Heeft die consent-balk van Teams bij video-opnames ook maar enige betekenis?

| AE 12255 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Twitter:

als tijdens een videooverleg de organisator ‘opnemen’ aanzet dan lijkt dit me geen AVG-conforme manier om toestemming omdat die ‘vrijelijk’ gegeven moet worden.
Ik verbaas me ook regelmatig over dat balkje bovenin de meeting, met de tekst “This meeting is being recorded. By joining you are giving consent for this meeting to be recorded.” Eh nee, zo werkt het niet. Maar dit is dan weer zo’n ding waar het gewoon zo gaat en we dat met een zucht accepteren. Het lijkt wel het digitale equivalent van dat “de directie stelt zich niet aansprakelijk”-bordje (waar ik nog steeds meer voorbeelden van zoek, trouwens) te worden.

Inderdaad valt het opnemen van zakelijke meetings onder de AVG. In theorie zou het kunnen dat iemand dit voor strikt persoonlijk gebruik opneemt, maar laten we even uitgaan van een zakelijke meeting en een organisator die structureel opneemt en dat in bijvoorbeeld het zaakdossier opneemt.

Met toestemming van je deelnemers mag dat natuurlijk. Alleen: die moet vrijelijk worden gegeven, en bovendien met een actieve handeling. “Door daarnet het gesprek binnen te komen, heeft u toestemming gegeven” is daarbij een tikje laat. Die tekst had vóór het binnenkomen getoond moeten worden om überhaupt in aanmerking te komen voor de kwalificatie van toestemmingsvraag. Maar ik heb nog geen enkele meeting gehad waarbij Teams voorafgaand aan het binnenkomen me meldt dat er opgenomen gaat worden. Raar.

Zonder toestemming een meeting opnemen ligt lastig. Het kan wel: als de opname noodzakelijk is voor het werk, bijvoorbeeld voor collega’s die terug moeten kijken, dan zie ik het wel als legaal. Of als een organisatie een groot belang heeft bij de opname, de videoregistratie van een jaarvergadering wellicht als bewijs van wat er afgesproken is. Hoewel je natuurlijk daar meteen tegenover kunt stellen dat er ook notulen zijn, dus waarom moeten mensen de hele vergadering terugkijken?

(Dat laatste is de innovatieparadox uit de AVG: nieuwe dingen mogen eigenlijk nooit, want er is een bestaand oud ding dat eigenlijk net zo goed is. Dus er is geen noodzaak. En als er geen bestaand ding is dat je vervangt met je nieuwe ding, dan is het hoog risico of geen nut, dus ook geen noodzaak.)

Arnoud

 

Waarom hebben alle cookiepopups ineens een legitiem belang?

| AE 12221 | Privacy | 13 reacties

Een lezer vroeg me:

Sinds een tijdje valt me op dat allerlei cookiepopups niet alleen om toestemming vragen, maar ook opties aanbieden onder het kopje “legitiem belang”. Vaak kun je die opties niet uitzetten, maar soms wel alleen heet dat dan “bezwaar”. Wat is dit in vredesnaam?
Wie dit heeft bedacht, weet ik ook niet, maar ik vermoed dat diverse grote cookiepopuptechnologieleveranciers (dat is een branche) dit hebben ingevoerd op verzoek van organisaties zoals het Interactive Advertising Bureau (IAB). Iedereen die iets doet met cookies en tracking, ziet de bui namelijk wel hangen dat toestemming het niet lang meer uithoudt als reden (grondslag) om marketing en profiling te doen.

Toestemming was ooit het argument om persoonsgegevens te mogen verzamelen en om met cookies te kunnen werken. Dus iedereen zette lekker een dikke cookiemuur voor zijn site, waardoor we nu met het fenomeen jaklikmoeheid of consent fatigue zitten. En, belangrijker, waardoor toezichthouders eens beter zijn gaan kijken en de terechte vraag stellen waarom het eigenlijk vrijwillig is, dat mensen moeten klikken om je site te kunnen bekijken. Ja, het is jouw site en je mag mensen weigeren, maar in de AVG/GDPR staat nu eenmaal dat toestemming weigeren zonder gevolgen moet blijven – en weigeren is een gevolg, hoe je het ook wendt of keert.

Snel op zoek naar alternatieven, en dan komen we natuurlijk meteen uit bij artikel 6 lid 1 sub f AVG:

de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde,
waarbij iedereen dan meteen wijst op overweging 47 die zegt dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst ‘legitimate interest’ zegt.

Toen is er ergens een brainstorm gekomen over welke soorten cookies en profiling onder dit kopje gerechtvaardigd kunnen worden. Je ziet dat terug in die menu’s: dingen als security & monitoring, first-party analytics en het beperken van overlast door excessief cookiegebruik (ja, serieus heb ik gezien). Daar is dan dus geen toestemming voor nodig, dus die blijven dan buiten het lijstje met dingen waar je toestemming voor moet geven.

Wel staat in de AVG dat je de mogelijkheid tot bezwaar maken moet hebben, op basis van persoonlijke omstandigheden. Bij marketing is de bezwaarmogelijkheid onbeperkt, er hoeft dan geen omstandigheid te worden opgegeven. Daarom zie je dan weer afmeldknopjes bij veel “legitiem belang” opties. Maar een afmeldoptie is in het algemeen niet verplicht. Bij security-opties (monitoring van gedrag om inbrekers-in-spe te pakken) is het natuurlijk niet zinnig om mensen zich te laten afmelden.

Arnoud

Mag de horeca gasten weigeren die geen naam en contactgegevens willen geven?

| AE 12137 | Ondernemingsvrijheid, Privacy | 33 reacties

Horecagelegenheden mogen gasten die geen naam en contactgegevens willen geven niet weigeren, las ik bij Security.nl. Dit blijkt uit een bericht van Koninklijke Horeca Nederland in reactie op de nieuwe maatregelen voor de horeca in de strijd tegen corona. Een van die nieuwe regels is dat iedere horecatent moet werken met reserveringen, ook als het een kleine zaak is. En daarbij is het vragen naar naam en contactgegevens verplicht voor contactonderzoek. Maar of je ook antwoord moet geven is dus niet duidelijk aldus de belangenorganisatie.

Dat is inderdaad een tikje dubbel van de Rijksoverheid:

Daarnaast worden alle bezoekers gevraagd zich te registreren. Bezoekers laten op vrijwillige basis naam- en contactgegevens achter zodat de GGD contact kan opnemen bij een besmetting die verband houdt met de horecagelegenheid.
Vragen is dus verplicht, maar als ik zeg “dat krijg je niet” dan heb je dus pech als horecagelegenheid. Dat riep bij velen (onder meer in de draad bij Security.nl en in mijn inbox) de vraag op of je dat niet alsnog gewoon kunt afdwingen. Het is toch jouw tent, als jij wil dat alleen bij jou bekende personen binnen zijn en dat je hun mailadres hebt dan is dat toch gewoon jouw ondernemersvrijheid?

Nou ja, niet helemaal. De hoofdregel klopt natuurlijk, maar er kunnen wel degelijk wetten zijn die jou hinderen in die vrijheid. De AVG/GDPR is hier echter echt wel een probleem. Een restaurant dat zegt “geef me naam en adres zodat ik marketing op je kan doen, anders eet je maar ergens anders” loopt tegen artikel 7 AVG aan dat zegt dat toestemming vrijwillig gegeven moet worden, zonder enige dwang.

Dit is precies de discussie van de cookiemuur: kan een ondernemer zeggen, geef me toestemming voor cookies anders geen website voor jou? De AP neigt naar de interpretatie “nee”, maar de rechter heeft zich er nog niet over uitgelaten. Ik zie zelf veel voor het standpunt van de AP, ook bij horeca want tegen de tijd dat ik daar sta om half zeven dan heb ik honger en ga ik echt geen ander restaurant opzoeken.

Praktisch gezien zou ik een nepnaam en mailadres invullen net als iedereen. En als je dat wil afvangen door een online reservering te eisen met emailvalidatie of bevestigings-06, dan prima maar dan wel (artikel 13 AVG en 11.7 Telecomwet) expliciet erbij zetten dat je me reclamemails gaat sturen én een afmeldoptie op voorhand. Doen of het alleen is voor coronatracing en dán reclame sturen is gewoon tegen de wet.

Arnoud

Moet ik nog zeggen dat die ondergoedfotoapp van Albert Heijn van de AVG niet mag?

| AE 11634 | Ondernemingsvrijheid, Privacy | 28 reacties

Winkelpersoneel van Albert Heijn is binnenkort in nieuwe bedrijfskleding te zien. De maat zou worden bepaald door foto’s in ondergoed. Dat las ik bij NRC (dank, vele tipgevers, ook voor dit gedicht). De foto’s worden – als ik het goed begrijp – door een AI geanalyseerd om zo de best passende maat te weten te… Lees verder

Toestemming vragen voor inzage in je studieschuld is waarom toestemming niet werkt

| AE 11517 | Privacy | 21 reacties

“Hypotheekverstrekkers gaan toestemming voor toegang tot studieschuld bij DUO opvragen”, las ik in het AD vorige week. Momenteel hebben hypotheekverstrekkers hier standaard geen informatie over, zodat het kan gebeuren dat mensen een hogere hypotheek krijgen dan verstandig zou zijn als wél rekening zou zijn gehouden met de DUO schuldpositie. Maar softwarebedrijf Ockto gaat komende maand… Lees verder

Wie toestemming onder de AVG vraagt, snapt de AVG niet (of heeft een nieuwsbrief)

| AE 11479 | Privacy | 33 reacties

Een lezer vroeg me: Van mijn garagebedrijf kreeg ik een toestemmingsformulier voor het verwerken van mijn gegevens: opname in klantenbestand, verstrekking van mijn persoonsgegevens aan derden in het kader van betalingen en verstrekking van mijn persoonsgegevens aan partners in het kader van een goede dienstverlening, zover dit nodig is. Waarom eist de AVG in hemelsnaam… Lees verder

Mijn werkgever wil me op social media neerzetten, moet ik daaraan meewerken?

| AE 11428 | Ondernemingsvrijheid, Privacy | 17 reacties

Een lezer vroeg me: Mijn werkgever (een mkb-bedrijf met 14 man) wil dat wij allemaal onszelf op internet zetten. Op de bedrijfswebsite “zodat de klant weet wie er langskomt” en ook op social media, om onszelf te promoten. We moeten zelfs meedoen aan discussies op Linkedin. Na wat geruzie heeft een collega voorgesteld dat we… Lees verder

ING gaat persoonlijke aanbiedingen doen op basis van bij- en afschrijvingen, en ik weet niet waarom dat mag

| AE 11316 | Ondernemingsvrijheid, Privacy | 28 reacties

ING gaat klanten ‘persoonlijke aanbiedingen’ doen op basis van hun bij- en afschrijvingen, las ik bij Tweakers. Het gaat om aanbiedingen van ING zelf, dus niet van externe partijen, en klanten kunnen zich er voor afmelden. Dat mag, zegt de bank: “Volgens de AVG moet er een wettelijke grondslag zijn voor het gebruik van persoonsgegevens…. Lees verder

Nee, ik blijf liever moddervet – Hoe illegaal is confirmshaming onder de AVG?

| AE 11243 | Ondernemingsvrijheid, Privacy | 6 reacties

Kent u dat? Dat je gevraagd wordt je in te schrijven voor het een of ander, en dat de “nee” optie wordt voorzien van een beschamende kwalificatie. “Ja, ik wil de slankwordennieuwsbrief / Nee, ik blijf liever moddervet”. Of “Ik wil een groentetuin starten / Nee, ik weet alles al”. Of “Ja, houd me op… Lees verder

Onderzoeksbureau werkt in Nederland met vpn-app op telefoons voor marktonderzoek

| AE 11113 | Privacy | 13 reacties

Onderzoeksbureau Kantar (voorheen TNS/Nipo) vraagt voor zijn bereiksonderzoek om een vpn-app op Android-tablets en -smartphones te zetten. Dat meldde Tweakers begin deze week. Google en Facebook raakten eerder nog in opspraak vanwege het gebruik van vpn-apps voor onderzoek. De Kantar-app is bedoeld voor consumentenonderzoek naar het bereik van onder meer websites en videoplatforms online. Dat… Lees verder