Hoort bij een vraag om toestemming niet duidelijk te worden vermeld waar deze toestemming precies voor is?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Laatst kwam in het nieuws dat sommige bunq-klanten in de bunq-app de aandelenhandel van hun contacten kunnen zien bunq zegt dat gebruikers bij het installeren van de bunq-app twee keer de vraag krijgen of ze de app toegang willen geven tot hun contacten, maar klanten geven aan dat niet duidelijk genoeg is dat die contacten dan ook je aandelen- en cryptotransacties kunnen zien. Hoort bij de vraag om toestemming niet duidelijk te worden vermeld waar deze toestemming precies voor is?
Antwoord: Inderdaad eist de AVG dat toestemming "vrij, specifiek, geïnformeerd en ondubbelzinnig" is. Uit het punt "geïnformeerd" volgt dat je moet weten waar je allemaal toestemming voor geeft. En als dat meer dan één ding is, dan moet dat dus worden uitgesplitst.
Er is wat discussie over of je de toestemmingsvraag mag combineren (alles ja of alles nee), maar dat je apart moet noemen voor welke dingen de toestemming geldt, is geen onderwerp van discussie.
Bunq zegt ‘Als je bunq downloadt, krijg je tweemaal de vraag of je toegang geeft tot je contacten’ en daarna ‘Die lijst wordt gebruikt om te verbinden met andere bunq-gebruikers. Je kunt daarna de functie aan- en uitzetten.’ Die eerste vraag is een klassieker, maar natuurlijk enorm onduidelijk. Het gaat er niet om of bunq bij je adresboek mag, maar waarom. En dat staat er niet bij.
Verder zegt de wordvoerder dus dat je daarna "de functie" van het aandelendelen kunt aan- en uitzetten. Dat gaat via je Instellingen:
1. Open the Crypto tab in the app
2. Tap the Settings Gear in the top right corner
3. Disable the toggle “See Friend’s Trades”
Nou is dat een duidelijke toestemmings-knop, alleen staat deze dus standaard áán zodra je de toegang tot contacten verleent. En dat klopt niet. Of de "toegang tot contacten"-vraag had ook een "laat contacten je aandelenhandel zien"-tekst moeten hebben, of er had een aparte vraag moeten komen voor deze optie. Of hij stond gewoon uit tot je hem ontdekte.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Zie Huawei Mobile Services (HMS) Core.
https://reports.exodus-privacy.eu.org/nl/reports/com.bunq.android/latest/#trackers
Daarnaast zit hun app tjokvol andere trackers en onnodige permissions.
Ik denk dat dit genoeg zegt over hun prioriteiten...
Afgezien dat het sowieso al moeilijk is om te bepalen waarvoor je toestemming verleend is het is veel te makkelijk om het voor gebruikers ondoenlijk te maken daar grip op te krijgen. Met dan nog als toetje voor malicieuze partijen de grondslag gerechtvaardigd belang. Het zou beter zijn als de wet een goede materiële norm stelt wat acceptabel is en wat niet en dat in daarbij de afweging van belangen zeer restrictief is wat betreft marketing en profilering: gewoon niet toestaan. En dan wel handhaven, iets wat de ACM en AP nu veel te weinig doen. Die gaan liever eerst "in gesprek" en dat valt deels te verklaren (geen rechtvaardiging) uit de zware bewijslast die op de handhaving rust; wetgeving die wel een duidelijke materiële norm stelt zou dat een stuk eenvoudiger maken.
Voor wie de term materieel in juridisch verband wat onbekend is, lees dan daarvoor inhoudelijk, in tegenstelling tot procedureel. "Informed consent" is een procedureel vereiste.
Joep Lunaar bedoelt met "materieel / inhoudelijk" wat er in het Engels met het woordd "substantive" wordt aangeduid.
Als vereiste is "informed consent" niet een procedureel vereiste, maar een materieel vereiste. Dit betekent dat als een verwerkingsverantwoordelijke vraagt: "Geeft u geïnformeerde toestemming, vink dan het hokje hiernaast aan", en de betrokkene vinkt het betreffende hokje aan, dat dit dan nog niet betekent dat er ook geïnformeerde toestemming is gegeven. Dat hangt namelijk af van de vraag of de betrokkene in de realiteit inderdaad op de hoogte was van de doelen waarvoor de gegevens zouden worden verwerkt, en degenen met wie ze na zijn toestemming mogen worden gedeeld.
Er is in de loop der tijd wel onenigheid geweest onder bestuursrechtjuristen of bepaalde vereisten nu "materieel" (inhoudelijk, substantive) waren of "formeel" (procedureel). Bijvoorbeeld het vereiste dat een besluit van een bestuursorgaan voldoende gemotiveerd moet zijn. In mijn opleiding leerde ik dat het motiveringsvereiste een materieel vereiste was, en dat het ontbreken van een (deugdelijke) motivering dus een materieel gebrek in een besluit was, waardoor het besluit niet door de rechter snel even "gerepareerd" mocht worden door de motivering achteraf aan te vullen, om het makkelijker te maken voor het bestuursorgaan. Daarna heb ik echter allerlei juristen het tegenovergestelde horen beweren.
Over het algemeen biedt een materieel vereiste aan burgers meer bescherming dan een formeel vereiste. Vandaar dat veel bestuursorganen en hun juristen, alsmede rechters die burgers juist minder willen beschermen, graag vinden dat iets slechts een formeel vereiste is. Als rechters daarvoor kiezen, is dat in essentie een politieke keuze om aan burgers minder bescherming te bieden in relatie tot bestuursorganen. Om dat een beetje te vergoelijken, wordt het dan soms een "rechtspolitieke" keuze genoemd.
M.J.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?