Mag de horeca gasten weigeren die geen naam en contactgegevens willen geven?

| AE 12137 | Ondernemingsvrijheid, Privacy | 33 reacties

Horecagelegenheden mogen gasten die geen naam en contactgegevens willen geven niet weigeren, las ik bij Security.nl. Dit blijkt uit een bericht van Koninklijke Horeca Nederland in reactie op de nieuwe maatregelen voor de horeca in de strijd tegen corona. Een van die nieuwe regels is dat iedere horecatent moet werken met reserveringen, ook als het een kleine zaak is. En daarbij is het vragen naar naam en contactgegevens verplicht voor contactonderzoek. Maar of je ook antwoord moet geven is dus niet duidelijk aldus de belangenorganisatie.

Dat is inderdaad een tikje dubbel van de Rijksoverheid:

Daarnaast worden alle bezoekers gevraagd zich te registreren. Bezoekers laten op vrijwillige basis naam- en contactgegevens achter zodat de GGD contact kan opnemen bij een besmetting die verband houdt met de horecagelegenheid.
Vragen is dus verplicht, maar als ik zeg “dat krijg je niet” dan heb je dus pech als horecagelegenheid. Dat riep bij velen (onder meer in de draad bij Security.nl en in mijn inbox) de vraag op of je dat niet alsnog gewoon kunt afdwingen. Het is toch jouw tent, als jij wil dat alleen bij jou bekende personen binnen zijn en dat je hun mailadres hebt dan is dat toch gewoon jouw ondernemersvrijheid?

Nou ja, niet helemaal. De hoofdregel klopt natuurlijk, maar er kunnen wel degelijk wetten zijn die jou hinderen in die vrijheid. De AVG/GDPR is hier echter echt wel een probleem. Een restaurant dat zegt “geef me naam en adres zodat ik marketing op je kan doen, anders eet je maar ergens anders” loopt tegen artikel 7 AVG aan dat zegt dat toestemming vrijwillig gegeven moet worden, zonder enige dwang.

Dit is precies de discussie van de cookiemuur: kan een ondernemer zeggen, geef me toestemming voor cookies anders geen website voor jou? De AP neigt naar de interpretatie “nee”, maar de rechter heeft zich er nog niet over uitgelaten. Ik zie zelf veel voor het standpunt van de AP, ook bij horeca want tegen de tijd dat ik daar sta om half zeven dan heb ik honger en ga ik echt geen ander restaurant opzoeken.

Praktisch gezien zou ik een nepnaam en mailadres invullen net als iedereen. En als je dat wil afvangen door een online reservering te eisen met emailvalidatie of bevestigings-06, dan prima maar dan wel (artikel 13 AVG en 11.7 Telecomwet) expliciet erbij zetten dat je me reclamemails gaat sturen én een afmeldoptie op voorhand. Doen of het alleen is voor coronatracing en dán reclame sturen is gewoon tegen de wet.

Arnoud

Moet ik nog zeggen dat die ondergoedfotoapp van Albert Heijn van de AVG niet mag?

| AE 11634 | Ondernemingsvrijheid, Privacy | 28 reacties

Winkelpersoneel van Albert Heijn is binnenkort in nieuwe bedrijfskleding te zien. De maat zou worden bepaald door foto’s in ondergoed. Dat las ik bij NRC (dank, vele tipgevers, ook voor dit gedicht). De foto’s worden – als ik het goed begrijp – door een AI geanalyseerd om zo de best passende maat te weten te komen, en kennelijk heeft niemand in de keten van hoofdkantoor-ontwikkelbedrijf-testgroep-management ergens gezegd “goh, is het eigenlijk niet raar dat we ons personeel verplichten in ondergoed op de foto te gaan”, of zelfs maar “goh wat zou er gebeuren als die foto’s op straat komen straks”. Zelfs de AP ontkwam niet aan de terechte kwalificatie van “bizar”.

Mijn eerste gedachte bij het lezen van dit artikel was natuurlijk, waaróm in vredesnaam kom je op het idee dat je hier een app voor nodig hebt. Het doorgeven van maten voor bedrijfskleding is toch iets dat werknemers al heel wat decennia doen (grapje voor wie in dienst zat: we hebben Te Groot en Te Klein, maar Past Precies is op). Maar her en der lees ik informeel dat een probleem is dat werknemers te grote kleding uitkiezen (dat werkt fijner) terwijl het bedrijf wil dat mensen precies passende kleding dragen (dat staat verzorgder). Dus moet er objectief worden gemeten, en toen was er iemand die zei, kunnen we niet een app dat laten doen met AI.

Voor de volledigheid toch even het juridisch inkoppertje. Het (laten) maken van digitale foto’s van personeel is een verwerking van hun persoonsgegevens, gebeurt dat bij slechts gekleed in ondergoed dan kom je mogelijk zelfs bij bijzondere persoonsgegevens (gezondheid). Daar is een grondslag voor nodig en als werkgever heb je alleen de noodzaak voor het werk of het eigen belang dat boven het privébelang gaat. Nog even los van hoe dit beveiligd is en wat er nog meer met die foto’s gebeurt (ik zie de commerciële waarde van verkoop aan jeugdkledingmakers wel).

Een noodzaak voor het werk zou dan zijn dat mensen correct gekleed moeten gaan en dat dat niet anders vast te stellen is, ondersteund door managersverklaringen dat personeel altijd te ruim gekleed gaat. Ik zou dan zeggen, daar kun je mensen op aanspreken, of desnoods iemand het laten opmeten. Zó veel personeelsleden per filiaal zijn er nou ook weer niet. (Oké, ik weet niet wat vervelender is, een collega met een meetlint of een AI die je ondergoedfoto op een AWS bucket in Amerika opslaat.) Dus nee, die noodzaak zie ik niet. Zeker niet omdat AH zegt, wie echt niet wil die kan gewoon zijn maten doorgeven. Om diezelfde reden krijg je de eigen noodzaak gewoon niet rond.

De belangrijkste vraag voor mij is, hoe had men gedacht dat dit het gestelde probleem zou oplossen? Voor zover ik weet heeft men alleen S, M, L en XL. Dus dan kan zo’n AI wel heel gedetailleerd taillematen met afwijkende mouwen, extra lange achterkant en strak kraagje aanraden, maar dan krijg je alsnog gewoon een L. Nee, dit geeft meer vragen dan antwoorden.

Arnoud

Toestemming vragen voor inzage in je studieschuld is waarom toestemming niet werkt

| AE 11517 | Privacy | 21 reacties

“Hypotheekverstrekkers gaan toestemming voor toegang tot studieschuld bij DUO opvragen”, las ik in het AD vorige week. Momenteel hebben hypotheekverstrekkers hier standaard geen informatie over, zodat het kan gebeuren dat mensen een hogere hypotheek krijgen dan verstandig zou zijn als wél rekening zou zijn gehouden met de DUO schuldpositie. Maar softwarebedrijf Ockto gaat komende maand de Dienst Uitvoering Onderwijs (DUO) toevoegen als databron voor hypotheekverstrekkers. Wel alleen toegankelijk na toestemming van de lener. En dat is wat mij betreft weer een mooi voorbeeld van waarom toestemming vragen onder de AVG niet werkt.

Natuurlijk, ik weet dat onder de AVG toestemming vrijelijk gegeven moet worden en deze toestemming afgedwongen is en dus niet rechtsgeldig, dus geen probleem. Welles. Want reken maar dat er een verhaal is waarom dit niet ‘echt’ dwang is, zoals dat altijd gaat wanneer je gaten in een wet laat die probeert mensenrechten te borgen. Kijk maar, daar gaan we:

Ook is het mogelijk dat de hypotheekverstrekkers het voor hun klanten gaan verplichten om toegang te verschaffen tot hun DUO-gegevens. Als je dat als klant niet wil, zul je naar een bank moeten gaan die dat niet verplicht stelt. Maar als ze het allemaal eisen, ontkom je er niet aan.

Aldus de ICT-leverancier die het toestemmingsknopje gaat bouwen. Want iedereen heeft standaard tientallen aantrekkelijke offertes voor hypotheek, en de vrije markt biedt vast ruimte voor verstrekkers die privacyvriendelijke hypotheken bieden waarbij de klant te veel leent. Nee precies.

Bijgevolg wordt er gewoon een toestemmingsvraag gesteld die ‘vrij’ geweigerd mag worden, maar ja hypotheken weigeren mag ook en je kunt tenslotte ook huren. Dus dat duurt wel een paar jaar tot het Europees Hof van Justitie zegt dat dit niet vrijwillig was. En zo gaat het dan elke keer met afgedwongen toestemming. We ‘vragen’ het gewoon, weigeren heeft gevolgen maar het lijkt net vrijwillig genoeg dat handhaven niet triviaal is. En het lijkt een redelijke vraag want schulden meld je toch gewoon? Dat is in je eigen belang toch?

Nope. Mensen willen graag een huis kopen, en rationeel is het op korte termijn beter een schuld te verzwijgen. Dan krijg je betere hypotheek. De schuldenlast zien we daarna wel, en in de toekomst verdien je meer dus het lost zich op, toch? Maar vooral: als je mensen de optie van toestemming geeft, dan zeg je: jij mag kiezen, het maakt niet uit of je A of B doet. En dat is oneerlijk als je vervolgens ze wél consequenties geeft als ze B (verzwijgen) kiezen. Als je niet wil dat mensen kiezen, moet je ze geen keuze geven.

(En ja, ik weet dat de AVG ook zegt dat met consequenties “ten sterkste rekening gehouden” wordt bij de vraag of toestemming vrij is. Maar dat is slappehapcompromis van EU wetgever. Kun je niets mee en gebeurt ook niets mee. )

Natuurlijk is het zorgelijk dat een hypotheeknemer een grote schuld kan verzwijgen. Maar volgens mij moet dat dan wettelijk geregeld, zodat er over nagedacht is of en wanneer deze schuld bekend moet En er waarborgen in de wet zijn wie er bij mag en wanneer. Bijvoorbeeld als het maandbedrag 1/4e van je inkomen is, want als daar dan ook nog een DUO schuld bovenop zit dan wordt het te veel. Of wanneer het totaalbedrag meer dan 3 ton is, of zoiets.

Of je zegt, kennis van volledige schuldstatus is nodig om fatsoenlijk hypotheekaanbod te doen. Dan is het noodzaak overeenkomst en dan moeten mensen het geven.

“Overigens is de minister niet de enige die wil voorkomen dat oud-studenten hun studieschuld verzwijgen.” Prima dus, maak een wetsvoorstel dat banken hierbij moeten mogen. Maar ga niet doen of mensen dit vrijwillig willen geven.

Arnoud

Wie toestemming onder de AVG vraagt, snapt de AVG niet (of heeft een nieuwsbrief)

| AE 11479 | Privacy | 33 reacties

Een lezer vroeg me: Van mijn garagebedrijf kreeg ik een toestemmingsformulier voor het verwerken van mijn gegevens: opname in klantenbestand, verstrekking van mijn persoonsgegevens aan derden in het kader van betalingen en verstrekking van mijn persoonsgegevens aan partners in het kader van een goede dienstverlening, zover dit nodig is. Waarom eist de AVG in hemelsnaam… Lees verder

Mijn werkgever wil me op social media neerzetten, moet ik daaraan meewerken?

| AE 11428 | Ondernemingsvrijheid, Privacy | 17 reacties

Een lezer vroeg me: Mijn werkgever (een mkb-bedrijf met 14 man) wil dat wij allemaal onszelf op internet zetten. Op de bedrijfswebsite “zodat de klant weet wie er langskomt” en ook op social media, om onszelf te promoten. We moeten zelfs meedoen aan discussies op Linkedin. Na wat geruzie heeft een collega voorgesteld dat we… Lees verder

ING gaat persoonlijke aanbiedingen doen op basis van bij- en afschrijvingen, en ik weet niet waarom dat mag

| AE 11316 | Ondernemingsvrijheid, Privacy | 28 reacties

ING gaat klanten ‘persoonlijke aanbiedingen’ doen op basis van hun bij- en afschrijvingen, las ik bij Tweakers. Het gaat om aanbiedingen van ING zelf, dus niet van externe partijen, en klanten kunnen zich er voor afmelden. Dat mag, zegt de bank: “Volgens de AVG moet er een wettelijke grondslag zijn voor het gebruik van persoonsgegevens…. Lees verder

Nee, ik blijf liever moddervet – Hoe illegaal is confirmshaming onder de AVG?

| AE 11243 | Ondernemingsvrijheid, Privacy | 6 reacties

Kent u dat? Dat je gevraagd wordt je in te schrijven voor het een of ander, en dat de “nee” optie wordt voorzien van een beschamende kwalificatie. “Ja, ik wil de slankwordennieuwsbrief / Nee, ik blijf liever moddervet”. Of “Ik wil een groentetuin starten / Nee, ik weet alles al”. Of “Ja, houd me op… Lees verder

Onderzoeksbureau werkt in Nederland met vpn-app op telefoons voor marktonderzoek

| AE 11113 | Privacy | 13 reacties

Onderzoeksbureau Kantar (voorheen TNS/Nipo) vraagt voor zijn bereiksonderzoek om een vpn-app op Android-tablets en -smartphones te zetten. Dat meldde Tweakers begin deze week. Google en Facebook raakten eerder nog in opspraak vanwege het gebruik van vpn-apps voor onderzoek. De Kantar-app is bedoeld voor consumentenonderzoek naar het bereik van onder meer websites en videoplatforms online. Dat… Lees verder

Jonge Skype- en Outlook-gebruikers in de problemen door privacywet

| AE 10569 | Informatiemaatschappij, Privacy | 28 reacties

Kinderen onder de 16 jaar met een Outlook- of Skype-account hebben een probleem: ze kunnen opeens niet meer inloggen. Dat meldde de NOS vorige week op basis van een PR-meelbal van Microsoft die het afsluiten van minderjarigen in het belang van hun veiligheid noemt. De geciteerde reden – dat moet van de AVG – is… Lees verder

Moet ik voor de AVG al mijn opt-ins opnieuw om toestemming vragen voor de nieuwsbrief?

| AE 10433 | Privacy | 28 reacties

Een lezer vroeg me: Ik heb al jaren goedlopende nieuwsbrieven, waar ik aan verdien met affiliatelinks. Ik heb altijd netjes confirmed opt-in gehanteerd, maar ik lees nu overal dat toestemming on der de AVG veel strenger wordt. Ook zou er geen coulanceregeling zijn voor bestaande opt-ins. Klopt dat? Moet ik echt al mijn opt-ins opnieuw… Lees verder