Juridische vraag: Heeft een bedrijf altijd apart toestemming nodig om persoongegevens te mogen verwerken?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Als je bedrijven belt, hoor je vaak "dit gesprek wordt opgenomen voor trainingsdoeleinden". Als in zo'n gesprek vervolgens persoonsgegevens worden opgenoemd (denk aan een financiële dienst of nagaan over een bestelling), moet er dan geen toestemming gevraagd worden?
Antwoord: Toestemming is een reden, een grondslag om persoonsgegevens te mogen verwerken. Maar het is niet de enige. Zowel de huidige privacywet als de aankomende AVG/GDPR noemen nog vijf grondslagen, waaronder de uitvoering van een contract dat je met de ander hebt.
Wanneer je belt over de status van je bestelling, of je wordt gebeld voor een hypotheekaanbod, dan is er sprake van een overeenkomst (of de aanloop daartoe) en dan is dat dus in principe een grondslag. De vraag is dan, is het redelijkerwijs nodig voor die overeenkomst om die opname te maken?
Ik zie daar wel wat in vanuit het idee van bewijsbaarheid van afspraken of toezeggingen. Ook kwaliteitsverbetering van de klantenservice valt er denk ik net nog wel onder. Dan denk ik dus aan evaluaties tussen de klantenservicemedewerker en zijn manager over hoe het gesprek ging, niet aan algemene trainingen waarbij dit gesprek als leuk voorbeeld wordt afgespeeld.
Wanneer een bedrijf jouw gesprek wil gebruiken voor algemene trainingen, dan is er dus wel aparte toestemming nodig. Dat is immers hergebruik in een ander context. Dat heeft niets meer met het contract in kwestie te maken.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Hoe zie jij het dan voor je ? Hallo U spreekt met anoniempje. Kan ik mij abboneren, of kunt U mijn bestelling nakijken ? Btw, vanuit het oogpunt van de privacy kan ik geen informatie verstrekken, op basis waarvan U mij kunt helpen ? ;)
Was laatst op gesprek geweest voor een baan, en vroeg om een (concept)contract om dat eens rustig te lezen en wellicht verder te onderhandelen. Moest ik eerst allerlei persoonsgegevens in een derdepartijbedrijf hun brakke website kieperen, inclusief kopietje paspoort. Dat werd afgekeurd, nooit een contract gezien. (Was niet recent genoeg--had wel om een nieuwe gevraagd maar de gemeente zei nee. Daar gaat het nu even niet om.)
Dus zowel geen contract met de het-dus-niet-geworden-werkgever als geen contract met hun commerciele-ambtenaren-payroll-provider. Maar wel persoonsgegevens verlangen. Nu stootte mij dit al hard tegen de borst wegens 1) rare machtsverhouding, 2) wie zijn die payrollers nou helemaal en 3) de roomer-dan-de-pausige manier van doen, maar zo te horen mag deze gang van zaken dus helemaal niet van de privacywetgeving?
Je bent reeds geinformeerd over de opname. En je gaat zelf akkoord door vervolgens de gegevens te verstrekken. Wil je dat niet, dan kan je de telefoon ook ophangen. Waar is je eigen verantwoordelijkheid, en eigen keuze ? Niemand dwingt jou toch om verder te praten ?
Moet het ondergaan ... want -geen- internet ...
Mijn gesprek zal worden gebruikt voor :
Analyses (op elke toonsoort/intonatie etc..)
Telefoontruuk(c)s
Etc
Daar ben ikt *absoluut* niet mee eens !
Ksnap dat ze mijn : Ja! Moeten opnemen maar software-analyses en andere analyses op stem en gedrag gaat mij te ver ! !
Wat kan ik doen ??!!
Tenzij u werkzoekende bent, en u onder de vleugel van het uwv komt te vallen.
U bent binnen dit voorbeeld KEIHARD afhankelijk van hun plichten.
Maar, gerust kunt u alsnog de telefoon ophangen, en daarmee ook het recht op een uitkering.
Er zijn er genoeg die onder dit regime vallen, we praten hier wel over een overheids orgaan.
Je bent reeds geinformeerd over de opname. En je gaat zelf akkoord door vervolgens de gegevens te verstrekken. Wil je dat niet, dan kan je de telefoon ook ophangen. Waar is je eigen verantwoordelijkheid, en eigen keuze ? Niemand dwingt jou toch om verder te praten ?
Ik citeer uit de Handleiding voor Verwerkers van Persoonsgegevens (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding-wet-bescherming-persoonsgegevens.pdf, zie paragraaf 3.4.2)
"Als de betrokkene onder druk van de omstandigheden heeft ingestemd met verwerking, is van vrije wil geen sprake. Van vrije wil is ook geen sprake als de betrokkene in een afhankelijke positie staat ten opzichte van u en onder druk van die afhankelijkheid met de verwerking heeft ingestemd."
Gezien het hier triviaal is om even te vragen of het goed is de call op te nemen voor trainingsdoeleinden, en als het antwoord nee is dat dan ook niet te doen en nog steeds de dienst waar het in de kern om gaat te leveren, is: "Je kan toch weigeren van de dienst gebruik te maken, wat zeur je nou?" mijns inziens een situatie van druk van de omstandigheden en afhankelijke positie en dus geen rechtsgeldige toestemming (uitzondering: Indien er zodanig veel leveranciers met hetzelfde of gelijkwaardig product zijn dat ik mijn schouders op kan halen en zeggen: "Best, voor jou tien anderen.". Het is overigens ook een open uitnodiging aan mij om mijn standpunt even kenbaar te maken via de "Tip Ons" optie van de Autoriteit Persoonsgegevens.
Tenzij u werkzoekende bent, en u onder de vleugel van het uwv komt te vallen.
Daar ging het dus ook niet over in de vraag.
Ik heb die vraag de laatste tijd een aantal keer moeten beantwoorden. Steeds ging dat met zo'n telefonisch menusysteem waar het als laatste vraag langskwam. Keuze 1 is instemmen met de opname, geen keuze maken is niet instemmen. Eigenlijk drukt de klant zelf op de opnameknop. Zo simpel is dat te implementeren.
Hoe zit dat trouwens met schriftelijke communicatie, en trainingsdoeleinden ? ;)
Indien het altijd zo vrijblijvend is, dan is er helemaal geen probleem. Want dan kan je inderdaad gewoon ophangen. Probleem is juist gevallen waar er een afhankelijkheidsrelatie is, en waar je het gesprek toch zal moeten voeren. Waardoor je niet 100% kunt spreken van vrije wil, aan de kant van de klant.
Als je een bedrijf belt om een nieuwe dienst af te nemen, waarbij het bedrijf concurrenten heeft, dan kan je natuurlijk gewoon ophangen, en de concurrent bellen ;)
Je bent reeds geinformeerd over de opname. En je gaat zelf akkoord door vervolgens de gegevens te verstrekken. Wil je dat niet, dan kan je de telefoon ook ophangen. Waar is je eigen verantwoordelijkheid, en eigen keuze ? Niemand dwingt jou toch om verder te praten ?
Je hebt daarin vaak geen keuze. Als je ophangt om vervolgens weer te bellen, dan krijg je dezelfde mededeling. Je belt vaak met een probleem wat opgelost moet worden, dus je hebt geen andere keuze dan te bellen. Je moet dan apart aangeven dat je niet wilt dat het gesprek opgenomen wordt, terwijl je dus in gesprek bent met iemand.
Als in zo'n gesprek vervolgens persoonsgegevens worden opgenoemd
Dit zou sowieso verboden moeten zijn want telefoonverkeer is niet beveiligd.
Iedereen kan het uit de lucht pikken.
Maar helaas wordt je verplicht te luisteren naar alle gegevens die men opnoemt en helaas wordt je verplicht allerhande kritische gegevens op te noemen!
Kritische gegevens horen net over email te gaan en ook niet over de telefoon!
De veiligheid van de techniek is allang achterhaald!
Een bedrijf zou hooguit naar een deel van een klantnummer mogen vragen in combinatie met iets anders algemeens zoals je ook een deel van een creditcard nummer in de brief ziet van je bank die je over de post krijgt.
Hoe zit dat trouwens met schriftelijke communicatie, en trainingsdoeleinden ? ;)
Trainingsdoeleinden en/of verbetering van de kwaliteit zijn andere doelen en, volgens mij, enkel met "belangenafweging" rechtmatig. Een expliciete toestemming is in dat geval niet nodig, maar ik denk niet dat de organisatie zonder een mogelijkheid tot "opt-out" AVG-konform is.
Schriftelijke communicatie valt ook gewoon onder de AVG en daarvoor geldt dus hetzelfde: "Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Art. 2 lid 1 AVG.
Persoolijk ben ik erg benieuwd hoe de transparentie-eisen telefonisch ingevuld worden. Er moet namelijk nogal wat verteld worden, voordat de gegevens van de beller mogen worden verwerkt.
Er moet een grondslag zijn en dat is NIET enkel toestemming er is meer mogelijk.
Daar een consument verwacht van een klantenservice het juiste antwoord te krijgen is er algemeen belang en dus hoeft een bedrijf geen toestemming te vragen. Het melden ervan wel, informatieplicht en dat doen ze dus met dit gesprek..... Al denk ik zelf dat kwaliteitsdoeleinden een betere term is want training en coaching vallen daar onder. Als er iemand het gesprek beoordeeld en niet terugkoppelt aan de medewerker dan is het geen trainingsdoeleinde geweest dus liegt het bedrijf in feite over trainingsdoeleinden.
Dat vond ik positiever dan zonder opt-out cursus materiaal produceren - zonder vergoeding.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Triage Officer
bij het NCSC
Voor de komende jaren staat er het nodige te veranderen voor het NCSC. Het NCSC kent een uitdagende groei- en ontwikkelambitie. Dit biedt volop kansen en mogelijkheden. De doorontwikkeling van onze waakdienst is daarvan een erg belangrijke! Hiervoor zoeken wij meerdere Triage Officers, die de ogen en oren van cybersecurity Nederland worden. Welkom bij #TeamNCSC!
Technical Security Trainer
Is security je passie? Dan ben je bij ons aan het juiste adres. Wij zijn 24/7, 365 dagen per jaar bezig met security. Je werkt in een team van internationaal bekende security-experts, het delen van kennis staat centraal. We zijn een organisatie met een informele bedrijfscultuur. Security is serious fun! Als technical security trainer geef je hands-on security trainingen op basis van de Certified Secure challenges en certificeringen.