Tag: Toestemming

About Toestemming

Subscribe Feeds

Toestemming vragen voor inzage in je studieschuld is waarom toestemming niet werkt

Geplaatst op in Privacy, 21 reacties

“Hypotheekverstrekkers gaan toestemming voor toegang tot studieschuld bij DUO opvragen”, las ik in het AD vorige week. Momenteel hebben hypotheekverstrekkers hier standaard geen informatie over, zodat het kan gebeuren dat mensen een hogere hypotheek krijgen dan verstandig zou zijn als wél rekening zou zijn gehouden met de DUO schuldpositie. Maar softwarebedrijf Ockto gaat komende maand de Dienst Uitvoering Onderwijs (DUO) toevoegen als databron voor hypotheekverstrekkers. Wel alleen toegankelijk na toestemming van de lener. En dat is wat mij betreft weer een mooi voorbeeld van waarom toestemming vragen onder de AVG niet werkt.

Natuurlijk, ik weet dat onder de AVG toestemming vrijelijk gegeven moet worden en deze toestemming afgedwongen is en dus niet rechtsgeldig, dus geen probleem. Welles. Want reken maar dat er een verhaal is waarom dit niet ‘echt’ dwang is, zoals dat altijd gaat wanneer je gaten in een wet laat die probeert mensenrechten te borgen. Kijk maar, daar gaan we:

Ook is het mogelijk dat de hypotheekverstrekkers het voor hun klanten gaan verplichten om toegang te verschaffen tot hun DUO-gegevens. Als je dat als klant niet wil, zul je naar een bank moeten gaan die dat niet verplicht stelt. Maar als ze het allemaal eisen, ontkom je er niet aan.

Aldus de ICT-leverancier die het toestemmingsknopje gaat bouwen. Want iedereen heeft standaard tientallen aantrekkelijke offertes voor hypotheek, en de vrije markt biedt vast ruimte voor verstrekkers die privacyvriendelijke hypotheken bieden waarbij de klant te veel leent. Nee precies.

Bijgevolg wordt er gewoon een toestemmingsvraag gesteld die ‘vrij’ geweigerd mag worden, maar ja hypotheken weigeren mag ook en je kunt tenslotte ook huren. Dus dat duurt wel een paar jaar tot het Europees Hof van Justitie zegt dat dit niet vrijwillig was. En zo gaat het dan elke keer met afgedwongen toestemming. We ‘vragen’ het gewoon, weigeren heeft gevolgen maar het lijkt net vrijwillig genoeg dat handhaven niet triviaal is. En het lijkt een redelijke vraag want schulden meld je toch gewoon? Dat is in je eigen belang toch?

Nope. Mensen willen graag een huis kopen, en rationeel is het op korte termijn beter een schuld te verzwijgen. Dan krijg je betere hypotheek. De schuldenlast zien we daarna wel, en in de toekomst verdien je meer dus het lost zich op, toch? Maar vooral: als je mensen de optie van toestemming geeft, dan zeg je: jij mag kiezen, het maakt niet uit of je A of B doet. En dat is oneerlijk als je vervolgens ze wél consequenties geeft als ze B (verzwijgen) kiezen. Als je niet wil dat mensen kiezen, moet je ze geen keuze geven.

(En ja, ik weet dat de AVG ook zegt dat met consequenties “ten sterkste rekening gehouden” wordt bij de vraag of toestemming vrij is. Maar dat is slappehapcompromis van EU wetgever. Kun je niets mee en gebeurt ook niets mee. )

Natuurlijk is het zorgelijk dat een hypotheeknemer een grote schuld kan verzwijgen. Maar volgens mij moet dat dan wettelijk geregeld, zodat er over nagedacht is of en wanneer deze schuld bekend moet En er waarborgen in de wet zijn wie er bij mag en wanneer. Bijvoorbeeld als het maandbedrag 1/4e van je inkomen is, want als daar dan ook nog een DUO schuld bovenop zit dan wordt het te veel. Of wanneer het totaalbedrag meer dan 3 ton is, of zoiets.

Of je zegt, kennis van volledige schuldstatus is nodig om fatsoenlijk hypotheekaanbod te doen. Dan is het noodzaak overeenkomst en dan moeten mensen het geven.

“Overigens is de minister niet de enige die wil voorkomen dat oud-studenten hun studieschuld verzwijgen.” Prima dus, maak een wetsvoorstel dat banken hierbij moeten mogen. Maar ga niet doen of mensen dit vrijwillig willen geven.

Arnoud

Wie toestemming onder de AVG vraagt, snapt de AVG niet (of heeft een nieuwsbrief)

Geplaatst op in Privacy, 33 reacties

Een lezer vroeg me:

Van mijn garagebedrijf kreeg ik een toestemmingsformulier voor het verwerken van mijn gegevens: opname in klantenbestand, verstrekking van mijn persoonsgegevens aan derden in het kader van betalingen en verstrekking van mijn persoonsgegevens aan partners in het kader van een goede dienstverlening, zover dit nodig is. Waarom eist de AVG in hemelsnaam dat mensen in dit soort situaties toestemming vragen? Het spreekt toch voor zich dat ik dit wil als ik bij deze garage mijn auto wil laten repareren?

Als ik even zo vrij mag zijn op donderdagochtend: dit is pertinente onzin, en wie toestemmingsformulieren zit te maken onder de AVG mag daar gelijk mee ophouden. Kan me niet schelen wat je doet, je doet het fout. Behalve als je met nieuwsbrieven bezig bent.

Om een of andere reden hebben mensen het idee gekregen dat je onder de AVG overal toestemming voor moet vragen. Ik denk dat dat komt omdat toestemming als de eerste van de zes grondslagen in de wet staat (artikel 6.1 AVG) en men daarna ophoudt met lezen. Een kapitale fout wat mij betreft, met schandalige gevolgen zoals dat kinderen niet naar de tandarts gaan (wat ook volgens de AP onzin is.) Toestemming is de minst zinvolle en minst werkbare grondslag, en als organisatie moet je niet willen werken onder die grondslag.

Het hele idee achter de AVG is dat je eigenlijk alleen persoonsgegevens gaat gebruiken als het niet anders kan. Bij die garage: je hebt gegevens nodig voor de overeenkomst, je wilt je factuur betaald krijgen en soms moeten gegevens ingewonnen bij de dealer of gaat een stukje van het werk door een ander (zoals de verzekeraar). Dat mag gewoon van de AVG, we noemen dat “noodzaak overeenkomst”, grondslag b.

Ook kun je je vaak beroepen op de grondslag van het eigen legitiem belang (sub f), waarbij je dus een afweging van belangen maakt. Toestemming vragen is daarbij niet aan de orde. Verwarrend is daarbij wel dat je vaak een opt-out invoert als deel van die belangenafweging, want met opt-out houd je meer rekening met mensen hun privacybelang, maar die opt-out is heel wat anders dan toestemming. En je moet niet vergeten die afweging daadwerkelijk te maken en op papier te zetten, dat is waar Manfield over struikelde toen ze vingerafdrukherkenning wilde inzetten bij hun personeel.

Mij bekruipt het gevoel dat mensen niet weten hoe zo’n afweging te maken, of het eng vinden een standpunt in te nemen en dan maar toestemming gaan vragen. “Dan zit je in ieder geval goed, toch?” Nope. Al is het maar omdat je óók bij toestemming een noodzakelijkheids- en proportionaliteitstoets moet maken, en geen hond die dat doet bij z’n toestemmingsformulier.

Maar belangrijker: toestemming kan op ieder moment worden ingetrokken, zonder opgaaf van redenen en zonder enige consequentie. Als je dus een bedrijfsproces hebt dat afhankelijk is van toestemming, dan moet je er dus vanuit gaan dat je bedrijfsproces stilstaat omdat niemand toestemming geeft. Ik kan me niet voorstellen dat dat een nuttig bedrijfsproces is.

Behalve nieuwsbrieven dus. Die verstuur je met toestemming (opt-in) en het is geen ramp als iemand die toestemming intrekt. Dan haal je ‘m gewoon uit het bestand. Specifiek daar zie ik toestemming wel werken.

Maar afgezien van nieuwsbrieven dus is er géén zakelijk belang denkbaar waarbij je gaat drijven op toestemming. Wie denkt van wel, ik hoor het graag maar dan wel alsjeblieft inclusief uitleg wat er gebeurt als die toestemming 1 seconde na het geven ingetrokken wordt. Of beter gezegd, waarom het niet erg is dat er niets gebeurt nadat die toestemming ingetrokken blijkt.

Arnoud

Mijn werkgever wil me op social media neerzetten, moet ik daaraan meewerken?

Geplaatst op in Ondernemingsvrijheid, Privacy, 17 reacties

Een lezer vroeg me:

Mijn werkgever (een mkb-bedrijf met 14 man) wil dat wij allemaal onszelf op internet zetten. Op de bedrijfswebsite “zodat de klant weet wie er langskomt” en ook op social media, om onszelf te promoten. We moeten zelfs meedoen aan discussies op Linkedin. Na wat geruzie heeft een collega voorgesteld dat we toestemming geven (of niet) maar volgens mij is dat niet rechtsgeldig. Hoe moet het nu wel? Wanneer kan de werkgever dit verplichten?

Inderdaad is in beginsel toestemming van een werknemer niet rechtsgeldig. De AVG eist dat die vrijwillig wordt gegeven, en een werkgever die iets vraagt, dat komt altijd toch een tikkeltje gedwongen over. “Wil jij even die klant terugbellen” is geen vraag maar een bevel, beleefd geformuleerd. Dus vandaar dat je als werkgever niet met toestemming moet werken.

Als werkgever kun je wel mensen dingen opdragen die gewoon hun werk zijn. Dat is dan hetzij de grondslag uitvoering overeenkomst (het is nodig voor het werk) hetzij het eigen belang van de werkgever. In het eerste geval moet het dan echt nodig zijn voor het werk, in het tweede geval moet je als werkgever ook een belangenafweging maken of de privacy van de werknemer niet in het geding komt en hoe je dat kunt voorkomen.

Wanneer iets ‘nodig’ is voor het werk, is natuurlijk een stukje inschatting. Ik vind bijvoorbeeld dat iemand met een buitendienst-functie al snel met zijn foto op internet gezet kan worden, zodat de klanten weten wie er langskomt of met wie ze te maken hebben. Anno 2019 hoort dat gewoon bij het werk – uitvoering overeenkomst. Dit moet; ga op de foto en wel nu. Als vuistregel: vind je als werkgever dat je dit als dienstbevel kunt opdragen.

Promotie op social media is een belang van de werkgever, je wilt als bedrijf jezelf goed op de kaart zetten. Je hebt dan mensen nodig om je bedrijf te laten zien. Ik vind dat geen noodzaak voor het werk; poseren voor een foto is niet echt wérken. Ik vind niet dat ik mensen dat kan opdragen, dus daarom zou ik dit onder het kopje eigen noodzaak rekenen. Dan zeg ik, dit is wel heel belangrijk voor het werk dus ik wil als werkgever graag dat je dit doet, maar ik houd wel rekening met je persoonlijke levenssfeer.

Als werkgever moet je dan kijken hoe je uitkomt met de privacybelangen van de werknemer. Ik zou dan bijvoorbeeld kijken of de foto wellicht op de rug kan, of het gezicht wat geblurd kan worden et cetera. Vragen “vind je dit goed” is ook een goede maatregel in die context, en mensen die niet willen doen niet mee zonder verdere gevolgen. Daarmee zou het privacybezwaar minimaal moeten zijn.

Bij online discussies (zoals in Linkedingroepen) is dit iets lastiger. Je kunt daar moeilijk aan meedoen zonder naam, functietitel en foto. Dat is nu eenmaal de mores daar, en het heeft voor het bedrijf ook weinig zin als daar “Wim B” zonder functietitel en een chihuahua als foto gaat meedoen. De belangenafweging is dan ingewikkelder, ik weet eerlijk gezegd geen privacy-respecterende maatregelen in de situatie dat je met naam en foto het publieke domein moet betreden.

Dus ik denk dat je daar niet aan ontkomt het te moeten rechtvaardigen onder die noodzaak van het werk. Is het iemands werk om op Linkedin vragen te gaan beantwoorden? Zo ja, dan moet hij dat dus doen. En zo nee, dan kan het alleen op basis van vrijwilligheid – maar hoe je dat inkleedt als werkgever, dat zie ik niet.

Arnoud

ING gaat persoonlijke aanbiedingen doen op basis van bij- en afschrijvingen, en ik weet niet waarom dat mag

Geplaatst op in Ondernemingsvrijheid, Privacy, 28 reacties

ING gaat klanten ‘persoonlijke aanbiedingen’ doen op basis van hun bij- en afschrijvingen, las ik bij Tweakers. Het gaat om aanbiedingen van ING zelf, dus niet van externe partijen, en klanten kunnen zich er voor afmelden. Dat mag, zegt de bank: “Volgens de AVG moet er een wettelijke grondslag zijn voor het gebruik van persoonsgegevens. Gerechtvaardigd belang is ook een wettelijke grondslag die gebruikt kan worden voor direct marketing.” Maar is daarmee de privacyrechtelijke kous af, gezien de boosheid en het onbegrip van veel klanten dat hier niet met opt-in oftewel toestemming wordt gewerkt?

Het is veel mensen een doorn in het oog, maar het klopt juridisch dat je zonder toestemming oftewel opt-in mensen reclame onder de neus kunt duwen. De enige situatie waarin dat niet kan, is bij e-mailreclame: de Telecommunicatiewet eist gewoon altijd opt-in oftewel toestemming (behalve bij mailings aan klanten, daar is het dan weer opt-out). Maar wat ING hier doet, is geen e-mailreclame voor zover ik kan zien, dus niks met de Telecomwet te maken.

De AVG kent naast toestemming (opt-in) nog vijf redenen om iemands persoonsgegevens te mogen verwerken – juridische taal voor onder meer “iemand langs elektronische weg een reclameboodschap vertonen die op hem toegespitst is”. De door ING ingeroepen reden is het eigen gerechtvaardigd belang, wat vereist dat je een eigen belang aandraagt dat legitiem is en een belangenafweging (al dan niet met invoering van privacybeschermende maatregelen) maakt waarom jouw belang wint van de privacy van je klanten of andere betrokkenen.

Direct marketing staat letterlijk in de AVG genoemd als een voorbeeld van een eigen belang. Daarmee is het dus in principe mogelijk om direct marketing zonder toestemming te doen, mits je de belangenafweging met privacy rond krijgt. En daar zit hem natuurlijk de kneep, want wat zijn je argumenten dan? Enkel “wij hebben zin in marketing dus dat gaan we doen” voelt wat mager, maar ik kan niet ontkennen dat marketing als deel van de vrijheid van ondernemen (een grondrecht) aan te merken is. Net zoals journalistiek of kunst ook mag zonder toestemming.

Het zal dus neerkomen op de privacy-afweging. Hoe ernstig is het gebruik van de gegevens, en hoe belangrijk is het marketingbelang in deze context? Daar heb ik in dit geval wel een mening over. Want we hebben het hier niet over zomaar wat gegevens van willekeurige personen, maar over toch behoorlijk privé aanvoelende gegevens, namelijk je financiële handel en wandel. Niet voor niets is het eigenlijk altijd een datalek als je financiële informatie kwijt raakt over iemand. Daar marketing op bedrijven is dan wel behoorlijk invasief.

En ja, dan is het leuk dat je een opt-out biedt en dat het alleen eigen producten zijn. Dat zijn argumenten om de belangenafweging naar je voordeel toe te trekken. Want eigen producten zijn minder erg dan verkoop aan derden, en een opt-out is zeg maar de best practice bij direct marketing op basis van eigen belang. Maar die maatregelen kun je bij iedere vorm van marketing met alle mogelijke gegevens inzetten, en daarom vind ik ze niet sterk. Verder lees ik geen echt inhoudelijke argumenten (“70% van onze klanten geeft in een trial aan deze reclame waardevol te vinden”, kijk dat was nou eens een bevinding geweest) en daarom concludeer ik dus eigenlijk meteen al dat dat helemaal niet mag.

Daarnaast kun je nog andere stevige bezwaren aan laten rukken: die financiële gegevens zijn verstrekt voor het doel van de bancaire dienstverlening, en marketing van andere producten heeft volgens mij niets te maken met de eigenlijke dienstverlening. Kun je dan wel spreken van doelbinding, alleen hergebruiken voor verwante doelen? De AVG (artikel 6.4) is nogal strikt bij hergebruik voor andere doeleinden, en eist onder meer dat je expliciet rekening houdt met het verband tussen origineel en nieuw doel, de aard van de gegevens en de relatie tussen betrokkene en bank. Ook vanuit die hoek zie ik niet hoe je het argument rondkrijgt dat je gewoon marketingboodschappen mag gaan genereren. (Oh, en je schijnt ook nog iets te moeten met privacy by default van de AVG: waarom zou je deze optie net net zo goed standaard uit kunnen zetten.)

Alles bij elkaar kan ik me dus niet voorstellen dat dit overeind blijft. De AP heeft al gemeld dit te gaan onderzoeken.

Arnoud

Nee, ik blijf liever moddervet – Hoe illegaal is confirmshaming onder de AVG?

Geplaatst op in Ondernemingsvrijheid, Privacy, 6 reacties

Kent u dat? Dat je gevraagd wordt je in te schrijven voor het een of ander, en dat de “nee” optie wordt voorzien van een beschamende kwalificatie. “Ja, ik wil de slankwordennieuwsbrief / Nee, ik blijf liever moddervet”. Of “Ik wil een groentetuin starten / Nee, ik weet alles al”. Of “Ja, houd me op de hoogte / Waaahh, ikke willen niet”. Lekkere voorbeelden te over bij de Confirmshaming Tumblr. Een paar lezers (dank) vroegen me, hoe legaal is dat nu eigenlijk, mensen proberen over te halen om ja te zeggen door van de nee een schaamtevolle gebeurtenis te maken. Want is het nog wel een vrije keuze als de nee voorzien is van een zó botte diskwalificatie?

Onder de AVG moet toestemming in vrijheid worden gegeven, en deel daarvan is dat je geen sancties koppelt aan het weigeren van toestemming. Dit is waarom het debat over cookiemuren speelt: iemand de toegang tot je site ontzeggen als hij geen toestemming voor marketing/profiling geeft, kun je zien als een sanctie. Maar het speelt natuurlijk niet alléén bij cookies.

Confirmshaming is het fenomeen waarbij je de keuze om de gevraagde toestemming te weigeren voorziet van een negatieve kwalificatie, specifiek eentje waarbij de gebruiker schaamte over zichzelf afroept. “Nee, ik blijf graag een loser zonder toegang tot superdeals”, bijvoorbeeld. Het idee is dan natuurlijk dat je dan liever de schaamte vermijdt en toch maar “ja” klikt. Dit artikel maakt duidelijk dat schaamte een zeer sterke emotie is om mensen over te halen:

“Because guilt is experientially bad, the act of making another person feel guilty clearly qualifies as an aversive interpersonal behavior. To make someone feel guilty is to inflict a negative, undesired emotional state that most people normally try to avoid.”

Het gaat hier natuurlijk niet om fysieke of juridische dwang, maar ik denk dat zo’n sterke negatieve emotionele reactie oproepen toch wel sterk in de buurt komt. Ik zie dan ook wel wat in het argument dat je hier niet echt vrij gelaten wordt.

Arnoud

Onderzoeksbureau werkt in Nederland met vpn-app op telefoons voor marktonderzoek

Geplaatst op in Privacy, 13 reacties

Onderzoeksbureau Kantar (voorheen TNS/Nipo) vraagt voor zijn bereiksonderzoek om een vpn-app op Android-tablets en -smartphones te zetten. Dat meldde Tweakers begin deze week. Google en Facebook raakten eerder nog in opspraak vanwege het gebruik van vpn-apps voor onderzoek. De Kantar-app is bedoeld voor consumentenonderzoek naar het bereik van onder meer websites en videoplatforms online. Dat roept de vraag op, mag dat wel op deze manier, je internetverkeer omleiden om daarmee te tellen hoe populair bepaalde websites zijn?

Door internetverkeer vanaf de telefoon (of tablet) om te leiden met vpn-software, krijgt men inzicht in al het internetverkeer op detailniveau. In theorie kun je hiermee elke verzonden mail, elke opgevraagde webpagina en elk ingestuurd formulier mee lezen. Ook al is dat niet de bedoeling; zo werkt vpn als technologie nu eenmaal. Kantar zegt overigens dat het weliswaar alle gegevens verzamelt, maar alleen de voor het onderzoek relevante gegevens gebruikt en de rest weggooit.

De AVG biedt behoorlijk wat ruimte voor wetenschappelijk onderzoek. Artikel 89 AVG stelt vrij expliciet dat er veel mag, mits er passende waarborgen genomen worden waarbij met name het beginsel van minimale gegevensverwerking wordt gegarandeerd. Lidstaten mogen daarbij zelf regels stellen, en Nederland deed dat onder meer in artikel 24 Uitvoeringswet. Zo mag je bijzondere persoonsgegevens verwerken als dat nodig is voor het onderzoek. Ook hoef je (artikel 44) inzage en correctie niet toe te staan.

Wat wel gewoon blijft staan, is dat je een grondslag moet hebben voor je onderzoek. Toestemming dus, of een overeenkomst, of een eigen legitiem belang. Het is niet automatisch zo dat wetenschap of statistiek bedrijven je een grondslag geeft. Maar specifiek bij het soort onderzoek dat Kantar doet, zie ik dat belang wel. Natuurlijk zit je dan nog steeds met een privacy-afweging, waarbij je niet op voorhand weet of jouw belang zwaarder weegt dan de privacy van je onderzoekssubjecten.

Kantar doet het netjes door toestemming te vragen. Niet alleen bij de deelnemer zelf, maar ook bij zijn of haar huisgenoten, want iedereen moet meedoen, aldus de voorlichtingsfolder. Dat is op zich netter en overzichtelijker, maar het vereist wel dat je specifiek en duidelijk die toestemming geeft. En dat is dan dus niet alleen voor deelname aan het onderzoek, maar ook voor de nogal invasieve inzet van een VPN app.

Lastig is natuurlijk dat je dan ook nog eens in duidelijke en eenvoudige taal (artikel 12 AVG) moet aangeven wat je doet. En leg maar eens op dat niveau uit wat een VPN app is. Kantar doet haar best:

Door een link in de mail te activeren geeft u toestemming voor het plaatsen van een cookie of app en wordt het online gedrag bij de aangesloten omroepen en uitgevers vastgelegd. Daarnaast vragen wij u om op elk apparaat software te installeren waarmee wij uw online gedrag kunnen verzamelen. … Via de geinstalleerde software MediaTracker kan Kantar Media voor onderzoeksdoeleinden informatie over het internetgedrag van respondent verzamelen (welke websites zijn bezocht, welke zoekwoorden zijn gebruikt, welke applicaties zijn gebruikt en/of welke advertenties zijn gezien).

Dit komt een heel eind – en sowieso zou je natuurlijk al wel iets kunnen bedenken als je mee gaat doen aan een onderzoekspanel over je internetgedrag. Maar het blijft een ingewikkelde materie om uit te leggen. Helemaal omdat ik zelf ook niet doorhad tot ik er écht in dook dat het niet alleen Kantar is dat die gegevens verkrijgt:

Maar dat de informatie door Kantar wordt gedeeld met een ander bedrijf dat de inhoudelijke analyse doet, namelijk het bedrijf Wakoopa, wordt niet duidelijk.

Wakoopa is een bestaand bedrijf met als core business het tracken van mensen. Ik kan nergens vinden of ze dit voor Kantar doen in de rol van verwerker, maar het zou me ergens verbazen als die gegevens niet ook voor eigen doeleinden worden aangewend. En dát zou een gigantisch probleem zijn, nog los van hoe je de toestemmingsvraag goed krijgt.

Arnoud

Jonge Skype- en Outlook-gebruikers in de problemen door privacywet

Geplaatst op in Informatiemaatschappij, Privacy, 28 reacties

Kinderen onder de 16 jaar met een Outlook- of Skype-account hebben een probleem: ze kunnen opeens niet meer inloggen. Dat meldde de NOS vorige week op basis van een PR-meelbal van Microsoft die het afsluiten van minderjarigen in het belang van hun veiligheid noemt. De geciteerde reden – dat moet van de AVG – is de grootste onzin die ik over deze wet in tijden heb gelezen. En ik héb wat onzin over de AVG gelezen.

Het klopt dat er voor kinderen (zestienminnners dus) speciale regels in de AVG staan. Wanneer je namelijk een kind onder de zestien rechtstreeks een internetdienst aanbiedt, en je wilt daarbij toestemming voor gebruik van diens persoonsgegevens, dan moet je die bij de ouders gaan halen. Dat staat in artikel 8 lid 1. En in lid 2 staat dat de aanbieder van zo’n dienst een inspanningsplicht heeft om daadwerkelijk te controleren dat die toestemming er is.

Alleen: het moet gaan om een “rechtstreeks aanbod”, staat er letterlijk. Ik kan dat maar op één manier lezen en dat is dat de dienst zich specifiek op kinderen richt. Een dienst die toevallig ook kinderen toelaat, doet die kinderen weliswaar een aanbod maar geen rechtstreeks aanbod. Als je zegt van wel, dan doet iedere internetdienst te allen tijde een “rechtstreeks” aanbod door een signup formulier te bieden, en dan heeft de frase “rechtstreeks aanbod” geen betekenis. En dat is juridisch een gevalletje delen door nul, dat kan niet waar zijn dat een zinsnede niets betekent. Een wetgever schrijft het niet voor niet zo op.

Daarnaast geldt het alleen voor gebruik van persoonsgegevens met als grondslag toestemming. Ik zou denken dat bij Microsoft die persoonsgegevens (je account, de daaraan gekoppelde gegevens die je opslaat et cetera) onder de grondslag overeenkomst verwerkt worden. Ook daarom zou dit dus gewoon niet van toepassing moeten zijn. Je vraagt niet om toestemming om een dienst te mogen leveren, je sluit een online contract waaronder je een dienst gaat leveren. Dat is wezenlijk wat anders.

Ik snap dus werkelijk niet hoe Microsoft hierbij komt. Je zou kunnen denken dat het een voorzichtige interpretatie is, maar als ik dan “We zijn er ons van bewust dat de vereisten die de AVG met zich meebrengt tijdelijk vervelend kunnen zijn.” lees in dat persbericht dan is mijn eerste gedachte, wordt hier subtiel gelobbyd tegen de werkelijke doelen van de AVG? Is er werkelijk geen andere manier dan een creditcardbetaling?

Het grappige vind ik dan nog dat onder de Wbp (en dus in heel Europa) er wel categorisch altijd toestemming nodig was van ouders om zestienminners internetdiensten te laten gebruiken. De huidige wet kent namelijk géén beperking tot “direct aanbod” of zelfs maar tot internetdiensten. Toestemming geven voor een schoolfoto moet nu dus via de ouders, vanaf 25 mei kan een kind die toestemming zelf geven (tenzij volgens de algemene regel van artikel 1:234 BW die toestemming niet gebruikelijk is voor iemand van die leeftijd). Dus eigenlijk erkent Microsoft dat het al die jaren het fout heeft gedaan?

Arnoud

Moet ik voor de AVG al mijn opt-ins opnieuw om toestemming vragen voor de nieuwsbrief?

Geplaatst op in Privacy, 28 reacties

Een lezer vroeg me:

Ik heb al jaren goedlopende nieuwsbrieven, waar ik aan verdien met affiliatelinks. Ik heb altijd netjes confirmed opt-in gehanteerd, maar ik lees nu overal dat toestemming on der de AVG veel strenger wordt. Ook zou er geen coulanceregeling zijn voor bestaande opt-ins. Klopt dat? Moet ik echt al mijn opt-ins opnieuw gaan halen?

Het klopt dat de AVG strenger is dan de huidige wet waar het gaat om toestemming, maar wie nu werkt met heldere, vrijwillig gegeven opt-ins voor nieuwsbrieven zal daar weinig last van hebben.

In de kern komt toestemming onder de AVG neer op een vrijwillige actieve handeling. Een vakje aanvinken, je e-mailadres invullen in een veld direct onder “Abonneren nieuwsbrief” en dergelijke zijn duidelijke actieve handelingen die mensen in volle vrijheid doen. Daarentegen zou een vinkje weghalen (wat we nu opt-out noemen) niet genoeg zijn, net als mensen een verplichte popup bieden waarna ze alleen verder kunnen na invullen mailadres.

Vereist is ook dat je specifiek en duidelijk hebt uitgelegd wat er gaat gebeuren na die handeling. Enkel om een e-mailadres vragen is dus niet genoeg, je moet er expliciet bij zetten dat dat mailadres geabonneerd gaat worden op de nieuwsbrief. Die bekende formulieren “vul uw mailadres in en download een ebook” zijn dus niet rechtsgeldig, omdat er niet bij staat dat je de nieuwsbrief(-ven) gaat ontvangen.

Een praktisch probleem kan zijn dat de AVG strenger is in de bewijslast. Je moet als afzender van zo’n nieuwsbrief kunnen bewijzen dat je ontvangers opt-in hebben gegeven. Weinig mensen hebben logbestanden van opt-ins op nieuwsbrieven. Maar dat hoeft ook niet. Als je kunt aantonen dat je hebt gewerkt met confirmed opt-in (dus een bevestigingslink mailen en pas na klikken daarop mensen inschrijven) dan staat voldoende vast dat mensen zich vrijwillig hebben ingeschreven.

Ingewikkelder wordt het onder de AVG voor nieuwsbriefinschrijvingen die gekoppeld zijn aan gratis downloads, zoals ebooks, whitepapers of webinars. De AVG vermeldt namelijk expliciet dat een afgedwongen toestemming niet mag, en toestemming voor iets niet-noodzakelijks verplichten bij afname van een dienst noemen ze als voorbeeld van afdwingen. Hier kom ik volgende week op terug.

Arnoud

Kun je als volwassen je kinderfoto’s offline halen?

Geplaatst op in Privacy, 10 reacties

Een lezer vroeg me:

Wanneer ouders of andere mensen een foto van jou als kind online hebben gezet, kun je die dan weg laten halen met een beroep op je privacy als je meerderjarig bent?

Dat kan, maar zal er vooral van afhangen of je ouders destijds ingestemd hebben met de publicatie.

Als je ouders toestemming hebben gegeven, dan kun je relatief makkelijk eisen dat de foto wordt verwijderd. Die toestemming is in te trekken, zo staat in de Wet bescherming persoonsgegevens (artikel 5 lid 2). Ook door jou, even los van of je ouders dat willen. Het belang van de wederpartij doet er in principe niet toe. En vanaf zestien jaar kunnen je ouders rechtsgeldig geen toestemming meer geven voor publicatie van je foto’s (artikel 5 lid 1), dat moet je zelf doen. Dus in die situatie kan de wederpartij zich niet beroepen op toestemming gegeven door je wettelijk vertegenwoordigers.

Je zult je overigens nog lange tijd op de Wbp moeten beroepen; de AVG of GDPR die er 25 mei aankomt geldt namelijk niet voor ‘verwerkingen’ oftewel publicaties van voor die datum. Maar voor wie deze blog over een paar jaar leest, dan heb je minder mogelijkheden: eenmaal gegeven toestemming onder de AVG is niet intrekbaar wanneer de verwerking oftewel publicatie plaatsvindt voor journalistieke of literaire doeleinden. En dat geldt ook voor publicatie door bijvoorbeeld een school of je tante op Facebook, de term “journalistiek” is heel breed.

Als er geen toestemming is gegeven, dan is dat moeilijker. Hoofdregel is dat de privacy van een minderjarige hoog wordt aangeslagen, zodat die het dus in principe snel zal winnen van iemands recht om foto’s te publiceren. Natuurlijk zijn er uitzonderingen mogelijk, en dat zit hem dan met name in de nieuwswaarde van de foto. Als er een duidelijk nieuwsbelang is bij de foto, dan kun je er geen bezwaar tegen maken. Denk aan deelname aan een openbaar sportevenement, een bijzondere maatschappelijke prestatie of iets dergelijks. Dit zal natuurlijk vaak tot discussie leiden.

Arnoud

Wanneer zijn toestemmingsvinkjes nou verplicht?

Geplaatst op in Privacy, 9 reacties

Een lezer vroeg me:

Hoe zit het nu precies met die vinkjes die je overal moet zetten om toestemming te geven voor van alles en nog wat? Sommige sites doen dat niet (met algemene voorwaarden), anderen zelfs niet met nieuwsbrieven. Wat zegt de GDPR hierover?

Het is een misverstand dat je alleen akkoord kunt gaan met algemene voorwaarden door een vinkje of iets dergelijks. De wet eist niet meer dan dat je gewezen bent op de voorwaarden en dat je mocht begrijpen dat ze van toepassing zouden zijn. Dat kan prima door enkel de tekst “Door op ‘Bestellen’ te klikken, gaat u tevens akkoord met de verkoopvoorwaarden.” op te nemen net boven de bestelknop. (Wel even linken naar een downloadbare versie van die voorwaarden.)

Meer algemeen zegt de wet eigenlijk nergens dat een aparte handeling nodig is om instemming met wat dan ook te verkrijgen. Rechtshandelingen zijn vormvrij, zoals dat heet. Het mag op iedere manier, zolang maar duidelijk is dát die handeling opgevat gaat worden als instemming. Dat vinkje is dus eigenlijk sowieso nergens voor nodig en volgens mij vooral gemakzucht om het zo op te nemen.

Of nou ja, één wet wel, namelijk de privacyverordening oftewel AVG/GDPR. Wanneer daaronder toestemming vereist is, dan moet die “door middel van een verklaring of een ondubbelzinnige actieve handeling” worden verkregen. Dit houdt in dat de handeling waarmee toestemming wordt gegeven, niet voor meerdere interpretaties vatbaar mag zijn. Een bestelknop in een webwinkel kan dus niet tevens worden gebruikt om toestemming mee te vragen, zoals met een tekst “Door uw bestelling te plaatsen, gaat u tevens akkoord met ontvangst van onze nieuwsbrief” onder die knop. Het is immers niet ondenkbaar dat mensen wel de prominent vormgegeven knop zien maar niet de tekst daaronder.

Specifiek wordt daarbij verder nog bepaald:

Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden.

De toestemmingsvraag moet dus echt apart komen te staan. En ik denk dat het in de praktijk dan vrijwel onvermijdelijk is dat er een vinkje bij komt te staan, al is het maar om vast te stellen dat de persoon echt bedoeld had die toestemming te geven. Een apart vormgegeven paragraaf over privacytoestemming voldoet wel aan het ‘zodanige presentatie’ vereiste, maar ik aarzel of je dat ondubbelzinnig genoeg kunt vinden.

Arnoud