Juridische vraag: Heeft een bedrijf altijd apart toestemming nodig om persoongegevens te mogen verwerken?
woensdag 21 februari 2018, 16:22 door Arnoud Engelfriet, 18 reacties
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Als je bedrijven belt, hoor je vaak "dit gesprek wordt opgenomen voor trainingsdoeleinden". Als in zo'n gesprek vervolgens persoonsgegevens worden opgenoemd (denk aan een financiële dienst of nagaan over een bestelling), moet er dan geen toestemming gevraagd worden?
Antwoord: Toestemming is een reden, een grondslag om persoonsgegevens te mogen verwerken. Maar het is niet de enige. Zowel de huidige privacywet als de aankomende AVG/GDPR noemen nog vijf grondslagen, waaronder de uitvoering van een contract dat je met de ander hebt.
Wanneer je belt over de status van je bestelling, of je wordt gebeld voor een hypotheekaanbod, dan is er sprake van een overeenkomst (of de aanloop daartoe) en dan is dat dus in principe een grondslag. De vraag is dan, is het redelijkerwijs nodig voor die overeenkomst om die opname te maken?
Ik zie daar wel wat in vanuit het idee van bewijsbaarheid van afspraken of toezeggingen. Ook kwaliteitsverbetering van de klantenservice valt er denk ik net nog wel onder. Dan denk ik dus aan evaluaties tussen de klantenservicemedewerker en zijn manager over hoe het gesprek ging, niet aan algemene trainingen waarbij dit gesprek als leuk voorbeeld wordt afgespeeld.
Wanneer een bedrijf jouw gesprek wil gebruiken voor algemene trainingen, dan is er dus wel aparte toestemming nodig. Dat is immers hergebruik in een ander context. Dat heeft niets meer met het contract in kwestie te maken.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (18)
Als je bedrijven belt, hoor je vaak "dit gesprek wordt opgenomen voor trainingsdoeleinden". Als in zo'n gesprek vervolgens persoonsgegevens worden opgenoemd (denk aan een financiële dienst of nagaan over een bestelling), moet er dan geen toestemming gevraagd worden?
Hoe zie jij het dan voor je ? Hallo U spreekt met anoniempje. Kan ik mij abboneren, of kunt U mijn bestelling nakijken ? Btw, vanuit het oogpunt van de privacy kan ik geen informatie verstrekken, op basis waarvan U mij kunt helpen ? ;)
Oh, dan heb ik een vervolgvraag:
Was laatst op gesprek geweest voor een baan, en vroeg om een (concept)contract om dat eens rustig te lezen en wellicht verder te onderhandelen. Moest ik eerst allerlei persoonsgegevens in een derdepartijbedrijf hun brakke website kieperen, inclusief kopietje paspoort. Dat werd afgekeurd, nooit een contract gezien. (Was niet recent genoeg--had wel om een nieuwe gevraagd maar de gemeente zei nee. Daar gaat het nu even niet om.)
Dus zowel geen contract met de het-dus-niet-geworden-werkgever als geen contract met hun commerciele-ambtenaren-payroll-provider. Maar wel persoonsgegevens verlangen. Nu stootte mij dit al hard tegen de borst wegens 1) rare machtsverhouding, 2) wie zijn die payrollers nou helemaal en 3) de roomer-dan-de-pausige manier van doen, maar zo te horen mag deze gang van zaken dus helemaal niet van de privacywetgeving?
Was laatst op gesprek geweest voor een baan, en vroeg om een (concept)contract om dat eens rustig te lezen en wellicht verder te onderhandelen. Moest ik eerst allerlei persoonsgegevens in een derdepartijbedrijf hun brakke website kieperen, inclusief kopietje paspoort. Dat werd afgekeurd, nooit een contract gezien. (Was niet recent genoeg--had wel om een nieuwe gevraagd maar de gemeente zei nee. Daar gaat het nu even niet om.)
Dus zowel geen contract met de het-dus-niet-geworden-werkgever als geen contract met hun commerciele-ambtenaren-payroll-provider. Maar wel persoonsgegevens verlangen. Nu stootte mij dit al hard tegen de borst wegens 1) rare machtsverhouding, 2) wie zijn die payrollers nou helemaal en 3) de roomer-dan-de-pausige manier van doen, maar zo te horen mag deze gang van zaken dus helemaal niet van de privacywetgeving?
Als je bedrijven belt, hoor je vaak "dit gesprek wordt opgenomen voor trainingsdoeleinden". Als in zo'n gesprek vervolgens persoonsgegevens worden opgenoemd (denk aan een financiële dienst of nagaan over een bestelling), moet er dan geen toestemming gevraagd worden?
Je bent reeds geinformeerd over de opname. En je gaat zelf akkoord door vervolgens de gegevens te verstrekken. Wil je dat niet, dan kan je de telefoon ook ophangen. Waar is je eigen verantwoordelijkheid, en eigen keuze ? Niemand dwingt jou toch om verder te praten ?
Ik ben / ga niet / nooit akkoord vanwege dat gesprek .
Moet het ondergaan ... want -geen- internet ...
Mijn gesprek zal worden gebruikt voor :
Analyses (op elke toonsoort/intonatie etc..)
Telefoontruuk(c)s
Etc
Daar ben ikt *absoluut* niet mee eens !
Ksnap dat ze mijn : Ja! Moeten opnemen maar software-analyses en andere analyses op stem en gedrag gaat mij te ver ! !
Wat kan ik doen ??!!
Moet het ondergaan ... want -geen- internet ...
Mijn gesprek zal worden gebruikt voor :
Analyses (op elke toonsoort/intonatie etc..)
Telefoontruuk(c)s
Etc
Daar ben ikt *absoluut* niet mee eens !
Ksnap dat ze mijn : Ja! Moeten opnemen maar software-analyses en andere analyses op stem en gedrag gaat mij te ver ! !
Wat kan ik doen ??!!
21-02-2018, 19:29 door
NeoRGx2siioKeTsiOomNjiM
Vandaag, 16:36.
Tenzij u werkzoekende bent, en u onder de vleugel van het uwv komt te vallen.
U bent binnen dit voorbeeld KEIHARD afhankelijk van hun plichten.
Maar, gerust kunt u alsnog de telefoon ophangen, en daarmee ook het recht op een uitkering.
Er zijn er genoeg die onder dit regime vallen, we praten hier wel over een overheids orgaan.
Tenzij u werkzoekende bent, en u onder de vleugel van het uwv komt te vallen.
U bent binnen dit voorbeeld KEIHARD afhankelijk van hun plichten.
Maar, gerust kunt u alsnog de telefoon ophangen, en daarmee ook het recht op een uitkering.
Er zijn er genoeg die onder dit regime vallen, we praten hier wel over een overheids orgaan.
Door Anoniem:
Je bent reeds geinformeerd over de opname. En je gaat zelf akkoord door vervolgens de gegevens te verstrekken. Wil je dat niet, dan kan je de telefoon ook ophangen. Waar is je eigen verantwoordelijkheid, en eigen keuze ? Niemand dwingt jou toch om verder te praten ?
Als je bedrijven belt, hoor je vaak "dit gesprek wordt opgenomen voor trainingsdoeleinden". Als in zo'n gesprek vervolgens persoonsgegevens worden opgenoemd (denk aan een financiële dienst of nagaan over een bestelling), moet er dan geen toestemming gevraagd worden?
Je bent reeds geinformeerd over de opname. En je gaat zelf akkoord door vervolgens de gegevens te verstrekken. Wil je dat niet, dan kan je de telefoon ook ophangen. Waar is je eigen verantwoordelijkheid, en eigen keuze ? Niemand dwingt jou toch om verder te praten ?
Ik citeer uit de Handleiding voor Verwerkers van Persoonsgegevens (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding-wet-bescherming-persoonsgegevens.pdf, zie paragraaf 3.4.2)
"Als de betrokkene onder druk van de omstandigheden heeft ingestemd met verwerking, is van vrije wil geen sprake. Van vrije wil is ook geen sprake als de betrokkene in een afhankelijke positie staat ten opzichte van u en onder druk van die afhankelijkheid met de verwerking heeft ingestemd."
Gezien het hier triviaal is om even te vragen of het goed is de call op te nemen voor trainingsdoeleinden, en als het antwoord nee is dat dan ook niet te doen en nog steeds de dienst waar het in de kern om gaat te leveren, is: "Je kan toch weigeren van de dienst gebruik te maken, wat zeur je nou?" mijns inziens een situatie van druk van de omstandigheden en afhankelijke positie en dus geen rechtsgeldige toestemming (uitzondering: Indien er zodanig veel leveranciers met hetzelfde of gelijkwaardig product zijn dat ik mijn schouders op kan halen en zeggen: "Best, voor jou tien anderen.". Het is overigens ook een open uitnodiging aan mij om mijn standpunt even kenbaar te maken via de "Tip Ons" optie van de Autoriteit Persoonsgegevens.
Door NeoRGx2siioKeTsiOomNjiM: Vandaag, 16:36.
Tenzij u werkzoekende bent, en u onder de vleugel van het uwv komt te vallen.
Dat werk had ik helemaal zelf gevonden. Die waardeloze plichtenclub van het uwv had er dus helemaal niets mee te maken.Tenzij u werkzoekende bent, en u onder de vleugel van het uwv komt te vallen.
Daar ging het dus ook niet over in de vraag.
Door Anoniem: Hoe zie jij het dan voor je ? Hallo U spreekt met anoniempje. Kan ik mij abboneren, of kunt U mijn bestelling nakijken ? Btw, vanuit het oogpunt van de privacy kan ik geen informatie verstrekken, op basis waarvan U mij kunt helpen ? ;)
Er is verschil tussen een klant helpen en het gesprek opnemen voor trainingsdoeleinden. Je moet je bekend maken om geholpen te kunnen worden, maar voor het gebruik van de persoonsgegevens voor training, wat een ander doel is dan waar de klant voor belt, moeten ze apart toestemming aan je vragen.Ik heb die vraag de laatste tijd een aantal keer moeten beantwoorden. Steeds ging dat met zo'n telefonisch menusysteem waar het als laatste vraag langskwam. Keuze 1 is instemmen met de opname, geen keuze maken is niet instemmen. Eigenlijk drukt de klant zelf op de opnameknop. Zo simpel is dat te implementeren.
Onder het mom van training? Niet te controleren wat ze er mee doen. Mijn telefoon neemt automatisch alles op van een gesprek waar ik deel van maak, zodat ik het gesprek ook heb. Soms heel handig!
Dat ze in de opname stellen dat ze het opnemen, wanneer je mondeling afspraken maakt snap ik. Dat ze ook stellen -behoudens gevallen waar je kan weigeren- de opname voor trainingsdoeleinden te kunnen gebruiken, dat gaat eigenlijk te ver. En inderdaad, soms kan je als consument (bestaande klant) niet om het gesprek heen. Dus stellen 'je kunt ophangen' is erg kort door de bocht.
Hoe zit dat trouwens met schriftelijke communicatie, en trainingsdoeleinden ? ;)
Hoe zit dat trouwens met schriftelijke communicatie, en trainingsdoeleinden ? ;)
Ik ben / ga niet / nooit akkoord vanwege dat gesprek
Indien het altijd zo vrijblijvend is, dan is er helemaal geen probleem. Want dan kan je inderdaad gewoon ophangen. Probleem is juist gevallen waar er een afhankelijkheidsrelatie is, en waar je het gesprek toch zal moeten voeren. Waardoor je niet 100% kunt spreken van vrije wil, aan de kant van de klant.
Als je een bedrijf belt om een nieuwe dienst af te nemen, waarbij het bedrijf concurrenten heeft, dan kan je natuurlijk gewoon ophangen, en de concurrent bellen ;)
Door Anoniem:
Je bent reeds geinformeerd over de opname. En je gaat zelf akkoord door vervolgens de gegevens te verstrekken. Wil je dat niet, dan kan je de telefoon ook ophangen. Waar is je eigen verantwoordelijkheid, en eigen keuze ? Niemand dwingt jou toch om verder te praten ?
Als je bedrijven belt, hoor je vaak "dit gesprek wordt opgenomen voor trainingsdoeleinden". Als in zo'n gesprek vervolgens persoonsgegevens worden opgenoemd (denk aan een financiële dienst of nagaan over een bestelling), moet er dan geen toestemming gevraagd worden?
Je bent reeds geinformeerd over de opname. En je gaat zelf akkoord door vervolgens de gegevens te verstrekken. Wil je dat niet, dan kan je de telefoon ook ophangen. Waar is je eigen verantwoordelijkheid, en eigen keuze ? Niemand dwingt jou toch om verder te praten ?
Je hebt daarin vaak geen keuze. Als je ophangt om vervolgens weer te bellen, dan krijg je dezelfde mededeling. Je belt vaak met een probleem wat opgelost moet worden, dus je hebt geen andere keuze dan te bellen. Je moet dan apart aangeven dat je niet wilt dat het gesprek opgenomen wordt, terwijl je dus in gesprek bent met iemand.
Als in zo'n gesprek vervolgens persoonsgegevens worden opgenoemd
Dit zou sowieso verboden moeten zijn want telefoonverkeer is niet beveiligd.
Iedereen kan het uit de lucht pikken.
Maar helaas wordt je verplicht te luisteren naar alle gegevens die men opnoemt en helaas wordt je verplicht allerhande kritische gegevens op te noemen!
Kritische gegevens horen net over email te gaan en ook niet over de telefoon!
De veiligheid van de techniek is allang achterhaald!
Een bedrijf zou hooguit naar een deel van een klantnummer mogen vragen in combinatie met iets anders algemeens zoals je ook een deel van een creditcard nummer in de brief ziet van je bank die je over de post krijgt.
Bedrijven kunnen toch terugvallen op alternatieven om trainingsmateriaal te vergaren? Ik denk bijvoorbeeld aan het inzetten van 'acteurs'. Zou dit een voorkeursalternatief kunnen zijn welke de noodzaak van opnemen van gesprekken kan wegnemen? Tijdens telefoongesprekken worden vaak persoonsgegevens gesproken en met het opslaan van de stem wordt feitelijk een biometrisch gegeven opgeslagen.
Door Anoniem: Dat ze in de opname stellen dat ze het opnemen, wanneer je mondeling afspraken maakt snap ik. Dat ze ook stellen -behoudens gevallen waar je kan weigeren- de opname voor trainingsdoeleinden te kunnen gebruiken, dat gaat eigenlijk te ver. En inderdaad, soms kan je als consument (bestaande klant) niet om het gesprek heen. Dus stellen 'je kunt ophangen' is erg kort door de bocht.
Hoe zit dat trouwens met schriftelijke communicatie, en trainingsdoeleinden ? ;)
Voor mondelinge afspraken is de verwerking rechtmatig, omdat het de enige manier is om nadien te kunnen bewijzen dat een overeenkomst tot stand is gekomen of juist niet. Daarom is, volgens mij, voor dit doel ook geen mogelijkheid tot "opt-out" nodig.Hoe zit dat trouwens met schriftelijke communicatie, en trainingsdoeleinden ? ;)
Trainingsdoeleinden en/of verbetering van de kwaliteit zijn andere doelen en, volgens mij, enkel met "belangenafweging" rechtmatig. Een expliciete toestemming is in dat geval niet nodig, maar ik denk niet dat de organisatie zonder een mogelijkheid tot "opt-out" AVG-konform is.
Schriftelijke communicatie valt ook gewoon onder de AVG en daarvoor geldt dus hetzelfde: "Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Art. 2 lid 1 AVG.
Persoolijk ben ik erg benieuwd hoe de transparentie-eisen telefonisch ingevuld worden. Er moet namelijk nogal wat verteld worden, voordat de gegevens van de beller mogen worden verwerkt.
De avg (gdpr) is vrij duidelijk.
Er moet een grondslag zijn en dat is NIET enkel toestemming er is meer mogelijk.
Daar een consument verwacht van een klantenservice het juiste antwoord te krijgen is er algemeen belang en dus hoeft een bedrijf geen toestemming te vragen. Het melden ervan wel, informatieplicht en dat doen ze dus met dit gesprek..... Al denk ik zelf dat kwaliteitsdoeleinden een betere term is want training en coaching vallen daar onder. Als er iemand het gesprek beoordeeld en niet terugkoppelt aan de medewerker dan is het geen trainingsdoeleinde geweest dus liegt het bedrijf in feite over trainingsdoeleinden.
Er moet een grondslag zijn en dat is NIET enkel toestemming er is meer mogelijk.
Daar een consument verwacht van een klantenservice het juiste antwoord te krijgen is er algemeen belang en dus hoeft een bedrijf geen toestemming te vragen. Het melden ervan wel, informatieplicht en dat doen ze dus met dit gesprek..... Al denk ik zelf dat kwaliteitsdoeleinden een betere term is want training en coaching vallen daar onder. Als er iemand het gesprek beoordeeld en niet terugkoppelt aan de medewerker dan is het geen trainingsdoeleinde geweest dus liegt het bedrijf in feite over trainingsdoeleinden.
Pasgeleden de ANWB ingeruild voor de aanzienlijk betere KNAC. Daar hoorde ik niet het schijnheilige "trainingsdoeleinden" maar gewoon "t.b.v. vastleggen van mondelinge overeenkomsten".
Dat vond ik positiever dan zonder opt-out cursus materiaal produceren - zonder vergoeding.
Dat vond ik positiever dan zonder opt-out cursus materiaal produceren - zonder vergoeding.
vanuit het oogpunt van de privacy kan ik geen informatie verstrekken, op basis waarvan U mij kunt helpen ? ;)
Je lacht; maar ik vang die gespekken vaak op: "u heeft mijn credit-card onterecht aangeslagen" - "Oh, wat is dan u nummer" - "zeggiknie".Door Anoniem: Onder het mom van training? Niet te controleren wat ze er mee doen. Mijn telefoon neemt automatisch alles op van een gesprek waar ik deel van maak, zodat ik het gesprek ook heb. Soms heel handig!
En kun je dit gesprek ook voor een rechterlijke uitspraak gebruiken.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Challenge Developer
Wil je werken bij het beste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de latest en greatest security challenges? Solliciteer dan nu naar de functie van Certified Secure Challenge Developer.