Internetrecht door Arnoud Engelfriet

De Europese Unie wil de wirwar aan nationale wetten over databescherming vervangen door middel van een algemene voor de hele Unie geldende hervorming, las ik bij Nu.nl. Elk EU-land heeft nu een eigen privacywet, gebaseerd op Europese richtlijnen, maar deze moeten worden vervangen door een Europese Europese wet die precies bepaalt hoe het is, klaar. En zo te lezen gaan we heel wat toestemmingspopups krijgen als die er komt.

Reding wil een Verordening invoeren: een Europese wet die direct geldt, zonder dat de lidstaten zelf nog dingen mogen wijzigen of alternatieve regels mogen invoeren op dit punt. Dus als die Verordening er komt, mag Nederland geen eigen regels meer maken over wat Google met Streetview wel of niet mag doen. (Hoewel dat specifiek voor persoonsgegevens toch al niet bleek te mogen.) De rechter kan alleen nog toetsen aan de Verordening, waarbij hij hooguit indirect rekening mag houden met die lokale eigenaardigheden.

En die Verordening gaat streng zijn, als ik de speech van haar en Ilse Aigner goed begrijp:

EU law should require that consumers give their explicit consent before their data are used. And consumers generally should have the right to delete their data at any time, especially the data they post on the Internet themselves.

Met ‘explicit consent’ wordt nadrukkelijk iets strengers bedoeld dan de 48 pagina’s Terms of Service die Facebook en menig andere internetdienst hanteert. Mensen moeten snappen wat er gaat gebeuren en dan liefst op het moment zelf goed nadenken of ze dat willen, en dan uit vrije wil ja of nee zeggen.

Het idee is leuk maar dat gaat dus absoluut niet werken. Mensen snappen niet of willen niet snappen, of zijn niet geïnteresseerd in snappen, wat er allemaal gebeurt met hun persoonsgegevens. Ze willen gewoon hun porretjes sturen, mensen be- dan wel ontvrienden en op muren krabbelen (wat overigens prima is, daar niet van; die infantiele taal is niet mijn sarcastische keuze). En ze gaan ervan uit dat de bedrijven die ze dat laten doen, netjes met hun gegevens omgaan en “geen rare dingen” doen daarmee.

Nou kun je dat naïef vinden - mensen moeten weten wat voor enge dingen bedrijven allemaal doen en daar bezwaar tegen maken. Maar ik zie niet hoe je de gemiddelde consument in beweging krijgt om dat ook daadwerkelijk te doen. Laat staan om een cursus internetrecht te gaan volgen om te weten wat hun rechten en plichten zijn. Zou dat echt moeten voor je mag gaan Facebooken?

Logischerwijs zou de wetgever dan daarop moeten inspelen en als uitgangspunt nemen dat “rare dingen” niet mogen van de privacywet. Dat willen we niet hebben, dus dan moet het niet mogen.

Kennelijk voelt dat dan toch net weer iets te eng of zo, want net als bij de cookieregels wordt er dan toch maar naar het middel van “nou vooruit met expliciete, pardon uitdrukkelijke, pardon voorafgaande nee met geïnformeerde en vrije toestemming” gegrepen. Wat dus niet werkt want mensen klikken op whatever ze moeten klikken om hun porretje, krabbel of boerderijuitrusting te kunnen kopen.

Maar wat dan? Harde wettelijke regels à la “het is verboden mails te lezen om daar advertenties mee te targeten”? “Bonuskaartgegevens mogen niet worden gedeeld met verzekeraars”? En dan nog driehonderdvierentachtig van zulke regels? Hoe ga je dat in vredesnaam nog enigszins flexibel houden? Dat zie ik al helemaal niet gebeuren.

Nee, misschien moeten we het juist flexibeler maken. Profielen opbouwen en dingen daarop afstemmen, prima. Alleen:

1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
2. Je moet volledig disclosen wat je doet en waarom;
3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Dat laatste is natuurlijk de truc: hierdoor gaan mensen op zoek naar foutjes, natuurlijk puur om rijk van te worden, maar dat houdt die bedrijven wel scherp. Sommigen zullen dan maar afzien van profilen, anderen zullen de problemen kunnen beperken en weer anderen gaan failliet omdat ze te vaak boetes over zich heen krijgen.

In Duitsland bestaat een soort van vergelijkbaar systeem voor e-commerce. Bedrijven die de e-commercewet niet naleven, kunnen van voorheen ambulancesnajagende advocaten een schadeclaim verwachten. En ja, daardoor wordt er in Duitsland véél beter op die wetgeving gelet door bedrijven dan bij ons. (Bij ons kun je ook wel procederen over ontbrekende KVK-nummers op websites maar wat is je schade?)

Het lijkt me in ieder geval beter te kunnen werken dan “lees deze dertig pagina’s en geef dan vrijwillig uw toestemming”. Wat jullie?

Arnoud

Mag dat, een voertuig fotograferen dat te snel rijdt of een gevaarlijk manoeuvre uitvoert? En mag je die beelden dan online plaatsen? Neen, zegt de Belgische Privacycommissie (hun College Bescherming Persoonsgegevens) tegen De Standaard. ‘Er bestaat zoiets als het recht op afbeelding: je mag alleen een foto van een ander publiceren met diens toestemming’, zo wordt men geciteerd.

Achtergrond van deze zaak was een een werknemer van Fabricom die met zijn bedrijfswagen veel te snel reed. Daar werd over getwitterd mét foto:

Een nummerbord is een persoonsgegeven, want het is tot de bestuurder/eigenaar van de auto herleidbaar. In België meer dan bij ons, omdat daar het nummerbord, eh de nummerplaat dus aan de eigenaar gebonden is en niet aan de auto. Maar ook in Nederland kun je formeel het nummerbord zien als persoonsgegeven. Het identificeert misschien van tijd tot tijd verschillende personen, maar dát maakt niet uit. Zolang het op enig moment enige persoon identificeert, is het op dat moment een persoonsgegeven. Dus ja, precies zoals IP-adressen persoonsgegevens zijn. (Hela, een vergelijking tussen internet en auto’s die nog klopt ook.)

Raar is wel dat iets dus een persoonsgegeven is zodra iemand het gegeven kan vertalen naar een natuurlijk persoon. Voor nummerplaten is de hulp van de DIV nodig, en die krijgt alleen de overheid zelf. Voor IP-adressen is de provider nodig. Maar dat maakt niet uit: als er een pad is dat met ‘redelijke’ inspanning tot identificatie leidt, dan is het gegeven een persoonsgegeven. In het absurde doorgetrokken is het getal 315 dus een persoonsgegeven - als ik erbij zeg dat dit een klantnummer is van één van mijn klanten. Jullie mogen het nummer 315 nu dus niet meer gebruiken zonder zijn toestemming.

Foto’s zijn overigens ook persoonsgegevens. De regels voor een foto zijn dus hetzelfde als voor een naam. Voor foto’s bestaat al langer het portretrecht, maar wanneer het portretrecht wordt ingeroepen vanwege privacyoverwegingen dan komt dat op hetzelfde neer als inroepen van de Wet bescherming persoonsgegevens.

Wanneer je persoonsgegevens op internet zet, ‘verwerk’ je die in de zin van de privacywet (bij ons de Wet bescherming persoonsgegevens en in België de Wet tot bescherming van de persoonlijke levenssfeer). Uitgangspunt is dat je dan toestemming nodig hebt van de betrokkene, of een contract met hem hebt op grond waarvan de verwerking noodzakelijk is. Het enkele feit dat de persoonsgegevens in een openbare bron te vinden zijn, is niet genoeg om ze te mogen hergebruiken in een andere context.

Als er geen toestemming is, dan is er echter nog een escape: wanneer de verwerking “noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke” én dat belang zwaarder weegt dan de privacy, dan mag de verwerking alsnog. Ook zonder toestemming. De vrije meningsuiting is het bekendste voorbeeld van zo’n belang. Oftewel: als het genoeg nieuwswaarde heeft om iemands persoonsgegevens te gebruiken, dan mag het. Bij ons werd op die grond Blik op de weg toegestaan beelden van verkeersovertreders uit te zenden, hoewel daarbij de gezichten en de kentekenplaat waren gemaakt. Wegmisbruikers maakt sowieso altijd nummerplaten onherkenbaar als er geen toestemming is.

De vraag is dus: mag je iemands nummerbord twitteren als je meent dat die auto een verkeersovertreding begaat?

Die melding heeft enige nieuwswaarde, want het is een opmerkelijk feit dat nog niet bij het publiek bekend was. Je bent immers in ieder geval journalistiek bezig wanneer je

de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebt, ongeacht het overdrachtsmedium. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen een winstoogmerk hebben.

Daar staat tegenover dat de nieuwswaarde niet héél groot is, en je je kunt afvragen of bij het nieuwsfeit de identiteit van de persoon wel relevant is. Dat zal van de persoon afhangen lijkt me. Als je Koos Spee met die snelheid voorbij ziet scheuren, mag je dat zeker melden. Ben ik het, dan is het discutabel (een jurist heeft voorbeeldfunctie, maar is mijn verkeersgedrag relevant voor wat ik doe?). Is het een willekeurige burger, wat is dan het belang van diens naam noemen?

Wellicht dat je soms kunt spreken van een “educatief belang”, zoals ook in de Blik-op-de-wegzaak:

Voor zover [eisers] vreest als wegmisbruiker te boek te zullen staan, weegt dit individuele belang (dat vrijwel voor alle voor “Blik op de weg” gefilmde verkeersovertreders geldt) niet op tegen het door Leo de Haas c.s. mede gediende algemene belang van een educatief programma.

Het ‘gewicht’ van het persoonsgegeven lijkt me ook relevant. Hoe sneller iemand te identificeren is of hoe meer het gegeven zegt over iemand, hoe ernstiger de privacyinbreuk als het gegeven zomaar wordt verwerkt. Dat getal 315 ergens noemen schaadt de privacy van mijn klant niet. De nummerplaat is in België aan de persoon gekoppeld, en niet aan de auto, dus daarmee is een dergelijke tweet eerder te herleiden tot die persoon dan in Nederland. Immers, er hoeft maar één publicatie ooit te zijn geweest waarin de koppeling is gedaan (een autotekoopadvertentie van jaren terug) en de link is nu gelegd.

Hoewel, in dit geval gaat het natuurlijk om een bedrijfsauto en dat nummer is dus gekoppeld aan het bedrijf. Alleen zéér indirect - door de interne administratie van de werkgever - is de natuurlijke persoon zelf nog te identificeren. Daarmee zou het privacybelang voor mij erg laag zijn. De nieuwswaarde is echter ook niet erg hoog. Beide kanten zijn daarmee verdedigbaar, maar van mij zou dit moeten mogen.

Arnoud

WTF-momentje op de vrijdagmiddag dat ik het las: Facebook weigert inzage in persoonsgegevens van hun gebruikers omdat afgifte daarvan hun handelsgeheimen in gevaar zou brengen.

De groep Europe versus Facebook had een campagne opgezet waarbij alle Europese Facebookgebruikers opgeroepen werden om een inzageverzoek te doen onder de privacywet van alle persoonsgegevens die Facebook van ze had. Facebook is verplicht daaraan mee te werken, en biedt daarvoor dit formulier, maar beriep zich tegenover enkele Ierse verzoekers op een uitzondering in de Ierse privacywet die handelsgeheimen beschermt.

De basis van het inzageverzoek is het recht van inzage, bij ons artikel 35 Wet bescherming persoonsgegevens. Dit recht bepaalt dat iedereen het recht heeft te vragen “of hem betreffende persoonsgegevens worden verwerkt.” Als dat zo is, dan moet de verantwoordelijke daarvoor “een volledig overzicht daarvan in begrijpelijke vorm” verschaffen, met onder meer het doel van de verwerking, de soorten gegevens, de ontvangers (of soorten ontvangers) en alles dat hij heeft over de herkomst van de gegevens. Een flinke bult gegevens, volgens bronnen tot een gigabyte groot.

Lid 4 van dit artikel bepaalt dat men óók moet vertellen op welke manier men gegevens verwerkt:

Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.

De beheerder van het bestand mag een verzoek alleen weigeren als het disproportioneel grote lasten op zou leveren. Hij mag bovendien geen hoge administratiekosten rekenen – de wet noemt expliciet een bedrag van 5 euro als maximumvergoeding voor het afhandelen van een dergelijk verzoek. Dat er mogelijk een hoop moet worden gekopieerd of uitgetypt, maakt het verzoek nog niet meteen disproportioneel, zo besliste de Hoge Raad in de Dexia-zaak. Daar werd overigens ook bepaald dat het oproepen tot het massaal doen van verzoeken géén misbruik van het recht is. De Privacy Inzage Machine van Bits of Freedom is dus volstrekt legaal (en deze verkapte oproep om ‘m te gebruiken dus ook).

De Ierse wet bevat nog een specifieke uitzondering voor dat “logica”-lid:

Subsection (1) (a) (iv) of this section is not to be regarded as requiring the provision of information as to the logic involved in the taking of a decision if and to the extent only that such provision would adversely affect trade secrets or intellectual property (in particular any copyright protecting computer software).

Deze uitzondering staat bij ons niet in de wet, maar hij is terug te vinden in de privacyrichtlijn, overweging 41, dus in de praktijk mag de rechter deze uitzondering toch toepassen bij ons.

Men mag dus inzage weigeren in de logica als dat handelsgeheimen in gevaar zou brengen. Daar kan ik me nog wel iets bij voorstellen. Maar het moge duidelijk zijn dat inzage weigeren in persoonsgegevens zelf met een beroep op dit artikel niet kan. Je bent dan misschien het product van Facebook, maar dat product heeft wel het recht te weten wat er precies van hem wordt verkocht en aan wie.

Arnoud

Een lezer vroeg me:

Binnen onze organisatie is het onlangs verboden om gegevens van relaties te bewaren in mailboxen of naar elkaar te mailen. Wij mogen deze alleen opvragen in het centrale systeem als ze nodig zijn. Dit is buitengewoon onhandig, als ik een keer een telefoonnummer nodig heb dan moet ik apart inloggen. Waarom stelt men deze eis?

Deze organisatie neemt de privacywet wel érg serieus. De Wet bescherming persoonsgegevens eist dat je “adequate beveiliging” toepast bij ieder gebruik of verzending van persoonsgegevens.

Er zijn geen harde technische eisen die altijd gelden. Zo wordt bij contactformulieren vaak SSL gehanteerd, maar dat is een gebruik (of eis van een brancheorganisatie) en geen wettelijke plicht. Je moet dus per geval kijken wat je voor beveiliging hebt en of dat ‘adequaat’ is gezien de omstandigheden.

Bij e-mail is er het risico dat de mail naar een verkeerd persoon gaat. In dat beveiligde systeem speelt dat risico niet, omdat alleen de juiste ontvanger het wachtwoord zou moeten hebben. Maar verzenden met versleutelde e-mail zou op zich ook in orde moeten zijn.

Aan de andere kant, de meeste relaties sturen zelf elke keer per mail hun hele reeks contactgegevens mee in hun handtekening. Je kunt je dus afvragen of je als ontvanger dan nog wel zo streng moet zijn.

Arnoud

Een lezer vroeg me:

Ons gemeentearchief beschikt over een zeer grote hoeveelheid bronmateriaal over oud-inwoners. Nu wil ik graag een verhaal schrijven over een moordzaak uit 1920 die destijds de gemeente nogal bezighield. Mag ik dat doen en daarbij de naam van de moordenaar en slachtoffers noemen? En kan ik dan ook een foto uit het archief daarbij publiceren? Of geldt de privacywet nog steeds?

Het gebruik van iemands naam in een publicatie valt in principe onder de privacywet, de Wet bescherming persoonsgegevens. Deze eist eigenlijk altijd toestemming van de betrokken persoon. Een naam publiceren zonder toestemming mag alleen in zeer uitzonderlijke gevallen, zo bepaalt de Wbp. De persvrijheid is zo’n uitzondering: als de nieuwswaarde groter is dan het privacybelang van de betrokkene, dan mag je deze publiceren.

Bij een overleden persoon geldt de Wbp echter niet meer. Je mag dus namen en informatie publiceren over deze personen zonder nadere toestemming of een belangenafweging. Alleen als de publicatie óók de privacy raakt van nog levende personen (bijvoorbeeld de kinderen of kleinkinderen), kan alsnog toestemming nodig zijn. Als je bijvoorbeeld vermeldt waar de moordenaar woonde en diens kleinkinderen wonen daar nog, dan zou de privacy in het gedrang kunnen komen.

Voor foto’s geldt het portretrecht. Dit geldt tot 10 jaar na overlijden. Dit is dus een ietwat merkwaardige kronkel: wil je publiceren over iemand die pas 5 jaar dood is, dan mag je wél zijn naam zomaar noemen maar niet zijn foto publiceren.

Bij het portretrecht geldt normaal een afweging van het “redelijk belang tegen publicatie”. Dit is in essentie hetzelfde als bij de uitzondering in de Wbp: als de nieuwswaarde groter is dan het privacybelang van de betrokkene, dan mag je deze publiceren. Echter, als de foto in opdracht van de geportretteerde is gemaakt, dan is toestemming nodig en kom je er niet met “er is geen redelijk belang”.

Een detail is nog dat het hebben van de foto in het archief niet impliceert dat je de foto mag publiceren. Een in 1920 gemaakte foto kan nog prima auteursrechtelijk zijn beschermd, want het auteursrecht loopt tot 70 jaar na de dood van de fotograaf. Als deze laten we zeggen 30 jaar oud was in 1920 en op tachtigjarige leeftijd overleed, dan is de foto pas op 1 januari 2041 rechtenvrij. Ja, 2041.

Het zou kunnen dat de foto door de politie is gemaakt. Dan is publicatie toegestaan mits je de bron noemt (”Foto: Politie Amsterdam, circa 1920″). Bij particuliere fotografen zul je op zoek moeten naar de fotograaf en diens toestemming vragen als je zijn foto’s wilt kopiëren of publiceren. Kun je die niet vinden, dan mag je de foto niet gebruiken. Eventueel kun je bij Foto Anoniem een vrijwaring kopen, maar die is niet goedkoop.

Arnoud

Vorige week schreef ik over het Facebook-’Like’-knopje dat iedereen blijkt te tracken, ook als je niet ingelogd bent of zelfs als je geen lid bent van het sociale netwerk. Deze aanpak is juridisch dubieus, zeker nu er een cookiewet aankomt die dit expliciet gaat verbieden.

In Duitsland lijkt nieuwssite Heise een oplossing te hebben gevonde. Men toont het Facebookknopje pas nadat de gebruiker expliciet hierom gevraagd heeft. En dat klinkt als meer gedoe dan het is: het plaatje rechtsboven laat zien dat je alleen maar twee keer in plaats van één keer hoeft te klikken. De techniek erachter is simpel, de eerste klik gaat naar de Heise-site en die stuurt het Facebook-knopje met al zijn trackingcode terug, waarna de tweede klik dat knopje activeert.

Leuk idee, alleen is Facebook boos. Deze werkwijze zou in strijd zijn met de Facebook Platform Policies, die namelijk vermelden:

8. You must not use or make derivative use of Facebook icons, or use terms for Facebook features and functionality, if such use could confuse users into thinking that the reference is to Facebook features or functionality.

Dit lijkt me een tikje gezocht. Maar in principe hebben ze een punt, want het grijze icoontje ziet eruit als een Facebook-icoon maar de klik gaat niet naar Facebook.

Update (08:54) Heise heeft het grijze knopje aangepast:

Later verduidelijkte Facebook-woordvoerder Tina Kulow op Twitter dat de dubbelklik-oplossing op zichzelf prima is, alleen niet met dat grijze icoontje:

Um es klar zu stellen: 2-klick-Button ist nicht ideal - aber kein Problem. Nur ein Like-Button der grafisch so tut als ob er einer ist, ist nicht ok. Das ist alles.

Het zou dus een kwestie moeten zijn van een eigen icoon maken dat aangeeft dat het Facebook-knopje beschikbaar is, zonder dat dit 1-op-1 hetzelfde is als het Facebook-knopje zelf. Dat zal nog lastig worden. Immers, dit was dé manier om zo’n knop te maken, een grijze versie van een knop is de standaardmanier om aan te geven dat iets nu inactief is maar geactiveerd kan worden.

Elk alternatief zal tegen hetzelfde probleem aanlopen. Je moet immers het Facebook-logo gebruiken om aan te geven dat dit Facebook-functionaliteit betreft. De enige oplossing die ik kan zien is het dubbelklikken om alle social media knopjes te activeren, maar dat lijkt me nodeloos nadelig voor andere sites die zich wél netjes gedragen.

Oh, en in diezelfde tweet linkt ze naar een FAQ-pagina met deze fijne paarsebroekenformulering:

Deze standaardgegevens helpen ons jouw beleving te verbeteren afhankelijk van welke browser je gebruikt en of je bent aangemeld op Facebook of niet.

Weet iemand wat dit betekent? Hoe verbetert Facebook mijn ‘beleving’ van Heise.de (wat dat dan ook moge betekenen) door mijn IP-adres, browserdata etcetera te loggen en 90 dagen te bewaren? Het knopje blijft immers hetzelfde, en getargete advertenties op Heise.de van Facebook zie ik niet

Arnoud

Een lezer vroeg me:

Op menig website zie je tegenwoordig de Facebook ‘Like’-knopjes. Nu had ik gelezen dat Facebook je daarmee ook trackt als je er niet op drukt, dus ook als je geen lid bent en niet akkoord bent gegaan met hun Terms of Service of privacyverklaring. Mag dat zomaar?

De Facebook ‘Like’-knop bevat inderdaad een trackingcookie dat in alle gevallen wordt gezet, ook als je niet ingelogd bent of zelfs geen Facebook account hebt.

Bij onze Eerste Kamer ligt nu een wetsvoorstel dat gaat eisen dat tracking cookies alleen mogen worden geplaatst met uitdrukkelijke toestemming, en dat zou de Facebook cookies bij de Like-knop dus in strijd met de wet maken. Zaterdag las ik dat in de Duitse deelstaat Sleeswijk-Holstein al een verbod op dit knopje geldt binnen de overheid.

De grote vraag is dan: is Facebook te houden aan die Europese wet? In het verleden heeft de Artikel 29-Werkgroep geconcludeerd dat dat inderdaad het geval is. Uit hun analyse:

De Groep is daarom van mening dat de nationale wetgeving van de lidstaat waar de pc van de gebruiker zich bevindt, van toepassing is op de vraag onder welke voorwaarden de persoonsgegevens van de gebruiker kunnen worden verzameld door cookies op zijn harde schijf te plaatsen.

Dit baseert men op artikel 4 van de privacyrichtlijn, dat bepaalt dat nationaal recht van een lidstaat geldt als

de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

Het plaatsen van cookies is geen ‘doorvoer’, en daarmee is dus aan deze eis voldaan.

Praktisch gezien is het natuurlijk een beetje moeilijk om Facebook te dwingen zich te houden aan Europese regels als ze niet daadwerkelijk actief zijn in Europa. Wie ga je de boete opleggen, en hoe incasseer je die?

Niet verrassend is in de VS al iemand over dit onderwerp aan het procederen. Ik ben heel benieuwd wat voor schikking hieruit komt en of Facebook dan ook daadwerkelijk haar knopje gaat aanpassen. In de tussentijd is het met Adblock blokkeren van het Like-knopje de handigste optie denk ik.

Arnoud
Foto: How to add a DisLike button on facebook in firefox?

Het gebruik van e-mailadressen en andere persoonlijke gegevens van mensen valt onder de strenge privacywet, de Wet bescherming persoonsgegevens. Deze schrijft voor dat je in principe alleen gebruik mag maken van zulke gegevens als je toestemming hebt. Recent heeft het overlegorgaan van privacywaakhonden, de Artikel 29-Werkgroep een opinie over toestemming gepubliceerd die uitwerkt hoe je toestemming moet krijgen. Hieruit blijkt nog maar eens hoe streng deze regels zijn, en hoe snel je in de fout kunt gaan.

Toestemming is het uitgangspunt, omdat de privacywet is gebaseerd op het idee dat de betrokkene zelf beslist wie wanneer zijn gegevens gebruikt. Gebruik van persoonsgegevens is dus een gunst en geen recht. Dit blijkt ook nog eens uit het feit dat men toestemming op elk moment mag intrekken van de wet.

Steeds meer sites en apps maken gebruik van persoonsgegevens als onderdeel van hun bedrijfsmodel. Spelletjes vragen toegang tot de vriendenlijst of het MSN-account zodat ze zichzelf kunnen promoten. Websites en advertentienetwerken bouwen profielen op zodat ze getargete advertenties kunnen tonen. Dit mag, maar hiervoor is wel apart toestemming nodig.

Het grootste probleem in de praktijk is dat mensen niet goed weten waar ze toestemming voor geven. Hoe veel sites zijn erniet waar men volstaat met “U geeft toestemming voor gebruik voor marketing” of “onze zorgvuldig geselecteerde partners mogen u mailen”, of met “ik aanvaard het privacyreglement” waarna je in tien pagina’s juridisch jargon mag nalezen wat men onder ‘privacy’ verstaat.

Dergelijke vormen van ‘toestemming’ vragen zijn expliciet niet genoeg, zegt de Werkgroep nu. Enkel en alleen als de toestemming gebaseerd is op een vrije beslissing, na geïnformeerd te zijn over wat er specifiek gaat gebeuren, is de toestemming rechtsgeldig. Een paar voorbeelden:

• Het aan hebben staan van Bluetooth is geen toestemming voor het ontvangen van reclameberichten via Bluetooth. Gaat men zelf naar een billboard toe waar staat “Hou je telefoon hier en ontvang onze aanbieding”, dan is dat lopen natuurlijk wel een vorm van toestemming geven.
• Medewerkers een mailtje sturen met daarin een voorbeeld (preview) van hun vermelding in het smoelenboek op intranet, gevolgd door een duidelijke “ja/nee” knop, levert toestemming op als mensen op “ja” klikken. Als de manager mails rondstuurt dat “nee” klikken “niet op prijs” gesteld wordt of “niet past bij onze professionele opvattingen”, is de toestemming niet meer rechtsgeldig.
• Een privacystatement linken onderaan elke pagina van een forum met daarin dat je gebruikersinformatie (naam, e-mailadres etcetera) gebruikt kan worden voor marketingdoeleinden is geen manier om toestemming te krijgen. Ook een expliciet akkoord vragen op het privacystatement is niet genoeg - wie gaat de marketing doen en wat voor marketing is dat dan?
• Een expliciete melding dat je e-mailadres wordt verstrekt aan bedrijven X en Y zodat die je reclame kunnen sturen voor hun producten is wél een vorm van toestemming, mits men maar op dat moment de verstrekking nog kan tegenhouden.

Het laatste item is gebaseerd op een opmerkelijk standpunt van de werkgroep omtrent sociale netwerksites. De werkgroep signaleert namelijk de trend dat zulke sites mensen min of meer dwingen in te stemmen met getargete advertenties als voorwaarde om lid te mogen worden van de site. En dat vindt men niet kunnen:

Considering the importance that some social networks have acquired, some categories of users (such as teenagers) will accept the receipt of behavioural advertising in order to avoid the risk of being partially excluded from social interactions. The user should be put in a position to give free and specific consent to receiving behavioural advertising, independently of his access to the social network service.

De zorg is terecht, maar ik heb wel moeite met deze consequentie. Het zou genoeg moeten zijn om vooraf te horen wat de site van plan is, waarna je kunt besluiten lid te worden of niet. Goed, bij sommige sites heb je vrijwel geen keuze, daar móet je lid van zijn (Facebook als tiener of Linkedin als professional). Heel misschien is het dan verdedigbaar.

Apps die je via die netwerkdienst kunt gebruiken, moeten apart toestemming vragen voor wat zij willen doen. En ook die toestemming moet expliciet en uitgebreid zijn. Niet alleen maar “This app wants to access your account”; nee, welke onderdelen en informatie worden benaderd en wat gebeurt daarmee? Verandert hoe de app werkt, dan moet apart opnieuw toestemming worden gevraagd.

Heeft de app bijvoorbeeld een nieuwe functie om je highscore te twitteren, dan moet apart gevraagd worden of deze geactiveerd mag worden. Ook moeten mensen vooraf zien wat er wordt getwitterd. En als ik dat standpunt hierboven goed begrijp, dan is zelfs te verdedigen dat de gebruiker het activeren van deze functie moet kunnen weigeren zonder gestraft te worden met een niet meer werkende app.

De wet noemt overigens enkele uitzonderingen op de eis van toestemming. Zo mag je gegevens zonder nadere toestemming gebruiken als dat nodig is voor het uitvoeren van een overeenkomst. Je mag dus bijvoorbeeld het adres van een klant aan je vervoerder geven zodat deze de bestelling kan bezorgen. Ook mag je in bijzondere gevallen zonder toestemming iemands gegevens gebruiken als dat noodzakelijk is voor een eigen zwaarwegend doel, én dat doel zwaarder weegt dan de privacy van de betrokkene. Dit is echter meestal niet van toepassing, behalve bij journalistieke publicaties kan ik er eigenlijk geen bedenken..

Arnoud

Tijd voor juridisch tegengas, schreef Arjan Dasselaar afgelopen zaterdag in zijn column bij Nu.nl. Hij reageerde daarin op het voorstel van het College bescherming persoonsgegevens, dat begin vorige week een wetsvoorstel had aangekondigd dat boetes tot 25.000 euro mogelijk zou maken voor mensen die persoonsgegevens van verdachten publiceren, met name door filmpjes of foto’s te publiceren. Deze antischandpaalwet stuitte op veel kritiek, ook vanuit de Tweede Kamer.

Arjans column bevat een praktische oplossing voor winkeliers die geen problemen willen met de wet:

Neem een bepaling op in uw algemene voorwaarden waarin staat dat u zich het recht voorbehoudt om foto’s en filmpjes van alles wat er in uw zaak gebeurt, op internet te plaatsen.

Neem daarin ook een bezwaarbepaling op. Regel dat bezoekers van uw pand die geen prijs stellen op dergelijke publiciteit, kunnen verzoeken tot verwijdering van dergelijke beelden. Dan moeten ze dat wel even persoonlijk bij u melden.

Een leuk idee, maar juridisch gezien gaat dit niet werken. Toestemming voor gebruik van persoonsgegevens (en dus ook foto- en videobeelden) kan niet worden opgeëist in algemene voorwaarden, hoe veel stickers of bordjes je ook plakt. De wet eist namelijk “ondubbelzinnige toestemming” en daaraan kan alleen worden voldaan met een expliciete uiting die neerkomt op “ja dat is goed”. Stilzwijgen of een ongerelateerde handeling (zoals een winkel binnenlopen) voldoet daar niet aan.

Ik ben heel benieuwd naar het wetsvoorstel waar het Cbp over sprak. Ik zie namelijk niet hoe je dit in een wet giet. Het lijkt me namelijk zoiets specifieks, moet je echt specifiek een wet daarvoor maken? En hoe definieer je een schandpaalsite zonder dat je ook bv. Opsporing Verzocht of De Politie Zoekt verbiedt? Of meer algemeen, zonder dat de vrije nieuwsgaring in het gedrang komt?

Arnoud
Bordje: De baas in huis, Prijsvechter.nl

De site onthul-overspel.nl roept bezoekers op de liefde ‘recht’ te doen door vreemdgangers te ontmaskeren, las ik bij Nu.nl. De site is heel eenvoudig: je voert het emailadres van de bedrogen partner in op de site en hij of zij ontvangt een anonieme mail met daarin de door jou aangegeven omstandigheden plus de eventuele identiteit van de minnaar (m/v).

Normaal stel ik nu de vraag “mag dat”, maar in dit geval lijkt het antwoord me wel duidelijk. Ik werd echter geïntrigeerd door het AD-artikel, dat meldde

Of de persoon in kwestie inderdaad een geheime relatie heeft wordt niet gecontroleerd. Sterker nog: onthul-overspel.nl stelt in zijn algemene voorwaarden expliciet dat het niet verantwoordelijk is voor ‘negatieve consequenties in het leven van de betrokken partijen’

De voorwaarden er maar even bij gepakt. Ik moest héél hard lachen om deze passage tussen de gecopypaste standaardonzin:

Uw persoonlijke gegevens zijn veilig bij Onthul-overspel.nl Wij waarderen het vertrouwen dat u in ons stelt en wij zullen daarom uiterst zorgvuldig met uw gegevens omgaan.

Artikel 5 lijkt de kern te zijn van waar het om gaat:

• Gebruikers (onthullers) van de diensten van Onthul-overspel.nl dienen aan de gangbare ethiek te voldoen met betrekking tot het respecteren van de rechten van derden en de rechten van de wet.
• De informatie die de onthuller verstrekt dient exact en waarheidsgetrouw te zijn. De onthuller is volledig verantwoordelijk voor de mogelijke consequenties van het openbaren van de betreffende informatie op zijn leven of op het leven van andere internetgebruikers. De gebruiker erkent dat Onthul-overspel.nl op geen enkele wijze aansprakelijk kan worden gesteld, met name niet over uw auteursrecht, uw eer, de intimiteit van uw privéleven, die resulteren uit het verspreiden of bekendmaken van informatie over enige partij.
• De onthuller wordt geacht in staat te zijn op ieder mogelijk moment bewijzen betreffende zijn onthulling aan te dragen. Op het moment van de door hem gedane onthulling accepteert de onthuller de volledige verantwoordelijkheid van de onthulling en van mogelijke foutieve informatie die door hem verstrekt is. Onthul-overspel.nl kan niet verantwoordelijk worden gehouden voor de juistheid of onjuistheid van de informatie en content die door gebruikers van de website of diensten van Onthul-overspel.nl worden verstrekt.
• In het geval dat een partij Onthul-overspel.nl verantwoordelijk probeert te houden naar aanleiding van gedragingen van een gebruiker die niet conform zijn met de huidige Algemene Voorwaarden of de wet, biedt de betreffende gebruiker garantie aan Onthul-overspel.nl. Deze garantie houdt in dat de gebruiker alle mogelijke onkosten en honoraria van advocaten voor zijn rekening neemt.
• Onthul-overspel.nl kan niet verantwoordelijk worden gehouden voor een foutieve bekendmaking van overspel of overdrijving van het overspel, zelfs als deze verifieerbaar, tastbaar en bewijsbaar is. Onthul-overspel.nl kan niet verantwoordelijk worden gehouden voor directe of indirecte negatieve consequenties in het leven van de betrokken partijen (personen) van de onthulling van het overspel.

Op zich zou ik hier graag een juridische analyse op doen, maar waar te beginnen? In feite komt het neer op “U mag mensen tippen over overspel met onze dienst, wij houden u anoniem maar u garandeert dat alle mails correct en juist zijn”. Dat lijkt me een nauwelijks nog realistisch te noemen garantie. Ik ben in ieder geval héél benieuwd hoe de exploitant de verzender van zo’n mail gaat gebruiken als de ontvanger de site aansprakelijk stelt voor een schadeclaim wegens bv. privacyschending of smaad.

Nu.nl meldt nog dat de site zich het recht toe-eigent de ingevoerde e-mailadressen voor onder meer commerciële activiteiten te gebruiken. Ik kan niet achterhalen waar dat staat, wie helpt? Ik zie alleen dit:

Zodra u Onthul-overspel.nl via diens site informatie verstrekt over personen die overspel plegen, gaat u ermee akkoord dat de betreffende informatie aan andere internetgebruikers zal worden verstrekt door Onthul-overspel.nl in het kader van de door Onthul-overspel.nl aangeboden diensten.

maar dat wordt gevolgd door “Dit betekent dat u ermee akkoord gaat dat de betreffende informatie aan het slachtoffer van het overspel zal worden verstrekt.” en sluit dus iedere andere verstrekking of gebruik van gegevens uit.

Ik heb het ook even getest: je krijgt een mail met daarin de zakelijke tekst

Helaas hebben we slecht nieuws voor u.

Een bekende van u heeft ons zojuist geïnformeerd dat uw partner vreemdgaat. Deze bekende wenst anoniem te blijven, maar wil u graag op de hoogte stellen van de omstandigheden van het overspel.

De onthuller heeft de omstandigheden beschreven en/of de naam van de minnaar/minnares vrijgegeven. Klik hier om meer te weten.

Als u gebruik maakt van de service van Onthuloverspel.nl, gaat u automatisch akkoord met de algemene voorwaarden die u kunt lezen op http://www.onthuloverspel.nl/algemene-voorwaarden

Wij hopen dat u dankzij de verstrekte informatie de waarheid zult ontdekken.

Ik zie daar verder geen reclame in. Ook als je klikt op de link, krijg je geen reclame. We wachten nog even af tot er ongevraagde commerciële mail in de inbox komt, en dan kan die meteen door naar Spamklacht.nl.

Arnoud