Juridische vraag: wat is nu precies privacy?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Wat wordt nu eigenlijk bedoeld met 'privacy'? Wanneer vallen gegevens onder je privacy zodat je kunt verbieden dat iemand die gebruikt?
Antwoord: Privacy is net als porno - iedereen weet wat het is, maar niemand kan het echt definiëren. (En er wordt een beetje lacherig over gedaan altijd.) De beste definitie vind ik nog steeds "het recht met rust gelaten te worden". Onder juristen is "de persoonlijke levenssfeer" de gebruikelijke term, maar dat zie ik meer als een synoniem dan als een toelichting.
In de praktijk zijn er twee soorten privacy: de relationele en de informationele. De relationele privacy komt neer op "je hebt als mens het recht om je leven op je eigen manier te leiden en in te vullen zoals jij dat prettig vindt." Dit raakt dus aan cameratoezicht, stelselmatig volgen of gluren bij de buren. Bij ICT vaak relevanter is de informationele privacy: het verzamelen en verwerken van informatie over iemand, om daarmee vast te stellen wat hij doet of wat we over hem te weten kunnen komen. Het mogen filmen van wegmisbruikers valt dus onder de relationele privacy terwijl de discussie over de meelezende werkgever raakt aan de informationele privacy (maar indirect óók aan de relationele).
De Wet bescherming persoonsgegevens wordt vaak "de privacywet" genoemd. Deze wet gaat dus over de informationele privacy en regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Het bekendste voorbeeld is iemands naam of adres. Maar aan een foto is iemand ook te herkennen. Een foto is dus net zo goed een persoonsgegeven. En het houdt niet op bij zulke feitelijke gegevens: gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld een beoordeling van diens manager, kan ook een persoonsgegeven zijn.
Op grond van deze wet is in principe toestemming nodig voor elke verwerking van persoonsgebonden gegevens, hoewel er uitzonderingen zijn. Je hebt dus geen absoluut recht om iedere verwerking te verbieden als je die niet bevalt, maar de wederpartij moet wel bewijzen dat een van de uitzonderingen opgaat.
Als meest algemene uitzondering geldt dat men persoonsgegevens mag gebruiken als er een aantoonbare, zwaarwegende noodzaak is om dat te doen en die noodzaak na een belangenafweging belangrijker blijkt dan de privacy van de betrokken persoon. Een voorbeeld is een nieuwsuitzending waarin de naam van een persoon wordt genoemd. Als het nieuwsbelang van die naam groter is dan het privacybelang van die persoon, dan is dit legaal ook al geeft deze persoon geen toestemming voor de uitzending.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Een aardige manier om dit te benaderen vind ik zelf het vergelijken van de termen "security" en "privacy".
Security kan iedereen wel plaatsen. Als iets je veiligheid in het gedrang brengt, heb je daar problemen mee. Daar zit iets onmiddelijks, of bekends, in. M.a.w. iets gaat direct je veiligheid beïnvloeden, of we weten dat er statistisch gezien een grote kans is dat dit je veiligheid in gevaar gaat brengen.
Privacy daarentegen, gaat over informatie die je veiligheid niet direct in gevaar brengt, maar het heeft de potentie om in de toekomst een gevaar voor je veiligheid te worden.
Standaard voorbeeld: kennis over iemands godsdienst was op een bepaald moment niet gevaarlijk, totdat een gek als Hitler in de 2e wereldoorlog er ineens een reden in zag om mensen te vervolgen. Dus vóór de 2e wereldoorlog was godsdienst een privacy issue, en tijdens de 2e wereldoorlog was het een security issue.
Niemand zal moeite hebben om informatie weg te geven waarvan je denkt dat ze in de toekomst niet misbruikt kunnen gaan worden om jouw veiligheid negatief te beïnvloeden. Dat hoort die informatie dan voor jou niet onder privacy. Als je het gevoel hebt dat dit mogelijk wel misbruikt kan worden, dan hoort het wel onder "privacy". En als het min of meer algemeen geaccepteerd is dat het (statistisch of direct) je veiligheid kan beïnvloeden, dan hoort het onder "security".
Het probleem met privacy is dus, dat het om gegevens gaat waarvan je (nog) niet, of niet zeker, weet of het je veiligheid gaat beïnvloeden. En hoe maak je dus de keuze om het privé te houden of niet? Dat is een lastige beslissing, die daarom door de één anders genomen zal worden dan door de ander.
Het voordeel van deze benadering is dat je ook combinaties van gegevens kunt bekijken. Een gegeven op zichzelf is nauwelijks een probleem. M.a.w. een aanvaller kan er niets mee. Een combinatie van gegevens verandert dat (bijv. een "naam" is weinig interessant; het wordt interessanter als je ook het "adres" kent).
Ik zie dit ook als gevaar van "big data" zoals Google en andere bedrijven verzamelen. Zolang je de (mensen bij die) bedrijven vertrouwt, is er niets aan de hand. Maar vroeg of laat verandert er iets in die bedrijven, of de data wordt opgeëist door instanties die je niet vertrouwt, en dan is het ineens een security probleem.
Dus, we moeten bekijken wie de mogelijke "misbruikers" van informatie kunnen zijn in de toekomst, en dan aanvalspatronen gaan onderkennen waarop ze met die data iets zouden kunnen doen wat jouw veiligheid nadelig beïnvloedt. Maar goed, dat is natuurlijk niet eenvoudig. Want wie kan er in de toekomst kijken.
Ik zie alléén geen andere manier om op een goede manier met het begrip privacy om te gaan.
De vraagstelling was wat privacy is, niet of privacy belangrijk is.
De vraagstelling was wat privacy is, niet of privacy belangrijk is.
Kolommen: toetsing vóor gebruik (argumenten waarom), en toetsing achteraf (gebleken gebruik) .
Rijen: Wat kun je doen met goede bedoelingen, en wat kun je doen met slechte bedoelingen:
Jurisprudentie praktijkvoorbeeld:
2 buren delen een gemeenschappelijke (=publieke) portiek naar beider voordeur.
Buurman 1 wil en gaat er een camera ophangen om de portiek (en beide deuren) in de gaten te houden.
Buurman 2 protesteert vanwege privacy schending.
Buurman 1: toetsing vooraf, goede bedoelingen: vanwege inbrekers en ander gespuis gevaar
Buurman 2: toetsing vooraf; slechte bedoelingen: registreren van buurman2 binnenkomen en verlaten van huis en met wie.
Rechter: Veiligheid weegt zwaarder dan registreren van buurman 2 in het openbaar.
vervolgens blijkt tijdens de opnamen dat buurman 2 die getrouwd is , vaak met verschillende dames van licht allooi door de deur gaat.
Buurman 1 meld het aan de vrouw van buurman 2 en levert "bewijs".
Rechter: dat is wèl schending van buurman2 privacy (twijfelgeval: als de buurman2 op de hoogte is van de camera..en dat is ie) en bovendien heeft het voor enorme emotionele schade gezorgd voor 2 personen wat de buurman 1 zich wel kon indenken.
Maar als blijkt dat buurman 2 een publiek persoon is in de politiek die altijd christelijke waarden en normen en huwelijkse trouw bepleit en op deze manier door de mand valt, dan is het weer kennelijk NIET privacy schendend aangezien het een publiek journalistiek doel nastreeft.
Effectief zal de rechter tijdens de 1e toetsing van buurman 1 verlangen dat hij het beeld van de deur van buurman 2 moet afplakken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
