Bij ict7 las ik over de nieuwe manier van adresboekbeheer van Apple in hun OS Mavericks:
[Het oude adresboek] was veilig, daar kwam geen ander tussen. Maar het nieuwe OS Mavericks heeft die mogelijkheid geschrapt. Nu kunnen adresgegevens en dergelijke alleen nog via iCloud naar een ander apparaat worden overgezet. Dat is natuurlijk niet zonder reden. Technisch was het geen enkel probleem geweest de ‘kabelmogelijkheid’ te handhaven. Dat Apple nu alleen nog maar de mogelijkheid biedt om dergelijke privédata via de servers van Apple over te zetten geeft te denken.
En dan dus de hamvraag: mag dat?
Een digitaal adresboek is hoe je het wendt of keert een verwerking van persoonsgegevens, en eentje die via de privacyschendende VS loopt ook nog. Dus daar heb je eigenlijk best wel een probleem.
Er is echter in de Wet bescherming persoonsgegevens een uitzondering die ik altijd de adresboekuitzondering noem, om precies deze reden:
Deze wet is niet van toepassing op verwerking van persoonsgegevens… ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden.
Het argument is dan dat een privéadresboek een “uitsluitend persoonlijk of huishoudelijk doel” dient, immers het is voor jou om je adressen bij te houden. Niemand anders leest het (de NSA daargelaten) en dan is het dus alleen voor jezelf. En daarmee ben je van álle regels uit de Wbp af. Je hoeft mensen neit te vertellen dat ze in je adresboek staan, en zelfs het enge exporteren naar de VS is geen probleem.
Bij een zakelijk adresboek gaat dit echter vrijwel meteen mank: ís dat wel “persoonlijk of huishoudelijk”? Een bedrijf is geen persoon en geen huishouden.
Als je dat zegt, dan mag een bedrijf dus niet haar klantenbestand in de iCloud stoppen. Maar óók niet zomaar in een eigenbeheeradresboek. Dat moeten ze dan rechtvaardigen bínnen de kaders van de Wbp. Dus: toestemming, uitvoering overeenkomst of dringende noodzaak als grondslag; informeren via een privacyverklaring of iets dergelijks dat men een adresboek heeft; inzage- en correctierecht op de adresgegevens en niet te vergeten een bewerkersovereenkomst met Apple sluiten zodat juridisch geregeld is dat zij netjes met je gegevens omgaan.
En nee dat werkt voor geen meter maar daarom wordt het dus de hoogste tijd voor een nieuwe privacywet. Helaas is de Privacyverordening een eindje uitgesteld, werking op zijn vroegst in 2016.
Arnoud
Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!
Het volledige artikel bekijken