Selecteer een pagina

Overtreedt uitvaartorganisatie Dela de AVG door ongevraagd vingerafdrukken van overledenen te verwerken? Nee! Belachelijk?

Uitvaartorganisatie Dela kwam zaterdag in opspraak door berichtgeving van het consumentenprogramma Radar. Dela bleek sinds september voor commerciele doeleinden vingerafdrukken van overledenen af te nemen.

Meteen werd op social media om onderzoek door de Autoriteit Persoonsgegevens (AP) geroepen. Ten onrechte.

Nota bene gevoed door een onzorgvuldige jurist en onzorgvuldige gemakzuchtige knip-en-plakjournalisten die weekenddienst hadden bij landelijke media.

Vingerafdrukken zijn toch persoonsgegevens?

Dan moet er toch rekening gehouden worden met de Algemene Verordening Gegevensbescherming (AVG)? Dat die vraag meteen door het hoofd spookt bij veel mensen lijkt logisch. Vingerafdrukken zijn immers biometrische persoonsgegevens.

Mag een commerciele uitvaartorganisatie dan zomaar vingerafdrukken afnemen om die te verwerken in sieraden die uit winstbejag aan rouwende nabestaanden worden verkocht?

Mensen die nooit om toestemming zijn gevraagd of die vingerafdrukken überhaupt mochten worden afgenomen?

Radar stelde die vraag ook aan een deskundige. Advocaat Eric Osinga van Osinga Advocatuur werd benaderd als deskundige en gaf antwoord. En ging de fout in. “Dit mag niet zonder de nabestaanden vooraf om toestemming te vragen”, aldus Osinga. “Een vingerafdruk valt namelijk onder persoonsgegevens die je niet zonder toestemming mag verwerken. Die toestemming moet ook nog eens heel duidelijk zijn gegeven.”

Advocaat had beter moeten weten

Osinga had als advocaat beter moeten en kunnen weten. Hij had zich niet als advocaat moeten laten verleiden om in de media uitspraken te doen over zaken waar hij niet in is gespecialiseerd. Of hij had zich beter moeten voorbereiden. Een zoekopdracht was voldoende geweest.

Bij de eerste les over de AVG wordt behandeld wat persoonsgegevens zijn. Vingerafdrukken van dode mensen vallen daar niet onder. Het staat klip en klaar in de wet en op de site van de Autoriteit Persoonsgegevens onder de kop Wat zijn persoonsgegevens.

De Algemene verordening gegevensbescherming (AVG) geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de AVG.

 

Identiteitsfraude na de dood

Dat de vingerafdrukken van een overledene niet onder de AVG vallen is ogenschijnlijk best wel vreemd, omdat met deze biometrische gegevens ook na de dood nog identiteitsfraude gepleegd kan worden. Met vingerafdrukgegevens van doden zouden kwaadwillenden bijvoorbeeld nog smartphones kunnen unlocken en zo aankopen en betalingen kunnen doen.

 

Dood ben je geen persoon meer

De AVG is echter glashelder. Eenmaal dood ben je geen persoon meer. Dit is klip en klaar geen zaak voor de Autoriteit Persoonsgegevens. Dat had de deskundige die Radar benaderde ook moeten weten.

De Radar redactie valt niets te verwijten. Die deed navraag bij iemand waarvan verwacht mocht worden dat hij expertise heeft. Toch?

Radar had ook beter moeten weten. Waarom heeft de redactie Osinga eigenlijk benaderd? Niet iedere advocaat is meteen ook AVG-deskundige. Osinga is niet gespecialiseerd in privacywetgeving. Dat staat ook duidelijk op zijn website:

“Nadat ik ruim tien jaar als advocaat heb gewerkt, werd het tijd voor een eigen kantoor. Op 1 februari 2016 is Osinga Advocatuur te Utrecht opgericht. Mijn specialisatie is zorgverzekeringsrecht en algemeen verzekeringsrecht.”

Naambordjesaffaire Duitsland en Oostenrijk

De vingerafdrukkenaffaire heeft wel iets weg van de naambordjesdiscussie in Duitsland en Oostenrijk. Een ‘deskundige’ waarvan verwacht wordt dat hij op de hoogte is van de AVG geeft onjuist advies en zorgt daarmee vervolgens voor een mediagolf met onjuiste berichten. Iedereen roeptoetert elkaar in de media en op social media niet gehinderd door enige kennis na en zorgt daardoor voor onterechte verontwaardiging over de AVG of de toezichthouder die niets doet.

Advocaat vs advocaat

Advocaat Dirk-Jan de Bruin ergert zich net als Privacyzone aan advocaat Osinga die de redactie van Radar en de luisteraars en bezoekers van de website van het consumentenprogramma verkeerd informeert over de AVG. Hij zorgt daarmee voor veel ruis over de AVG.

De Bruin is in tegenstelling tot Osinga wel gespecialiseerd in privacyrecht.

De Bruin heeft mogelijk ook goede connecties in de journalistiek. Hij wordt op Twitter gevolgd door misdaadjournalist Mick van Wely van de Telegraaf, die zijn carriere ooit begon bij Dagblad van het Noorden.

De Bruin ziet overigens afgezien van de vingerafdrukken wel een ander aanknopingspunt op basis waarvan nabestaanden toch een klacht kunnen indienen op basis van de AVG.

“De vingerafdruk zelf zegt niets over de familieleden (in tegenstelling tot bijv. resultaten van erfelijkheidsonderzoek op (weefsel van) overleden personen)”, schrijft De Bruin op Twitter. “Toenadering van de nabestaanden voor een commercieel aanbod moet verder conform de AVG en de Telecommunicatiewet.”

Kortom: Mag Dela na de begrafenis nabestaanden commercieel benaderen om andere producten te verkopen? Of had Dela daar schriftelijk toestemming voor moeten vragen bij het afsluiten van de overlijdensrisicopolis of het accepteren van de opdracht om de begrafenis van een dierbare te verzorgen?

De gevolgen van knip-en-plak journalistiek

Diverse landelijke media plegen knip-en-plak journalistiek en nemen het bericht van Radar zonder het zelf te checken of van meerwaarde te voorzien klakkeloos letterlijk over. Vervolgens gaan mensen op social media er mee aan de haal.

Volkomen onnodig, want net als Osinga had iedere serieuze journalist met een eenvoudige zoekactie op Google kunnen achterhalen dat vingerafdrukken van overledenen volgens de AVG geen persoonsgegevens zijn. De uitleg van de Autoriteit Persoonsgegevens staat bovenaan de zoekresultaten bij de zoekopdracht ‘overleden AVG’.

Handelswijze Dela uiterst bedenkelijk

Ondertussen blijft de handelwijze van Dela natuurlijk bedenkelijk. Een uitvaartorganisatie die om commercieel gewin zonder enig gevoel de eer van overledenen schendt gaat duidelijk over lijken.

Logisch dat verbolgen mensen pleiten voor juridisch onderzoek. Alleen is de Algemene Verordening Gegevensbescherming daar niet geschikt voor. Maar misschien is het wel de moeite waard om Dela aan te klagen wegens grafschennis.

Wat is grafschennis?

Grafschennis is opgenomen in artikel 149 Wetboek van Strafrecht. Het artikel luidt als volgt: “Hij die opzettelijk een graf schendt of enig op een begraafplaats opgericht gedenkteken opzettelijk en wederrechtelijk vernielt of beschadigt, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.”

Net als bij de AVG is de eerste reactie op basis van de letter van de wet nu natuurlijk dat de overledene nog niet in een graf lag toen de vingerafdrukken werden afgenomen. En dus kan er dan geen sprake zijn van grafschennis.

Jurisprudentie over grafschennis

Maar er staat op de website Problemenmetjustitie.nl ook interessante jurisprudentie over het wetsartikel dat over grafschennis gaat.

“De rechter heeft ook een echtgenoot die het graf van zijn overleden partner open heeft gemaakt om haar nog even vast te kunnen houden, veroordeeld voor grafschennis.”

Als een rouwende partner bestraft wordt omdat hij of zij om emotionele redenen nog een keer de hand van zijn overleden maatje wil vasthouden zou je toch denken dat het logisch is dat een uitvaartorganisatie als Dela ook wordt bestraft voor het om commerciele redenen aantasten van de waarde van overledenen. Dat is toch evengoed grafschennis.

Wanneer is er sprake van een graf?

Het gaat hier eigenlijk om de definitie graf. Wanneer is er sprake van een graf? Zou je kunnen stellen dat iemand in zijn graf ligt zodra hij in een lijkkist ligt? Het zou in deze zaak interessant zijn om daar een uitspraak van een rechter over te krijgen.

De les van dit artikel is dat de AVG niet een wet is die te pas en te onpas overal automatisch bij betrokken kan worden. Dat hebben goede privacymanagers tijdens hun opleiding geleerd. Ze leerden ook dat ze behalve naar de AVG ook rekening moeten houden met andere wetten en toezichthouders. En deskundig extern advies moeten vragen voor zaken waar ze niet voor geleerd hebben.

Melden van grafschennis

In dit geval adviseert PrivacyZone nabestaanden van overledenen waarvan Dela vingerafdrukken heeft afgenomen om deze zaak bijvoorbeeld aan te kaarten via een advocaat of via Centraal Meldpunt Nederland. “Vermoedens dat iemand zich schuldig heeft gemaakt aan grafschennis door een grafroof te plegen of vernieling aan te richten kunt u melden via Centraal Meldpunt Nederland: Meld.nl”, staat er op deze website.

Biometrische prikklok mag niet van de AVG. Supermarkt Dirk van den Broek is dus in overtreding

Personeel van supermarkt Dirk van den Broek moet het begin en het einde van hun dienst registreren met een vingerafdruk op een biometrische prikklok, meldt het Financieel Dagblad. Dat apparaat is sinds de invoering van de AVG echter verboden.

„Een prikklok is alleen toegestaan in uitzonderingsgevallen“, zegt Vincent Böhre, directeur van Privacy First bij BNR Nieuwsradio. „En dat is het in dit geval niet.“

Digitaal opgeslagen vingerafdrukken leveren groot risico op

Biometrische gegevens zijn zeer gevoelige persoonsgegevens. Als digitaal opgeslagen vingerafdrukken in verkeerde handen vallen kunnen er ook andere dingen mee gedaan worden. Criminelen kunnen onschuldige mensen verdacht maken bijvoorbeeld.

Het zou Böhre niet verbazen wanneer de Autoriteit Persoonsgegevens binnenkort de eerste klachten daarover krijgt.

Er is overigens steeds meer weerstand van de werkvloer tegen de ongebreidelde controle die sommige werkgevers normaal vinden. Sommige werknemers hebben het gevoel dat ze net als een crimineel onder curatele staan. Net als in een dictatuur voortdurend op hun hoede moeten zijn.

Dankzij moderne techniek kunnen werkgevers eenvoudig Big Brother spelen. Personeel volgen met trackers en camera‘s. E-mail van medewerkers monitoren.

Mag dat allemaal? Nee, vaak niet. In de Algemene Verordening Gegevensbescherming is beschreven wat wel en wat niet mag.

Cameratoezicht op de werkvloer

Cameratoezicht op de werkvloer is sinds de invoering van de AVG alleen nog toegestaan als er een goede reden voor kan worden gegeven, net als het monitoren van het e-mailgedrag van werknemers.

Tegen het tracken van chauffeurs is ook steeds meer weerstand.

Wanneer mag je als bedrijf wel en wanneer mag je geen gebruikmaken van biometrische technologie?

Wanneer mag cameratoezicht wel?

„Dat ligt aan de situatie“, zegt Böhre bij BNR. „Onder de AVG moet er echt sprake zijn van een noodzaak voor beveiliging of authenticatie.“

Denk hierbij aan een kerncentrale, gevangenis, Schiphol of de Rotterdamse haven.

Volgens Böhre is er bij een gemiddelde supermarkt of autogarage geen noodzaak, tenzij er sprake is van grootschalige fraude of diefstal.

Cameratoezicht in winkels om winkeldiefstal door klanten te voorkomen is wel toegestaan, mits de camerabeelden na 72 uur worden gewist.