Wat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)?

bsnWat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)? Een veelgestelde vraag in mijn inbox. Het antwoord is eigenlijk simpel: Helemaal niks, maar trekt iemand zich daar wat van aan? Nee dus. En wat kun je daaraan doen? Ook helemaal niks. Argh.

Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in de Gemeentelijke Basisadministratie Persoonsgegevens (GBA). Het is de vervanger van het sociaal-fiscaal nummer, en bedoeld voor de overheid om het dossier van een burger altijd te kunnen vinden en persoonsgebonden zaken te kunnen regelen. Dát is handig, zo’n uniek serienummer, denkt menig ondernemer en vraagt dus rustig om een BSN. Of men wil een kopietje paspoort en staat er niet bij stil dat je dan ook het BSN kopieert.

Nee, dat mag niet. De Wet algemene bepalingen BSN, en ook de Wbp hebben hier wat over te zeggen. Het BSN is namelijk een “wettelijk voorgeschreven identificatienummer”, en daarover zegt artikel 24 Wbp:

Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

Oftewel: sorry, maar wáár staat in de wet dat u mijn BSN mag noteren, kopiëren laat staan ergens voor gebruiken? Geen antwoord = magnie.

Er zijn een paar beperkte uitzonderingen. Werkgevers moeten het BSN van hun werknemers vastleggen in verband met bestrijding van zwartwerken. Banken moeten het BSN weten voor wettelijk verplichte uitwisseling van gegevens met de Belastingdienst. In de zorg is je BSN soms ook verplicht. Maar in het algemeen geldt voor bedrijven en winkels dat ze géén recht hebben je BSN te noteren. Zélfs niet als ze een duidelijk belang hebben bij legitimatie van de klant, zoals bij autohuur of het kopen van dure spullen zonder vooruitbetaling.

Hier blijkt alleen weer het tandeloze karakter van de Wet bescherming persoonsgegevens. Of misschien wel het principe “recht hebben versus recht krijgen”. Want het mag niet maar iedereen doet het, en als je er wat van zegt dan ben jíj gek. Op zijn best krijg je “zonder die gegevens kan ik helaas uw transactie niet afronden” en dan mag je boos weglopen mét privacy maar zonder huurauto, reservering of inkoop van tweedehands games.

En ja ik loop hier zelf ook tegenaan. Het is gedoe om hier een punt van te maken, de persoon aan de balie snapt het punt niet of mag niet afwijken van de procedure of doet het af met “wij doen écht geen gekke dingen met uw legitimatie meneer”. Wordt het tijd om organisaties eens te gaan schandpalen om hier verandering in te krijgen?

Arnoud

Tweeten of hyperlinken naar persoonsgegevens is verwerking

verkeerslicht.jpgIk mag het weer zeggen: OMGWTFWBP. Het publiceren van een tweet of het versturen van een e-mail met daarin een hyperlink naar een pagina waar de naam en kenteken van een auto-eigenaar worden vermeld, is verwerking van die persoonsgegevens, zo meldde Webwereld. In een beschikking over een inzageverzoek bepaalt de rechtbank in Den Bosch dat de site Veilingdeurwaarder inzageverzoeken onder de Wbp moet honoreren, óók voor de mails en tweets over advertenties met daarin persoonsgegevens.

Op Veilingdeurwaarder kunnen deurwaarders advertenties plaatsen ter aankondiging van de executoriale verkopen waarmee zij zijn belast. Per e-mail of op Twitter kun je zien wat er zoal bij komt. Bij verkopen van auto’s worden automatisch de RDW gegevens opgehaald. Plus, naam en nummerbord van de eigenaar worden erbij vermeld in de advertentie. Dat maakt de advertentie een persoonsgegeven inderdaad.

Op grond van de Wbp had de eigenaar van een daar te koop staande advertentie inzage gevraagd in wat Veilingdeurwaarder deed met zijn persoonsgegevens. Met name wilde hij weten wie allemaal die mail had ontvangen en wie de tweet zou hebben gelezen, want ook dat valt onder het wettelijk inzagerecht – dat je altijd hebt als iemand gegevens over je verwerkt (behalve bij journalistieke verwerkingen).

Veilingdeurwaarder verwees naar de deurwaarder die de advertentie had aangeleverd, maar de rechter wijst ze terecht: zíj publiceren dus zíj zijn de verantwoordelijke, in de zin van de Wbp. Dit mede omdat men zelf gegevens verrijkte met RDW-data. Niet als verweer werd gevoerd dat zij slechts een platform zijn, en dus ex 6:196c BW niet aansprakelijk zijn voor wat gebruikers (deurwaarders) plaatsen. Ik weet niet of dat opzettelijk was, maar eerder is bepaald dat die beperking van aansprakelijkheid niet geldt bij publicatie van persoonsgegevens.

En hier is dan de omgwtfwbp:

De rechtbank is tevens van oordeel dat het verzenden van een e-mail of tweet met daarin een directe link naar de advertentie waarin de persoonsgegevens zijn vermeld het verwerken van persoonsgegevens oplevert.

En dat omdat de Wbp ‘verwerken’ definieert als “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens”. Zeggen “ze staan dáár” valt er in een brede interpretatie inderdaad onder. En de Wbp ís zo breed bedoeld. Alles, echt alles, over persoonsgegevens moet eronder vallen. Dus het is niet zo gek dat die rechter tot deze interpretatie komt.

Het levert wel héél veel praktische problemen op. Want wat houdt dat eigenlijk in, inzage in een tweet? Het recht van correctie op een mailinglijst? Moet ik bijhouden wie die tweets leest, hoe dóe ik dat eigenlijk?

Er zit echter een veiligheidsklep in de Wbp: je hoeft geen gedetailleerde inzage te geven wanneer dat juist ándermans privacy zou schenden:

De rechtbank is met Veilingdeurwaarder van oordeel dat Veilingdeurwaarder niet gehouden is naam- en adresgegevens te verstrekken van alle ontvangers van de nieuwsbrief omdat daarmee immers een verregaande inbreuk op de privacy van die ontvangers zou worden gemaakt. Naar het oordeel van de rechtbank kan Veilingdeurwaarder volstaan met het verstrekken van categorieën van ontvangers, welke mogelijkheid uitdrukkelijk is toegestaan op grond van artikel 35.

Je mag dus volstaan met melden dát je het naar je volgers hebt getweet en dat je mailinglijst met 3000 ontvangers ook een link heeft gekregen. Maar dat antwoord moet je wel geven als er naar wordt gevraagd. Ik ben benieuwd hoe veel organisaties niet in staat zijn dat antwoord te produceren. Zou een profielensite weten op welke manier mijn profiel bekeken is en/of hoe de link daarnaar is gedeeld door derden?

Intrigerende vraag nog: moet je nu je tweets beveiligen tegen misbruik? Ook beveiliging moet immers onder de privacywet.

Arnoud

De legaliteit van dashcams

dashcam-ruslandHet zal wel met die meteoriet in Rusland te maken hebben die massaal met dashcams is gefilmd, maar ik werd gisteren door drie journalisten gebeld over de vraag of dashcams in Nederland legaal zijn. Je mag toch immers niet zomaar filmen aan de openbare weg? Op mijn vraag waarom hun cameraploegen dat dan wél mogen, krijg ik nooit echt een eenduidig antwoord, maar dat terzijde. Want ja, ja mag wel degelijk zomaar filmen aan de openbare weg.

Filmen aan de openbare weg is deel van de vrije nieuwsgaring, en die geldt voor burgers met een consumentencameraatje net zo hard als voor RTL Nieuws met een twintig man sterke cameraploeg. En ja, ook als er mensen in beeld gebracht worden en ook als die zeggen dat ze dat niet willen. Bij publicatie krijg je mogelijk wél te maken met privacywetgeving.

Er is aparte wetgeving tegen aangebrachte camera’s. Kort gezegd moet bij een camera die de openbare ruimte filmt, duidelijk zijn gewaarschuwd. Vandaar al die bordjes met “Let op cameratoezicht”. Maar die regel geldt alleen voor “aangebrachte” camera’s. Of een dashcam telt als “aangebracht”, kun je je afvragen. Een camera op de vensterbank neerzetten is namelijk “aangebracht”, ook al zit ie niet nagelvast.

Afgaande op wat er bij invoering van de wet is gezegd denk ik dat een dashcam niet hieronder valt. De bedoeling was om structureel cameratoezicht aan te pakken, oftewel camera’s die men ergens ophangt of neerzet en die de hele dag die ene plek filmen. Een camera in de hand was het voorbeeld van “niet aangebracht”. Een camera op je hoofd of op je dashboard lijkt me zó vergelijkbaar daarmee.

Bij publicatie van het filmpje loop je mogelijk tegen portretrechten aan. Wie herkenbaar in beeld is, kan immers met een beroep op zijn privacy of een ander redelijk belang bezwaar maken tegen publicatie. (Niet tegen het maken zelf, alleen tegen publicatie.) Je kunt dat oplossen door mensen uit te blurren of door een betoog waarom het herkenbaar zijn belangrijker is dan de privacy. Enkel “hij beging een verkeersovertreding” is daarbij niet genoeg, dus zo’n betoog zal zelden slagen maar je kunt het proberen. Als Koos Spee je afsnijdt, kom je er wel mee weg denk ik.

Een filmpje van een auto zonder herkenbare bestuurder valt niet onder het portretrecht, want een auto is geen portret. (Ja Wim, wel als je een foto van jezelf groot op de achterruit plakt maar dan krijg je weer discussie over het zichtveld vanuit de auto.) Wél kan bij zo’n filmpje het nummerbord herkenbaar in beeld zijn, en een nummerbord is een persoonsgegeven. Daarmee kan het filmpje onderworpen zijn aan de Wet bescherming persoonsgegevens. Ja, ook als er verder geen naam bij staat en ook als er geen doorzoekbaar bestand van gemaakt is.

Onder de Wbp kun je publicatie van een nummerbord alleen rechtvaardigen met een beroep op de “dringende noodzaak”. Oftewel, sorry ik moet wel want dit tonen is belangrijker dan jouw privacy. En dat is ongeveer dezelfde discussie als bij het portretrecht, ik denk niet dat je daar snel het wint van de privacy. Tenzij je zegt, een nummerbord is een stuk anoniemer dan een portret dus de inbreuk is kleiner én de verkeersovertreding heeft een redelijke nieuwswaarde.

Beelden van dashcams zijn overigens bruikbaar als bewijs. Je mag er dus mee naar de politie om aangifte te doen. De discussie zal vooral gaan over de vraag of het wel compleet de situatie toont. Als jij eerst iemand snijdt en dan filmt hoe hij je terugpakt, zou ik het niet terecht vinden om dan uitsluitend hem te beboeten voor de overtreding. Daar zullen veel zaken op stuk gaan denk ik: hoe weten we dat dit de compléte beelden zijn?

En oh nu moet ik denken aan een oud ideetje van me: laat TNO manipulatieproof dashcams maken die gecertificeerd zijn met tijdcode en interne opslag. Lever ze in als het geheugen vol is, en voor elke verkeersovertreding die bewezen kan worden met de beelden krijgt de eigenaar 50% van de boete. Dan is het volgens mij binnen 48 uur afgelopen met verkeersovertredingen.

Arnoud

Wanneer val ik onder de privacywet?

privacyEr blijken nogal wat mythes te zijn over de Wet bescherming persoonsgegevens, zeg maar de privacywet. Mensen denken dat het alleen gaat om grote bestanden met klantgegevens, of dat je een bedrijf moet zijn om onder de wet te vallen. Dat is niet zo. Iedere verwerking, ieder gebruik van persoonsgegevens valt onder de wet, en er zijn maar een heel beperkt aantal uitzonderingen.

Een belangrijke uitzondering is die voor “activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden”. Daarmee bedoelt de wet om particulieren uit te zonderen die voor zichzelf gegevens van anderen bijhouden. Voor het adresboek uit je privételefoon hoef je geen toestemming te hebben. En mensen hebben geen correctierecht op hun vermelding op jouw verjaardagskalender. Maar dat is het wel zo’n beetje. Dat adresboek delen met je familie of huisgenoten mag nog net, maar delen met collega’s is al niet meer “persoonlijk of huishoudelijk”.

Publicatie van gegevens op het open internet valt echter nooit en te nimmer onder deze uitzondering, zo weten we uit het Lindqvist-arrest. Daar ging het om een melding op de site van een kerk dat een vrijwilligster een knieblessure had – en dat was een verwerking van persoonsgegevens. Ook een stamboom of openbare blog, Twitteraccount of andere publieke dienst vallen onder deze wet.

Wat nog net mag, is een strikt afgesloten webdienst met persoonsgegevens die wederom alleen toegankelijk is voor familie en huisgenoten. De Richtsnoeren van het Cbp noemen een besloten familieweblog (met wachtwoord) als voorbeeld. Misschien dat ook een stevig dichtgetimmerd Facebookprofiel eronder valt (de complicatie dat dit een export naar de VS is, daargelaten), maar zodra niet-familie de blog kan lezen heb je een probleem.

Er is géén aparte uitzondering voor wetenschappelijk onderzoek of statistiek. Alleen als je op een andere grond gegevens al mag verwerken, mag je deze óók inzetten voor “historische, statistische of wetenschappelijke doeleinden”. En het recht van inzage en correctie is dan een stuk beperkter. Maar wie onderzoek wil doen over personen, moet dus gewoon toestemming of een andere grond hebben.

Journalisten die iets verder lezen en dan een uitzondering “voor uitsluitend journalistieke, artistieke of literaire doeleinden” zien, denken dat ook zij er buiten vallen. Dat is echter niet zo. Het als journalist verwerken van iemands naam of andere gegevens over hem – lees: een artikel publiceren over iemand – valt wel degelijk onder de Wbp. Vrijwel alle relevante artikelen uit de Wbp zijn namelijk uitgezonderd van de uitzondering. Zo ongeveer het enige relevante recht dat je niet hebt naar een journalist of artistiek/literair iemand is het recht van inzage en correctie (artikel 35 Wbp). Wél speelt de uitingsvrijheid een belangrijke rol bij het bepalen of sprake is van een “dringende noodzaak” onder de privacywet.

Dan zijn er ook nog de zogeheten vrijstellingen. Wie zijn verwerking onder een vrijstelling kan scharen, hoeft deze niet aan te melden bij de toezichthouder. Maar het betekent niet dat de verwerking dan automatisch legaal is. Zo is er een vrijstelling voor netwerkbeheer, die bepaalt dat loggen ten behoeve van security van het bedrijfsnetwerk niet hoeft te worden gemeld als je de logs maximaal zes maanden bewaart, ze alléén inzet voor security en anderen dan de security officers er geen toegang toe krijgen. Maar daarmee is dergelijk loggen nog niet automatisch toegestaan. Je moet nog steeds toestemming, een overeenkomst of een eigen dringende noodzaak hebben.

Arnoud