Naar aanleiding van de actie van Patricia Remak schreef ik een column (mijn eerste!) bij Emerce:

De geschiedenis herschrijven valt niet mee, ondervond Winston Smith in de bekende roman 1984. Teksten aanpassen en herdrukken was voor hem flink wat werk. Tegenwoordig gaat dat een stuk makkelijker, zeker als je het hebt over de online encyclopedie Wikipedia.

Lees verder in Columns: Wikipedia versus de privacywet bij Emerce.

Arnoud

Vorige week zondag berichtte ik over een videoclip per beveiligingscamera, die op basis van de (Engelse) Wet Bescherming Persoonsgegevens tot stand zou zijn gekomen. Dat bleek een publiciteitsstunt, maar zou het werkelijk kunnen, vroeg een lezer me. Jazeker. Maar hoe krijg je dat de beveiligingsmensen uitgelegd?

Het CBP bevestigt in haar Informatieblad Als u mensen filmt dat het recht op inzage (en correctie) ook geldt voor beelden waar mensen herkenbaar opstaan. Men beveelt aan:

Leg in een procedure of protocol vast hoe iemand inzage kan krijgen in de gegevens die over hem of haar in het systeem zitten en hoe wordt omgegaan met de overige rechten van de betrokkene.

Je hoeft geen specifieke reden op te geven om inzage te krijgen. Wel moeten de beelden natuurlijk opgeslagen zijn. Vaak wordt met een analoge camera op afstand toezicht gehouden maar wordt er niets opgenomen. Je kunt niet eisen dat men dit gaat opnemen zodat je er een kopie van kunt krijgen.

Uit artikel 38 Vrijstellingsbesluit (uitgewerkt in een handreiking) blijkt wel dat beelden na 24 uur moeten worden verwijderd of vernietigd. Een verzoek om inzage zal in veel gevallen dus al daarop af moeten ketsen, want gegevens die je niet meer hebt, hoef je niet af te geven.

Langer bewaren mag alleen als het gaat om beelden waar een “incident” op te zien is, omdat de beelden dan nuttig kunnen zijn als bewijs. De gefilmde personen die betrokken zijn bij het incident, kunnen dan kopieën van de beelden opeisen. Dat moet geen probleem zijn, want de beelden zijn bekend en liggen klaar. Wie cameraopnamen in het algemeen langer wil bewaren, moet zijn verwerking trouwens ook aanmelden bij het CBP.

De Hoge Raad oordeelde in 2007 dat de Dexia-bank transcripties van opgenomen telefoongesprekken met klanten moest maken en verstrekken aan die klanten. Meer over die zaak in De WBP na de Dexia-uitspraken. En als geluidsopnamen onder de Wbp vallen, waarom video-opnamen dan niet?

Wel is het inzagerecht beperkt tot beelden waar je zelf opstaat. Je kunt dus niet zomaar alle camerabeelden van een bepaalde dag opvragen omdat je daar misschien opstaat. En als er andere mensen herkenbaar op staan, zal de verantwoordelijke deze onherkenbaar moeten maken.

Een punt is natuurlijk wel dat de betreffende beelden een stuk moeilijker terug te vinden zullen zijn. De opnames van telefoongesprekken met klant X zijn waarschijnlijk wel voorzien van de aanduiding “klant X”, maar bij camerabeelden zit zelden een tag met de personen die erop te zien zijn.

Het bedrijf heeft dan het recht om te eisen dat het verzoek wordt gepreciseerd: op welke tijdstippen was u op welke locaties, en wat voor jas had u aan? Alleen met dat soort informatie kan men de juiste opnamen lokaliseren en daaruit de betreffende beelden selecteren.

Natuurlijk is dat veel werk voor het bedrijf, maar dat speelde ook in de Dexia-zaak en daar zei de Hoge Raad over:

Waar het om gaat is of door de inwilliging van het enkele verzoek van [verweerder] de administratieve lasten zodanig disproportioneel zijn dat Dexia in een van haar rechten en vrijheden wordt aangetast of dreigt te worden aangetast Daarbij geldt dat Dexia per persoonsgegeven en per document aannemelijk zal moeten maken dat dit het geval is, aangezien art. 43 Wbp slechts de mogelijkheid biedt om art. 35 Wbp buiten toepassing te laten voor zover dit noodzakelijk is in het belang van de in art. 43 Wbp genoemde gronden.

En dat gaat alleen in uitzonderlijke gevallen op, waarbij het bedrijf ook nog eens zal moeten bewijzen dat het werkelijk onhaalbaar is voor hen om aan een individueel verzoek te voldoen. Een algemeen “dat is te veel werk” of “dat is een aantasting van de beveiliging” is niet voldoende.

Je kunt natuurlijk ook een petje en zonnebril opzetten om herkenning te voorkomen.

Hoe veel beveiligingscamera’s hangen er eigenlijk in Nederland, is daar iets over bekend?

Arnoud

Opmerkelijk: een ‘gewone Nederlander’ die op straat werd gefotografeerd, kon haar portretrecht niet inzetten tegen commerciële verkoop van die foto. De Consumentenbond had een foto van beeldbank Hollandse Hoogte gebruikt bij een artikel over MP3-spelers. De vrouw op die foto was daar niet blij mee, omdat ze ongevraagd in haar strakke sportkleding werd gefotografeerd. En Hollandse Hoogte verdiende daar nog eens geld mee ook. Toch mocht dat van de rechter.

In het vonnis oordeelt de rechter: “Het kan zo zijn dat [eiseres] niet graag gefotografeerd wordt, maar dat is onvoldoende om een redelijk belang aan te nemen.” Op zich is dat juist, maar er speelde hier heel wat meer. Met name het commercieel exploiteren van de foto zou mee moeten wegen bij de beoordeling van dat redelijk belang. Daarover vermeldt het vonnis:

Ten slotte heeft [eiseres] gesteld dat zij het recht om haar portret voor commerciële doeleinden te gebruiken zelf wenst te hebben. In dit verband is van belang, zoals Hollandse Hoogte heeft bepleit, dat het Hollandse Hoogte uitsluitend gaat om de afbeelding van een sportieve moeder met Mp-3 speler en niet om het portret van [eiseres]. [eiseres] is immers geen bekende Nederlander, model of sporter die haar portret commercieel kan exploiteren. Daarbij komt nog dat er geen enkele aanleiding bestaat om aan te nemen dat [eiseres] van plan is haar portret voor commerciële doeleinden te gaan gebruiken. In tegendeel, [eiseres] heeft zelf verklaard dat zij zichzelf niet graag op foto’s ziet.

Hieruit concludeert de rechter dat de eiseres geen bekende persoonlijkheid is en dus geen commercieel belang kan hebben bij de foto, zodat Hollandse Hoogte de foto mag blijven gebruiken. Nogal eigenaardig. Niet alleen bekende Nederlanders hebben een verzilverbaar portetrecht. Uit het Discodanser-arrest van de Hoge Raad bleek al in 1997 dat ook gewone mensen een redelijk belang tegen zo’n commercieel gebruik van hun portret kunnen hebben:

De opname van een portret in een reclame voor een produkt of dienst heeft immers tot gevolg dat de geportretteerde door het publiek geassocieerd zal worden met dat produkt of die dienst, waarbij het publiek in het algemeen - en doorgaans terecht - ervan uit zal gaan dat het gebruik van het portret niet zal zijn geschied zonder toestemming van de geportretteerde en de opname van het portret in de reclame-uiting zal opvatten als een blijk van publieke ondersteuning van het produkt of de dienst door de geportretteerde. Op deze gronden is het op een dergelijke wijze gebruiken van een portret in beginsel aan te merken als een inbreuk op de persoonlijke levenssfeer van de geportretteerde.

Via Volledig bericht, pardon Boek 9, dat ook de foto in kwestie laat zien (wat ik niet netjes vind, maar goed).

Arnoud

Privacy is een groot goed, maar er wordt me iets te vaak misbruik gemaakt van de wet om onwelgevallige gegevens van het net te halen. En dat is jammer, want het maakt het moeilijker voor gewone mensen om een gerechtvaardigd beroep op diezelfde privacywet te doen.

Gisteren werd bekend dat stichting Mijn Kind Online een waarschuwingsbericht had aangepast onder druk van haar provider (Web-log.nl, een dienst van Ilse). De waarschuwing betrof een typische tell-a-friend-spam site: “je geeft je MSN-account weg om je hele vriendenlijst te laten spammen zodat de maker van geldmetjepc.nl jouw vrienden kan ronselen voor de affiliatie-programma’s”, zo legt Mijn Kind Online uit. De site meldt dat je tot 4000 euro per maand zou kunnen verdienen door reclame te ontvangen per mail “tot wel 1 euro per bericht”.

Reden voor de aanpassing was dat Mijn Kind Online in de waarschuwing de naam noemde van de ondernemer achter het bedrijf in kwestie. Deze had bij Web-log geklaagd over de naamsvermelding met een beroep op de Wet Bescherming Persoonsgegevens. Hij had immers geen toestemming gegeven voor deze naamsvermelding, en hij was geen bekende Nederlander dus de naamsvermelding moest weg.

Web-log had een jurist geraadpleegd en die vond dat uit een belangenafweging volgde dat de naam inderdaad niet genoemd hoefde te worden. Mijn Kind Online had kunnen volstaan met verwijzen naar de bedrijfssite, en als mensen dan zo nodig wilden weten wie er achter het bedrijf zat, moesten ze dat maar zelf opzoeken.

Wat de jurist echter kennelijk vergat te controleren, is of de WBP uberhaupt wel van toepassing is op dit blogbericht van Mijn Kind Online. Mijns inziens is hier namelijk sprake van een journalistieke uiting, en die hebben geen toestemming nodig om namen te noemen als dat relevant is in de verslaggeving.

Mijn Kind Online schrijft trouwens nog “hij doet niets onwettigs”, maar daar zou ik nog even een flinke kanttekening bij willen zetten. Bij dit systeem moet je andermans e-mailadressen (MSN-adressen) opgeven. Tell-a-friend systemen zijn spam en daarmee verboden. Het is de beheerder van de site die de mails doet versturen, en daarmee vallen ze onder zijn verantwoordelijkheid en aansprakelijkheid.

De grapjassen zetten dan wel in hun algemenen (sic) voorwaarden:

Artikel 02.02: Geldmetjepc zal bij het akkoord gaan met deze algemene voorwaarden een uitnodigingsmail versturen naar alle contactpersonen in de msn gebruikers lijst van de aanmelder. Alle berichten die door de aanmelder via Geldmetjepc worden verstuurd vallen hierbij voor rekening van de aanmelder.
…
Artikel 03.02: De Geldmetjepc gebruiker vrijwaart Geldmetjepc van eventuele schadeclaims en of rechtzaken van derden, voortvloeiende uit het gebruik van Geldmetjepc door akkoord gaan en het aanvinken van de “checkbox”.

Het moge duidelijk zijn dat dit volstrekte onzin is. De gebruiker kan andere mensen niet opt-innen. Via algemene voorwaarden kan de site het risico van haar onrechtmatig handelen niet bij de gebruiker leggen. De site verstuurt de mails, en de site is dus aansprakelijk voor de schade.

Bovendien, zelfs al zou het zo zijn dat de gebruiker te zien is als de verzender in de zin van de antispamwet, dan nog is het terecht dat Mijn Kind Online erop wijst dat dit gebeurt. Lang niet iedereen zal hierop verdacht zijn. En zo’n wezenlijke bepaling wegstoppen in algemene voorwaarden is op zijn minst onzorgvuldig.

Klachten kunt u hierrr indienen.

Arnoud

Gisteren schreef ik bij Marketingfacts over een Spaans verbod op tell-a-friend systemen. Dat is namelijk spam:

Klik hier om dit bericht door te sturen naar een vriend. Die tell a friend systemen zijn niet alleen irritant, maar in Spanje overtreedt je er ook nog de privacywetgeving mee. Spaanse listbrokers liggen onder vuur, meldde de DDMA vorige week. E-mailadressen zijn ook persoonsgegevens, net als naam en adres. En verwerking daarvan mag alleen met toestemming van de eigenaar. De Spaanse wetgeving komt uit dezelfde Europese richtlijn als onze Wet Bescherming Persoonsgegevens, dus het ligt in de lijn der verwachting dat onze rechter net zo zal oordelen. Is het dan nu eindelijk afgelopen met die knopjes?

Lees verder in Hou op met spammen, beste vriend! bij Marketingfacts!.

Arnoud

Bij mijn weten de eerste keer dat de Nederlandse Wikipedia iets verwijdert na een verzoek op grond van de Richtsnoeren Privacy op Internet van het CBP. Ex-wethouder en -Kamerlid Patricia Remak eiste dat haar veroordeling wegens fraude verwijderd moest worden uit de vrije encyclopedie. Dit omdat deze verwerking van persoonsgegevens was waarvoor zij geen toestemming had gegeven.

Informatie over iemands strafrechtelijke veroordelingen telt als bijzonder persoonsgegeven, en de Wet Bescherming Persoonsgegevens is streng over wat je met zulke gegevens mag doen. In principe mag je die alleen publiceren met uitdrukkelijke toestemming van de betrokkene. Maar er is een uitzondering voor journalistieke doeleinden: die mogen dit wel publiceren als het noodzakelijk is om te melden dat deze persoon een strafbaar feit heeft begaan. Een krant mag dus melden dat iemand is veroordeeld wanneer dat nieuwswaarde heeft. En dat is al snel het geval bij een publieke figuur.

Is Wikipedia een journalistieke publicatie? Ik zou denken van wel. In ieder geval is een encyclopedie bezig met hetzelfde doel als een krant of blog, namelijk het verzamelen en naar buiten brengen van feiten in het algemeen belang. Als een krant mag melden dat iemand veroordeeld is, waarom een encyclopedie dan niet? Het lijkt me dus dat Wikipedia zich wat al te gemakkelijk laat overtuigen hier.

Update: Meelezende Wikipedianen: ik zeg dus dat jullie geen gehoor hoeven te geven aan het verzoek tot verwijdering.

Een terecht tegenargument op de overlegpagina is wel dat je zo het gebeuren wel heel erg uitlicht. Mevrouw Remak kreeg eigenlijk alleen een Wikipedia-vermelding vanwege die rechtszaak. Dat is misschien wel wat veel eer. Er moet wel nieuwswaarde zijn, en voor een encyclopedie zou ik die grens wel hoger willen leggen dan voor een krant. Een encyclopedie schrijft tenslotte meer voor de eeuwigheid, en het feit dat men meldt, moet dan wel waarde voor de eeuwigheid hebben in plaats van tot de volgende morgen.

Update (26 juni): Henk Blanken betoogt dat Wikipedia de rug recht moet houden en onder de journalistieke exceptie hoort te vallen.

Update (28 juni): Henk Blanken meldt dat Wikipedia’s advocaat (wie is dat eigenlijk?) geen problemen ziet met de vermelding van deze feitelijke gegevens.

Arnoud

Diverse lezers, die voorzover ik kan zien niets met elkaar te maken hebben, mailden me vorige week met min of meer dezelfde vraag over portretrecht. Doorhalen wat niet van toepassing is:

In onze [straat, buurt] [rijden, parkeren] veel mensen nogal onveilig. Door al die fout geparkeerde auto’s [ontstaat veel verkeershinder, lopen overstekende kinderen gevaar, kunnen fietsers er nauwelijks nog langs]. Nu hadden wij bedacht om deze verkeerssituatie [met, zonder] de verantwoordelijke personen te fotograferen en die foto’s [op een plakbord, op school, in het wijkcentrum, op een website] te plaatsen om aandacht te vragen voor dit probleem. Het gaat ons er [niet, niet direct] om om mensen aan de schandpaal te nagelen. We willen alleen dat [mensen gaan, de gemeente gaat] inzien dat het zo niet langer kan. Maar mag zo’n actie eigenlijk wel van [het portretrecht, de privacywet]?

Fotograferen van mensen en auto’s in je omgeving mag gewoon. Het is publicatie die problematisch kan zijn. De mensen kunnen dan hun portretrecht inroepen. Portretrecht geldt zodra mensen herkenbaar in beeld zijn. Zou je dus mensen alleen onherkenbaar op de foto’s hebben, dan is er geen probleem met portretrecht. Let er wel op dat mensen soms ook herkenbaar zijn zonder dat je hun gezicht ziet. Iemand kan een opvallend kapsel hebben of herkenbare kleding (”die vrouw met de korte rokjes en het rode haar”).

Voor auto’s geldt geen portretrecht. Daar kan wel weer de Wet Bescherming Persoonsgegevens spelen. Een foto van een auto kan te herleiden zijn tot de eigenaar. Daarmee is het tonen van zo’n foto mogelijk een inbreuk op diens privacy.

Nummerborden afplakken kan daartegen helpen, maar het is geen perfecte oplossing. In zo’n beperkte omgeving als een buurt of straat weten mensen ook vaak wie de eigenaar is als het nummerbord afgeplakt is. Als er maar 1 moeder is met een Smart (of een Hummer), weet iedereen meteen wie dat is als je die Smart laat zien. Ook zonder nummerbord en zonder haar op de foto. Of wat te denken van de bakker die zijn kind met de bedrijfsauto afzet.

De inbreuk op de privacy kan te rechtvaardigen zijn omdat je een verkeersprobleem aan de orde wilt stellen. Het zal dan afhangen van de context waarin de foto wordt getoond. Als je foto’s van diverse situaties laat zien, met hooguit één of twee keer een bepaalde auto, dan lijkt me dat geen probleem.

Ga je één auto of eigenaar er uit lichten, dan is het nog maar de vraag of dat mag. Heeft die ene eigenaar het verdiend om zo in het zonnetje (koplamp?) gezet te worden? Dat riekt naar eigenrichting, zeker als nog helemaal niet vaststaat dat die persoon werkelijk verantwoordelijk is voor de overlast. Herkenbare foto’s tonen van verdachten is vrijwel altijd een inbreuk op hun privacy.

Ook zal meespelen hoe veel mensen de foto’s zien. Bij die school zou men de foto’s op een ouderavond kunnen laten zien aan de parkerende ouders. Dat is een heel wat beperktere groep dan het publiek van een website, en daarom zou dat eerder mogen dan foto’s met naam en toenaam op een website.

Kortom, dit mag [wel, niet, misschien].

Weten jullie nog buitengerechtelijke oplossingen voor parkeerproblemen? Het liefst legaal.

Arnoud

Stel je wilt een videoclip maken maar je hebt geen geld voor een camera. Wat doe je dan? Dan zoek je plekken op waar ze veel beveiligingscamera’s hebben, je treedt recht voor de lens op en je vraagt de firma vervolgens om inzage in je persoonsgegevens. Want een videopname waar je herkenbaar op staat, is een persoonsgegeven.

Dit is namelijk precies wat de Engelse band The Get Out Clause heeft gedaan met hun laatste nummer (ik krijg de embed niet werkend, sorry).

In principe zou dit in Nederland ook moeten kunnen. Ook bij ons zijn afbeeldingen en opnamen van mensen persoonsgegevens, zolang ze er maar herkenbaar op staan. Je zou dus bij de Blokker een kopietje moeten kunnen krijgen van de beveiligingsbeelden van het moment dat je in de winkel was. Maar of dat in de praktijk ook gaat werken?

Via Slashdot.

Arnoud

Een meelezende forumbeheerder mailde me:

Wij hebben geconstateerd dat een gebruiker meerdere gebruikersnamen in gebruik bleek te hebben (laten we zeggen: A, B en C). Dat is in strijd met ons forumreglement. Ik heb gebruiker A daarom aangeschreven. A heeft gereageerd en ontkende B en C in gebruik te hebben. Nu eist A in een e-mail verwijdering van zijn gebruikersnaam en al zijn berichten. Ook eist hij hetzelfde voor B en C.

Iemand die zijn account op een website of forum wil opheffen, kan opheffing eisen bij de beheerders. Dat blijkt uit de privacy-richtsnoeren van het College Bescherming Persoonsgegevens. Berichten van die persoon moet je dan ook verwijderen, tenzij dat de structuur en begrijpelijkheid van de discussie zou verstoren. In dat geval moet je ze zo veel mogelijk anonimiseren.

Hier is het lastige dat persoon A eerst ontkent eigenaar te zijn van accounts B en C, en vervolgens eist dat ze opgeheven worden. Als het beheer zelf overtuigd is dat B en C inderdaad door dezelfde persoon gebruikt worden (bijvoorbeeld omdat ze op hetzelfde moment vanaf hetzelfde IP-adres gebruikt zijn), dan zou het verzoek geen probleem moeten zijn.

Wel moet je natuurlijk controleren dat het echt A is die de mail met het verzoek stuurt. Ik zou zeggen dat zo’n verzoek vanaf het gebruikersaccount moet komen dat moet worden opgeheven (via een privébericht naar beheer bijvoorbeeld). Niet vanaf een Hotmail- of Gmail-account. de beheerder mag er vanuit gaan dat iemand die het wachtwoord heeft van een account, de eigenaar ervan is.

Dat lost meteen het probleem op met B en C: als meneer A daar ook de eigenaar van is, kan hij probleemloos drie pb’s sturen vanaf elk van de accounts en dan is het beheer keurig ingedekt.

Arnoud

Waar had u vroeger meer last van? Uw grote broer of uw kleine zusje? Wie nu moeite heeft met Grote Broer, kan bij Klein Zusje terecht voor uitleg en software om zijn privacy beter te beschermen. Sinds kort is er namelijk het Small Sister Project.

SmallSister is a loosely organized group of volunteers that feel that we need to protect our privacy against increasingly invasive corporate and governmental snooping. See OurMotivation for an explanation about why we started this group.

SmallSister will not organize rallies; there are other groups that are better and have more experience in that. We will cooperate with them and individual SmallSister members are free to join any group that supports privacy and is critical of unbridled snooping.

Small Sister, een initiatief van Brenno de Winter, heeft o.a. een discussielijst en nieuwsoverzicht over privacy. Een belangrijk doel waar nu aan gewerkt wordt, is het maken van toolkits om technische bescherming van privacy eenvoudiger te maken. Wie wil meedoen, kan zich via de site aanmelden.

Arnoud