Internetrecht door Arnoud Engelfriet

WTF-momentje op de vrijdagmiddag dat ik het las: Facebook weigert inzage in persoonsgegevens van hun gebruikers omdat afgifte daarvan hun handelsgeheimen in gevaar zou brengen.

De groep Europe versus Facebook had een campagne opgezet waarbij alle Europese Facebookgebruikers opgeroepen werden om een inzageverzoek te doen onder de privacywet van alle persoonsgegevens die Facebook van ze had. Facebook is verplicht daaraan mee te werken, en biedt daarvoor dit formulier, maar beriep zich tegenover enkele Ierse verzoekers op een uitzondering in de Ierse privacywet die handelsgeheimen beschermt.

De basis van het inzageverzoek is het recht van inzage, bij ons artikel 35 Wet bescherming persoonsgegevens. Dit recht bepaalt dat iedereen het recht heeft te vragen “of hem betreffende persoonsgegevens worden verwerkt.” Als dat zo is, dan moet de verantwoordelijke daarvoor “een volledig overzicht daarvan in begrijpelijke vorm” verschaffen, met onder meer het doel van de verwerking, de soorten gegevens, de ontvangers (of soorten ontvangers) en alles dat hij heeft over de herkomst van de gegevens. Een flinke bult gegevens, volgens bronnen tot een gigabyte groot.

Lid 4 van dit artikel bepaalt dat men óók moet vertellen op welke manier men gegevens verwerkt:

Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.

De beheerder van het bestand mag een verzoek alleen weigeren als het disproportioneel grote lasten op zou leveren. Hij mag bovendien geen hoge administratiekosten rekenen – de wet noemt expliciet een bedrag van 5 euro als maximumvergoeding voor het afhandelen van een dergelijk verzoek. Dat er mogelijk een hoop moet worden gekopieerd of uitgetypt, maakt het verzoek nog niet meteen disproportioneel, zo besliste de Hoge Raad in de Dexia-zaak. Daar werd overigens ook bepaald dat het oproepen tot het massaal doen van verzoeken géén misbruik van het recht is. De Privacy Inzage Machine van Bits of Freedom is dus volstrekt legaal (en deze verkapte oproep om ‘m te gebruiken dus ook).

De Ierse wet bevat nog een specifieke uitzondering voor dat “logica”-lid:

Subsection (1) (a) (iv) of this section is not to be regarded as requiring the provision of information as to the logic involved in the taking of a decision if and to the extent only that such provision would adversely affect trade secrets or intellectual property (in particular any copyright protecting computer software).

Deze uitzondering staat bij ons niet in de wet, maar hij is terug te vinden in de privacyrichtlijn, overweging 41, dus in de praktijk mag de rechter deze uitzondering toch toepassen bij ons.

Men mag dus inzage weigeren in de logica als dat handelsgeheimen in gevaar zou brengen. Daar kan ik me nog wel iets bij voorstellen. Maar het moge duidelijk zijn dat inzage weigeren in persoonsgegevens zelf met een beroep op dit artikel niet kan. Je bent dan misschien het product van Facebook, maar dat product heeft wel het recht te weten wat er precies van hem wordt verkocht en aan wie.

Arnoud

Een lezer vroeg me:

Binnen onze organisatie is het onlangs verboden om gegevens van relaties te bewaren in mailboxen of naar elkaar te mailen. Wij mogen deze alleen opvragen in het centrale systeem als ze nodig zijn. Dit is buitengewoon onhandig, als ik een keer een telefoonnummer nodig heb dan moet ik apart inloggen. Waarom stelt men deze eis?

Deze organisatie neemt de privacywet wel érg serieus. De Wet bescherming persoonsgegevens eist dat je “adequate beveiliging” toepast bij ieder gebruik of verzending van persoonsgegevens.

Er zijn geen harde technische eisen die altijd gelden. Zo wordt bij contactformulieren vaak SSL gehanteerd, maar dat is een gebruik (of eis van een brancheorganisatie) en geen wettelijke plicht. Je moet dus per geval kijken wat je voor beveiliging hebt en of dat ‘adequaat’ is gezien de omstandigheden.

Bij e-mail is er het risico dat de mail naar een verkeerd persoon gaat. In dat beveiligde systeem speelt dat risico niet, omdat alleen de juiste ontvanger het wachtwoord zou moeten hebben. Maar verzenden met versleutelde e-mail zou op zich ook in orde moeten zijn.

Aan de andere kant, de meeste relaties sturen zelf elke keer per mail hun hele reeks contactgegevens mee in hun handtekening. Je kunt je dus afvragen of je als ontvanger dan nog wel zo streng moet zijn.

Arnoud

Een lezer vroeg me:

Ons gemeentearchief beschikt over een zeer grote hoeveelheid bronmateriaal over oud-inwoners. Nu wil ik graag een verhaal schrijven over een moordzaak uit 1920 die destijds de gemeente nogal bezighield. Mag ik dat doen en daarbij de naam van de moordenaar en slachtoffers noemen? En kan ik dan ook een foto uit het archief daarbij publiceren? Of geldt de privacywet nog steeds?

Het gebruik van iemands naam in een publicatie valt in principe onder de privacywet, de Wet bescherming persoonsgegevens. Deze eist eigenlijk altijd toestemming van de betrokken persoon. Een naam publiceren zonder toestemming mag alleen in zeer uitzonderlijke gevallen, zo bepaalt de Wbp. De persvrijheid is zo’n uitzondering: als de nieuwswaarde groter is dan het privacybelang van de betrokkene, dan mag je deze publiceren.

Bij een overleden persoon geldt de Wbp echter niet meer. Je mag dus namen en informatie publiceren over deze personen zonder nadere toestemming of een belangenafweging. Alleen als de publicatie óók de privacy raakt van nog levende personen (bijvoorbeeld de kinderen of kleinkinderen), kan alsnog toestemming nodig zijn. Als je bijvoorbeeld vermeldt waar de moordenaar woonde en diens kleinkinderen wonen daar nog, dan zou de privacy in het gedrang kunnen komen.

Voor foto’s geldt het portretrecht. Dit geldt tot 10 jaar na overlijden. Dit is dus een ietwat merkwaardige kronkel: wil je publiceren over iemand die pas 5 jaar dood is, dan mag je wél zijn naam zomaar noemen maar niet zijn foto publiceren.

Bij het portretrecht geldt normaal een afweging van het “redelijk belang tegen publicatie”. Dit is in essentie hetzelfde als bij de uitzondering in de Wbp: als de nieuwswaarde groter is dan het privacybelang van de betrokkene, dan mag je deze publiceren. Echter, als de foto in opdracht van de geportretteerde is gemaakt, dan is toestemming nodig en kom je er niet met “er is geen redelijk belang”.

Een detail is nog dat het hebben van de foto in het archief niet impliceert dat je de foto mag publiceren. Een in 1920 gemaakte foto kan nog prima auteursrechtelijk zijn beschermd, want het auteursrecht loopt tot 70 jaar na de dood van de fotograaf. Als deze laten we zeggen 30 jaar oud was in 1920 en op tachtigjarige leeftijd overleed, dan is de foto pas op 1 januari 2041 rechtenvrij. Ja, 2041.

Het zou kunnen dat de foto door de politie is gemaakt. Dan is publicatie toegestaan mits je de bron noemt (”Foto: Politie Amsterdam, circa 1920″). Bij particuliere fotografen zul je op zoek moeten naar de fotograaf en diens toestemming vragen als je zijn foto’s wilt kopiëren of publiceren. Kun je die niet vinden, dan mag je de foto niet gebruiken. Eventueel kun je bij Foto Anoniem een vrijwaring kopen, maar die is niet goedkoop.

Arnoud

Vorige week schreef ik over het Facebook-’Like’-knopje dat iedereen blijkt te tracken, ook als je niet ingelogd bent of zelfs als je geen lid bent van het sociale netwerk. Deze aanpak is juridisch dubieus, zeker nu er een cookiewet aankomt die dit expliciet gaat verbieden.

In Duitsland lijkt nieuwssite Heise een oplossing te hebben gevonde. Men toont het Facebookknopje pas nadat de gebruiker expliciet hierom gevraagd heeft. En dat klinkt als meer gedoe dan het is: het plaatje rechtsboven laat zien dat je alleen maar twee keer in plaats van één keer hoeft te klikken. De techniek erachter is simpel, de eerste klik gaat naar de Heise-site en die stuurt het Facebook-knopje met al zijn trackingcode terug, waarna de tweede klik dat knopje activeert.

Leuk idee, alleen is Facebook boos. Deze werkwijze zou in strijd zijn met de Facebook Platform Policies, die namelijk vermelden:

8. You must not use or make derivative use of Facebook icons, or use terms for Facebook features and functionality, if such use could confuse users into thinking that the reference is to Facebook features or functionality.

Dit lijkt me een tikje gezocht. Maar in principe hebben ze een punt, want het grijze icoontje ziet eruit als een Facebook-icoon maar de klik gaat niet naar Facebook.

Update (08:54) Heise heeft het grijze knopje aangepast:

Later verduidelijkte Facebook-woordvoerder Tina Kulow op Twitter dat de dubbelklik-oplossing op zichzelf prima is, alleen niet met dat grijze icoontje:

Um es klar zu stellen: 2-klick-Button ist nicht ideal - aber kein Problem. Nur ein Like-Button der grafisch so tut als ob er einer ist, ist nicht ok. Das ist alles.

Het zou dus een kwestie moeten zijn van een eigen icoon maken dat aangeeft dat het Facebook-knopje beschikbaar is, zonder dat dit 1-op-1 hetzelfde is als het Facebook-knopje zelf. Dat zal nog lastig worden. Immers, dit was dé manier om zo’n knop te maken, een grijze versie van een knop is de standaardmanier om aan te geven dat iets nu inactief is maar geactiveerd kan worden.

Elk alternatief zal tegen hetzelfde probleem aanlopen. Je moet immers het Facebook-logo gebruiken om aan te geven dat dit Facebook-functionaliteit betreft. De enige oplossing die ik kan zien is het dubbelklikken om alle social media knopjes te activeren, maar dat lijkt me nodeloos nadelig voor andere sites die zich wél netjes gedragen.

Oh, en in diezelfde tweet linkt ze naar een FAQ-pagina met deze fijne paarsebroekenformulering:

Deze standaardgegevens helpen ons jouw beleving te verbeteren afhankelijk van welke browser je gebruikt en of je bent aangemeld op Facebook of niet.

Weet iemand wat dit betekent? Hoe verbetert Facebook mijn ‘beleving’ van Heise.de (wat dat dan ook moge betekenen) door mijn IP-adres, browserdata etcetera te loggen en 90 dagen te bewaren? Het knopje blijft immers hetzelfde, en getargete advertenties op Heise.de van Facebook zie ik niet

Arnoud

Een lezer vroeg me:

Op menig website zie je tegenwoordig de Facebook ‘Like’-knopjes. Nu had ik gelezen dat Facebook je daarmee ook trackt als je er niet op drukt, dus ook als je geen lid bent en niet akkoord bent gegaan met hun Terms of Service of privacyverklaring. Mag dat zomaar?

De Facebook ‘Like’-knop bevat inderdaad een trackingcookie dat in alle gevallen wordt gezet, ook als je niet ingelogd bent of zelfs geen Facebook account hebt.

Bij onze Eerste Kamer ligt nu een wetsvoorstel dat gaat eisen dat tracking cookies alleen mogen worden geplaatst met uitdrukkelijke toestemming, en dat zou de Facebook cookies bij de Like-knop dus in strijd met de wet maken. Zaterdag las ik dat in de Duitse deelstaat Sleeswijk-Holstein al een verbod op dit knopje geldt binnen de overheid.

De grote vraag is dan: is Facebook te houden aan die Europese wet? In het verleden heeft de Artikel 29-Werkgroep geconcludeerd dat dat inderdaad het geval is. Uit hun analyse:

De Groep is daarom van mening dat de nationale wetgeving van de lidstaat waar de pc van de gebruiker zich bevindt, van toepassing is op de vraag onder welke voorwaarden de persoonsgegevens van de gebruiker kunnen worden verzameld door cookies op zijn harde schijf te plaatsen.

Dit baseert men op artikel 4 van de privacyrichtlijn, dat bepaalt dat nationaal recht van een lidstaat geldt als

de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

Het plaatsen van cookies is geen ‘doorvoer’, en daarmee is dus aan deze eis voldaan.

Praktisch gezien is het natuurlijk een beetje moeilijk om Facebook te dwingen zich te houden aan Europese regels als ze niet daadwerkelijk actief zijn in Europa. Wie ga je de boete opleggen, en hoe incasseer je die?

Niet verrassend is in de VS al iemand over dit onderwerp aan het procederen. Ik ben heel benieuwd wat voor schikking hieruit komt en of Facebook dan ook daadwerkelijk haar knopje gaat aanpassen. In de tussentijd is het met Adblock blokkeren van het Like-knopje de handigste optie denk ik.

Arnoud
Foto: How to add a DisLike button on facebook in firefox?

Het gebruik van e-mailadressen en andere persoonlijke gegevens van mensen valt onder de strenge privacywet, de Wet bescherming persoonsgegevens. Deze schrijft voor dat je in principe alleen gebruik mag maken van zulke gegevens als je toestemming hebt. Recent heeft het overlegorgaan van privacywaakhonden, de Artikel 29-Werkgroep een opinie over toestemming gepubliceerd die uitwerkt hoe je toestemming moet krijgen. Hieruit blijkt nog maar eens hoe streng deze regels zijn, en hoe snel je in de fout kunt gaan.

Toestemming is het uitgangspunt, omdat de privacywet is gebaseerd op het idee dat de betrokkene zelf beslist wie wanneer zijn gegevens gebruikt. Gebruik van persoonsgegevens is dus een gunst en geen recht. Dit blijkt ook nog eens uit het feit dat men toestemming op elk moment mag intrekken van de wet.

Steeds meer sites en apps maken gebruik van persoonsgegevens als onderdeel van hun bedrijfsmodel. Spelletjes vragen toegang tot de vriendenlijst of het MSN-account zodat ze zichzelf kunnen promoten. Websites en advertentienetwerken bouwen profielen op zodat ze getargete advertenties kunnen tonen. Dit mag, maar hiervoor is wel apart toestemming nodig.

Het grootste probleem in de praktijk is dat mensen niet goed weten waar ze toestemming voor geven. Hoe veel sites zijn erniet waar men volstaat met “U geeft toestemming voor gebruik voor marketing” of “onze zorgvuldig geselecteerde partners mogen u mailen”, of met “ik aanvaard het privacyreglement” waarna je in tien pagina’s juridisch jargon mag nalezen wat men onder ‘privacy’ verstaat.

Dergelijke vormen van ‘toestemming’ vragen zijn expliciet niet genoeg, zegt de Werkgroep nu. Enkel en alleen als de toestemming gebaseerd is op een vrije beslissing, na geïnformeerd te zijn over wat er specifiek gaat gebeuren, is de toestemming rechtsgeldig. Een paar voorbeelden:

• Het aan hebben staan van Bluetooth is geen toestemming voor het ontvangen van reclameberichten via Bluetooth. Gaat men zelf naar een billboard toe waar staat “Hou je telefoon hier en ontvang onze aanbieding”, dan is dat lopen natuurlijk wel een vorm van toestemming geven.
• Medewerkers een mailtje sturen met daarin een voorbeeld (preview) van hun vermelding in het smoelenboek op intranet, gevolgd door een duidelijke “ja/nee” knop, levert toestemming op als mensen op “ja” klikken. Als de manager mails rondstuurt dat “nee” klikken “niet op prijs” gesteld wordt of “niet past bij onze professionele opvattingen”, is de toestemming niet meer rechtsgeldig.
• Een privacystatement linken onderaan elke pagina van een forum met daarin dat je gebruikersinformatie (naam, e-mailadres etcetera) gebruikt kan worden voor marketingdoeleinden is geen manier om toestemming te krijgen. Ook een expliciet akkoord vragen op het privacystatement is niet genoeg - wie gaat de marketing doen en wat voor marketing is dat dan?
• Een expliciete melding dat je e-mailadres wordt verstrekt aan bedrijven X en Y zodat die je reclame kunnen sturen voor hun producten is wél een vorm van toestemming, mits men maar op dat moment de verstrekking nog kan tegenhouden.

Het laatste item is gebaseerd op een opmerkelijk standpunt van de werkgroep omtrent sociale netwerksites. De werkgroep signaleert namelijk de trend dat zulke sites mensen min of meer dwingen in te stemmen met getargete advertenties als voorwaarde om lid te mogen worden van de site. En dat vindt men niet kunnen:

Considering the importance that some social networks have acquired, some categories of users (such as teenagers) will accept the receipt of behavioural advertising in order to avoid the risk of being partially excluded from social interactions. The user should be put in a position to give free and specific consent to receiving behavioural advertising, independently of his access to the social network service.

De zorg is terecht, maar ik heb wel moeite met deze consequentie. Het zou genoeg moeten zijn om vooraf te horen wat de site van plan is, waarna je kunt besluiten lid te worden of niet. Goed, bij sommige sites heb je vrijwel geen keuze, daar móet je lid van zijn (Facebook als tiener of Linkedin als professional). Heel misschien is het dan verdedigbaar.

Apps die je via die netwerkdienst kunt gebruiken, moeten apart toestemming vragen voor wat zij willen doen. En ook die toestemming moet expliciet en uitgebreid zijn. Niet alleen maar “This app wants to access your account”; nee, welke onderdelen en informatie worden benaderd en wat gebeurt daarmee? Verandert hoe de app werkt, dan moet apart opnieuw toestemming worden gevraagd.

Heeft de app bijvoorbeeld een nieuwe functie om je highscore te twitteren, dan moet apart gevraagd worden of deze geactiveerd mag worden. Ook moeten mensen vooraf zien wat er wordt getwitterd. En als ik dat standpunt hierboven goed begrijp, dan is zelfs te verdedigen dat de gebruiker het activeren van deze functie moet kunnen weigeren zonder gestraft te worden met een niet meer werkende app.

De wet noemt overigens enkele uitzonderingen op de eis van toestemming. Zo mag je gegevens zonder nadere toestemming gebruiken als dat nodig is voor het uitvoeren van een overeenkomst. Je mag dus bijvoorbeeld het adres van een klant aan je vervoerder geven zodat deze de bestelling kan bezorgen. Ook mag je in bijzondere gevallen zonder toestemming iemands gegevens gebruiken als dat noodzakelijk is voor een eigen zwaarwegend doel, én dat doel zwaarder weegt dan de privacy van de betrokkene. Dit is echter meestal niet van toepassing, behalve bij journalistieke publicaties kan ik er eigenlijk geen bedenken..

Arnoud

Tijd voor juridisch tegengas, schreef Arjan Dasselaar afgelopen zaterdag in zijn column bij Nu.nl. Hij reageerde daarin op het voorstel van het College bescherming persoonsgegevens, dat begin vorige week een wetsvoorstel had aangekondigd dat boetes tot 25.000 euro mogelijk zou maken voor mensen die persoonsgegevens van verdachten publiceren, met name door filmpjes of foto’s te publiceren. Deze antischandpaalwet stuitte op veel kritiek, ook vanuit de Tweede Kamer.

Arjans column bevat een praktische oplossing voor winkeliers die geen problemen willen met de wet:

Neem een bepaling op in uw algemene voorwaarden waarin staat dat u zich het recht voorbehoudt om foto’s en filmpjes van alles wat er in uw zaak gebeurt, op internet te plaatsen.

Neem daarin ook een bezwaarbepaling op. Regel dat bezoekers van uw pand die geen prijs stellen op dergelijke publiciteit, kunnen verzoeken tot verwijdering van dergelijke beelden. Dan moeten ze dat wel even persoonlijk bij u melden.

Een leuk idee, maar juridisch gezien gaat dit niet werken. Toestemming voor gebruik van persoonsgegevens (en dus ook foto- en videobeelden) kan niet worden opgeëist in algemene voorwaarden, hoe veel stickers of bordjes je ook plakt. De wet eist namelijk “ondubbelzinnige toestemming” en daaraan kan alleen worden voldaan met een expliciete uiting die neerkomt op “ja dat is goed”. Stilzwijgen of een ongerelateerde handeling (zoals een winkel binnenlopen) voldoet daar niet aan.

Ik ben heel benieuwd naar het wetsvoorstel waar het Cbp over sprak. Ik zie namelijk niet hoe je dit in een wet giet. Het lijkt me namelijk zoiets specifieks, moet je echt specifiek een wet daarvoor maken? En hoe definieer je een schandpaalsite zonder dat je ook bv. Opsporing Verzocht of De Politie Zoekt verbiedt? Of meer algemeen, zonder dat de vrije nieuwsgaring in het gedrang komt?

Arnoud
Bordje: De baas in huis, Prijsvechter.nl

De site onthul-overspel.nl roept bezoekers op de liefde ‘recht’ te doen door vreemdgangers te ontmaskeren, las ik bij Nu.nl. De site is heel eenvoudig: je voert het emailadres van de bedrogen partner in op de site en hij of zij ontvangt een anonieme mail met daarin de door jou aangegeven omstandigheden plus de eventuele identiteit van de minnaar (m/v).

Normaal stel ik nu de vraag “mag dat”, maar in dit geval lijkt het antwoord me wel duidelijk. Ik werd echter geïntrigeerd door het AD-artikel, dat meldde

Of de persoon in kwestie inderdaad een geheime relatie heeft wordt niet gecontroleerd. Sterker nog: onthul-overspel.nl stelt in zijn algemene voorwaarden expliciet dat het niet verantwoordelijk is voor ‘negatieve consequenties in het leven van de betrokken partijen’

De voorwaarden er maar even bij gepakt. Ik moest héél hard lachen om deze passage tussen de gecopypaste standaardonzin:

Uw persoonlijke gegevens zijn veilig bij Onthul-overspel.nl Wij waarderen het vertrouwen dat u in ons stelt en wij zullen daarom uiterst zorgvuldig met uw gegevens omgaan.

Artikel 5 lijkt de kern te zijn van waar het om gaat:

• Gebruikers (onthullers) van de diensten van Onthul-overspel.nl dienen aan de gangbare ethiek te voldoen met betrekking tot het respecteren van de rechten van derden en de rechten van de wet.
• De informatie die de onthuller verstrekt dient exact en waarheidsgetrouw te zijn. De onthuller is volledig verantwoordelijk voor de mogelijke consequenties van het openbaren van de betreffende informatie op zijn leven of op het leven van andere internetgebruikers. De gebruiker erkent dat Onthul-overspel.nl op geen enkele wijze aansprakelijk kan worden gesteld, met name niet over uw auteursrecht, uw eer, de intimiteit van uw privéleven, die resulteren uit het verspreiden of bekendmaken van informatie over enige partij.
• De onthuller wordt geacht in staat te zijn op ieder mogelijk moment bewijzen betreffende zijn onthulling aan te dragen. Op het moment van de door hem gedane onthulling accepteert de onthuller de volledige verantwoordelijkheid van de onthulling en van mogelijke foutieve informatie die door hem verstrekt is. Onthul-overspel.nl kan niet verantwoordelijk worden gehouden voor de juistheid of onjuistheid van de informatie en content die door gebruikers van de website of diensten van Onthul-overspel.nl worden verstrekt.
• In het geval dat een partij Onthul-overspel.nl verantwoordelijk probeert te houden naar aanleiding van gedragingen van een gebruiker die niet conform zijn met de huidige Algemene Voorwaarden of de wet, biedt de betreffende gebruiker garantie aan Onthul-overspel.nl. Deze garantie houdt in dat de gebruiker alle mogelijke onkosten en honoraria van advocaten voor zijn rekening neemt.
• Onthul-overspel.nl kan niet verantwoordelijk worden gehouden voor een foutieve bekendmaking van overspel of overdrijving van het overspel, zelfs als deze verifieerbaar, tastbaar en bewijsbaar is. Onthul-overspel.nl kan niet verantwoordelijk worden gehouden voor directe of indirecte negatieve consequenties in het leven van de betrokken partijen (personen) van de onthulling van het overspel.

Op zich zou ik hier graag een juridische analyse op doen, maar waar te beginnen? In feite komt het neer op “U mag mensen tippen over overspel met onze dienst, wij houden u anoniem maar u garandeert dat alle mails correct en juist zijn”. Dat lijkt me een nauwelijks nog realistisch te noemen garantie. Ik ben in ieder geval héél benieuwd hoe de exploitant de verzender van zo’n mail gaat gebruiken als de ontvanger de site aansprakelijk stelt voor een schadeclaim wegens bv. privacyschending of smaad.

Nu.nl meldt nog dat de site zich het recht toe-eigent de ingevoerde e-mailadressen voor onder meer commerciële activiteiten te gebruiken. Ik kan niet achterhalen waar dat staat, wie helpt? Ik zie alleen dit:

Zodra u Onthul-overspel.nl via diens site informatie verstrekt over personen die overspel plegen, gaat u ermee akkoord dat de betreffende informatie aan andere internetgebruikers zal worden verstrekt door Onthul-overspel.nl in het kader van de door Onthul-overspel.nl aangeboden diensten.

maar dat wordt gevolgd door “Dit betekent dat u ermee akkoord gaat dat de betreffende informatie aan het slachtoffer van het overspel zal worden verstrekt.” en sluit dus iedere andere verstrekking of gebruik van gegevens uit.

Ik heb het ook even getest: je krijgt een mail met daarin de zakelijke tekst

Helaas hebben we slecht nieuws voor u.

Een bekende van u heeft ons zojuist geïnformeerd dat uw partner vreemdgaat. Deze bekende wenst anoniem te blijven, maar wil u graag op de hoogte stellen van de omstandigheden van het overspel.

De onthuller heeft de omstandigheden beschreven en/of de naam van de minnaar/minnares vrijgegeven. Klik hier om meer te weten.

Als u gebruik maakt van de service van Onthuloverspel.nl, gaat u automatisch akkoord met de algemene voorwaarden die u kunt lezen op http://www.onthuloverspel.nl/algemene-voorwaarden

Wij hopen dat u dankzij de verstrekte informatie de waarheid zult ontdekken.

Ik zie daar verder geen reclame in. Ook als je klikt op de link, krijg je geen reclame. We wachten nog even af tot er ongevraagde commerciële mail in de inbox komt, en dan kan die meteen door naar Spamklacht.nl.

Arnoud

Een lezer vroeg me:

Bij ons op de afdeling hebben we gedeelde printers, waar je je printjobs kunt uitdraaien na aanmelden met je badge. Nu kwam ik erachter dat de IT-afdeling daarmee precies bijhoudt wie wat print, en daar maandelijks rapportjes van rondstuurt naar de afdelingsmanagers. Dit omdat de kosten van printen aan elke afdeling intern doorbelast wordt. Maar mijn manager kan dus precies zien hoe veel ik print! Mag dat zomaar?

Voor het bijhouden van printgedrag geldt hetzelfde als alle andere privacygevoelige logging- en monitoractiviteiten op het werk. Dit dient in principe geanonimiseerd te gebeuren, tenzij er een gegronde reden is om een specifieke persoon onder de loep te nemen. En als men dat wil doen, moet in een privacyreglement (IT-reglement) een clausule over dergelijk monitoren opgenomen zijn. En dat reglement moet dan weer door de ondernemingsraad goedgekeurd zijn.

Persoonlijk zou ik niet weten waarom een manager per persoon zou willen weten wat er is geprint, zeker niet als de rapportage puur over de kosten gaat. Dan is alleen van belang hoe veel er totaal is geprint en wat dat kost. Het lijkt me dat de IT-afdeling vrij eenvoudig de rapporten moet kunnen aggregeren tot afdelingsniveau en dat rondsturen in plaats van de individuele rapportages.

Natuurlijk zijn er mensen die de bedrijfsprinters gebruiken om privéprintjes te maken. Dat kost dan hier aantoonbaar geld, en daar kun je mensen op aanspreken. Als er dus een IT-reglement is dat de bevoegdheid biedt om bij een vermoeden van misbruik individuele gegevens op te vragen, dan kan daarmee de veelprivéprinter worden opgespoord en aangesproken. Maar wederom: dat mag niet structureel en vooraf (”eens zien wat Jan deze week allemaal print”), het mag echt pas achteraf bij een vermoeden van misbruik (”waar komt die piek op vrijdag vandaan”).

Ongetwijfeld zitten er nu managers mee te lezen die koken van woede: mensen gaan onder het mom van privacy nu gratis privé printen op het werk en dat mag je niet detecteren. Maar a) hoe duur is dat nu écht en b) kost het je niet veel meer om dat allemaal op te sporen en aan te pakken? Nog even afgezien van de werksfeer die je dan totaal verpest.

Arnoud

Mag je als vader zonder ouderlijk gezag op een blog schrijven over je kind, inclusief foto? Met die lastige vraag zag eind januari de rechtbank Arnhem zich geconfronteerd. Ik krijg daar zelf ook veel mail over (zie bv. de blog Je ex zet foto’s van je kind online) en elke keer blijkt het weer zó lastig te liggen dat een algemeen antwoord nauwelijks te geven is.

Dat concludeert nu ook de rechtbank: het gaat hier om een botsing tussen de vrije meningsuiting van de vader en de privacy van het kind. Die twee grondrechten zijn in beginsel gelijkwaardig, dus je kunt niet op voorhand zeggen dat één van de twee altijd moet winnen. De enige manier om te bepalen wat de doorslag behoort te geven, is door te kijken naar de concrete omstandigheden van het geval. Daarbij speelt een belangrijke rol de vraag of de uitlatingen die worden gedaan op waarheid berusten en de manier waarop die uitlatingen worden gedaan.

In dit geval ging het om de volgende inhoud:

Op de weblog staat één sterk verouderde foto van [naam minderjarige], waarvan onweersproken is gesteld dat de huidige [naam minderjarige] daarin niet kan worden herkend. De spaarzame andere foto’s op de weblog zijn van familieleden van [gedaagde]. De weblog is voornamelijk een korte opsomming van gebeurtenissen in het leven van [gedaagde] zelf, zoals het overlijden van zijn moeder en de geboorte van een neefje. …

Daarnaast vermeldt de weblog jaarlijks een felicitatie aan [naam minderjarige] op zijn verjaardag met de vermelding dat [naam minderjarige] nog altijd een rol speelt in het leven van [gedaagde]. [gedaagde] schrijft dus met name over zichzelf op de weblog en over zijn gevoelens voor [naam minderjarige]. Er staat feitelijk niets op de weblog over het leven van [naam minderjarige], behoudens dat hij een vader heeft die hem mist. …

Onbetwist is dat [gedaagde] vanaf 2003 geen enkel contact meer heeft met [naam minderjarige] en [eiseres] sindsdien ook geen enkele informatie over [naam minderjarige] aan [gedaagde] heeft gegeven, ondanks de aan [eiseres] opgelegde informatieplicht in de beschikking van 9 november 2005.

Een dergelijk verslag vindt de rechtbank niet onrechtmatig. Er wordt niets onbetamelijks of smadelijks gezegd, en onvoldoende onderbouwd is dat de privacy van het kind met deze publicatie geschonden zou worden. Het enkele noemen van de naam is kennelijk niet genoeg om een privacyschending te krijgen (vergelijk Persvrijheid versus Wet bescherming persoonsgegevens van 2 weken terug).

In 2009 echter vond de rechtbank Almelo nog dat het plaatsen van foto’s op een publieke (niet-afgeschermde) Hyvespagina inbreuk op de privacy opleverde. Heel veel verschil tussen namen en foto’s zie ik eigenlijk niet. Sterker nog ik zou zeggen dat een tekst met voor- en achternaam erger is dan een foto - namen zijn googelbaar, foto’s (nog) niet.

Arnoud