Bewaren van persoonsgegevens: het mag niet maar het moet wel!

ddr-backup-cartridge.jpgEen lezer vroeg me:

Volgens de Wet bescherming persoonsgegevens moet ik persoonlijke gegevens wissen zodra ik ze niet meer nodig heb. Echter, van andere wetten moet ik die gegevens dan nog bewaren (bv. financiële gegevens voor de Belastingdienst). Tevens heb ik natuurlijk backups, en die opschonen op zulke individuele bestanden is een ramp. Hoe moet ik daarmee omgaan?

De Wet bescherming persoonsgegevens bepaalt (art. 10 Wbp) dat persoonsgegevens moeten gewist of geanonimiseerd als het hebben van deze gegevens niet langer

noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.

Als je bijvoorbeeld klantgegevens verzamelt om als webwinkel een aankoop aan te nemen, dan zijn deze gegevens niet meer noodzakelijk voor het doel “leveren bestelling” zodra het product bij de klant over de drempel is. Eigenlijk moeten ze dus meteen daarna worden gewist.

Maar persoonsgegevens hangen vaak samen met meerdere doelen. Na levering van een product geldt bijvoorbeeld nog een retourperiode van zeven werkdagen, en de klant kan nog geruime tijd later terugkomen met een conformiteitsclaim. Om die af te handelen, zijn ook zijn gegevens nodig. En omdat er dan nog een doel is voor de persoonsgegevens, mag je ze alsnog bewaren.

De Belastingdienst eist dat je je financiële administratie zeven jaar bewaart (art. 52 Algemene wet inzake rijksbelastingen). Dat is een doel dat ook samenhangt met de afhandeling van de aankoop, want de factuur is deel van je administratie. Die moet je dus bewaren en die mág je dan ook bewaren.

In de praktijk moet je dus eigenlijk per document bepalen “waarom staan hier nog persoonsgegevens in” en dan eventueel besluiten te anonimiseren of weg te gooien. Je kunt bv. de factuur bewaren maar het klantrecord uit je bestellingen-database wissen.

Bij een backup is dit een lastige. Het is inderdaad een hele berg werk om in een backup van een jaar terug dat ene bestandje met bestelling van klant 481 te wissen. De Wbp zegt echter nergens “wissen hoeft niet als dat veel werk is”. En vanuit privacyoogpunt is “dan moet je je backupstrategie maar anders inrichten” een goed verdedigbaar standpunt.

Maar een lastige blijft het. Weten jullie een backupstrategie die zo privacyvriendelijk mogelijk is? Ik kom niet verder dan “maak geen incrementele backups want dan zit je met een hele oude full backup met data die krachtens Wbp weg moet”.

Arnoud

“Dit telefoongesprek wordt opgenomen voor servicedoeleinden”

telefoon.jpgEen lezer vroeg me:

Wij doen veel telefonische acquisitie en verkoop. Om geen discussie achteraf te krijgen, nemen wij al deze gesprekken op. Nu schreef jij ooit dat dat mag als je gesprekspartner bent, maar ik hoor ook van mensen dat ik dit écht moet vragen. Hoe zit dat nu?

Het kan erg verstandig zijn om zakelijke telefoongesprekken op te nemen, dat biedt je handig bewijs als er achteraf discussie ontstaat over wat er gezegd is of hoe dat bedoeld is. En ja, dat mag.

Het is niet verboden om je eigen gesprekken op te nemen – alleen andermans gesprekken opnemen is strafbaar (art. 139b Strafrecht). En in het geval van een opnemende werkgever geldt dat ook bij zakelijke(!) gesprekken van de werknemer.

Echter, wie structureel gesprekken opneemt en deze archiveert in het kader van zijn bedrijfsvoering, valt daarmee onder de Wet bescherming persoonsgegevens. Een gespreksopname is een persoonsgegeven, zeker als je het koppelt aan telefoonnummer, klantnaam of iets dergelijks dat helpt bij identificatie van de klant. En dan is het inderdaad verplicht de betrokken wederpartij te melden dat je dit doet, want de Wbp eist dat je de betrokkenen informeert over wat je met hun persoonsgegevens doet.

Daarnaast hebben die mensen inzagerecht in wat er over hen opgeslagen wordt (art. 35 Wbp). Dit betekent dus dat je een kopie van het gesprek, alsook eventuele transcripties moet afgeven als de wederpartij daarom vraagt.

Toestemming lijkt me formeel niet nodig. Je kunt de opnames rechtvaardigen onder het uitvoeren van de overeenkomst, waar ook de aanloop tot contractsluiting onder valt. Natuurlijk staat het de wederpartij vrij om af te haken zodra hij hoort “Dit gesprek wordt opgenomen voor trainingsdoeleinden”.

Overigens is precies die zin net wat onhandig. Hij klinkt leuk neutraal en positief, maar binnen de Wbp betekent die zin dat je de opname niet zomaar in kunt zetten voor van alles en nog wat. Je mag gegevens alleen gebruiken voor het doel waarvoor je ze verzamelt (en doelen die daar direct mee samenhangen). Trainen van je personeel hangt niet direct samen met bewijzen van een acquisitiegesprek. Je moet dus echt zeggen wat je gaat doen. Maar dan gaat Marketing weer piepen dat het klanten afschrikt.

Arnoud

Help, de helpdesk moet gaan skypen

skype-chatEen lezer vroeg me:

Bij ons bedrijf werkt de adviesdesk nu per telefoon, chat en e-mail. De directie wil echter naar Skype: zo kunnen klanten de medewerker dus zien, en dat zou de klant prettig vinden. Echter, niet alle werknemers voelen zich daar prettig bij want soms moet je vervelende gesprekken voeren en als klanten je dan kunnen zien, dan kunnen ze je later herkennen. Mag een werknemer weigeren Skype met video te gebruiken?

Een werkgever mag eenzijdig aanwijzingen geven hoe het werk moet worden uitgevoerd. Wel moet hij als goed werkgever de privacy respecteren. Het komt dus neer op een afweging van belangen: hoe groot is de privacy en hoe groot is het bedrijfsbelang? Kan een goed werkgever zoiets verlangen van werknemers, past dit binnen een goede uitvoering van de functie?

Natuurlijk is er de Wet bescherming persoonsgegevens, die gaat ook over video-opnames van werknemers. Maar die wet (net zoals de wet over cameratoezicht) gaat vooral over het structureel volgen en registreren van werknemers, en dat is hier niet aan de orde. Ja, oké, als alle gesprekken opgenomen worden en in een archief gaan, maar dat speelde niet bij de vraagsteller.

Mij lijkt dat een werkgever dit wel kan eisen. Het raakt natuurlijk aan de privacy van de werknemer, maar omdat het gaat om klantcontact tijdens het uitvoeren van het werk lijkt me dat op zich niet een héél zwaar belang.

Natuurlijk, er kunnen situaties zijn waarin een boze klant nu de werknemer kan herkennen en/of beelden kan publiceren of misbruiken. Maar de theoretische mogelijkheid dát dat kan gebeuren, is niet genoeg. Pas als dat structureel een risico is, bv. bij medewerkers van een uitkeringsfraude-controleur, kan ik me voorstellen dat je niet zomaar iedereen zichtbaar wil hebben voor de klanten.

Zouden jullie bezwaar hebben tegen verplicht videobellen in plaats van gewoon bellen?

Arnoud

Tweeten of hyperlinken naar persoonsgegevens is verwerking

verkeerslicht.jpgIk mag het weer zeggen: OMGWTFWBP. Het publiceren van een tweet of het versturen van een e-mail met daarin een hyperlink naar een pagina waar de naam en kenteken van een auto-eigenaar worden vermeld, is verwerking van die persoonsgegevens, zo meldde Webwereld. In een beschikking over een inzageverzoek bepaalt de rechtbank in Den Bosch dat de site Veilingdeurwaarder inzageverzoeken onder de Wbp moet honoreren, óók voor de mails en tweets over advertenties met daarin persoonsgegevens.

Op Veilingdeurwaarder kunnen deurwaarders advertenties plaatsen ter aankondiging van de executoriale verkopen waarmee zij zijn belast. Per e-mail of op Twitter kun je zien wat er zoal bij komt. Bij verkopen van auto’s worden automatisch de RDW gegevens opgehaald. Plus, naam en nummerbord van de eigenaar worden erbij vermeld in de advertentie. Dat maakt de advertentie een persoonsgegeven inderdaad.

Op grond van de Wbp had de eigenaar van een daar te koop staande advertentie inzage gevraagd in wat Veilingdeurwaarder deed met zijn persoonsgegevens. Met name wilde hij weten wie allemaal die mail had ontvangen en wie de tweet zou hebben gelezen, want ook dat valt onder het wettelijk inzagerecht – dat je altijd hebt als iemand gegevens over je verwerkt (behalve bij journalistieke verwerkingen).

Veilingdeurwaarder verwees naar de deurwaarder die de advertentie had aangeleverd, maar de rechter wijst ze terecht: zíj publiceren dus zíj zijn de verantwoordelijke, in de zin van de Wbp. Dit mede omdat men zelf gegevens verrijkte met RDW-data. Niet als verweer werd gevoerd dat zij slechts een platform zijn, en dus ex 6:196c BW niet aansprakelijk zijn voor wat gebruikers (deurwaarders) plaatsen. Ik weet niet of dat opzettelijk was, maar eerder is bepaald dat die beperking van aansprakelijkheid niet geldt bij publicatie van persoonsgegevens.

En hier is dan de omgwtfwbp:

De rechtbank is tevens van oordeel dat het verzenden van een e-mail of tweet met daarin een directe link naar de advertentie waarin de persoonsgegevens zijn vermeld het verwerken van persoonsgegevens oplevert.

En dat omdat de Wbp ‘verwerken’ definieert als “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens”. Zeggen “ze staan dáár” valt er in een brede interpretatie inderdaad onder. En de Wbp ís zo breed bedoeld. Alles, echt alles, over persoonsgegevens moet eronder vallen. Dus het is niet zo gek dat die rechter tot deze interpretatie komt.

Het levert wel héél veel praktische problemen op. Want wat houdt dat eigenlijk in, inzage in een tweet? Het recht van correctie op een mailinglijst? Moet ik bijhouden wie die tweets leest, hoe dóe ik dat eigenlijk?

Er zit echter een veiligheidsklep in de Wbp: je hoeft geen gedetailleerde inzage te geven wanneer dat juist ándermans privacy zou schenden:

De rechtbank is met Veilingdeurwaarder van oordeel dat Veilingdeurwaarder niet gehouden is naam- en adresgegevens te verstrekken van alle ontvangers van de nieuwsbrief omdat daarmee immers een verregaande inbreuk op de privacy van die ontvangers zou worden gemaakt. Naar het oordeel van de rechtbank kan Veilingdeurwaarder volstaan met het verstrekken van categorieën van ontvangers, welke mogelijkheid uitdrukkelijk is toegestaan op grond van artikel 35.

Je mag dus volstaan met melden dát je het naar je volgers hebt getweet en dat je mailinglijst met 3000 ontvangers ook een link heeft gekregen. Maar dat antwoord moet je wel geven als er naar wordt gevraagd. Ik ben benieuwd hoe veel organisaties niet in staat zijn dat antwoord te produceren. Zou een profielensite weten op welke manier mijn profiel bekeken is en/of hoe de link daarnaar is gedeeld door derden?

Intrigerende vraag nog: moet je nu je tweets beveiligen tegen misbruik? Ook beveiliging moet immers onder de privacywet.

Arnoud

Eindelijk: Richtsnoeren voor beveiliging van persoonsgegevens van de toezichthouder

Het College bescherming persoonsgegevens (CBP) heeft een richtsnoer uitgebracht voor de beveiliging van persoonsgegevens, meldde Nu.nl. Het is al jaren een lastige discussie: wat moet je doen qua beveiliging van persoonsgegevens. De wet houdt het bij “adequate” maatregelen, maar dat is inderdaad nogal vaag en multi-interpretabel. En zeker als het gaat om techniek willen mensen gewoon harde regels: dit moet, dat is verboden en als je zus doet dan moet je ook zo.

De richtsnoeren zijn geen harde set met eisen, maar vooral een pleidooi voor bedrijven en instellingen om er eens goed voor te gaan zitten en je principes op orde te krijgen. Want eisen dat je SSL gebruikt is leuk, maar helpt je geen zier tegen een aanvaller die met een handige SQL truc je database leegtrekt. En neit alleen een keertje zitten, maar continu verbeteren oftewel het bekende plan-do-check-act:

  1. Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen en bepaal op basis daarvan het gewenste beveiligingsniveau.
  2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden.
  3. Controleer met zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd.
  4. Pas waar nodig de beveiligings­maatregelen aan.

Je zou zeggen dat dit triviale kost is maar aangezien het huidige beveiligingsproces bij veel clubs neerkomt op

  1. We doen maar wat
  2. Als iemand piept klagen we hem aan
is het kennelijk nodig.

Een punt dat bij beveiliging trouwens vaak wordt vergeten is dat je ook moet streven naar zo min mogelijk gebruik van persoonsgegevens. Het is formeel een overtreding van de Wbp als je kilo’s persoonsgegevens hebt in een perfect veilige omgeving, terwijl je ook met een half ons had toegekund.

Steeds vaker wordt het verwerken van persoonsgegevens uitbesteed. Je administratie gaat via een SaaS-dienst, je CRM systeem gaat de cloud in, voor de mail gebruik je Outlook.com en de nieuwsbrieven gaan via zo’n handige dienst die ook het afmelden voor z’n rekening neemt. Heel mooi allemaal maar dan heb je wel een bewerkersovereenkomst nodig (ADV: maak er eentje met onze nieuwe bewerkersovereenkomstgenerator) want wettelijk gezien zijn al deze dienstverleners ‘bewerkers’ en dan is zo’n contract verplicht. Ja, ook als ze alleen een database met interface bieden en jij nog steeds zelf aan de knopjes moet draaien.

De verantwoordelijke is verantwoordelijk voor het bewerken door de bewerker. Ook waar het de beveiliging betreft. Lekt zo’n nieuwsbriefsysteem dus e-mailadressen, dan mogen de adreseigenaren jou daar aansprakelijk voor stellen. In die bewerkersovereenkomst kun je hier onderlinge afspraken over maken, gebaseerd op hetzelfde plan-do-check-act principe. Een recht van audit is dus vrij cruciaal.

Individuele afspraken zijn hierbij soms lastig, en bovendien zit niet iedere bewerker te wachten op een audit door elke individuele klant. Het middel van de Third Party Memorandum (wat het CBP in goed stonecoaldutch Third Party Mededeling noemt) biedt dan wellicht soelaas. De TPM biedt dan inzage in hoe de bewerker werkt, en als dat niveau van werken goed genoeg is dan kun je met die bewerker in zee.

Een ander punt dat je écht moet gaan regelen is hoe je omgaat met datalekken. Want het is niet de vraag óf dat gaat gebeuren maar wanneer. Zeker als je met zo’n handige clouddienst werkt. Wie gaat dan melden aan de betrokkenen dat dit is gebeurd, en wie draait op voor de reputatie- en andere schade?

Het blijft jammer dat het Cbp weinig meer kan doen dan richtsnoeren uitgeven en waarschuwen. Daadwerkelijk handhaven is moeilijk: ze hebben bar weinig menskracht én ze mogen niet beboeten. Ze kunnen alleen waarschuwen en dan een dwangsom opleggen voor de toekomst. Dat is frustrerend want veel bedrijven redeneren dan, ik wacht wel tot ik gewaarschuwd ben en tot die tijd loop ik lekker snel en goedkoop binnen met mijn bestandjes en lijsten. Het wordt tijd dat ze, net zoals de OPTA bij de telecommunicatieregels gewoon meteen mag beboeten. Tenminste, als je een effectieve privacywet en een goede beveiliging van persoonsgegevens wilt afdwingen.

Arnoud

Wanneer val ik onder de privacywet?

privacyEr blijken nogal wat mythes te zijn over de Wet bescherming persoonsgegevens, zeg maar de privacywet. Mensen denken dat het alleen gaat om grote bestanden met klantgegevens, of dat je een bedrijf moet zijn om onder de wet te vallen. Dat is niet zo. Iedere verwerking, ieder gebruik van persoonsgegevens valt onder de wet, en er zijn maar een heel beperkt aantal uitzonderingen.

Een belangrijke uitzondering is die voor “activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden”. Daarmee bedoelt de wet om particulieren uit te zonderen die voor zichzelf gegevens van anderen bijhouden. Voor het adresboek uit je privételefoon hoef je geen toestemming te hebben. En mensen hebben geen correctierecht op hun vermelding op jouw verjaardagskalender. Maar dat is het wel zo’n beetje. Dat adresboek delen met je familie of huisgenoten mag nog net, maar delen met collega’s is al niet meer “persoonlijk of huishoudelijk”.

Publicatie van gegevens op het open internet valt echter nooit en te nimmer onder deze uitzondering, zo weten we uit het Lindqvist-arrest. Daar ging het om een melding op de site van een kerk dat een vrijwilligster een knieblessure had – en dat was een verwerking van persoonsgegevens. Ook een stamboom of openbare blog, Twitteraccount of andere publieke dienst vallen onder deze wet.

Wat nog net mag, is een strikt afgesloten webdienst met persoonsgegevens die wederom alleen toegankelijk is voor familie en huisgenoten. De Richtsnoeren van het Cbp noemen een besloten familieweblog (met wachtwoord) als voorbeeld. Misschien dat ook een stevig dichtgetimmerd Facebookprofiel eronder valt (de complicatie dat dit een export naar de VS is, daargelaten), maar zodra niet-familie de blog kan lezen heb je een probleem.

Er is géén aparte uitzondering voor wetenschappelijk onderzoek of statistiek. Alleen als je op een andere grond gegevens al mag verwerken, mag je deze óók inzetten voor “historische, statistische of wetenschappelijke doeleinden”. En het recht van inzage en correctie is dan een stuk beperkter. Maar wie onderzoek wil doen over personen, moet dus gewoon toestemming of een andere grond hebben.

Journalisten die iets verder lezen en dan een uitzondering “voor uitsluitend journalistieke, artistieke of literaire doeleinden” zien, denken dat ook zij er buiten vallen. Dat is echter niet zo. Het als journalist verwerken van iemands naam of andere gegevens over hem – lees: een artikel publiceren over iemand – valt wel degelijk onder de Wbp. Vrijwel alle relevante artikelen uit de Wbp zijn namelijk uitgezonderd van de uitzondering. Zo ongeveer het enige relevante recht dat je niet hebt naar een journalist of artistiek/literair iemand is het recht van inzage en correctie (artikel 35 Wbp). Wél speelt de uitingsvrijheid een belangrijke rol bij het bepalen of sprake is van een “dringende noodzaak” onder de privacywet.

Dan zijn er ook nog de zogeheten vrijstellingen. Wie zijn verwerking onder een vrijstelling kan scharen, hoeft deze niet aan te melden bij de toezichthouder. Maar het betekent niet dat de verwerking dan automatisch legaal is. Zo is er een vrijstelling voor netwerkbeheer, die bepaalt dat loggen ten behoeve van security van het bedrijfsnetwerk niet hoeft te worden gemeld als je de logs maximaal zes maanden bewaart, ze alléén inzet voor security en anderen dan de security officers er geen toegang toe krijgen. Maar daarmee is dergelijk loggen nog niet automatisch toegestaan. Je moet nog steeds toestemming, een overeenkomst of een eigen dringende noodzaak hebben.

Arnoud

Wat is er nou mis met die Spaanse privacywet?

kraan-tap-bron.pngEen lezer vroeg me

Ik las dit artikel bij The Register. Zo te lezen is het iets belangrijks over de privacywet, maar ik snap werkelijk niet waar het over gaat. Kun jij je licht laten schijnen hierover?

In de Europese privacyrichtlijn staat dat je voor gebruik van persoonsgegevens toestemming nodig hebt, tenzij een wettelijke uitzondering geldt. Eén zo’n uitzondering is de “strikte noodzaak”. Deze komt neer op “het mag als het écht moet én de privacy minder zwaar weegt dan jouw noodzaak.” Het bekendste voorbeeld van zo’n noodzaak is de vrije meningsuiting: als iemands naam journalistiek relevant is, en onthulling zijn privacy niet meer schaadt dan nodig, dan mag je zijn naam publiceren in een journalistiek stuk. Google kwam via dit artikel weg met Streetview.

De privacyrichtlijn is op zichzelf geen wet, dus elke EU-lidstaat moest zijn eigen vacywet invoeren met daarin een tekst die gebaseerd is op de richtlijn. Bij ons is dit stuk uit de richtlijn één op één overgenomen in artikel 8 sub f Wet bescherming persoonsgegevens.

In Spanje hadden ze die “strikte noodzaak” ook in de wet gezet, maar met de extra eis dat de persoonsgegevens uit een publieke bron moesten komen. Je mocht dus geen private bestanden gebruiken met een beroep op de “strikte noodzaak”.

Dat mag niet, zegt het Hof (zaak C-486/10): de privacywet moet overal gelijk zijn, en dus niet strenger in Spanje. In Europees-juridische termen heet dit “volledige harmonisatie”. Een land mag dus geen extra eisen stellen, net zo min als ze lossere regels mag invoeren over het omgaan met persoonsgegevens.

De voorgenomen nieuwe privacywet waar ik recent over schreef zal waarschijnlijk een Verordening worden. Dan kan er in het geheel geen discussie meer zijn over hoe een land dit in de wet moet zetten: elke nationale privacywet komt dan te vervallen en alléén de Europese Privacywet geldt dan nog.

Arnoud

Google biedt opt out voor wifi-sniffing, voldoet aan privacywet?

streetview-spin.jpgOnder druk van privacywaakhond CBP biedt Google nu wereldwijd de optie om wifi-routers uit zijn database met locatiedata te verwijderen door ‘_nomap’ aan de netwerknaam (SSID) toe te voegen. Daarmee voldoet het bedrijf aan de Wet bescherming persoonsgegevens, aldus datzelfde CBP. Maar, eh, hoezo, vroegen veel mensen mij: dit is opt-out en de privacywet eist toch een opt-in?

Het College had Google een dwangsom opgelegd nadat bleek dat het bedrijf van 4 maart 2008 tot 6 mei 2010 met de rondrijdende Street View-auto’s gegevens had verzameld over ruim 3,6 miljoen verschillende wifi-routers in Nederland. Meer precies ging het om de locatie, de signaalsterkte en het SSID (netwerknaam) van die netwerken. Met die gegevens bood Google een geolocatiedienst aan. Door te kijken welke netwerken er in de buurt zijn, en in een database op te zoeken waar die zich bevinden, kun je redelijk nauwkeurig vaststellen waar jij bent. In ieder geval nauwkeurig genoeg om geografisch passende advertenties te sturen.

Deze gegevens zijn persoonsgegevens: ze zijn indirect ofwel met enige moeite te herleiden tot de eigenaar van dat netwerk, al is het maar door zijn huis te lokaliseren en aan te bellen. En daarmee is het opbouwen van zo’n database onderworpen aan de Wet bescherming persoonsgegevens, de privacywet. Hoofdregel daaruit is dat voor het gebruik van iemands persoonsgegevens toestemming nodig is. En die krijgt Google niet door rond te rijden – het feit dat iemand zijn SSID uitzendt is géén toestemming voor het opnemen daarvan in een database.

Toch vindt het Cbp dat Google de privacywet niet schendt, zeker niet nu men de “_nomap” extensie voor het SSID belooft te gebruiken om routers te negeren. Het Cbp doet dit door Google’s activiteit goed te keuren onder artikel 8 sub f. Dit artikel bepaalt dat je zonder toestemming iemands persoonsgegevens mag verwerken als dat “noodzakelijk is voor de behartiging van het gerechtvaardigde belang” van degene die die gegevens verwerkt én als dat belang van die persoon zwaarder weegt dan de privacy.

Googles belang is om een volle database te hebben van routers en locaties, zodat ze een goed werkende geolocatiedienst kunnen aanbieden. Dat vindt het Cbp op zich allemaal leuk en aardig, maar het is niet noodzakelijk voor een geolocatiedienst om zo’n database te hebben. Je kunt ook (zoals Microsoft, Skyhook en Apple doen) met andere middelen en uit andere geo-informatie vergaren. Er is dus niet voldaan aan de eerste eis, er is geen noodzaak deze gegevens te verzamelen.

Vervolgens gaat men verder over de tweede eis, die van de belangenafweging. Daarbij citeert men de memorie van toelichting bij de wet:

Bij de in onderdeel f voorgeschreven afweging speelt een rol de mate van gevoeligheid van de gegevens die de verantwoordelijke wil verwerken en de maatregelen die de verantwoordelijke heeft genomen ten einde rekening te houden met de belangen van de betrokkene. De belangen van de betrokkene zullen in mindere mate gewicht in de schaal leggen naarmate in zijn belang meer waarborgen voor een zorgvuldig gebruik van de gegevens zijn genomen

Bij deze belangenafweging is belangrijk dat Google moet zorgen voor een afmeldmogelijkheid, om de belangen van de betrokkenen (de eigenaren van die routers) tegemoet te kunnen komen. De _nomap is dus formeel geen opt-out maar een “waarborg voor zorgvuldig gebruik”. Ook moet Google de eigenaren van routers informeren, wat men deed met advertenties in landelijke kranten en een FAQ op de site.

Op onnavolgbare wijze komt het Cbp na dit stukje ineens tot de conclusie dat het wél legaal is wat Google doet als ze dus maar aan deze eisen voldaan. Ik snap daar werkelijk niets van. Eerst zeggen dat de ene eis (noodzakelijk voor je belang) niet gehaald wordt, daarna uitleggen hoe de andere eis (belangenafweging) wél gehaald wordt en dan is het legaal? Ik zal wel iets missen hoor.

In Tweede Kamer zijn ze al gaan roepen dat er een expliciete opt-in moet komen, maar hoe ze dat willen regelen, mis ik eveneens: dit zijn Europese privacyregels waar we niet zomaar een extra Nederlands wetje bij kunnen maken. Plus, het idee van opt-in als oplossing is onzinnig: 99% van de mensen weet niet waar ze voor opt-int en/of klikt ongezien op Akkoord bij alles dat je ze voorlegt.

Arnoud