Stijlvolle actie of privacycriminaliteit?

bluf-openbaren-geencommentaar.pngWeet u nog, GC versus GS? Na publicatie van de “Geenstijlchecker” door weblog Geencommentaar kwam Geenstijl geheel in eigen stijl met een stukje Javascript-malware om de site van GC plat te leggen. Dat kon bepaald niet door de beugel, maar aan de actie van GC hing ook een luchtje. Een privacyluchtje om precies te zijn. GC vroeg het na bij het College Bescherming Persoonsgegevens, en kreeg te horen dat ze fout bezig waren.

Wat GC namelijk deed, was een zwarte lijst aanleggen van mensen die je maar beter niet op je blog moet laten reageren. En zwarte lijsten aanleggen ligt gevoelig onder de privacywet. Die stelt strenge eisen aan alle lijsten, filters en andere systemen waarmee je mensen kunt weren uit je winkel, site of andere dienst.

De belangrijkste eis die GC schond, was dat je mensen vooraf moet informeren over hoe ze op de zwarte lijst terecht kunnen komen. Ook moet je beleid hebben en toelichten over de criteria. Je kunt met andere woorden niet zomaar iemands IP-adres nemen en dat op een lijst zetten die je dan als grote verrassing publiceert als zijnde “roze randdebielen”.

Ook zegt het CBP dat de beheerders hun naam en adresgegevens op de site moeten publiceren. Dat is wat raar. Kennelijk heeft het CBP niet goed opgelet om wat voor site het ging. Bij een site als GC gelden de privacyrichtsnoeren gewoon. En daar staat in dat een website als deze kan volstaan met een in Nederland gehost e-mailadres (zodat bij problemen de provider kan worden aangesproken om de gebruiker te identificeren).

Benieuwd of dit nog een juridisch staartje krijgt.

Arnoud

9 reacties

  1. De algemene regel van de privacywetgeving is toch – simpel gezegd – dat de burger ge?nformeerd moet worden over het opslaan van zijn gegevens. Daarom had ik deze conclusie van het CBP wel verwacht.

    Verderkijkend, de mensonterende reacties op veel forums vind ik een re?el probleem. De door Geencommentaar bedachte zwarte lijst van IP-adressen kan wellicht helpen dat tegen te gaan. Daarbij moet men wel bedenken dat slimme hufters altijd wel een nieuw IP-adres weten op te scharrelen en dat voorstanders van vrij schelden op internet hulpmiddelen zullen gaan ontwikkelen waarmee ook simpele hufters via een ander IP-adres kunnen reageren, of om de zwarte lijst plat te leggen.

    De zwarte lijst zou beheerd kunnen worden door een vereniging van eigenaars van websites met reactiemogelijkheid. Vanwege de privacy, moet bij elke reactie-box die tot plaatsing op de zwarte lijst kan leiden, een mededeling komen als “Als uw reactie niet voldoet aan onze huisregels, kan uw IP-adres geregistreerd worden, en kunnen uw toekomstige reacties op deze en andere websites geweigerd worden. (Informatie)”

    Daarbij linkt onze huisregels naar een overzicht van wat wel en niet in de reactie gezet mag worden en andere websites en Informatie linken naar pagina’s op de website van de organisatie die de zwarte lijst beheert.

    Niet elke website hoeft dezelfde huisregels te hebben. Een forum voor AIDS-pati?nten heeft andere grenzen dan een website voor kinderen of een politieke website. Als de gebruiker maar precies kan lezen welke soort reacties tot welke gevolgen kunnen leiden.

  2. Ik heb smakelijk gelachen om zinnen als: Evenmin heeft hij hen ge?nformeerd over de beoogde verstrekking van het IP-adres aan derden met daarbij de kwalificatie dat het IP-adres behoort aan een ???huftert??? danwel ???saboteur??? en gebruikt mag worden om deze personen te ???weren uit poll, petitie of whatever???.

    Leuke tijdsbesteding wel.

    Maar de mening van het college is toch interessanter dan deze lijkt. Wat moeten we bijvoorbeeld aan met spam-blacklists? Hier worden IP-adressen (vaak geautomatiseerd) aan toegevoegd, waarbij grote aantallen providers en serverbeheerders de lijst raadplegen om te beoordelen of ze E-mailberichten aannemen. Zeer nuttig, maar uiteraard niet in het belang of met medeweten van de “personen” die op de lijst gezet worden. Het komt mij voor dat je dus in Nederland een behoorlijk risico loopt wanneer je zo’n blacklist zou opzetten of faciliteren, ook al zou je de nodige waarborgen bieden zoals het afhandelen van verwijderverzoeken.

  3. “Voorlopige bevindingen” met een in nogal definitieve bewoordingen vervatte conclusie.

    Het CBP schrijft een ambtshalve onderzoek te hebben gestart, dus op grond van art. 60 lid 1 Wbp. Dan volgen inderdaad eerste voorlopige bevindingen (art. 60 lid 2 Wbp).

    GC dient nu in de gelegenheid te worden gesteld een zienswijze in te dienen (ik neem dat hiertoe in een begeleidende brief is uitgenodigd). Art. 60 Wbp is er niet duidelijk over wat er vervolgens gebeurt.

    Vermoedelijk is art. 65 Wbp de volgende stap (indien het CBP dat nodig vindt): het nemen van een besluit om bestuursdwang toe te passen. Nu GC het ding heeft weggehaald zal het daar wel niet van komen. Jammer, want het had me interessant geleken om hier de rechter naar te laten kijken.

  4. Meer inhoudelijk: als ik besluit om niet meer te praten met mensen die in het telefoonboek staan, is het telefoonboek ook een zwarte lijst. Zijn de “zwarte lijst”-regels van het CBP dus ook van toepassing op het telefoonboek? Welke lijst met persoonsgegevens is geen “zwarte lijst”?

    De Wbp zegt niets over zwarte lijsten. Het CBP heeft er echter allerlei regels en vormvoorschriften voor bedacht en past die blind toe. Dat is onzinnig. De toets aan art. 8 sub f Wbp, een belangenafweging, kan niet worden vervangen door een checklist met formele eisen. Dat de betrokkene niet is ge?nformeerd over de bewaartermijn kan niet betekenen dat een beroep op art. 8 sub f Wbp per definitie niet kan slagen. Daarvoor zul je toch echt alle omstandigheden in hun onderling verband moeten beoordelen.

    In het rapport lees ik:

    Evenmin heeft hij hen ge?nformeerd over de beoogde verstrekking van het IP-adres aan derden (…)
    Het moet het CBP toch duidelijk zijn geweest dat geen IP-adressen aan derden zijn verstrekt?

    Ik vermoed overigens dat het CBP het halve internet plat zal moeten leggen als het de Wbp strikt wil handhaven.

  5. Ook grappig. Op p. 8 onder “Zorgvuldigheid” oordeelt het CBP dat in strijd met art. 9 Wbp wordt gehandeld omdat de checker voor iedereen toegankelijk is, zodat er geen enkel zicht is op de handelswijze van derden die op deze manier IP-adressen controleren. “Zo is er geen enkele waarborg dat de verstrekte persoonsgegevens door derden worden verwerkt op een wijze die verenigbaar is met het doel waarvoor ze zijn verzameld.”

    Laten we hier eens over nadenken. Stel dat iemand op een blog reageert onder zijn eigen naam. Die naam is onmiskenbaar een persoonsgegeven en wordt verstrekt aan een ieder die het blog bezoekt. Zo is er geen enkele waarborg dat het verstrekte persoonsgegeven door derden wordt verwerkt op een wijze die verenigbaar is met het doel waarvoor het is verzameld! Dat is dus in strijd met art. 9 Wbp. Niet zo mooi dus.

    (Beetje vreemd trouwens dat het CBP de overtreding van art. 9 Wbp gebruikt om aan te tonen dat in strijd met art. 6 Wbp wordt gehandeld. De beweerde overtreding van art. 9 Wbp is toch al voldoende? De redenering “strijd met art. 9 Wbp, dus onrechtmatig, dus strijd met art. 6 Wbp” voegt m.i. niets toe.)

  6. Interessant (en met dank aan Kropotkin die op GC reageerde), nu.nl verwijst naar een uitspraak van een Duitse rechter waarin IP-adressen niet als persoonsgegevens worden beschouwd. (Hierdoor worden logfiles opeens legaal…)

    De rechter is het eens met het CBP dat een IP-adres “door een derde – de internetaanbieder – eenvoudig te herleiden valt tot een natuurlijk persoon, de afnemer van het internetabonnement”, maar vindt een persoon pas identificeerbaar als een willekeurige derde de persoon kan identificeren. Dat kan nu juist niet, omdat het de internetaanbieder in beginsel niet is toegestaan om die gegevens te verstrekken.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.