Kun je als volwassen je kinderfoto’s offline halen?

| AE 10354 | Privacy | 10 reacties

Een lezer vroeg me:

Wanneer ouders of andere mensen een foto van jou als kind online hebben gezet, kun je die dan weg laten halen met een beroep op je privacy als je meerderjarig bent?

Dat kan, maar zal er vooral van afhangen of je ouders destijds ingestemd hebben met de publicatie.

Als je ouders toestemming hebben gegeven, dan kun je relatief makkelijk eisen dat de foto wordt verwijderd. Die toestemming is in te trekken, zo staat in de Wet bescherming persoonsgegevens (artikel 5 lid 2). Ook door jou, even los van of je ouders dat willen. Het belang van de wederpartij doet er in principe niet toe. En vanaf zestien jaar kunnen je ouders rechtsgeldig geen toestemming meer geven voor publicatie van je foto’s (artikel 5 lid 1), dat moet je zelf doen. Dus in die situatie kan de wederpartij zich niet beroepen op toestemming gegeven door je wettelijk vertegenwoordigers.

Je zult je overigens nog lange tijd op de Wbp moeten beroepen; de AVG of GDPR die er 25 mei aankomt geldt namelijk niet voor ‘verwerkingen’ oftewel publicaties van voor die datum. Maar voor wie deze blog over een paar jaar leest, dan heb je minder mogelijkheden: eenmaal gegeven toestemming onder de AVG is niet intrekbaar wanneer de verwerking oftewel publicatie plaatsvindt voor journalistieke of literaire doeleinden. En dat geldt ook voor publicatie door bijvoorbeeld een school of je tante op Facebook, de term “journalistiek” is heel breed.

Als er geen toestemming is gegeven, dan is dat moeilijker. Hoofdregel is dat de privacy van een minderjarige hoog wordt aangeslagen, zodat die het dus in principe snel zal winnen van iemands recht om foto’s te publiceren. Natuurlijk zijn er uitzonderingen mogelijk, en dat zit hem dan met name in de nieuwswaarde van de foto. Als er een duidelijk nieuwsbelang is bij de foto, dan kun je er geen bezwaar tegen maken. Denk aan deelname aan een openbaar sportevenement, een bijzondere maatschappelijke prestatie of iets dergelijks. Dit zal natuurlijk vaak tot discussie leiden.

Arnoud

Wanneer zijn toestemmingsvinkjes nou verplicht?

| AE 9600 | Contracten, Privacy | 8 reacties

Een lezer vroeg me:

Hoe zit het nu precies met die vinkjes die je overal moet zetten om toestemming te geven voor van alles en nog wat? Sommige sites doen dat niet (met algemene voorwaarden), anderen zelfs niet met nieuwsbrieven. Wat zegt de GDPR hierover?

Het is een misverstand dat je alleen akkoord kunt gaan met algemene voorwaarden door een vinkje of iets dergelijks. De wet eist niet meer dan dat je gewezen bent op de voorwaarden en dat je mocht begrijpen dat ze van toepassing zouden zijn. Dat kan prima door enkel de tekst “Door op ‘Bestellen’ te klikken, gaat u tevens akkoord met de verkoopvoorwaarden.” op te nemen net boven de bestelknop. (Wel even linken naar een downloadbare versie van die voorwaarden.)

Meer algemeen zegt de wet eigenlijk nergens dat een aparte handeling nodig is om instemming met wat dan ook te verkrijgen. Rechtshandelingen zijn vormvrij, zoals dat heet. Het mag op iedere manier, zolang maar duidelijk is dát die handeling opgevat gaat worden als instemming. Dat vinkje is dus eigenlijk sowieso nergens voor nodig en volgens mij vooral gemakzucht om het zo op te nemen.

Of nou ja, één wet wel, namelijk de privacyverordening oftewel AVG/GDPR. Wanneer daaronder toestemming vereist is, dan moet die “door middel van een verklaring of een ondubbelzinnige actieve handeling” worden verkregen. Dit houdt in dat de handeling waarmee toestemming wordt gegeven, niet voor meerdere interpretaties vatbaar mag zijn. Een bestelknop in een webwinkel kan dus niet tevens worden gebruikt om toestemming mee te vragen, zoals met een tekst “Door uw bestelling te plaatsen, gaat u tevens akkoord met ontvangst van onze nieuwsbrief” onder die knop. Het is immers niet ondenkbaar dat mensen wel de prominent vormgegeven knop zien maar niet de tekst daaronder.

Specifiek wordt daarbij verder nog bepaald:

Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden.

De toestemmingsvraag moet dus echt apart komen te staan. En ik denk dat het in de praktijk dan vrijwel onvermijdelijk is dat er een vinkje bij komt te staan, al is het maar om vast te stellen dat de persoon echt bedoeld had die toestemming te geven. Een apart vormgegeven paragraaf over privacytoestemming voldoet wel aan het ‘zodanige presentatie’ vereiste, maar ik aarzel of je dat ondubbelzinnig genoeg kunt vinden.

Arnoud

Mag een bedrijf toestemming afleiden uit het feit dat je ze mailt?

| AE 9406 | Privacy | 8 reacties

Een lezer vroeg me:

In het privacystatement van Vereniging Eigen Huis staat: “Het anderszins verwerken van uw persoonsgegevens geschiedt alleen voor zover u Vereniging Eigen Huis daarvoor ondubbelzinnig toestemming heeft verleend. Die toestemming kan blijken uit het enkele feit dat u per e-mail of anderszins een vraag aan Vereniging Eigen Huis stelt.” Is dat laatste wel rechtsgeldig? Hoe kan men nu uit zo’n “enkel feit” toestemming afleiden?

Toestemming wordt als begrip in de Wet bescherming persoonsgegevens gedefinieerd als een “vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt”. Dat is een vrij open definitie, maar natuurlijk kan een bedrijf of instelling niet zelf bepalen hoe wettelijke termen moeten worden uitgelegd.

Volgens mij klopt het wel zoals VEH het formuleert. In principe mag je persoonsgegevens alleen verwerken met toestemming. Toestemming moet vrijwillig worden gegeven, maar het is niet verplicht dat expliciet te laten doen. Toestemming mag je onder de privacywet ook concluderen uit ander handelen, zolang maar duidelijk is dat die handeling bedoeld was als (mede) een toestemmingshandeling.

Het lijkt mij dat als iemand je een mail stuurt met een vraag, je wel mag concluderen dat je toestemming hebt om die persoon terug te mailen. Ik denk dat je ook nog wel toestemming hebt om een week later na te mailen of de oplossing beviel en of ze een enquete in willen vullen.

Verder hoef je denk ik niet bang te zijn dat men die toestemming dan gebruikt om bijvoorbeeld verkoop van je gegevens aan de hoogste bieder te rechtvaardigen. Dat kan namelijk niet onder de privacywet: toestemming moet specifiek en doelgebonden zijn. Deze tekst maakt dat duidelijk met “voor zover”. Ze zeggen dus zelf niet meer te doen dan waarvoor je toestemming hebt gegeven.

Toestemming om een antwoord op je vraag te mailen is wezenlijk iets anders dan toestemming om op een nieuwsbrief te komen, of om je gegevens aan een derde te verstrekken. In programmeertaal: toestemming is geen boolean maar een array met toegestane handelingen. En in dit geval zal er dus niet meer gebeuren dan een reactie op je mail.

Arnoud

Is bij mailafspraken stilzwijgen als toestemmen rechtsgeldig?

| AE 9198 | Contracten, E-mail | 14 reacties

Een lezer vroeg me: Ik mailde voor een behandeling bij een fysiotherapeut. Deze stuurde me een datumvoorstel (in reactie op de drie data die ik had voorgesteld) en sloot af met “Zonder tegenbericht zie ik je dan.” Helaas zag ik die mail pas een dag van tevoren en moest ik afzeggen, maar daarop reageerde hij… Lees verder

Moeten we de toestemming niet eens afschaffen in het privacyrecht?

| AE 9153 | Privacy | 37 reacties

Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die… Lees verder

‘Cookiewet is duur en beschermt onvoldoende’

| AE 9021 | Internetrecht | 31 reacties

De cookiebepaling die bepaalt dat websites om toestemming moeten vragen voor het gebruik van zogenoemde ‘tracking cookies’, is duur en zorgt voor een hoop ergernis. Dat las ik bij Nu.nl. De basis is een onderzoek van Actal, het Adviescollege toetsing regeldruk. Niet alleen zouden bedrijven 74 miljoen euro kwijt zijn voor cookietoestemmingspopups, ook zijn consumenten… Lees verder

Moet de IT-afdeling toestemming vragen om een pc over te nemen?

| AE 8758 | Arbeidsrecht | 20 reacties

Een lezer vroeg me: Ik werk op de IT-afdeling van een bedrijf (~120 medewerkers). Wij hebben op alle pc’s UltraVNC geïnstalleerd, zodat we op afstand beheer kunnen uitvoeren. Dat doen we uiteraard alleen als mensen ons daar toestemming voor geven. Alleen die toestemming vragen we gewoon aan de telefoon of in de chat als we… Lees verder

De cookiewet is dus gemaakt om stiekeme Windows 10-preloads tegen te gaan

| AE 8013 | Privacy, Software | 27 reacties

Microsoft schendt de Europese cookiewet met het automatisch en stilletjes downloaden van Windows 10-installatiebestanden op Windows 7 en 8.1. Dat schreef PCM gisteren op gezag van ondergetekende. Wie Windows 7 of 8 heeft, kan nu zomaar extragratis en stiekem een installatiebestand van 5 gigabyte op zijn harddisk hebben om naar Windows 10 te upgraden (kijk… Lees verder