Mag je nog wel een zwarte lijst voor bedrijven aanleggen?

| AE 9665 | Ondernemingsvrijheid, Uitingsvrijheid | 7 reacties

Een lezer vroeg me:

Ik begrijp dat een zwarte lijst voor personen erg lastig is om aan te leggen, vanwege privacywetgeving. Maar nu las ik dat privacy niet geldt voor bedrijven, dus klopt het dan dat ik wel voor mijn b2b webshops een zwarte lijst mag hanteren van zakelijke klanten met wie ik geen zaken wil doen?

Een zwarte lijst voor webwinkels ligt erg gevoelig, onder de privacywetgeving. Het belang voor winkeliers is duidelijk, maar het kan voor betrokken personen bijzonder vervelende gevolgen hebben. Zeker omdat mensen er onterecht op kunnen belanden. Wat nu als ik verhuis naar een plek waar een wanbetaler woonde, bijvoorbeeld. Of omdat ik erop kom omdat de winkelier me een vervelend figuur vindt dat maar blijft zeuren over garantie.

Kort gezegd komen de eisen vanuit privacywetgeving over zwarte lijsten neer op zorgvuldigheidseisen. Zo moet vooraf aangekondigd zijn dat deze gegevens verwerkt worden. Een winkel moet dus op een of andere manier kenbaar maken dat men een zwarte lijst beheert. Ook moeten mensen in staat zijn om na te gaan dat zij op deze lijst staan, en hebben zij het recht om eraf gehaald te worden als blijkt dat hun vermelding onterecht was. De toezichthouder heeft een checklist zwarte lijsten gepubliceerd. Ook moeten dergelijke lijsten worden gemeld.

Privacy geldt alleen voor mensen, en dus in principe niet voor ondernemingen of verenigingen/stichtingen. Hooguit als het ook gaat om privégegevens, zoals de 06 van de directeur van een bv of het persoonlijk mailadres van de voorzitter. Dus in principe is er weinig tegen zo’n zwarte lijst te doen.

In de praktijk zul je wel aan hoge eisen van zorgvuldigheid moeten voldoen om te voorkomen dat je smaadclaims tegen je krijgt, want een bedrijf kun je wel besmaden door ze ten onrechte en lichtvaardig op een zwarte lijst te zetten. Ik denk dat je in de praktijk dan diezelfde checklist zult moeten volgen, afgezien van de melding bij de toezichthouder zelf.

Arnoud

Amerikaans WhatsApp valt onder Nederlandse privacywet

| AE 9088 | Ondernemingsvrijheid, Privacy | 18 reacties

whatsapp De chatapp WhatsApp heeft een rechtszaak verloren van de Autoriteit Persoonsgegevens, de Nederlandse privacywaakhond. Dat meldde Nu.nl gisteren. Op straffe van een dwangsom van 10.000 euro per dag moet het bedrijf een vertegenwoordiger aanstellen in Nederland. Want hoewel het bedrijf in de VS zit en geen servers en dergelijke in Nederland heeft staan, valt men toch onder de Nederlandse Wbp.

WhatsApp en de toezichthouder liggen al een tijdje in de clinch over naleving van de Wbp. In november 2015 werd een besluit opgelegd waarin WhatsApp onder meer toezegde hashing te gaan gebruiken zodat ze alleen nog gegevens kon matchen van gebruikers onderling, en niet meer tevens van niet-gebruikers. “WhatsApp betwist de bevoegdheid van het CBP, maar heeft wel meegewerkt aan het onderzoek” stond er dan omineus in het persbericht, en nu zien we dat men die betwisting heeft doorgepakt, maar zonder succes.

Het lijkt een formeel puntje. Een bedrijf dat buiten Europa gevestigd is en persoonsgegevens van Nederlanders verwerkt, moet een vertegenwoordiger aanstellen (art. 4 lid 3 Wbp). Het idee daarachter is dat je als Nederlands burger dan makkelijker klachten en claims kunt indienen bij dat bedrijf.

WhatsApp had nooit zo’n vertegenwoordiger gesteld, ik vermoed omdat ze vonden dat ze überhaupt niet onder Nederlands recht vallen (als ze daar al ooit van gehoord hadden, Nederland is de hoofdstad van Denemarken, toch?). Maar de rechtbank bevestigt nu dat dat toch echt moet. Het juridische argument dat onze wet in strijd is met de Privacyichtlijn uit 1995 (omdat het tekstueel niet 100% matcht) gaat van tafel, de Nederlandse regels zijn een prima invulling van de Richtlijn.

Belangrijker vind ik echter het onderliggende punt: WhatsApp valt onder de Wbp, hoewel ze hier geen vestiging of server hebben. Dit vanwege artikel 4 lid 2 Wbp:

Deze wet is van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de Europese Unie, waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.

Je zou denken dat dat gaat over servers en zo, maar de AP zegt nu – met instemming van de rechtbank – dat dit óók gaat over smartphones. Niet heel verrassend, de Artikel 29-Werkgroep had dat al in 2013 gesteld, maar het is nu door de rechter bevestigd.

Misschien een tikje gek, want die smartphones zijn toch uitsluitend voor persoonlijk gebruik door de consument-eigenaren? Klopt, maar de WhatsAppapp doet meer, die stuurt immers data door naar WhatsApp het bedrijf in de VS die er meer mee doet. Zoals dus dat matchen. En daarom kan WhatsApp niet zeggen dat ze slechts een faciliterend bedrijf (‘bewerker’ in het jargon) is voor de consument.

Ik moest glimlachen bij het verweer “Het is eiseres niet gelukt om een commerciële partij te vinden die een dergelijk risico wil aanvaarden.” Want die vertegenwoordiger is dus aansprakelijk voor alle claims en boetes die WhatsApp veroorzaakt, en je zou dus wel gek zijn. Maar, zo merkt de rechtbank ook op, je kunt als vertegenwoordiger prima afspreken dat WhatsApp je schadeloos stelt bij deze claims. Dus nee, ook dat is geen argument.

Alles bij elkaar een best belangwekkende uitspraak, want dit geldt niet alleen voor WhatsApp. Iedere app-exploitant die gebruikerspecifieke data naar de VS laat sturen, is nu verplicht zichzelf in Europa daar verantwoordelijk (en aansprakelijk) voor te stellen.

Arnoud

Privacywaakhond waarschuwt stichting die ‘verloren’ kleinkinderen zoekt

| AE 9003 | Privacy | 9 reacties

kinderen-oppassen-bord-verkeersbord-waarschuwing.pngDe Autoriteit Persoonsgegevens (AP) heeft Stichting Voor Mijn Kleinkind op de vingers getikt vanwege de manier waarop zij kleinkinderen in contact probeert te brengen met hun grootouders. Dat meldde Nu.nl vorige week. Grootouders die geen contact hebben met hun kleinkinderen kunnen daar een oproep plaatsen, die deze kleinkinderen dan kunnen vinden (via bijvoorbeeld een zelfgoogel) en zo alsnog contact leggen als zij dat willen.

De privacytoezichthouder ziet een dergelijke site als een overtreding van de Wet bescherming persoonsgegevens. “Uit zo’n oproep tot contact kun je afleiden dat er problematische familieomstandigheden zijn”, zegt vicevoorzitter Wilbert Tomeen. En dat levert een verwerking van persoonsgegevens op die zonder toestemming van álle betrokkenen (dus ook de ouders van die kleinkinderen) eigenlijk niet te rechtvaardigen is onder de Wbp. Ook niet met een wachtwoord.

In 2009 werd de website Kleinkind onbereikbaar door de rechter verboden. Er werd “op grove wijze inbreuk op de privésfeer van de kleinkinderen en de ouders [] gemaakt” door zomaar gegevens van kleinkinderen vindbaar te maken.

Pfoe. Ik blijf dit zó lastig vinden, het is heel gevoelige materie waar het recht eigenlijk niet voor bedoeld is. Maar bovenal: ik snáp het niet. Als je ruzie hebt over het mogen zien van je kleinkinderen, dan is het toch sowieso géén goede manier om buiten de ouders om publiek te gaan maken dat je die niet mag zien? Ik snap de frustratie, maar dat levert toch gewoon nóóit op wat je wilt, namelijk ouders die van gedachten veranderen?

Arnoud

Hoe snel moet je van de wet een nieuwe securitystandaard implementeren?

| AE 8962 | Security | 13 reacties

Een lezer vroeg me: In de ICT zijn de beveiligingseisen volop in beweging. Het is dus welhaast onmogelijk om deze allemaal stipt na te volgen, zeker bij grote pakketten waar het doorvoeren van wijzigingen vele maanden (zo niet jaren) kan kosten vanwege complexiteit en testen en evaluatie. Is er juridisch gezien een termijn waarbinnen nieuwe… Lees verder

Safe Harbor getorpedeerd; het einde van de Amerikaanse cloud?

| AE 8078 | Privacy | 38 reacties

Het Europese Hof van Justitie heeft vandaag het Safe Harbor-verdrag met de Verenigde Staten, waarin staat hoe Amerikaanse bedrijven gegevens moeten opslaan zodat ze aan de Europese privacywetgeving voldoen, ongeldig verklaard. Dat meldde Security.nl en nog een hele sloot media. Een lichte ramp natuurlijk: zonder Safe Harbor staan heel veel persoonsgegevens illegaal in de Amerikaanse… Lees verder

Kun je een zwartelijstbeheerder tegenhouden met een beroep op de Wbp?

| AE 7541 | Privacy, Uitingsvrijheid | 3 reacties

De Block Bot is in de juridische problemen gekomen, las ik onlangs. Blogger Matthew Hopkins, zelfbenoemd “Witchfinder General” had een claim ingediend bij de beheerder van deze Twitter zwarte lijst, waar je op komt als de beheerder je een troll vindt, of een vrouwonvriendelijke man of nog wat niet bepaald vleiende kwalificaties. Het op smaad… Lees verder

Mag een Goede Samaritaan monitoren of je Twitterfeed suicidaal zou kunnen zijn?

| AE 7120 | Ondernemingsvrijheid, Uitingsvrijheid | 11 reacties

De Good Samaritans, een crisishulpverlener, lanceerden onlangs de Radar-dienst. Deze leest mee in je Twitterfeed en geeft een signaal als iemand in je feed suicidaal lijkt te zijn. Dat gaf behoorlijk wat ophef, want de dienst kan misbruikt worden door trollen die een kwetsbaar iemand eens goed te grazen willen nemen. Plus, het is een… Lees verder

Kun je privéberichten opeisen bij een forum via de Wet bescherming persoonsgegevens?

| AE 6580 | Privacy | 18 reacties

Een lezer vroeg me: Recent ben ik verbannen van een forum. Hierdoor ben ik de toegang verloren tot al mijn privécommunicatie op dat forum. Deze wil ik nu opeisen via de Wet bescherming persoonsgegevens, de berichten betreffen immers mijzelf. Maar het forum wil me die niet geven, ze zeggen dat de Wbp niet geldt. Hoe… Lees verder

Wanneer mag een auditor onze camerabeelden inzien?

| AE 6365 | Privacy, Security | 4 reacties

Een lezer vroeg me: Van tijd tot tijd komt er bij ons een auditor over de vloer voor de certificering van een van onze klanten (PCI-DSS audit bijvoorbeeld). Soms wil zo’n auditor dan ook de camerabeelden bekijken, om bevestiging te krijgen dat de camerabeveiliging werkt. Mogen wij daarana meewerken? Camerabeelden mogen toch alleen met gerechtelijk… Lees verder