AVG op de werkplek

Waar je op doelt, is wat wordt aangeduid als 'the reasonable expectation of privacy. Inderdaad is er zoiets als privacy op de werkplek. Inperkende maatregelen mogen, wanneer het een belang van de werkgever dient. Maar de werkgever moet een belangenafweging maken (PIA) en je er expliciet vooraf over informeren.

[ Voor 8% gewijzigd door Killjoy op 28-01-2019 18:36 ]

Ik snap je probleem niet echt?

Als jouw baas met bepaalde apps of andere zaken in de gaten wil houden wat jij de hele dag uitspookt (ook afhankelijk van je functie en salaris in sommige gevallen), dan is daar ongetwijfeld een beleid over gemaakt, is er een document inzichtelijk (gemaakt) aan elke medewerker en is er een goedkeuring / toezicht vanuit de raad van commissarissen / directie / whatever?

Andersom, en ongetwijfeld stoot ik sommigen nu voor het hoofd; in november 2017 installeert de afdeling ICT "half automagisch" Office 365 bij elke medewerker en gooit er een zooi policies overheen. Afhankelijk van het release-channel is het zeker niet ondenkbaar dat die policies niet elke maand opnieuw bekeken / aangepast / geupdate worden. Dus dan draai je in oktober 2019 wel de nieuwste Office maar is er ook kans dat Microsoft nieuwe / andere / mindere zaken aftapt dat jouw ICT-afdeling in de gaten heeft.

De kans dat er een relatie is tussen mijn werk en mijn privé-omstandigheden (woonplaats, interesses, hobbies) is vrij groot.

Does not compute? Al werk je letterlijk aan het eind van de straat, op werk communiceer je toch niet met je klanten / collega's vanaf je prive-mail met geneuzel over dat je afgelopen weekend naar de hockey bent geweest en daarna Wie Is De Mol hebt gekeken?

Kan je beter uitleggen hoe jij denkt/vindt dat jouw prive-zaken herleidbaar in jouw werk worden opgeslagen / vastgelegd?

Zakelijke en privé gedragspatronen zouden zeker wel gekoppeld kunnen worden. Denk aan interpunctiegebruik/zinsopbouw, locatiegegevens en dergelijke. Ik heb er echter moeite mee te zien wat je werkgever daar precies mee kan zonder huidige privacywetgeving te schenden. Je locatie 24/7 tracken mag bijvoorbeeld niet.

edit: als je een zakelijke en prive gmail gebruikt zou google die match inderdaad waarschijnlijk wel kunnen maken op basis van schrijfstijl. Als je zakelijk je locatiegegevens wel aan hebt staan en prive niet zou google alsnog kunnen achterhalen waar je woont. Vergezocht, maar theoretisch klopt dat inderdaad wel.

En het wordt natuurlijk nog veel makkelijker als je zakelijke telefoon thuis op je prive wifi zit, maar daar kies je zelf voor.

[ Voor 43% gewijzigd door Yucon op 28-01-2019 19:01 ]

Je baas is verantwoordelijk om een redelijke privacy afweging te maken. Hij mag dus alles tracken en monitoren maar dan moet hij dus motiveren waarom dit een redelijke afweging is. (Voor de AIVD als hij werkt met suppergeheime informatie kunnen ze redelijk beargumenteren dat ze veel maatregelen kunnen nemen. De bakker op de hoek heeft geen redelijk belang om iedere keystroke te monitoren)

Voor google apps kan je baas instellen hoeveel precies gemonitord kan worden. Hij heeft niet standaard toegang tot al je mails.
Ik denk dat het feit dat iemand potentieel spelfouten in jouw zakelijke mails zou kun relateren aan Tweakers Post iets is dat je voor lief moet nemen. Zolang je baas niet actief de analyse doet/de data deelt daarvoor gedraagt hij zich binnen de regels

Ik ben het helemaal met je eens, @CAPSLOCK2000. Ik weiger om die redenen verschillende (mobiele) apps 'van de zaak' te installeren omdat ik die privacy policies niet vertrouw. Ook de webportals draai ik in losse Firefox-profielen met de nodige privacy-tools.

Nu heb ik het geluk dat ik zelf die zaken kan beheren maar er zijn genoeg gebruikers die dat niet kunnen of weten hoe het moet. Die wordt dat dus maar door de strot geduwd.

CAPSLOCK2000 schreef op maandag 28 januari 2019 @ 19:35:
[...]

Ik vertrouw mijn baas wel maar Google niet. Iedere keer dat je Google gebruikt wordt je getracked en geprofileerd en daar moet ik toestemming voor geven. Ik wil die toestemming zakelijk wel geven, maar niet prive. Dat verschil bestaat echter niet. Je geeft wel of geen toestemming voor alles wat Google verlangt.

Voor veel diensten zoals gapps heb je wel degelijk andere voorwaarden maar je hebt gelijk. Als je een beetje interessante baan hebt geef je een stuk van je privacy op.
Je kan natuurlijk wel kiezen om privé geen Google te gebruiken (of welke dienst je op het werk ook gebruikt)

CAPSLOCK2000 schreef op maandag 28 januari 2019 @ 19:04:
Het gaat niet om mijn baas. Als mijn baas verwacht dat ik Google gebruik, dan moet ik gebruikersvoorwaarden accepteren. Daarbij kan ik niet zeggen "mijn baas accepteert deze voorwaarden wel, maar ik niet". Ik moet persoonlijk toestemming geven, en geef daarmee ook toestemming om me buiten mijn werk te tracken.

Wanneer jij de gebruikersvoorwaarden accepteert in de functie van werknemer, dan is de werkgever verantwoordelijk en aansprakelijk voor jouw handelen. Jij handelt niet als privé persoon, maar als vertegenwoordiger van jouw werkgever.

Al zou ik me 100% strak zakelijk gedragen (en wie is nu echt zo) dan is er nog steeds een hoop uit mijn gedrag afleidbaar. Ook op grond van mijn zakelijke gedrag kun je (bv) advertenties tonen die waarschijnlijk bij mij passen.

Dat is meer dan waarschijnlijk. Maar zolang Google het opgebouwde profiel alleen kan herleiden tot een IP-adres dat behoort bij een werknemer van jouw werkgever, dan zijn het geen persoonsgegevens. Daarvoor moeten de gegevens immers kunnen worden herleid tot de natuurlijke persoon achter het IP-adres.

Daarbij is de wereld niet strak gescheiden tussen zakelijk en privé. In de moderne tijd lopen die werelden door elkaar. Er is zelfs wettelijk vastgelegd dat je het recht hebt op privacy op je werk.

Ja en ook nee. Zoals ik aangaf: het kernbegrip is the reasonable expectation of privacy Daarnaast is privacy in de breedste zin des woords geen absoluut, maar een relatief recht. Jouw recht op privacy wordt te allen tijde afgewogen tegen andere rechten en verplichtingen.

En het is algemeen geaccepteerd dat je op de werkplek minder recht op privacy hebt dan in je privéleven. Het is uiteindelijk de werkgever die bepaalt met welke tools je je werk dient te doen. Fijn dat de werkgever meedenkt over je privé situatie, maar dat is geen recht dat je hebt.

De aard van jouw werkzaamheden bepaalt in belangrijke mate in hoeverre dat recht bestaat. Stel, je werkt met bijzondere persoonsgegevens. Dan is het zeer waarschijnlijk dat jouw gedragingen zeer streng worden gemonitord. Want dat is noodzakelijk om de privacy van de personen van wie jij gegevens verwerkt, te beschermen. Jouw recht op privacy op de werkplek wordt op dat moment ingeperkt ten gunste van de rechten van anderen en verplichtingen van jouw werkgever.

Mijn naam, leeftijd en woonplaats zijn vrij makkelijk te herleiden. Het werk dat ik doe wordt voornamelijk door vakidioten gedaan die erg vaak in een nauw hokje vallen. Er zijn onderwerpen waar ik me professioneel en hobbymatig mee bezig houdt waarvan er waarschijnlijk minder dan 10 mensen Nederland zijn die dat doen. Dan wordt het wel heel makkelijk om mijn werk-profiel te koppelen aan mijn privé-profiel.
Dan kan ik zo veel op mijn kop gaan staan als ik wil om te proberen te voorkomen dat (bv) Google of Facebook een gedetailleerd profiel over mij bouwt, maar dan kan ik mijn werk niet meer doen.

Ja, dat is nu eenmaal de huidige tijd. Ik had het er laatst over met iemand van het CBS. Die durfde niet met zekerheid te zeggen wie meer weet van de gemiddelde Nederlander; het CBS of Google/Facebook.

Of je profilen prettig vindt of niet, is een gevoelskwestie. Maar daar gaat de AVG niet over. Dat is een Europese verordening. En Europese verordeningen hebben als doel om de vrijhandel tussen lidstaten te bevorderen, door het wegnemen van beperkingen. De AVG creëert een level playing field voor omgang met persoonsgegevens binnen de EU.

Jouw gevoel kun je niet toetsen aan de AVG. Wat je wel kunt doen, is toetsen of het handelen van Google rechtmatig is op grond van artikel 5 en 6 van de AVG. Dan zal Google beargumenteren dat dat het geval is. Want: onderdeel van de gebruiksvoorwaarden die gelden bij het gebruik van Google. En vast ook wel proportioneel en subsidiair, al zeggen ze het zelf. Zolang de toezichthouders daar geen problemen mee hebben, dan zal het wel kloppen.

Je kunt natuurlijk wel gebruik kunnen maken van de rechten die je op grond van de AVG hebt. Je kunt een inzageverzoek doen, een rectificatieverzoek, een verzoek tot gegevenswissing (bij voorkeur in die volgorde).

CAPSLOCK2000 schreef op maandag 28 januari 2019 @ 19:35:
Ik vertrouw mijn baas wel maar Google niet. Iedere keer dat je Google gebruikt wordt je getracked en geprofileerd en daar moet ik toestemming voor geven. Ik wil die toestemming zakelijk wel geven, maar niet prive. Dat verschil bestaat echter niet. Je geeft wel of geen toestemming voor alles wat Google verlangt.

Google is uiteraard maar een voorbeeld, hetzelfde verhaal geldt voor zo'n beetje iedere andere website op internet. Als ik een zakelijke reis boek dan moet ik daar bepaalde sites voor gebruiken en dus de voorwaarden van die site accepteren. Als iemand van een andere organisatie me een file stuurt via zo'n site dan moet ik de voorwaarden van die site accepteren. Ik kan wel vragen om een andere oplossing maar dat wordt al snel onwerkbaar.

Inderdaad. Daarom is privacy een relatief recht. Jij hebt bepaalde belangen, Google heeft belangen, jouw werkgever heeft belangen en andere personen en organisaties met wie jij contacten onderhoudt hebben belangen. En in dat speelveld kom je tot een compromis. Ook wel bekend als de oplossing waar alle deelnemende partijen even ongelukkig mee zijn.

CAPSLOCK2000 schreef op maandag 28 januari 2019 @ 19:04:
[...] Ook op grond van mijn zakelijke gedrag kun je (bv) advertenties tonen die waarschijnlijk bij mij passen.
Daarbij is de wereld niet strak gescheiden tussen zakelijk en privé. In de moderne tijd lopen die werelden door elkaar. Er is zelfs wettelijk vastgelegd dat je het recht hebt op privacy op je werk.

Dit heb ik persoonlijk al meegemaakt. Mijn werk is o.a. het inventariseren van apparatuur in laboratoriums. Soms heb ik geen flauw idee wat een apparaat doet en zoek ik deze in Google op. Dan worden er allerlei cookies geplaatst en krijg ik elders weer advertenties van die bedrijven te zien. Of ik geïnteresseerd ben in de laatste polymerasekettingreactie (mooi scrabblewoord) spullen van Thermo Fischer Scientific

Een (oud) collega van mij moest voor een klant Google Analytics instellen. Dus was deze oud-collega ingelogd op het Google account van deze klant. En vergeet uit te loggen.

Mijn baas is ermee geconfronteerd door de klant dan in zijn zoekhistorie porno staat, in de tijd dat het account bij ons was...

Personeelvolgsystemen moeten o.a. goedkeuring hebben van de OR. Ook los van de avg, dat staat iirc ook in de Wet op OR’s. En moeten zijn benoemd in bijv de arbeidsovereenkomst of een privacy verklaring. Idem de logs van any applicatie bekijken om een bepaalde medewerker te volgen (bijv wegens fraude-verdenking).

Google apps, Office 36 etc is echter bepaald geen personeelvolgsysteem maar gewoon een tool. Waar natuurlijk wel een verwerkersovereenkomst met fatsoenlijke afspraken nodig is.

TomsDiner schreef op maandag 28 januari 2019 @ 22:30:
Een (oud) collega van mij moest voor een klant Google Analytics instellen. Dus was deze oud-collega ingelogd op het Google account van deze klant. En vergeet uit te loggen.

Mijn baas is ermee geconfronteerd door de klant dan in zijn zoekhistorie porno staat, in de tijd dat het account bij ons was...

Ja, maar dat is gewoon dom

Waar de TS op doelt is waarschijnlijk vooral een probleem als je je zakelijk laptop ook prive gebruikt of je prive laptop zakelijk. Als je dan vooral in chrome geen seperate accounts en schermen aanmaakt dan loopt alles door elkaar. Daarom heb ik in Chrome meerdere personen en als zijnde verschillende Google accounts. Op die manier houdt je het gescheiden.
@CAPSLOCK2000 Zorg zelf voor goede scheiding tussen werk en prive, maar blijf wel realistisch en wordt niet paranoide. Bedenk wel dat men niet geïnteresseerd in jouw als persoon maar wel als lid van een groep (welke zij indelen) en het gedrag van die groep.

CAPSLOCK2000 schreef op maandag 28 januari 2019 @ 17:27:
Als je baas een camera boven je werkplek wil hangen mag dat niet zomaar.
De baas zal een dringende reden hebben om je te filmen tijdens je werk, je daar over informeren, en een kans geven om (indien haalbaar) een deel van je dag zonder camera door te brengen.

Maar hoe zit het met trackers en andere spionagemiddelen die op internet worden losgelaten?
Als mijn baas besluit om (bijvoorbeeld) O365 of Google Apps te gebruiken, hoe zit het dan met mijn privacy?

De naïeve redenatie is dat je tijdens je werk een andere persoon bent dan privé, en dat een ttracker op je werk automatisch betekent dat je privé-informatie veilig is. Dat is een aanname waar ik het moeilijk mee eens kan zijn. Op mijn werk heb ik nog steeds hetzelfde geslacht en dezelfde huidskleur, spreek ik nog steeds dezelfde taal met dezelfde (voor mij persoonlijke) kenmerken. De kans dat er een relatie is tussen mijn werk en mijn privé-omstandigheden (woonplaats, interesses, hobbies) is vrij groot.
Ik denk dat je op grond van mijn werk-computer en werk-gedrag ook best een profiel over mij kan opbouwen. Ik denk niet dat bedrijven zich inhouden met informatie uit verschillende bronnen te combineren.
Zo kan ik me voorstellen dat ik me privé gezien kan afschermen, maar door mijn werk gedwongen wordt om mezelf bloot te stellen.

Het is tegenwoordig vanzelfsprekend dat werknemers een computer met internet op hun bureau hebben staan en er wordt vanuit gegaan dat iedereen vrij gebruik kan maken van Google en andere "gratis" diensten op internet. Is er iets geregeld of afgesproken over de verantwoordelijkheid daar voor?

Ik begrijp niet helemaal waar jenaartoe wil. Op je werk kan je uiteraard wat googlen prive, die gegevens komen bij werkgever terecht als ze willen kunnen ze het vinden.

.Maar het verzamelen van die gegevens mbt jouw persoon mag werkgever niet zomaar aanleggen in een databank.

De data is er vast maar wat kan werkgever met jouw google gedrag? Doe je iets raars? typen van rare teksten zullen wellicht opduiken maar privacy wetgeving gaat je dan niet helpen. Emails met steekwoorden worden ondervangen weet ik, woorden die verband houden met vreemde zaken worden geblokkeerd. Inkomend en uitgaand.

Je tijdop google kunnen ze niet gebruiken, vraag me ook af of een bedrijf daar tijd en geld in steekt.

LucyLG schreef op maandag 4 februari 2019 @ 09:20:
[...]
Ik begrijp niet helemaal waar jenaartoe wil. Op je werk kan je uiteraard wat googlen prive, die gegevens komen bij werkgever terecht als ze willen kunnen ze het vinden.

.Maar het verzamelen van die gegevens mbt jouw persoon mag werkgever niet zomaar aanleggen in een databank.

Zoals ik het lees stipt @CAPSLOCK2000 het risico aan dat werk- en prive-gedrag worden gecombineerd door Google etc. Dus niet door de werkgever - waar, zie mijn eerdere reactie, vele mitsen en maren bij zijn. De werkgever mag niet zomaar de werknemer 'volgen' o.i.d.

CAPSLOCK2000 schreef op maandag 28 januari 2019 @ 17:27:
Ik denk niet dat bedrijven zich inhouden met informatie uit verschillende bronnen te combineren.

Ik mag hopen dat in de verwerkersovereenkomst is opgenomen dat de persoonsgegevens 'vanuit het bedrijf' alleen worden verwerkt voor de doelen van het bedrijf (en AVG art.29 vereist dit kortgezegd ook).

Als Google zowel wet als overeenkomst schendt, dan is dat een probleem... Als je concrete indicaties hebt, meteen naar zowel werkgever (misschien mag jij het boetebedrag krijgen als bonus ) als de AP. (En, voor dit soort bedrijven, misschien ook de pers).

LucyLG schreef op maandag 4 februari 2019 @ 09:20:
De data is er vast maar wat kan werkgever met jouw google gedrag? Doe je iets raars? typen van rare teksten zullen wellicht opduiken maar privacy wetgeving gaat je dan niet helpen. Emails met steekwoorden worden ondervangen weet ik, woorden die verband houden met vreemde zaken worden geblokkeerd. Inkomend en uitgaand.

Je tijdop google kunnen ze niet gebruiken, vraag me ook af of een bedrijf daar tijd en geld in steekt.

Iets raars doen mag niet de discussie zijn. Enerzijds: totaal niet relevant. Anderzijds is 'raar' een rekbaar begrip.

Mail blokkeren, virusscans, etc. zijn trouwens gewoon verwerkingen in opdracht van de werkgever, dus moeten gewoon kunnen. Bijv. alle logintijden op (de werkgerelateerde accounts van) Google is heel simpel te achterhalen, maar mag zoals gezegd niet zomaar gebruikt worden.

Moet sowieso zeggen dat ik niet voor een baas zou willen werken die camera's bij de werkplek gaat ophangen of bepaalde informatie van jou wilt inzien, komt bij mij over als een kwestie van wantrouwen.

F_J_K schreef op maandag 4 februari 2019 @ 10:18:
[...]

Zoals ik het lees stipt @CAPSLOCK2000 het risico aan dat werk- en prive-gedrag worden gecombineerd door Google etc. Dus niet door de werkgever - waar, zie mijn eerdere reactie, vele mitsen en maren bij zijn. De werkgever mag niet zomaar de werknemer 'volgen' o.i.d.

[...]

Ik mag hopen dat in de verwerkersovereenkomst is opgenomen dat de persoonsgegevens 'vanuit het bedrijf' alleen worden verwerkt voor de doelen van het bedrijf (en AVG art.29 vereist dit kortgezegd ook).

Als Google zowel wet als overeenkomst schendt, dan is dat een probleem... Als je concrete indicaties hebt, meteen naar zowel werkgever (misschien mag jij het boetebedrag krijgen als bonus ) als de AP. (En, voor dit soort bedrijven, misschien ook de pers).

[...]

Iets raars doen mag niet de discussie zijn. Enerzijds: totaal niet relevant. Anderzijds is 'raar' een rekbaar begrip.

Mail blokkeren, virusscans, etc. zijn trouwens gewoon verwerkingen in opdracht van de werkgever, dus moeten gewoon kunnen. Bijv. alle logintijden op (de werkgerelateerde accounts van) Google is heel simpel te achterhalen, maar mag zoals gezegd niet zomaar gebruikt worden.

Jawel toch, porno ofzo zou door werkgever mogen worden gebruikt dan geldt die privacy niet meer, begrijp ik je nou goed?

CAPSLOCK2000 schreef op maandag 4 februari 2019 @ 13:04:
[...]

Dit is waar het om gaat, excuses als ik het niet direct goed wist te formuleren. Bij nader inzien zit ik er ook met het subject naast.

Als ik op mijn werk gebruik maak van (bv) Google dan moet ik instemmen met de gebruikersvoorwaarden van Google. Dat instemmen doe ik echter op persoonlijke titel. Dat ik zakelijk toestemming geeft betekent nog niet dat ik privé ook toestemming wil geven.

Google gaat een profiel maken van mij, niet van het bedrijf waar ik voor werk. Dat profiel dat wordt gebouwd van mijn "professionele ik" is echter niet beperkt tot het zakelijke leven. Mijn zakelijke profiel is duidelijk verbonden met mijn privé leven, en omgekeerd. Thuis krijg ik advertenties te zien die iets met mijn werk te maken hebben. Andersom kan ik me niet herinneren, thuis doe ik namelijk veel moeite om profilering te voorkomen. Maar ja, alles wat ik thuis doe is redelijk zinloos als ze me via m'n werk kunnen profileren.
In theorie hebben mijn werk en prive niks met elkaar te maken, maar dat is niet de realiteit. Allerlei menselijke eigenschappen blijven herkenbaar in je werk.

Ik probeer een analogie te bedenken maar het is moeilijk. Het beste wat ik kan bedenken is werken met giftige stoffen. Een baas kan van zijn personeel vragen om met giftige stoffen te werken, maar niet zonder bescherming. Want als je op je werk ziek wordt, dan neem je die ziekte mee naar huis. Als werk (terecht) weiger omdat m'n baas me geen gasmasker geeft zal de rechter me gelijk geven.

Als ik werk weiger omdat ik de EULA van Google niet wil accepteren, krijg ik dan ook gelijk van de rechter?

Je accepteert geen voorwaarden op persoonlijke titel, je accepteert ze juist op je functie titel. Ik neem aan dat het account ook niet wordt gekoppeld aan capslock2000@privemail.nl, maar op capslock2000@werkmail.nl.

Wat voor gegevens ben je dan bang dat via de werkgever aan Google worden verstrekt? Ik whatsapp en sms ook wel prive op het werk, maar dat is op mijn prive telefoon waar ik niet met dat account ben ingelogd. Op basis van IP kan Google natuurlijk weinig als je met 10 collega's achter 1 extern IP adres zit. Ik weet niet wat chrome allemaal bijhoud, maar je kan op je werkpc altijd nog Firefox zetten (of Edge gebruiken) voor privé zaken en gewoon niet googelen naar niet zakelijke dingen op je werk pc. Doe dat bij voorkeur op je privé mobiel.

Ik denk dat de overlap wordt overschat (want het gros van de privé dingen kan op de privé mobiel tegenwoordig), of je hebt teveel tijd over op het werk (j/k ).

CAPSLOCK2000 schreef op maandag 4 februari 2019 @ 13:50:
[...]


Dat is niet wat in de voorwaarden van Google staat, en aan de advertenties merk ik dat ze heel goed weten dat CAPSLOCK2000@werk dezelfde persoon is als CAPSLOCK2000@thuis.


[...]

Niet mijn werkgever. Ik verstrek ze zelf. Uit mijn taalgebruik en de onderwerpen waar ik me mee bezig houdt kun je vrij eenvoudig afleiden wat mijn nationaliteit is, mijn geslacht, mijn woonplaats, mijn opleidingsniveau, en vast nog meer. Mijn naam is ook moeilijk te verbergen.


[...]


Google kijkt naar veel meer dan alleen je IP-adres, het is echt geen probleem dat verschillende gebruikers een PC delen. Google snapt het echt wel. Hele bedrijven en scholen delen een IP-adres.


[...]


* CAPSLOCK2000 kijkt op z'n horloge en gaat weer aan het werk

Staat er in de voorwaarden van Google dat jij deze op persoonlijke titel moet accepteren? In dat geval zou ik ze gewoon weigeren, en als de software dan niet werkt (zal in 100% van de gevallen zijn) bij je baas aankaarten dat je er niet op zit te wachten op persoonlijke titel voorwaarden te accepteren, dan moet hij maar contact zoeken met Google.

Ervan uitgaande dat dit niet het geval is ben jij waarschijnlijk twee profielen aan het opbouwen bij Google. Die van jou privé en die van jou zakelijk, waar inderdaad een overlap in advertenties tussen kan ontstaan als jij ook privé zoekopdrachten doet op je werk PC. Dat betekend niet gelijk dat er een koppeling tussen de twee is, maar dat omdat jij in het echt dezelfde persoon bent de profielen gewoon op elkaar lijken na verloop van tijd.

Ik verwacht niet dat Google de reguliere accounts (zoals een privé gmail) koppelt aan de google apps zakelijke accounts. Dat is begeven op glad ijs. IANAL en ik ken de voorwaarden niet, maar ik verwacht dat het stukje dat ze informatie van je profielen op verschillende diensten mogen koppelen niet in de zakelijke editie staat. (ik laat me graag verassen)

Als Google zich in de voorwaardes het recht voorbehoud om je zakelijke profiel te koppelen aan je privé profiel dan maakt dat het gebruik van Google Apps zakelijk bijna onmogelijk, omdat dit niet past binnen de rechten van werknemers. Er zullen altijd nog wel bedrijven gebruik van maken, maar je beperkt je markt enorm, omdat er ook genoeg bedrijven te groot zijn om er "zo maar gebruik van te maken".

Nogmaals ik denk dat je je beter moet verdiepen in het scheiden van accounts. En als je prive bang bent ervoor in gastmodus browsen als je dat prive doet. Of een seperaat account aanmaken als eerder aangegeven. Ik signaleer namelijk niet wat jij beschrijft. Je cookies blijven ook bij een account op mijn manier.

Frogmen schreef op maandag 4 februari 2019 @ 15:56:
Nogmaals ik denk dat je je beter moet verdiepen in het scheiden van accounts. En als je prive bang bent ervoor in gastmodus browsen als je dat prive doet. Of een seperaat account aanmaken als eerder aangegeven. Ik signaleer namelijk niet wat jij beschrijft. Je cookies blijven ook bij een account op mijn manier.

Ik denk dat CAPS gewoon meer de inhoudelijke kennis en ervaring heeft om te kunnen oordelen dat er tal van meta-data te noemen zijn waaraan men jouw als persoon-zijnde kan identificeren. Het is lastig te begrijpen maar niet alleen de inlichtingendiensten hebben medische professionals (psychologen/psychiaters) in dienst om jouw gedrag te beschrijven zodat deze bedrijven dat kunnen interpreteren (lees: handelingen koppelen aan meta-data waaruit vroeg of laat een 99% zekerheid match valt tussen gebruikersaccounts).

En waarom denk dat het financieel aantrekkelijk om alleen jouw te tracken en te profileren tot op persoons niveau. Wat denk je dat de kosten zijn en wie gaat die info kopen. Want dat is uiteindelijk waar het om gaat. Wat jij schets is onbetaalbaar. Ja theoretisch kan het allemaal, alleen de volgende vraag is wie gaat het betalen, hoeveel data ga je genereren en wat doe je er mee.Even terug naar de realiteit even bij je in laten breken is waarschijnlijk goedkoper.

CAPS, ken je deze al?

https://rebecca-ricks.com/paypal-data/

CAPSLOCK2000 schreef op dinsdag 5 februari 2019 @ 11:34:
Mag een werkgever van een werknemer verlangen om de gebruikersvoorwaarden van een site als Google te accepteren?

Nee. Die toestemming moet je in vrijheid kunnen gegeven, of niet. En dat is lastig bij zoiets als je het voor je werk moet gebruiken. En: er is een overeenkomst tussen jou en je werkgever, niet tussen jou en Google. Dat het niet praktisch is, is een ander verhaal. Kies welke wedstrijden je wilt aangaan.

Mag Google die informatie gebruiken om een profiel op te bouwen dat ook gekoppeld is aan de bijhorende privé-persoonlijkheid?

Hangt er van af wat er in de overeenkomst staat tussen werkgever en Google. (En dan ook wat er in de werkgevers-privacy policy of je arbeidsovereenkomst over staat). Zeer onwaarschijnlijk dat het mag voor wat betreft de diensten die onder die overeenkomst tussen werkgever en Google vallen.

Is het uberhaupt echt mogelijk om die los te zien? Zowel in theorie als in praktijk?

Bijv. de Google zoekmachine valt niet onder een overeenkomst tussen werkgever en werknemer. Maar die zoekmachine kan je vast zelf kiezen, zodat je daar simpelweg een andere kunt nemen zoals startpage.com. Getoonde ads ook niet, en dat is waarschijnlijk lastiger te blokkeren in een kantooromgeving..

Google mag dan niet je werkaccount relateren aan de ads etc. (En doet dat -denk ik- ook niet direct). Maar "mag" en vast ook zal wel je zoekgedrag en adviews etc op werkplaptop relateren aan thuis.. Dat kan je alleen voorkomen door die Google-diensten dus niet te gebruiken. Alleen degenen die onder de verwerkersovereenkomst vallen.

Edit:

Liberteh schreef op dinsdag 5 februari 2019 @ 12:01:
CAPS, ken je deze al?

https://rebecca-ricks.com/paypal-data/

[ Voor 11% gewijzigd door F_J_K op 05-02-2019 12:05 ]

CAPSLOCK2000 schreef op dinsdag 5 februari 2019 @ 11:34:
Mag een werkgever van een werknemer verlangen om de gebruikersvoorwaarden van een site als Google te accepteren?

Wanneer de werkgever de zoekmachine Google aanmerkt als bedrijfsmiddel, dan mag de werkgever verlangen dat de werknemer - als vertegenwoordiger van de werkgever - de gebruikersvoorwaarden accepteert. De werknemer handelt dan niet als privépersoon, maar als vertegenwoordiger van de rechtspersoon, genaamd werkgever.

Wel een opmerking: ik krijg de indruk dat je het ziet als toestemming geven voor de verwerking van persoonsgegevens, zoals bedoeld in artikel 6, lid 1 (a) van de AVG. Echter is Google een dienstenaanbieder, waarmee een overeenkomst wordt aangegaan. Daarop is artikel 6, lid 1 (b) van de AVG van toepassing.

Mag Google die informatie gebruiken om een profiel op te bouwen dat ook gekoppeld is aan de bijhorende privé-persoonlijkheid?

Tja, dat is een ethische discussie. Zoals gezegd; Google is een dienstenaanbieder. De wettelijke grondslag (art. 6, 1 (a)) is bepaald. De vraag is dan, in hoeverre de datagaring en verdere verwerking proportioneel is in relatie tot de geleverde diensten. Google kan beargumenteren dat de privé-persoonlijkheid beschikt over middelen om onbedoelde herkenning in de zakelijke sfeer te voorkomen. Denk aan het nalaten van privégebruik van bedrijfsmiddelen. Of toepassing van middelen waarmee onbedoelde herkenning wordt voorkomen (private browsing).

Is het uberhaupt echt mogelijk om die los te zien? Zowel in theorie als in praktijk?

Nee. Zodra de koppeling kan worden gemaakt met een natuurlijk persoon, dan betreft het persoonsgegevens. Daarvoor is het niet relevant of de gegevens primair herleidbaar zijn tot jouw handelen als privépersoon of tot jouw handelen als vertegenwoordiger van de werkgever.


Wat ik mij persoonlijk wel afvraag, is waarom je zoveel nadruk legt op de werkgever. De werkgever heeft als enige verplichting om redelijkerwijs vast te stellen dat de bedrijfsmiddelen die de werknemer ter beschikking worden gesteld, voldoen aan de privacywetgeving (inclusief beveiliging).

Killjoy schreef op dinsdag 5 februari 2019 @ 12:32:
De werkgever heeft als enige verplichting om redelijkerwijs vast te stellen dat de bedrijfsmiddelen die de werknemer ter beschikking worden gesteld, voldoen aan de privacywetgeving (inclusief beveiliging).

En dus ook dat de persoonsgegevens niet worden gebruikt voor andere doelen dan die van de werkgever cf. overeenkomst (zoals je zegt: 6.1b). En dus niet voor profiling i.c.m. 'thuis' persoonsgegevens.

F_J_K schreef op dinsdag 5 februari 2019 @ 12:41:
[...]

En dus ook dat de persoonsgegevens niet worden gebruikt voor andere doelen dan die van de werkgever cf. overeenkomst (zoals je zegt: 6.1b). En dus niet voor profiling i.c.m. 'thuis' persoonsgegevens.

Dat is bij Google weer afhankelijk van de afgenomen dienst en de verhouding tussen werkgever en Google. Bepalend is, of Google voor de geleverde dienst optreedt als verwerker voor de werkgever (de verwerkingsverantwoordelijke). Voor Google Analytics is dat bijvoorbeeld zo, omdat de geleverde dienst een vorm van ICT uitbesteding is. Dan kan de werkgever voorwaarden stellen aan de verwerkte persoonsgegevens. Feitelijk kan dat worden gedaan met de instelinstructie die de Autoriteit Persoonsgegevens heeft gepubliceerd.

De zoekmachine van Google is puur een online dienst. Voor gebruik daarvan gelden gebruiksvoorwaarden. Accepteer je die niet, dan kun je de dienst niet gebruiken. Dan zal de werkgever een belangenafweging moeten doen. Namelijk of het bedrijfsbelang opweegt tegen de inbreuk op de privacy van de medewerker op de werkvloer. Die afweging zal al snel in het voordeel van de werkgever uitvallen. De werknemer heeft de inperking van de privacy op de werkvloer dan maar te accepteren.

F_J_K schreef op dinsdag 5 februari 2019 @ 12:03:
[...]

Nee. Die toestemming moet je in vrijheid kunnen gegeven, of niet. En dat is lastig bij zoiets als je het voor je werk moet gebruiken. En: er is een overeenkomst tussen jou en je werkgever, niet tussen jou en Google. Dat het niet praktisch is, is een ander verhaal. Kies welke wedstrijden je wilt aangaan.

[...]

Hangt er van af wat er in de overeenkomst staat tussen werkgever en Google. (En dan ook wat er in de werkgevers-privacy policy of je arbeidsovereenkomst over staat). Zeer onwaarschijnlijk dat het mag voor wat betreft de diensten die onder die overeenkomst tussen werkgever en Google vallen.

[...]

Bijv. de Google zoekmachine valt niet onder een overeenkomst tussen werkgever en werknemer. Maar die zoekmachine kan je vast zelf kiezen, zodat je daar simpelweg een andere kunt nemen zoals startpage.com. Getoonde ads ook niet, en dat is waarschijnlijk lastiger te blokkeren in een kantooromgeving..

Google mag dan niet je werkaccount relateren aan de ads etc. (En doet dat -denk ik- ook niet direct). Maar "mag" en vast ook zal wel je zoekgedrag en adviews etc op werkplaptop relateren aan thuis.. Dat kan je alleen voorkomen door die Google-diensten dus niet te gebruiken. Alleen degenen die onder de verwerkersovereenkomst vallen.

Edit:

[...]

offtopic:
Ik denk dat je dat voor iedere organisatie van die grootte kunt doen. Maar als je hier over wilt discussieren, doe dat ajb in een eigen topic in Privacy & Beveiliging omdat het hier in dit topic wat offtopic is.

Offtopic? Hoe kan je een gedegen keuze maken wat betreft het accepteren van privacy reglementen of niet als je niet duidelijk hebt waarmee je data allemaal gedeeld wordt. PayPal is o.a. een zakelijke partner van veel bedrijven, niet waar? Ik heb geen PayPal account voor de zaak maar mijn manager wel.

Caps geeft zelf aan dat we het over andere trackers mogen hebben, maar ik snap dat je PayPal niet zosnel als zodanig wilt zien....

Ah ik had niet begrepen dat je boodschap was dat iedere grotere (en kleinere) organisatie wel verwerkers/subverwerkers heeft, niet specifiek Paypal. Klopt. Van het bedrijf waar jij bij of voor werkt (geen idee, maar dat lijkt me een goede gok) zal een zelfde lijst gemaakt kunnen worden.

De regels gelden daar overigens niet anders voor dan de 'hoofd' verwerker, of verantwoordelijke in het geval van betaalpartijen of zoekmachine- en ad-providers. Los van de verhouding 'werk-profiel' vs 'thuis-profiel'.

Maar inderdaad: hoe meer partijen, hoe meer kans dat er ergens iets fout gaat. En de kans dat goede afspraken tussen werkgever en dienstverlener (zoals Google of Paypal) niet worden nagekomen wordt dan inderdaad wat groter.