Internetrecht door Arnoud Engelfriet

De gemeente Groningen publiceert volledige aanvragen voor bouwvergunningen online, inclusief de persoonsgegevens van de aanvrager, zo tipte een lezer mij. En inderdaad, als je zoekt in Bouwdossiers groningen krijg je de complete aanvraag te zien. Wel als plaatje en in een of ander raar formaat (DjVu), maar toch. Onderzoeker Eric Hennekam ontdekte dit. De lokale media OOGtv meldt dat dit in strijd zou zijn met een uitspraak die het College Bescherming Persoonsgegevens (CBP) in 2008 deed. Update: Groningen meldt per direct alle gegevens te verwijderen.

Het CBP oordeelde in 2008 namelijk over het archief van de gemeente Nijmegen, waarbij persoonsgegevens van individuele burgers online in te zien waren. Gemeenten zijn op grond van de Woningwet verplicht een openbaar register bij te houden met aantekening van alle aangevraagde en verleende bouwvergunningen. Dat mag best een online register zijn, maar de gemeente moet dan wel rekening houden met de privacy van de burger, oftewel men mag niet meer gegevens online zetten dan anderen echt nodig hebben in verband met die vergunning. Het adres waar iets gebouwd gaat worden is essentieel, maar telefoonnummer of e-mailadres van de aanvrager niet bijvoorbeeld.

Naar aanleiding van dat oordeel heeft Nijmegen de nodige wijzigingen doorgevoerd. Het is alleen nog mogelijk om voor een specifiek adres een vergunning op te vragen, dus je moet al weten om welk adres het gaat voordat je iets kan. De robots.txt bevat een uitsluiting voor deze databank. En de vergunningen en dergelijke die je kunt vinden, zijn niet-doorzoekbare PDF bestanden. Wel valt me op dat je de resultaatpagina kan dieplinken, hoewel Google en consorten nog steeds tegen de robots.txt zullen aanlopen als het goed is. Deze wijzigingen waren voor het College acceptabel.

In de databank van de gemeente kun je zoeken op straat of met een kaart (een lelijke kloon van Google Maps) navigeren door de stad. Er is geen robots.txt, hoewel er ook maar weinig tekstuele informatie is die een zoekmachinerobot (spider) zou kunnen indexeren. Het navigeren gaat dus iets verder dan wat Nijmegen destijds heeft gedaan, je kunt nu iets eenvoudiger zien in welke straten mensen vergunningen aanvragen. Maar of dat nou een schending van de wet bescherming persoonsgegevens oplevert? Mwa. In ieder geval kun je niet zoeken op namen van bewoners.

In juli vorig jaar blogde ik over de Handreiking publicatie van bouwvergunningen van het ministerie van VROM. Hierin wordt onder andere aanbevolen om irrelevante persoonsgegevens (BSN, e-mailadres, telefoonnummer en dergelijke) weg te poetsen voordat zo’n document online gaat. Dat lijkt niet gebeurd te zijn bij alle ingescande documenten in Groningen - en ook niet in Nijmegen, hoewel het me niet duidelijk is of dat nu beleid is of een foutje.

De opmerking van OOG dat “Net als Groningen trekt ook Nijmegen zich hier nog steeds niets van aan” gaat me wat ver, het is voor 90% binnen het advies dus “niets” vind ik een onjuiste kwalificatie.

Arnoud

Toevallig kwam ik op het Stamboomforum een discussie tegen over privacy en het gebruik van openbare bronnen. Privacy en de Wet Bescherming Persoonsgegevens (WBP) zijn een lastige bij sites die stambomen, geboortekaartjes en dergelijke publiceren. Zodra daarbij namelijk persoonsgegevens van levende personen wordt genoemd, valt de publicatie onder de WBP en is in beginsel toestemming nodig.

Dat wringt, zoals blijkt uit deze tekst waarmee de discussie begon:

Uw scheiding betreft dan een rechterlijke uitspraak. Volgens artikel 121 van onze grondwet zijn rechterlijke uitspraken OPENBAAR. Dat u het niet prettig vind om dit op internet te lezen, begrijp ik. De geboorte van uw kinderen heeft vast en zeker in de krant gestaan, onder het kopje “burgelijke stand’ Misschien heeft u zelf wel een advertentie gezet bij de geboorte, uw verloving of uw trouwen. Kranten (archieven) komen steeds meer online, dus daar vis je de informatie toch zo uit?

En ik geef toe: het is raar dat kranten of het Centraal Bureau voor Genealogie en andere overheidsinstanties deze informatie zomaar mogen publiceren, terwijl een gewone burger diezelfde informatie niet mag herpubliceren. Maar zo zit de wet toch echt in elkaar. (Tenzij het alleen over overleden personen gaat, daarvoor bestaat geen privacy meer.)

De Richtsnoeren van het College Bescherming Persoonsgegevens zijn duidelijk:

Wie een stamboom wil publiceren op internet, doet er verstandig aan om zich in eerste instantie te beperken tot gegevens van overledenen en alleen gegevens op te nemen over levende personen als zij daarin ondubbelzinnig hebben toegestemd. De Wbp kent geen principe als ‘wie zwijgt, stemt toe’ bij het publiceren op internet van persoonsgegevens.

En ook meer algemeen over hergebruik:

Het feit dat persoonsgegevens op internet staan, betekent niet dat ze zomaar opnieuw gebruikt mogen worden in een andere context, voor een ander doeleinde. Het nieuwe doel moet verenigbaar zijn met het oude doel en de verantwoordelijke dient een zelfstandige rechtvaardigingsgrond te heb­ben voor de publicatie.

Dit is dus waarom een krant of dat Centraal Bureau die gegevens wél mag publiceren maar een genealogische website niet. Zij hebben toestemming of een wettelijk recht tot publicatie maar die toestemming impliceert zeer zeker geen toestemming voor hergebruik op een website. Ook niet als de originele publicatie vrij toegankelijk is via internet.

Arnoud

Onlangs deed een rechter voor het eerst uitspraak in een zaak waarin digitale duurzaamheid een rol speelt: de manier waarop we digitale bestanden gaan bewaren om in de toekomst historisch onderzoek te kunnen doen, maar ook om onze overheid te kunnen controleren. Een archiefdienst wilde een papieren archief scannen en de originelen weggooien. Maar dat mag (nog) niet. Want wie zegt dat we de digitale bestanden voor altijd kunnen blijven lezen?

Het archiefwezen bewaart de (tot nu toe papieren) weerslag van (overheids)handelen, zoals brieven en beleidsnota’s. Dit is geregeld in een heuse Archiefwet. Maar de weerslag van handelen gebeurt nu en in de toekomst steeds meer digitaal. Hoe moet een commissie Davids onderzoek doen naar de besluitvorming over Irak, als Balkenende daarover bijvoorbeeld Word-documenten op zijn computer zou hebben staan, die hij - vlak voor hij de commissie benoemd - even in zijn voordeel aanpast? Hoe moet een historicus over 100 jaar onderzoek doen naar deze besluitvorming als de Word-documenten software-matig niet meer kunnen worden geopend of - nog erger - op een 5 1/4 floppy zijn bewaard en überhaupt niet meer hardwarematig kunnen worden gelezen?

Je kunt je - dichterbij huis - voorstellen dat het lastig wordt je recht te halen bij je gemeente als dit soort zaken niet goed zijn geregeld. Wat te denken van journalisten die dingen aan de kaak willen stellen en op basis van de WOB aanspraak kunnen maken op inzage in overheidsarchieven.

Gelukkig is de overheid zich hiervan bewust, dus zal Balkenende niet zo maar relevante Word-documenten op zijn eigen PC hebben en wordt gewerkt aan inzichten en systemen om dit probleem te ondervangen. Het idee voor een oplossing wordt een e-depot genoemd. Dit is (kort-door-de-bocht) een hele grote storage unit, met onder andere allerlei geavanceerde backup-faciliteiten, extra controles op authenticiteit van data en autorisatie op toegang. En het systeem wordt ingericht voor de hele lange termijn. De implementatie en organisatie van deze e-depots staat nog in de kinderschoenen: er is bij velen nog onduidelijkheid wat je nu allemaal realistisch kunt doen. Er wordt wel hard aan gesleuteld.

Bij het Stadsarchief in Amsterdam vonden ze hun e-depot al goed genoeg om de papieren originelen weg te gooien en alleen de digitale scans te bewaren. Hiervoor hebben ze vergunning aangevraagd bij de provincie. In mooi juridisch, de stad Amsterdam vraagt aan de provincie of zij haar archief mag “substitueren” oftewel vervangen door een ander origineel, in dit geval scans. De provinciale archiefinspectie vond het e-depot niet goed genoeg en weigerde de vergunning. En toen mocht de bestuursrechter het zeggen. Hij stelde de provincie in het gelijk.

Kern van zijn vonnis is dat er behalve een goed technisch systeem ook een visie moet zijn op hoe het technische systeem op de lange termijn onderhouden moet worden, en dat de organisatie erop moet worden ingericht. De rechter oordeelde dat deze organisatie in Amsterdam nog niet voldoende was. Ik kan dat niet beoordelen, maar zoals zo veel ICT gerelateerde onderwerpen is het dus voornamelijk een organisatorisch probleem en niet een technisch. Voor digitale duurzaamheid zijn nog best wat innovaties noodzakelijk (en misschien wel voortdurend innovaties noodzakelijk), maar deze kunnen alleen organisatorisch worden opgelost.

Ivo Zandhuis is deskundige op het gebied van automatisering en cultureel erfgoed en werkt sinds 2000 als onafhankelijk adviseur voor erfgoedinstellingen. Zie Ivo Zandhuis Onderzoek & Advies.

Ben je aansprakelijk voor oud nieuws? Die vraag zullen ze zich bij Google Legal ongetwijfeld stellen nadat vermelding op de Google News-homepage van een artikel uit 2002 over de surseance van United Airlines de koers van dat bedrijf met zo’n 10 dollar (ongeveer 80 eurocent tegenwoordig) deed kelderen.

Het artikel was uit 2002, maar werd door de Sun Sentinel opnieuw onder de aandacht gebracht in een kadertje getiteld “Popular stories: Business”. De Googlebot ontdekte het, vond geen datum op de pagina van het artikel en bedacht toen maar dat het actueel nieuws moest zijn. En daarom kwam het bovenaan te staan als je zocht op “bankruptcy” bij Google News. Wat ze bij financieel analist Bloomberg dagelijks doen kennelijk, want binnen het kwartier stond het bericht op de Bloomberg News Wire zodat alle beurshandelaren het onder ogen kregen.

Google maakt zich geen zorgen, lijkt het. Er stond geen datum op, dus was het niet hun schuld dat ze het bovenaan de zoekresultaten lieten verschijnen. Maar als je even doorleest, valt op wat er niet staat: excuses voor de overlast of iets anders dat in de rechtszaal uitgelegd zou kunnen worden als erkenning van schuld.

En dat is logisch, want het lijkt me dat je Google best zou kunnen aanspreken voor de financiële gevolgen van deze fout. Als er geen datum bijstaat, dan moet je een bericht niet zomaar behandelen als nieuws. Sterker nog, Google News zet in haar richtlijnen dat websites die in de News-index willen, duidelijk hun datums moeten markeren. Zo kom je er niet in als er geen datumcode uit de URL te halen is. Dus hoe krijgen ze het voor elkaar om dit oude bericht toch als nieuw te laten verschijnen?

Of is de schade de schuld van al te snel verkopende aandelenhandelaars die afgaan op een kop zonder zelfs maar even te checken of het bericht waar is?

Arnoud