Toestemming vragen voor inzage in je studieschuld is waarom toestemming niet werkt

| AE 11517 | Privacy | 21 reacties

“Hypotheekverstrekkers gaan toestemming voor toegang tot studieschuld bij DUO opvragen”, las ik in het AD vorige week. Momenteel hebben hypotheekverstrekkers hier standaard geen informatie over, zodat het kan gebeuren dat mensen een hogere hypotheek krijgen dan verstandig zou zijn als wél rekening zou zijn gehouden met de DUO schuldpositie. Maar softwarebedrijf Ockto gaat komende maand de Dienst Uitvoering Onderwijs (DUO) toevoegen als databron voor hypotheekverstrekkers. Wel alleen toegankelijk na toestemming van de lener. En dat is wat mij betreft weer een mooi voorbeeld van waarom toestemming vragen onder de AVG niet werkt.

Natuurlijk, ik weet dat onder de AVG toestemming vrijelijk gegeven moet worden en deze toestemming afgedwongen is en dus niet rechtsgeldig, dus geen probleem. Welles. Want reken maar dat er een verhaal is waarom dit niet ‘echt’ dwang is, zoals dat altijd gaat wanneer je gaten in een wet laat die probeert mensenrechten te borgen. Kijk maar, daar gaan we:

Ook is het mogelijk dat de hypotheekverstrekkers het voor hun klanten gaan verplichten om toegang te verschaffen tot hun DUO-gegevens. Als je dat als klant niet wil, zul je naar een bank moeten gaan die dat niet verplicht stelt. Maar als ze het allemaal eisen, ontkom je er niet aan.

Aldus de ICT-leverancier die het toestemmingsknopje gaat bouwen. Want iedereen heeft standaard tientallen aantrekkelijke offertes voor hypotheek, en de vrije markt biedt vast ruimte voor verstrekkers die privacyvriendelijke hypotheken bieden waarbij de klant te veel leent. Nee precies.

Bijgevolg wordt er gewoon een toestemmingsvraag gesteld die ‘vrij’ geweigerd mag worden, maar ja hypotheken weigeren mag ook en je kunt tenslotte ook huren. Dus dat duurt wel een paar jaar tot het Europees Hof van Justitie zegt dat dit niet vrijwillig was. En zo gaat het dan elke keer met afgedwongen toestemming. We ‘vragen’ het gewoon, weigeren heeft gevolgen maar het lijkt net vrijwillig genoeg dat handhaven niet triviaal is. En het lijkt een redelijke vraag want schulden meld je toch gewoon? Dat is in je eigen belang toch?

Nope. Mensen willen graag een huis kopen, en rationeel is het op korte termijn beter een schuld te verzwijgen. Dan krijg je betere hypotheek. De schuldenlast zien we daarna wel, en in de toekomst verdien je meer dus het lost zich op, toch? Maar vooral: als je mensen de optie van toestemming geeft, dan zeg je: jij mag kiezen, het maakt niet uit of je A of B doet. En dat is oneerlijk als je vervolgens ze wél consequenties geeft als ze B (verzwijgen) kiezen. Als je niet wil dat mensen kiezen, moet je ze geen keuze geven.

(En ja, ik weet dat de AVG ook zegt dat met consequenties “ten sterkste rekening gehouden” wordt bij de vraag of toestemming vrij is. Maar dat is slappehapcompromis van EU wetgever. Kun je niets mee en gebeurt ook niets mee. )

Natuurlijk is het zorgelijk dat een hypotheeknemer een grote schuld kan verzwijgen. Maar volgens mij moet dat dan wettelijk geregeld, zodat er over nagedacht is of en wanneer deze schuld bekend moet En er waarborgen in de wet zijn wie er bij mag en wanneer. Bijvoorbeeld als het maandbedrag 1/4e van je inkomen is, want als daar dan ook nog een DUO schuld bovenop zit dan wordt het te veel. Of wanneer het totaalbedrag meer dan 3 ton is, of zoiets.

Of je zegt, kennis van volledige schuldstatus is nodig om fatsoenlijk hypotheekaanbod te doen. Dan is het noodzaak overeenkomst en dan moeten mensen het geven.

“Overigens is de minister niet de enige die wil voorkomen dat oud-studenten hun studieschuld verzwijgen.” Prima dus, maak een wetsvoorstel dat banken hierbij moeten mogen. Maar ga niet doen of mensen dit vrijwillig willen geven.

Arnoud

Wie toestemming onder de AVG vraagt, snapt de AVG niet (of heeft een nieuwsbrief)

| AE 11479 | Privacy | 33 reacties

Een lezer vroeg me:

Van mijn garagebedrijf kreeg ik een toestemmingsformulier voor het verwerken van mijn gegevens: opname in klantenbestand, verstrekking van mijn persoonsgegevens aan derden in het kader van betalingen en verstrekking van mijn persoonsgegevens aan partners in het kader van een goede dienstverlening, zover dit nodig is. Waarom eist de AVG in hemelsnaam dat mensen in dit soort situaties toestemming vragen? Het spreekt toch voor zich dat ik dit wil als ik bij deze garage mijn auto wil laten repareren?

Als ik even zo vrij mag zijn op donderdagochtend: dit is pertinente onzin, en wie toestemmingsformulieren zit te maken onder de AVG mag daar gelijk mee ophouden. Kan me niet schelen wat je doet, je doet het fout. Behalve als je met nieuwsbrieven bezig bent.

Om een of andere reden hebben mensen het idee gekregen dat je onder de AVG overal toestemming voor moet vragen. Ik denk dat dat komt omdat toestemming als de eerste van de zes grondslagen in de wet staat (artikel 6.1 AVG) en men daarna ophoudt met lezen. Een kapitale fout wat mij betreft, met schandalige gevolgen zoals dat kinderen niet naar de tandarts gaan (wat https://twitter.com/toezicht_AP/status/1170688165155356672″>ook volgens de AP onzin is.) Toestemming is de minst zinvolle en minst werkbare grondslag, en als organisatie moet je niet willen werken onder die grondslag.

Het hele idee achter de AVG is dat je eigenlijk alleen persoonsgegevens gaat gebruiken als het niet anders kan. Bij die garage: je hebt gegevens nodig voor de overeenkomst, je wilt je factuur betaald krijgen en soms moeten gegevens ingewonnen bij de dealer of gaat een stukje van het werk door een ander (zoals de verzekeraar). Dat mag gewoon van de AVG, we noemen dat “noodzaak overeenkomst”, grondslag b.

Ook kun je je vaak beroepen op de grondslag van het eigen legitiem belang (sub f), waarbij je dus een afweging van belangen maakt. Toestemming vragen is daarbij niet aan de orde. Verwarrend is daarbij wel dat je vaak een opt-out invoert als deel van die belangenafweging, want met opt-out houd je meer rekening met mensen hun privacybelang, maar die opt-out is heel wat anders dan toestemming. En je moet niet vergeten die afweging daadwerkelijk te maken en op papier te zetten, dat is waar Manfield over struikelde toen ze vingerafdrukherkenning wilde inzetten bij hun personeel.

Mij bekruipt het gevoel dat mensen niet weten hoe zo’n afweging te maken, of het eng vinden een standpunt in te nemen en dan maar toestemming gaan vragen. “Dan zit je in ieder geval goed, toch?” Nope. Al is het maar omdat je óók bij toestemming een noodzakelijkheids- en proportionaliteitstoets moet maken, en geen hond die dat doet bij z’n toestemmingsformulier.

Maar belangrijker: toestemming kan op ieder moment worden ingetrokken, zonder opgaaf van redenen en zonder enige consequentie. Als je dus een bedrijfsproces hebt dat afhankelijk is van toestemming, dan moet je er dus vanuit gaan dat je bedrijfsproces stilstaat omdat niemand toestemming geeft. Ik kan me niet voorstellen dat dat een nuttig bedrijfsproces is.

Behalve nieuwsbrieven dus. Die verstuur je met toestemming (opt-in) en het is geen ramp als iemand die toestemming intrekt. Dan haal je ‘m gewoon uit het bestand. Specifiek daar zie ik toestemming wel werken.

Maar afgezien van nieuwsbrieven dus is er géén zakelijk belang denkbaar waarbij je gaat drijven op toestemming. Wie denkt van wel, ik hoor het graag maar dan wel alsjeblieft inclusief uitleg wat er gebeurt als die toestemming 1 seconde na het geven ingetrokken wordt. Of beter gezegd, waarom het niet erg is dat er niets gebeurt nadat die toestemming ingetrokken blijkt.

Arnoud

Mijn werkgever wil me op social media neerzetten, moet ik daaraan meewerken?

| AE 11428 | Ondernemingsvrijheid, Privacy | 17 reacties

Een lezer vroeg me:

Mijn werkgever (een mkb-bedrijf met 14 man) wil dat wij allemaal onszelf op internet zetten. Op de bedrijfswebsite “zodat de klant weet wie er langskomt” en ook op social media, om onszelf te promoten. We moeten zelfs meedoen aan discussies op Linkedin. Na wat geruzie heeft een collega voorgesteld dat we toestemming geven (of niet) maar volgens mij is dat niet rechtsgeldig. Hoe moet het nu wel? Wanneer kan de werkgever dit verplichten?

Inderdaad is in beginsel toestemming van een werknemer niet rechtsgeldig. De AVG eist dat die vrijwillig wordt gegeven, en een werkgever die iets vraagt, dat komt altijd toch een tikkeltje gedwongen over. “Wil jij even die klant terugbellen” is geen vraag maar een bevel, beleefd geformuleerd. Dus vandaar dat je als werkgever niet met toestemming moet werken.

Als werkgever kun je wel mensen dingen opdragen die gewoon hun werk zijn. Dat is dan hetzij de grondslag uitvoering overeenkomst (het is nodig voor het werk) hetzij het eigen belang van de werkgever. In het eerste geval moet het dan echt nodig zijn voor het werk, in het tweede geval moet je als werkgever ook een belangenafweging maken of de privacy van de werknemer niet in het geding komt en hoe je dat kunt voorkomen.

Wanneer iets ‘nodig’ is voor het werk, is natuurlijk een stukje inschatting. Ik vind bijvoorbeeld dat iemand met een buitendienst-functie al snel met zijn foto op internet gezet kan worden, zodat de klanten weten wie er langskomt of met wie ze te maken hebben. Anno 2019 hoort dat gewoon bij het werk – uitvoering overeenkomst. Dit moet; ga op de foto en wel nu. Als vuistregel: vind je als werkgever dat je dit als dienstbevel kunt opdragen.

Promotie op social media is een belang van de werkgever, je wilt als bedrijf jezelf goed op de kaart zetten. Je hebt dan mensen nodig om je bedrijf te laten zien. Ik vind dat geen noodzaak voor het werk; poseren voor een foto is niet echt wérken. Ik vind niet dat ik mensen dat kan opdragen, dus daarom zou ik dit onder het kopje eigen noodzaak rekenen. Dan zeg ik, dit is wel heel belangrijk voor het werk dus ik wil als werkgever graag dat je dit doet, maar ik houd wel rekening met je persoonlijke levenssfeer.

Als werkgever moet je dan kijken hoe je uitkomt met de privacybelangen van de werknemer. Ik zou dan bijvoorbeeld kijken of de foto wellicht op de rug kan, of het gezicht wat geblurd kan worden et cetera. Vragen “vind je dit goed” is ook een goede maatregel in die context, en mensen die niet willen doen niet mee zonder verdere gevolgen. Daarmee zou het privacybezwaar minimaal moeten zijn.

Bij online discussies (zoals in Linkedingroepen) is dit iets lastiger. Je kunt daar moeilijk aan meedoen zonder naam, functietitel en foto. Dat is nu eenmaal de mores daar, en het heeft voor het bedrijf ook weinig zin als daar “Wim B” zonder functietitel en een chihuahua als foto gaat meedoen. De belangenafweging is dan ingewikkelder, ik weet eerlijk gezegd geen privacy-respecterende maatregelen in de situatie dat je met naam en foto het publieke domein moet betreden.

Dus ik denk dat je daar niet aan ontkomt het te moeten rechtvaardigen onder die noodzaak van het werk. Is het iemands werk om op Linkedin vragen te gaan beantwoorden? Zo ja, dan moet hij dat dus doen. En zo nee, dan kan het alleen op basis van vrijwilligheid – maar hoe je dat inkleedt als werkgever, dat zie ik niet.

Arnoud

ING gaat persoonlijke aanbiedingen doen op basis van bij- en afschrijvingen, en ik weet niet waarom dat mag

| AE 11316 | Ondernemingsvrijheid, Privacy | 28 reacties

ING gaat klanten ‘persoonlijke aanbiedingen’ doen op basis van hun bij- en afschrijvingen, las ik bij Tweakers. Het gaat om aanbiedingen van ING zelf, dus niet van externe partijen, en klanten kunnen zich er voor afmelden. Dat mag, zegt de bank: “Volgens de AVG moet er een wettelijke grondslag zijn voor het gebruik van persoonsgegevens…. Lees verder

Nee, ik blijf liever moddervet – Hoe illegaal is confirmshaming onder de AVG?

| AE 11243 | Ondernemingsvrijheid, Privacy | 6 reacties

Kent u dat? Dat je gevraagd wordt je in te schrijven voor het een of ander, en dat de “nee” optie wordt voorzien van een beschamende kwalificatie. “Ja, ik wil de slankwordennieuwsbrief / Nee, ik blijf liever moddervet”. Of “Ik wil een groentetuin starten / Nee, ik weet alles al”. Of “Ja, houd me op… Lees verder

Onderzoeksbureau werkt in Nederland met vpn-app op telefoons voor marktonderzoek

| AE 11113 | Privacy | 13 reacties

Onderzoeksbureau Kantar (voorheen TNS/Nipo) vraagt voor zijn bereiksonderzoek om een vpn-app op Android-tablets en -smartphones te zetten. Dat meldde Tweakers begin deze week. Google en Facebook raakten eerder nog in opspraak vanwege het gebruik van vpn-apps voor onderzoek. De Kantar-app is bedoeld voor consumentenonderzoek naar het bereik van onder meer websites en videoplatforms online. Dat… Lees verder

Jonge Skype- en Outlook-gebruikers in de problemen door privacywet

| AE 10569 | Informatiemaatschappij, Privacy | 28 reacties

Kinderen onder de 16 jaar met een Outlook- of Skype-account hebben een probleem: ze kunnen opeens niet meer inloggen. Dat meldde de NOS vorige week op basis van een PR-meelbal van Microsoft die het afsluiten van minderjarigen in het belang van hun veiligheid noemt. De geciteerde reden – dat moet van de AVG – is… Lees verder

Moet ik voor de AVG al mijn opt-ins opnieuw om toestemming vragen voor de nieuwsbrief?

| AE 10433 | Privacy | 28 reacties

Een lezer vroeg me: Ik heb al jaren goedlopende nieuwsbrieven, waar ik aan verdien met affiliatelinks. Ik heb altijd netjes confirmed opt-in gehanteerd, maar ik lees nu overal dat toestemming on der de AVG veel strenger wordt. Ook zou er geen coulanceregeling zijn voor bestaande opt-ins. Klopt dat? Moet ik echt al mijn opt-ins opnieuw… Lees verder