Wbp Archives - Ius Mentis

Gaat nu echt alles verboden worden onder de AVG?

Geplaatst op 18 mei 201715 mei 2017 in Privacy, 10 reacties

Een lezer vroeg me:

Volgend jaar komt de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR) eraan. Ik lees ondertussen overal de meest verschrikkelijke verhalen over wat een draak van een wet dit gaat worden. Je mag niets meer zonder toestemming, je beveiliging moet gigantisch veel zwaarder, je moet elke scheet met persoonsgegevens registreren en vrijwel geen enkel bedrijfsproces kan nog blijven bestaan. En de boetes zijn enorm. Dit kan toch niet goed gaan, deze wet?

Dat de AVG veel gaat veranderen in de praktijk staat als een paal boven water. Maar veel verhalen die je leest, zijn vooral bedoelt om urgentie (of onaardig gezegd paniek) op te roepen bij de lezer.

De fundamentele principes uit de AVG zijn hetzelfde als uit de Wbp die we nu al een kleine 17 jaar hebben. Er moet een grondslag zijn om met persoonsgegevens te gaan werken, je moet zorgen voor goede beveiliging en mensen moeten hun rechten kunnen halen. Er zit vooral veel, veel meer administratieve rompslomp aan vast. Zo moet je elke verwerking voortaan documenteren, inclusief een inschatting van de risico’s (en een privacy impact assessment als je die risico’s hoog inschat). Ook moeten mensen hun hele dossier kunnen opvragen, in plaats van alleen maar inzien.

Natuurlijk zijn er wel verschillen. Zo is het vragen om toestemming moeilijker geworden: dat moet kort gezegd apart van andere vragen en vrijwillig – “geef toestemming of rot op” mag alleen nog als dat vooraf en heel duidelijk gebeurt. De privacyverklaring moet in eenvoudiger taal (taalniveau B2, niet C1 of C2 dat we nu altijd zien). Gegevens zijn nu eerder persoongegeven dan voorheen. En zo kan ik nog wel even doorgaan.

Maar ik zie het vooral als accentuering van het belang van zorgvuldige omgang met persoonsgegevens, iets dat we in het verleden nooit echt hadden omdat er geen boetes op overtreding stonden. Plus: in de VS bestond die zorg om persoonsgegevens nooit, dus de ICT-cultuur heeft nooit zo leren omgaan met persoonsgegevens als ze dat wel heeft met zeg aansprakelijkheid of sluiten van contracten. Het is die cultuuromslag waar nu al deze pas-op-de-wereld-vergaat berichten door komen.

Arnoud

Moeten we de toestemming niet eens afschaffen in het privacyrecht?

Geplaatst op 3 januari 201730 december 2016 in Privacy, 37 reacties

Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die nu eenmaal even nodig is om bij die site te kunnen. Toch kent ook de nieuwe privacywet de toestemming als basisbeginsel, en blijft het op allerlei plekken opduiken als basis voor wat je maar wilt doen met iemands privé. Raar.

Het uitgangspunt was ongetwijfeld heel nobel en integer. Als je iemands persoonsgegevens wilt verwerken, dan vraag je die persoon om toestemming. Net zoals je zonder toestemming mensen niet gaat opereren of hun huis betreedt. Gewoon een kwestie van integriteit, van fatsoen. Dus dat zetten we dan ook in de wet: toestemming is de algemene grond, en natuurlijk pas te geven na adequate informatieverstrekking en in volstrekte vrijwilligheid.

Volgens mij was er daarbij wel altijd soort van de aanname dat het verwerken van persoonsgegevens een ietwat bijzondere gebeurtenis was. Iets om even bij stil te staan, iets dat mensen niet perse dagelijks doen dus iets waar je best even de tijd voor mag nemen. Zeg maar een poliklinische ingreep: geen operatie met drie dagen herstel daarna, maar wel iets om je even over te laten inlichten en goed bij stil te staan voordat je ja zegt.

Die aanname is echter volledig verdwenen in de informatiesamenleving. Toestemming vragen is aan de orde van de dag, en gebeurt zó veel en zó vaak dat niemand er meer van opkijkt of bij stilstaat. En dan gaat het hele effect er vanaf natuurlijk. Dan wordt het die droge klik zonder nadenken, zonder betekenis.

Is dat erg, kun je je afvragen. Ik denk het wel, omdat de wet nog steeds opereert onder de aanname dat je wél nadenkt. Wél jezelf even goed informeert. Juridisch advies inwint over wat die wollige taal betekent. En vooral: er vanaf zou zien als je denkt, dit is toch niets voor mij. En de constructie daarbij is dat als je in die situatie toestemming geeft, eigenlijk alles mag. Daar zit voor mij dan de pijn: mensen klikken murwgebeukt op elke Akkoord-knop en de gevolgen worden gebillijkt omdat ze geacht worden te hebben nagedacht en afgewogen alsof ze bij de huisarts een nieuw medicijn moeten uitkiezen.

Het onmiddellijke tegenargument is natuurlijk, dan moet je maar écht eens even nadenken en afwegen als je privacyvragen krijgt. (Bij voorkeur met de flauwe dooddoener dat je toch al je privacy opgeeft door alles op Instagram en Facebook te delen.) Maar dat vind ik niet reëel meer. Als de situatie is dat je elke vijf minuten een lap tekst moet lezen en ja moet zeggen (en anders hup terug naar Google), hoe kun je dan nog in redelijkheid suggereren dat mensen de tijd moeten nemen om goed na te denken?

Dus nee. Wat mij betreft schrappen we dus de toestemming als grondslag. Wie persoonsgegevens wil gebruiken, moet maar gewoon aantonen dat hij dat nodig heeft en waarom dat belang zwaarder weegt dan de privacy.

Arnoud

Gastpost: Mag mijn telefoon mijn vingerafdruk eigenlijk wel gebruiken?

Geplaatst op 12 augustus 201630 juli 2016 in Privacy, Security, 27 reacties

iphone-vingerafdruk Deze week ben ik met vakantie, dus traditiegetrouw een aantal gastblogs. Vandaag: Xinthia Krielaart met een juridische kijk op vingerafdrukken op je telefoon.

Tot twee maanden geleden behoorde ik nog tot de zeer kleine groep mensen die nog nooit een smartphone had gekocht. Maar toen ik in dienst kwam bij een hip IT-bedrijf, moest mijn oude telefoon plaatsmaken voor een state-of-the-art smartphone. Vol met nieuwe snufjes, inclusief handige vingerafdruk scanner. Geweldig: geen gezeur meer met het onthouden en vegen van specifieke patronen of het intikken van een pincode. Alleen: wordt mijn vingerafdruk wel veilig opgeslagen? Hoe weet ik zeker dat mijn unieke afdruk niet gebruikt of doorgestuurd wordt naar een bepaalde app of leverancier?

De General Data Protection Regulation (GDPR) Aangezien ik een juridische achtergrond heb, begon ik mijn zoektocht bij wet- en regelgeving. Mijn startpunt was de nieuwe General Data Protection Regulation (GDPR, in het Nederlands ook wel de Privacyverordening) die in mei 2018 van kracht gaat samen met de huidige Wet bescherming persoonsgegevens (wbp). In vergelijking met de Wbp gaat er behoorlijk wat veranderen in 2018, waaronder de uitgangspunten omtrent het gebruik van biometrische gegevens.

Volgens de GDPR zijn alle biometrische gegevens bijzondere persoonsgegevens. De verwerking van biometrische gegevens is hiermee verboden, tenzij is voldaan aan een van de uitzonderingssituaties. Bovendien moet in het geval van een uitzonderingssituatie de verwerking van persoonsgegevens voldoen aan het subsidiariteit en proportionaliteit principe en aan strenge organisatorische en technische maatregelen.

Werp je een vlugge blik op de limitatief opgesomde uitzonderingen in de GDPR, dan lijkt het opslaan van biometrische gegevens ten behoeve van authenticatie door commerciële bedrijven hier niet direct onder te vallen. De meeste uitzonderingssituaties vallen namelijk binnen de publieke sector (zoals publieke gezondheid, werkgelegenheid en sociale veiligheid). Ik kan bijvoorbeeld geen situatie bedenken waarbij het gebruik van je vingerafdruk voor het ontgrendelen van je smartphone noodzakelijk is voor je werkgever.

Wettelijke uitzondering: toestemming De enige situatie waarin commerciële bedrijven wel biometrische persoonsgegevens mogen verwerken is de situatie waarin het datasubject expliciete toestemming heeft gegeven. Mijn mobiele telefoon mag dus mijn vingerafdruk gebruiken, omdat ik hiervoor expliciete toestemming heb gegeven. Of niet?

De vraag is namelijk of mijn toestemming wel expliciet genoeg was. Je kunt je namelijk, net zoals bij cookies, afvragen wanneer er sprake is van expliciete toestemming. Zoals ik al zei was ik bij ingebruikname vooral gedreven door het voor mij nieuwe en interessante technologische snufje. Ik dacht op het moment van instellen niet na over mogelijke gevolgen voor mijn privacy. Ik heb bovendien nergens zien staan wat er precies met mijn vingerafdruk gebeurt. Heeft de fabrikant nu ook mijn vingerafdruk in een database staan?

Toestemming of niet? Op basis hiervan zou ik dus kunnen beargumenteren dat ik geen expliciete toestemming hebben gegeven. Ik heb immers niet alle consequenties afgewogen. Door het gebrek aan informatie was dit bovendien ook niet echt mogelijk. De fabrikant daarentegen zou kunnen zeggen dat ik een keuze heb gehad. Het was namelijk ook mogelijk om mijn smartphone niet te beveiligen, of om enkel een wachtwoord of patroontje te gebruiken. Doordat ik toch heb gekozen voor mijn vingerafdruk, zou de fabrikant kunnen zeggen dat ik expliciet toestemming heb gegeven.

Wie heeft er nu gelijk? Ik weet het niet. Ik denk wel dat dit vraagstuk een stuk makkelijker wordt wanneer de biometrische gegevens versleuteld worden opgeslagen. Als je dit doet, zijn de data immers niet meer direct herleidbaar tot een natuurlijke persoon. In de GDPR staat bovendien dat persoonsgegevens data zijn die direct of indirect herleidbaar is tot een geïdentificeerd of identificeerbaar persoon. Maakt de versleutelmethode de data onherleidbaar tot een persoon? Dan is de kans groot dat deze data niet meer als persoonsgegeven te bestempelen zijn. De GDPR is dan niet meer van toepassing.

Toekomst Er zijn tegenwoordig legio van functionaliteiten te verzinnen waarbij biometrische gegevens gebruikt kunnen worden om de gebruiker te authenticeren. Continuous authentication kijkt bijvoorbeeld niet meer naar fysieke kenmerken, maar ‘leert’ van het gedrag van de gebruiker. Op basis van deze informatie kan de applicatie bijvoorbeeld bepalen om de toegang van de gebruiker te blokkeren, of extra bewijs te vragen, als zijn handelingen te veel afwijken van hoe de gebruiker normaliter acteert. Ook dit soort informatie valt binnen de GDPR onder bijzondere persoonsgegevens. In mijn situatie is het gebruik van een vingerafdruk nog redelijk behapbaar en is het uitleggen aan de gebruiker wat er met deze gegevens gebeurt nog vrij eenvoudig. In het kader van zelflerende techniek wordt dat een behoorlijke uitdaging.

De toekomst van biometrische authenticatiemethoden is enigszins onzeker. De GDPR lijkt immers enkele barrières op te werpen die het gebruik van biometrische authenticatiemethoden kunnen vertragen of tegenhouden. De lat voor het verkrijgen van expliciete toestemming lijkt namelijk steeds hoger te worden. Voor mij zal de regeling in de GDPR voor het verwerken van biometrische gegevens geen directe gevolgen hebben. Ik zal nog steeds elke dag blij zijn dat het zo makkelijk is om mijn telefoon met mijn vingerafdruk te ontgrendelen. Of mijn toestemming nou expliciet was of niet.

Xinthia Krielaart is Associate Advisory bij Everett B.V. Dit is een advies- en systeemintegratiebureau dat gespecialiseerd is in digitale identiteiten. Xinthia heeft een achtergrond in Privaatrecht en in Communicatie. Haar interesses liggen op het vlak van IT en dataprotectie.

Is verlies van data ook een datalek?

Geplaatst op 23 maart 201618 maart 2016 in Privacy, 8 reacties

usb-stick-gegevens-geheugen Een lezer vroeg me:

Dat je verlies van persoonsgegevens moet melden onder de meldplicht datalekken begrijp ik. Maar waarom ben ik het ook verplicht te melden als er gegevens verloren gaan? Er kan toch per definitie geen identiteitsdiefstal of fraude plaatsvinden als gegevens wég zijn?

Voor veel mensen is het niet echt intuïtief dat verloren gaan (wissen) van gegevens telt als een datalek. Maar het is echt zo. Het is alleen even een puzzel in de Wet bescherming persoonsgegevens (Wbp).

De wet (art. 34a Wbp) bepaalt dat melding moet worden gedaan bij iedere “inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” En artikel 13 zegt dan weer dat het doel van de beveiliging moet zijn de gegevens te beschermen “tegen verlies of tegen enige vorm van onrechtmatige verwerking.”

Met ‘verlies’ wordt bedoeld het kwijtraken in de zin dat een ander ze te pakken kan krijgen. Een USB-stick met onbeveiligde persoonsgegevens in de trein verliezen dus. Maar “enige vorm van onrechtmatige verwerking” betekent in feite “iedere verwerking die geen grondslag heeft”. En verwerking is dan weer “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval … uitwissen of vernietigen van gegevens”. Vernietigen of wissen is dus ‘verwerken’.

Wie data laat wissen of vernietigen zonder toestemming of andere wettelijke grondslag, verwerkt ze onrechtmatig en schendt daarmee zijn beveiligingsplicht uit artikel 13. Daarmee kom je in het vizier van de datalekmeldplicht en moet je bepalen of dat wissen “ernstige nadelige gevolgen” heeft of kan hebben. Zo ja, dan moet het worden gemeld.

Wissen kan nadelig zijn, omdat de betrokken persoon daardoor vaak niet meer kan bewijzen waar hij aan toe is. Als alle betaalgegevens zijn gewist, zijn alle klanten ineens wanbetaler. Als de notitie is gewist dat ik recht heb op korting de volgende keer, krijg ik mijn korting niet. Sta ik op de lijst van geautoriseerde bezoekers die nu gedelete is, dan kan ik niet naar binnen. En er zijn zo nog meer voorbeelden. Als die ernstig genoeg zijn, dan moet het wissen worden gemeld.

In de beleidsregels meldplicht datalekken wordt daarover nog opgemerkt dat wanneer je een backup hebt, er geen sprake is van ernstige nadelige gevolgen. Je kunt het wissen dan immers meteen ongedaan maken.

Arnoud

Ik mag geen kopie van mijn eigen camerabeelden?!

Geplaatst op 12 januari 20168 januari 2016 in Security, 14 reacties

Een lezer vroeg me:

In mijn kantoor heb ik beveiligingscamera’s opgehangen. De beelden daarvan gaan naar een bewakingsbedrijf, en ik krijg alerts als er een probleem geconstateerd wordt. Alleen weigeren ze me nu beelden te geven tenzij ik eerst aangifte doe en een kopie daarvan verschaf. Anders is het een “schending van de privacy”? Ik wil alleen gewoon zien wat ze zoal filmen, het is toch mijn kantoor, mijn privacy en mijn camera? Hoe zit dit?

Wanneer met een camera beelden worden vastgelegd waarop mensen te zien zijn, gelden die beelden als persoonsgegevens. Er zijn immers gegevens over mensen uit die beelden te halen. Derhalve moet de partij die die beelden vastlegt en gebruikt, zich aan de Wet bescherming persoonsgegevens conformeren. Die is de ‘verantwoordelijke’ onder de wet.

De Wbp brengt onder meer met zich mee dat camerabeelden niet zomaar mogen worden verstrekt aan derden. Wie op beeld staat, heeft recht van inzage, maar anderen niet.

Het komt daarmee neer op de vraag wie er eigenlijk de ‘verantwoordelijke’ is, de partij die onder de Wbp opdraait voor wat er misgaat met de beelden. Dat lijkt hier het bewakingsbedrijf te zijn. Zij halen de beelden binnen, zij kijken of er gekke dingen op staan en zij handelen dat af. In die situatie klopt het dat de eigenaar van de muur met camera geen rechten heeft.

Het kan ook anders. De eigenaar van die muur kan immers zelf camera’s ophangen en zelf de beelden uitkijken. Hij is dan de verantwoordelijke. Hij mag ervoor kiezen de werkzaamheden uit te besteden aan een zogeheten bewerker, iemand die in zijn opdracht werkt. Via een bewerkersovereenkomst worden rechten en plichten afgesproken. Maar de eigenaar van de muur blijft de verantwoordelijke. Hij zou daarmee dan zelf een bevoegdheid hebben (als er een grond is) om die beelden te bekijken voor zijn eigen doeleinden.

Nadeel van verantwoordelijk zijn is dat je, eh, verantwoordelijk bent voor het gebruik van die beelden. Geef je ze ten onrechte aan een derde, dan is dat een datalek en daarmee een boetewaardige overtreding van de Wbp. Ook als je informatieplichten (“Let op cameratoezicht”) niet nakomt of de beelden te lang bewaart, kun je in de problemen komen met de toezichthouder.

Je kunt je dus afvragen of je dat wel moet willen, te allen tijde bij de beelden kunnen. Je bent dan ook aansprakelijk voor alles dat er misgaat met de beelden.

Arnoud

Hoe ver reiken de tengels van de Wet bescherming persoonsgegevens?

Geplaatst op 18 september 201516 september 2015 in Privacy, 20 reacties

wbp-west-bengal-police Mijn blog van vorige week over de RET-tweet maakte nogal wat los – op het stukje “je mag sollicitanten niet zomaar googelen want dat valt onder de Wet bescherming persoonsgegevens”. In de comments bleek het nog erger: je mag geen Twitterberichten lezen zonder het apart te vragen, “hoi Wim” op een blog is een overtreding en zonder dringende noodzaak mag je personen niet googelen.

De Wbp is gemaakt als een algemene wet, die in principe alle vormen van gebruik van persoonsgegevens wil reguleren zodat personen de controle over hun gegevens kunnen uitoefenen. Een beetje zoals de Auteurswet rechthebbenden macht wil geven door iedere kopie en iedere publicatie onder de wet te reguleren. Vanuit dat perspectief is het dus niet gek dat de Wbp altijd geldt, dat is een feature.

Vaak wordt gedacht dat de Wbp alleen geldt bij grootschalige opslag of gebruik in bestanden of databases. Dat klopt half: als je op papier persoonsgegevens verwerkt, dan geldt de wet pas als je dat in een bestand doet. Verwerk je echter elektronisch, dan is het hebben van een database volstrekt irrelevant. Een grote dikke Big Data database is dus gedekt door de wet, maar ook de zinsnede “hoi Wim” in deze blog omdat dit over een persoon gaat. Zet ik die zin op een briefje, dan valt dat briefje buiten de Wbp.

De enige echte uitzondering die ik kan bedenken voor de internetsituatie, is die voor strikt persoonlijk gebruik. Je adresboek of privécloudbestand met gegevens van anderen valt dus buiten de Wbp. Een strikt afgesloten webdienst met persoonsgegevens die wederom alleen toegankelijk is voor familie en huisgenoten denk ik ook nog wel. Maar vereist hierbij is wel dat het écht een privésituatie betreft. Activiteiten op internet lijken niet snel een privésituatie te betreffen. Zie de Hof van Justitie-uitspraak over het verzamelen van camerabeelden en veel eerder het Lindqvist-arrest waarin “De vrijwilligersbijeenkomst gaat niet door want mevrouw Lindqvist heeft haar enkel verstuikt” op de homepage van een kerk een verwerking van persoonsgegevens werd geacht.

Er is ook een uitzondering voor journalistieke verwerkingen, maar die komt er eigenlijk op neer dat mensen geen inzage en correctie kunnen eisen in hun persoonsgegevens. Dit is dus waarom je eigenlijk geen verwijdering uit krantenarchieven zou moeten kunnen eisen. Bij Google wel – Google is geen journalist. Zie ook de discussie over Kleintje Muurkrant dat op grond van de Wbp werd aangepakt (maar het op inhoud won).

Maar allerlei verwerkingen zijn toch vrijgesteld? Ja, alleen betekent dat niet meer dan dat je niet tegen het Cbp hoeft te zeggen dat je die verwerkingen uitvoert. Je moet nog steeds een grondslag hebben.

Ai. De Wbp geldt dus altijd op internet. Mag je dan niet eens meer mensen begroeten op je blog zonder toestemming?

Nou, niet helemaal. De Wbp zegt dat er zes gronden zijn, waarvan de belangrijkste zijn:

Toestemming
Uitvoering van een overeenkomst
Een eigen dringende noodzaak

Toestemming is de hoofdregel, maar als je één van de andere gronden kunt onderbouwen dan is dat ook goed. Een webwinkel hoeft écht geen toestemming te vragen om je naam en adres naar een leverancier te mailen zodat jij het bestelde pakketje geleverd krijgt. Dat is gewoon nodig om de koopovereenkomst na te komen. Ik zie daar wel de nodige analogieën voor op internet: wie zijn naam in het reactieformulier hieronder invult, krijgt zijn naam op internet gepubliceerd. Dat is gewoon nodig om je reactie te publiceren. En ja, ‘gewoon’ is voor discussie vatbaar – zie ook Privacy en een goede uitvoering van de overeenkomst.

Als restcategorie is er dan nog de eigen dringende noodzaak. Als toestemming eigenlijk niet haalbaar is en jij een legitiem belang hebt dat zwaarder weegt dan de privacy van de persoon wiens gegevens je gebruikt, dan mag het – mits je maar alles doet om die privacy zo veel mogelijk te waarborgen. Om die reden mag ik IP-adressen loggen om hackpogingen te detecteren. Ik hoef geen toestemming te vragen, maar ik mag die gegevens niet zomaar publiceren of gebruiken voor andere doelen. Google Analytics valt ook onder dit legitiem belang, mits je een paar maatregelen neemt vanuit die privacywaarborg.

Valt “hoi Wim” daar nu ook onder? Is het nódig dat ik dat zeg? Ik meen van wel: vrijheid van meningsuiting is een grondrecht en dús een legitiem belang. Ik mag zeggen wat ik wil, en ik hoef daar geen belang voor aan te dragen. Maar ja, dan krijg je een botsing met de privacywet die zegt dat je niet zomaar iemands gegevens mag verwerken. En dát is waar de pijn in de Wbp zit. Je moet dan kort gezegd aantonen dat jouw publicatie belangrijker is dan de privacy van de persoon over wie je schrijft. Toch een belangenafweging dus.

In de praktijk komt die belangenafweging denk ik gewoon neer op de vraag “Is het rechtmatig om dit te publiceren”. Dat bepaalde het Hof Den Bosch een paar jaar terug, en dat is wel een werkbaar compromis. Er is geen aparte route via de Wbp – als je het mag zeggen, vindt de Wbp het ook goed, en als je het niet mocht zeggen, dan wordt de Wbp ook boos.

Dus ja, de Wbp geldt altijd. Maar toestemming hoef je niet altijd te hebben.

Arnoud

Als particulier de openbare weg filmen valt onder de privacywet

Geplaatst op 16 december 20148 december 2023 in Security, 29 reacties

Wie met een beveiligingscamera de openbare weg filmt, valt onder de privacywet (Wet bescherming persoonsgegevens) ook als hij dat als privépersoon doet. Dat bepaalde het Hof van Justitie vorige week. Je kunt je niet beroepen op de uitzondering voor “strikt privégebruik” en je moet dus een belangenafweging maken tussen jouw beveiligingsbelang en het belang van de mensen die voor je camera komen. Dat verbaast me toch een klein beetje.

Wie met een camera mensen filmt, verwerkt persoonsgegevens. Op foto- of filmbeelden zijn immers details over mensen te zien (tenzij je de camera heel hoog hangt, denk aan een stadsbeeldcamera) en per definitie spreek je dan van persoonsgegevens. Ook als je niet weet hoe de mensen heten of je ze kunt contacteren.

Dat is op zich een logische interpretatie maar het leidt wel tot allerlei onverwachte consequenties, zoals hier. Het betekent namelijk dat als je iemand filmt, je moet regelen onder de Wbp dat je dat mag. Toestemming vragen dus, een contract hebben met die mensen of een eigen dringend belang dat zwaarder weegt dan hun privacy.

De Wbp geldt niet voor gebruik van persoonsgegevens in de strikte privésfeer maar het Hof beslist hier dat daarvan geen sprake is als je de openbare ruimte filmt. Ik snap werkelijk niet waaróm, de motivatie is dat je dan “buiten de privésfeer geraakt van degene die door middel van dit systeem gegevens verwerkt”. Oftewel het is niet privé omdat het niet privé is. Wacht, wat. Maar álle verwerkingen raken toch aan de privacy van andere personen?

De onontkoombare conclusie is dus dat áls je dit doet, ook als privépersoon, dat je moet voldoen aan de hele mikmak aan eisen voor cameratoezicht en opslag van beelden. Je zult allereerst een dringende noodzaak moeten aantonen (waarom kun je niet anders dan een camera), je moet een reglement hebben, je moet mensen op verzoek een kopie van ‘hun’ beelden geven en je moet opslag van de beelden strikt beveiligen.

En mensen vragen zich nog steeds af waarom ik altijd zo denigrerend doe over de Wbp.

Gastpost: Cameratoezicht goed bekeken

Geplaatst op 8 augustus 201431 juli 2014 in Security, 19 reacties

Omdat ik met vakantie ben deze week een aantal bijdragen van vaste bezoekers. Vandaag IT-er Sander van Loosbroek over cameratoezicht vandaag de dag.

Het gebruik van beveiligingscamera’s door onze overheid is aan duidelijke regels gebonden. Voor burgers zijn er striktere regels van toepassing maar een gebrek aan kennis over de technische mogelijkheden van camera’s bij de wetgever en een evenzo groot gebrek aan toezicht op het naleven van de regels verklaren de bespioneerde burger vogelvrij. De alsmaar dalende prijs van deze camera’s maken ze toegankelijk voor iedereen en met dit artikel wil ik toelichten wat een burger volgens de wetgever wel en niet mag met een beveiligingscamera en hoe daar in de praktijk (niet) mee wordt omgegaan.

Beveiligingscamera’s inzetten op of rondom de werkplek mag, maar moet voldoen aan de criteria zoals vastgelegd in de Wet bescherming persoonsgegevens. Daarin staat onder andere dat de werkgever moet kunnen beargumenteren waarom het bedrijfsbelang zwaarder weegt dan de privacy van de medewerkers, dat het gebruik van camera’s aan medewerkers duidelijk kenbaar moet worden gemaakt en dat het filmen van de openbare ruimte niet is toegestaan.

Dat kenbaar maken wordt lastig als er sprake is van diefstal en je de dader middels beelden op heterdaad wil vastleggen. De wet biedt daar een uitzondering voor maar helaas gaat deze uitzondering gepaard met een meldplicht aan het College Bescherming Persoonsgegevens waarvan de werkgever over het algemeen is gevrijwaard zolang hij voldoet aan de voorwaarden in artikel 38 van de Wet Vrijstellingsbesluit Wbp. Daarin staat ook dat beelden na een maand moeten worden vernietigd en dat alleen directe leidinggevenden toegang mogen hebben tot de beelden. Bent u er nog?

De praktijk ziet er anders uit. Bedrijven filmen dat het lieve lust is en cameratoezicht op personeel en klanten wordt verondersteld in plaats van kenbaar gemaakt. Het CBP is belast met de handhaving van de Wbp en in hun beleidsregels van 17 januari 2011 is een prioriteitenlijst opgenomen waarin het toezicht op cameratoezicht niet te vinden is. Geen wonder dus dat u nog nooit een ambtenaar van het CBP heeft gezien die een camera inspecteerde. Het houden van toezicht op het naleven van de Wbp is dus geen taak van de politie, die maakt echter wel dankbaar gebruik van de aan hun toegekende bevoegdheid in de Wbp om beelden op te vragen van camera’s van burgers in het kader van onderzoek, ook als die camera’s “per ongeluk” de openbare ruimte filmen.

Privacyschending als gevolg van cameratoezicht levert vooralsnog alleen problemen op voor burgers c.q. werknemers. Deze laatste groep is zich er onvoldoende van bewust dat camera’s niet mogen worden gebruikt om ze aan te spreken of te beoordelen op hun functioneren. Op afstand toezicht houden of iedereen op tijd komt mag dus niet. De dalende prijs van camera’s zorgt er verder voor dat iedereen een camera aan de gevel kan hangen en daarmee de privacy van passerende burgers verder aantast. Dit leidt tot steeds meer zaken waar ook sommige rechters zich geen raad mee weten. Recentelijk verscheen op dit weblog een artikel waar het raam van de buren werd gefilmd omdat daar weleens inbrekers langs zouden kunnen lopen. De rechter stond dit toe terwijl IP camera’s tegenwoordig allerhande functionaliteit bieden waarmee een deel van het beeld altijd onherkenbaar wordt vastgelegd. Had de rechter dit geëist dan was iedereen blij geweest.

Is het tijd voor een herziening van de Wbp waarin de werkelijkheid van het filmen van de openbare order door burgers beter gereguleerd wordt of moet het CBP de privacy van burgers serieus gaan nemen en cameratoezicht tot prioriteit verheffen. Reguleren of handhaven dus, wat zien jullie graag dat het CBP doet?

Sander van Loosbroek is een freelance IT consultant en volgt momenteel een MBA opleiding aan de Nyenrode Business Universiteit. Zijn IT interesses gaan uit naar infrastructuur en beveiliging en in het bijzonder de juridische implicaties van de door zijn klanten gevraagde IT oplossingen. Hij houdt een weblog bij van losse hobbyprojecten en schrijft momenteel een scriptie over de mogelijke toepassingen van Bitcoin technologie in bestaande financiële transactieplatformen.

“Verwijderen van uw account kan alleen per brief”

Geplaatst op 24 april 201422 april 2014 in Privacy, 20 reacties

Een lezer vroeg me:

Ik heb een account bij een webwinkel, omdat dat moest toen ik wat wilde bestellen. Nu houd ik niet van rondslingerende oude accounts, dus heb ik gevraagd of ze deze weg willen halen. Als reactie kreeg ik dat ik dan een brief moet sturen met kopie paspoort naar een of andere postbus in Zevenaar. Dat zou conform het privacystatement en de Wet bescherming persoonsgegevens zijn. Klopt dat, mogen ze dat zo eisen?

Een account bij een website valt in principe onder de Wet bescherming persoonsgegevens (de privacywet). Het account is immers een bundel met gegevens die aan éen persoon – de accounthouder – te koppelen zijn. Volgens die wet heb je als betrokkene/eigenaar het recht van inzage, correctie en verwijdering. Je mag bij de dienstverlener opvragen wat ze van je weten, corrigeren wat daarin niet klopt en laten verwijderen wat achterhaald is.

Een eis bij zo’n inzageverzoek is dat de dienstverlener moet nagaan of de vrager echt de eigenaar is van het account. Een brief laten sturen met kopie identiteitsbewijs is een voldoende manier om hieraan te voldoen. Daarom, maar ook omdat een inzageverzoek gedoe is waar veel bedrijven eigenlijk geen zin in hebben, is het gebruikelijk om te eisen dat men een brief stuurt.

Echter, er is bij zulke accounts een nóg simpeler manier: wie kan inloggen op het account, is daar de eigenaar van. Het toevoegen van een “Opheffen account”-knop is dan ook genoeg om aan de wet te voldoen. Wilt u uw account opheffen, druk op de knop. Is het wachtwoord vergeten en het e-mailadres onbereikbaar voor resetmails, dan kan er alsnog gewerkt worden met de noodgreep van brief met identiteitsbewijs.

Persoonlijk zou ik echter zeggen, wie mailt vanaf het adres dat aan het account gekoppeld is, heeft zich ook adequaat geïdentificeerd. Bij het maken van het account vroeg je niet om identificatie, dus waarom zou dat nu bij opheffen ineens wél moeten? In mijn cynische buien denk ik dan wel eens, het opheffen van accounts wil men eigenlijk niet want veel accounts hebben staat goed in je persberichten. Maar dat terzijde.

Specifiek bij forums speelt hierbij een aanverwant probleem: verwijderen van een account kan ook leiden tot verwijderen van de geplaatste berichten. Of dat laatste ook moet, is een lastige.

Arnoud

Bewaren van persoonsgegevens: het mag niet maar het moet wel!

Geplaatst op 4 november 201329 oktober 2013 in Privacy, 16 reacties

Een lezer vroeg me:

Volgens de Wet bescherming persoonsgegevens moet ik persoonlijke gegevens wissen zodra ik ze niet meer nodig heb. Echter, van andere wetten moet ik die gegevens dan nog bewaren (bv. financiële gegevens voor de Belastingdienst). Tevens heb ik natuurlijk backups, en die opschonen op zulke individuele bestanden is een ramp. Hoe moet ik daarmee omgaan?

De Wet bescherming persoonsgegevens bepaalt (art. 10 Wbp) dat persoonsgegevens moeten gewist of geanonimiseerd als het hebben van deze gegevens niet langer

noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.

Als je bijvoorbeeld klantgegevens verzamelt om als webwinkel een aankoop aan te nemen, dan zijn deze gegevens niet meer noodzakelijk voor het doel “leveren bestelling” zodra het product bij de klant over de drempel is. Eigenlijk moeten ze dus meteen daarna worden gewist.

Maar persoonsgegevens hangen vaak samen met meerdere doelen. Na levering van een product geldt bijvoorbeeld nog een retourperiode van zeven werkdagen, en de klant kan nog geruime tijd later terugkomen met een conformiteitsclaim. Om die af te handelen, zijn ook zijn gegevens nodig. En omdat er dan nog een doel is voor de persoonsgegevens, mag je ze alsnog bewaren.

De Belastingdienst eist dat je je financiële administratie zeven jaar bewaart (art. 52 Algemene wet inzake rijksbelastingen). Dat is een doel dat ook samenhangt met de afhandeling van de aankoop, want de factuur is deel van je administratie. Die moet je dus bewaren en die mág je dan ook bewaren.

In de praktijk moet je dus eigenlijk per document bepalen “waarom staan hier nog persoonsgegevens in” en dan eventueel besluiten te anonimiseren of weg te gooien. Je kunt bv. de factuur bewaren maar het klantrecord uit je bestellingen-database wissen.

Bij een backup is dit een lastige. Het is inderdaad een hele berg werk om in een backup van een jaar terug dat ene bestandje met bestelling van klant 481 te wissen. De Wbp zegt echter nergens “wissen hoeft niet als dat veel werk is”. En vanuit privacyoogpunt is “dan moet je je backupstrategie maar anders inrichten” een goed verdedigbaar standpunt.

Maar een lastige blijft het. Weten jullie een backupstrategie die zo privacyvriendelijk mogelijk is? Ik kom niet verder dan “maak geen incrementele backups want dan zit je met een hele oude full backup met data die krachtens Wbp weg moet”.

Arnoud