image

Het leasebedrijf waar ik mijn auto lease bewaart ritgegevens gedurende de hele looptijd van het contract. Mag dat wel van de AVG?

woensdag 26 januari 2022, 10:23 door Arnoud Engelfriet, 26 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Het (private) leasebedrijf waar ik mijn auto heb geleased registreert alle ritgegevens via de ingebouwde GPS. Dus starttijd en eindtijd, maar ook de bijbehorende locaties. Men bewaart dit (zo kan ik zien in het account) gedurende de hele looptijd van het contract. Mag dat wel van de AVG?

Antwoord: Het verzamelen en bewaren van zulke gegevens valt natuurlijk onder de AVG. Die stelt als belangrijke eis onder meer dat je aan dataminimalisatie moet doen: niet meer bewaren dan nodig voor het beoogde doel. Daarbij is 'nodig' echt een dringende noodzaak, geen "wellicht was dit handig" of "misschien komt het eens van pas".

Het doel is volgens het leasebedrijf het verzorgen van facturatie en het kunnen opsporen van de auto bij bijvoorbeeld diefstal. Dat lijken me allebei op zich legitieme doelen. De vraag is dan dus: is het echt noodzakelijk dat je die gegevens bewaart voor deze doelen?

Ik kan me voorstellen dat je voor een factuur het gereden aantal kilometers nodig hebt van de afgelopen periode, en dat je bij een melding van diefstal wilt weten waar de auto het laatst zichtbaar was. Maar dan hoef je niet gedurende vele jaren al die gegevens te bewaren.

Ik zou zeggen dat je prima na elke rit datum, misschien tijdstip en aantal kilometers kunt registreren, of na elke dag het dan gereden totaal, zodat je aan het eind van de maand een gespecificeerde rekening kunt opstellen. En voor antidiefstal lijkt me de laatste locatie genoeg, dus oude locaties kunnen weg zodra er een nieuwe is geregistreerd.

Ik vermoed dat dit bedrijf zo werkt omdat ze begonnen zijn met zakelijke lease. Een werkgever heeft eerder belang bij weten van start- en eindlocatie per rit, en natuurlijk datum en tijd. Al is het maar om te bepalen of er wel zakelijk werd gereden. En vanwege fiscale regels is het voor zo'n werkgever wellicht eerder nodig om daar meerdere jaren terug te gaan met brongegevens.

Dus daar bouwt zo'n bedrijf dan een systeem voor, daarna besluit men naar private lease te gaan en krijgt de consumentklant hetzelfde systeem. Heel logisch, alleen mag dat dus niet zomaar van de AVG. Als je software voor een nieuwe doelgroep inzet, zul je opnieuw moeten ijken wat je dán nodig hebt.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (26)
26-01-2022, 10:47 door Anoniem
Wat is de conclusie dan?
26-01-2022, 11:12 door Anoniem
Ja dat is bij Arnoud zijn stukken altijd even zelf uitvogelen. Hij blijft namelijk nogal vaak in het midden.

Zoals ik zijn antwoord interpreteer zegt hij dat het mag voor bepaalde doeleinden voor de benodigde tijd. In dit geval zou het dus mogen maar voor een korte duur en zeker niet de volledige looptijd van het contract.

Wat je daar nu precies mee moet als klant lees ik niet terug, dat mag de vraagsteller blijkbaar zelf uitzoeken.
26-01-2022, 11:14 door Anoniem
Door Anoniem: Wat is de conclusie dan?

Dat het mag!
26-01-2022, 12:29 door Anoniem
Het probleem is natuurlijk dat die gegevens gewoon beschikbaar zijn. Ongeacht wie ze heeft.
En dat heeft de vrager zelf geaccepteerd.
26-01-2022, 12:34 door Anoniem
@Arnoud: waarom maak je onderscheid tussen private lease en zakelijke lease? Bij beide is de AVG volledig van toepassing. Ook een werkgever mag een werknemer niet tracken en tracen zonder zeer goede motivatie.
26-01-2022, 13:13 door Anoniem
Het mag als daar een goede reden voor is. Als het lease bedrijf nog 7 jaar moet kunnen aantonen bij de belastindienst dat hun facturen op deze informatie is gebaseerd, dan heb ze een legitieme reden
26-01-2022, 13:21 door Anoniem
Door Anoniem:
Door Anoniem: Wat is de conclusie dan?

Dat het mag!

Dat het niet mag!

"Heel logisch, alleen mag dat dus niet zomaar van de AVG. Als je software voor een nieuwe doelgroep inzet, zul je opnieuw moeten ijken wat je dán nodig hebt." <-- dus een eventueel gerechtvaardigd belang opnieuw goed onderbouwen door de lease maatschappij voor de nieuwe doelgroep, zolang de onderbouwing ontbreekt mag het NIET en is data minimalisatie verplicht.
26-01-2022, 13:24 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 26-01-2022, 13:26
Omdat het begrip "noodzaak" door verwerkingsverantwoordelijken, toezichthouders en rechters eindeloos is opgerekt, en bovendien de verwerkingsverantwoordelijken zelf de doelen mogen bepalen waarvoor iets "nodig" zou moeten zijn (de begrippen "gerechtvaardigd doel", "overwegend belang" en "proportionaliteit" zijn eveneens opgerekt tot grenzeloosheid), biedt de AVG in de praktijk als wet geen enkele bescherming.

Ook niet tegen het registreren van rittijden en plaatsen van lease-auto's en de bestuurders daarvan.

De AVG dient alleen om:
(1) De EU macht te geven ten opzichte van grote tech-bedrijven en andere actoren buiten de EU;
(2) Aan EU-burgers een gevoel van beschermdheid te geven, en daarmee onrust tegen te gaan;
(3) Als retorisch verwijsmiddel in specifieke gevallen waarin overheden wel willen optreden omdat daar belangen mee gemoeid zijn die weinig of niets te maken hebben met de privacy van individuele burgers. Dan is het makkelijk om te zeggen: "Omwille van de privacy moeten/mogen wij..."

In enkele uitspraken op 10 november 2021 heeft de Raad van State al aangegeven dat reisgegevens van OV-reizigers gewoon mogen worden geregistreerd als het vervoerbedrijf dat nodig vindt.[1] Daarmee is de privacy in het openbaar vervoer afgeschaft.

Dus als een leasemaatschappij hetzelfde wil doen met de reisgegevens van háár klanten, dan mag dat gewoon van onze "rechters". Alle persoonsgegevens mogen nu verzameld worden in het verkeer door bedrijven die de macht hebben hun klanten daartoe te dwingen. Er bestaat geen recht op privacy meer. Men doet alleen nog alsof. Voor zolang het duurt.

Het enige recht wat op dit punt in de praktijk nog bestaat, is het recht van de sterkste. Als je als privé-bestuurder van een lease-auto privacy wilt hebben, is er maar één manier: een lease-maatschappij opkopen. Vermoedelijk is het goedkoper om zelf een auto te kopen.

Maar de bewegingen van die auto worden vervolgens op allerlei plekken met camera's geregistreerd, inclusief nummerbordherkenning, en mogelijk op steeds meer plekken ook andere vormen van geautomatiseerde herkenning. Dat mag allemaal, omdat we niet meer in een rechtsstaat leven. Nu met de coronatoegangsbewijzen (CTB's) worden wat meer mensen wakker over wat er aan het gebeuren is (zie andere topics). Maar dit was al lang aan de gang, en men maakte zich daar niet al te druk om. We hadden toch de AVG? Dus dan zat het wel goed. Nee dus.

[1] https://www.security.nl/posting/731134/Privacyactivist+verliest+hoger+beroep+over+anonieme+OV-chipkaart En: https://www.privacyfirst.nl/aandachtsvelden/mobiliteit/item/1155-rechtszaak-over-privacy-anonieme-ov-chipkaart.html
26-01-2022, 13:26 door Anoniem
Door Anoniem: Wat is de conclusie dan?

Als je een jurist vraagt "Hoe laat is het?" dan zal hij zeggen: "Laat ik jou eens uitleggen hoe je een horloge maakt".

Die indruk krijg ik vaak als ik deze man hoor.
26-01-2022, 15:55 door Anoniem
Door Anoniem: @Arnoud: waarom maak je onderscheid tussen private lease en zakelijke lease? Bij beide is de AVG volledig van toepassing. Ook een werkgever mag een werknemer niet tracken en tracen zonder zeer goede motivatie.

Als je zakelijk least, zonder bij telling dan dien je een ritten administratie bij te houden voor de belastingdienst. De belastingdienst eist vaak ook dat gegevens gedurende de bezwaarperiode, 3-5 jaar, bewaard blijven. Dus daarom is er onder andere een verschil tussen zakelijk en privé. (en als je Arnoud goed leest schrijft hij dit ook)
26-01-2022, 19:47 door Anoniem
De NS doet hetzelfde. Die verwijderen ook niks, wat ik zeer twijfelachtig vindt. Eenmaal betaald zouden die gegevens toch niet meer nodig hoeven zijn...
26-01-2022, 20:16 door Anoniem
Door Anoniem: Als je een jurist vraagt "Hoe laat is het?" dan zal hij zeggen: "Laat ik jou eens uitleggen hoe je een horloge maakt".

Die indruk krijg ik vaak als ik deze man hoor.
Hier staat de tekst van de AVG:
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL
Volg die link eens, en besteed eens een poosje aan het doornemen ervan. Niet na vijf seconden afhaken, maar ga er eens rustig een half uur voor zitten, niet om alles te snappem maar om een indruk te kijken. Kijk naar hoe groot het is (pakweg 200 keer zo lang als het antwoord van Arnoud), en kijk naar het taalgebruik in de wetsartikelen (heel wat taaier dan het gewone Nederlands dat Arnoud gebruikt).

Als Arnoud je was gaan uitleggen hoe je een horloge maakt, of zelfs maar hoe het werkt, dan had je de hele AVG voor je kiezen gehad, met nog een hoop uitleg eromheen. Dat heb je niet voor je kiezen gekregen. In plaats daarvan heeft Arnoud maar heel weinig meer gedaan dan zeggen hoe laat het is: hij heeft er kort bij verteld waar je in dit geval aan kan zien hoe laat het is. In gewoon Nederlands.

Als ook dat voor jou, en een aantal anderen hier, al te ingewikkeld is, dan is dat niet anders. Maar dan nog: volg echt even die link naar de AVG hierboven. Doe echt even de moeite om er een poosje doorheen te bladeren. Kijk naar de inhoudsopgave, kijk naar wat voor taal er gebruikt wordt, kijk hoe ontzettend veel het is, en hoe complex het allemaal is.

Besef dat dat de wet is waar Arnoud het over heeft, en dan hoop ik dat je snapt hoe kort en helder het antwoord van Arnoud eigenlijk is.
26-01-2022, 23:29 door Anoniem
En als je de toelichting leest, dan ga je het waarschijnlijk ook begrijpen ook.

De AVG. Het leest als een boek. Voor mij helemaal niet ingewikkeld.
Kijk naar wat de wetgever wil bereiken (doelstellingen).
Dan ga je hoe men dat wil bereiken ook begrijpen (de wetsartikelen)
- Wat is doelstelling
- Hoe is middel

Het is nu eenmaal zo
eerst doelstelling
daarna pas middel.

Vaak zie ik in de reacties hier dat men een middel lees en vervolgens de doelstellingen erbij bedenkt (vaak ook vooringenomen).
27-01-2022, 00:26 door EersteEnigeEchte M.J. - EEEMJ
Door Anoniem:
Door Anoniem: Als je een jurist vraagt "Hoe laat is het?" dan zal hij zeggen: "Laat ik jou eens uitleggen hoe je een horloge maakt".

Die indruk krijg ik vaak als ik deze man hoor.
Hier staat de tekst van de AVG:
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL
Volg die link eens, en besteed eens een poosje aan het doornemen ervan. Niet na vijf seconden afhaken, maar ga er eens rustig een half uur voor zitten, niet om alles te snappem maar om een indruk te kijken. Kijk naar hoe groot het is (pakweg 200 keer zo lang als het antwoord van Arnoud), en kijk naar het taalgebruik in de wetsartikelen (heel wat taaier dan het gewone Nederlands dat Arnoud gebruikt).

Als Arnoud je was gaan uitleggen hoe je een horloge maakt, of zelfs maar hoe het werkt, dan had je de hele AVG voor je kiezen gehad, met nog een hoop uitleg eromheen. Dat heb je niet voor je kiezen gekregen. In plaats daarvan heeft Arnoud maar heel weinig meer gedaan dan zeggen hoe laat het is: hij heeft er kort bij verteld waar je in dit geval aan kan zien hoe laat het is. In gewoon Nederlands.

Als ook dat voor jou, en een aantal anderen hier, al te ingewikkeld is, dan is dat niet anders. Maar dan nog: volg echt even die link naar de AVG hierboven. Doe echt even de moeite om er een poosje doorheen te bladeren. Kijk naar de inhoudsopgave, kijk naar wat voor taal er gebruikt wordt, kijk hoe ontzettend veel het is, en hoe complex het allemaal is.

Besef dat dat de wet is waar Arnoud het over heeft, en dan hoop ik dat je snapt hoe kort en helder het antwoord van Arnoud eigenlijk is.

Ik heb al enkele jaren ervaring met de AVG (sinds introductie 25 mei 2018) en ja, ik heb ook de overwegingen voorafgaand aan de eigenlijke wetsartikelen gelezen. Daarnaast heb ik ervaringen met hoe rechters hier in de praktijk mee omgaan. Daaruit is me gebleken dat die rechters een zodanige "interpretatie" van de AVG hanteren dat ze feitelijk afwijken van een redelijke interpretatie van de letterlijke tekst daarvan (of je daarvan nu de Nederlandse of de "geldende" Engelse versie neemt). Het blijkt dat de rechters de AVG zelf ook "versimpelen" (o.a. d.m.v. selectieve toepassing) tot een vrij eenvoudige blanco cheque voor verwerkingsverantwoordelijken - of dat nu overheden zijn of particuliere organisaties.

De pretentie dat zo'n tekst in de praktijk heel nauwkeurig of genuanceerd iets definieert en dat het daarom verstandig is om die tekst heel precies te bestuderen, valt niet vol te houden als je kijkt hoe rechters hier in de praktijk mee omgaan. Zij maken het niet "ingewikkeld", maar negeren juist elementen van de wet die hun kennelijk niet uitkomen. Bij mij heeft dit tot de overtuiging geleid dat, als je de AVG goed wilt begrijpen, je deze alleen kunt begrijpen in de context van de rechtspraktijk die daar razendsnel omheen is gegroeid. Vandaar mijn commentaar hierboven (26-1-2022, 13:24 uur).

Het valt op dat niemand daar op reageert. Het lijkt alsof iedereen graag in de pretentie blijft geloven van een wetstekst die zorgvuldig en trouw door rechters wordt gevolgd, waardoor het lonend zou zijn die tekst heel precies te analyseren. Helaas is dat een illusie. De werkelijke wet die wordt gevolgd, is de ongeschreven wet van de vigerende machtsverhoudingen. Maar net als in de "corona-crisis", zijn er veel mensen die graag in de illusie blijven geloven dat de overheid incl. rechters wetgeving zorgvuldig zouden afwegen en toepassen.

Dat is ongeveer even onrealistisch als geloven dat een economisch model goed zou beschrijven en voorspellen hoe de economie in de praktijk functioneert (de "wet van vraag en aanbod" etc.), of dat een model van het RIVM goed zou beschrijven en voorspellen hoe een corona-golf verloopt. Tring-tring! Wakker worden!

M.J.
27-01-2022, 07:28 door Anoniem
Als je zakelijk least, zonder bij telling dan dien je een ritten administratie bij te houden voor de belastingdienst. De belastingdienst eist vaak ook dat gegevens gedurende de bezwaarperiode, 3-5 jaar, bewaard blijven. Dus daarom is er onder andere een verschil tussen zakelijk en privé. (en als je Arnoud goed leest schrijft hij dit ook)

Maar voor die rittenregistratie ben je zelf verantwoordelijk, die mag de leasemaatschappij niet ongevraagd voor jou gaan bijhouden.
27-01-2022, 07:35 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ: (of je daarvan nu de Nederlandse of de "geldende" Engelse versie neemt).
De Nederlandse versie is net zo "geldend" als de Engelse. Het is namelijk niet zo dat er een officiële versie met vertalingen is, alle 24 taalversies zijn precies even officieel en precies even geldig. Dat taal- en cultuurverschillen tot interpretatieverschillen kunnen leiden ontken ik daarmee niet, en dat maakt het allemaal nog ingewikkelder, maar de oplossing daarvoor is niet om te doen alsof de Engelse versie het laatste woord heeft, want zo is het in de EU niet opgezet, daar zijn alle officiële talen principieel gelijkwaardig.

Bij mij heeft dit tot de overtuiging geleid dat, als je de AVG goed wilt begrijpen, je deze alleen kunt begrijpen in de context van de rechtspraktijk die daar razendsnel omheen is gegroeid.
Dat heet jurisprudentie. Niets nieuws onder de zon.

Vandaar mijn commentaar hierboven (26-1-2022, 13:24 uur).

Het valt op dat niemand daar op reageert.
Tja, jouw opvatting van waar de AVG voor dient vond ik niet echt uitnodigend om op te reageren. Die kwam nogal complotdenkerig op me over. Dat de AVG alleen maar zou dienen om de EU macht te geven en opzichte van grote tech-bedrijven en andere actoren buiten de EU is bijvoorbeeld klinkklare onzin. Je vat dingen die zijn aangescherpt ten opzichte van de databeschermingsrichtlijn uit 1995 op alsof de wijzigingen het enige doel zijn en wat is gehandhaafd als doel is vervallen. Maar alles wat de privacy van burgers beschermt dat uit de databeschermingsrichtlijn is overgenomen gaat over doelen die niet vervallen zijn maar die zijn gehandhaafd. Het doel van de AVG is niet beperkt tot wat er veranderd is.

Om je uitspraken over de AVG te onderbouwen verwijs je trouwens naar zaken die nog volgens de Wbp zijn afgehandeld. Dat hoort niet tot een rechtspraktijk die razendsnel om de AVG heen gegroeid is maar tot een rechtspraktijk die al in 1995 begonnen is.
27-01-2022, 09:19 door Anoniem
Conclusie is dat het alleen mag als de leasemaatschappij daarvoor een doel heeft dat spoort met de dienst die ze leveren.
En dat is dus maar zeer de vraag in dit geval.

Dus mijn conclusie is: dat het niet mag (in deze vorm).
Maar eens navragen bij de maatschappij wat hun doel is, zou zinvol zijn.
27-01-2022, 09:53 door Anoniem
Het antwoord of het bij private lease mag, lijkt mij eigenlijk vrij simpel. De informatie per rit (tijdstip - vertrekpunt - aankomstpunt) is niet nodig voor het factureren. In een contract wordt het aantal km per jaar overeengekomen en de kilometerstand bij levering, de kilometerstand bij iedere onderhoudsbeurt en de kilometerstand bij inlevering zijn voldoende om de benodigde controle uit te oefenen. De GPS locatie op enig gegeven tijdstip is alleen relevant na melding van diefstal en die informatie hoort dan alleen door een BOA uitgevoerd te worden, want het betreft een opsporing.
Wanneer in de overeenkomst een beperking staat, die bepaalt dat een voertuig alleen in een bepaald gebied mag worden gebruikt, dan mag het GPS systeem een waarschuwing afgeven op basis van het overschrijden van de betreffende begrenzing. Elk ander gebruik is even onrechtmatig als het volgen van een telefoon door Google, Apple of fabrikant. En als het vastleggen van gegevens van een bezoeker door een website, anders dan voor het afhandelen van een bestelling op die website.

Lees daarom eerst een overeenkomst volledig door, voor je die tekent. Doe dit ook met de bijkomende leverings- of gebruiksvoorwaarden, die als afzonderlijk stuk worden gemeld, maar niet in de overeenkomst staan. Teken pas, wanneer je daarmee akkoord bent of met een handgeschreven vermelding, dat je niet akkoord gaat met voorwaarde X uit Y. Doe dit op alle exemplaren en zet er je paraaf bij. Krijg je de auto dan toch geleverd (waarschijnlijk niet), dan gaat de tegenpartij hiermee akkoord en is het ook voor hen bindend.
27-01-2022, 09:53 door botbot
Door Anoniem:
Door Anoniem: Wat is de conclusie dan?

Dat het mag!

Nee. Alleen voor zakelijke leasers dus:

Dus daar bouwt zo'n bedrijf dan een systeem voor, daarna besluit men naar private lease te gaan en krijgt de consumentklant hetzelfde systeem. Heel logisch, alleen mag dat dus niet zomaar van de AVG. Als je software voor een nieuwe doelgroep inzet, zul je opnieuw moeten ijken wat je dán nodig hebt

Voor prive lease mag het dus niet zomaar.
27-01-2022, 10:09 door Anoniem
Door Anoniem: De NS doet hetzelfde. Die verwijderen ook niks, wat ik zeer twijfelachtig vindt. Eenmaal betaald zouden die gegevens toch niet meer nodig hoeven zijn...
Wanneer je dan data verwijderd wil hebben bij de NS willen zij ook nog eens eerst een kopie van jouw ID. AVG zal blijkbaar niet gelden voor de NS...
27-01-2022, 10:56 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 27-01-2022, 11:33
Door Anoniem:
Door EersteEnigeEchte M.J. - EEEMJ: (of je daarvan nu de Nederlandse of de "geldende" Engelse versie neemt).

De Nederlandse versie is net zo "geldend" als de Engelse. Het is namelijk niet zo dat er een officiële versie met vertalingen is, alle 24 taalversies zijn precies even officieel en precies even geldig. Dat taal- en cultuurverschillen tot interpretatieverschillen kunnen leiden ontken ik daarmee niet, en dat maakt het allemaal nog ingewikkelder, maar de oplossing daarvoor is niet om te doen alsof de Engelse versie het laatste woord heeft, want zo is het in de EU niet opgezet, daar zijn alle officiële talen principieel gelijkwaardig.

Dat klopt, maar toch ben ik tegengekomen dat deskundigen in discussies naar de Engelse versie verwezen om te betogen hoe de Nederlandse versie moest worden uitgelegd. Daardoor zag ik me in die gevallen genoodzaakt de tekst van de Engelse en Nederlandse versies te vergelijken. Er waren subtiele nuanceverschillen te bespeuren. Ik herinner me een geval waarin de Nederlandse tekst een iets "lossere" interpretatie leek te geven van het noodzakelijkheidscriterium, waardoor dat in het Nederlands aan verwerkingsverantwoordelijken meer ruimte leek te geven om naar eigen inzicht een verwerking "nodig" te vinden. Die ruimte in de Nederlandse tekst werd door hen ook aangegrepen.

Bij mij heeft dit tot de overtuiging geleid dat, als je de AVG goed wilt begrijpen, je deze alleen kunt begrijpen in de context van de rechtspraktijk die daar razendsnel omheen is gegroeid.

Dat heet jurisprudentie. Niets nieuws onder de zon.

Wel nieuws onder de zon als er eerst met veel fanfare wordt gezegd dat privacy met de AVG (nieuw!) beter beschermd zal zijn dan voorheen, en er vervolgens blijkt dat rechters de letterlijke tekst van de AVG in hun interpretaties zover naar de andere kant ombuigen dat burgers eigenlijk weinig afdwingbare rechten overhouden.

Jurisprudentie is op zichzelf niets nieuws. Maar jij weet best dat ik daar niet op doelde. Graag te goeder trouw argumenteren, dat draagt bij aan een goede discussie.

Vandaar mijn commentaar hierboven (26-1-2022, 13:24 uur).

Het valt op dat niemand daar op reageert.

Tja, jouw opvatting van waar de AVG voor dient vond ik niet echt uitnodigend om op te reageren. Die kwam nogal complotdenkerig op me over. Dat de AVG alleen maar zou dienen om de EU macht te geven en opzichte van grote tech-bedrijven en andere actoren buiten de EU is bijvoorbeeld klinkklare onzin.

Ik heb drie doelen genoemd waarvoor de AVG dient, niet slechts één. Beter lezen graag. Kern van mijn betoog is dat de letterlijke tekst van de AVG (en artikel 8 EVRM dat bepalend zou moeten zijn voor de interpretatie van de AVG) niet werkelijk leidend zijn voor de rechtspraktijk sinds 25 mei 2018. Door verhullende en tendentieuze rechterlijke interpretaties is de functie van de AVG op cruciale punten veranderd van een wetstekst in die van een retorisch-symbolische tekst. Mensen worden niet langer door de wet beschermd, maar krijgen met verwijzing naar de tekst daarvan soms politieke gunsten toebedeeld via de rechter, maar soms ook niet. Het politieke doel van digitale controle over alle burgers wordt door de Nederlandse rechters telkens gehonoreerd, ook als het in strijd is met de AVG als wetstekst.

Je vat dingen die zijn aangescherpt ten opzichte van de databeschermingsrichtlijn uit 1995 op alsof de wijzigingen het enige doel zijn en wat is gehandhaafd als doel is vervallen. Maar alles wat de privacy van burgers beschermt dat uit de databeschermingsrichtlijn is overgenomen gaat over doelen die niet vervallen zijn maar die zijn gehandhaafd. Het doel van de AVG is niet beperkt tot wat er veranderd is.

Nee hoor, dat vat ik helemaal niet zo op. Waaruit leid je dat af, dat ik dat zo zou opvatten?

Om je uitspraken over de AVG te onderbouwen verwijs je trouwens naar zaken die nog volgens de Wbp zijn afgehandeld. Dat hoort niet tot een rechtspraktijk die razendsnel om de AVG heen gegroeid is maar tot een rechtspraktijk die al in 1995 begonnen is.

Wat je hier zegt, snijdt geen hout, om twee redenen.
(a) Bij de introductie van de AVG is gezegd dat de materiële bescherming die de AVG biedt, weinig verschilt van die van de eerdere wetgeving, maar dat de AVG vooral meer instrumenten biedt om bestaande privacy-bescherming effectiever te handhaven. Het belangrijke artikel 6 lid 1 van de AVG is bijvoorbeeld inhoudelijk gelijk aan artikel 8 Wbp.
(b) Ik heb me zowel bezig gehouden met zaken die voorafgaand aan 25 mei 2018 (inwerkingtreding AVG) zijn gestart (met een klacht/handhavingsverzoek bij de toezichthouder), als met zaken die na 25 mei 2018 zijn gestart. Ik zie geen verschil in de benaderingswijze van de toezichthouder (de AP) en ook niet in de benadering die wordt gevolgd door de rechters. Alles blijft erop gericht om digitale verzameling en verdere verwerking van persoonsgegevens zoveel mogelijk toe te staan, ook in gevallen van het ontbreken van een objectiveerbare noodzaak.

Een aardig voorbeeld van de manier waarop het doel van de wet wordt omzeild, is overweging (15) van de AVG:

(15) In order to prevent creating a serious risk of circumvention, the protection of natural persons should be technologically neutral and should not depend on the techniques used. The protection of natural persons should apply to the processing of personal data by automated means, as well as to manual processing, if the personal data are contained or are intended to be contained in a filing system. (...)

Maar in de zaak m.b.t. de OV-chipkaart voerde de AP bij de rechter aan dat bepaalde gegevensverzameling nodig is omdat "digitalisering een gegeven is." Daarom weigerde de AP het minder privacy-invasieve alternatief van een klassiek papieren treinkaartje te onderzoeken, in strijd met het subsidiariteitsbeginsel en het beginsel van dataminimalisatie. De rechters accepteerden kennelijk (want stilzwijgend) dat argument, want floten de AP op dit punt niet terug.

Kijk, ik vind de AVG (GDPR) overwegend een mooie constructie (die hier en daar wordt aangetast door zeer lelijke politieke compromissen die erin zijn verwerkt). Mijn punt gaat over de interpretatie en daarmee ook de implementatie van de AVG. Die is vaak niet transparant en in mijn ogen vaak ook in strijd met elementaire logica en met het doel van artikel 8 EVRM (dat richtinggevend zou moeten zijn). Op die manier is er voor de burgers geen effectieve, kenbare rechtsbescherming meer.

Er zijn enkele voorbeelden dat het ook anders en beter kan. Maar de overweldigende trend is dat Nederlandse rechters de rechtsbescherming die de AVG zou kunnen bieden, zoveel mogelijk afbreken, in lijn met de wensen van een overheid die burgers meer wil controleren en commerciële organisaties die burgers meer willen manipuleren.

Als de AVG op deze wijze door rechters "creatief" en met trouw aan de statelijke en commerciële machthebbers geïnterpreteerd wordt, dan zal ook de privacy van lease-auto-gebruikers niet worden beschermd.

Een vraagje: ben jij een rechter? Of een jurist die heeft meegewerkt aan de totstandkoming van de AVG en daar emotioneel mee verbonden is? Ik hoor het graag.

M.J.
27-01-2022, 10:56 door Anoniem
Wow, wat een antwoorden... mag wel of mag niet zonder enige kennis binnen de organisatie en contractafspraken, enz.

Het mag of mag niet bepaald de DPIA, dus... wat zegt de DPIA hierover? Niemand kan nu ja of nee roepen...
Als de fiscus je werkgever verplicht dit 5 jaar lang te kunnen beantwoorden... dan is er wel een grondslag, enz. de vraas is en bljift, wat zegt de DPIA...
27-01-2022, 12:04 door Anoniem
Door Anoniem:
Door Anoniem: @Arnoud: waarom maak je onderscheid tussen private lease en zakelijke lease? Bij beide is de AVG volledig van toepassing. Ook een werkgever mag een werknemer niet tracken en tracen zonder zeer goede motivatie.

Als je zakelijk least, zonder bij telling dan dien je een ritten administratie bij te houden voor de belastingdienst. De belastingdienst eist vaak ook dat gegevens gedurende de bezwaarperiode, 3-5 jaar, bewaard blijven. Dus daarom is er onder andere een verschil tussen zakelijk en privé. (en als je Arnoud goed leest schrijft hij dit ook)

Dat is niet de verantwoordelijkheid van de werkgever! Dat heeft een andere poster ook al opgemerkt. Sterker nog, het gaat de werkgever niets aan!
27-01-2022, 12:13 door Anoniem
Ik ben anoniem 25-01-2022 23:29

Reagerend op vooral de tussen MJ en anderen,

Even in filosofie termen
Als twee mensen ieder aan de andere kant van de straat staan
en als er dan een auto midden op de straat tussen hen door rijdt
dan zegt de een: de auto rijdt van rechts naar links
en de ander zegt dan: de auto rijdt van links naar rechts

Voor mij is de AVG bedoeld om te beschermen, maar. Ik meen dat MJ dat ook zo ziet, ook met een maar.
Over die maar gaat het.
Waar ik nog wil zien dat de rechters de minimale ruimte wil geven aan verwerkingsverantwoordelijken,
daar ziet MJ dat de rechter maximale ruimte wil geven aan verwerkingsverantwoordelijken.

Ook vanuit mijn positie zie ik opvallende dingen
ook ik zie dat OV het oude 'papieren'kaartje heeft afgeschaft.
ook ik zie dat het EPD (lang geleden, maar toch) ontwikkeld is zonder enig belang te hechten aan de patienten.
en zo kan ik nog wel door gaan

Ik meen echter dat bestuurders en projectleiders hun projecten zo goedkoop mogelij willen maken en daarom de complexe samenhang van automatisering met behoud van fundamentele privacy steeds niet waar kunnen (of willen) maken.
Dan komt er een probleem. Dat wordt de gang naar de rechter gemaakt. En dan kan ook anders worden geoordeeld dan waarvoor de AVG is gemaakt.
Dan is het goed (voor ons allemaal) als er mensen zoals MJ zijn.

Het (wij) zijn allemaal net mensen.
27-01-2022, 16:11 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ: Ik heb drie doelen genoemd waarvoor de AVG dient, niet slechts één. Beter lezen graag.
Ik had het slordig geformuleerd. Je noemde inderdaad drie dingen, maar nummers twee en drie zou ik geen doelen van de AVG noemen. In doel twee noem je niet de privacybescherming van burgers die ook al in de databeschermingsrichtlijn zat maar dat burgers het gevoel moeten krijgen beschermd te zijn om onrust tegen te gaan. Het retorische verwijsmiddel is ook geen doel van de AVG. Er kunnen heel makkelijk politici en bestuurders rondlopen die er lippendienst aan bewijzen maar ondertussen met iets heel anders bezig zijn, maar daarmee zijn dat nog niet de doelstellingen van de AVG.

Het politieke doel van digitale controle over alle burgers wordt door de Nederlandse rechters telkens gehonoreerd, ook als het in strijd is met de AVG als wetstekst.
"Het" politieke doel? Er zijn nogal wat verschillende politieke partijen met verschillende doelen. Ik zie lang niet alles zo gaan als ik het het liefst zou zien, maar daarmee zie ik nog niet allerlei machten eensgezind tegen de burgers gekeerd zijn. Ik zie zat machten en belangen die botsen met die van burgers, maar ik zie ze ook volop botsen met elkaar, en dat levert een heel ander beeld van de werkelijkheid op dan dat van "het" politieke doel van digitale controle over alle burgers.

Nee hoor, dat vat ik helemaal niet zo op. Waaruit leid je dat af, dat ik dat zo zou opvatten?
Uit het feit dat je wat er aan bescherming van burgers gehandhaafd is niet als een doel omschreef, maar het interpreteerde als het gevoel geven dat het zo is om onrust tegen te gaan. Daar las ik niet in dat je inziet dat de doelen van de databeschermingsrichtlijn in de AVG zijn gehandhaafd. Je leek dat juist over te slaan.

Wat je hier zegt, snijdt geen hout, om twee redenen.
Je gaf zelf als context "de rechtspraktijk die daar razendsnel omheen is gegroeid", en "daar" sloeg op de AVG. Je hebt gelijk dat de materiële bescherming van de AVG weinig verschilt van die van de voorgaande wetgeving, maar je liet zelf dat zelf met die opmerking juist uitdrukkelijk buiten beschouwing. In dat licht was het opmerkelijk dat je naar uitspraken op basis van de Wbp verwees, dat ging niet over iets dat razendsnel om de AVG is gegroeid.

Een vraagje: ben jij een rechter? Of een jurist die heeft meegewerkt aan de totstandkoming van de AVG en daar emotioneel mee verbonden is? Ik hoor het graag.
Nee.
27-01-2022, 18:28 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 27-01-2022, 18:58
Door Anoniem:
Door EersteEnigeEchte M.J. - EEEMJ: Ik heb drie doelen genoemd waarvoor de AVG dient, niet slechts één. Beter lezen graag.

Ik had het slordig geformuleerd. Je noemde inderdaad drie dingen, maar nummers twee en drie zou ik geen doelen van de AVG noemen. In doel twee noem je niet de privacybescherming van burgers die ook al in de databeschermingsrichtlijn zat maar dat burgers het gevoel moeten krijgen beschermd te zijn om onrust tegen te gaan. Het retorische verwijsmiddel is ook geen doel van de AVG. Er kunnen heel makkelijk politici en bestuurders rondlopen die er lippendienst aan bewijzen maar ondertussen met iets heel anders bezig zijn, maar daarmee zijn dat nog niet de doelstellingen van de AVG.

"De AVG" heeft geen doelstellingen, want het zijn letters op papier, tenzij je daarmee de opstellers van de AVG bedoelt. Die hebben hun doelstellingen in de bij de AVG behorende overwegingen geformuleerd (een soort preambule). Maar die formuleringen zijn (zoals in/bij elke wetstekst) voortgekomen uit onderhandelingen en politieke compromissen, en daardoor vaak abstract en voor meerdere uitleg vatbaar.

Wat ik zei, was niet dat de AVG drie doelen "heeft", maar dat de AVG drie doelen "dient". Dat wil zeggen dat deze wet in de praktijk wordt uitgevoerd in dienst van drie doelen.

Jij lijkt jezelf tegen te spreken wanneer je enerzijds stelt dat het "niets nieuws onder de zon" is dat de betekenis van een wetstekst in de praktijk wordt bepaald door jurisprudentie, terwijl je anderzijds nu suggereert dat "de AVG" als kale wetstekst, dus los van de manier waarop hij wordt geïnterpreteerd en gebruikt, op zich een doel zou kunnen "hebben". Ik heb het de hele tijd over de betekenis die de wetstekst krijgt door de manier waarop hij in de praktijk wordt geïnterpreteerd en gebruikt, hetgeen in dit geval wil zeggen: misbruikt.

Het politieke doel van digitale controle over alle burgers wordt door de Nederlandse rechters telkens gehonoreerd, ook als het in strijd is met de AVG als wetstekst.
"Het" politieke doel? Er zijn nogal wat verschillende politieke partijen met verschillende doelen.

Je leest weer niet goed. "Het" betekent hier niet dat er maar één politiek doel zou zijn. Dit is vergelijkbaar met: "De boom die vanaf het erf van mijn buurman mijn tuin overschaduwt, wordt door hem nooit bijgesnoeid." Het woordje "de" impliceert NIET dat er maar één boom op het erf van mijn buurman zou staan.

Ik zie lang niet alles zo gaan als ik het het liefst zou zien, maar daarmee zie ik nog niet allerlei machten eensgezind tegen de burgers gekeerd zijn. Ik zie zat machten en belangen die botsen met die van burgers, maar ik zie ze ook volop botsen met elkaar, en dat levert een heel ander beeld van de werkelijkheid op dan dat van "het" politieke doel van digitale controle over alle burgers.

Ik beweer ook helemaal niet dat er geen machten en belangen zijn die behalve met burgers ook met elkaar botsen. Ik zie wel dat er een dominante samenklontering van machten is op het gebied van o.a. digitalisering, waardoor:
(a) die machten in onderlinge consensus over het belang van de burger bij privacy heenwalsen;
(b) er van de trias politica op cruciale punten weinig meer over is.

Nee hoor, dat vat ik helemaal niet zo op. Waaruit leid je dat af, dat ik dat zo zou opvatten?

Uit het feit dat je wat er aan bescherming van burgers gehandhaafd is niet als een doel omschreef, maar het interpreteerde als het gevoel geven dat het zo is om onrust tegen te gaan. Daar las ik niet in dat je inziet dat de doelen van de databeschermingsrichtlijn in de AVG zijn gehandhaafd. Je leek dat juist over te slaan.

Het officiële doel met de AVG is natuurlijk, net als met voorafgaande regelgeving, de bescherming van persoonsgegevens. Dat zit al in de naam van deze regeling (Algemene Verordening Gegevensbescherming), net als in de naam van de voorafgaande regelingen (bijv. Wet Bescherming Persoonsgegevens). Waarom zou ik dat opnieuw moeten noemen? Het is alsof jij uit het feit dat ik in de tekst "2 plus 2 is 4" niet opnieuw uitleg wat "plus" betekent, concludeert dat ik misschien wel "min" bedoel.

Wat je hier zegt, snijdt geen hout, om twee redenen.

Je gaf zelf als context "de rechtspraktijk die daar razendsnel omheen is gegroeid", en "daar" sloeg op de AVG. Je hebt gelijk dat de materiële bescherming van de AVG weinig verschilt van die van de voorgaande wetgeving, maar je liet zelf dat zelf met die opmerking juist uitdrukkelijk buiten beschouwing. In dat licht was het opmerkelijk dat je naar uitspraken op basis van de Wbp verwees, dat ging niet over iets dat razendsnel om de AVG is gegroeid.

Ik liet niks "uitdrukkelijk" buiten beschouwing (dat is bijna een contradictio in terminis). Jij nam domweg aan dat ik dat buiten beschouwing liet. De AVG is uitdrukkelijk geïntroduceerd als een regeling met als doel om in de praktijk MEER bescherming van persoonsgegevens te realiseren dan voorafgaande regelgeving. Dit was het moment dat rechters hun rechtspraktijk daaraan konden aanpassen. Ik constateer dat ze dat niet hebben gedaan, maar integendeel juist allerlei toeren uithalen om de rechtsbescherming te verminderen. Bijv. een streeds extremer gebruik van concepten als "terughoudende/marginale toetsing", "bestuurlijke beoordelingsmarge" en andere vrijbrieven voor bestuurlijke willekeur.

De vraag rijst dan: waarom doen ze dat? Wat zijn hun motieven? Zijn die misschien gelegen in hun steeds nauwere banden met netwerken die zowel hen als de uitvoerende en wetgevende macht beïnvloeden (de eerder genoemde "samenklontering")?

Een vraagje: ben jij een rechter? Of een jurist die heeft meegewerkt aan de totstandkoming van de AVG en daar emotioneel mee verbonden is? Ik hoor het graag.
Nee.

In dat geval vraag ik me af waarom je het oneens bent met wat ik naar voren breng.

In je reactie ga je niet in op de kern van mijn betoog, namelijk dat er door de manier waarop de uitvoerende macht, de toezichthouder èn de rechters met de AVG omgaan, niets overblijft van een effectieve bescherming van de privacy van burgers tegen machtsmisbruik van de kant van de overheid of met de overheid sterk verbonden, formeel commerciële actoren (bijvoorbeeld openbaar-vervoerbedrijven zoals NS, met zijn OV-chipkaart), en dat daardoor ook geen effectieve rechtsbescherming kan worden verwacht tegen gelijksoortige data-roof (dan wel: onrechtmatig langer bewaren van data) van de kant van lease-maatschappijen.

Waarom ga jij niet in op de kern van de zaak, maar richt je je op allerlei schermutselingen in de marge?

M.J.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.