Gegevens hergebruiken GDPR en uitnodigingen per e-mail of SMS, WhatsApp, Messenger

Door dergatsjev op dinsdag 22 oktober 2019 12:26 - Reacties (9)
Categorie: -, Views: 1.549

Ik zal niet te ver in details gaan in welke land het gebeurde en met welke overheidsorganisatie maar ik zou graag jullie mening te weten komen over GDPR en hergebruik van persoonlijke gegevens. Ik heb hier bij tweakers zeer actieve community tegengekomen met eigen mening en kennis van zaken in verschillende IT onderwerpen daarom zou ik het hier gooien voor een discussie.

Het probleem is dat een overheidsorganisatie heeft een boete ontvangen voor verzenden van e-mails die informeerde werkzoekenden over nieuwe vacatures. Het verhaal over de e-mail dat een overheidsorganisatie heeft recent een boete heeft ontvangen, vind ik een foutieve beslissing van de rechter. Om eenvoudig te houden de rechter zegt: per post mag verzonden worden per e-mail niet! Als het mogelijk is om tegen dergelijke beslissingen in beroep te gaan, dan zou ik dat zeker doen. Wat is jullie mening erover?

In de algemene verordening staat duidelijk vermeld dat gegevens mogen worden hergebruikt voor verenigbare doelstellingen. Zie hier het antwoord op de vraag: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-we-use-data-another-purpose_nl

De doelstelling van overheidsorganisatie is om bijvoorbeeld werkzoekenden te informeren over openstaande vacatures én te begeleiden in het sollicitatieproces. Een werkzoekende heeft een overeenkomst getekend toen hij zich heeft geregistreerd.

E-mail, SMS, WhatsApp, Messenger zijn allen communicatiemiddelen, maar zijn niet de doelstelling zelf. De doelstelling blijft hetzelfde, ongeacht welk communicatiekanaal er wordt gebruikt: werkzoekenden informeren over vacatures of opleidingen, noem maar op. Daarvoor is door werkzoekenden expliciet toestemming verleend tijdens het registratietraject bij overheidsorganisatie.

De algemene verordening gaat over expliciete toestemming en transparantie voor de doelstelling. Uw organisatie of wie dan ook hoeft geen toestemming te vragen voor ieder apart communicatiekanaal, want het is slechts een middel waarmee de doelstelling wordt bereikt. In de GDPR (General Data Protection Regulation) staat nergens dat een organisatie per communicatiekanaal apart toestemming moet vragen. In de praktijk is dat ook onmogelijk. Stelt u zich deze situatie eens praktisch voor. Betekent dit dan zo'n 10 tot 20 aankruisvakjes tijdens een bepaald registratietraject?

Het maakt niet uit dat de e-mail of aangetekend is verstuurd, want dit is een totaal andere situatie of casus. De rechter onderstreept het als business vereenvoudiging vanuit de GDPR. Een e-mail is nu al een geldig bewijs om businesscases te vereenvoudigen, maar niet om overheidsorganisaties te straffen als ze een communicatiekanaal gebruiken ánders dan De Post bijvoorbeeld. Wat als er morgen een totaal ander communicatiemiddel komt, moet overheidsorganisatie dan bij alle ingeschreven personen opnieuw toestemming vragen om dit communicatiekanaal te gebruiken?

GDPR is ontwikkeld om gevallen te voorkomen waar (persoons)gegevens oneindig circuleren. Bij onduidelijkheid worden ze verwijderd om zo niet meer gecontacteerd te worden. GDPR is nuttig en goed doordacht ontwikkeld, maar soms worden de richtlijnen verkeerd geïnterpreteerd. Zoals in de huidige casus waar middelen en doelstellingen in een pot worden gemengd.

Opgelet: Om zeker te zijn van de eigen zaak in EU kan iemand informatie opvragen bij de Gegevensbeschermingsautoriteit. Alle informatie in deze post of commentaren is alleen maar eigen interpretatie en verzameling ter informatie.

Volgende: Het gevaar van een gameverslaving 11-'19 Het gevaar van een gameverslaving
Volgende: Hoe data de toekomst bepaalt 07-'19 Hoe data de toekomst bepaalt

Reacties


Door Tweakers user DataGhost, dinsdag 22 oktober 2019 14:17

Je stelt een heleboel, maar vertelt tegelijkertijd ook niks. Ik kan me slecht voorstellen dat hiervoor een boete uitgedeeld zou worden als het gaat om het uitvoeren van een overeenkomst. Ik vraag me dan ook heel sterk af hoe de bal überhaupt aan het rollen is gekomen, het is niet alsof de handhavende instanties gewoon elke dag een bedrijf/instantie uitkiezen en er een zaak tegen beginnen. Daar moet toch iemand geklaagd hebben die het niet eens was met de gang van zaken. Het neigt er dan ook naar dat belangrijke informatie in deze ontbreekt. Als ik bijvoorbeeld een overeenkomst zou tekenen om alleen per post informatie te ontvangen en expliciet niet via e-mail, en ik krijg het vervolgens toch via e-mail, dan zou ik het er niet zomaar bij laten zitten. Maar als ik gewoon informatie wil ontvangen en dat komt via e-mail, nou, dan heb ik mijn informatie toch? Ik denk dat een belangrijke vraag is hoe de e-mailadressen bemachtigd zijn, als die kennelijk niet voor het uitvoeren van de overeenkomst gebruikt dienden te worden.
Ik kan helaas niet echt binnen een paar minuten vinden welke uitspraak past bij het beetje informatie wat je hier geeft, dus ik kan de redenering erachter niet zien. Het zou natuurlijk ook nog kunnen dat jouw interpretatie (of die van degene waar jij het van hebt vernomen) verkeerd is geweest.

[Reactie gewijzigd op dinsdag 22 oktober 2019 14:24]


Door Tweakers user Deakers, dinsdag 22 oktober 2019 17:20

die overheid doet moeite om echt een monsterboard te worden.

Zijn dit de betreffende details:
https://www.gegevensbesch...uments/AD154-2019.pdf.pdf
?


(edit: typo)

[Reactie gewijzigd op dinsdag 22 oktober 2019 17:20]


Door Tweakers user dergatsjev, dinsdag 22 oktober 2019 21:14

DataGhost schreef op dinsdag 22 oktober 2019 @ 14:17:
Je stelt een heleboel, maar vertelt tegelijkertijd ook niks. Ik kan me slecht voorstellen dat hiervoor een boete uitgedeeld zou worden als het gaat om het uitvoeren van een overeenkomst. Ik vraag me dan ook heel sterk af hoe de bal überhaupt aan het rollen is gekomen, het is niet alsof de handhavende instanties gewoon elke dag een bedrijf/instantie uitkiezen en er een zaak tegen beginnen. Daar moet toch iemand geklaagd hebben die het niet eens was met de gang van zaken. Het neigt er dan ook naar dat belangrijke informatie in deze ontbreekt. Als ik bijvoorbeeld een overeenkomst zou tekenen om alleen per post informatie te ontvangen en expliciet niet via e-mail, en ik krijg het vervolgens toch via e-mail, dan zou ik het er niet zomaar bij laten zitten. Maar als ik gewoon informatie wil ontvangen en dat komt via e-mail, nou, dan heb ik mijn informatie toch? Ik denk dat een belangrijke vraag is hoe de e-mailadressen bemachtigd zijn, als die kennelijk niet voor het uitvoeren van de overeenkomst gebruikt dienden te worden.
Ik kan helaas niet echt binnen een paar minuten vinden welke uitspraak past bij het beetje informatie wat je hier geeft, dus ik kan de redenering erachter niet zien. Het zou natuurlijk ook nog kunnen dat jouw interpretatie (of die van degene waar jij het van hebt vernomen) verkeerd is geweest.
Ja, dat bedoel ik precies. Er was een persoon die geklaagd, hij ging er van uit dat per communicatiemiddel moet een aparte expliciete toestemming gekregen worden per communicatiemiddel en als geen explicite toestemming is dan er is geen toestemming voor doelstelling. Terwijl in GDPR gaat over doelstellingen en niet over middelen. Op deze onduidelijkheid heeft hij ingespeeld en hij heeft gelijk gekregen. Alle details ken ik ook niet. Ik heb alleen gesproken met een persoon van IT afdeling maar alles komt op neer dat ze kunnen geen e-mails meer verzenden alleen papieren post. Dus burgers betalen belastingen om systemen op te bouwen maar deze systemen kunnen niet gebruikt worden door een rare case? Of nog erger burgers betalen belastingen om 1000 mensen te betalen die even veel werk handmatig doen als 1 computer kan doen...

Door Tweakers user DataGhost, woensdag 23 oktober 2019 00:39

Als iemand mijn gegevens heeft ben ik alsnog niet blij als 'ie ze gebruikt voor iets anders dan waar ik toestemming voor gegeven heb. Ik heb eens een koelkast besteld bij de Wehkamp voordat de GDPR een ding werd, en naast mijn mailadres (waarop ik uiteindelijk wel een nieuwsbrief ofzo verwacht) moesten ze ook mijn telefoonnummer hebben zodat de bezorgers mij konden bellen als ze er waren. Blijkt dat ze dat nummer dus ook lekker zijn gaan gebruiken om mij te bellen met aanbiedingen van derden. Daar ben ik een stuk minder mee akkoord dan via e-mail (want dat kan ik makkelijker blokkeren) dus daar mogen ze wat mij betreft lekker expliciet toestemming voor vragen.

Als het over de case in de reactie van Deakers gaat, krijg ik enorm het idee dat er feature creep heeft plaatsgevonden, onder het mom van "we hebben die gegevens al vanwege X, we gaan er nu Y bij doen en daar gaan we die ook gewoon voor gebruiken". Ik heb de case alleen maar vluchtig doorgelezen en ik ben geen jurist dus ik kan nogal verdwalen in het taalgebruik, maar dat is wat ik ervan meekreeg. En daarin lijkt ook een behoorlijk punt te zijn dat het niet per e-mail/sms/whatever moet moeten.

Wat is eigenlijk het probleem met die toestemming moeten krijgen per communicatiemiddel? Als iemand dat niet wilt dan is dat toch duidelijk en doe je het niet? Als er ten tijde van aangaan van de overeenkomst kennelijk nog geen dingetje was (anders zet je het in de overeenkomst) dan ben je toch iets nieuws gaan doen waar niet voor getekend is? Dus eigenlijk is dat een doelstelling die erbij is gekomen, met nog de kanttekening dat kennelijk gegevens over een bepaald middel (e-mail/telefoonnummer) wel gevraagd zijn maar waar dus nog geen doelstelling voor was (op zichzelf ook al een schending van de GDPR)?

[Reactie gewijzigd op woensdag 23 oktober 2019 00:41]


Door Tweakers user i-chat, woensdag 23 oktober 2019 11:45

ik lees hier een hoop phoe-ha maar weinig inhoud.

enkele puntjes van aandacht:

voor dit soort zaken is zeer van belang wie de partijen zijn, voor een ABN-amro zullen andere regels gelden dan voor Jan De Lokale Bakker, en voor de belastingdienst of een UWV gelden weer andere regels.

Zonder dit perspectief is het gewoon een '...'-verhaal.

ten tweede:

De rechter beslist, etc etc. Rechtspraak is openbaar, dus waar is dat ecli-nummer nou precies? zonder dat ik de uitspraak zelf heb kunnen lezen ga ik hier geen mening over geven. dan praat ik namelijk alleen de TS na omdat dit de enige bron is. Dat werkt natuurlijk niet.

Als jurist krijg ik hier dus behoorlijke braakneigingen van: als je een fatsoenlijke discussie wilt, moet je dus Wél naar alle specifieke details kijken, Wél alle hondjes bij hun namen noemen en wél al je bronnetjes naar boven brengen. anders krijg je een norm gepolariseerd beeld zonder enige inhoud.

[Reactie gewijzigd op woensdag 23 oktober 2019 11:49]


Door Tweakers user The Lord, woensdag 23 oktober 2019 15:44

In het algemeen:
Ik heb alleen gesproken met een persoon van IT afdeling maar alles komt op neer dat ze kunnen geen e-mails meer verzenden alleen papieren post.
Dus de IT afdeling heeft iets doms gedaan zonder fatsoenlijk na te denken en de gehele organisatie wordt daar nu op afgerekend?
Anyway, stemmingmakerij kan alle kanten op, jurisprudentie zou helpen.

Voor de algemene discussie:
Ik zal niet te ver in details gaan in welke land het gebeurde en met welke overheidsorganisatie
Dit kan juist erg van belang zijn in GDPR casussen. Zo heeft de uitvoeringswet AVG (NL) bijvoorbeeld een rare kronkel m.b.t. het BSN. Potentieel kan bijvoorbeeld zelfs een deelstaat in Duitsland één of meerder aanpassingen hebben.
vind ik een foutieve beslissing van de rechter.
Zonder de jurisprudentie is het lastig discussiëren hierover.
Om eenvoudig te houden de rechter zegt: per post mag verzonden worden per e-mail niet! Als het mogelijk is om tegen dergelijke beslissingen in beroep te gaan, dan zou ik dat zeker doen. Wat is jullie mening erover?
Hier kan heel veel spelen; o.a.:
- Post valt onder postwet en is zodoende ‘veilig’ (juridisch i.i.g. over de daadwerkelijke uitvoering valt wel een boom of wat op te zetten) indien het om gevoelige gegevens gaat.
- E-mail is een pertinent onveilig communicatiemedium zonder afdoende aanvullende maatregelen en derhalve ongeschikt voor het communiceren van gevoelige gegevens.
- Een organisatie (zeker overheid, openbaar bestuur, etc.) heeft een zorg m.b.t. bewaken privacy en veiligheid van gevoelige gegevens. Hieronder valt ook afdoende in-/voorlichten van de gebruiker van de geboden diensten; m.a.w. wil je toestemming vragen voor het communiceren van gevoelige gegevens d.m.v. e-mail dan moet je de gebruiker afdoende in-/voorlichten.
- Organisatie heeft onvoldoende nagedacht over de mate van gevoeligheid van de gegevens.
- Er is nooit toestemming gegevens e-mail als communicatiemiddel te gebruiken voor het beoogde doel.
In de algemene verordening staat duidelijk vermeld dat gegevens mogen worden hergebruikt voor verenigbare doelstellingen. Zie hier het antwoord op de vraag: https://ec.europa.eu/info...e-data-another-purpose_nl
Dit is zeker mogelijk. Mijn ervaring is echter dat bedrijven al snel een verenigbaar belang zien, maar dat dit vanuit het perspectief van de organisatie zelf (we leveren gezondheidszorg en behandelaar heeft geconstateerd dat data subject ongezond leeft) is en niet vanuit het belang van het data subject (ik ga een overeenkomst aan om mijn gebit te reinigen). Daarnaast is het zeer goed mogelijk dat de betreffende organisatie eerdere gegevens heeft verkregen o.b.v. wettelijke grondslag welke niet verenigbaar is met mogelijke grondslagen voor de beoogde doelstelling.
De doelstelling van overheidsorganisatie is om bijvoorbeeld werkzoekenden te informeren over openstaande vacatures én te begeleiden in het sollicitatieproces. Een werkzoekende heeft een overeenkomst getekend toen hij zich heeft geregistreerd.
E-mail, SMS, WhatsApp, Messenger zijn allen communicatiemiddelen, maar zijn niet de doelstelling zelf. De doelstelling blijft hetzelfde, ongeacht welk communicatiekanaal er wordt gebruikt: werkzoekenden informeren over vacatures of opleidingen, noem maar op. Daarvoor is door werkzoekenden expliciet toestemming verleend tijdens het registratietraject bij overheidsorganisatie.
De benoemde doelstelling is m.i. te generiek; het klinkt meer als het bedrijfsdoel c.q. missie. Los daarvan, als data subject afdoende is geïnformeerd over de verwerkingen ten tijde van het sluiten van de overeenkomst en de gewenste vorm van communicatie heeft kunnen aangeven voor het beoogde doel en dit afdoende is vastgelegd dan zou er niets aan de hand moeten zijn.
In de GDPR (General Data Protection Regulation) staat nergens dat een organisatie per communicatiekanaal apart toestemming moet vragen.
Niet expliciet, echter is dit vaak wel een gevolg van het zorg dragen voor de privacy van het data subject.
In de praktijk is dat ook onmogelijk. Stelt u zich deze situatie eens praktisch voor. Betekent dit dan zo'n 10 tot 20 aankruisvakjes tijdens een bepaald registratietraject?
Dat is een dramatische overdrijving. Bij organisaties wordt dit echter wel als niet onderbouwd argument gebruikt. Als use cases worden uitgewerkt blijkt dat dit vaak voorkomt uit gebrek aan kennis van de verwerkingen, doelen en grondslagen.
Het maakt niet uit dat de e-mail of aangetekend is verstuurd, want dit is een totaal andere situatie of casus. De rechter onderstreept het als business vereenvoudiging vanuit de GDPR. Een e-mail is nu al een geldig bewijs om businesscases te vereenvoudigen, maar niet om overheidsorganisaties te straffen als ze een communicatiekanaal gebruiken ánders dan De Post bijvoorbeeld.
Ik begrijp niet helemaal wat je hiermee wil zeggen.
Wat als er morgen een totaal ander communicatiemiddel komt, moet overheidsorganisatie dan bij alle ingeschreven personen opnieuw toestemming vragen om dit communicatiekanaal te gebruiken?
Als dit een andere verwerking inhoudt wel ja. En terecht. Stel je voor dat [dramatische overdrijvingsmodus]de belastingdienst voortaan alle communicatie d.m.v. de nieuwe peer-to-peer community postdienst in doorzichtige enveloppen verstuurt[/dramatische overdrijvingsmodus] zonder toestemming te vragen.
GDPR is ontwikkeld om gevallen te voorkomen waar (persoons)gegevens oneindig circuleren. Bij onduidelijkheid worden ze verwijderd om zo niet meer gecontacteerd te worden.
Uhmmm, nee.
GDPR is nuttig en goed doordacht ontwikkeld, maar soms worden de richtlijnen verkeerd geïnterpreteerd.
Zeker weten. De verkeerde interpretatie ligt vaak bij de organisatie. Meer dan eens wordt de beoogde doelstelling van de GDPR bij een organisatie (‘de business’, ICT én juristen) pas duidelijk na uitwerking van use cases en bedrijfsprocessen met technische toelichting en ‘wat zou je zelf willen in deze casus’.
Zoals in de huidige casus waar middelen en doelstellingen in een pot worden gemengd.
Mijn ervaring is dat dit vrijwel altijd aan de organisatie te wijten is en niet aan de interpretatie van de wet door de rechter of de autoriteit belast met handhaving van de GDPR. Maar dat is hier lastig vast te stellen zonder duidelijke casus c.q. de bijbehorende jurisprudentie.
Terwijl in GDPR gaat over doelstellingen en niet over middelen. Op deze onduidelijkheid heeft hij ingespeeld en hij heeft gelijk gekregen.
De GDPR gaat over privacy, te waarborgen d.m.v. privacy by design en daarmee security by design. Onderdeel daarvan is dat doelstellingen duidelijk en ondubbelzinnig zijn vastgesteld en gecommuniceerd.

Door Tweakers user dergatsjev, donderdag 24 oktober 2019 09:21

i-chat schreef op woensdag 23 oktober 2019 @ 11:45:
ik lees hier een hoop phoe-ha maar weinig inhoud.

enkele puntjes van aandacht:

voor dit soort zaken is zeer van belang wie de partijen zijn, voor een ABN-amro zullen andere regels gelden dan voor Jan De Lokale Bakker, en voor de belastingdienst of een UWV gelden weer andere regels.

Zonder dit perspectief is het gewoon een '...'-verhaal.

ten tweede:

De rechter beslist, etc etc. Rechtspraak is openbaar, dus waar is dat ecli-nummer nou precies? zonder dat ik de uitspraak zelf heb kunnen lezen ga ik hier geen mening over geven. dan praat ik namelijk alleen de TS na omdat dit de enige bron is. Dat werkt natuurlijk niet.

Als jurist krijg ik hier dus behoorlijke braakneigingen van: als je een fatsoenlijke discussie wilt, moet je dus Wél naar alle specifieke details kijken, Wél alle hondjes bij hun namen noemen en wél al je bronnetjes naar boven brengen. anders krijg je een norm gepolariseerd beeld zonder enige inhoud.
Ja, klopt. Ik zal de deelnemers uitnodigen voor disscussie en dan moeten ze zelf beslissen willen ze openbaar bespreken, deze case of niet.

Door Tweakers user dergatsjev, donderdag 24 oktober 2019 09:24

DataGhost schreef op woensdag 23 oktober 2019 @ 00:39:
Als iemand mijn gegevens heeft ben ik alsnog niet blij als 'ie ze gebruikt voor iets anders dan waar ik toestemming voor gegeven heb. Ik heb eens een koelkast besteld bij de Wehkamp voordat de GDPR een ding werd, en naast mijn mailadres (waarop ik uiteindelijk wel een nieuwsbrief ofzo verwacht) moesten ze ook mijn telefoonnummer hebben zodat de bezorgers mij konden bellen als ze er waren. Blijkt dat ze dat nummer dus ook lekker zijn gaan gebruiken om mij te bellen met aanbiedingen van derden. Daar ben ik een stuk minder mee akkoord dan via e-mail (want dat kan ik makkelijker blokkeren) dus daar mogen ze wat mij betreft lekker expliciet toestemming voor vragen.

Als het over de case in de reactie van Deakers gaat, krijg ik enorm het idee dat er feature creep heeft plaatsgevonden, onder het mom van "we hebben die gegevens al vanwege X, we gaan er nu Y bij doen en daar gaan we die ook gewoon voor gebruiken". Ik heb de case alleen maar vluchtig doorgelezen en ik ben geen jurist dus ik kan nogal verdwalen in het taalgebruik, maar dat is wat ik ervan meekreeg. En daarin lijkt ook een behoorlijk punt te zijn dat het niet per e-mail/sms/whatever moet moeten.

Wat is eigenlijk het probleem met die toestemming moeten krijgen per communicatiemiddel? Als iemand dat niet wilt dan is dat toch duidelijk en doe je het niet? Als er ten tijde van aangaan van de overeenkomst kennelijk nog geen dingetje was (anders zet je het in de overeenkomst) dan ben je toch iets nieuws gaan doen waar niet voor getekend is? Dus eigenlijk is dat een doelstelling die erbij is gekomen, met nog de kanttekening dat kennelijk gegevens over een bepaald middel (e-mail/telefoonnummer) wel gevraagd zijn maar waar dus nog geen doelstelling voor was (op zichzelf ook al een schending van de GDPR)?
Ik begrijp uw punt. Ze zullen waarschijnlijk registratie formulier aanpassen en advice vragen zoals in geval met eBox. Deze case is natuurlijk achter de rug en negative, demotiverende ervaring.

Door Tweakers user dergatsjev, donderdag 24 oktober 2019 09:28

Deakers schreef op dinsdag 22 oktober 2019 @ 17:20:
die overheid doet moeite om echt een monsterboard te worden.

Zijn dit de betreffende details:
https://www.gegevensbesch...uments/AD154-2019.pdf.pdf
?


(edit: typo)
Bedankt voor de link dat is zeker interessante advice. Het gaat over een beetje andere geval maar heel informatief voor mij.

Reageren is niet meer mogelijk