Wat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)?

| AE 5647 | Privacy | 91 reacties

bsnWat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)? Een veelgestelde vraag in mijn inbox. Het antwoord is eigenlijk simpel: Helemaal niks, maar trekt iemand zich daar wat van aan? Nee dus. En wat kun je daaraan doen? Ook helemaal niks. Argh.

Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in de Gemeentelijke Basisadministratie Persoonsgegevens (GBA). Het is de vervanger van het sociaal-fiscaal nummer, en bedoeld voor de overheid om het dossier van een burger altijd te kunnen vinden en persoonsgebonden zaken te kunnen regelen. Dát is handig, zo’n uniek serienummer, denkt menig ondernemer en vraagt dus rustig om een BSN. Of men wil een kopietje paspoort en staat er niet bij stil dat je dan ook het BSN kopieert.

Nee, dat mag niet. De Wet algemene bepalingen BSN, en ook de Wbp hebben hier wat over te zeggen. Het BSN is namelijk een “wettelijk voorgeschreven identificatienummer”, en daarover zegt artikel 24 Wbp:

Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

Oftewel: sorry, maar wáár staat in de wet dat u mijn BSN mag noteren, kopiëren laat staan ergens voor gebruiken? Geen antwoord = magnie.

Er zijn een paar beperkte uitzonderingen. Werkgevers moeten het BSN van hun werknemers vastleggen in verband met bestrijding van zwartwerken. Banken moeten het BSN weten voor wettelijk verplichte uitwisseling van gegevens met de Belastingdienst. In de zorg is je BSN soms ook verplicht. Maar in het algemeen geldt voor bedrijven en winkels dat ze géén recht hebben je BSN te noteren. Zélfs niet als ze een duidelijk belang hebben bij legitimatie van de klant, zoals bij autohuur of het kopen van dure spullen zonder vooruitbetaling.

Hier blijkt alleen weer het tandeloze karakter van de Wet bescherming persoonsgegevens. Of misschien wel het principe “recht hebben versus recht krijgen”. Want het mag niet maar iedereen doet het, en als je er wat van zegt dan ben jíj gek. Op zijn best krijg je “zonder die gegevens kan ik helaas uw transactie niet afronden” en dan mag je boos weglopen mét privacy maar zonder huurauto, reservering of inkoop van tweedehands games.

En ja ik loop hier zelf ook tegenaan. Het is gedoe om hier een punt van te maken, de persoon aan de balie snapt het punt niet of mag niet afwijken van de procedure of doet het af met “wij doen écht geen gekke dingen met uw legitimatie meneer”. Wordt het tijd om organisaties eens te gaan schandpalen om hier verandering in te krijgen?

Arnoud

Tweeten of hyperlinken naar persoonsgegevens is verwerking

| AE 5162 | Privacy | 16 reacties

verkeerslicht.jpgIk mag het weer zeggen: OMGWTFWBP. Het publiceren van een tweet of het versturen van een e-mail met daarin een hyperlink naar een pagina waar de naam en kenteken van een auto-eigenaar worden vermeld, is verwerking van die persoonsgegevens, zo meldde Webwereld. In een beschikking over een inzageverzoek bepaalt de rechtbank in Den Bosch dat de site Veilingdeurwaarder inzageverzoeken onder de Wbp moet honoreren, óók voor de mails en tweets over advertenties met daarin persoonsgegevens.

Op Veilingdeurwaarder kunnen deurwaarders advertenties plaatsen ter aankondiging van de executoriale verkopen waarmee zij zijn belast. Per e-mail of op Twitter kun je zien wat er zoal bij komt. Bij verkopen van auto’s worden automatisch de RDW gegevens opgehaald. Plus, naam en nummerbord van de eigenaar worden erbij vermeld in de advertentie. Dat maakt de advertentie een persoonsgegeven inderdaad.

Op grond van de Wbp had de eigenaar van een daar te koop staande advertentie inzage gevraagd in wat Veilingdeurwaarder deed met zijn persoonsgegevens. Met name wilde hij weten wie allemaal die mail had ontvangen en wie de tweet zou hebben gelezen, want ook dat valt onder het wettelijk inzagerecht – dat je altijd hebt als iemand gegevens over je verwerkt (behalve bij journalistieke verwerkingen).

Veilingdeurwaarder verwees naar de deurwaarder die de advertentie had aangeleverd, maar de rechter wijst ze terecht: zíj publiceren dus zíj zijn de verantwoordelijke, in de zin van de Wbp. Dit mede omdat men zelf gegevens verrijkte met RDW-data. Niet als verweer werd gevoerd dat zij slechts een platform zijn, en dus ex 6:196c BW niet aansprakelijk zijn voor wat gebruikers (deurwaarders) plaatsen. Ik weet niet of dat opzettelijk was, maar eerder is bepaald dat die beperking van aansprakelijkheid niet geldt bij publicatie van persoonsgegevens.

En hier is dan de omgwtfwbp:

De rechtbank is tevens van oordeel dat het verzenden van een e-mail of tweet met daarin een directe link naar de advertentie waarin de persoonsgegevens zijn vermeld het verwerken van persoonsgegevens oplevert.

En dat omdat de Wbp ‘verwerken’ definieert als “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens”. Zeggen “ze staan dáár” valt er in een brede interpretatie inderdaad onder. En de Wbp ís zo breed bedoeld. Alles, echt alles, over persoonsgegevens moet eronder vallen. Dus het is niet zo gek dat die rechter tot deze interpretatie komt.

Het levert wel héél veel praktische problemen op. Want wat houdt dat eigenlijk in, inzage in een tweet? Het recht van correctie op een mailinglijst? Moet ik bijhouden wie die tweets leest, hoe dóe ik dat eigenlijk?

Er zit echter een veiligheidsklep in de Wbp: je hoeft geen gedetailleerde inzage te geven wanneer dat juist ándermans privacy zou schenden:

De rechtbank is met Veilingdeurwaarder van oordeel dat Veilingdeurwaarder niet gehouden is naam- en adresgegevens te verstrekken van alle ontvangers van de nieuwsbrief omdat daarmee immers een verregaande inbreuk op de privacy van die ontvangers zou worden gemaakt. Naar het oordeel van de rechtbank kan Veilingdeurwaarder volstaan met het verstrekken van categorieën van ontvangers, welke mogelijkheid uitdrukkelijk is toegestaan op grond van artikel 35.

Je mag dus volstaan met melden dát je het naar je volgers hebt getweet en dat je mailinglijst met 3000 ontvangers ook een link heeft gekregen. Maar dat antwoord moet je wel geven als er naar wordt gevraagd. Ik ben benieuwd hoe veel organisaties niet in staat zijn dat antwoord te produceren. Zou een profielensite weten op welke manier mijn profiel bekeken is en/of hoe de link daarnaar is gedeeld door derden?

Intrigerende vraag nog: moet je nu je tweets beveiligen tegen misbruik? Ook beveiliging moet immers onder de privacywet.

Arnoud

De legaliteit van dashcams

| AE 5153 | Informatiemaatschappij | 68 reacties

dashcam-ruslandHet zal wel met die meteoriet in Rusland te maken hebben die massaal met dashcams is gefilmd, maar ik werd gisteren door drie journalisten gebeld over de vraag of dashcams in Nederland legaal zijn. Je mag toch immers niet zomaar filmen aan de openbare weg? Op mijn vraag waarom hun cameraploegen dat dan wél mogen, krijg ik nooit echt een eenduidig antwoord, maar dat terzijde. Want ja, ja mag wel degelijk zomaar filmen aan de openbare weg.

Filmen aan de openbare weg is deel van de vrije nieuwsgaring, en die geldt voor burgers met een consumentencameraatje net zo hard als voor RTL Nieuws met een twintig man sterke cameraploeg. En ja, ook als er mensen in beeld gebracht worden en ook als die zeggen dat ze dat niet willen. Bij publicatie krijg je mogelijk wél te maken met privacywetgeving.

Er is aparte wetgeving tegen aangebrachte camera’s. Kort gezegd moet bij een camera die de openbare ruimte filmt, duidelijk zijn gewaarschuwd. Vandaar al die bordjes met “Let op cameratoezicht”. Maar die regel geldt alleen voor “aangebrachte” camera’s. Of een dashcam telt als “aangebracht”, kun je je afvragen. Een camera op de vensterbank neerzetten is namelijk “aangebracht”, ook al zit ie niet nagelvast.

Afgaande op wat er bij invoering van de wet is gezegd denk ik dat een dashcam niet hieronder valt. De bedoeling was om structureel cameratoezicht aan te pakken, oftewel camera’s die men ergens ophangt of neerzet en die de hele dag die ene plek filmen. Een camera in de hand was het voorbeeld van “niet aangebracht”. Een camera op je hoofd of op je dashboard lijkt me zó vergelijkbaar daarmee.

Bij publicatie van het filmpje loop je mogelijk tegen portretrechten aan. Wie herkenbaar in beeld is, kan immers met een beroep op zijn privacy of een ander redelijk belang bezwaar maken tegen publicatie. (Niet tegen het maken zelf, alleen tegen publicatie.) Je kunt dat oplossen door mensen uit te blurren of door een betoog waarom het herkenbaar zijn belangrijker is dan de privacy. Enkel “hij beging een verkeersovertreding” is daarbij niet genoeg, dus zo’n betoog zal zelden slagen maar je kunt het proberen. Als Koos Spee je afsnijdt, kom je er wel mee weg denk ik.

Een filmpje van een auto zonder herkenbare bestuurder valt niet onder het portretrecht, want een auto is geen portret. (Ja Wim, wel als je een foto van jezelf groot op de achterruit plakt maar dan krijg je weer discussie over het zichtveld vanuit de auto.) Wél kan bij zo’n filmpje het nummerbord herkenbaar in beeld zijn, en een nummerbord is een persoonsgegeven. Daarmee kan het filmpje onderworpen zijn aan de Wet bescherming persoonsgegevens. Ja, ook als er verder geen naam bij staat en ook als er geen doorzoekbaar bestand van gemaakt is.

Onder de Wbp kun je publicatie van een nummerbord alleen rechtvaardigen met een beroep op de “dringende noodzaak”. Oftewel, sorry ik moet wel want dit tonen is belangrijker dan jouw privacy. En dat is ongeveer dezelfde discussie als bij het portretrecht, ik denk niet dat je daar snel het wint van de privacy. Tenzij je zegt, een nummerbord is een stuk anoniemer dan een portret dus de inbreuk is kleiner én de verkeersovertreding heeft een redelijke nieuwswaarde.

Beelden van dashcams zijn overigens bruikbaar als bewijs. Je mag er dus mee naar de politie om aangifte te doen. De discussie zal vooral gaan over de vraag of het wel compleet de situatie toont. Als jij eerst iemand snijdt en dan filmt hoe hij je terugpakt, zou ik het niet terecht vinden om dan uitsluitend hem te beboeten voor de overtreding. Daar zullen veel zaken op stuk gaan denk ik: hoe weten we dat dit de compléte beelden zijn?

En oh nu moet ik denken aan een oud ideetje van me: laat TNO manipulatieproof dashcams maken die gecertificeerd zijn met tijdcode en interne opslag. Lever ze in als het geheugen vol is, en voor elke verkeersovertreding die bewezen kan worden met de beelden krijgt de eigenaar 50% van de boete. Dan is het volgens mij binnen 48 uur afgelopen met verkeersovertredingen.

Arnoud