Internetrecht door Arnoud Engelfriet

Een datacentrum in Groningen is juridisch hetzelfde als een cookie op een PC in Eindhoven, vindt de Artikel 29-werkgroep. Dit samenwerkingsverband van Europese privacytoezichthouders (met de op het OHIM na onwaarschijnlijkste naam voor een overheidsinstelling) heeft een Opinie over zoekmachines en privacy uitgegeven met als doel het verzamelen van persoonsgegevens van Europeanen door Amerikaanse zoekmachines (u mag drie keer raden wie) aan banden te leggen.

Uitgangspunt is dat iemands zoekgeschiedenis (natuurlijk) persoonsgebonden informatie is, en daarmee onderworpen aan de privacywetgeving. Ook als er geen naam aan vast zit: via een cookie of e-mailadres zijn mensen ook te herkennen. En de mogelijkheid dat je een stukje informatie tot iemand kunt herleiden, is genoeg om die informatie tot persoonsgegeven te maken.

Maar hoe kan Europese privacywetgeving nu van toepassing zijn op een Amerikaans bedrijf? Simpel, omdat het bedrijf apparatuur en computersystemen in Europa gebruikt. Een datacentrum in Groningen bijvoorbeeld. Of een cookie op een PC van een Europeaan.

Inderdaad, het plaatsen van een cookie op een Europese PC is genoeg om je aan de Europese wetgeving te binden. Dat concludeerde deze werkgroep al in 2002 maar toen luisterde niemand, dus zegt men het nu nog maar een keer:

The use of cookies and similar software devices by an online service provider can also be seen as the use of equipment in the Member State’s territory, thus invoking that Member State’s data protection law. … [T]he user’s PC can be viewed as equipment in the sense of Article 4 (1) c of Directive 95/46/EC. It is located on the territory of a Member State.

De specifieke regels die zoekmachines vervolgens voor hun kiezen krijgen, zijn niet verrassend: men moet blokkades zoals robots.txt respecteren, duidelijk aangeven welke informatie men verzamelt en deze zo snel mogelijk, maar uiterlijk na zes maanden weer weggooien (waar Google het niet mee eens is). Of anonimiseren, maar dat is een vrijwel onmogelijke opgave. En wie dat wil, kan zoekmachines aanschrijven met een verzoek tot inzage in het over hem opgebouwde profiel.

Wat nog opvalt, is dat het document vooral ingaat op het verzamelen van persoonsgegevens van gebruikers van de dienst (zoekopdrachten en andere informatie over zoekgedrag). Het feit dat bij indexatie van webpagina’s ook persoonsgegevens worden hergepubliceerd en op nieuwe manieren wordt gekoppeld, komt slechts heel kort aan bod. Maar dat is natuurlijk ook een vele malen complexer probleem.

Via Tweakers.

Arnoud

Op 11 december 2007 publiceerde het College Bescherming Persoonsgegevens (CBP) de Richtsnoeren Publicatie van persoonsgegevens op internet. Hierover schreef ik een column bij Netkwesties:

WBP en Richtsnoeren zien de internetter als consument: een passieve gebruiker van informatie, wiens persoonsgegevens hem door grote bedrijven worden ontfutseld en op ondoorzichtige manier voor alle mogelijke doeleinden worden gebruikt. De WBP is bedoeld om de consument te beschermen tegen misbruik in deze ongelijke situatie. Op zich een goede zaak.

Alleen, websites zijn geen geïsoleerde silo’s meer waarin een kleine, professionele redactie publiceert en de bezoeker dit aanbod braaf consumeert. Er heeft zich de afgelopen jaren een kleine revolutie voorgedaan

Lees verder in Netkwesties: column Arnoud Engelfriet: Richtsnoeren Persoonsgegevens: niet voor Web 2.0.

Arnoud

Een verjaardagskadootje dat me niet eens was opgevallen. Op 11 december publiceerde College bescherming persoonsgegevens (CBP) de definitieve tekst van de Richtsnoeren ‘Publicatie van persoonsgegevens op internet’ (PDF). Deze Richtsnoeren leggen uit hoe het CBP vindt dat de Wet Bescherming Persoonsgegevens toegepast zou moeten worden op internet, met name bij websites en forums.

Veel kritiek, pardon feedback over het omgaan met persoonsgegevens van minderjarigen. Je mag geen stamboom met daarin de naam van je kind publiceren, om eens wat te noemen. Maar, iets belangrijker, sites zoals Hyves, Sugababes en CU2 zijn illegaal bezig omdat ze kinderen profielen laten aanmaken zonder expliciet toestemming aan de ouders te vragen. Deze regel zal grote problemen op gaan leveren voor veel sites, nu meer dan 90 procent van alle jongeren regelmatig online bezig is en 58% vaak gebruik maakt van zulke sites. Toch vindt het Cbp het door haar gepropageerde strenge regime belangrijk:

Bij publicatie op internet moet echter rekening worden gehouden met het feit dat de gevolgen pas jaren later merkbaar kunnen worden, door koppeling van gegevens over een persoon door de tijd heen, of omdat een jongere zich in een nieuwe omgeving (bijvoorbeeld bij wisseling van school) op een andere manier wil kunnen ontwikkelen dan voorheen.

Ook handhaaft het Cbp de opvatting dat een IP-adres een persoonsgegeven is (in combinatie met een datum en tijdstip). Hierop was de nodige kritiek gekomen, omdat IP-adressen eigenlijk bij elke communicatie via internet nodig zijn en de Wbp zo wel heel ruim uitgelegd wordt. Maar deze brede uitleg past binnen de wet en de Europese privacyrichtlijn.

Als laatste bleek er veel verwarring te zijn over de verschillende begrippen, en met name wat de bijbehorende consequenties zijn. Zo gaat het vaak over de “verantwoordelijke” voor een verwerking van persoonsgegevens. Deze term lijkt te suggereren dat je die persoon dan dus aan kunt spreken op de gevolgen. Verantwoordelijkheid op grond van de Wbp is echter iets anders dan aansprakelijkheid. Je kunt verantwoordelijk zijn voor een verwerking zonder aansprakelijk te zijn voor de gevolgen. Zo is Youtube niet aansprakelijk voor schade door een daar gepubliceerd filmpje waar iemand herkenbaar op te zien is. Pas als Youtube getipt wordt, en men het filmpje dan niet weghaalt, kan dat anders worden.

De beheerder van een discussieforum is daarentegen wel verantwoordelijk én aansprakelijk voor persoonsgegevens die op zijn forum geplaatst worden. Een goed moderator-team is dus erg belangrijk. Het Cbp gaat nog een stapje verder:

Houders van websites of forums zijn onder de Wbp ook verantwoordelijk voor onjuiste of onnodige vermeldingen van persoonsgegevens door de bezoekers van hun publicatie. De verantwoordelijke moet daarom actief modereren om aperte onrechtmatigheden te voorkomen, zeker als het gaat om bijzondere gegevens, zoals strafrechtelijke of gezondheidsgegevens (zie hoofdstuk I paragraaf 8). Om onrechtmatigheid van de publicatie te voorkomen, dienen verantwoordelijken ervoor te zorgen dat bijdragen alleen gepubliceerd kunnen worden op tijdstippen dat er moderatie aanwezig is.

Dat wil niet zeggen dat het dus verplicht is om alleen publicaties na moderatie te laten verschijnen. Wie die strenge regel hanteert, zit goed volgens het Cbp. Wie dat niet doet, loopt het risico dat er een bijdrage op het forum komt die achteraf gezien iemands privacy schendt. Maar als dat niet gebeurt, is er geen juridisch probleem.

De regels zijn officieel gepubliceerd in de Staatscourant 2007, 240, pag. 27.

Eerste commentaar bij Netkwesties.

Arnoud

Alle profielen met persoonsgegevens van kinderen tot 16 jaar op sites als Sugababes/Superdudes, Hyves en Cu2 zijn in feite illegaal, meldt Planet naar aanleiding van een symposium over sociale netten, tieners en privacy gisteren. Inderdaad.

Planet citeert artikel 37 van de Wet Bescherming Persoonsgegevens, maar veel relevanter is en ook het hoofdartikel artikel 5. Dit artikel bepaalt dat de voor verwerking noodzakelijke toestemming door de ouders gegeven moet worden als de persoon in kwestie nog geen zestien jaar is. Artikel 37 gaat alleen over verzoeken tot verwijderen of corrigeren van gegevens.

Hyves, Habbo en al die anderen schenden dus de privacywet omdat ze de ouders niet om toestemming vragen om profielen van minderjarige deelnemers aan te maken en te publiceren.

In Nederland is het namelijk alleen toegestaan om iets te doen met persoonsgegevens als er toestemming is van de betrokkene, de persoon om wiens persoonsgegevens het gaat. Zonder toestemming persoonsgegevens verwerken mag alleen onder strenge voorwaarden en in hele specifieke gevallen. Een krant mag bijvoorbeeld iemands naam publiceren als dat relevant is voor een verhaal. Een site mag persoonsgegevens verwerken in het kader van beveiliging, bijvoorbeeld door IP-adressen en gebruikersnamen te loggen.

Als de betrokkene dus nog geen zestien is, moeten de ouders die toestemming geven. Zoals Sjaak Nouwt van de Universiteit van Tilburg al uitlegde, zijn de regels hier strenger dan bij kinderen die iets kopen in de winkel. Ook daarvoor is formeel toestemming van de ouders nodig, maar die wordt geacht te zijn gegeven als de aankoop “normaal” is voor een kind van die leeftijd. Bij de privacywet moeten ouders echt elke keer expliciet die toestemming geven, en mag de site niet aannemen dat deze gegeven is omdat vrijwel alle kinderen online zitten.

Arnoud

In een artikel van het CBP foto’s en ander beeldmateriaal op internet een bijzonder opmerkelijk stukje:

Uw foto kan worden gezien als een bijzonder persoonsgegeven omdat het iets zegt over uw ras. De houder van de website mag geen foto’s van u op zijn website plaatsen zonder dat hij u daarover heeft geïnformeerd en uw uitdrukkelijke toestemming heeft gevraagd. Als u de beelden zelf openbaar heeft gemaakt, bijvoorbeeld door ze op uw eigen website te plaatsen, dan is het niet verboden om de foto verder te publiceren.

Ik denk dat de fotograaf toch nog wel iets te zeggen heeft over het herpubliceren van zijn foto’s.

Via Planet, wier vergelijking van het CBP met “een aap [die kijkt] naar een verroest horloge: niet wetend wat te beginnen” ik absoluut hilarisch vond.

Arnoud

Mede door geldtekort gaat het College Bescherming Persoonsgegevens (CBP) zich niet langer bezighouden met privacy-problemen van privépersonen, meldt De Pers. In een memorandum op haar site legt het CBP uit waarom:

Daarnaast vinden talloze burgers en individuele professionals inmiddels de weg naar het CBP: in 2006 waren dat er 6200. … Maar eerlijkheid gebied te zeggen dat (te) veel van deze individuele voorlichtingsverzoeken en verzoeken om advies niet verder in behandeling worden genomen: wij kunnen ons , hoe graag we dat ook zouden willen, gegeven de hoogte van het aan ons toegekende budget, onmogelijk het privacyleed van een ieder aantrekken omdat dat ten koste zou gaan van ons toezicht op een selectie van ontwikkelingen die potentieel élke burger kunnen raken.

Zonder klachtmogelijkheid bij het CBP kan de burger alleen nog naar de rechter, wat niet altijd even praktisch is.

Jammer. Bewaking van de privacy is en blijft belangrijk. Ook al is wellicht nieuwe wetgeving nodig in het Internet-tijdperk.

Arnoud

Niemand weet hoe veel informatie zoekmachines bijhouden over gebruikers, maar het is ongetwijfeld meer dan we allemaal denken. Google bewaart bijvoorbeeld elke zoekvraag met daarbij het tijdstip, browser type, browser taal en IP adres van elke zoekvraag. En dankzij de deal met Doubleclick kunnen ze daar heel veel mee. Bovendien werd tot voor kort alles tot 2038 bewaard. Onlangs kondigde Google aan dit terug te brengen naar twee jaar, maar dat verstomde de kritiek allerminst.

Toch lijkt het er op dat zoekmachines wel degelijk hun beleid structureer gaan aanpassen op dit punt. De BBC meldt dat na Google nu ook Microsoft, Yahoo! en Ask.com persoonsgebonden informatie sneller weg gaan gooien. Microsoft na anderhalf jaar, Yahoo! na 13 maanden, en Ask.com nog sneller: die komen met een tool waarmee je zelf weg kunt gooien wat je niet bevalt over jezelf.

Google heeft ondertussen ook de Webgeschiedenis-dienst, waarmee gebruikers kunnen zien wat Google allemaal over hen weet.

Het wordt dus langzaam maar zeker een marketingtechniek om te laten zien dat je bezig bent met de privacy van je klant. Maar niet alleen dat. Zoekmachines staan onder steeds grotere druk over precies dit onderwerp, dus proactief maatregelen nemen kan juridisch of wettelijk ingrijpen wellicht voorkomen, aldus Ars Technica:

Such movements from Microsoft and Google are more than just an act of oneupmanship—though there’s certainly an element of that at work—but are a broader response to consumer concerns and nasty allegations of antitrust behavior that’ve been flung around recently. With the Senate set to review Google’s proposed merger with DoubleClick and with Microsoft’s own recent purchase of aQuantive, its in the industry’s best interest to appear very concerned about personal privacy, even as market consolidations point towards more specific, focused, and, in a word, personalized advertising on the horizon.

Het College Bescherming Persoonsgegevens schreef al eerder dat zoekmachines gewoon aan de Wet Bescherming Persoonsgegevens gehouden zijn en dus onjuistheden in persoonsgegevens moeten wijzigen als de betrokkene daarom vraagt. Je zou dus aan een zoekmachine moeten kunnen vragen om pagina’s in hun index te verwijderen of aan te passen.

Benieuwd hoe veel succes Witheet en ZIJonline daarmee hebben trouwens. Connie Breukhoven wist via de rechter af te dwingen dat deze sites smadelijke informatie over haar zouden verwijderen, en dat ze Google en Yahoo opdracht zouden geven tot verwijdering uit de zoekmachine van de publicaties.

Solv meldt nog dat een samenwerkingsverband van verschillende Europese privacytoezichthouders heeft aangekondigd onderzoek te gaan doen naar de bescherming van persoonsgegevens door zoekmachines.

Arnoud