De AVG

janneke141

Om andere discussies niet te vervuilen, en omdat van enige discussie over de grijze gebieden van dit onderwerp voorlopig nog wel sprake zal zijn, dit topic. Game on.

Duke

Het lijkt vooralsnog vooral een mooi instrument voor de ‘niet-willers’ Om allerlei zaken te frustreren. Ik heb daar niet zoveel mee.

janneke141

Duke Ja, de WOB-ellende ligt wel een beetje op de loer idd.

Sloggi

Duke Wat is er nu werkelijk veranderd? Want er lag al heel veel vast in bestaande wetgeving.

De meerwaarde van de AVG zit 'm volgens mij vooral in het feit dat er
a) hernieuwde aandacht is voor privacy
b) er nu ook veel meer een stok achter de deur is die maakt dat (middelgrote en grote) bedrijven moeten gaan voldoen aan privacywetgeving. Bijvoorbeeld door een register van verwerkingen bij te houden en impactanalyses uit te voeren. Vroeger kwam je ermee weg hier met de pet naar te gooien, nu krijg je met een beetje pech de AP op je dak, wiens rol is verstevigd.

Het principe is dus niet echt veranderd, maar de kaders om die principes te bereiken zijn wél verscherpt.

(dat is mijn indruk tenminste, van wat ik er zijdelings van meekrijg van mijn privacycollega's)

Ossu

Het helderste lijkt me dat je username of user-id een "persoonsgegeven" conform de AVG is, want de AVG heeft het over "met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of ..".

-i-

Ossu Da's dus een lastige situatie; Aan de hand van enkel een user-id op zichzelf is er niet veel te identificeren. In combinatie met persoonsgegevens als woonplaats, geslacht, geboortedatum, etc. wel.

Daarnaast gaf de AP in mijn geval al aan dat een gebruikersnaam enkel als persoonsgegeven gezien werd, wanneer hierin duidelijk herleidbare kenmerken naar de natuurlijke persoon stonden vermeld. Denk hierbij dus bijvoorbeeld aan websites die je e-mailadres als gebruikersnaam gebruiken. john.doe1975@gmail.com is in dat geval een duidelijk persoonsgegeven, maar JohnnieWalker niet.

In hoeverre de overige (persoons)gegevens belastend zijn, zal de AP uitzoeken wanneer ze een onderzoek starten na een melding.

tsjok

-i- Volgens mij is je uitleg van de term "persoonsgegevens" te beperkt.

Op grond van de Wet bescherming persoonsgevens is een persoonsgegeven:

elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

De AVG vult daar nog bij aan:

alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de
betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Het is dus niet zo dat je direct aan een gegeven moet kunnen zien om wie het gaat, zoals jij lijkt te suggereren. Het gaat er om of een persoon direct of indirect kan worden geïdentificeerd. Onder identificeerbaar wordt verstaan, wederom per de AVG:

Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren (..) Om uit te maken of van middelen redelijkerwijs valt te verwachten
dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met
alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de
beschikbare technologie

Met andere woorden: de term persoonsgegevens is veel breder dan alleen maar dingen waaraan je direct kunt zien om wie het gaat. Cruciaal is de vraag of redelijkerwijs te verwachten is dat het kan worden gebruikt om iemand te identificeren. Dit houdt dus in dat user-ID's of usernames niet per definitie géén persoonsgegeven zijn, als zij indirect gebruikt kunnen worden om iemand te identificeren. Voor post ID's geldt hetzelfde. Toegespitst op de concrete situatie is een username die je kunt gebruiken om iemand te herleiden dus wel degelijk een persoonsgegeven (ik zag in het FOK!-topic een voorbeeld van een username die, als je hem intypt in Google, direct een website oplevert met de echte naam van de user er op. Dit is dus zonder enige twijfel een persoonsgegeven, net als user-ID's of post-ID's die via dezelfde weg te gebruiken zijn). De term "duidelijk herleidbaar" betekent in deze context niets. Sterker nog, als een user zélf informatie heeft gepost die direct of indirect tot zijn persoon zou kunnen leiden, is zijn username dus een persoonsgegeven (immers, het is niet lastig om posts van een specifieke user terug te vinden).

Bovendien kun je ook de gegevens niet an sich bekijken, context telt mee. Als je meerdere gegevens hebt die los van elkaar niet tot een persoon kunnen leiden maar samen wel, dan zijn die allemaal persoonsgegevens. Dit wil dus zeggen dat je alle info die je verwerkt op je site in context moet bekijken om te kunnen beoordelen of er wel of niet sprake is van persoonsgegevens.

Ten slotte: er zijn natuurlijk heel veel gegevens die niet direct betrekking hebben op een persoon maar wel persoonsgegevens zijn of kunnen zijn. Ik noem telefoonnummers, documentnummers, aliassen op websites en sociale media, geboortedata, postcodes, etc cetera. De grens die je moet passeren voor iets géén persoonsgegeven is, is vrij hoog en dus afhankelijk van de context. Nog een laatste stukje uit de AVG:

De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is.

Pas als iemand niet identificeerbaar is, gedefinieerd zoals hierboven, in de context van welke gegevens er allemaal samen zijn bewerkt en bekeken aan de hand van objectieve gegevens, dán is er geen persoonsgegeven.

janneke141

Sloggi Een ding wat er daadwerkelijk veranderd is in de omgeving waar ik werk, is dat je geen foto's meer op je website mag plaatsen zonder expliciete toestemming van iedereen die erop staat. Net zoals het publiceren van de namen van de geslaagden ook niet langer zonder meer is toegestaan.

Duke

janneke141
Dat bedoel ik. Mooi instrument voor de niet-willers. Lekker anderen het leven zuur maken.

tsjok

Mijn handen jeuken. Reageer als ik straks thuis ben.

Molurus

Haha, geweldig topic. ? volgt

-i-

tsjok Maakt het geheel enkel nog waziger. Dit zou betekenen dat klanten / websitebezoekers hun eigen gebruikersnaam opzettelijk ergens anders kunnen plaatsen, daar wat "identificeerbare gegevens" aan kunnen koppelen, en daardoor in hun recht staan wanneer het gaat om de AVG regeling, waardoor ze bedrijven en organisaties opzadelen met stapels werk.

sigme

Toen ik meer dan 10 jaar geleden een mailtje stuurde aan het fokmailadres waar je naartoe kon schrijven als je mogelijk POLmod wou worden, toen ondertekende ik met mijn volledige echte naam. Toen ik POLmod werd vond ik in FC een POLsollicitatietopic, met daarin mijn integrale email, inclusief naam. Dat vond ik niet heel prettig, maar soit.

Al dat soort sollicitatiemailtjes staan allemaal met naam, toenaam en uiteraard alias, bewaard in FC. Zo kwam ik laatst ook aan @Mutant01 z'n echte naam.

tsjok

sigme De tering, echt? Blij dat ik niet gesolliciteerd heb. Ik haakte al af toen ik een kopie van mijn ID-kaart moet overleggen. Daar ben ik nu blij mee, zeg.

Op dat hele topic is dus de volle AVG van toepassing, met alle rechten voor crew en verplichtingen voor FOK! die daarbij komen.

janneke141

sigme Volgens mij heb ik die alleen met mijn voornaam ondertekend. Maar ik kan me ook niet aan de indruk onttrekken dat de ID-kopie door meer mensen gezien is dan alleen Danny.

Tem

sigme

Toen ik FA was haalde ik altijd de echte naam uit de sollicitaties en liet alleen de username staan. En toen speelde dat hele AVG niet maar leek mij gewoon logisch om dat soort privacy te respecteren.

Maar niet iedereen is zo scherp geweest begrijp ik ?

sigme

tsjok Blij dat ik niet gesolliciteerd heb.

Er zijn er best veel die een sollicitatie enkel met usernaam ondertekenen, dat vindt men ook prima (niemand lijkt er ooit een gedachte aan gewijd te hebben). Het is me een raadsel waarom de echte namen niet gewoon standaard even gewist werden, maar ik heb er nooit iemand iets over zien zeggen.

sigme

Dat van die IDs is wel wat raar. Wie al crew was en nooit een ID instuurde, bleef crew, tot frustratie van de crewleden die met tegenzin hun ID overhandigd hadden.

Verder was een motivatie voor dat ID, dat crew die nooit meer terug mocht keren als crew, zonder ID-plicht, met een andere usernaam tóch terug zou kunnen komen. Okee.. maar hoe verhoudt zich dat tot vernietigen ID wanneer iemand de crew verlaat?

tsjok

sigme Die hele ID-plicht slaat als een tang op een varken. Het gaat om informatie die Danny niet mag hebben (ook voor de AVG al), die super gevoelig is voor fraude en die onnodig is. Je zou immers prima je identiteit kunnen aantonen op een andere manier.

Dat laatste is wel scherp van je inderdaad. Ofwel Danny bewaart de gegevens, ofwel hij kan ze toch niet gebruiken om te checken of een crewlid weer terugkeert.

In elk geval bedankte ik er vriendelijk voor mijn volledige identiteit, geboortedatum, BNS, foto en woon- en geboorteplaats op te geven aan iemand waar ik geen enkele controle over heb zodat ik in ruil daarvoor vrijwilig wat stukjes over voetbalwedstrijden mocht schrijven.

tsjok

Tem Wat levert een ID voor informatie op? Je weet dan iemands naam, maar dat is nog geen garantie dat iemand een kundig crewlid is en geen kwaad in de zin heeft. Tenzij Danny van plan is mensen te chanteren met die gegevens of zo, maar dat zou absurd zijn. En verder vind ik dit echt een goed punt:

sigme Verder was een motivatie voor dat ID, dat crew die nooit meer terug mocht keren als crew, zonder ID-plicht, met een andere usernaam tóch terug zou kunnen komen. Okee.. maar hoe verhoudt zich dat tot vernietigen ID wanneer iemand de crew verlaat?

janneke141

tsjok Foto, documentnummer en BSN mocht je allemaal zwart maken, dus dat heb ik uiteraard ook gedaan.

En verder: een werkgever is niet alleen gerechtigd, maar zelfs verplicht om een kopie van het ID van zijn medewerkers te bewaren. Ik weet dat vrijwilligerswerk in allerlei gevallen gelijk is gesteld aan betaald werk, alleen niet precies in welke gevallen.

tsjok

Tem Soms lijk je net een fatsoenlijk mens. Doe eens niet?

sigme

Tem
yvonne laat in elk geval heel vaak (altijd?) de echte naam staan.

Tem

sigme

Geen idee eigenlijk. In mijn tijd was ze het grootste deel niet aanwezig en hield zich sowieso niet bezig met die sollicitaties. Maar zou best kunnen en zou mij niets verbazen, jij hebt een meer recente herinnering aan de FC ?