Vanwege mijn vakantie deze week geen gewone blogs, maar een zomerserie die ik ‘Zwartelijstweek’ heb gedoopt. Welke websitevoorwaarden zouden moeten worden verboden? Of hoe ver zouden website-exploitanten nog mogen gaan bij een site waar gebruikers ook een bijdrage leveren?
Privacy op sociale media en websites is een hot topic, maar tegelijkertijd een verschrikkelijk lastig onderwerp. Er zitten namelijk een paar fundamentele tegenstrijdigheden in hoe we daarmee omgaan. Aan de ene kant publiceert iedereen graag van alles over zichzelf. Aan de andere kant willen we niet dat Google van alles over ons vindt of combineert, of dat vrienden ons taggen in situaties waar we geen controle over hebben. En aan nog weer een andere kant moeten die website-eigenaren profielen van ons opbouwen en advertenties targeten omdat ze anders geen gratis diensten kunnen aanbieden.
Hoe trek je daar in vredesnaam een lijn in?
Het College bescherming persoonsgegevens probeerde het eind 2007 met haar Richtsnoeren, maar die vind ik wel héél eenzijdig pro-privacy en zonder enig begrip voor de belangen van website-exploitanten. (Ok, behalve bij het punt “ik wil mijn berichten van je site af”, want die mag je geanonimiseerd laten staan als weghalen de discussie verstoort.)
Ik moet eerlijk zeggen: ik weet het niet. De belangen staan hier volgens mij zo keihard tegenover elkaar dat je geen praktische regel kunt verzinnen die beider posities respecteert. Dit is dan ook de reden waarom juristen in deze branche zo graag de concrete omstandigheden van het geval en een belangenafweging op basis van gelijkwaardigheid prediken: dan hoef je geen knopen door te hakken.
Help?
Arnoud<br/> Foto: Quinn Dombrowski, Flickr, Creative Commons Naamsvermelding-Gelijkdelen.
Gezien de tijdstippen van je postings werkt je cronjobje prima 😉
OT: Ik vind dat je wel een onderscheid moet maken tussen de verschillende soorten van websites. Als ik op een webshop me moet registreren om iets te kunnen bestellen, dan wil ik niet dat ze deze gebruiken voor allerlei reclame (wat ze ook meestal vragen, maar is uit te zetten). Indien ik me voor een fourm registreer en ik wil mijn e-mail adres niet zichtbaar hebben of (redelijk)anononiem posten, moet dat ook kunnen. Ga je naar een google toe wil je maar wat graag de diensten gebruiken en vooral gratis (zoals een goed Nederlander betaamd haha). Aangezien niets gratis is in deze wereld, betaal je met een gedeelte van je privacy. In hoeverre jijzelf er in kunt vinden hoeveel en op wat voor manier jouw informatie verspreidt wordt door de dienstverlener (staat als het goed is in hun policy), neem je de diensten af. Ben je het er niet mee eens, dan moet je het gewoon niet gebruiken. Wellicht is het beter om een fatsoenlijke, duidelijke campagne te starten om de mensen bewust te maken van de voorwaarden, waarvoor men soms maar al te makkelijk op de accept knop drukt (zelfde geldt voor software EULA’s, maar das een ander verhaal). Als men dan tegensputtert zul je zien dat de die-hard privacy beschermers de diensten niet meer zullen gebruiken (of ze zijn hypocriet) en de overige wellicht wat minder onverschillig met hun informatie op internet plempen. Ik gebruik ook facebook, linkedin, etc, maar wat verschilt dat van een eigen website opzetten met je eigen blog, waar je eigenlijk hetzelfde neerzet?
Waar ik vooral benieuwd naar ben is hoe het zit met gehoste websites. Want dan heb je b.v. een site-eigenaar in Nederland, maar de host staat bij de host-eigenaar in de USA, Canada, Japan, Cuba of noem maar een ander land… Persoonsgegevens gaan dan het land uit. Mogelijk ook uit Europa. Mogelijk zelfs naar gebieden waar ze niet thuishoren! (Wil je wel persoonsgegevens naar Cuba sturen? Of de Verenigde Arabische Emiraten? Of de USA, waar de regering steeds meer data opvraagt…) Dit is vooral belangrijk met het oog op Cloud Computing, waarbij het al helemaal onduidelijk kan zijn waar je data rondzwerft.
Ander puntje: hoe zit het met persoonsgegevens van buitenlanders? Dus als ik in Nederland een site host op een Nederlandse server, maar de bedoeling is dat mensen in Egypte deze kunnen benaderen om zo hervormingen in hun eigen land te kunnen bespreken? Of iets dergelijks?
Ik was laatst in het buitenland en bij de Starbucks hadden ze gratis WiFi. Maar dan moet je wel je burgerservicenummer (van dat land) opgeven om een inlog-account te verkrijgen. Nu had ik die uiteraard niet, dus ben vijftig meter verderop in de volgende coffeeshop gaan zitten waar het echt gratis was (in productprijs doorberekend).
Maar ben toch benieuwd wat ze daar met BSN doen… bijhouden waar, hoevaak, en hoelang iemand bij de filialen internet gebruikt? Of meer? Wel handiger voor zo’n bedrijf dan met een e-mailadres, want daar nemen klanten steeds nieuwe van. Het BSN verander je niet zomaar en zo heb je dus een goede record van alle klanten.
@Lepelaar: het kan zijn dat Starbucks het doet vanwege (indekken tegen) Amerikaanse wetten: als jij je BSN moet opgeven, en daarna file-sharing gaat doen, dan kan Starbucks bij een klacht doorverwijzen naar jou. Een BSN is redelijk geheim en minder makkelijk te bedenken dan een mail-adres.
Dichter bij huis: In Frankrijk (met de 3-strikes-out wetgeving) lijkt het daar ook op:
Sites waar er Wifi-Internet was (Etap-hotel, camping) moest je eerst je persoonlijke gegevens invullen en/of verklaren je keurig te gedragen (zoals “ik zal niet onder een schuilnaam dingen doen” …). Trouwens: De meeste locaties met “Gratuit Wifi” op de deur (cafes, restaurants, fastfood-zaak, kart-baan) hadden inderdaad wel een strak Wifi-signaal, maar geen Internet. Waardeloos dus. Misschien de reactie op die 3-strikes-out wetgeving: dan maar helemaal geen Internet meer.
Ik zou trouwens niet mijn BSN geven: dat is toch alleen voor communicatie met overheid en zorgpartijen?
@2: Wim, aangezien ik hier in Nederland moest tekenen dat ik akkoord ging met de opslag van gegevens die in principe noodzakelijk zijn voor de bedrijfsuitoefening, omdat het server park van mijn toenmalige werkgever in het buitenland staat, ga ik er vanuit dat je als je een server in het buitenland hebt staan hierop moet wijzen en dat men hiermee expliciet akkoord moet gaan.
@Elroy, maar dan wordt het interessanter als het b.v. gaat om software van helpdesks, webwinkels of welk ander bedrijf dan ook dat een “Customer relationship management” applicatie gebruikt die in de Cloud of gewoon op een buitenlandse host draait. Dan doe je een bestelling bij een Nederlandse webwinkel en die webwinkel registreert jouw bestelling ergens in de Cloud omdat ze een Cloud-oplossing hebben gekozen voor een veilige data-opslag. Een mooi voorbeeld is NutShell CRM die een goedkope (gratis!) CRM oplossing biedt voor je Google Apps account. Combineer dat met andere Google Apps mogelijkheden en een simpele website waar je je spullen aanbiedt dat weer rechtstreeks met je CRM pakket babbelt en dan heb je een vrij complexe omgeving als het gaat om de privacy. Wie voor weinig geld een webwinkel wil beginnen kan met dit soort goedkope/gratis diensten een heel eind komen. Maar ja, je data staat dan mogelijk her en der over deze wereld verdeeld… Wettelijk gezien zijn dit soort ontwikkelingen dus mogelijk helemaal niet toegestaan! Innovatie die door de wet wordt tegengehouden omdat b.v. de FBI in de USA de databases van Nederlandse webwinkels op kan eisen omdat deze binnen Microsoft Azure eigenlijk op Amerikaans grondgebied staan. (Of zelfs in Europa, want Microsoft is een Amerikaans bedrijf en moet mogelijk ook data opgeslagen in Europa aan de FBI opleveren als daarom wordt gevraagd.)
Even uit nieuwsgierigheid: je gebruikt al de hele week dezelfde thumbnail. Ik zie een krijtbord met “Storming the castle / Little man in the Big Castle”. Wat heeft dat met websitevoorwaarden en zwarte lijsten te maken? Is het dat op sociale websites iedereen zomaar wat op je website(=krijtbord) kan schrijven?
@M V: Het idee was: zwarte lijst = lijst op zwart bord = tekst op schoolbord, maar dan uitgewist omdat we aan het praten waren wat er op had gemoeten.
Ah, diep 🙂 Bedankt voor de uitleg.
@Arnoud: Weet jij hoe het zit met de situatie die door Wim ten Brink (6) wordt geschetst? Dit lijkt mij een belangrijk punt (wat mag je waar opslaan ivm de Nederlandse wet).
@Mark (10) Wat ik weet is: ‘Europese bedrijven wantrouwen Amerikaanse cloudaanbieders’ De wetgeving zorgt ervoor dat veel bedrijven nu enorm terughoudend zijn met Cloud-oplossingen. Vooral omdat de bedrijven die het meeste “in the cloud” aanbieden uit de USA komen of zich (deels) in de USA hebben gevestigd. Een goede Cloud-provider moet bovendien over een behoorlijk data-center beschikken, wat veel ruimte vereist, plus veel energie. Ik weet dat mijn werkgever zich met Azure bezighoudt en ben dan zeer benieuwd of dat ook echt een verstandige keuze is. Daar is gewoon nog teveel onduidelijk over.
@Mark & @Wim: Het is inderdaad een lastig punt. Persoonsgegevens moeten veilig worden opgeslagen. De VS wordt niet gezien als veilige plek, behalve als het bedrijf op een Safe Harbor lijst staat. Maar sinds de PATRIOT Act is ook dat discutabel, omdat de FBI en andere drieletteragentschappen vrijelijk mogen grasduinen in alle gegevens waar Amerikaanse bedrijven toegang toe hebben. Ook als in de Safe Harbor is afgesproken dat er niet gegrasduind mag worden.
@Arnoud, wat het meest vervelende is, is dat het bedrijven tegenhoudt om internationaal te opereren. Een bedrijf zoals mijn werkgever die zich bezig houft met software voor de financiele markt en daarbij dus veel persoonsgegevens moet verwerken heeft een groot risico dat we ongemerkt bepaalde wetten overtreden zodra we cloud-oplossingen willen toepassen waarbij de Cloud-oplossing door Microsoft Azure, Google Cloud, Amazon AWS of Rackspace. En dat zijn de vier grootste, belangrijke spelers. Allemaal vallen ze onder de PATRIOT Act en dat is gewoon balen.
Het is ook vervelend voor andere bedrijven die gewoon binnen Nederland opereren maar daarbij gebruik maken van hosted oplossingen. Iets simpels als Google Apps, wat ik zelf gebruik, is ideaal om je contacten mee bij te houden en je email mee af te handelen. Maar ook hier weer een oplossing die vanuit de USA gecontroleerd wordt. Maar mogelijk dat ook bedrijven die patienten-dossiers opslaan dit (deels) doen in de cloud, en daarbij niet beseffen dat de Cloud servers die ze gebruiken, ook al staan ze in Europa, toch door de FBI of zo uitgelezen kan worden omdat het bedrijf dat de cloud-diensten aanbiedt zich in de USA heeft gevestigd.
Het probleem? We weten eigenlijk niet eens of we nu wel of geen gebruik mogen maken van dergelijke cloud-diensten. En we weten niet eens welke bedrijven nu wel of niet onder deze PATRIOT Act vallen. Denk aan oliemaatschappijen zoals BP of Shell, die ook vestigingen hebben in de USA en hier in Nederland allerlei Freebies of airmiles kaarten aanbieden aan vaste klanten waarop dus persoonsgegevens gecombineerd met betalingsgegevens en algemeen benzineverbruik bijgehouden kunnen worden! Zo kan de FBI zien hoe vaak ik tank, waar ik tank en hoe ik in het algemeen betaal en dat vind ik best wel vervelend. Maar wat vervelender is, is dat criminelen zich wel anoniem weten te houden op het Internet. Ze betalen contant bij de pomp en hebben niet dergelijke kortings-pasjes. Ze weten hoe ze een low profile moeten houden en hoe uit de publiciteit te blijven. Het zijn eerder de eerlijke burgers die op deze wijze allemaal gevolgd kunnen worden. En iedereen heeft wel iets te verbergen, dus niemand hoeft blij te zijn met dergelijke spionage…