Juridische vraag: teamleider verstuurt Excel met privédata
woensdag 23 januari 2013, 10:45 door Arnoud Engelfriet, 19 reacties
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Onze nieuwe teamleider vond het een goed idee dat iedereen zijn privégegevens zou actualiseren. De manier waarop: het hele bedrijf (40+ mensen) een Excelsheet sturen met het verzoek of iedereen daarin zijn of haar regel wil controleren. Dus woonadres, geboortedatum, telefoonnummers, privémailadres van iedereen gemaild naar iedereen. Dat kan toch niet legaal zijn?
Antwoord: Nee, dat is het ook niet. Ik kan er niet bij dat iemand dit in zijn hoofd haalt.
Een bedrijf kan een goed recht hebben om zulke privégegevens te vragen, al is het maar om de loonstrook naar het juiste adres te kunnen sturen of je te kunnen contacteren bij ziekte of afwezigheid. Dat ze dan ook vragen die gegevens te actualiseren is prima. Maar uiteraard mag dat niet op zo'n manier. Je collega's hebben niets te maken met waar jij woont of wat je privémailadres is.
Het lastige is alleen, hoe dit aan te pakken. Privé kun je weinig: wat is je schade? Je moet grof gezegd met bonnetjes kunnen onderbouwen hoe veel euro je erop achteruit gegaan bent, anders heb je geen juridische claim. En dat zal hier niet meevallen.
Natuurlijk kun je van de directie eisen dat deze meneer hierop aangesproken wordt,
zodat het niet nog een keer gebeurt. En hopelijk zien die dan ook in dat dit niet
slim was. Maar veel meer zou ik zo niet weten, juridisch of praktisch.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (19)
Zo'n teamleider is kennelijk niet met mijn persoonlijke gegevens te vertrouwen. Wat kan'ie wel?
Lijkt me meer dan voldoende reden om eens met de eerstvolgende chef te gaan kleppen, zeker als deze figuur geen sjoege geeft op een vraag om uitleg (en excuus).
Lijkt me meer dan voldoende reden om eens met de eerstvolgende chef te gaan kleppen, zeker als deze figuur geen sjoege geeft op een vraag om uitleg (en excuus).
23-01-2013, 11:10 door
S.lenders
Dit gebeurt op scholen ook veel. Op het begin van het jaar een tabel met gegevens rond laten gaan waar je op moet aangeven of er iets is veranderd.
Geld dit ook voor scholen?
Geld dit ook voor scholen?
23-01-2013, 11:14 door
Arnoud Engelfriet
Ja, de privacywet geldt net zo hard bij scholen. Ook die mogen niet zomaar zo'n tabel laten rondgaan naar iedereen. Willen alle leerlingen wel dat iedereen hun mailadres/Facebook/06 heeft?
Hm, nu bednek ik me dat wij vroeger zo'n telefoonpiramide had waar niemand een probleem mee had. Maar volgens mij werd er formeel toen wel gevraagd of je mee wilde doen.
Hm, nu bednek ik me dat wij vroeger zo'n telefoonpiramide had waar niemand een probleem mee had. Maar volgens mij werd er formeel toen wel gevraagd of je mee wilde doen.
23-01-2013, 11:52 door
N4ppy
Wij hebben van school ook een lijst met adressen. Kan me niet herrineren of ik daar ergens akkoord op gegeven heb maar is wel handig met vriendjes spelen verjaardagen etc :)
Door Arnoud Engelfriet: Ja, de privacywet geldt net zo hard bij scholen. Ook die mogen niet zomaar zo'n tabel laten rondgaan naar iedereen. Willen alle leerlingen wel dat iedereen hun mailadres/Facebook/06 heeft?
Hm, nu bednek ik me dat wij vroeger zo'n telefoonpiramide had waar niemand een probleem mee had. Maar volgens mij werd er formeel toen wel gevraagd of je mee wilde doen.
Maar vroeger had je ook alleen maar telefoon en geen e-mail/facebook/06. Daarnaast was de telefoonmaffia-marketing vroeger ook niet zo agressief als vandaag de dag.Hm, nu bednek ik me dat wij vroeger zo'n telefoonpiramide had waar niemand een probleem mee had. Maar volgens mij werd er formeel toen wel gevraagd of je mee wilde doen.
23-01-2013, 12:14 door
musiman
De scholen van mijn kinderen vragen ieder jaar expliciet of de ouders toestemming geven de privé data op een klassenlijst te mogen zetten.
Kijk, het kan dus ook anders. ;)
Kijk, het kan dus ook anders. ;)
23-01-2013, 14:30 door
Santurechia
Waarom word de esthetische waarde niet vergoed dan?
Of het feit dat van deze 40 mensen het recht dat in EVRM art. 8 beschermd word volledig genegeerd word?
Hoe kan ik mijn rechten beschermen als er geen sancties staan op het overtreden van die rechten?
Of het feit dat van deze 40 mensen het recht dat in EVRM art. 8 beschermd word volledig genegeerd word?
Hoe kan ik mijn rechten beschermen als er geen sancties staan op het overtreden van die rechten?
23-01-2013, 14:33 door
S.lenders
Door Arnoud Engelfriet: Ja, de privacywet geldt net zo hard bij scholen. Ook die mogen niet zomaar zo'n tabel laten rondgaan naar iedereen. Willen alle leerlingen wel dat iedereen hun mailadres/Facebook/06 heeft?
Hm, nu bednek ik me dat wij vroeger zo'n telefoonpiramide had waar niemand een probleem mee had. Maar volgens mij werd er formeel toen wel gevraagd of je mee wilde doen.
Hm, nu bednek ik me dat wij vroeger zo'n telefoonpiramide had waar niemand een probleem mee had. Maar volgens mij werd er formeel toen wel gevraagd of je mee wilde doen.
Daar is mijn nooit naar gevraagd. Je deed gewoon mee. Maar ja zoals je zegt wat is de schade hierin?
Volgens mij heb je er meer profijt van dan schade. Het gaat alleen op het principe als je er moeilijk over doet.
Ik ben lid van diverse verenigingen en hiervan kreeg ik altijd ledenlijsten rondgestuurd met huis- en email adres. Nu doen ze het met een website waar leden dit kunnen inzien, maar dat komt op hetzelfde neer. In kan me niet herinneren dat hier ook maar één lid bezwaar tegen had. Volgens mij wordt het zelfs lastiger te organiseren als je de adressen van medeleden wegens privacy redenen niet door mag geven.
Binnen en bedrijf geld toch het zelfde, of moet je je dan elke keer via de personeel administratie laten doorverbinden als je een collega privé wilt spreken.
Binnen en bedrijf geld toch het zelfde, of moet je je dan elke keer via de personeel administratie laten doorverbinden als je een collega privé wilt spreken.
Door Arnoud Engelfriet: Ja, de privacywet geldt net zo hard bij scholen. Ook die mogen niet zomaar zo'n tabel laten rondgaan naar iedereen. Willen alle leerlingen wel dat iedereen hun mailadres/Facebook/06 heeft?
Hm, nu bednek ik me dat wij vroeger zo'n telefoonpiramide had waar niemand een probleem mee had. Maar volgens mij werd er formeel toen wel gevraagd of je mee wilde doen.
Hm, nu bednek ik me dat wij vroeger zo'n telefoonpiramide had waar niemand een probleem mee had. Maar volgens mij werd er formeel toen wel gevraagd of je mee wilde doen.
Net zoals je in veel gevallen formeel niet hoeft in te stemmen met opname in het smoelenboek of de verjaardagscalender en je collega's niet hoeft te accepteren als 'friend' op social media en nog vele van dat
Maar in de praktijk geef je daar mee aan niet collegiaal te zijn en kan je je carriere wel gedag zeggen.Idem dito als je 'lastig' doet over zo'n actie van die teamleider. Alleen aan te raden als je toch al in een arbeidsconflict zit.
Hoezo prive kan je er weinig aan doen want, wat is de schade? Hoe haal je het in je hoofd om daarmee te komen?! Ten eerste is het je recht dat er zorgvuldig met je persoonsgegevens word omgegaan. Een recht is een groot goed waar je niet zomaar aan kunt tornen en daar hoef je niet eens schade bij aan te geven anders dat je recht is geschonden. Daarnaast is het heel duidelijk wat de schade is: de persoon die het heeft rondgestuurd heeft ervoor gezorgd dat jij geen controle meer hebt over wie er gebruik van kan maken. Gezien het uitgangspunt van de wetgever is het vooruitzicht op ongeoorloofd bezit, verwerken en alle voortvoloeiende mogelijke schade al genoeg schade op zich. Het risico is namelijk oneindig vergroot vergeleken met als de persoon je gegevens wel zorgvuldig had verwerkt conform de wet. Wat mij betreft mag je het vergelijken met het risico dat iemand je bezorgt door je bloot te stellen aan een chemische stof waardoor jij het onredelijke vooruitzicht hebt dat je daardoor zeer ernstig ziek kan worden. Er wordt zelfs door juristen veel te makkelijk met persoonsgegevens en iemands persoonlijke levenssfeer omgesprongen op het moment dat er onnodig risico verhoogd is. Het risico is namelijk voor de gedupeerde, feitelijk en veroorzaakt door het onwettelijk schenden van je beschermende recht. Of gaat meneer de jurist straks ook vraagtekens zetten wat voor schade een persoon heeft indien iemand ongeoorloofd in je huis of huid is geweest zonder dat er verdere gevolgen lijken te zijn? Dan vraag ik me sterk af wat beschermende wetten en rechten op vrijheid en zelfcontrole voor zin hebben in onze staat. Ik hoop dat meneer de jurist even zat te slapen toen hij het antwoord formuleerde. Bij deze: doe nog eens een poging.
Aan de andere kant...je kunt ook niets invullen.
En is iedereen even kritisch met apps installeren op een smartphone?
Want ik kan wel heel kritisch zijn met welke apps IK installeer op MIJN smartphone maar als mijn vrienden die mijn telefoonnummer (en dus mijn fysieke adres/e-mailadres/vaste telefoonnr. etc) in HUN smartphone hebben en WEL die apps installeren die toegang verlangen tot HUN adresboek dan ligt MIJN adres nog steeds 'op straat'.
Daar heb ik geen enkele controle op. Want je geeft je mobiele telefoonnr aan hen in goed vertrouwen, of je telefoonnummer wordt standaard meegezonden, of verkregen via een SMS. Zij vullen dat aan in HUN mobiele adresboek/V-card met jouw fysieke adres. Gewoon omdat ZIJ dat makkelijk vinden voor als ZIJ een keer hun navigatie-app gebruiken als ze langskomen. En middels die 'leuke' apps is jouw identiteit over de hele wereld verzonden aan God-mag-weten wie.
Je privacy is allang niet meer beheersbaar.
Is het niet DigiD dat lek is dan is het wel het brakke digitale Patiëntiendossier, of de scanbare chip in je paspoort, of je OV-chipkaart, of een ziekenhuissite of site van een huisartsenpost die lek is.
En als jij het niet verpest dan is het wel een partij die rechtmatig over jouw gegevens mag/moet beschikken die blundert.
En is iedereen even kritisch met apps installeren op een smartphone?
Want ik kan wel heel kritisch zijn met welke apps IK installeer op MIJN smartphone maar als mijn vrienden die mijn telefoonnummer (en dus mijn fysieke adres/e-mailadres/vaste telefoonnr. etc) in HUN smartphone hebben en WEL die apps installeren die toegang verlangen tot HUN adresboek dan ligt MIJN adres nog steeds 'op straat'.
Daar heb ik geen enkele controle op. Want je geeft je mobiele telefoonnr aan hen in goed vertrouwen, of je telefoonnummer wordt standaard meegezonden, of verkregen via een SMS. Zij vullen dat aan in HUN mobiele adresboek/V-card met jouw fysieke adres. Gewoon omdat ZIJ dat makkelijk vinden voor als ZIJ een keer hun navigatie-app gebruiken als ze langskomen. En middels die 'leuke' apps is jouw identiteit over de hele wereld verzonden aan God-mag-weten wie.
Je privacy is allang niet meer beheersbaar.
Is het niet DigiD dat lek is dan is het wel het brakke digitale Patiëntiendossier, of de scanbare chip in je paspoort, of je OV-chipkaart, of een ziekenhuissite of site van een huisartsenpost die lek is.
En als jij het niet verpest dan is het wel een partij die rechtmatig over jouw gegevens mag/moet beschikken die blundert.
Arnoud,
Dat sommige personen binnen een directie toegang hebben tot dergelijke gegevens via een HRM-afdeling en dat medewerkers van een HRM-afdeling toegang hebben, zou nog normaal zijn. Maar een teamleider?
Een teamleider behoort eerst te vragen of men überhaupt enige privégegevens zoals telefoonnummers en e-mailadressen zou willen delen met hem. HRM zou kunnen vragen dat men zijn eigen privégegevens nakijkt en eventuele veranderingen meldt. Uiteraard behoort een ieder dan een e-mail te krijgen met zijn eigen gegevens.
Er gaat nogal wat mis binnen dat bedrijf? Als ze een OR hebben, dan is dit wel een goede zaak voor hun om er naar te kijken.
Dat sommige personen binnen een directie toegang hebben tot dergelijke gegevens via een HRM-afdeling en dat medewerkers van een HRM-afdeling toegang hebben, zou nog normaal zijn. Maar een teamleider?
Een teamleider behoort eerst te vragen of men überhaupt enige privégegevens zoals telefoonnummers en e-mailadressen zou willen delen met hem. HRM zou kunnen vragen dat men zijn eigen privégegevens nakijkt en eventuele veranderingen meldt. Uiteraard behoort een ieder dan een e-mail te krijgen met zijn eigen gegevens.
Er gaat nogal wat mis binnen dat bedrijf? Als ze een OR hebben, dan is dit wel een goede zaak voor hun om er naar te kijken.
24-01-2013, 09:18 door
Arnoud Engelfriet
Hoezo prive kan je er weinig aan doen want, wat is de schade? Hoe haal je het in je hoofd om daarmee te komen?! Ten eerste is het je recht dat er zorgvuldig met je persoonsgegevens word omgegaan. Een recht is een groot goed waar je niet zomaar aan kunt tornen en daar hoef je niet eens schade bij aan te geven anders dat je recht is geschonden.
Zeg hee, bewaar je "meneer de jurist" verhaaltjes voor een plek waar dat wel gezellig is. Denk je dat ik hier een beetje mijn mening zit te verzinnen? Het idee van een juridische vraag is dat ik vertel hoe het juridisch zit. Als ik daarbij een mening heb dan zet ik er "ik denk" of "ik vind" bij.
Recht hebben en recht krijgen zijn twee heel verschillende dingen. Als jij geen schade hebt, heb je geen verhaalsmogelijkheid bij de rechter. Zie http://nl.wikipedia.org/wiki/De_minimis en als je de wetstekst wil, art. 3:303 BW: http://maxius.nl/burgerlijk-wetboek-boek-3/artikel303
En nee, als ik twee seconden in jouw achtertuin sta en dan weer wegren dan heb jij géén mogelijkheid daar wat aan te doen bij de rechter vanwege ditzelfde principe. Je belang is te klein en procederen over die twee seconden verstopt alleen de rechtsgang.
@Anoniem 20:34 Klopt, het is moeilijk je recht te halen in arbeidsverhoudingen. Helaas :(
@Anoniem 02:28 Goeie, de OR kan als soort van neutrale partij optreden zodat niet één werknemer de gebeten hond wordt. Maar een OR is pas verplicht bij 50+ medewerkers, dus het kan zijn dat dit bedrijf met 40+ er geen heeft.
Door Anoniem: Binnen en bedrijf geld toch het zelfde, of moet je je dan elke keer via de personeel administratie laten doorverbinden als je een collega privé wilt spreken.
Het punt is nu juist dat er mensen zijn (zoals ik zelf) die niet willen dat collega's met hen prive contact kunnen opnemen. Binnen het bedrijf is er voor zakelijk gebruik ongetwijfeld een interne telefoonlijst, en daar moeten ze 't maar mee doen. Ik wil ook niet prive gebeld kunnen worden (niet eens willen, ik wil niet eens dat het kan) door collega's. De collega's die dat wel mogen krijgen mijn prive nummer wel van mij zelf.
Door Arnoud Engelfriet:
Zeg hee, bewaar je "meneer de jurist" verhaaltjes voor een plek waar dat wel gezellig is. Denk je dat ik hier een beetje mijn mening zit te verzinnen? Het idee van een juridische vraag is dat ik vertel hoe het juridisch zit. Als ik daarbij een mening heb dan zet ik er "ik denk" of "ik vind" bij......
+1 voor Arnoud :-D
Zeg hee, bewaar je "meneer de jurist" verhaaltjes voor een plek waar dat wel gezellig is. Denk je dat ik hier een beetje mijn mening zit te verzinnen? Het idee van een juridische vraag is dat ik vertel hoe het juridisch zit. Als ik daarbij een mening heb dan zet ik er "ik denk" of "ik vind" bij......
+1 voor Arnoud :-D
Met de voorbeelden van scholen en verenigingen wordt het een beetje een verschillenzoekplaatje. Goed, even wat puntjes aanstippen dan.
- Papieren lijstjes zijn nogal wat anders dan excelbestandjes of voor iedereen toegankelijke websites.
- We hebben ondertussen van de gevolgen geleerd en zijn minder vrijgevig met onze info want hij kopieert makkelijker.
- Verenigingen geef je contactinformatie om voor de verenigingsleden bereikbaar te zijn. Contrast met info op je werk waar je die geeft als back-up voor de baas, interne communicatie gaat per normaliter bedrijfsemail of -post.
- Geboortedata geef je aan de baas omdat dat moet, niet omdat je dat wil. Ook verenigingen die mijn geboortedatum moeten hebben dienen daar zorgvuldig mee om te gaan en niet plompverloren op een adreslijstje te plakken.
En dan is er natuurlijk nog de "we hebben het altijd zo gedaan"-school. Dat wil niet zeggen dat het ondertussen nog kan, of dat het ongevraagd maar doen een goed idee was. Sommige scholen hebben bijgeleerd, anderen toch wat minder.
Daarbovenover was de kersverse groepsleider gewoon bot en onbezonnen met hem toevertrouwde data (wat moet hij nou met geboortedata?), wat alweer wat anders is dan doelbewust een afgesproken contactinfolijstje verspreiden. Dat laatse is iets wat je met z'n allen afgesproken hebt, dat eerste is gewoon onbehoorlijk.
Luiheid ook: Hij had ook zijn geweldige groepsleidervaardigheden kunnen inzetten om iedereen een persoonlijk mailtje te sturen met alleen eigen info. Aangezien hij over een computer beschikt en daarmee "vaardig" geacht wordt te zijn, had'ie een simpele mailmerge moeten kunnen uitvoeren. Of het hele ding overlaten aan PZ, doen die ook nog eens wat nuttigs.
Ik vind dus niet dat de tegenvoorbeelden veel hout snijden.
- Papieren lijstjes zijn nogal wat anders dan excelbestandjes of voor iedereen toegankelijke websites.
- We hebben ondertussen van de gevolgen geleerd en zijn minder vrijgevig met onze info want hij kopieert makkelijker.
- Verenigingen geef je contactinformatie om voor de verenigingsleden bereikbaar te zijn. Contrast met info op je werk waar je die geeft als back-up voor de baas, interne communicatie gaat per normaliter bedrijfsemail of -post.
- Geboortedata geef je aan de baas omdat dat moet, niet omdat je dat wil. Ook verenigingen die mijn geboortedatum moeten hebben dienen daar zorgvuldig mee om te gaan en niet plompverloren op een adreslijstje te plakken.
En dan is er natuurlijk nog de "we hebben het altijd zo gedaan"-school. Dat wil niet zeggen dat het ondertussen nog kan, of dat het ongevraagd maar doen een goed idee was. Sommige scholen hebben bijgeleerd, anderen toch wat minder.
Daarbovenover was de kersverse groepsleider gewoon bot en onbezonnen met hem toevertrouwde data (wat moet hij nou met geboortedata?), wat alweer wat anders is dan doelbewust een afgesproken contactinfolijstje verspreiden. Dat laatse is iets wat je met z'n allen afgesproken hebt, dat eerste is gewoon onbehoorlijk.
Luiheid ook: Hij had ook zijn geweldige groepsleidervaardigheden kunnen inzetten om iedereen een persoonlijk mailtje te sturen met alleen eigen info. Aangezien hij over een computer beschikt en daarmee "vaardig" geacht wordt te zijn, had'ie een simpele mailmerge moeten kunnen uitvoeren. Of het hele ding overlaten aan PZ, doen die ook nog eens wat nuttigs.
Ik vind dus niet dat de tegenvoorbeelden veel hout snijden.
Bedankt voor het beantwoorden :) Het bedrijf heeft inderdaad een OR, ik heb de teamleider nu gemaild om het vriendelijk te houden.
Mooie post trouwens van anoniem 10:32
Mooie post trouwens van anoniem 10:32
Door Arnoud Engelfriet:
Recht hebben en recht krijgen zijn twee heel verschillende dingen. Als jij geen schade hebt, heb je geen verhaalsmogelijkheid bij de rechter. Zie http://nl.wikipedia.org/wiki/De_minimis en als je de wetstekst wil, art. 3:303 BW: http://maxius.nl/burgerlijk-wetboek-boek-3/artikel303
Uiteindelijk ben je het zelf die verantwoordelijk is om je recht te willen proberen te halen of niet. Dan mag je hopen dat je een rechter voor je hebt die ooit eens slachtoffer is geweest van identiteitsfraude doordat zijn werkgever jaren eerder zijn gegevens per mail naar alle door hem veroordeelden personen doorstuurde. Reken maar dat die er een heel andere kijk op heeft dan een rechter die geen nuance wenst te zien tussen gegevens, persoonsgevens, persoonlijke levenssfeer, huisvredebreuk en een achtertuin.Recht hebben en recht krijgen zijn twee heel verschillende dingen. Als jij geen schade hebt, heb je geen verhaalsmogelijkheid bij de rechter. Zie http://nl.wikipedia.org/wiki/De_minimis en als je de wetstekst wil, art. 3:303 BW: http://maxius.nl/burgerlijk-wetboek-boek-3/artikel303
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.