image

Juridische vraag: hoe streng is de privacywet?

woensdag 13 februari 2013, 11:48 door Arnoud Engelfriet, 9 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Hoe streng is de privacywet? Klopt het dat je eigenlijk niets mag zonder toestemming van de personen die je monitort, volgt, controleert of wat dan ook?

Antwoord: Nee, zó streng is de privacywet niet.

Toestemming is de hoofdregel uit de privacywet, maar er zijn uitzonderingen. Eén zo’n uitzondering is als de verwerking “nodig is voor een goede uitvoering van de overeenkomst”. In de OV-chipkaartdiscussie was bijvoorbeeld de vraag of de NS studenten mocht verplichten om in- en uit te checken, onder meer met het argument dat dat een onterechte verwerking van hun persoonsgegevens opleverde. Maar dat mocht van de rechter. Dit had een redelijk doel en paste daarmee binnen de uitvoering van de vervoersovereenkomst:

Het niet inchecken maar het slechts laten uitlezen van de OV-chipkaart door de conducteur is dan ook niet meer voldoende omop basis van een geldig vervoersbewijs met het studentenreisrecht te kunnen reizen. (…) Een conducteur moet [], bijvoorbeeld op de dagen waarin de vrij reizenperiode overgaat in de 40%-reductieperiode en vice versa, middels het moment (tijdstip) van inchecken kunnen vaststellen of de reis de vrij reizen periode of de 40%-reductie periode betreft. Het uitlezen van het type studentenreisrecht door de conducteur is dan onvoldoende.

De andere belangrijke uitzondering is de "dringende eigen noodzaak". Dat wil zeggen dat jouw gebruik zó zwaarwegend en dringend is dat je niet op toestemming kunt wachten. Je moet dan een afweging maken of dat gebruik zo belangrijk is dat je de privacy mag passeren. Een voorbeeld is cameratoezicht of securitymonitoren van een ICT-dienst. De noodzaak is dan de beveiliging, en toestemming vragen is ondenkbaar.

De vraag is dan dus, is jouw belang belangrijker dan de privacy van wie je filmt? Vandaar al die afwegingen elke keer bij cameratoezicht: binnen, buiten, wie mag erbij, hoe waarschuw je, hoe lang bewaar je de beelden.

Een derde uitzondering is die voor “activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden”. Voor het adresboek uit je privételefoon hoef je geen toestemming te hebben. En mensen hebben geen correctierecht op hun vermelding op jouw verjaardagskalender. Maar dat is het wel zo’n beetje. Dat adresboek delen met je familie of huisgenoten mag nog net, maar delen met collega’s is al niet meer “persoonlijk of huishoudelijk”. Ook iets publiceren op een openbare blog, Facebookaccount of andere publieke dienst valt niet meer onder deze uitzondering. Dat kun je alleen rechtvaardigen via de dringende noodzaak. Ook als je zegt dat dit vrijheid van meningsuiting is.

Want ja, ook journalistieke uitingen vallen onder de Wbp. Er staat weliswaar een uitzondering “voor uitsluitend journalistieke, artistieke of literaire doeleinden” in de wet, maar die uitzondering komt feitelijk neer op een vrijstelling voor het inzage- en correctierecht. Ook journalisten hebben toestemming nodig of een dringende eigen noodzaak. Dat zal vrijwel altijd de vrijheid van meningsuiting zijn - maar dat verplicht je dus een belangenafweging te doen: is die naam of ander persoonsgegeven noemen nódig voor de uiting?

En als laatste: er is géén aparte uitzondering voor wetenschappelijk onderzoek of statistiek. Alleen als je op een andere grond gegevens al mag verwerken, mag je deze óók inzetten voor “historische, statistische of wetenschappelijke doeleinden”. En het recht van inzage en correctie is dan een stuk beperkter. Maar wie onderzoek wil doen over personen, moet dus gewoon toestemming of een andere grond hebben.

Dan zijn er ook nog de zogeheten vrijstellingen. Wie zijn verwerking onder een vrijstelling kan scharen, hoeft deze niet aan te melden bij de toezichthouder. Maar het betekent niet dat de verwerking dan automatisch legaal is. Zo is er een vrijstelling voor netwerkbeheer, die bepaalt dat loggen ten behoeve van security van het bedrijfsnetwerk niet hoeft te worden gemeld als je de logs maximaal zes maanden bewaart, ze alléén inzet voor security en anderen dan de security officers er geen toegang toe krijgen. Maar daarmee is dergelijk loggen nog niet automatisch toegestaan. Je moet nog steeds toestemming, een overeenkomst of een eigen dringende noodzaak hebben.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (9)
13-02-2013, 12:46 door Anoniem
De ov-faalkaart had ook zo gebouwd kunnen worden dat het ook zonder al die databases (deels helemaal niet in jouw belang) prima had kunnen werken. En dat had best gekund; de meeste technologie bestaat al, maar het uitrollen was nog een leuk stukje innovatie geweest. Zeg maar het soort doel waar al die subsidie in naam voor bedoeld was, en niet zozeer een strippenkaartvervanger die minder kan en lastiger te gebruiken is en duurder is. Het is tenslotte gemeenschapsgeld.

Ik ben er nog niet uit of deze vorm uit pure klantenhaat of uit incompetentie geboren is. Ik denk beide, plus terminaal fantasieloos en heel gewiekst op zoveel mogelijk subsidie. Wat dat betreft is het systeem een daverend succes. Wat de klant betreft toch wat minder.

Het punt is: Ze hebben het kader zo geschapen dat de rechter erin meeging, maar dat had ook anders gekund. Zo kom je ook mooi onder de letter van de privacywet uit. De geest is al lang dood en begraven, kijk maar naar wat de "echte" overheid met hun eigen privacyregels doet. Voorbeeld doet volgen.
13-02-2013, 13:25 door Anoniem
Bovenstaande verhaal is duidelijk. Maar hoe zit het dan met het DDJGZ (of kinder EPD)? Alle kinderen in Nederland krijgen automatisch (dus zonder uitdrukkelijke toestemming van ouders en/of voogd) zo'n dossier. Bezwaar maken tegen de aanleg van het dossier is niet mogelijk. Je kunt wel bezwaar maken tegen het invullen van het dossier door het JGZ, maar afgaande op de gebruiksaanwijzing die het JGZ gebruikt, zal er alles aan gedaan worden om dit te voorkomen. Ik meen me zelfs te herinneren dat er een zinsnede in stond dat als ouders geen gebruik wilde maken van het DDJGZ op voorhand al verdacht waren...
13-02-2013, 16:56 door Anoniem
Dat adresboek delen met je familie of huisgenoten mag nog net

En hoe zit dat met de mensen die appjes downloaden op hun smartphone en deze bewust (of onbewust) toegang geven tot het adresboek? Kunnen we die meteen allemaal aan de Wbp schandpaal hangen?
14-02-2013, 09:07 door Anoniem
Ik meen me zelfs te herinneren dat er een zinsnede in stond dat als ouders geen gebruik wilde maken van het DDJGZ op voorhand al verdacht waren...
En daar zit dus een heel groot probleem. Als je wilt voorkomen dat de halve wereld in je data kan grasduinen, dan ben je daardoor verdacht. De overheid is daarmee meteen je grootste vijand geworden...

Voor wat betreft die OV-0faalkaart: de oplossing is simpel. Stop met OV. Dat heb ik een jaar of 5 geleden gedaan. Het scheelt heel veel geld, irritatie en tijd. Problem solved.
14-02-2013, 13:42 door Anoniem
@Arnoud :

"Een conducteur moet [], bijvoorbeeld op de dagen waarin de vrij reizenperiode overgaat in de 40%-reductieperiode en vice versa, middels het moment (tijdstip) van inchecken kunnen vaststellen of de reis de vrij reizen periode of de 40%-reductie periode betreft."

Dit klinkt als een drogreden op veel dagen van de week. Impliceert dit dat studenten -niet- hoeven in/uit te checken op dagen waarop hun kaart de gehele dag geldig is, doordat de dringende reden op die dagen niet van toepassing is ?
14-02-2013, 21:33 door Arnoud Engelfriet
En hoe zit dat met de mensen die appjes downloaden op hun smartphone en deze bewust (of onbewust) toegang geven tot het adresboek? Kunnen we die meteen allemaal aan de Wbp schandpaal hangen?
Dat denk ik wel. Het Cbp heeft onlangs WhatsApp aangesproken op het volautomatisch hergebruiken van je adresboek, zie http://www.cbpweb.nl/pages/pb_20130128-whatsapp.aspx

En @Anoniem 13:42: Inderdaad maar het lijkt me ook weer een moeilijk verhaal om uit te leggen aan studenten wanneer je dan wél of niet moet inchecken. Krijg je weer discussie met bijdehantjes dat ze dachten dat toch vandáág incheckvrij was?
01-03-2013, 08:51 door Anoniem
Je noemt het securitymonitoren van een ICT-dienst als dringende eigen noodzaak, waarbij toestemming vragen ondenkbaar is. Ik kan me voorstellen dat geldt bij Intrusion Prevention System's, waarbij je gedrag analyseert van gebruikers waarmee je niet noodzakelijk al een relatie hebt, maar gaat dit ook op bij het monitoren van handelingen van medewerkers? Voor die groep is het namelijk helemaal niet zo lastig om dit via het internetregelement te regelen.

Of scherper: kan je terugvallen op eigen dringende noodzaak als je eigenlijk vooraf al afspraken had kunnen maken? Bijvoorbeeld in de situatie dat we niet in het internetregelement hebben beschreven dat we het internetgedrag en de binnengekomen mails van een medewerker willen bekijken op het moment er onder zijn of haar account een virus gedetecteerd is.
01-03-2013, 10:48 door Arnoud Engelfriet
Normaal is het zo dat als je redelijkerwijs toestemming kunt vragen, je je niet op "dringende noodzaak" kunt beroepen.

Bij arbeidsovereenkomsten ligt 'toestemming' moeilijker, omdat een werknemer zelden in vrijheid 'ja' of 'nee' kan zeggen tegen dingen. Je ziet dat rechters vrij eenvoudig een geclaimde toestemming van tafel vegen omdat deze feitelijk afgedwongen wordt. En afdwingen hoeft niet heel letterlijk: alleen al dat je als werkgever iets vraagt, maakt het al snel een impliciet bevel.

Gelukkig hóef je als werkgever ook geen toestemming te vragen voor een heleboel dingen. Je hebt een instructiebevoegdheid en je mág dus mensen opdragen bepaalde werkzaamheden te verrichten, op een bepaalde manier te werken en dingen te doen of te laten. Wil je dat iedereen een stropdas draagt, dan mág je dat gewoon instrueren. Moet iedereen aan de bedrijfs-GSM dan hebben ze het ding (onder werktijd) bij zich te dragen.

De veiligheidsklep is dat je als 'goed werkgever' moet handelen bij zulke instructies, en dat de instructies redelijk moeten zijn en ingegeven door een bedrijfsbelang. Ook moet je rekening houden met grondrechten zoals privacy. Een instructie dat je iedereen mag fouilleren ongeacht aanleiding is dus niet rechtsgeldig.

Het monitoren van hoe een werknemer werkt(*) is legaal. Wel moet je vooraf melden dát je dat doet, en de Ondernemingsraad moet ermee instemmen.

* Het moet dan gaan om het wérk, dus hoe veel units heeft ie gemaakt of hoe veel uren draaide hij voor klant X. Monitoren van gedrag onder werktijd botst met de privacy dus daar moet je terughoudender mee zijn. Hoe veel mails hij verstuurt is op het randje, hoe veel mails daarvan privé waren mag eigenlijk gewoon niet.
05-11-2014, 18:13 door Anoniem
Hoe zit het het ophangen van een verjaardagskalender (van een 50 tal medewerkers) in de kantine van een bedrijf?
Is dit strijdig met de privacy rechten?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.