Jonge Skype- en Outlook-gebruikers in de problemen door privacywet

| AE 10569 | Informatiemaatschappij, Privacy | 28 reacties

Kinderen onder de 16 jaar met een Outlook- of Skype-account hebben een probleem: ze kunnen opeens niet meer inloggen. Dat meldde de NOS vorige week op basis van een PR-meelbal van Microsoft die het afsluiten van minderjarigen in het belang van hun veiligheid noemt. De geciteerde reden – dat moet van de AVG – is de grootste onzin die ik over deze wet in tijden heb gelezen. En ik héb wat onzin over de AVG gelezen.

Het klopt dat er voor kinderen (zestienminnners dus) speciale regels in de AVG staan. Wanneer je namelijk een kind onder de zestien rechtstreeks een internetdienst aanbiedt, en je wilt daarbij toestemming voor gebruik van diens persoonsgegevens, dan moet je die bij de ouders gaan halen. Dat staat in artikel 8 lid 1. En in lid 2 staat dat de aanbieder van zo’n dienst een inspanningsplicht heeft om daadwerkelijk te controleren dat die toestemming er is.

Alleen: het moet gaan om een “rechtstreeks aanbod”, staat er letterlijk. Ik kan dat maar op één manier lezen en dat is dat de dienst zich specifiek op kinderen richt. Een dienst die toevallig ook kinderen toelaat, doet die kinderen weliswaar een aanbod maar geen rechtstreeks aanbod. Als je zegt van wel, dan doet iedere internetdienst te allen tijde een “rechtstreeks” aanbod door een signup formulier te bieden, en dan heeft de frase “rechtstreeks aanbod” geen betekenis. En dat is juridisch een gevalletje delen door nul, dat kan niet waar zijn dat een zinsnede niets betekent. Een wetgever schrijft het niet voor niet zo op.

Daarnaast geldt het alleen voor gebruik van persoonsgegevens met als grondslag toestemming. Ik zou denken dat bij Microsoft die persoonsgegevens (je account, de daaraan gekoppelde gegevens die je opslaat et cetera) onder de grondslag overeenkomst verwerkt worden. Ook daarom zou dit dus gewoon niet van toepassing moeten zijn. Je vraagt niet om toestemming om een dienst te mogen leveren, je sluit een online contract waaronder je een dienst gaat leveren. Dat is wezenlijk wat anders.

Ik snap dus werkelijk niet hoe Microsoft hierbij komt. Je zou kunnen denken dat het een voorzichtige interpretatie is, maar als ik dan “We zijn er ons van bewust dat de vereisten die de AVG met zich meebrengt tijdelijk vervelend kunnen zijn.” lees in dat persbericht dan is mijn eerste gedachte, wordt hier subtiel gelobbyd tegen de werkelijke doelen van de AVG? Is er werkelijk geen andere manier dan een creditcardbetaling?

Het grappige vind ik dan nog dat onder de Wbp (en dus in heel Europa) er wel categorisch altijd toestemming nodig was van ouders om zestienminners internetdiensten te laten gebruiken. De huidige wet kent namelijk géén beperking tot “direct aanbod” of zelfs maar tot internetdiensten. Toestemming geven voor een schoolfoto moet nu dus via de ouders, vanaf 25 mei kan een kind die toestemming zelf geven (tenzij volgens de algemene regel van artikel 1:234 BW die toestemming niet gebruikelijk is voor iemand van die leeftijd). Dus eigenlijk erkent Microsoft dat het al die jaren het fout heeft gedaan?

Arnoud

Moet ik voor de AVG al mijn opt-ins opnieuw om toestemming vragen voor de nieuwsbrief?

| AE 10433 | Privacy | 27 reacties

Een lezer vroeg me:

Ik heb al jaren goedlopende nieuwsbrieven, waar ik aan verdien met affiliatelinks. Ik heb altijd netjes confirmed opt-in gehanteerd, maar ik lees nu overal dat toestemming on der de AVG veel strenger wordt. Ook zou er geen coulanceregeling zijn voor bestaande opt-ins. Klopt dat? Moet ik echt al mijn opt-ins opnieuw gaan halen?

Het klopt dat de AVG strenger is dan de huidige wet waar het gaat om toestemming, maar wie nu werkt met heldere, vrijwillig gegeven opt-ins voor nieuwsbrieven zal daar weinig last van hebben.

In de kern komt toestemming onder de AVG neer op een vrijwillige actieve handeling. Een vakje aanvinken, je e-mailadres invullen in een veld direct onder “Abonneren nieuwsbrief” en dergelijke zijn duidelijke actieve handelingen die mensen in volle vrijheid doen. Daarentegen zou een vinkje weghalen (wat we nu opt-out noemen) niet genoeg zijn, net als mensen een verplichte popup bieden waarna ze alleen verder kunnen na invullen mailadres.

Vereist is ook dat je specifiek en duidelijk hebt uitgelegd wat er gaat gebeuren na die handeling. Enkel om een e-mailadres vragen is dus niet genoeg, je moet er expliciet bij zetten dat dat mailadres geabonneerd gaat worden op de nieuwsbrief. Die bekende formulieren “vul uw mailadres in en download een ebook” zijn dus niet rechtsgeldig, omdat er niet bij staat dat je de nieuwsbrief(-ven) gaat ontvangen.

Een praktisch probleem kan zijn dat de AVG strenger is in de bewijslast. Je moet als afzender van zo’n nieuwsbrief kunnen bewijzen dat je ontvangers opt-in hebben gegeven. Weinig mensen hebben logbestanden van opt-ins op nieuwsbrieven. Maar dat hoeft ook niet. Als je kunt aantonen dat je hebt gewerkt met confirmed opt-in (dus een bevestigingslink mailen en pas na klikken daarop mensen inschrijven) dan staat voldoende vast dat mensen zich vrijwillig hebben ingeschreven.

Ingewikkelder wordt het onder de AVG voor nieuwsbriefinschrijvingen die gekoppeld zijn aan gratis downloads, zoals ebooks, whitepapers of webinars. De AVG vermeldt namelijk expliciet dat een afgedwongen toestemming niet mag, en toestemming voor iets niet-noodzakelijks verplichten bij afname van een dienst noemen ze als voorbeeld van afdwingen. Hier kom ik volgende week op terug.

Arnoud

Kun je als volwassen je kinderfoto’s offline halen?

| AE 10354 | Privacy | 10 reacties

Een lezer vroeg me:

Wanneer ouders of andere mensen een foto van jou als kind online hebben gezet, kun je die dan weg laten halen met een beroep op je privacy als je meerderjarig bent?

Dat kan, maar zal er vooral van afhangen of je ouders destijds ingestemd hebben met de publicatie.

Als je ouders toestemming hebben gegeven, dan kun je relatief makkelijk eisen dat de foto wordt verwijderd. Die toestemming is in te trekken, zo staat in de Wet bescherming persoonsgegevens (artikel 5 lid 2). Ook door jou, even los van of je ouders dat willen. Het belang van de wederpartij doet er in principe niet toe. En vanaf zestien jaar kunnen je ouders rechtsgeldig geen toestemming meer geven voor publicatie van je foto’s (artikel 5 lid 1), dat moet je zelf doen. Dus in die situatie kan de wederpartij zich niet beroepen op toestemming gegeven door je wettelijk vertegenwoordigers.

Je zult je overigens nog lange tijd op de Wbp moeten beroepen; de AVG of GDPR die er 25 mei aankomt geldt namelijk niet voor ‘verwerkingen’ oftewel publicaties van voor die datum. Maar voor wie deze blog over een paar jaar leest, dan heb je minder mogelijkheden: eenmaal gegeven toestemming onder de AVG is niet intrekbaar wanneer de verwerking oftewel publicatie plaatsvindt voor journalistieke of literaire doeleinden. En dat geldt ook voor publicatie door bijvoorbeeld een school of je tante op Facebook, de term “journalistiek” is heel breed.

Als er geen toestemming is gegeven, dan is dat moeilijker. Hoofdregel is dat de privacy van een minderjarige hoog wordt aangeslagen, zodat die het dus in principe snel zal winnen van iemands recht om foto’s te publiceren. Natuurlijk zijn er uitzonderingen mogelijk, en dat zit hem dan met name in de nieuwswaarde van de foto. Als er een duidelijk nieuwsbelang is bij de foto, dan kun je er geen bezwaar tegen maken. Denk aan deelname aan een openbaar sportevenement, een bijzondere maatschappelijke prestatie of iets dergelijks. Dit zal natuurlijk vaak tot discussie leiden.

Arnoud

Mag een bedrijf toestemming afleiden uit het feit dat je ze mailt?

| AE 9406 | Privacy | 8 reacties

Een lezer vroeg me: In het privacystatement van Vereniging Eigen Huis staat: “Het anderszins verwerken van uw persoonsgegevens geschiedt alleen voor zover u Vereniging Eigen Huis daarvoor ondubbelzinnig toestemming heeft verleend. Die toestemming kan blijken uit het enkele feit dat u per e-mail of anderszins een vraag aan Vereniging Eigen Huis stelt.” Is dat laatste… Lees verder

Moeten we de toestemming niet eens afschaffen in het privacyrecht?

| AE 9153 | Privacy | 37 reacties

Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die… Lees verder

‘Cookiewet is duur en beschermt onvoldoende’

| AE 9021 | Informatiemaatschappij | 31 reacties

De cookiebepaling die bepaalt dat websites om toestemming moeten vragen voor het gebruik van zogenoemde ‘tracking cookies’, is duur en zorgt voor een hoop ergernis. Dat las ik bij Nu.nl. De basis is een onderzoek van Actal, het Adviescollege toetsing regeldruk. Niet alleen zouden bedrijven 74 miljoen euro kwijt zijn voor cookietoestemmingspopups, ook zijn consumenten… Lees verder

Moet de IT-afdeling toestemming vragen om een pc over te nemen?

| AE 8758 | Ondernemingsvrijheid | 20 reacties

Een lezer vroeg me: Ik werk op de IT-afdeling van een bedrijf (~120 medewerkers). Wij hebben op alle pc’s UltraVNC geïnstalleerd, zodat we op afstand beheer kunnen uitvoeren. Dat doen we uiteraard alleen als mensen ons daar toestemming voor geven. Alleen die toestemming vragen we gewoon aan de telefoon of in de chat als we… Lees verder