Waarom zou je een videoconferentie of elearning mogen opnemen van de AVG?

| AE 12141 | Privacy | 6 reacties

Een lezer vroeg me:

Sinds de coronacrisis zitten we met z’n allen massaal in videovergaderingen, maar ook werkoverleg en online trainingen (elearning). Het valt me op dat de organisatoren dat vaak opnemen, en ik vroeg me af of dat wel in de haak is? Dat gebeurde bij ‘ouderwetse’ vergaderingen of trainingen ook lang niet altijd, dus echt nodig lijkt het niet. En toestemming wordt zelden gevraagd. Kun je hier je juridisch licht eens over laten schijnen?
Het gebruik van videotools voor overleg, kennisoverdracht en vergaderen is natuurlijk alomtegenwoordig, maar roept ook veel vragen op. Ik denk dat je in het algemeen wel kunt zeggen dat je daaraan moet meedoen, als het onderwerp van het overleg of de meeting sowieso al een verplicht nummer voor je was.

Het is al discutabel of je verplicht kunt worden je camera aan te zetten. Jezelf in beeld brengen is heel wat anders dan alleen maar meeluisteren. Ik zie daar niet meteen het nut van in, tenzij het bijvoorbeeld (in de context van een training) gaat om een oefening of presentatie. Dan wil je vaak ook zien hoe iemand het brengt of het doet, en dan is video dus essentieel.

Het opnemen van een overleg of training kan handig zijn, zeker bij elearning waarbij niet iedereen op hetzelfde tijdstip aanwezig kan of wil zijn. Dan kun je de opname achteraf terugkijken. Ik denk dat dát prima te rechtvaardigen is als een eigen belang (dat van de organisator en/of de deelnemers), mits je maar zorgt dat de opname dan ook echt alleen voor terugkijken wordt ingezet. Niet delen dus met derden, en wissen nadat de cursus is afgelopen.

Bij een vergadering vind ik dit iets minder logisch, is er werkelijk iemand die een vergadering wil terugkijken? Je zou zeggen dat notulen (of liever nog een actielijst) genoeg zijn om de essentie van de vergadering te achterhalen.

Dan heb je nog grapjassen die denken dat je onder de grondslag toestemming werkt, omdat je videoconferencingtool bovenin de uitzending zegt “Door deel te nemen geeft u toestemming voor opname”. (Ja ik kijk naar jou, Microsoft Teams.) Dat heeft natuurlijk nul betekenis die tekst, want dat is niet hoe toestemming onder de AVG werkt. Maar zelfs als er wél rechtsgeldig toestemming is: die kan de deelnemer op ieder moment intrekken, zonder gevolgen en zonder beperkingen (“nee sorry Jaap, je intrekking kan pas als hoofdstuk 3 klaar is”). Nogmaals, wie denkt op toestemming te kunnen varen, die schendt de AVG – of heeft een nieuwsbrief.

Arnoud

Nee, het coronavirus is geen ontheffing voor de AVG

| AE 11808 | Ondernemingsvrijheid, Privacy | 17 reacties

Mijn werkgever verplicht alle werknemers nu thuis te werken vanwege de corona uitbraak. Dat las ik bij Tweakers (dank, tipgever). So far so good, maar dan komt ‘ie: men moet timetrackingsoftware installeren en deze “doet echter op random intervallen screenshots maken en volgens de privacy voorwaarden van deze software ook een lijst bijhouden met alle urls die bezocht worden en verdere activiteit op het apparaat.” De werkgever komt niet veel verder dan dat timetracking hoort bij thuiswerken en weet kennelijk niet wat die software doet. Dat is dus een probleem onder de AVG, en nee daar kom je niet mee weg omdat het een noodsituatie is en/of thuiswerken de enige optie gezien de kennelijke pandemie die zich in Nederland voordoet.

Toevallig las ik gisteren over WorkSmart, Amerikaanse software die zogenaamd de productie monitort maar in feite mensen de ziektewet in helpt:

… even using the bathroom in his own home required speed and strategy: he started watching for the green light of his webcam to blink before dashing down the hall to the bathroom, hoping he could finish in time before WorkSmart snapped another picture.

Het bedrijf achter deze software zegt dat het slechts een hulpmiddel is en dat bedrijven zelf na moeten denken hoe ze deze in willen zetten. Want als de software zegt dat iemand niet productief is, dan is dat natuurlijk reden voor een goed gesprek en geen manager koppelt aan zo’n handige indicatie een betalingsinhouding of negatieve beoordeling. Precies, zou ik ook zeggen als ik dat bedrijf was.

Mag het? Nee, natuurlijk niet. Ik zie in de draad mensen suggereren dat het zou mogen omdat het thuiswerken is en je toch iets moet om de productiviteit van je mensen in de gaten te houden. Nieuwsflash: je mag mensen sowieso al niet in de gaten houden op het werk, of je moet een héél goede reden hebben én de privacy-impact van de werknemers daarin meegenomen hebben.

En dat is tien keer zo erg thuis. In principe mág je thuis niet eens kijken hoe mensen hun werkplek ingericht hebben (en ja ondertussen ben je wel aansprakelijk als die werkplek niet arbocompliant is en mensen daardoor klachten krijgen). Dus waarom zou dat wel mogen omdat het een ict-middel is? Oh ja wacht, het is met de computer en dat is anders he. Dat is gewoon software die mensen monitort. Nee natuurlijk niet. Misschien moeten we aan de AVG een artikel toevoegen dat zegt “als het raar is wanneer een mannetje met een notitieblok het live doet, dan mag software het ook niet”.

Want nee, het elke tien minuten fotograferen van je personeel terwijl dat aan het werk is, dat krijg je echt niet rond onder de AVG. Ook niet als je zegt dat je geen ander middel hebt om hun productiviteit te meten. Want dat heb je wel, al is het maar de output die er ligt op vrijdagmiddag. Dus definieer maar een betere output metric en ga daar op sturen, zo moeilijk moet dat niet zijn als mensen in staat zijn om thuis te werken.

Arnoud

Mag je abusievelijk open staande webcams bekijken?

| AE 5413 | Privacy, Security | 10 reacties

webcamEen lezer wees me op een site waar je open webcams kunt bekijken. Al deze webcams zijn op afstand te bekijken, omdat ze hun video-opnames live streamen via het web. Configuratiefoutje of over het hoofd gezien door de eigenaar, waarschijnlijk. Mag dat?

Laten we even aannemen dat de eigenaar er niet bewust voor gekozen heeft de hele wereld mee te laten genieten van zijn of haar webcam. De URL is echter geraden door iemand, wat eenvoudiger is dan je denkt: van de meeste modellen is de URL structuur bekend uit de handleiding, dus het is dan een kwestie van die op allerlei IP-adressen uitproberen en zien of webcamserversoftware iets terugzegt. Andere URLs worden door Google gevonden, omdat ze op een pagina ergens zijn opgenomen die net niet zo privé was als de eigenaar had gedacht. Bij Shodan vinden ze er dagelijks nieuwe – net als open routers, telefoons en windturbines(!).

Is dit computervredebreuk? Tsja. Het lijkt op het raden van een URL, waar we vorig jaar december een forse discussie over hadden. Als het veranderen van “20111225-3998” in “201201225-4003” computervredebreuk is, dan lijkt me het opvragen van “/mjpeg.cgi” op een random IP adres of “/cam2.cgi” dat ook. Je kunt zeggen dat een verschil is dat de URL-structuur bekend is, maar dan nog – dat die structuur opvraagbaar is op IP-adres 192.168.55.1, is dat bepaald niet.

Je kunt het over de auteursrechtelijke boeg gooien. Er lopen diverse rechtszaken over de vraag of het als eerste bekend maken van een webadres telt als publicatie, als ‘openbaarmaking’ van het werk telt. In de Britt-Dekkerzaak werd GeenStijl in eerste instantie veroordeeld op die grond. Zonder de publicatie van de URL door het shockblog had niemand de foto’s kunnen vinden, was kort gezegd het argument. En ook het linken naar wiskundesomuitwerkingen was om die reden onrechtmatig.

Dezelfde redenering kun je toepassen op deze webcamstreams. Een site die dan links daarheen verzamelt, schendt dan de auteursrechten. Maar, eh, wacht eens even: zít er wel auteursrecht op de output van een webcam? Dat lijkt me niet. Waar je bij geposeerde foto’s of wiskundesommen nog kunt spreken van creativiteit, ontbreekt die volledig bij webcambeelden. Die filmen gewoon de werkelijkheid, zonder dat de filmer iets creatiefs doet bij hoe deze in beeld komt. En zonder auteursrecht geen inbreuk.

Een privacyschending kan het natuurlijk altijd zijn, als er mensen in beeld komen. Maar volgens mij komt dat dan neer op het portretrecht – en omdat het hier gaat om niet-geposeerde beelden is de eis dan in hoeverre er sprake is van een redelijk belang tegen publicatie. Bij een camera die de straat filmt, lijkt me dat niet aan de orde. Van een camera in de slaapkamer mag je de beelden niet zomaar publiceren, ook niet als ze door domheid van de eigenaar opvraagbaar zijn via zijn webcam.

Arnoud