Tag: Wet bescherming persoonsgegevens

About Wet bescherming persoonsgegevens

Subscribe Feeds

Mag je nog wel een zwarte lijst voor bedrijven aanleggen?

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 7 reacties

Een lezer vroeg me:

Ik begrijp dat een zwarte lijst voor personen erg lastig is om aan te leggen, vanwege privacywetgeving. Maar nu las ik dat privacy niet geldt voor bedrijven, dus klopt het dan dat ik wel voor mijn b2b webshops een zwarte lijst mag hanteren van zakelijke klanten met wie ik geen zaken wil doen?

Een zwarte lijst voor webwinkels ligt erg gevoelig, onder de privacywetgeving. Het belang voor winkeliers is duidelijk, maar het kan voor betrokken personen bijzonder vervelende gevolgen hebben. Zeker omdat mensen er onterecht op kunnen belanden. Wat nu als ik verhuis naar een plek waar een wanbetaler woonde, bijvoorbeeld. Of omdat ik erop kom omdat de winkelier me een vervelend figuur vindt dat maar blijft zeuren over garantie.

Kort gezegd komen de eisen vanuit privacywetgeving over zwarte lijsten neer op zorgvuldigheidseisen. Zo moet vooraf aangekondigd zijn dat deze gegevens verwerkt worden. Een winkel moet dus op een of andere manier kenbaar maken dat men een zwarte lijst beheert. Ook moeten mensen in staat zijn om na te gaan dat zij op deze lijst staan, en hebben zij het recht om eraf gehaald te worden als blijkt dat hun vermelding onterecht was. De toezichthouder heeft een checklist zwarte lijsten gepubliceerd. Ook moeten dergelijke lijsten worden gemeld.

Privacy geldt alleen voor mensen, en dus in principe niet voor ondernemingen of verenigingen/stichtingen. Hooguit als het ook gaat om privégegevens, zoals de 06 van de directeur van een bv of het persoonlijk mailadres van de voorzitter. Dus in principe is er weinig tegen zo’n zwarte lijst te doen.

In de praktijk zul je wel aan hoge eisen van zorgvuldigheid moeten voldoen om te voorkomen dat je smaadclaims tegen je krijgt, want een bedrijf kun je wel besmaden door ze ten onrechte en lichtvaardig op een zwarte lijst te zetten. Ik denk dat je in de praktijk dan diezelfde checklist zult moeten volgen, afgezien van de melding bij de toezichthouder zelf.

Arnoud

Amerikaans WhatsApp valt onder Nederlandse privacywet

Geplaatst op in Ondernemingsvrijheid, Privacy, 19 reacties

whatsapp De chatapp WhatsApp heeft een rechtszaak verloren van de Autoriteit Persoonsgegevens, de Nederlandse privacywaakhond. Dat meldde Nu.nl gisteren. Op straffe van een dwangsom van 10.000 euro per dag moet het bedrijf een vertegenwoordiger aanstellen in Nederland. Want hoewel het bedrijf in de VS zit en geen servers en dergelijke in Nederland heeft staan, valt men toch onder de Nederlandse Wbp.

WhatsApp en de toezichthouder liggen al een tijdje in de clinch over naleving van de Wbp. In november 2015 werd een besluit opgelegd waarin WhatsApp onder meer toezegde hashing te gaan gebruiken zodat ze alleen nog gegevens kon matchen van gebruikers onderling, en niet meer tevens van niet-gebruikers. “WhatsApp betwist de bevoegdheid van het CBP, maar heeft wel meegewerkt aan het onderzoek” stond er dan omineus in het persbericht, en nu zien we dat men die betwisting heeft doorgepakt, maar zonder succes.

Het lijkt een formeel puntje. Een bedrijf dat buiten Europa gevestigd is en persoonsgegevens van Nederlanders verwerkt, moet een vertegenwoordiger aanstellen (art. 4 lid 3 Wbp). Het idee daarachter is dat je als Nederlands burger dan makkelijker klachten en claims kunt indienen bij dat bedrijf.

WhatsApp had nooit zo’n vertegenwoordiger gesteld, ik vermoed omdat ze vonden dat ze überhaupt niet onder Nederlands recht vallen (als ze daar al ooit van gehoord hadden, Nederland is de hoofdstad van Denemarken, toch?). Maar de rechtbank bevestigt nu dat dat toch echt moet. Het juridische argument dat onze wet in strijd is met de Privacyichtlijn uit 1995 (omdat het tekstueel niet 100% matcht) gaat van tafel, de Nederlandse regels zijn een prima invulling van de Richtlijn.

Belangrijker vind ik echter het onderliggende punt: WhatsApp valt onder de Wbp, hoewel ze hier geen vestiging of server hebben. Dit vanwege artikel 4 lid 2 Wbp:

Deze wet is van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de Europese Unie, waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.

Je zou denken dat dat gaat over servers en zo, maar de AP zegt nu – met instemming van de rechtbank – dat dit óók gaat over smartphones. Niet heel verrassend, de Artikel 29-Werkgroep had dat al in 2013 gesteld, maar het is nu door de rechter bevestigd.

Misschien een tikje gek, want die smartphones zijn toch uitsluitend voor persoonlijk gebruik door de consument-eigenaren? Klopt, maar de WhatsAppapp doet meer, die stuurt immers data door naar WhatsApp het bedrijf in de VS die er meer mee doet. Zoals dus dat matchen. En daarom kan WhatsApp niet zeggen dat ze slechts een faciliterend bedrijf (‘bewerker’ in het jargon) is voor de consument.

Ik moest glimlachen bij het verweer “Het is eiseres niet gelukt om een commerciële partij te vinden die een dergelijk risico wil aanvaarden.” Want die vertegenwoordiger is dus aansprakelijk voor alle claims en boetes die WhatsApp veroorzaakt, en je zou dus wel gek zijn. Maar, zo merkt de rechtbank ook op, je kunt als vertegenwoordiger prima afspreken dat WhatsApp je schadeloos stelt bij deze claims. Dus nee, ook dat is geen argument.

Alles bij elkaar een best belangwekkende uitspraak, want dit geldt niet alleen voor WhatsApp. Iedere app-exploitant die gebruikerspecifieke data naar de VS laat sturen, is nu verplicht zichzelf in Europa daar verantwoordelijk (en aansprakelijk) voor te stellen.

Arnoud

Privacywaakhond waarschuwt stichting die ‘verloren’ kleinkinderen zoekt

Geplaatst op in Privacy, 9 reacties

kinderen-oppassen-bord-verkeersbord-waarschuwing.pngDe Autoriteit Persoonsgegevens (AP) heeft Stichting Voor Mijn Kleinkind op de vingers getikt vanwege de manier waarop zij kleinkinderen in contact probeert te brengen met hun grootouders. Dat meldde Nu.nl vorige week. Grootouders die geen contact hebben met hun kleinkinderen kunnen daar een oproep plaatsen, die deze kleinkinderen dan kunnen vinden (via bijvoorbeeld een zelfgoogel) en zo alsnog contact leggen als zij dat willen.

De privacytoezichthouder ziet een dergelijke site als een overtreding van de Wet bescherming persoonsgegevens. “Uit zo’n oproep tot contact kun je afleiden dat er problematische familieomstandigheden zijn”, zegt vicevoorzitter Wilbert Tomeen. En dat levert een verwerking van persoonsgegevens op die zonder toestemming van álle betrokkenen (dus ook de ouders van die kleinkinderen) eigenlijk niet te rechtvaardigen is onder de Wbp. Ook niet met een wachtwoord.

In 2009 werd de website Kleinkind onbereikbaar door de rechter verboden. Er werd “op grove wijze inbreuk op de privésfeer van de kleinkinderen en de ouders [] gemaakt” door zomaar gegevens van kleinkinderen vindbaar te maken.

Pfoe. Ik blijf dit zó lastig vinden, het is heel gevoelige materie waar het recht eigenlijk niet voor bedoeld is. Maar bovenal: ik snáp het niet. Als je ruzie hebt over het mogen zien van je kleinkinderen, dan is het toch sowieso géén goede manier om buiten de ouders om publiek te gaan maken dat je die niet mag zien? Ik snap de frustratie, maar dat levert toch gewoon nóóit op wat je wilt, namelijk ouders die van gedachten veranderen?

Arnoud

Hoe snel moet je van de wet een nieuwe securitystandaard implementeren?

Geplaatst op in Security, 13 reacties

norm-security-beveiliging-certified-gecertificeerdEen lezer vroeg me:

In de ICT zijn de beveiligingseisen volop in beweging. Het is dus welhaast onmogelijk om deze allemaal stipt na te volgen, zeker bij grote pakketten waar het doorvoeren van wijzigingen vele maanden (zo niet jaren) kan kosten vanwege complexiteit en testen en evaluatie. Is er juridisch gezien een termijn waarbinnen nieuwe standaarden geïmplementeerd moeten zijn?

Dit is een persoonlijke frustratie van mij, maar de wet kent eigenlijk überhaupt geen eis dat je enige security-standaard moet volgen, of zelfs maar dat je product enige security moet hebben. Fysieke veiligheid wel (productveiligheid, art. 6:186 BW) maar je informatiebeveiliging mag volstrekt brak zijn. Ik weet niet waarom.

De enige echte uitzondering is die van systemen die persoonsgegevens verwerken. Daar bepaalt de Wet bescherming persoonsgegevens (art. 13 Wbp) dat je “passende technische en organisatorische maatregelen” moet nemen “om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.”

De in 2013 geformuleerde beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens adviseren te handelen binnen een plan­do­check­act­cyclus: beoordeel de risico’s, gebruik erkende beveiligingsstandaarden en controleer en evalueer de resultaten. Er wordt wel naar standaarden verwezen, maar dat laat meteen zien waarom dat niet werkt: het document is uit februari 2013 en de daarin genoemde norm ISO 27002:2007 werd in oktober 2013 ingetrokken.

Uiteindelijk zal het altijd neerkomen op een evaluatie achteraf als het mis blijkt te zijn gegaan. Had dit redelijkerwijs voorkomen kunnen worden met wat voorhanden was, was het redelijkerwijs te verwachten dat deze standaard gevolgd zou worden en hadden we al redelijkerwijs mogen verwachten dat er zou worden geupgrade of was dat gezien de kosten nog niet redelijk? (Met excuses aan de vraagsteller die me nadrukkelijk vroeg de term ‘redelijk’ te vermijden maar dat is ben ik bang een MUST in de zin van RFC 2119.)

Arnoud

Safe Harbor getorpedeerd; het einde van de Amerikaanse cloud?

Geplaatst op in Privacy, 40 reacties

Het Europese Hof van Justitie heeft vandaag het Safe Harbor-verdrag met de Verenigde Staten, waarin staat hoe Amerikaanse bedrijven gegevens moeten opslaan zodat ze aan de Europese privacywetgeving voldoen, ongeldig verklaard. Dat meldde Security.nl en nog een hele sloot media. Een lichte ramp natuurlijk: zonder Safe Harbor staan heel veel persoonsgegevens illegaal in de Amerikaanse cloud. Wat nu?

De uitspraak is een uitkomst van het al lang lopende conflict dat Oostenrijker Max Schrems heeft met Facebook. Het begon met een inzageverzoek: wat weten jullie allemaal over mij. Dat escaleerde tot een stevige juridische strijd, waarbij op zeker moment het argument ter tafel kwam dat persoonsgegevens veilig in de VS staan want Safe Harbor. Dat we ondertussen van alles weten over de NSA en ander amerikaanseoverheidsgesnuffel deed daarbij niet ter zake.

Het arrest (zaaknr C-362/14) gaat vooral over dat punt. Mag de Europese Commissie afspraken met de VS maken waarin ze in feite zeggen “de VS is gewoon veilig, punt”, of mag het Hof daar toch nog wat van vinden als bij nader inzien blijkt dat het in de VS toch niet zo lekker loopt als gedacht? Het verrast niet echt dat het Hof het laatste vindt.

En wát ze er dan van vinden, is niet mals. De VS ziet Safe Harbor als een leuk speeltje maar uiteindelijk niet zo belangrijk als de eigen wetten:

86 Thus, Decision 2000/520 lays down that ‘national security, public interest, or law enforcement requirements’ have primacy over the safe harbour principles, primacy pursuant to which self-certified United States organisations receiving personal data from the European Union are bound to disregard those principles without limitation where they conflict with those requirements and therefore prove incompatible with them.

Oftewel: er staat gewoon ín dat als Amerikaanse wetgeving wat anders zegt dan mag in de Safe Harbor, dan wint die wetgeving het gewoon. Hoe kun je dat dan nog een veilige haven noemen die volgens Europese regels werkt? Want dát was het idee achter de wettelijke eis “geen gegevens de EU uit tenzij dat adequaat geborgd is”.

We hebben nu dus een probleem. Heel veel organisaties hebben data in de VS staan met een beroep op Safe Harbor, en dat is nu dus niet meer mogelijk. Er zijn juridische oplossingen te verzinnen – zoals gaan werken met een modelcontract – maar het is nog maar de vraag of die standhouden tegen het argument “de FBI kan er tóch altijd toegang tot afdwingen”, analoog aan het citaat hierboven.

Naar de Europese clouddiensten dan maar? Immers, data opgeslagen bij Amazon in Ierland of Microsoft in Brussel valt onder een dochtermaatschappij die gewoon onder Europees recht valt. Het is nog maar de vraag of dat gaat helpen. We hebben al een tijdje een slepende rechtszaak tussen Microsoft en de Amerikaanse overheid, met de vraag centraal of de overheid gegevens mag opeisen bij Microsoft-dochters in Europa. De rechter in eerste instantie zei van wel, het hoger beroep loopt. Als dát overeind blijft, zijn ook die datacenters verboden terrein voor Europese bedrijven.

Gaat er wat gebeuren? Het zou me verbazen. De impact is namelijk zo groot dat weinigen er aan zullen willen. Eerst maar eens een jurist zorgvuldig naar laten kijken, en dan afwachten wat de concurrent gaat doen. Want het kost gewoon gigantisch veel geld om equivalente diensten te vinden – als die er al zijn. Als je concurrent lekker op Amazon blijft zitten, dan ben je weliswaar legaal bezig maar commercieel heel dom.

Wellicht dat de nieuwe wetgeving persoonsgegevens per 1 januari hier wat in gaat veranderen. Die heet weliswaar meldplicht datalekken maar hij zet ook boetes op het exporteren van persoonsgegevens zonder juridische basis. Maar u kent mij als professioneel cynicus: het zou me verbazen.

Arnoud

Kun je een zwartelijstbeheerder tegenhouden met een beroep op de Wbp?

Geplaatst op in Privacy, Uitingsvrijheid, 3 reacties

block-botDe Block Bot is in de juridische problemen gekomen, las ik onlangs. Blogger Matthew Hopkins, zelfbenoemd “Witchfinder General” had een claim ingediend bij de beheerder van deze Twitter zwarte lijst, waar je op komt als de beheerder je een troll vindt, of een vrouwonvriendelijke man of nog wat niet bepaald vleiende kwalificaties. Het op smaad gooien leek Hopkins nogal ingewikkeld vanwege vrijheid van meningsuiting en zo, maar hij had een leukere truc gevonden: de Data Protection Act, oftewel de Engelse Wet bescherming persoonsgegevens. Want iemands naam in een bestand opnemen, dat mag niet he meneertje?

Ik krijg hier een lichte juridische jeuk van. Ja, natuurlijk geldt de Wbp en de DPA bij zwarte lijsten en ik weet dat men daar kritisch tegenover staat omdat onterecht op een zwarte lijst staan heel vervelend kan zijn, zeker als je er nauwelijks meer van af komt. En ik weet dat toestemming vragen bij opname in een bestand of lijst de hoofdregel is.

Maar het is écht niet zo dat je zonder toestemming eigenlijk niets kunt. Er is immers de eigen dringende noodzaak, op grond waarvan je best zonder toestemming iemands gegevens kunt gebruiken als daar een noodzaak voor is. Deze grond vereist een belangenafweging, hoe zwaar weegt de privacy van deze persoon en hoe zwaar is mijn noodzaak om die gegevens te gebruiken. En omdat het hier gaat om een meningsuiting, is er best een aardige noodzaak. Je mág immers over mensen praten en je mening geven over hun acties, dat is een grondrecht. De Wbp wint dus zeer zeker niet automatisch.

Verder is het in Nederland zo dat je in die situaties géén aparte afweging onder de Wbp hoeft te maken. Als het gaat om een verwerking die op grond van de vrijheid van meningsuiting wordt gedaan, dan kijk je ‘gewoon’ of de uiting onrechtmatig is. Een overtreding van de Wbp in een journalistieke context dient

te worden meegewogen bij beantwoording van de vraag of degene die verantwoordelijk is voor (handhaving van) publicatie van de beweringen hierdoor onrechtmatig handelt.

Dat maak ik op uit het Kleintje Muurkrant-arrest uit 2011.

Het doet me denken aan de discussie vorig jaar over merknamen: haha, mijn naam is een gedeponeerd merk, dus je mag zonder mijn toestemming niet over me praten. Ook dat voelt als een oneigenlijk gebruik van de wet. Met name omdat men zware juridische taal inzet naar mensen die daar weinig verstand van hebben. Ik zie dat als overbluffen of intimideren: holy shit, ik heb een mérkenrecht geschonden, ja nee kijk maar naar Disney en zo hoe ernstig dat is, daar staat tien jaar cel op, gauw weg die post. Bah.

Arnoud

Mag een Goede Samaritaan monitoren of je Twitterfeed suicidaal zou kunnen zijn?

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 11 reacties

samaritans-radar-suicide-waarschuwen-twitterDe Good Samaritans, een crisishulpverlener, lanceerden onlangs de Radar-dienst. Deze leest mee in je Twitterfeed en geeft een signaal als iemand in je feed suicidaal lijkt te zijn. Dat gaf behoorlijk wat ophef, want de dienst kan misbruikt worden door trollen die een kwetsbaar iemand eens goed te grazen willen nemen. Plus, het is een verwerking van persoonsgegevens en mag dat allemaal wel?

Ik dacht eerst dat Radar zélf op Twitter riep “let op, deze gebruiker zit in de problemen, praat eens met hem/haar” maar het blijkt een seintje te zijn naar de gebruiker die deze installeert. En dan komt het voor mij neer op een steunmiddel, iets automatiseren dat ik zelf ook kan als ik de hele dag iedereen lees die ik volg. Ik zie daar eerlijk gezegd het probleem niet mee.

Natuurlijk, het is een verwerking van persoonsgegevens. Het Lindqvist-arrest bepaalde al een tijd geleden dat het op internet melden dat iemand haar enkel verzwikt heeft, een verwerking van persoonsgegevens oplevert. Juridisch gezien zijn de Samaritans een bewerker namens de gebruiker – die zet de tool aan en besluit op welke feed deze losgelaten wordt. Daarmee moet die gebruiker zorgen voor adequate toestemming of een andere verwerkingsgrond.

Je zou kunnen zeggen dat dit wellicht een “vrijwaring van een vitaal belang van de betrokkene” oplevert, of anders de restcategorie van het dringend eigen belang. Maar problematisch is wel dat er geen schriftelijke bewerkersovereenkomst is tussen de gebruiker en de Good samaritans. Maar nee, die is er ook niet tussen, eh, elke andere dienst die iets met Twitter (of Facebook) doet en de gebruikers daarvan.

Ja, ik ben cynisch vanochtend. De Wbp-gerelateerde ophef voelt voor mij namelijk als een tikje er met de haren bijgesleept. Ik zie dat de laatste tijd vaker: men is het niet eens met een nieuwe dienst of met een actie van de een of ander, en dan wordt de Wbp erbij gepakt om te betogen dat dit een onrechtmatige verwerking van persoonsgegevens (óhh hóhh) is. En wat heb je daarop te zeggen, he, nou nou nou? Vuile verwerker van persoonsgegevens dat je d’r bent, nog erger dan Facebook want je hebt niet eens een bewerkersovereenkomst.

In plaats van de werkelijke vraag te stellen: vinden we deze dienst nuttig of niet. De Wbp is geen stok om innovatie mee stuk te slaan. Toch?

Arnoud

Moet je klantgegevens per se in Nederland opslaan?

Geplaatst op in Informatiemaatschappij, 12 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Wij hebben als bedrijf behoorlijk veel data en overwegen dit nu in de cloud op te slaan. Maar mag dat wettelijk gezien of moeten we per se dit zelf in Nederland beheren?

Er is geen algemene wet of regel die bepaalt dat een Nederlands bedrijf bedrijfsgegevens in Nederland moet opslaan, of zelfs maar in Europa. Je bent daar als bedrijf dus vrij in.

De enige hierbij relevante wet die ik kan bedenken, is de Wet bescherming persoonsgegevens. Wanneer die bedrijfsgegevens iets zeggen over personen (bijvoorbeeld klantdata of personeelsadministratie) dan moeten die worden behandeld volgens deze wet.

De Wbp bepaalt grofweg dat je persoonsgegevens alleen mag opslaan binnen de Europese Unie (art. 76 Wbp) behalve in enkele specifieke gevallen. Zo mag het met aparte toestemming van de betrokken personen of wanneer het nodig is voor afwikkeling van een contract met die persoon. Bemiddel je bij aankoop bij een Amerikaans bedrijf, dan mag je dat bedrijf de klantgegevens geven want anders kan die koop niet worden afgehandeld.

Verder neem je een risico als je gegevens in een ver buitenland opslaat. Wat als het bedrijf ermee ophoudt, of iets simpeler gewoon weigert je toegang tot de bedrijfsgegevens te geven? Je kunt dan moeilijker naar de rechter dan in Nederland. En dat is een risico want stel de Belastingdienst wil inzage in je administratie en die staat net in de Braziliaanse cloud die even down is (huh, een wolk die beneden is?), wat dan?

Technische oplossingen zijn hier misschien beter dan juridische trouwens: ook de hardste SLA en de beste relaties met je leverancier beschermen je niet tegen faillissementen of andere calaimiteiten. Een extra backup ergens anders is dus altijd aan te bevelen.

Arnoud

Kun je privéberichten opeisen bij een forum via de Wet bescherming persoonsgegevens?

Geplaatst op in Privacy, 18 reacties

phpbb-private-message-pb-bericht-inbox.pngEen lezer vroeg me:

Recent ben ik verbannen van een forum. Hierdoor ben ik de toegang verloren tot al mijn privécommunicatie op dat forum. Deze wil ik nu opeisen via de Wet bescherming persoonsgegevens, de berichten betreffen immers mijzelf. Maar het forum wil me die niet geven, ze zeggen dat de Wbp niet geldt. Hoe zit het nu?

Het opeisen van persoonsgegevens kan in principe. Immers, als iemand persoonsgegevens verwerkt, heeft de betrokken persoon een recht van inzage (art. 35 Wbp). Hij mag vragen om:

een volledig overzicht [van de gegevens] in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.

Zaken als logs over iemand zijn persoonsgegevens, en de persoon heeft dus recht op een kopie van die logregels met zijn IP-adres of zijn gebruikersnaam. (Mits ze er nog zijn, er is géén logplicht of bewaarplicht voor forums.)

Bij privéberichten ligt dit wat lastiger. Ook die zijn als persoonsgegevens te zien, al is het maar omdat de persoon er als afzender of ontvanger aan gekoppeld is. Maar of die op te eisen zijn, betwijfel ik. Allereerst kun je je afvragen of de forumbeheerder wel de ‘verantwoordelijke’ is in de zin van de wet – hij koos er niet voor dat die gegevens in die berichten terecht kwamen, immers. Dat was de afzender van het bericht. Dus díe is volgens mij de persoon die je om inzage moet verzoeken.

En ten tweede bepaalt de Wbp dat wanneer “een derde naar verwachting bedenkingen zal hebben”, je eerst die derde (de wederpartij bij de communicatie dus) moet vragen om zijn ‘zienswijze’ over het inzageverzoek. Gezien het feit dat het om privéberichten gaat lijkt het me logisch dat die zienswijze is “eh, nee, privébericht”. Hoewel het briefgeheim formeel niet geldt voor e-mail of privéberichten, zit er wel een zwaarwegend privacybelang op zulke berichten. En dat blokkeert dan het recht van inzage. Hoewel daar natuurlijk tegenover staat dat het bericht al eens gestuurd was door/naar de betrokken persoon, dus hij wéét al wat erin staat.

Als de berichten ondertussen al weg zijn (omdat het account is opgeheven), dan houdt het natuurlijk allemaal op.

Het verbaast me trouwens hogelijk dat geen van de bekende forumsoftwarepakketten een exportoptie lijkt te hebben voor privéberichten. Mis ik iets of vindt men dat massaal overbodig?

Arnoud

Wanneer mag een auditor onze camerabeelden inzien?

Geplaatst op in Privacy, Security, 4 reacties

dome-camera.jpgEen lezer vroeg me:

Van tijd tot tijd komt er bij ons een auditor over de vloer voor de certificering van een van onze klanten (PCI-DSS audit bijvoorbeeld). Soms wil zo’n auditor dan ook de camerabeelden bekijken, om bevestiging te krijgen dat de camerabeveiliging werkt. Mogen wij daarana meewerken? Camerabeelden mogen toch alleen met gerechtelijk bevel worden afgegeven?

Er is geen harde regel die inzage door derden verbiedt behalve bij gerechtelijk bevel. Sterker nog, er is slechts een bevel officier van justitie nodig om camerabeelden te vorderen door Justitie (art. 126nd Strafvordering). Tenzij je de strenge lijn van de Hoge Raad volgt die zegt dat camerabeelden ‘bijzondere’ persoonsgegevens zijn, dan is een bevel rechter-commissaris nodig.

Maar goed, dat gaat over strafrecht. Hier gaat het om inzage door een private partij. Daarbij is het strafrecht en het wetboek van strafvordering niet relevant.

De beveiliging middels camera’s is op zich al een onderwerp dat gerechtvaardigd moet worden onder de Wet bescherming persoonsgegevens, aangezien camera’s persoonsgegevens verwerken. De gebruikelijke grond is artikel 8 sub f: er is een dringende noodzaak (men kán niet anders), er is geen reële mogelijkheid toestemming te vragen en men heeft alles gedaan dat gedaan kan worden om de privacy van de gefilmde mensen te beschermen.

Als je het filmen an sich kunt rechtvaardigen onder dit artikel, dan lijkt me “controleren dat het filmen werkt” eigenlijk automatisch ook wel door de beugel kunnen. Maar je zult wel wat specifieke waarborgen moeten inbouwen. Kan de software automatisch gezichten blurren bijvoorbeeld? Doe dat dan wanneer de auditor de beelden kijkt. Of kan de auditor in een apart kamertje kijken met achterlating van zijn telefoon, zodat hij wel kijkt maar niet kan kopiëren? Misschien kun je op een rustig moment de beste man (m/v) zélf even voor de camera laten staan, en daarna samen constateren dat hij inderdaad in beeld was.

Arnoud