Internetrecht door Arnoud Engelfriet

Dit gaat nog leuk worden: Google en de Europese Commissie kwamen ongeveer tegelijkertijd met nieuwe privacyregels, maar ze gaan elk compléét de andere kant op. De EC heeft een machtig wapen ingevoerd: boetes tot 5% van de jaaromzet voor wie de privacywet negeert. Maar Google heeft ook een machtig wapen: uitsluiting van alle Googlediensten als hun privacyregels je niet bevallen.

Google heeft nu ongeveer zestig verschillende privacybeleiden en wil daar vanaf. Loffelijk, want er rammelde nogal wat aan die teksten. Dus nu maken ze één geconsolideerde tekst. En die rammelt gewoon in z’n eentje.

Korte samenvatting: wij verkrijgen gegevens van u, van anderen en wij leiden gegevens af van wat u allemaal doet (en wat u gebruikt en waar u bent). Wij gebruiken die voor onze diensten (joh), met name om je advertenties op maat voor te schotelen. We mogen informatie combineren, dus als we uit Gmail je echte naam halen dan mogen we die aan je andere profielen plakken en dat heb je maar te accepteren. Oh, en we geven geen informatie aan derden tenzij die zorgvuldig geselecteerd zijn en die zich beloven te gedragen. Bevalt u dat niet (”People have different privacy concerns”), dan kunt u opt-outen. Niet van alles; u kunt “bepaalde” zaken uitzetten, niet meer. Maar u mag natuurlijk altijd naar Bing.

Ongetwijfeld volstrekt toevallig verscheen het officiële voorstel voor de nieuwe Privacyverordening. Geen gedoe meer met nationale wetten maar gewoon één wet die in één klap alles regelt, zonder mogelijkheid om daar van af te wijken of aanvullende regels te stellen. Het zal vast geen verrassing zijn dat die regels compleet de andere kant op gaan dan waar Google heen wil.

Hoofdregel is dat je zo beperkt mogelijk met persoonsgegevens moet omgaan. Je moet specifieke en welomschreven doelen hebben, en gegevens mag je dan alléén daarvoor gebruiken. Daarbij moet je eigenlijk altijd toestemming hebben. Er is en blijft een uitzondering voor een eigen noodzaak, als die zwaarder weegt dan de privacy.

Er komen strakke informatieplichten, nog strakker dan we al hadden. Je moet kunnen inzien wat men over je weet (en dat moet je elektronisch kunnen opvragen), en je moet expliciet te horen krijgen hoe je daar correcties of verwijdering van kunt realiseren. Dat recht van verwijdering hadden we al, maar wordt nu enigszins melodramatisch omgedoopt tot “recht te worden vergeten” - de partij die je gegevens opsloeg, moet alle redelijke stappen nemen om je gegevens te wissen, inclusief verzoeken bij derden die de gegevens hebben overgenomen. Ja, daarmee bedoelen ze Google en andere mirrors, zoekindexen en archieven.

In de praktijk zal dat recht geen bal veranderen ten opzichte van wat we hebben (en maar goed ook). Er is namelijk een uitzondering: je hoeft gegevens niet te verwijderen als je gebruik onder de vrije meningsuiting valt. En in 95% van de gevallen willen mensen hun gegevens namelijk niet uit een databank hebben maar uit een forum, nieuwsartikel of blogarchief omdat de daarin geuite feiten hen niet meer bevallen.

En zoals gezegd staan er forse boetebepalingen in die de Commissie kan inzetten als bedrijven de regels negeren. Expliciet zijn die ook bedoeld voor internationale (lees: Amerikaanse) bedrijven die menen dat zij niet onder Europees recht vallen. Dus dat gaat nog leuk worden, want ik zie Google écht niet zomaar omrollen omdat de EC meent dat privacy een groot goed is en targeted advertenties eigenlijk maar smoezelige dingen zijn. Omgekeerd gaat de EC ook niet snel zeggen “oh, jullie zitten in Californië, nee laat maar dan, wij gaan eerst achter Ilse aan”.

Eerlijk gezegd vind ik beide aanpakken best wel slecht. Googles “wij mogen alles en als u dat niet bevalt gaat u maar lekker Bingen” is natuurlijk zo generiek dat het niet leuk meer is. Afgezien van zalvende woorden en een paar optoutaanvinkvakjes ben je op die manier compleet aan de zoekmachine overgeleverd. Maar wat de EC van plan is, zie ik ook niet werken. Zó veel invloed en controle bij mensen neerleggen is onwerkbaar, nog afgezien van het punt dat driekwart van de mensen (en dan ben ik positief) niet snapt wat er nu eigenlijk gebeurt en dus op voorhand overal maar mee akkoord gaat “anders doet ie het niet”.

Ik blijf erbij dat het beter is om het zo te doen:

1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
2. Je moet volledig disclosen wat je doet en waarom;
3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Arnoud

In het voorjaar van 2012 gaat Albert Heijn een grote groep Bonuskaartgebruikers extra waarderen en bedanken met aanbiedingen op maat, meldde de grootgrutter. Vertaling: op basis van je geregistreerde aankopen krijg je aanbiedingen op veel gekochte producten, gepersonaliseerde aanbiedingen dus. Hm, heb ik daar ooit toestemming gegeven, vroeg ik me af.

Het privacybeleid er dus even bijgepakt, en daar staat inderdaad letterlijk in dat men dit gaat doen:

Uw persoonsgegevens worden door AH verwerkt … voor het verstrekken van (eventueel op basis van uw aankopen) kortingen en voordelen;

en als ik dan bij het Cbp controleer (registratienummer 1062641, dieplinken niet mogelijk want daar is het nog 1998) zie ik keurig hetzelfde staan:

Doel(en) van verwerking: … De AH Bonus Kaarthouder (eventueel individueel op basis van zijn koopgedrag) informeren over de producten en diensten, die door of via Albert Heijn on- danwel offline worden aangeboden, alsmede voordelen en kortingen te kunnen verstrekken.

Iets zegt me alleen dat die tekst er vorige week nog niet stond. Dus eens zien hoe dat eerder zat. Gelukkig had het Internet Archive enkele oude teksten nog. In de oudste beschikbare versie (april 2010) vermeldde men héél wat anders:

Albert Heijn behandelt alle persoonsgegevens en uw spaar-, en boodschappengegevens strikt vertrouwelijk en gebruikt deze uitsluitend om u de voordelen te bieden die met de AH Bonuskaart verbonden zijn.

En ja, dat is ook hoe ik het me herinner uit 2006 of daaromtrent toen ik die kaart kreeg. De voordelen die je tóen kreeg waren korting op de Bonusaanbiedingen en een poging tot terugbezorgen van je verloren sleutelbos met bonuskaart eraan (en Justitie laten meekijken als dat gevorderd werd). Pas als je je apart registreerde bij de Mijn Voordeel dienst, kreeg je regelmatig persoonlijke kortingen, recepten en speciale acties.

Nu wordt dus in feite Mijn Voordeel over alle klanten uitgerold, als ik het goed zie. En dát is privacytechnisch iets nieuws. Toestemming is namelijk doelgebonden(*), oftewel dat je instemt met opslag in ruil voor toegang tot Bonusaanbiedingen, wil nog niet zeggen dat je instemt met profilering en gepersonaliseerde aanbiedingen.

Ik zie dus niet hoe de AH haar plan kan invoeren zonder apart aan bonuskaarthouders (pardon “houders van een AH Bonus Kaart®”) hiervoor toestemming te vragen. Dat zal niet zo moeilijk zijn natuurlijk gezien de worst (of andere voordeeltjes) die men de klant voorhoudt, maar het moet wel.

Arnoud
Off-topic frustratie: mijn boek is ooit afgekeurd bij een universiteit als lesboek enkel omdat het hoofdstuk over privacy niet de term ‘doelbinding’ gebruikte.

Het cookieicoon is leuk, maar wie zich aan de nieuwe privacywet wil gaan houden heeft er niets aan. Dat is ongeveer de samenvatting van het advies dat de Europese privacytoezichthouders (pdf) vorige week uitbrachten.

Al een hele tijd wordt er gesteggeld over de nieuwe privacywet, met name op het gebied van cookies. Doel van de nieuwe privacyrichtlijn is namelijk onder meer het tracken en profilen van burgers aan banden te leggen. Daar is straks altijd toestemming voor nodig, ook (juist!) als dat langs indirecte weg gebeurt. Precies, via cookies dus.

Wie de privacyrichtlijn letterlijk leest - en zeker het Nederlandse wetsvoorstel dat erop gebaseerd is - ziet dat het er eigenlijk op neerkomt dat je voor elk cookie toestemming moet vragen als dat cookie ingezet wordt bij profiling of tracking. En dat gaat dus niet werken.

De marketingbranche heeft een alternatief ontwikkeld, en wel het icoon rechtsboven. Dit komt dan op of bij een advertentieblokje te staan. Wie zo’n advertentie ziet, kan op het icoon klikken en gaat dan naar Your Online Choices, waar hij kan zien welke cookies er al bezig zijn hem te tracken en welke firma’s dat allemaal (willen) doen. Tevens kan daar dan een einde aan worden gemaakt.

Volgens de privacytoezichthouders is dit echter absoluut onvoldoende. Ten eerste snapt op dit moment niemand wat dat icoon betekent, dus je wordt niet (zoals wettelijk vereist) adequaat geïnformeerd over wat er allemaal gebeurt. Ten tweede wordt alleen gesproken van “advertenties” terwijl er eigenlijk “gepersonaliseerde advertenties” zou moeten staan.

Maar, het allerbelangrijkste: zo’n icoon is natuurlijk een opt-out terwijl de wet een opt-in eist. Je bent al gedragsmatig geprofileerd tegen de tijd dat je dat icoon ziet, en daar heb je op dat moment nog geen toestemming voor gegeven.

Daar is natuurlijk wel een draai aan te geven: toon eerst alleen generieke advertenties, en bied het icoon als optie om expliciet het profileren/tracken aan te zetten zodat je alleen nog maar relevante advertenties kunt zien. Maar is “geen Libresseadvertenties meer voor mannen” genoeg incentive om naar zo’n site te gaan?

Nog even afgezien van het praktische punt dat de opt-out op die site niet adequaat blijkt te werken, en dat als ie dat wél doet mensen (net als bij het Bel-me-nietregister) massaal gaan opt-outen zonder aanziens des persoonsadvertentienetwerks zodat dan effectief het hele targeted advertising op z’n gat gaat.

Hebben jullie jezelf al ontvolgd op Your Online Choices? Of juist expliciet een volging aangezet?

Arnoud

Bij Luuk Koelman las ik over zijn frustratie met steeds wijzigende prijzen bij vervoersbedrijven:

Heb je bijvoorbeeld vijf keer dezelfde reis gecheckt, schotelt KLM je bij de zesde keer de dubbele prijs voor. Om vervolgens, bij de zevende keer weer de oude prijs te tonen. Een slimme manier om de twijfelde klant over de streep te trekken. Ik zie ze ertoe in staat, want de reisbranche is gek op ip-adressen.

Mag dat? Nou ja, in principe wel. Een bedrijf is niet verplicht om iedere klant dezelfde prijs te bieden, of zelfs maar dezelfde klant steeds dezelfde prijs. Formeel is een aanbod (zoals “vlieg naar New York voor 200 euro”) geldig totdat het is verworpen, en het afhaken bij het boekingsproces kun je zien als een “verwerping”. Je mag daarna dus een nieuw aanbod doen en dat mag gerust anders zijn.

Hier is het echter niet een verkoper zelf die ter plekke een mooie offerte in elkaar draait. Het is een geautomatiseerd proces, gebaseerd op onder meer je IP-adres, cookies die ze hebben achtergelaten en daaraan gekoppelde profielgegevens. En dan wordt het interessant, want dan kun je als bezoeker je op de Wet bescherming persoonsgegevens beroepen. Zo’n automatisch proces is immers een “verwerking van persoonsgegevens” en dan heb je allerlei rechten.

Je kunt dus KLM vragen wat ze van jou weten én hoe ze erbij komen dat de prijs soms ineens omhoog schiet. Ja, ook dat laatste. Immers, bij het inzagerecht onder de Wbp hoort ook

Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.

En die logica is nu net wat je hier wilt weten: wat is de logica achter vijf keer te horen dat het 100 euro kost, de zesde keer dat het 400 is en de zevende dat het weer 100 euro is?

Ik twijfel alleen of het antwoord - als je dat al krijgt - verder komt dan “op basis van uw profiel en overige relevante factoren bepalen we de best passende aanbieding”. Of, zoals Facebook deed, “dat mogen we niet zeggen op grond van de wet op de handelsgeheimen”.

Arnoud

De Europese Unie wil de wirwar aan nationale wetten over databescherming vervangen door middel van een algemene voor de hele Unie geldende hervorming, las ik bij Nu.nl. Elk EU-land heeft nu een eigen privacywet, gebaseerd op Europese richtlijnen, maar deze moeten worden vervangen door een Europese Europese wet die precies bepaalt hoe het is, klaar. En zo te lezen gaan we heel wat toestemmingspopups krijgen als die er komt.

Reding wil een Verordening invoeren: een Europese wet die direct geldt, zonder dat de lidstaten zelf nog dingen mogen wijzigen of alternatieve regels mogen invoeren op dit punt. Dus als die Verordening er komt, mag Nederland geen eigen regels meer maken over wat Google met Streetview wel of niet mag doen. (Hoewel dat specifiek voor persoonsgegevens toch al niet bleek te mogen.) De rechter kan alleen nog toetsen aan de Verordening, waarbij hij hooguit indirect rekening mag houden met die lokale eigenaardigheden.

En die Verordening gaat streng zijn, als ik de speech van haar en Ilse Aigner goed begrijp:

EU law should require that consumers give their explicit consent before their data are used. And consumers generally should have the right to delete their data at any time, especially the data they post on the Internet themselves.

Met ‘explicit consent’ wordt nadrukkelijk iets strengers bedoeld dan de 48 pagina’s Terms of Service die Facebook en menig andere internetdienst hanteert. Mensen moeten snappen wat er gaat gebeuren en dan liefst op het moment zelf goed nadenken of ze dat willen, en dan uit vrije wil ja of nee zeggen.

Het idee is leuk maar dat gaat dus absoluut niet werken. Mensen snappen niet of willen niet snappen, of zijn niet geïnteresseerd in snappen, wat er allemaal gebeurt met hun persoonsgegevens. Ze willen gewoon hun porretjes sturen, mensen be- dan wel ontvrienden en op muren krabbelen (wat overigens prima is, daar niet van; die infantiele taal is niet mijn sarcastische keuze). En ze gaan ervan uit dat de bedrijven die ze dat laten doen, netjes met hun gegevens omgaan en “geen rare dingen” doen daarmee.

Nou kun je dat naïef vinden - mensen moeten weten wat voor enge dingen bedrijven allemaal doen en daar bezwaar tegen maken. Maar ik zie niet hoe je de gemiddelde consument in beweging krijgt om dat ook daadwerkelijk te doen. Laat staan om een cursus internetrecht te gaan volgen om te weten wat hun rechten en plichten zijn. Zou dat echt moeten voor je mag gaan Facebooken?

Logischerwijs zou de wetgever dan daarop moeten inspelen en als uitgangspunt nemen dat “rare dingen” niet mogen van de privacywet. Dat willen we niet hebben, dus dan moet het niet mogen.

Kennelijk voelt dat dan toch net weer iets te eng of zo, want net als bij de cookieregels wordt er dan toch maar naar het middel van “nou vooruit met expliciete, pardon uitdrukkelijke, pardon voorafgaande nee met geïnformeerde en vrije toestemming” gegrepen. Wat dus niet werkt want mensen klikken op whatever ze moeten klikken om hun porretje, krabbel of boerderijuitrusting te kunnen kopen.

Maar wat dan? Harde wettelijke regels à la “het is verboden mails te lezen om daar advertenties mee te targeten”? “Bonuskaartgegevens mogen niet worden gedeeld met verzekeraars”? En dan nog driehonderdvierentachtig van zulke regels? Hoe ga je dat in vredesnaam nog enigszins flexibel houden? Dat zie ik al helemaal niet gebeuren.

Nee, misschien moeten we het juist flexibeler maken. Profielen opbouwen en dingen daarop afstemmen, prima. Alleen:

1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
2. Je moet volledig disclosen wat je doet en waarom;
3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Dat laatste is natuurlijk de truc: hierdoor gaan mensen op zoek naar foutjes, natuurlijk puur om rijk van te worden, maar dat houdt die bedrijven wel scherp. Sommigen zullen dan maar afzien van profilen, anderen zullen de problemen kunnen beperken en weer anderen gaan failliet omdat ze te vaak boetes over zich heen krijgen.

In Duitsland bestaat een soort van vergelijkbaar systeem voor e-commerce. Bedrijven die de e-commercewet niet naleven, kunnen van voorheen ambulancesnajagende advocaten een schadeclaim verwachten. En ja, daardoor wordt er in Duitsland véél beter op die wetgeving gelet door bedrijven dan bij ons. (Bij ons kun je ook wel procederen over ontbrekende KVK-nummers op websites maar wat is je schade?)

Het lijkt me in ieder geval beter te kunnen werken dan “lees deze dertig pagina’s en geef dan vrijwillig uw toestemming”. Wat jullie?

Arnoud

Mag dat, een voertuig fotograferen dat te snel rijdt of een gevaarlijk manoeuvre uitvoert? En mag je die beelden dan online plaatsen? Neen, zegt de Belgische Privacycommissie (hun College Bescherming Persoonsgegevens) tegen De Standaard. ‘Er bestaat zoiets als het recht op afbeelding: je mag alleen een foto van een ander publiceren met diens toestemming’, zo wordt men geciteerd.

Achtergrond van deze zaak was een een werknemer van Fabricom die met zijn bedrijfswagen veel te snel reed. Daar werd over getwitterd mét foto:

Een nummerbord is een persoonsgegeven, want het is tot de bestuurder/eigenaar van de auto herleidbaar. In België meer dan bij ons, omdat daar het nummerbord, eh de nummerplaat dus aan de eigenaar gebonden is en niet aan de auto. Maar ook in Nederland kun je formeel het nummerbord zien als persoonsgegeven. Het identificeert misschien van tijd tot tijd verschillende personen, maar dát maakt niet uit. Zolang het op enig moment enige persoon identificeert, is het op dat moment een persoonsgegeven. Dus ja, precies zoals IP-adressen persoonsgegevens zijn. (Hela, een vergelijking tussen internet en auto’s die nog klopt ook.)

Raar is wel dat iets dus een persoonsgegeven is zodra iemand het gegeven kan vertalen naar een natuurlijk persoon. Voor nummerplaten is de hulp van de DIV nodig, en die krijgt alleen de overheid zelf. Voor IP-adressen is de provider nodig. Maar dat maakt niet uit: als er een pad is dat met ‘redelijke’ inspanning tot identificatie leidt, dan is het gegeven een persoonsgegeven. In het absurde doorgetrokken is het getal 315 dus een persoonsgegeven - als ik erbij zeg dat dit een klantnummer is van één van mijn klanten. Jullie mogen het nummer 315 nu dus niet meer gebruiken zonder zijn toestemming.

Foto’s zijn overigens ook persoonsgegevens. De regels voor een foto zijn dus hetzelfde als voor een naam. Voor foto’s bestaat al langer het portretrecht, maar wanneer het portretrecht wordt ingeroepen vanwege privacyoverwegingen dan komt dat op hetzelfde neer als inroepen van de Wet bescherming persoonsgegevens.

Wanneer je persoonsgegevens op internet zet, ‘verwerk’ je die in de zin van de privacywet (bij ons de Wet bescherming persoonsgegevens en in België de Wet tot bescherming van de persoonlijke levenssfeer). Uitgangspunt is dat je dan toestemming nodig hebt van de betrokkene, of een contract met hem hebt op grond waarvan de verwerking noodzakelijk is. Het enkele feit dat de persoonsgegevens in een openbare bron te vinden zijn, is niet genoeg om ze te mogen hergebruiken in een andere context.

Als er geen toestemming is, dan is er echter nog een escape: wanneer de verwerking “noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke” én dat belang zwaarder weegt dan de privacy, dan mag de verwerking alsnog. Ook zonder toestemming. De vrije meningsuiting is het bekendste voorbeeld van zo’n belang. Oftewel: als het genoeg nieuwswaarde heeft om iemands persoonsgegevens te gebruiken, dan mag het. Bij ons werd op die grond Blik op de weg toegestaan beelden van verkeersovertreders uit te zenden, hoewel daarbij de gezichten en de kentekenplaat waren gemaakt. Wegmisbruikers maakt sowieso altijd nummerplaten onherkenbaar als er geen toestemming is.

De vraag is dus: mag je iemands nummerbord twitteren als je meent dat die auto een verkeersovertreding begaat?

Die melding heeft enige nieuwswaarde, want het is een opmerkelijk feit dat nog niet bij het publiek bekend was. Je bent immers in ieder geval journalistiek bezig wanneer je

de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebt, ongeacht het overdrachtsmedium. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen een winstoogmerk hebben.

Daar staat tegenover dat de nieuwswaarde niet héél groot is, en je je kunt afvragen of bij het nieuwsfeit de identiteit van de persoon wel relevant is. Dat zal van de persoon afhangen lijkt me. Als je Koos Spee met die snelheid voorbij ziet scheuren, mag je dat zeker melden. Ben ik het, dan is het discutabel (een jurist heeft voorbeeldfunctie, maar is mijn verkeersgedrag relevant voor wat ik doe?). Is het een willekeurige burger, wat is dan het belang van diens naam noemen?

Wellicht dat je soms kunt spreken van een “educatief belang”, zoals ook in de Blik-op-de-wegzaak:

Voor zover [eisers] vreest als wegmisbruiker te boek te zullen staan, weegt dit individuele belang (dat vrijwel voor alle voor “Blik op de weg” gefilmde verkeersovertreders geldt) niet op tegen het door Leo de Haas c.s. mede gediende algemene belang van een educatief programma.

Het ‘gewicht’ van het persoonsgegeven lijkt me ook relevant. Hoe sneller iemand te identificeren is of hoe meer het gegeven zegt over iemand, hoe ernstiger de privacyinbreuk als het gegeven zomaar wordt verwerkt. Dat getal 315 ergens noemen schaadt de privacy van mijn klant niet. De nummerplaat is in België aan de persoon gekoppeld, en niet aan de auto, dus daarmee is een dergelijke tweet eerder te herleiden tot die persoon dan in Nederland. Immers, er hoeft maar één publicatie ooit te zijn geweest waarin de koppeling is gedaan (een autotekoopadvertentie van jaren terug) en de link is nu gelegd.

Hoewel, in dit geval gaat het natuurlijk om een bedrijfsauto en dat nummer is dus gekoppeld aan het bedrijf. Alleen zéér indirect - door de interne administratie van de werkgever - is de natuurlijke persoon zelf nog te identificeren. Daarmee zou het privacybelang voor mij erg laag zijn. De nieuwswaarde is echter ook niet erg hoog. Beide kanten zijn daarmee verdedigbaar, maar van mij zou dit moeten mogen.

Arnoud

WTF-momentje op de vrijdagmiddag dat ik het las: Facebook weigert inzage in persoonsgegevens van hun gebruikers omdat afgifte daarvan hun handelsgeheimen in gevaar zou brengen.

De groep Europe versus Facebook had een campagne opgezet waarbij alle Europese Facebookgebruikers opgeroepen werden om een inzageverzoek te doen onder de privacywet van alle persoonsgegevens die Facebook van ze had. Facebook is verplicht daaraan mee te werken, en biedt daarvoor dit formulier, maar beriep zich tegenover enkele Ierse verzoekers op een uitzondering in de Ierse privacywet die handelsgeheimen beschermt.

De basis van het inzageverzoek is het recht van inzage, bij ons artikel 35 Wet bescherming persoonsgegevens. Dit recht bepaalt dat iedereen het recht heeft te vragen “of hem betreffende persoonsgegevens worden verwerkt.” Als dat zo is, dan moet de verantwoordelijke daarvoor “een volledig overzicht daarvan in begrijpelijke vorm” verschaffen, met onder meer het doel van de verwerking, de soorten gegevens, de ontvangers (of soorten ontvangers) en alles dat hij heeft over de herkomst van de gegevens. Een flinke bult gegevens, volgens bronnen tot een gigabyte groot.

Lid 4 van dit artikel bepaalt dat men óók moet vertellen op welke manier men gegevens verwerkt:

Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.

De beheerder van het bestand mag een verzoek alleen weigeren als het disproportioneel grote lasten op zou leveren. Hij mag bovendien geen hoge administratiekosten rekenen – de wet noemt expliciet een bedrag van 5 euro als maximumvergoeding voor het afhandelen van een dergelijk verzoek. Dat er mogelijk een hoop moet worden gekopieerd of uitgetypt, maakt het verzoek nog niet meteen disproportioneel, zo besliste de Hoge Raad in de Dexia-zaak. Daar werd overigens ook bepaald dat het oproepen tot het massaal doen van verzoeken géén misbruik van het recht is. De Privacy Inzage Machine van Bits of Freedom is dus volstrekt legaal (en deze verkapte oproep om ‘m te gebruiken dus ook).

De Ierse wet bevat nog een specifieke uitzondering voor dat “logica”-lid:

Subsection (1) (a) (iv) of this section is not to be regarded as requiring the provision of information as to the logic involved in the taking of a decision if and to the extent only that such provision would adversely affect trade secrets or intellectual property (in particular any copyright protecting computer software).

Deze uitzondering staat bij ons niet in de wet, maar hij is terug te vinden in de privacyrichtlijn, overweging 41, dus in de praktijk mag de rechter deze uitzondering toch toepassen bij ons.

Men mag dus inzage weigeren in de logica als dat handelsgeheimen in gevaar zou brengen. Daar kan ik me nog wel iets bij voorstellen. Maar het moge duidelijk zijn dat inzage weigeren in persoonsgegevens zelf met een beroep op dit artikel niet kan. Je bent dan misschien het product van Facebook, maar dat product heeft wel het recht te weten wat er precies van hem wordt verkocht en aan wie.

Arnoud

Een lezer vroeg me:

Binnen onze organisatie is het onlangs verboden om gegevens van relaties te bewaren in mailboxen of naar elkaar te mailen. Wij mogen deze alleen opvragen in het centrale systeem als ze nodig zijn. Dit is buitengewoon onhandig, als ik een keer een telefoonnummer nodig heb dan moet ik apart inloggen. Waarom stelt men deze eis?

Deze organisatie neemt de privacywet wel érg serieus. De Wet bescherming persoonsgegevens eist dat je “adequate beveiliging” toepast bij ieder gebruik of verzending van persoonsgegevens.

Er zijn geen harde technische eisen die altijd gelden. Zo wordt bij contactformulieren vaak SSL gehanteerd, maar dat is een gebruik (of eis van een brancheorganisatie) en geen wettelijke plicht. Je moet dus per geval kijken wat je voor beveiliging hebt en of dat ‘adequaat’ is gezien de omstandigheden.

Bij e-mail is er het risico dat de mail naar een verkeerd persoon gaat. In dat beveiligde systeem speelt dat risico niet, omdat alleen de juiste ontvanger het wachtwoord zou moeten hebben. Maar verzenden met versleutelde e-mail zou op zich ook in orde moeten zijn.

Aan de andere kant, de meeste relaties sturen zelf elke keer per mail hun hele reeks contactgegevens mee in hun handtekening. Je kunt je dus afvragen of je als ontvanger dan nog wel zo streng moet zijn.

Arnoud

Een lezer vroeg me:

Ons gemeentearchief beschikt over een zeer grote hoeveelheid bronmateriaal over oud-inwoners. Nu wil ik graag een verhaal schrijven over een moordzaak uit 1920 die destijds de gemeente nogal bezighield. Mag ik dat doen en daarbij de naam van de moordenaar en slachtoffers noemen? En kan ik dan ook een foto uit het archief daarbij publiceren? Of geldt de privacywet nog steeds?

Het gebruik van iemands naam in een publicatie valt in principe onder de privacywet, de Wet bescherming persoonsgegevens. Deze eist eigenlijk altijd toestemming van de betrokken persoon. Een naam publiceren zonder toestemming mag alleen in zeer uitzonderlijke gevallen, zo bepaalt de Wbp. De persvrijheid is zo’n uitzondering: als de nieuwswaarde groter is dan het privacybelang van de betrokkene, dan mag je deze publiceren.

Bij een overleden persoon geldt de Wbp echter niet meer. Je mag dus namen en informatie publiceren over deze personen zonder nadere toestemming of een belangenafweging. Alleen als de publicatie óók de privacy raakt van nog levende personen (bijvoorbeeld de kinderen of kleinkinderen), kan alsnog toestemming nodig zijn. Als je bijvoorbeeld vermeldt waar de moordenaar woonde en diens kleinkinderen wonen daar nog, dan zou de privacy in het gedrang kunnen komen.

Voor foto’s geldt het portretrecht. Dit geldt tot 10 jaar na overlijden. Dit is dus een ietwat merkwaardige kronkel: wil je publiceren over iemand die pas 5 jaar dood is, dan mag je wél zijn naam zomaar noemen maar niet zijn foto publiceren.

Bij het portretrecht geldt normaal een afweging van het “redelijk belang tegen publicatie”. Dit is in essentie hetzelfde als bij de uitzondering in de Wbp: als de nieuwswaarde groter is dan het privacybelang van de betrokkene, dan mag je deze publiceren. Echter, als de foto in opdracht van de geportretteerde is gemaakt, dan is toestemming nodig en kom je er niet met “er is geen redelijk belang”.

Een detail is nog dat het hebben van de foto in het archief niet impliceert dat je de foto mag publiceren. Een in 1920 gemaakte foto kan nog prima auteursrechtelijk zijn beschermd, want het auteursrecht loopt tot 70 jaar na de dood van de fotograaf. Als deze laten we zeggen 30 jaar oud was in 1920 en op tachtigjarige leeftijd overleed, dan is de foto pas op 1 januari 2041 rechtenvrij. Ja, 2041.

Het zou kunnen dat de foto door de politie is gemaakt. Dan is publicatie toegestaan mits je de bron noemt (”Foto: Politie Amsterdam, circa 1920″). Bij particuliere fotografen zul je op zoek moeten naar de fotograaf en diens toestemming vragen als je zijn foto’s wilt kopiëren of publiceren. Kun je die niet vinden, dan mag je de foto niet gebruiken. Eventueel kun je bij Foto Anoniem een vrijwaring kopen, maar die is niet goedkoop.

Arnoud

Vorige week schreef ik over het Facebook-’Like’-knopje dat iedereen blijkt te tracken, ook als je niet ingelogd bent of zelfs als je geen lid bent van het sociale netwerk. Deze aanpak is juridisch dubieus, zeker nu er een cookiewet aankomt die dit expliciet gaat verbieden.

In Duitsland lijkt nieuwssite Heise een oplossing te hebben gevonde. Men toont het Facebookknopje pas nadat de gebruiker expliciet hierom gevraagd heeft. En dat klinkt als meer gedoe dan het is: het plaatje rechtsboven laat zien dat je alleen maar twee keer in plaats van één keer hoeft te klikken. De techniek erachter is simpel, de eerste klik gaat naar de Heise-site en die stuurt het Facebook-knopje met al zijn trackingcode terug, waarna de tweede klik dat knopje activeert.

Leuk idee, alleen is Facebook boos. Deze werkwijze zou in strijd zijn met de Facebook Platform Policies, die namelijk vermelden:

8. You must not use or make derivative use of Facebook icons, or use terms for Facebook features and functionality, if such use could confuse users into thinking that the reference is to Facebook features or functionality.

Dit lijkt me een tikje gezocht. Maar in principe hebben ze een punt, want het grijze icoontje ziet eruit als een Facebook-icoon maar de klik gaat niet naar Facebook.

Update (08:54) Heise heeft het grijze knopje aangepast:

Later verduidelijkte Facebook-woordvoerder Tina Kulow op Twitter dat de dubbelklik-oplossing op zichzelf prima is, alleen niet met dat grijze icoontje:

Um es klar zu stellen: 2-klick-Button ist nicht ideal - aber kein Problem. Nur ein Like-Button der grafisch so tut als ob er einer ist, ist nicht ok. Das ist alles.

Het zou dus een kwestie moeten zijn van een eigen icoon maken dat aangeeft dat het Facebook-knopje beschikbaar is, zonder dat dit 1-op-1 hetzelfde is als het Facebook-knopje zelf. Dat zal nog lastig worden. Immers, dit was dé manier om zo’n knop te maken, een grijze versie van een knop is de standaardmanier om aan te geven dat iets nu inactief is maar geactiveerd kan worden.

Elk alternatief zal tegen hetzelfde probleem aanlopen. Je moet immers het Facebook-logo gebruiken om aan te geven dat dit Facebook-functionaliteit betreft. De enige oplossing die ik kan zien is het dubbelklikken om alle social media knopjes te activeren, maar dat lijkt me nodeloos nadelig voor andere sites die zich wél netjes gedragen.

Oh, en in diezelfde tweet linkt ze naar een FAQ-pagina met deze fijne paarsebroekenformulering:

Deze standaardgegevens helpen ons jouw beleving te verbeteren afhankelijk van welke browser je gebruikt en of je bent aangemeld op Facebook of niet.

Weet iemand wat dit betekent? Hoe verbetert Facebook mijn ‘beleving’ van Heise.de (wat dat dan ook moge betekenen) door mijn IP-adres, browserdata etcetera te loggen en 90 dagen te bewaren? Het knopje blijft immers hetzelfde, en getargete advertenties op Heise.de van Facebook zie ik niet

Arnoud