je privacy opgeeft door alles op Instagram en Facebook te delen.) Maar dat vind ik niet reëel meer. Als de situatie is dat je elke vijf minuten een lap tekst moet lezen en ja moet zeggen (en anders hup terug naar Google), hoe kun je dan nog in redelijkheid suggereren dat mensen de tijd moeten nemen om goed na te denken?

Dus nee. Wat mij betreft schrappen we dus de toestemming als grondslag. Wie persoonsgegevens wil gebruiken, moet maar gewoon aantonen dat hij dat nodig heeft en waarom dat belang zwaarder weegt dan de privacy.

Arnoud

‘Cookiewet is duur en beschermt onvoldoende’

| AE 9021 | Internetrecht | 31 reacties

De cookiebepaling die bepaalt dat websites om toestemming moeten vragen voor het gebruik van zogenoemde ‘tracking cookies’, is duur en zorgt voor een hoop ergernis. Dat las ik bij Nu.nl. De basis is een onderzoek van Actal, het Adviescollege toetsing regeldruk. Niet alleen zouden bedrijven 74 miljoen euro kwijt zijn voor cookietoestemmingspopups, ook zijn consumenten… Lees verder

Moet de IT-afdeling toestemming vragen om een pc over te nemen?

| AE 8758 | Arbeidsrecht | 20 reacties

Een lezer vroeg me: Ik werk op de IT-afdeling van een bedrijf (~120 medewerkers). Wij hebben op alle pc’s UltraVNC geïnstalleerd, zodat we op afstand beheer kunnen uitvoeren. Dat doen we uiteraard alleen als mensen ons daar toestemming voor geven. Alleen die toestemming vragen we gewoon aan de telefoon of in de chat als we… Lees verder

De cookiewet is dus gemaakt om stiekeme Windows 10-preloads tegen te gaan

| AE 8013 | Privacy, Software | 27 reacties

Microsoft schendt de Europese cookiewet met het automatisch en stilletjes downloaden van Windows 10-installatiebestanden op Windows 7 en 8.1. Dat schreef PCM gisteren op gezag van ondergetekende. Wie Windows 7 of 8 heeft, kan nu zomaar extragratis en stiekem een installatiebestand van 5 gigabyte op zijn harddisk hebben om naar Windows 10 te upgraden (kijk… Lees verder

Hoe geef je toestemming tot meegluren aan je televisie?

| AE 7185 | Contracten, Privacy | 10 reacties

Via Twitter zag ik het screenshot rechts (klik voor vergroting) voorbij komen van Willem Karssenberg. Willem kreeg dit in beeld toen hij Ziggo on demand installeerde. Wij legen uw kijk en klikgedrag vast, ga hiermee akkoord want zo verbeteren wij onze producten en verhogen wij uw gebruiksgemak. Wacht, wat, we zaten toch televisie te kijken?… Lees verder

Mijn provider blokkeert spam, mag dat eigenlijk wel?

| AE 7150 | Aansprakelijkheid | 17 reacties

Een lezer vroeg me: Onlangs ontdekte ik dat mijn provider een eigen spamfilter hanteert, en wel op een vervelende manier: er waren belangrijke mails van een Aziatische klant geblokkeerd. Ik ben daar nooit over geïnformeerd en men zegt nu zelfs dat het filter er niet af kan “vanwege de integriteit van het netwerk”. Mag dat… Lees verder

Hela, volgens de nieuwe polisvoorwaarden mogen ze me reclame mailen?

| AE 7143 | Privacy | 13 reacties

Een lezer vroeg me: Bij mijn nieuwe zorgpolis zat een tekst in kleine lettertjes en ik vroeg me af of dit wel legaal is?<br/> Het verzamelen en verwerken van uw persoonsgegevens is nodig voor het aangaan en uitvoeren van de verzekering(en). De doeleinden waarvoor uw persoonsgegevens worden gebruikt, zijn uitgebreid. Wij kunnen uw gegevens ook… Lees verder