Mag een bedrijf toestemming afleiden uit het feit dat je ze mailt?

| AE 9406 | Privacy | 8 reacties

Een lezer vroeg me:

In het privacystatement van Vereniging Eigen Huis staat: “Het anderszins verwerken van uw persoonsgegevens geschiedt alleen voor zover u Vereniging Eigen Huis daarvoor ondubbelzinnig toestemming heeft verleend. Die toestemming kan blijken uit het enkele feit dat u per e-mail of anderszins een vraag aan Vereniging Eigen Huis stelt.” Is dat laatste wel rechtsgeldig? Hoe kan men nu uit zo’n “enkel feit” toestemming afleiden?

Toestemming wordt als begrip in de Wet bescherming persoonsgegevens gedefinieerd als een “vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt”. Dat is een vrij open definitie, maar natuurlijk kan een bedrijf of instelling niet zelf bepalen hoe wettelijke termen moeten worden uitgelegd.

Volgens mij klopt het wel zoals VEH het formuleert. In principe mag je persoonsgegevens alleen verwerken met toestemming. Toestemming moet vrijwillig worden gegeven, maar het is niet verplicht dat expliciet te laten doen. Toestemming mag je onder de privacywet ook concluderen uit ander handelen, zolang maar duidelijk is dat die handeling bedoeld was als (mede) een toestemmingshandeling.

Het lijkt mij dat als iemand je een mail stuurt met een vraag, je wel mag concluderen dat je toestemming hebt om die persoon terug te mailen. Ik denk dat je ook nog wel toestemming hebt om een week later na te mailen of de oplossing beviel en of ze een enquete in willen vullen.

Verder hoef je denk ik niet bang te zijn dat men die toestemming dan gebruikt om bijvoorbeeld verkoop van je gegevens aan de hoogste bieder te rechtvaardigen. Dat kan namelijk niet onder de privacywet: toestemming moet specifiek en doelgebonden zijn. Deze tekst maakt dat duidelijk met “voor zover”. Ze zeggen dus zelf niet meer te doen dan waarvoor je toestemming hebt gegeven.

Toestemming om een antwoord op je vraag te mailen is wezenlijk iets anders dan toestemming om op een nieuwsbrief te komen, of om je gegevens aan een derde te verstrekken. In programmeertaal: toestemming is geen boolean maar een array met toegestane handelingen. En in dit geval zal er dus niet meer gebeuren dan een reactie op je mail.

Arnoud

Mag je schoolfoto’s in een Dropbox delen met alle ouders?

| AE 9245 | Privacy | 53 reacties

Een lezer vroeg me:

Wanneer er bij onze basisschool foto’s worden gemaakt van een evenement (zoals Sinterklaas of een schoolreisje) dan delen wij die met de betreffende ouders door de foto’s in een Dropbox aan te bieden. Alleen zij kunnen er dan bij, verder is het niet openbaar. (Voor publicatie op de site vragen we apart toestemming.) Maar nu klaagt een ouder dat dit zo niet mag en dat ook verspreiding in Dropbox alleen met aparte toestemming mag. Klopt dat?

Op grond van het portretrecht mogen portretfoto’s als deze (“portretten in opdracht”) niet worden gepubliceerd zonder toestemming van de geportretteerde. Omdat het hier nu gaat om kinderen, is toestemming van de ouders nodig voor publicatie.

De vraag is dan, is dit een publicatie? Je zou zeggen van niet, want slechts een groep ouders kan erbij en niet de hele wereld. Maar de Auteurswet is streng: zodra je buiten de directe familie- of vriendenkring komt, is al sprake van een ‘openbaarmaking’ oftewel een publicatie van het portret. Deze Dropbox-verspreiding is voor alle ouders van die klas beschikbaar, en het lijkt mij lastig verdedigbaar dat alle ouders van klasgenoten de “familie- of vriendenkring” vormt. En als het de hele school is, dan gaat het natuurlijk helemaal niet meer op.

Je kunt het ook via de privacywet (Wet bescherming persoonsgegevens, straks de Privayverordening) spelen maar dan kom je op hetzelfde uit. Verspreiding van een foto telt als een “verwerking van persoonsgegevens”, en dat mag alleen met toestemming of op grond van een andere grondslag uit die wet. Ik zie alleen geen grondslag die hier op kan gaan. Er is geen overeenkomst die verspreiding onder al die ouders rechtvaardigt, en een eigen gerechtvaardigd belang dat zwaarder weegt dan de privacy van de kinderen al helemaal niet.

Ik vrees dus dat er formeel weinig aan te doen is behalve de verspreiding per foto beperken tot enkel de kinderen die op die foto staan. Dat zou denk ik nog nét te verdedigen zijn als familie- of vriendenkring, of onder de privacywet een gerechtvaardigde verwerking. Je kunt immers moeilijk toestemming vragen voor een foto zonder de foto te laten zien aan de betrokkenen.

Arnoud

Is bij mailafspraken stilzwijgen als toestemmen rechtsgeldig?

| AE 9198 | Contracten, E-mail | 14 reacties

Een lezer vroeg me:

Ik mailde voor een behandeling bij een fysiotherapeut. Deze stuurde me een datumvoorstel (in reactie op de drie data die ik had voorgesteld) en sloot af met “Zonder tegenbericht zie ik je dan.” Helaas zag ik die mail pas een dag van tevoren en moest ik afzeggen, maar daarop reageerde hij met een factuur want dat werkt kennelijk zo bij hem als je binnen 24 uur voor de afspraak annuleert. Kan dat zomaar?

Allereerst even een misverstand: het is niet toegestaan om afspraken te annuleren, tenzij de wederpartij daarmee instemt. Afspraak is afspraak, ook voor de consument die bij een bedrijf of zzp’er een dienst wil afnemen. (En ook niet als je via internet de afspraak maakt, als daarbij een specifieke datum of tijd geboekt wordt, of meer algemeen als je.) Vrijwel iedere dienstverlener heeft een annuleringsregeling, en daar zul je dan onder vallen.

Annuleren vereist alleen wel dat er een overeenkomst is, en dat kun je je afvragen bij bovenstaande mailwisseling. Op zich kun je prima zo’n behandelovereenkomst sluiten via internet. Beide partijen moeten instemmen met een aanbod. De vorm daarvan, of wie als laatste instemt, doet er niet toe.

Dat lijkt hier goed te gaan, alleen past de psycholoog hier de truc toe van “stilzwijgen is toestemming”. Dat is riskant, zeker bij mail. De mail komt wellicht niet aan, het stilzwijgen ligt ergens anders aan, en ga zo maar door. Je staat dus flink op achterstand als je op deze manier werkt.

Hier heeft de vraagsteller het wel een tikje laten liggen door pas zo laat te reageren, en dan ook nog eens alleen door af te zeggen. Daarmee staat hij niet sterk; het suggereert dat hij instemde door zijn stilzwijgen en pas op de laatste dag er vanaf wilde. Als hij die dag had gemaild “Sorry, ik heb geen mail gehad dus ik ga er vanuit dat het nu datum 2 zal worden” dan had de fysio een heel moeilijk verhaal gehad.

Arnoud

Moeten we de toestemming niet eens afschaffen in het privacyrecht?

| AE 9153 | Privacy | 37 reacties

Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die… Lees verder

‘Cookiewet is duur en beschermt onvoldoende’

| AE 9021 | Internetrecht | 31 reacties

De cookiebepaling die bepaalt dat websites om toestemming moeten vragen voor het gebruik van zogenoemde ‘tracking cookies’, is duur en zorgt voor een hoop ergernis. Dat las ik bij Nu.nl. De basis is een onderzoek van Actal, het Adviescollege toetsing regeldruk. Niet alleen zouden bedrijven 74 miljoen euro kwijt zijn voor cookietoestemmingspopups, ook zijn consumenten… Lees verder

Moet de IT-afdeling toestemming vragen om een pc over te nemen?

| AE 8758 | Arbeidsrecht | 20 reacties

Een lezer vroeg me: Ik werk op de IT-afdeling van een bedrijf (~120 medewerkers). Wij hebben op alle pc’s UltraVNC geïnstalleerd, zodat we op afstand beheer kunnen uitvoeren. Dat doen we uiteraard alleen als mensen ons daar toestemming voor geven. Alleen die toestemming vragen we gewoon aan de telefoon of in de chat als we… Lees verder

De cookiewet is dus gemaakt om stiekeme Windows 10-preloads tegen te gaan

| AE 8013 | Privacy, Software | 27 reacties

Microsoft schendt de Europese cookiewet met het automatisch en stilletjes downloaden van Windows 10-installatiebestanden op Windows 7 en 8.1. Dat schreef PCM gisteren op gezag van ondergetekende. Wie Windows 7 of 8 heeft, kan nu zomaar extragratis en stiekem een installatiebestand van 5 gigabyte op zijn harddisk hebben om naar Windows 10 te upgraden (kijk… Lees verder

Hoe geef je toestemming tot meegluren aan je televisie?

| AE 7185 | Contracten, Privacy | 10 reacties

Via Twitter zag ik het screenshot rechts (klik voor vergroting) voorbij komen van Willem Karssenberg. Willem kreeg dit in beeld toen hij Ziggo on demand installeerde. Wij legen uw kijk en klikgedrag vast, ga hiermee akkoord want zo verbeteren wij onze producten en verhogen wij uw gebruiksgemak. Wacht, wat, we zaten toch televisie te kijken?… Lees verder

Mijn provider blokkeert spam, mag dat eigenlijk wel?

| AE 7150 | Aansprakelijkheid | 17 reacties

Een lezer vroeg me: Onlangs ontdekte ik dat mijn provider een eigen spamfilter hanteert, en wel op een vervelende manier: er waren belangrijke mails van een Aziatische klant geblokkeerd. Ik ben daar nooit over geïnformeerd en men zegt nu zelfs dat het filter er niet af kan “vanwege de integriteit van het netwerk”. Mag dat… Lees verder