Tweeten of hyperlinken naar persoonsgegevens is verwerking

verkeerslicht.jpgIk mag het weer zeggen: OMGWTFWBP. Het publiceren van een tweet of het versturen van een e-mail met daarin een hyperlink naar een pagina waar de naam en kenteken van een auto-eigenaar worden vermeld, is verwerking van die persoonsgegevens, zo meldde Webwereld. In een beschikking over een inzageverzoek bepaalt de rechtbank in Den Bosch dat de site Veilingdeurwaarder inzageverzoeken onder de Wbp moet honoreren, óók voor de mails en tweets over advertenties met daarin persoonsgegevens.

Op Veilingdeurwaarder kunnen deurwaarders advertenties plaatsen ter aankondiging van de executoriale verkopen waarmee zij zijn belast. Per e-mail of op Twitter kun je zien wat er zoal bij komt. Bij verkopen van auto’s worden automatisch de RDW gegevens opgehaald. Plus, naam en nummerbord van de eigenaar worden erbij vermeld in de advertentie. Dat maakt de advertentie een persoonsgegeven inderdaad.

Op grond van de Wbp had de eigenaar van een daar te koop staande advertentie inzage gevraagd in wat Veilingdeurwaarder deed met zijn persoonsgegevens. Met name wilde hij weten wie allemaal die mail had ontvangen en wie de tweet zou hebben gelezen, want ook dat valt onder het wettelijk inzagerecht – dat je altijd hebt als iemand gegevens over je verwerkt (behalve bij journalistieke verwerkingen).

Veilingdeurwaarder verwees naar de deurwaarder die de advertentie had aangeleverd, maar de rechter wijst ze terecht: zíj publiceren dus zíj zijn de verantwoordelijke, in de zin van de Wbp. Dit mede omdat men zelf gegevens verrijkte met RDW-data. Niet als verweer werd gevoerd dat zij slechts een platform zijn, en dus ex 6:196c BW niet aansprakelijk zijn voor wat gebruikers (deurwaarders) plaatsen. Ik weet niet of dat opzettelijk was, maar eerder is bepaald dat die beperking van aansprakelijkheid niet geldt bij publicatie van persoonsgegevens.

En hier is dan de omgwtfwbp:

De rechtbank is tevens van oordeel dat het verzenden van een e-mail of tweet met daarin een directe link naar de advertentie waarin de persoonsgegevens zijn vermeld het verwerken van persoonsgegevens oplevert.

En dat omdat de Wbp ‘verwerken’ definieert als “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens”. Zeggen “ze staan dáár” valt er in een brede interpretatie inderdaad onder. En de Wbp ís zo breed bedoeld. Alles, echt alles, over persoonsgegevens moet eronder vallen. Dus het is niet zo gek dat die rechter tot deze interpretatie komt.

Het levert wel héél veel praktische problemen op. Want wat houdt dat eigenlijk in, inzage in een tweet? Het recht van correctie op een mailinglijst? Moet ik bijhouden wie die tweets leest, hoe dóe ik dat eigenlijk?

Er zit echter een veiligheidsklep in de Wbp: je hoeft geen gedetailleerde inzage te geven wanneer dat juist ándermans privacy zou schenden:

De rechtbank is met Veilingdeurwaarder van oordeel dat Veilingdeurwaarder niet gehouden is naam- en adresgegevens te verstrekken van alle ontvangers van de nieuwsbrief omdat daarmee immers een verregaande inbreuk op de privacy van die ontvangers zou worden gemaakt. Naar het oordeel van de rechtbank kan Veilingdeurwaarder volstaan met het verstrekken van categorieën van ontvangers, welke mogelijkheid uitdrukkelijk is toegestaan op grond van artikel 35.

Je mag dus volstaan met melden dát je het naar je volgers hebt getweet en dat je mailinglijst met 3000 ontvangers ook een link heeft gekregen. Maar dat antwoord moet je wel geven als er naar wordt gevraagd. Ik ben benieuwd hoe veel organisaties niet in staat zijn dat antwoord te produceren. Zou een profielensite weten op welke manier mijn profiel bekeken is en/of hoe de link daarnaar is gedeeld door derden?

Intrigerende vraag nog: moet je nu je tweets beveiligen tegen misbruik? Ook beveiliging moet immers onder de privacywet.

Arnoud

16 reacties

  1. Wat nog een veel verdergaande konsekwentie hiervan zou zijn, is dat voor BIJNA ELKE internetlink (niet voor journalistiek, persoonlijk of artistiek gebruik) vooraf toestemming van de minister benodigd is. Aangezien bijna elke pagina wel een persoonsgegeven bevat (“een gegeven betreffende een identificeerbaar persoon”), valt bijna elke link wel onder de wet, en een openbare internetlink is bestemd voor wereldwijde doorgifte, dus ook naar landen buiten de Europese Unie en de Europese Economische Ruimte, dus treedt (behalve voor journalistiek gebruik e.d.) artikel 76 in werking. Dat zou iets dergelijks verbieden, maar artikel 77 geeft dan situaties aan waaronder er wel toestemming is.

    Als ik dus naar deze pagina wil linken, moet dat volgens een van de uitzonderingen in artikel 77. Nu zie ik in het artikel zelf niet direct persoonsgegevens staan, maar boven het artikel staat dat jij een internetjurist bent. Dat kan ik nog oplossen via 77a1 door jou om toestemming te vragen (het moet ‘ondubbelzinnige’ toestemming zijn, dus ‘hij heeft het zelf op het internet gezet, dat impliceert toch dat hij links ok vindt’ faalt), maar misschien komt er nadat ik de link gemaakt heb wel een reactie bij met een persoonsgegeven erin (bijvoorbeeld: “ik, Andre Engels, ben in leven”), dus denk ik dat 77b de enige overgebleven mogelijkheid blijft…

    Ik heb het al eerder willen zeggen, maar nu opnieuw: De Wet Bescherming Persoonsgegevens is onwerkbaar.

    1. Gelukkig gaat het nog niet zó ver. In het Lindqvist-arrest is expliciet bepaald dat het op internet zetten nog niet automatisch telt als export naar buiten de EU. Ik denk dat we in de handjes mogen knijpen dat dit in 2004 al bepaald is, want vandaag de dag zou de Artikel 29-WG zomaar kunnen bepalen dat dit wél zo moet zijn vanwege effectieve privacybescherming.

      Ik denk dat je in veel situaties wel toestemming mag afleiden uit het feit dat ik dit zelf publiceer (vgl. artikel 23 lid 2 Wbp). Als je me citeert, kun je wellicht ook op de ‘wettelijke plicht’ gaan zitten want je móet van de Auteurswet mijn naam vermelden bij een citaat (art. 15b en 25 Aw).

      En ook denk ik dat de vrijheid van meningsuiting in gevallen als deze best een rol kan spelen. Als mijn mening nieuws is dan kan het niet zo zijn dat ik publicatie daarvan tegen kan gaan met een beroep op mijn privacy.

  2. Interessante beschikking! Je kan je nog wel afvragen of de rechter het hier bij het rechte eind had. Want hoewel “verwerking” wel ziet op zo goed als iedere handeling die kan worden verricht met persoonsgegevens, moet er wel sprake zijn van “enige feitelijke macht” over die persoonsgegevens. Dit betekent dat de ‘verwerking’ gepaard moet gaan met de mogelijkheid daarop (enige) invloed uit te kunnen oefenen. De toelichting bij de Wbp geeft het volgende voorbeeld: “Een telecomoperator die enkel gegevens doorvoert zonder daarop enige invloed uit te kunnen oefenen, verwerkt daarmee geen persoonsgegevens. Wanneer echter bijvoorbeeld een Internet service provider de mogelijkheid heeft het verspreiden van onrechtmatige berichten tegen te gaan, is er wel sprake van mogelijke invloed en daarmee van gegevensverwerking en is daarom de wet volledig van toepassing.”

    De vraag is nu of er in dit geval ook sprake is van een mogelijkheid om enige invloed uit te kunnen oefenen op de persoonsgegevens. Aan de ene kant zou je kunnen zeggen: Nee, want ik heb geen enkele macht over die persoonsgegevens: ik link er alleen maar naar. Aan de andere kant kan je zeggen: door het linken zorg je er voor dat de persoonsgegevens op een bepaalde manier ter beschikking worden gesteld aan de twitter followers – en dáárover heb je wel de feitelijke macht… Wat jullie?

    1. Het (voor de rechter) essentiële punt was dat de website de aangeleverde gegevens “verrijkte” met bij de RDW opgehaalde gegevens. Dat is een bewerking. Daarmee wordt de website een verwerker van persoonsgegevens… Of de persoon ook een inzagerecht had gehad als de website zich beperkt had tot het weergeven van hetgeen de deurwaarder aanlevert kan ik niet zeggen.

      In hoeverre het versturen van alerts (tweet, email) een verwerking van persoonsgegevens inhoudt hangt sterk van het geval af. Ik kan me goed voorstellen dat als je tegen Google zegt “stuur mij een bericht bij nieuws over Arnoud Engelfriet” dat Google daarbij persoonsgegevens verwerkt.

  3. En hier is dan de omgwtfwbp: De rechtbank is tevens van oordeel dat het verzenden van een e-mail of tweet met daarin een directe link naar de advertentie waarin de persoonsgegevens zijn vermeld het verwerken van persoonsgegevens oplevert.

    Het is minder OMG dan het klinkt. Een link is een automatisch volgbare doorverwijzing. In email programma’s en browsers kunnen links natuurlijk al direct worden getoond (bij links naar plaatjes bijvoorbeeld) of bijvoorbeeld via een previewvenster getoond worden als je over de link hovert waarbij de persoonsgegevens dan direct getoond zouden kunnen worden.

    Een html email kan in feite alle inhoudelijke data, zoals persoonsgegevens, via links tonen omdat mailprogramma’s en browser links automatisch volgen en deze in de presentatie van de mail/pagina verwerken.

  4. Een link is een automatisch volgbare doorverwijzing.

    Praten we nu over linken of over hyperlinken? Je hebt het over ‘automatisch volgbaar’. Wat bedoel je daar precies mee?

    In webpagina’s en html-email kunnen zowel hyperlinks als embedded content van externe bronnen staan. Een hyperlink verwijst je door naar externe content, embedded content toont inhoud van externe bronnen.

  5. In het kader van een open data project heb ik recentelijk veel met de data van RDW gewerkt. Ik geloof dat RDW alleen non-persoonlijke informatie deelt. Dus niet eens de kilometerstanden genoteerd bij de APK, aangezien je dan kan uit rekenen hoe veel een auto heeft gereden.

    Het lijkt mij dan ook zeer frappant als de gegevens opgevraagd bij het RDW persoonsgegevens bevatten. Denk daar aan dingen als kleur van de auto en het brandstofgebruik, zeker niet aan naam van eigenaar.

    Dat men beweert bij verrijking met RDW data slechts platform te zijn klinkt mij dan ook redelijk in de oren. Hoe ben je precies persoonsgegevens aan het verwerken als je een nummerbord koppeld aan vrij beschikbare data als: “DatumeersteafgifteNederland”, “Milieuclassificatie” of “Aantalzitplaatsen”?

    Veilingdeurwaarder verwees naar de deurwaarder die de advertentie had aangeleverd, maar de rechter wijst ze terecht: zíj publiceren dus zíj zijn de verantwoordelijke, in de zin van de Wbp. Dit mede omdat men zelf gegevens verrijkte met RDW-data.

    Is het kenteken en “vorige” eigenaar niet alleen de boosdoener? Ik snap de revelantie van de RDW-data verrijking niet. Of je nu in kentekens en eigenaargegevens handelt met of zonder RDW-data verrijking zou niet uit moeten maken? Dat auto met kenteken TE-EST-12 rood of wit is, of 4 of 5 zitplaatsen heeft, doet qua persoonsgegevens toch helemaal niet terzake?

    1. Late reactie, maar dat lijkt mij ook niet. Als dat allemaal onder het verwerken van persoonsgegevens zou vallen, dan zouden we een groot probleem hebben. Als ik bijv. meld dat een bus of trein een bepaald aantal zitplaatsen heeft, dan kan ik worden aangeklaagd door het OV-bedrijf in kwestie? Dus nee, dat gaat mij te ver…

  6. En wat nou als ik een link doorstuur welke verwijst naar een pagina waar iets onschuldigs staat (of wat mij betreft een 404-pagina), en iemand anders plaatst vervolgens alsnog persoonsgegevens op de pagina waar die url uitmondt (buiten mijn weten om). Wat betekent dat dan voor mij in licht van dit vonnis?

  7. Zou je dit nu niet onder de uitzondering ‘journalistieke verwerking’ (art. 3, lid 1 WBP) kunnen laten vallen?

    De geplaatste advertenties zijn uitgebrachte persberichten, die daarna verzameld worden en (al dan niet bewerkt) opnieuw gepubliceerd en verspreid zijn onder ‘abonnees’. En het verwijzen lijkt me nog veel beter te verdedigen als een ‘uitsluitend journalistieke verwerking’.

    Het voordeel is dat de discussie daarna niet meer hoeft te gaan over verwerking, maar kan gaan over het toepasbaar zijn van art. 49 WBP: de mogelijke schade die is geleden in het individuele geval.

    1. Goed punt. Je bent dan meteen klaar met het inzageverzoek want dat blijft buiten werking bij de journalistieke exceptie. En je bent journalist als je

      de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebt, ongeacht het overdrachtsmedium. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen een winstoogmerk hebben.

      Het lijkt me dat melden wat er te koop staat, valt onder bekendmaking van informatie.

  8. Het argument van journalistiek gebruik treft geen doel. Er ligt aan de publicatie geen journalistieke gedachte ten grondslag. De enige gedachte die eraan ten grondslag ligt is geld verdienen aan de advertentie. Niet meer en niet minder.

    Niet alleen veilingdeurwaarder.nl is hier stevig de fout in gegaan, ook de deurwaarder die de advertentie doet plaatsen is fout bezig. De deurwaarder heeft een ambtsgeheim en uitsluitend op grond van de wettelijke bepalingen mag hij pesoonsgegevens aan derden (lees: veilingdeurwaarder.nl) verstrekken. Die wettelijke grondslag ontbreekt. Immers is bij wet heel expliciet bepaalt hoe er gepubliceerd moet worden: de (lokale!) krant. De consequentie hiervan is (in theorie) deze dat iedere gerechtsdeurwaarder die opdracht geeft tot het plaatsen van een advertentie op veilingdeurwaarder.nl een strafbaar feit pleegt. Voor de belastingdeurwaarder telt dat nog zwaarder. Kennelijk heeft daar nog niemand bij stil gestaan.

    1. Er is toch echt sprake van “de bekendmaking aan het publiek van informatie, meningen of ideeën”, en dat gold volgens het Hof van Justitie (Satamedia) ook bij een SMS-dienst waarmee je kon opvragen wat iemands inkomstenbelasting is. Ik zie daar net zo weinig journalistieks aan als “meneer X is failliet en zijn boedel is te koop”, maar als die dienst journalistiek is dan is veilingdeurwaarder.nl het ook. Men maakt informatie bekend, en dan ben je journalist.

      Dat een deurwaarder aan wettelijke geheimhouding is gebonden en het dus alléén in de krant mag zetten, vind ik wel een stevig argument.Het lijkt me wel uit de tijd dan die wet. De strekking van de wet lijkt me dat die informatie breed bekend moet zijn zodat iedereen naar de veiling kan komen, en gezien die strekking hoort publicatie op internet er dan onder te vallen.

      1. De regel is inderdaad volstrekt uit de tijd. Ook lokale kranten zijn via zoekmachines te vinden en worden daarnaast massaal gedigitaliseerd en online aangeboden. Ik ken ‘krantenbanken’ waar de lokale kranten na een jaar volledig doorzoekbaar worden aangeboden. De facto is er geen verschil tussen plaatsen in een krant of online plaatsen. De enige logische en tevens zinvolle maatregel lijkt me dat de publicaties niet te vinden zijn door de gangbare zoekmachines.

  9. Ik vergat nog een aspect: het oordeel van de rechtbank over het niet hoeven verstrekken van de verstrekkingengegevens. Dit oordeel lijkt mij op gespannen voet te staan met het arrest Rijkeboer HvjEU C-553/07. Daarin heeft het HvJ uitgemaakt dat de verstrekkingengegevens verstrekt moeten worden teneinde de betrokkenen (datasubject) in staat te stellen om de rechtmatigheid van de verwerking te controleren. Ik heb die zaak voor Rijkeboer bepleit bij het HvJ en daar stelde de Voorzitter het volgende voorbeeld aan de orde: Stel u vertrekt voor een jaar naar het buitenland zonder bericht daarvan te laten. U komt terug en staat in de gemeente geregistreerd als overleden. Dan wilt u niet allen dat gegeven geredreseerd hebben, maar ook degene die daarvan kennis hebben genomen kunnen achterhalen om hen zelf in kennis te stellen van uw zijn in levende lijve.

    Mijns inziens dient de richtlijn op dit punt zo te worden uitgelegd dat, wanneer feitelijke verstrekkeingengegevens voorhanden zijn, deze ook volledig onder het inzagerecht vallen. Pas als nog geen verstrekkingen hebben plaats gevonden, dan komt in beeld de duiding van de categoriën van ontvangers. Bedenk hierbij dat het HvJ steeds het hoog beschermingsgehalte van de richtlijn voorop stelt.

    Hoe zit het dan met de rechten van de ontvangers? De rechtbank weegt die generiek zwaarder dan het belang van de betrokkene daarvan kennis te mogen nemen. Mij komt dat niet juist voor. Wie zich aanmeldt om persoonsgegevens te ontvangen, kan en behoort zich ook te realiseren dat zijn gegevens als ontvanger aan het datasubject worden verstrekt. Wie dat niet wil, moet ook de gegevens niet willen hebben. Life is all about making choices. Die choice had de verzoekster in deze zaak niet als het ging om de verwerking van haar persoonsgegevens. Zij werd aan de digitale schandpaal van veilingdeurwaarder.nl genageld. Daar doet de onderliggende kwestie (was beslag en aanzegging veiling wel terecht) helemaal niets aan af.

    1. @W.E. van Bentem Ik begrijp dat voorbeeld van de Voorzitter van het HvJ niet. Er zijn heel wat gemeenten die geboorte, huwelijk en overlijden publiceren in het huis-aan-huisblaadje. Hoe kan je dan redelijkerwijs achterhalen wie er allemaal kennis van heeft genomen? Hetzelfde geldt overigens voor faillissementen, zoals u in uw eerdere reactie al meldde.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.