image

Juridische vraag: Hoe verhouden de AVG-grondslagen gerechtvaardigd belang en toestemming zich tot elkaar?

woensdag 27 februari 2019, 13:47 door Arnoud Engelfriet, 16 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Eén van mijn 'leveranciers' heeft het volgende in de Privacy Verklaring staan dat ze bij websitebezoek mijn IP-adres, Internetbrowser, besturingssysteem en apparaattype opslaan. Dat doen ze "Voor het onderzoeken van je (surf)gedrag op onze website, zo kunnen we bijvoorbeeld de website en onze tools nog beter maken." Bij navraag blijkt dat ze zich beroepen op het gerechtvaardigd belang. Mag dat zo generiek? Als dat zo is, dan mag iedereen weer alles opslaan van de website bezoeker, want alles is bruikbaar voor verbetering van de website.

Antwoord: Het is inderdaad mogelijk om met een beroep op het gerechtvaardigd belang van alles te doen onder de AVG. Maar dat moet je wel onderbouwen, en een tekst als deze voelt wat magertjes.

Het eigen gerechtvaardigd belang is een grondslag voor de verwerking van persoonsgegevens. Als je je hierop beroept, heb je geen toestemming nodig maar alleen een gemotiveerde belangenafweging die in jouw voordeel uitkomt. Het is dus ten onrechte dat dingen "niet mogen" van de AVG of niet mogen zonder toestemming; deze grondslag (en er zijn er nog 4) is net zo goed als met toestemming werken.

Die belangenafweging is natuurlijk wel kern. Bij toestemming weet je dat het mag, omdat je hebt uitgelegd wat je gaat doen en de betrokkene daar expliciet mee instemt. Bij het gerechtvaardigd belang weet je dat niet, je moet zelf verzinnen wat men ervan zou vinden en hoe je de privacy van betrokkenen afweegt tegen jouw belang.

In de praktijk komt het erop neer dat je eerst op een rijtje zet wat je wilt doen en wat je daarvoor nodig hebt, en dat je daarna kijkt of het niet een onsje minder kan. In juridische taal: dat je privacybevorderende maatregelen neemt die eventuele inbreuken door jouw verwerking beperken of tot nul reduceren.

Bij de verwerking hierboven kun je je afvragen hoe lang daarbij is stilgestaan. Het is zeker een gerechtvaardigd belang om te kijken hoe je site wordt gebruikt zodat je deze beter kunt maken. Maar daarmee is niet gezegd dat je dus alles mag verzamelen. In dit geval vind ik wel dat inventariseren van besturingssysteem en apparaattype weinig kwaad kan, die gegevens zijn erg relevant in de aggregatie (moeten we Safari blijven ondersteunen, tablets gebruikt niemand meer) maar niet voor persoonsgebonden onderzoek (he daar heb je die Linuxgebruiker weer).

Natuurlijk kún je die gegevens ook voor heel persoonlijk volgen gebruiken (device fingerprinting) maar dat wordt hier niet genoemd en zou ook een hele andere belangenafweging eisen. Gegevens verzamelen voor doel X en dan inzetten voor niet-genoemd doel Y is AVG-technisch onder geen voorwaarde toegestaan (oké tenzij X en Y zeer dicht bij elkaar liggen), dus als jurist zou ik dan zeggen dat hier niets aan de hand is.

Ik had wel graag gezien dat in de privacyverklaring werd uitgelegd dát die gegevens alleen voor geaggregeerde gebruiksstatistieken werden ingezet. Dat had in ieder geval deze vraagsteller gerustgesteld vermoed ik.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
27-02-2019, 14:23 door Anoniem
Hoe gaan we ooit kunnen controleren of de verzamelde gegevens gebruikt worden voor algemene statistieken of voor persoonsgebonden gedragsgegevens? Dit is het niets meer dan verschil tussen het afvuren van query A en het afvuren van query B op dezelfde database.
27-02-2019, 15:02 door Anoniem
Door Anoniem: Hoe gaan we ooit kunnen controleren of de verzamelde gegevens gebruikt worden voor algemene statistieken of voor persoonsgebonden gedragsgegevens? Dit is het niets meer dan verschil tussen het afvuren van query A en het afvuren van query B op dezelfde database.

Dat kun je niet.
Net zo min als dat de politie kan zien dat jij 's avonds na een tiental biertjes even je auto een straat verder zet.

Op een gegeven moment moet je er van uitgaan dat er over AVG is nagedacht en dat er mensen in de organisatie zitten die het zich twee keer afvragen of ze query B wel mogen uitvoeren. Zoiets zien we in ieder geval in onze organisatie. "He, we hebben deze data. Mag ik die voor B gebruiken?" "Nee, want je doel was alleen A." We krijgen zelfs vragen of A wel mag, omdat men vindt dat er misschien toch net iets te veel wordt opgeslagen.

Peter
27-02-2019, 17:23 door Anoniem
Jammer dat nou juist de VU de leerstoel Nederlands afschaft (maar wel gewoon een nashville ondertekenaar als hoogleraar op de loonlijst houdt). Want een gerechtvaardigd belang is erg mooi Nederlands. Misschien dat niet iedereen goed begrijpt wat daar staat. Wellicht meent men dat iets gerechtvaardigd is als men veel bijval krijgt op fora. Of heel veel likes op social media.

Een gerechtvaardigd belang is meer waarom-daarom. En met een gerechtvaardigd belang is daarom wél een reden. Je mag dus ook gewoon alles vastleggen, als het maar een reden heeft. Voor jezelf.

Want ook belang is een mooi woord. In wiens belang dan. Als een rechter kijkt, dan oordeelt die over het algemeen belang. Binnen de kaders van de wet. Er staat in die AVG echter niet "een gerechtvaardigd algemeen belang". Maar enkel een "gerechtvaardigd belang". Er mag van je verwacht worden dat je een antwoord kunt geven op je daarom. Maar daar stopt het ook. Want je eigen belang is niet enkel ook een belang. Je eigen belang is een gerechtvaardigd belang.

Anders hadden ze dat maar anders op moeten schrijven in die wet.

Vooral in de privesfeer, als je zegt, ik leg voirtaan alles vast wat ik maar kan, want ik ben te vaal belazerd geweest in mijn leven. Ik die er niks mee, ik berg het veilig op. Maar ze gaan me echt geen twee keer meer pakken. Dan is dat ook gewoon een gerechtvaardigd belang. Tot een rechter vindt van niet. Maar dan moeten ze ook het recht op zelfverdeiging opheffen.
27-02-2019, 18:53 door Anoniem
Staan er in de wet of zijn er elders ergens aanwijzingen hoe specifiek zulke voorwaarden moeten zijn? Anders is het nogal makkelijk gewoon een lekker brede beschrijving neer te plempen "voor het geval dat".

En er is natuurlijk dat genoeg data verzamelen om "device fingerprinting" te kunnen toepassen dat ook in de hand werkt. Je zou evenzogoed iedereen zijn naam kunnen opschrijven zodat je unieke bezoekers kan tellen, maar dat is teveel (en te specifieke) data voor je doel dus doe dat maar anders. Waarom zou dat voor device fingerprinting niet ook gelden?


Het is overigens "webbrowser", want het web bouwt dan wel op het internet, ze zijn niet hetzelfde en je browser geeft je nou niet echt toegang tot alles wat het internet te bieden heeft. Het is dus niet zo slim die twee doorelkaar te halen, je doet jezelf te kort.
27-02-2019, 19:48 door karma4
De GDPR heeft het ook over NIET overbodige zaken noemen welke duidelijk moeten zijn.
- Als je iets besteld is een naam en een afleveradres nodig
- Als er een financiële transactie overeengekomen wordt, zul je iets moeten uitwisselen bijvoorbeeld bankrekeningnummers met een er bij horende naam. Dat komt terug als er een factuur (verantwoording) bij hoort.
- Als je met iemand gaat praten kan je stemmen waarnemen, vingerafdrukken op het kopje koffie
- Ga je je melden voor een ontmoeting dan kan je geacht waargenomen worden.
Allemaal zaken die in GDPR als persoonsgegeven vermeld staan. Toch is het abnormaal en ongewenst elk mogelijk iets te gaan vermelden als wat in een Privacy Verklaring opgenomen moet worden.


Dat een website goed moet werken met allerhande apparatuur " IP-adres, Internetbrowser, besturingssysteem en apparaattype is een gangbaar gerechtvaardigd belang. Wat er duidelijk mist is een algemeen gangbare privacy vriendelijke oplossing die daaraan voldoet.
De webserver die site bedient heeft die gegevens een firewall heeft die gegevens.

Waarom o waarom zijn er dan al die trackers naar derde partijen om die gegevens naar de website beheerders te krijgen?
Los die vragen vanuit de webserver-logs en firewall op en je hebt de hele vraagstelling als een standaard nootje bij het AP staan.
27-02-2019, 23:31 door Anoniem
IP, Browerser, besturingssyteem en zo zijn geen identificerend gegeven zoals naam, adtes, geboortedatum en plaats. Of geslacht (waar men bij de burgerlijke stand en bij de douane wel eens verplicht op mag controleren want voor lengte hangt ook een meetlint aan de muur).
28-02-2019, 09:18 door Anoniem
Door Anoniem: IP, Browerser, besturingssyteem en zo zijn geen identificerend gegeven zoals naam, adtes, geboortedatum en plaats.
De definitie van persoonsgegevens in de AVG is ruimer dan jij lijkt te denken:
„persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
28-02-2019, 10:55 door Anoniem
Iets wat ik vaak fout zie gaan, de grondslag toestemming gebruiken terwijl andere grondslagen prima mogleijk zijn.
Allereerst, toestemming is eigenlijk bedoeld voor als geen andere grondslag mogelijk is.

Daarnaast moet dat expliciet en geheel vrijwillig zijn, en dat is lastig!
Want niet toestaan mag dus niet betekenen dat je geweigerd gaat worden, dan is het namelijk niet geheel vrijwillig.
28-02-2019, 11:24 door Anoniem
Door Anoniem: IP, Browerser, besturingssyteem en zo zijn geen identificerend gegeven zoals naam, adtes, geboortedatum en plaats. Of geslacht (waar men bij de burgerlijke stand en bij de douane wel eens verplicht op mag controleren want voor lengte hangt ook een meetlint aan de muur).

Dat zijn ze zeer zeker wel, als ik jou ip heb, je browser/user-agent en OS dan kan ik al redelijk tot heel specifiek zien wat jij doet op onze website.Meta data geldt ook als PII
28-02-2019, 17:53 door Anoniem
Door Anoniem:
Door Anoniem: IP, Browerser, besturingssyteem en zo zijn geen identificerend gegeven zoals naam, adtes, geboortedatum en plaats. Of geslacht (waar men bij de burgerlijke stand en bij de douane wel eens verplicht op mag controleren want voor lengte hangt ook een meetlint aan de muur).

Dat zijn ze zeer zeker wel, als ik jou ip heb, je browser/user-agent en OS dan kan ik al redelijk tot heel specifiek zien wat jij doet op onze website.Meta data geldt ook als PII

Het aannemelijk (proberen te) maken van een identiteit of het vaststellen van identiteit zijn twee wezenlijk verschillende dingen.

Het is echt jammer dat ze bij de VU de leerstoel Nederlands gaan opheffen. Straks gaat heel de rechtsspraak en de advocatuur ook nog mee het putje in omdat men daar ook al de eigen taal niet meer goed onder de knie gaat hebben.
01-03-2019, 02:23 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: IP, Browerser, besturingssyteem en zo zijn geen identificerend gegeven zoals naam, adtes, geboortedatum en plaats. Of geslacht (waar men bij de burgerlijke stand en bij de douane wel eens verplicht op mag controleren want voor lengte hangt ook een meetlint aan de muur).

Dat zijn ze zeer zeker wel, als ik jou ip heb, je browser/user-agent en OS dan kan ik al redelijk tot heel specifiek zien wat jij doet op onze website.Meta data geldt ook als PII

Het aannemelijk (proberen te) maken van een identiteit of het vaststellen van identiteit zijn twee wezenlijk verschillende dingen.

Het vastleggen van wat iemand doet op een website zijn per definitie persoonsgegevens, d.w.z. gegevens over een persoon.

Het is echt jammer dat ze bij de VU de leerstoel Nederlands gaan opheffen. Straks gaat heel de rechtsspraak en de advocatuur ook nog mee het putje in omdat men daar ook al de eigen taal niet meer goed onder de knie gaat hebben.

Er zijn vast meer geschikte plekken waar je commentaar kan geven op algemeen nieuws.
01-03-2019, 21:02 door Anoniem
Er zijn vast meer geschikte plekken waar je commentaar kan geven op algemeen nieuws.

Heb je helemaal gelijk in. De leesvaardigheid op dit forum is helemaal top. Verkeerde plek om over zo iets algemeens te beginnen wat hier absoluut niet van toepassing is.
04-03-2019, 13:13 door PJW9779
Ik ga er maar van uit dat bovenstaande vraag een voorbeeld-casus is.

Want niet alleen zou de organisatie van de vragensteller de FG-rol moeten hebben ingevuld - anders was de vraag immers irrelevant - en zou de vraag door die FG moeten kunnen worden beantwoord.

Bovendien is het antwoord op de vraag voor elke leek eenvoudig te vinden. Zoals bijv. :
* https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-does-grounds-legitimate-interest-mean_nl
* https://portal.vindbestuursrecht.nl/nieuws/1000003856/ap-geeft-inzicht-in--praktische--toepassing-grondslag-gerechtvaardigd-belang/
* http://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp259_rev_0.1_nl.pdf

Verder :
* een commercieel belang is in beginsel géén 'gerechtvaardigd belang'.
* het fenomeen 'fingerprinting'/'canvastracking' mag toch wel bekend zijn. Je complete set metadata identificeert je uniek op Internet : https://panopticlick.eff.org/ , https://browserprint.info/
* technische specs van de gebruiker zijn zelden noodzakelijk voor de goede werking van een website en hoeven al helemaal niet daartoe te worden opgeslagen. De oplettende surfer heeft allang geconstateerd dat oa. Google en Youtube je IP-adres gebruiken om je ook zonder inloggen te herkennen.
18-03-2019, 19:35 door Anoniem
Het probleem met privacy statements is dat ze vaak veel te lang zijn. Er is een nieuwe wet. De GDPR. Je kunt dan wel een hele eigen versie schrijven, maar de wet blijft gewoon de wet.

Bijkomend risico van te veel opschrijven, is dat je van jezelf een schietschijf maakt om op je eigen woorden gepalt te worden. Hoe ingewikkelder je het maakt, hoe meer je immers zelf aangeeft hoe doordacht je te werk gaat. Je geeft aan dat je er zelf goed over nagedacht hebt. Dat is niet altijd erg handig.

Er zijn wat dingen die je verplicht moet melden. Maar veel kan ook via email. Dat iemand mag inzien, corrigeren en laten wissen, dat staat al in wet. Onzin om dat zelf nog eens in je eigen taal uit te leggen.


Je doet met lange verhalen jezelf ook tekort in een ander rechtsprincipe: het ter goeder trouw handelen. Dat is een belangrijke. Zo kan ik in sommige verkeersomstandigheden kiezen om te remmen of om gas bij te geven. Als dat is om te goeder trouw een gruwelijk ongeluk te voorkomen, dan mag ik zelfs gas bijgeven, ook als op het bord staat dat dat niet mag. Zeker als knal op de rem staan veel gevaarlijker kon zijn. Plak ik echter mijn hele auto vol met stickers dat ik nooit over de limiet ga, dan maak ik het mezelf onnodig moeilijk later. Dan kan ikop mijn eigen woorden alsnog gevangen worden.

Tot slot, als je privacy statement voor veel geld door deskundige 1 is gemaakt, advocaat 2 van een tegenpartij schiet daar gelijk tien gaten in en advocaat 3 moet je dan verdedigen (omdat advocaat 1 met wintersport is), dan kan het een vervelende puinhoop worden. Die extra pijnlijk wordt als je zelf voor je heiligste geweten altijd te goeder trouw bezig bent geweest.

Je zou dus meer geld over moeten hebben voor juristen die je privacy statement zo kort mogelijk weten te houden. Het principe is simpel: heb je dan wat over het hoofd gezien, dan kun je nog manouvreren.

Commercieel is het ook sterker. Kort en krachtig geeft meer vertrouwen. User conditions en privacy statement die veel te veel gelul bevatten geven de gebruiker enkel maar de indruk dat je wat te verbergen hebt. Al zeker als ze in hoofdzaak nog op Amerikaans recht gebaseerd zijn. Waar we hier niks mee te maken hebben.

Kort en krachtig is beter. Dat is ook gemakkelijker geworden met de nieuwe wet. Want daar moet je je toch aan houden. Dat staat ook n wet namelijk. Vermelden dat je je aan de wet houdt is dus al een overbodige zin.

Privacy statements laat je het beste opmaken door experts die hun vak verstaan. En niet raar opkijken dat het zo kort is. Dat is juist een teken van kwaliteit. Dat mag wat kosten ook. Nooit een stok in je tuin leggen waar je later zelf mee geslagen kunt worden. Anders ga je misschien zelf later niet meer geloven in het te goede trouw principe. En dat is nog meer zonde dan dat je een rechtszaak verliest.
21-03-2019, 19:05 door Anoniem
Door Anoniem: Het probleem met privacy statements is dat ze vaak veel te lang zijn. Er is een nieuwe wet. De GDPR. Je kunt dan wel een hele eigen versie schrijven, maar de wet blijft gewoon de wet.

Bijkomend risico van te veel opschrijven, is dat je van jezelf een schietschijf maakt om op je eigen woorden gepalt te worden. Hoe ingewikkelder je het maakt, hoe meer je immers zelf aangeeft hoe doordacht je te werk gaat. Je geeft aan dat je er zelf goed over nagedacht hebt. Dat is niet altijd erg handig.

Er zijn wat dingen die je verplicht moet melden. Maar veel kan ook via email. Dat iemand mag inzien, corrigeren en laten wissen, dat staat al in wet. Onzin om dat zelf nog eens in je eigen taal uit te leggen.


Je doet met lange verhalen jezelf ook tekort in een ander rechtsprincipe: het ter goeder trouw handelen. Dat is een belangrijke. Zo kan ik in sommige verkeersomstandigheden kiezen om te remmen of om gas bij te geven. Als dat is om te goeder trouw een gruwelijk ongeluk te voorkomen, dan mag ik zelfs gas bijgeven, ook als op het bord staat dat dat niet mag. Zeker als knal op de rem staan veel gevaarlijker kon zijn. Plak ik echter mijn hele auto vol met stickers dat ik nooit over de limiet ga, dan maak ik het mezelf onnodig moeilijk later. Dan kan ikop mijn eigen woorden alsnog gevangen worden.

Tot slot, als je privacy statement voor veel geld door deskundige 1 is gemaakt, advocaat 2 van een tegenpartij schiet daar gelijk tien gaten in en advocaat 3 moet je dan verdedigen (omdat advocaat 1 met wintersport is), dan kan het een vervelende puinhoop worden. Die extra pijnlijk wordt als je zelf voor je heiligste geweten altijd te goeder trouw bezig bent geweest.

Je zou dus meer geld over moeten hebben voor juristen die je privacy statement zo kort mogelijk weten te houden. Het principe is simpel: heb je dan wat over het hoofd gezien, dan kun je nog manouvreren.

Commercieel is het ook sterker. Kort en krachtig geeft meer vertrouwen. User conditions en privacy statement die veel te veel gelul bevatten geven de gebruiker enkel maar de indruk dat je wat te verbergen hebt. Al zeker als ze in hoofdzaak nog op Amerikaans recht gebaseerd zijn. Waar we hier niks mee te maken hebben.

Kort en krachtig is beter. Dat is ook gemakkelijker geworden met de nieuwe wet. Want daar moet je je toch aan houden. Dat staat ook n wet namelijk. Vermelden dat je je aan de wet houdt is dus al een overbodige zin.

Privacy statements laat je het beste opmaken door experts die hun vak verstaan. En niet raar opkijken dat het zo kort is. Dat is juist een teken van kwaliteit. Dat mag wat kosten ook. Nooit een stok in je tuin leggen waar je later zelf mee geslagen kunt worden. Anders ga je misschien zelf later niet meer geloven in het te goede trouw principe. En dat is nog meer zonde dan dat je een rechtszaak verliest.

Diezelfde wet schrijft anders gewoon voor dat bepaalde rechten zoals inzage e.d. genoemd worden in privacyverklaring heur ;)
11-08-2019, 12:41 door Anoniem
Door Anoniem: (...)
Vooral in de privesfeer, als je zegt, ik leg voortaan alles vast wat ik maar kan, want ik ben te vaak belazerd geweest (...). Dan is dat ook gewoon een gerechtvaardigd belang. Tot een rechter vindt van niet. (...).

Alleen valt de privésfeer buiten het juridisch bereik van de AVG. Als je gegevens van levende mensen bewaart waar je verder niets (commercieels) me doet, dan mag dat gewoon. Net zo als je een lijstje gegevens over je familie en vrienden mag bewaren, zodat je hen kan uitnodigen voor je verjaardag. Geen rechter die daar iets van zal zeggen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.