Internetrecht door Arnoud Engelfriet

Het cookieicoon is leuk, maar wie zich aan de nieuwe privacywet wil gaan houden heeft er niets aan. Dat is ongeveer de samenvatting van het advies dat de Europese privacytoezichthouders (pdf) vorige week uitbrachten.

Al een hele tijd wordt er gesteggeld over de nieuwe privacywet, met name op het gebied van cookies. Doel van de nieuwe privacyrichtlijn is namelijk onder meer het tracken en profilen van burgers aan banden te leggen. Daar is straks altijd toestemming voor nodig, ook (juist!) als dat langs indirecte weg gebeurt. Precies, via cookies dus.

Wie de privacyrichtlijn letterlijk leest - en zeker het Nederlandse wetsvoorstel dat erop gebaseerd is - ziet dat het er eigenlijk op neerkomt dat je voor elk cookie toestemming moet vragen als dat cookie ingezet wordt bij profiling of tracking. En dat gaat dus niet werken.

De marketingbranche heeft een alternatief ontwikkeld, en wel het icoon rechtsboven. Dit komt dan op of bij een advertentieblokje te staan. Wie zo’n advertentie ziet, kan op het icoon klikken en gaat dan naar Your Online Choices, waar hij kan zien welke cookies er al bezig zijn hem te tracken en welke firma’s dat allemaal (willen) doen. Tevens kan daar dan een einde aan worden gemaakt.

Volgens de privacytoezichthouders is dit echter absoluut onvoldoende. Ten eerste snapt op dit moment niemand wat dat icoon betekent, dus je wordt niet (zoals wettelijk vereist) adequaat geïnformeerd over wat er allemaal gebeurt. Ten tweede wordt alleen gesproken van “advertenties” terwijl er eigenlijk “gepersonaliseerde advertenties” zou moeten staan.

Maar, het allerbelangrijkste: zo’n icoon is natuurlijk een opt-out terwijl de wet een opt-in eist. Je bent al gedragsmatig geprofileerd tegen de tijd dat je dat icoon ziet, en daar heb je op dat moment nog geen toestemming voor gegeven.

Daar is natuurlijk wel een draai aan te geven: toon eerst alleen generieke advertenties, en bied het icoon als optie om expliciet het profileren/tracken aan te zetten zodat je alleen nog maar relevante advertenties kunt zien. Maar is “geen Libresseadvertenties meer voor mannen” genoeg incentive om naar zo’n site te gaan?

Nog even afgezien van het praktische punt dat de opt-out op die site niet adequaat blijkt te werken, en dat als ie dat wél doet mensen (net als bij het Bel-me-nietregister) massaal gaan opt-outen zonder aanziens des persoonsadvertentienetwerks zodat dan effectief het hele targeted advertising op z’n gat gaat.

Hebben jullie jezelf al ontvolgd op Your Online Choices? Of juist expliciet een volging aangezet?

Arnoud

Bij Luuk Koelman las ik over zijn frustratie met steeds wijzigende prijzen bij vervoersbedrijven:

Heb je bijvoorbeeld vijf keer dezelfde reis gecheckt, schotelt KLM je bij de zesde keer de dubbele prijs voor. Om vervolgens, bij de zevende keer weer de oude prijs te tonen. Een slimme manier om de twijfelde klant over de streep te trekken. Ik zie ze ertoe in staat, want de reisbranche is gek op ip-adressen.

Mag dat? Nou ja, in principe wel. Een bedrijf is niet verplicht om iedere klant dezelfde prijs te bieden, of zelfs maar dezelfde klant steeds dezelfde prijs. Formeel is een aanbod (zoals “vlieg naar New York voor 200 euro”) geldig totdat het is verworpen, en het afhaken bij het boekingsproces kun je zien als een “verwerping”. Je mag daarna dus een nieuw aanbod doen en dat mag gerust anders zijn.

Hier is het echter niet een verkoper zelf die ter plekke een mooie offerte in elkaar draait. Het is een geautomatiseerd proces, gebaseerd op onder meer je IP-adres, cookies die ze hebben achtergelaten en daaraan gekoppelde profielgegevens. En dan wordt het interessant, want dan kun je als bezoeker je op de Wet bescherming persoonsgegevens beroepen. Zo’n automatisch proces is immers een “verwerking van persoonsgegevens” en dan heb je allerlei rechten.

Je kunt dus KLM vragen wat ze van jou weten én hoe ze erbij komen dat de prijs soms ineens omhoog schiet. Ja, ook dat laatste. Immers, bij het inzagerecht onder de Wbp hoort ook

Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.

En die logica is nu net wat je hier wilt weten: wat is de logica achter vijf keer te horen dat het 100 euro kost, de zesde keer dat het 400 is en de zevende dat het weer 100 euro is?

Ik twijfel alleen of het antwoord - als je dat al krijgt - verder komt dan “op basis van uw profiel en overige relevante factoren bepalen we de best passende aanbieding”. Of, zoals Facebook deed, “dat mogen we niet zeggen op grond van de wet op de handelsgeheimen”.

Arnoud

Een lezer vroeg me

Ik las dit artikel bij The Register. Zo te lezen is het iets belangrijks over de privacywet, maar ik snap werkelijk niet waar het over gaat. Kun jij je licht laten schijnen hierover?

In de Europese privacyrichtlijn staat dat je voor gebruik van persoonsgegevens toestemming nodig hebt, tenzij een wettelijke uitzondering geldt. Eén zo’n uitzondering is de “strikte noodzaak”. Deze komt neer op “het mag als het écht moet én de privacy minder zwaar weegt dan jouw noodzaak.” Het bekendste voorbeeld van zo’n noodzaak is de vrije meningsuiting: als iemands naam journalistiek relevant is, en onthulling zijn privacy niet meer schaadt dan nodig, dan mag je zijn naam publiceren in een journalistiek stuk. Google kwam via dit artikel weg met Streetview.

De privacyrichtlijn is op zichzelf geen wet, dus elke EU-lidstaat moest zijn eigen vacywet invoeren met daarin een tekst die gebaseerd is op de richtlijn. Bij ons is dit stuk uit de richtlijn één op één overgenomen in artikel 8 sub f Wet bescherming persoonsgegevens.

In Spanje hadden ze die “strikte noodzaak” ook in de wet gezet, maar met de extra eis dat de persoonsgegevens uit een publieke bron moesten komen. Je mocht dus geen private bestanden gebruiken met een beroep op de “strikte noodzaak”.

Dat mag niet, zegt het Hof (zaak C-486/10): de privacywet moet overal gelijk zijn, en dus niet strenger in Spanje. In Europees-juridische termen heet dit “volledige harmonisatie”. Een land mag dus geen extra eisen stellen, net zo min als ze lossere regels mag invoeren over het omgaan met persoonsgegevens.

De voorgenomen nieuwe privacywet waar ik recent over schreef zal waarschijnlijk een Verordening worden. Dan kan er in het geheel geen discussie meer zijn over hoe een land dit in de wet moet zetten: elke nationale privacywet komt dan te vervallen en alléén de Europese Privacywet geldt dan nog.

Arnoud

De Europese Unie wil de wirwar aan nationale wetten over databescherming vervangen door middel van een algemene voor de hele Unie geldende hervorming, las ik bij Nu.nl. Elk EU-land heeft nu een eigen privacywet, gebaseerd op Europese richtlijnen, maar deze moeten worden vervangen door een Europese Europese wet die precies bepaalt hoe het is, klaar. En zo te lezen gaan we heel wat toestemmingspopups krijgen als die er komt.

Reding wil een Verordening invoeren: een Europese wet die direct geldt, zonder dat de lidstaten zelf nog dingen mogen wijzigen of alternatieve regels mogen invoeren op dit punt. Dus als die Verordening er komt, mag Nederland geen eigen regels meer maken over wat Google met Streetview wel of niet mag doen. (Hoewel dat specifiek voor persoonsgegevens toch al niet bleek te mogen.) De rechter kan alleen nog toetsen aan de Verordening, waarbij hij hooguit indirect rekening mag houden met die lokale eigenaardigheden.

En die Verordening gaat streng zijn, als ik de speech van haar en Ilse Aigner goed begrijp:

EU law should require that consumers give their explicit consent before their data are used. And consumers generally should have the right to delete their data at any time, especially the data they post on the Internet themselves.

Met ‘explicit consent’ wordt nadrukkelijk iets strengers bedoeld dan de 48 pagina’s Terms of Service die Facebook en menig andere internetdienst hanteert. Mensen moeten snappen wat er gaat gebeuren en dan liefst op het moment zelf goed nadenken of ze dat willen, en dan uit vrije wil ja of nee zeggen.

Het idee is leuk maar dat gaat dus absoluut niet werken. Mensen snappen niet of willen niet snappen, of zijn niet geïnteresseerd in snappen, wat er allemaal gebeurt met hun persoonsgegevens. Ze willen gewoon hun porretjes sturen, mensen be- dan wel ontvrienden en op muren krabbelen (wat overigens prima is, daar niet van; die infantiele taal is niet mijn sarcastische keuze). En ze gaan ervan uit dat de bedrijven die ze dat laten doen, netjes met hun gegevens omgaan en “geen rare dingen” doen daarmee.

Nou kun je dat naïef vinden - mensen moeten weten wat voor enge dingen bedrijven allemaal doen en daar bezwaar tegen maken. Maar ik zie niet hoe je de gemiddelde consument in beweging krijgt om dat ook daadwerkelijk te doen. Laat staan om een cursus internetrecht te gaan volgen om te weten wat hun rechten en plichten zijn. Zou dat echt moeten voor je mag gaan Facebooken?

Logischerwijs zou de wetgever dan daarop moeten inspelen en als uitgangspunt nemen dat “rare dingen” niet mogen van de privacywet. Dat willen we niet hebben, dus dan moet het niet mogen.

Kennelijk voelt dat dan toch net weer iets te eng of zo, want net als bij de cookieregels wordt er dan toch maar naar het middel van “nou vooruit met expliciete, pardon uitdrukkelijke, pardon voorafgaande nee met geïnformeerde en vrije toestemming” gegrepen. Wat dus niet werkt want mensen klikken op whatever ze moeten klikken om hun porretje, krabbel of boerderijuitrusting te kunnen kopen.

Maar wat dan? Harde wettelijke regels à la “het is verboden mails te lezen om daar advertenties mee te targeten”? “Bonuskaartgegevens mogen niet worden gedeeld met verzekeraars”? En dan nog driehonderdvierentachtig van zulke regels? Hoe ga je dat in vredesnaam nog enigszins flexibel houden? Dat zie ik al helemaal niet gebeuren.

Nee, misschien moeten we het juist flexibeler maken. Profielen opbouwen en dingen daarop afstemmen, prima. Alleen:

1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
2. Je moet volledig disclosen wat je doet en waarom;
3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Dat laatste is natuurlijk de truc: hierdoor gaan mensen op zoek naar foutjes, natuurlijk puur om rijk van te worden, maar dat houdt die bedrijven wel scherp. Sommigen zullen dan maar afzien van profilen, anderen zullen de problemen kunnen beperken en weer anderen gaan failliet omdat ze te vaak boetes over zich heen krijgen.

In Duitsland bestaat een soort van vergelijkbaar systeem voor e-commerce. Bedrijven die de e-commercewet niet naleven, kunnen van voorheen ambulancesnajagende advocaten een schadeclaim verwachten. En ja, daardoor wordt er in Duitsland véél beter op die wetgeving gelet door bedrijven dan bij ons. (Bij ons kun je ook wel procederen over ontbrekende KVK-nummers op websites maar wat is je schade?)

Het lijkt me in ieder geval beter te kunnen werken dan “lees deze dertig pagina’s en geef dan vrijwillig uw toestemming”. Wat jullie?

Arnoud

Het Europees Hof van Justitie bepaalde gisteren dat een copyrightfilterplicht voor providers in strijd is met de Europese e-commerce wetgeving en de grondrechten. Het arrest verklaart dat het generieke filter op al het peer-to-peer verkeer dat Scarlet moest toepassen van de Sabam (de Belgische Buma) niet legaal is. Maar wat betekent dit nu voor andere zaken, zoals de BREIN/XS4All/Ziggo rechtszaak?

In de Belgische zaak had Sabam geëist dat Scarlet een auteursrechtenfilter zou implementeren dat moest voorkomen dat haar klanten nog beschermde werken illegaal kon uitwisselen. De rechter in eerste instantie wees de eis toe, maar Scarlet tekende hoger beroep aan met (naast het feit dat het filter niet werkend te krijgen was) de stelling dat het filter in strijd was met de grondrechten en Europese wetgeving. Daar geeft het Europese Hof ze nu gelijk in: generieke filters blokkeren ook legitieme inhoud, houden geen rekening met auteursrechtelijke uitzonderingen (zoals parodie of citeren) en vereisen structureel meelezen met alle communicatie, wat een inbreuk op de privacy oplevert.

Maar is daarmee iedere mogelijkheid voor een auteursrechtenfilter van de baan? Nee, want het Hof zegt niet dat filteren nooit en te nimmer mag. Het Hof zegt dat een generiek filter dat preventief alle klanten filtert, geen beperking in de tijd heeft én door de provider betaald moet worden niet mag. Dit omdat met zo’n lomp filter niet is voldaan aan

het vereiste dat een juist evenwicht wordt verzekerd tussen enerzijds het intellectuele-eigendomsrecht en anderzijds de vrijheid van ondernemerschap, het recht op bescherming van persoonsgegevens en de vrijheid om informatie te ontvangen of te verstrekken.

Daarmee blijft wel degelijk de deur open voor een meer fijnbesnaard filter dat wél dit juiste evenwicht weet te bereiken. Bij Webwereld meldt BREIN-advocaat Joris van Manen dan ook meteen dat

Brein niet [vraagt] om een algemene filtermaatregel van al het in en uitgaande P2P verkeer, maar om een blokkade van één specifieke, evident illegale website, die in Nederland al drie keer veroordeeld [waarvan twee keer bij verstek, tss, AE] is en aan die verboden geen gehoor geeft.

Eerder had dit hof in de L’Oréal/eBay-zaak al bepaald dat eBay verplicht moet filteren op advertenties waarvan gebleken is dat ze inbreukmakend zijn. Dus niet generiek “blokkeer alle L’Oréalproductadvertenties” maar “blokkeer specifiek deze advertentie, ook voor de toekomst”:

[de rechter kan] gelasten om maatregelen te treffen die niet alleen bijdragen tot het doen eindigen van de door de gebruikers van die marktplaats gepleegde inbreuken op die rechten, maar ook tot het voorkomen van nieuwe inbreuken van die aard. Deze bevelen moeten doeltreffend, evenredig en afschrikkend zijn en mogen geen belemmeringen voor het legitiem handelsverkeer scheppen.

Er lijkt me dus wel degelijk (enige) ruimte om een P2P filter te verzinnen dat niet tegen het verbod van het Hof aanloopt. Veel niet; de bezwaren waar het Hof de beslissing op baseert zijn fundamenteel. Hoge kosten, ieders verkeer monitoren en ongenuanceerd álle auteursrechteninbreuken najagen, dat kun je niet vragen. Maar lage kosten, gericht monitoren en alleen specifiek bij reeds vastgestelde inbreuken in actie komen: denkbaar.

Kortom, het is afwachten wat de rechtbank in BREIN/XS4All/Ziggo zegt, daarna wat het Gerechtshof in diezelfde zaak gaat zeggen (want hoe dan ook komt er hoger beroep in die zaak) en dáárna (hopelijk) wat het Europese Hof gaat zeggen over het door BREIN bepleite antipiratebayfilter.

Arnoud

Sinterklaasjournaal zet ouders voor het blok, las ik bij Ouders Online. Het journaal had kinderen opgeroepen naar SinterklaasJournaal.nl te gaan en daar hun naam en e-mail adres in vullen omdat ze anders geen cadeautjes zouden krijgen. Eh, privacytechnisch, wat?

Ouders Online maakt zich boos:

De druk die hier wordt toegepast om kinderen naar de site van het Sinterklaas-journaal te lokken en hun persoonsgegevens in te leveren. (”Als je je naam en adres niet meldt krijg je geen cadeautjes”) gaat wel erg ver. Evenals het popup-scherm dat verschijnt na het invullen van de persoonsgegevens. Daarin poogt men de bezoekertjes over te halen om extra vriendjes of vriendinnetjes aan te melden.

Ouders online heeft een sterk punt: hoe kun je weigeren om mee te werken aan deze oproep? Want geen kadootje met Sinterklaas, dat kun je een kind niet aandoen. Maar tegelijkertijd: hoe kun je als mediabewuste ouder toestaan dat je kind zijn persoonsgegevens invult op een of andere site?

Juridisch gezien is het simpel: een kind onder de zestien kan niet rechtsgeldig zijn persoonsgegevens ergens verstrekken. Daarvoor is gewoon toestemming van de ouders nodig (art. 5 Wbp). Zonder toestemming kunnen zijn gegevens alleen worden verwerkt op grond van een reeds gesloten contract of bij een dringende noodzaak - en hoe belangrijk het boek van Sinterklaas ook is, juridisch noodzakelijk is het niet.

Het invulformulier (met het omineuze ‘viral’ in de URL) hanteert ook een wat rare opt-in: je moet een vinkje weghalen bij “De Sint mag contact met mij opnemen in verband met pakjesavond” als je geen mail wilt krijgen. Dat lijkt me niet juist. (En ook hier weer: hoe leg je dat uit bij je kind?)

Of het CBP stappen gaat ondernemen tegen de NTR (er is immers ook geen registratie van de verwerking, wat boetewaardig is), is nog onduidelijk.

Arnoud

Onder druk van privacywaakhond CBP biedt Google nu wereldwijd de optie om wifi-routers uit zijn database met locatiedata te verwijderen door ‘_nomap’ aan de netwerknaam (SSID) toe te voegen. Daarmee voldoet het bedrijf aan de Wet bescherming persoonsgegevens, aldus datzelfde CBP. Maar, eh, hoezo, vroegen veel mensen mij: dit is opt-out en de privacywet eist toch een opt-in?

Het College had Google een dwangsom opgelegd nadat bleek dat het bedrijf van 4 maart 2008 tot 6 mei 2010 met de rondrijdende Street View-auto’s gegevens had verzameld over ruim 3,6 miljoen verschillende wifi-routers in Nederland. Meer precies ging het om de locatie, de signaalsterkte en het SSID (netwerknaam) van die netwerken. Met die gegevens bood Google een geolocatiedienst aan. Door te kijken welke netwerken er in de buurt zijn, en in een database op te zoeken waar die zich bevinden, kun je redelijk nauwkeurig vaststellen waar jij bent. In ieder geval nauwkeurig genoeg om geografisch passende advertenties te sturen.

Deze gegevens zijn persoonsgegevens: ze zijn indirect ofwel met enige moeite te herleiden tot de eigenaar van dat netwerk, al is het maar door zijn huis te lokaliseren en aan te bellen. En daarmee is het opbouwen van zo’n database onderworpen aan de Wet bescherming persoonsgegevens, de privacywet. Hoofdregel daaruit is dat voor het gebruik van iemands persoonsgegevens toestemming nodig is. En die krijgt Google niet door rond te rijden - het feit dat iemand zijn SSID uitzendt is géén toestemming voor het opnemen daarvan in een database.

Toch vindt het Cbp dat Google de privacywet niet schendt, zeker niet nu men de “_nomap” extensie voor het SSID belooft te gebruiken om routers te negeren. Het Cbp doet dit door Google’s activiteit goed te keuren onder artikel 8 sub f. Dit artikel bepaalt dat je zonder toestemming iemands persoonsgegevens mag verwerken als dat “noodzakelijk is voor de behartiging van het gerechtvaardigde belang” van degene die die gegevens verwerkt én als dat belang van die persoon zwaarder weegt dan de privacy.

Googles belang is om een volle database te hebben van routers en locaties, zodat ze een goed werkende geolocatiedienst kunnen aanbieden. Dat vindt het Cbp op zich allemaal leuk en aardig, maar het is niet noodzakelijk voor een geolocatiedienst om zo’n database te hebben. Je kunt ook (zoals Microsoft, Skyhook en Apple doen) met andere middelen en uit andere geo-informatie vergaren. Er is dus niet voldaan aan de eerste eis, er is geen noodzaak deze gegevens te verzamelen.

Vervolgens gaat men verder over de tweede eis, die van de belangenafweging. Daarbij citeert men de memorie van toelichting bij de wet:

Bij de in onderdeel f voorgeschreven afweging speelt een rol de mate van gevoeligheid van de gegevens die de verantwoordelijke wil verwerken en de maatregelen die de verantwoordelijke heeft genomen ten einde rekening te houden met de belangen van de betrokkene. De belangen van de betrokkene zullen in mindere mate gewicht in de schaal leggen naarmate in zijn belang meer waarborgen voor een zorgvuldig gebruik van de gegevens zijn genomen

Bij deze belangenafweging is belangrijk dat Google moet zorgen voor een afmeldmogelijkheid, om de belangen van de betrokkenen (de eigenaren van die routers) tegemoet te kunnen komen. De _nomap is dus formeel geen opt-out maar een “waarborg voor zorgvuldig gebruik”. Ook moet Google de eigenaren van routers informeren, wat men deed met advertenties in landelijke kranten en een FAQ op de site.

Op onnavolgbare wijze komt het Cbp na dit stukje ineens tot de conclusie dat het wél legaal is wat Google doet als ze dus maar aan deze eisen voldaan. Ik snap daar werkelijk niets van. Eerst zeggen dat de ene eis (noodzakelijk voor je belang) niet gehaald wordt, daarna uitleggen hoe de andere eis (belangenafweging) wél gehaald wordt en dan is het legaal? Ik zal wel iets missen hoor.

In Tweede Kamer zijn ze al gaan roepen dat er een expliciete opt-in moet komen, maar hoe ze dat willen regelen, mis ik eveneens: dit zijn Europese privacyregels waar we niet zomaar een extra Nederlands wetje bij kunnen maken. Plus, het idee van opt-in als oplossing is onzinnig: 99% van de mensen weet niet waar ze voor opt-int en/of klikt ongezien op Akkoord bij alles dat je ze voorlegt.

Arnoud

Een lezer vroeg me:

Na Lektober zijn we bij ons op het werk vol op de beveiliging gesprongen. Alle bestanden met persoonsgegevens zijn opgeschoond en alle systemen zijn maximaal beveiligd. Volgens mij net iets té ver: ik mag onze software niet meer testen met ‘echte’ persoonsgegevens, alleen met een bestand met een paar honderd nepadressen. Dit omdat testen met persoonsgegevens verboden zou zijn onder de Wet bescherming persoonsgegevens. Is dat echt zo?

De Wet bescherming persoonsgegevens (Wbp) verbiedt niet letterlijk het testen met productiegegevens. Die zegt alleen dat je de gegevens mag gebruiken voor het doel waarvoor je ze krijgt, en voor doelen die in duidelijk direct verband daarmee staan (art. 8 en 9 Wbp). Het testen van de omgeving waarbinnen je persoonsgegevens wilt gaan gebruiken, lijkt mij zonder meer voldoende verband te hebben met het daadwerkelijk (productie) gebruik van die omgeving.

De norm “Achtergrondstudies en Verkenningen Nr. 23” van het Cbp is streng:

Voor het testen van informatiesystemen met persoonsgegevens mogen uitsluitend gegevens van fictieve personen gebruikt worden.

Deze norm is niet wettelijk bindend. Je moet deze norm zien als “zo doe je het goed” maar daaruit volgt niet “als je wat anders doet, zit je fout”. Als je wat anders doet, begeef je je in onontgonnen terrein. Dat mag, zolang je zelf dan maar uiterst goed oppast wat je doet. Een eigen norm daarvoor maken is geen slecht idee dan. Ik vond de Richtlijn gebruik productiegegevens uit alweer 2005 van het Bureau Keteninformatie Werk en Inkomen waar nuttige tips in staan.

Testen met echte persoonsgegevens moet wel nodig zijn, oftewel het gebruik van die testgegevens zou niet voldoende moeten zijn. Om bijvoorbeeld te kijken of de interface voor het oproepen van klantgegevens of bestellingen prettig werkt (een usabilitytest), kun je prima volstaan met fictieve gegevens. Een stresstest op de performance kan echter niet met honderd nepadressen als je in productie met honderdduizend echte adressen gaat werken.

Natuurlijk moet je altijd adequate beveiliging (art. 13 Wbp) hanteren, dus ook in je testomgeving. De testomgeving moet dus op dezelfde wijze zijn afgeschermd voor ongeautoriseerde toegang en gebruik. De personen die het systeem testen, moeten aan dezelfde geheimhouding en audits onderworpen zijn als de personen die het productiesysteem beheren. Dat wordt nog wel eens vergeten - men huurt een IT-er in om een databasekoppeling te bouwen en denkt dan niet dat daarbij geheimhouding nodig is. Maar als hij dan een test met productiegegevens gaat doen, is dat wel degelijk wettelijk verplicht.

Het is jammer dat sommige bedrijven zo doorslaan meteen: van totale laksheid naar OMGWTFWBP alles-verbieden-volstrekte-geheimhouding-niets-mag-meer. Even rustig ademhalen graag voor je zulke beleidsregels opstelt.

Arnoud

Verzekeraars maken gebruik van sociale media om te kijken of mensen die schade hebben, de boel niet oplichten. Dat meldde RTL Nieuws gisteren. Men verwijst naar de Telegraaf, dat meldt over een verzekerde wiens autoverzekering stopgezet zou worden, omdat hij mee zou hebben gedaan aan straatraces. En, voor mij opmerkelijk, dat meldt dat het Cbp dit goedkeurt want “sociale media zijn namelijk nog niet opgenomen in de privacywetgeving.”

Ik weet niet wie ze bij het Cbp aan de lijn hebben gehad maar daar klopt niks van. Goed, letterlijk staat “sociale media” niet in de wet maar ik mag hopen dat woordvoerders íets informatiever zijn dan dat. (Update zie onder voor reactie Cbp). Een publicatie op sociale media is ‘gewoon’ een publicatie op internet, zoals blijkt uit de Richtsnoeren persoonsgegevens op internet van datzelfde Cbp. Die zeggen bijvoorbeeld:

De aanbieders van profielsites zijn samen met de gebruikers medeverantwoordelijk voor de verwerking van persoonsgegevens op de betreffende website. De aanbieders van deze diensten moeten zich daarom houden aan de regels uit de Wbp. … Ze dienen geschikte beveiligingsmaatregelen te treffen, zoals het standaard afschermen van de profielen voor zoekmachines en alleen toegang te bieden aan vrienden van de gebruiker. Ook dienen ze de mogelijkheid te bieden de profielen en elders op de site geplaatste informatie te verwijderen.

Wel is het zo dat wie iets op een profielsite zet zónder privacysettings, daarmee toestemming geeft voor kennisname aan mensen die de pagina bezoeken. Dus ook je verzekeraar. Ook als het gaat om medische gegevens, zoals letterlijk in de Richtsnoeren:

Iedere volwassene die op zijn of haar eigen homepage of weblog met opzet en onder eigen naam gevoelige informatie over zichzelf publiceert, zoals verslagen van medische perikelen, maakt die ge­gevens duidelijk zelf openbaar. Daardoor vervalt het verbod om die bijzondere gegevens te verzamelen en te verwerken.

Worden die gegevens echter afgeschermd voor alleen een select groepje vrienden, dan wordt dat anders. Dan kan de verzekeraar ze niet zomaar meer zien. En dan zijn ze dus ook niet meer zomaar te gebruiken. Natuurlijk kan de verzekeraar een particulier rechercheur inschakelen die zich dan onder valse naam aan probeert te melden, maar dát is dan wel problematisch. Hun gedragscode vermeldt namelijk dat zij strikt in overeenstemming met de wet moeten werken.

Voor deze gedragscode geldt als eerste basisregel dat de rechten en plichten die gelden voor iedere burger, ook gelden voor particuliere onderzoeksbureaus. Hierbij geldt evenwel dat van particuliere onderzoeksbureaus een grotere mate van zorgvuldigheid mag worden verwacht in het kader van hun beroepsuitoefening. Bij bevoegdheden van iedere burger kan gedacht worden aan het raadplegen van openbare registers (zoals de registers van de Kamer van Koophandel en Fabrieken en de registers van het Kadaster) en openbare bronnen (zoals het internet).

Een particulier rechercheur kan zijn vergunning kwijtraken als hij in strijd met de wet gegevens verzamelt van anderen.

Omdat er bij gebruik van zulke gegevens altijd kans op misverstanden, onduidelijkheden of persoonsverwisselingen bestaan, is het zeer verstandig om altijd eerst navraag te doen. In de context van sollicitaties staat dat zelfs in de NVP-code als expliciete eis. Het lijkt me dat een afwijzing van een verzekeringsclaim zonder zulke navraag vrij eenvoudig te vernietigen moet zijn.

Wat alle problemen op zou lossen, is als verzekeraars bij de polisaanvraag toestemming gaan vragen voor het mogen uitvoeren van dergelijk onderzoek op Facebook en andere sociale media. Dat mag (mits de toestemming specifiek en duidelijk gevraagd wordt) en zeker als je het koppelt aan een korting. Stel je krijgt 5% korting op je verzekeringspremie als je ze laat snuffelen op Facebook, ik gok dat 80% van de verzekerden daarmee akkoord gaat.

Update: (9 november) per mail laat het Cbp weten:

In dat Telegraaf-artikel staat inderdaad een citaat van de woordvoerder van het CBP, zijnde ondergetekende. Helaas was het citaat onvolledig en onjuist. Ik heb niet gezegd of bedoeld te zeggen dat social media niet zijn opgenomen in de privacywetgeving. Inderdaad heeft het CBP al eerder richtsnoeren uitgebracht over persoonsgegevens op internet, waarnaar je ook verwijst in je column. Wat ik wel heb gezegd of bedoeld te zeggen is dat

• het CBP geen onderzoek heeft gedaan naar deze casus en dus geen inhoudelijk oordeel kan geven
• het aan de rechter is om te bepalen wie in deze zaak gelijk is
• en hoe hij het feit dat het bewijs is verkregen via Facebook weegt
• op dit punt moet nog meer jurisprudentie worden ontwikkeld
• de Wet bescherming persoonsgegevens is van toepassing op alle persoonsgegevens, dus ook die op internet staan

Arnoud

Een lezer vroeg me:

Op mijn werk blijkt de toegang tot Twitter te zijn geblokkeerd. Navraag leerde dat de directie bang was voor imagoschade als werknemers gingen twitteren. Daarom had men Twitteren categorisch verboden in het arbeidsreglement. Ik mag dus niet op het werk Twitteren maar óók niet thuis op mijn eigen computer! Kan dat zomaar?

Dat kan, maar niet zomaar. Een internetprotocol wordt meestal ingevoerd om oneigenlijk of ongewenst gebruik van de bedrijfsmiddelen te reguleren, maar men kan langs deze weg ook regels stellen over het gebruik van sociale media, zoals Twitter, Facebook of Google+.

Wel moet er dan een redelijk belang zijn voor de werkgever om iets te mogen zeggen over wat werknemers twitteren of Facebooken. Dit belang moet te herleiden zijn tot het werk: werknemers kunnen bedrijfsgeheimen onthullen door bijvoorbeeld een voorgenomen fusie op Facebook te melden, of arbeidsconflicten veroorzaken door te twitteren dat een collega onfris ruikt. Maar ook het vragen beantwoorden over producten of diensten kan het bedrijfsbelang raken: dergelijke communicatie wordt toegerekend aan het bedrijf, en kan het bedrijf dus binden aan bijvoorbeeld een toegezegde schadevergoeding of vervangend product.

Voor sommige bedrijven zijn de negatieve consequenties zó zorgelijk dat ze keihard beleid hanteren: verboden de bedrijfsnaam te noemen op je Linkedinpagina, alle tweets schriftelijk voorleggen aan de afdeling Communicatie en op de Hyves- of Facebookpagina mag niets over het werk vermeld worden. Dergelijke regels zijn echter volstrekt onhaalbaar: mensen zijn zó gewend om over zichzelf te hyven, facebooken, twitteren of googleplussen dat ze deze regels niet serieus kunnen nemen.

De meeste medewerkers begrijpen echter prima de belangen van de werkgever, mits deze zich maar redelijk opstelt (wat overigens ook een wettelijke eis is voor werkgevers). De werkgever hééft soms gewoon redelijke bedrijfsbelangen. En het in acht nemen van het bedrijfsbelang kan soms betekenen dat de werkgever zich anders moet uitdrukken of even niet moet reageren of ingaan op een discussie.

Natuurlijk, dergelijke regels leveren een beperking van de vrije meningsuiting van de werknemer op, maar dat is legaal. De werknemer kiest er zelf voor wanneer hij in dienst treedt bij dat bedrijf. Maar de werkgever mag niet verder gaan dan het bedrijfsbelang vergt. Zo kan een werkgever een werknemer niet verbieden zijn mening over zijn favoriete voetbalclub te uiten, behalve wellicht wanneer hij bij een concurrerende club werkt. Een werknemer bij een bank mag niet zomaar zeer negatieve artikelen over het bankwezen publiceren. Ook niet als hij dat doet op persoonlijke titel maar wel met de bedrijfsnaam erbij.

Arnoud