Juridische vraag: hoe streng is de privacywet?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Hoe streng is de privacywet? Klopt het dat je eigenlijk niets mag zonder toestemming van de personen die je monitort, volgt, controleert of wat dan ook?
Antwoord: Nee, zó streng is de privacywet niet.
Toestemming is de hoofdregel uit de privacywet, maar er zijn uitzonderingen. Eén zo’n uitzondering is als de verwerking “nodig is voor een goede uitvoering van de overeenkomst”. In de OV-chipkaartdiscussie was bijvoorbeeld de vraag of de NS studenten mocht verplichten om in- en uit te checken, onder meer met het argument dat dat een onterechte verwerking van hun persoonsgegevens opleverde. Maar dat mocht van de rechter. Dit had een redelijk doel en paste daarmee binnen de uitvoering van de vervoersovereenkomst:
Het niet inchecken maar het slechts laten uitlezen van de OV-chipkaart door de conducteur is dan ook niet meer voldoende omop basis van een geldig vervoersbewijs met het studentenreisrecht te kunnen reizen. (…) Een conducteur moet [], bijvoorbeeld op de dagen waarin de vrij reizenperiode overgaat in de 40%-reductieperiode en vice versa, middels het moment (tijdstip) van inchecken kunnen vaststellen of de reis de vrij reizen periode of de 40%-reductie periode betreft. Het uitlezen van het type studentenreisrecht door de conducteur is dan onvoldoende.
De andere belangrijke uitzondering is de "dringende eigen noodzaak". Dat wil zeggen dat jouw gebruik zó zwaarwegend en dringend is dat je niet op toestemming kunt wachten. Je moet dan een afweging maken of dat gebruik zo belangrijk is dat je de privacy mag passeren. Een voorbeeld is cameratoezicht of securitymonitoren van een ICT-dienst. De noodzaak is dan de beveiliging, en toestemming vragen is ondenkbaar.
De vraag is dan dus, is jouw belang belangrijker dan de privacy van wie je filmt? Vandaar al die afwegingen elke keer bij cameratoezicht: binnen, buiten, wie mag erbij, hoe waarschuw je, hoe lang bewaar je de beelden.
Een derde uitzondering is die voor “activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden”. Voor het adresboek uit je privételefoon hoef je geen toestemming te hebben. En mensen hebben geen correctierecht op hun vermelding op jouw verjaardagskalender. Maar dat is het wel zo’n beetje. Dat adresboek delen met je familie of huisgenoten mag nog net, maar delen met collega’s is al niet meer “persoonlijk of huishoudelijk”. Ook iets publiceren op een openbare blog, Facebookaccount of andere publieke dienst valt niet meer onder deze uitzondering. Dat kun je alleen rechtvaardigen via de dringende noodzaak. Ook als je zegt dat dit vrijheid van meningsuiting is.
Want ja, ook journalistieke uitingen vallen onder de Wbp. Er staat weliswaar een uitzondering “voor uitsluitend journalistieke, artistieke of literaire doeleinden” in de wet, maar die uitzondering komt feitelijk neer op een vrijstelling voor het inzage- en correctierecht. Ook journalisten hebben toestemming nodig of een dringende eigen noodzaak. Dat zal vrijwel altijd de vrijheid van meningsuiting zijn - maar dat verplicht je dus een belangenafweging te doen: is die naam of ander persoonsgegeven noemen nódig voor de uiting?
En als laatste: er is géén aparte uitzondering voor wetenschappelijk onderzoek of statistiek. Alleen als je op een andere grond gegevens al mag verwerken, mag je deze óók inzetten voor “historische, statistische of wetenschappelijke doeleinden”. En het recht van inzage en correctie is dan een stuk beperkter. Maar wie onderzoek wil doen over personen, moet dus gewoon toestemming of een andere grond hebben.
Dan zijn er ook nog de zogeheten vrijstellingen. Wie zijn verwerking onder een vrijstelling kan scharen, hoeft deze niet aan te melden bij de toezichthouder. Maar het betekent niet dat de verwerking dan automatisch legaal is. Zo is er een vrijstelling voor netwerkbeheer, die bepaalt dat loggen ten behoeve van security van het bedrijfsnetwerk niet hoeft te worden gemeld als je de logs maximaal zes maanden bewaart, ze alléén inzet voor security en anderen dan de security officers er geen toegang toe krijgen. Maar daarmee is dergelijk loggen nog niet automatisch toegestaan. Je moet nog steeds toestemming, een overeenkomst of een eigen dringende noodzaak hebben.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Ik ben er nog niet uit of deze vorm uit pure klantenhaat of uit incompetentie geboren is. Ik denk beide, plus terminaal fantasieloos en heel gewiekst op zoveel mogelijk subsidie. Wat dat betreft is het systeem een daverend succes. Wat de klant betreft toch wat minder.
Het punt is: Ze hebben het kader zo geschapen dat de rechter erin meeging, maar dat had ook anders gekund. Zo kom je ook mooi onder de letter van de privacywet uit. De geest is al lang dood en begraven, kijk maar naar wat de "echte" overheid met hun eigen privacyregels doet. Voorbeeld doet volgen.
En hoe zit dat met de mensen die appjes downloaden op hun smartphone en deze bewust (of onbewust) toegang geven tot het adresboek? Kunnen we die meteen allemaal aan de Wbp schandpaal hangen?
Voor wat betreft die OV-0faalkaart: de oplossing is simpel. Stop met OV. Dat heb ik een jaar of 5 geleden gedaan. Het scheelt heel veel geld, irritatie en tijd. Problem solved.
"Een conducteur moet [], bijvoorbeeld op de dagen waarin de vrij reizenperiode overgaat in de 40%-reductieperiode en vice versa, middels het moment (tijdstip) van inchecken kunnen vaststellen of de reis de vrij reizen periode of de 40%-reductie periode betreft."
Dit klinkt als een drogreden op veel dagen van de week. Impliceert dit dat studenten -niet- hoeven in/uit te checken op dagen waarop hun kaart de gehele dag geldig is, doordat de dringende reden op die dagen niet van toepassing is ?
En @Anoniem 13:42: Inderdaad maar het lijkt me ook weer een moeilijk verhaal om uit te leggen aan studenten wanneer je dan wél of niet moet inchecken. Krijg je weer discussie met bijdehantjes dat ze dachten dat toch vandáág incheckvrij was?
Of scherper: kan je terugvallen op eigen dringende noodzaak als je eigenlijk vooraf al afspraken had kunnen maken? Bijvoorbeeld in de situatie dat we niet in het internetregelement hebben beschreven dat we het internetgedrag en de binnengekomen mails van een medewerker willen bekijken op het moment er onder zijn of haar account een virus gedetecteerd is.
Bij arbeidsovereenkomsten ligt 'toestemming' moeilijker, omdat een werknemer zelden in vrijheid 'ja' of 'nee' kan zeggen tegen dingen. Je ziet dat rechters vrij eenvoudig een geclaimde toestemming van tafel vegen omdat deze feitelijk afgedwongen wordt. En afdwingen hoeft niet heel letterlijk: alleen al dat je als werkgever iets vraagt, maakt het al snel een impliciet bevel.
Gelukkig hóef je als werkgever ook geen toestemming te vragen voor een heleboel dingen. Je hebt een instructiebevoegdheid en je mág dus mensen opdragen bepaalde werkzaamheden te verrichten, op een bepaalde manier te werken en dingen te doen of te laten. Wil je dat iedereen een stropdas draagt, dan mág je dat gewoon instrueren. Moet iedereen aan de bedrijfs-GSM dan hebben ze het ding (onder werktijd) bij zich te dragen.
De veiligheidsklep is dat je als 'goed werkgever' moet handelen bij zulke instructies, en dat de instructies redelijk moeten zijn en ingegeven door een bedrijfsbelang. Ook moet je rekening houden met grondrechten zoals privacy. Een instructie dat je iedereen mag fouilleren ongeacht aanleiding is dus niet rechtsgeldig.
Het monitoren van hoe een werknemer werkt(*) is legaal. Wel moet je vooraf melden dát je dat doet, en de Ondernemingsraad moet ermee instemmen.
* Het moet dan gaan om het wérk, dus hoe veel units heeft ie gemaakt of hoe veel uren draaide hij voor klant X. Monitoren van gedrag onder werktijd botst met de privacy dus daar moet je terughoudender mee zijn. Hoe veel mails hij verstuurt is op het randje, hoe veel mails daarvan privé waren mag eigenlijk gewoon niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
