Hoe ver reiken de tengels van de Wet bescherming persoonsgegevens?

wbp-west-bengal-policeMijn blog van vorige week over de RET-tweet maakte nogal wat los – op het stukje “je mag sollicitanten niet zomaar googelen want dat valt onder de Wet bescherming persoonsgegevens”. In de comments bleek het nog erger: je mag geen Twitterberichten lezen zonder het apart te vragen, “hoi Wim” op een blog is een overtreding en zonder dringende noodzaak mag je personen niet googelen.

De Wbp is gemaakt als een algemene wet, die in principe alle vormen van gebruik van persoonsgegevens wil reguleren zodat personen de controle over hun gegevens kunnen uitoefenen. Een beetje zoals de Auteurswet rechthebbenden macht wil geven door iedere kopie en iedere publicatie onder de wet te reguleren. Vanuit dat perspectief is het dus niet gek dat de Wbp altijd geldt, dat is een feature.

Vaak wordt gedacht dat de Wbp alleen geldt bij grootschalige opslag of gebruik in bestanden of databases. Dat klopt half: als je op papier persoonsgegevens verwerkt, dan geldt de wet pas als je dat in een bestand doet. Verwerk je echter elektronisch, dan is het hebben van een database volstrekt irrelevant. Een grote dikke Big Data database is dus gedekt door de wet, maar ook de zinsnede “hoi Wim” in deze blog omdat dit over een persoon gaat. Zet ik die zin op een briefje, dan valt dat briefje buiten de Wbp.

De enige echte uitzondering die ik kan bedenken voor de internetsituatie, is die voor strikt persoonlijk gebruik. Je adresboek of privécloudbestand met gegevens van anderen valt dus buiten de Wbp. Een strikt afgesloten webdienst met persoonsgegevens die wederom alleen toegankelijk is voor familie en huisgenoten denk ik ook nog wel. Maar vereist hierbij is wel dat het écht een privésituatie betreft. Activiteiten op internet lijken niet snel een privésituatie te betreffen. Zie de Hof van Justitie-uitspraak over het verzamelen van camerabeelden en veel eerder het Lindqvist-arrest waarin “De vrijwilligersbijeenkomst gaat niet door want mevrouw Lindqvist heeft haar enkel verstuikt” op de homepage van een kerk een verwerking van persoonsgegevens werd geacht.

Er is ook een uitzondering voor journalistieke verwerkingen, maar die komt er eigenlijk op neer dat mensen geen inzage en correctie kunnen eisen in hun persoonsgegevens. Dit is dus waarom je eigenlijk geen verwijdering uit krantenarchieven zou moeten kunnen eisen. Bij Google wel – Google is geen journalist. Zie ook de discussie over Kleintje Muurkrant dat op grond van de Wbp werd aangepakt (maar het op inhoud won).

Maar allerlei verwerkingen zijn toch vrijgesteld? Ja, alleen betekent dat niet meer dan dat je niet tegen het Cbp hoeft te zeggen dat je die verwerkingen uitvoert. Je moet nog steeds een grondslag hebben.

Ai. De Wbp geldt dus altijd op internet. Mag je dan niet eens meer mensen begroeten op je blog zonder toestemming?

Nou, niet helemaal. De Wbp zegt dat er zes gronden zijn, waarvan de belangrijkste zijn:

  1. Toestemming
  2. Uitvoering van een overeenkomst
  3. Een eigen dringende noodzaak

Toestemming is de hoofdregel, maar als je één van de andere gronden kunt onderbouwen dan is dat ook goed. Een webwinkel hoeft écht geen toestemming te vragen om je naam en adres naar een leverancier te mailen zodat jij het bestelde pakketje geleverd krijgt. Dat is gewoon nodig om de koopovereenkomst na te komen. Ik zie daar wel de nodige analogieën voor op internet: wie zijn naam in het reactieformulier hieronder invult, krijgt zijn naam op internet gepubliceerd. Dat is gewoon nodig om je reactie te publiceren. En ja, ‘gewoon’ is voor discussie vatbaar – zie ook Privacy en een goede uitvoering van de overeenkomst.

Als restcategorie is er dan nog de eigen dringende noodzaak. Als toestemming eigenlijk niet haalbaar is en jij een legitiem belang hebt dat zwaarder weegt dan de privacy van de persoon wiens gegevens je gebruikt, dan mag het – mits je maar alles doet om die privacy zo veel mogelijk te waarborgen. Om die reden mag ik IP-adressen loggen om hackpogingen te detecteren. Ik hoef geen toestemming te vragen, maar ik mag die gegevens niet zomaar publiceren of gebruiken voor andere doelen. Google Analytics valt ook onder dit legitiem belang, mits je een paar maatregelen neemt vanuit die privacywaarborg.

Valt “hoi Wim” daar nu ook onder? Is het nódig dat ik dat zeg? Ik meen van wel: vrijheid van meningsuiting is een grondrecht en dús een legitiem belang. Ik mag zeggen wat ik wil, en ik hoef daar geen belang voor aan te dragen. Maar ja, dan krijg je een botsing met de privacywet die zegt dat je niet zomaar iemands gegevens mag verwerken. En dát is waar de pijn in de Wbp zit. Je moet dan kort gezegd aantonen dat jouw publicatie belangrijker is dan de privacy van de persoon over wie je schrijft. Toch een belangenafweging dus.

In de praktijk komt die belangenafweging denk ik gewoon neer op de vraag “Is het rechtmatig om dit te publiceren”. Dat bepaalde het Hof Den Bosch een paar jaar terug, en dat is wel een werkbaar compromis. Er is geen aparte route via de Wbp – als je het mag zeggen, vindt de Wbp het ook goed, en als je het niet mocht zeggen, dan wordt de Wbp ook boos.

Dus ja, de Wbp geldt altijd. Maar toestemming hoef je niet altijd te hebben.

Arnoud

20 reacties

  1. Voor de WBP moet toch ook gelden dat het herleidbaar moet zijn naar een uniek identificeerbaar persoon? Anders zou het melden van enkel “iemand uit Amsterdam” ook al identificerend (genoeg) zijn. (Alle Wimmen in de wereld versus alle inwoners van Amsterdam.) Klok->klepel…

  2. je mag sollicitanten niet zomaar googelen want dat valt onder de Wet bescherming persoonsgegevens”.

    Dat is niet helemaal juist. Volgens de WBP zijn bepalde verwerkingen mbt sollictanten uigezonders mag je mag dus op zoek naar iemands CV’s gegevens om de geschiktheid van die persoon te bepalen voor de functie zonder dat het in cconflict is met de WPB. Dus op bijvoorbeeld linkedin mag je vrolijk rondbanjeren om informatie van je sollicitanten te zoeken. Dat valt niet binnen de WBP. Tja, en dat je dan ook allerlei bijvangst tegenkomt bij een internetzoekopdracht naar die gegevens is natuurlijk onoverkomelijk….

    1. Het is onjuist dat “bepaalde verwerkingen mbt sollicitanten uitgezonderd zijn” van de Wbp. Je mag zeer zeker niet op zoek naar iemands CV gegevens zonder dat onder de Wbp te rechtvaardigen.

      Er is een vrijstellingsbesluit maar dat gaat ALLEEN over de vrijstelling van het moeten melden van de verwerking. Het betekent zeer zeker niet dat je vrijgesteld bent van de Wbp. Zie artikel 29 lid 1 Wbp waarin de basis voor vrijstellingen geregeld is.

      1. Ik zou zeggen een dringende eigen noodzaak. Immers, we hebben gezien dat zelfs heel publieke figuren het soms niet zo naauw nemen met hun CV.

        Als iemand dus voorgaande werkgevers en publicaties noemt is er een belang om dat te verifiëren. En ja daar krijg je allerlei bijvangst bij, maar wat ga je daar tegen doen? En al helemaal als de HR medewerker dit alleen leest en verder niet in een eigen dossier vastlegt?

  3. Google Analytics valt ook onder dit legitiem belang […]

    Maakt het nog uit of ik die persoonsgegevens helemaal zelf verwerkt, of dat ik ze met derden deel? Google Analytics is natuurlijk erg handig, maar het lijkt me geen noodzaak om persoonsgegevens met Google te delen, want je kán je bezoekersstatistieken ook prima zelf bijhouden met Piwik o.i.d.

    1. Als ik het me goed herinner mag je jouw (rechtmatige) verwerking uitbesteden aan een derde, maar dan is er wel een contract nodig waarin die derde zich verplicht om jouw gegevens conform de regels van de WBP te verwerken en te beschermen.

  4. 2. Uitvoering van een overeenkomst
    Hier denk ik dus meteen aan de RET-kwestie. De betreffende leerling had zijn account namelijk aan die van de RET gekoppeld (volgeling plus in profiel) zodat de RET dit als een overeenkomst kon zien. Immers, volgelingen willen contact met diegenen die ze volgen. Tja, en als de volgeling dan rare dingen gaat zeggen dan lijkt het mij dat dit gevolgen heeft voor de relatie. Ofwel, de RET kon hem ontslaan/eruit schoppen.

    Maar ik ben ook benieuwd in hoeverre de Wbp opgaat voor een alias. Neem b.v. Mathfox. Ik denk niet dat dit zijn echte naam is dus is het de vraag of een alias ook een persoonsgegeven is. De alias is immers te herleiden naar een persoon. En wat indien meerdere personen dezelfde alias gebruiken? Dan is deze nog steeds herleidbaar naar een kleine groep personen. Het is de benaming van een kleine groep, dus is het een persoonsgegeven? Gaan we het interessanter maken en praten over alle reaguurders op IusMentis. Dat is zowat een alias voor een groep van personen en zou dus ook gezien kunnen worden als persoonsgegevens. Gaan we het groter maken: alle Amsterdammers. Is dat nog een persoonsgegeven? Nou ja, op een gegeven moment beginnen mensen wel te giechelen… 🙂

    Wat ik wil aangeven is dat de Wbp volgens mij gerelateerd is aan hoe duidelijk een gegeven verwijst naar een enkele persoon. Amsterdammers zijn toffe mensen maar dat is nauwelijks nog een persoonsgegeven te noemen. “Wim is een toffe kerel” is ook niet echt een persoonsgegeven omdat er best veel mensen zijn die Wim heten. Maar “Wim van IusMentis is een toffe kerel” komt al aardig dicht in de buurt van een persoonsgegeven. Mensen weten dan al bijna zeker welke Wim je bedoelt.

    Maar dan weer terug naar de ICT. Ik denk dan aan het spelletje Eve Online waar duizenden mensen aan meedoen om rond te vliegen in ruimteschepen om elkaar om zeep te knallen. Leuk spel, inclusief een API waarmee gegevens uit het spel opgevraagd kunnen worden voor verdere verwerking door eenieder met interesse in de gegevens. En nee, je echte persoonsgegevens vallen daar niet omder maar wat er wel onder valt is je alias en hoe vaak je alias al is gesneuveld en wat je alias daarbij heeft verloren. Plus nog een hoop meer aan gegevens. En nu dus toch weer de vraag of een alias een persoonsgegeven is, omdat deze aan een speler is verbonden.

    En dan de grotere vraag: moet eenieder die de API gebruikt dit ook melden aan alle spelers? Of alleen aan de makers van Eve zelf? Of moet Eve zelf dit duidelijk maken aan alle spelers?

    Of een andere variant: Second Life (Nee, niet “love”, “life!” Is dat geen handelsnaaminbreuk?) Een ander spel met veel minder geweld (maar voorheen enorm veel seks) waar mensen hun eigen wereld kunnen bouwen. En dankzij OpenSim kan iedereen zijn eigen simulator opzetten en daarbinnen van alles opbouwen. (Gratis! Open-Source!) Maar in deze sim-wereld kun je ook scripts uitvoeren die weer kunnen communiceren met Web API’s en sites. En via scripts kun je informatie opvragen over alle bezoekers die je tegenkomt inclusief de informatie die spelers over zichzelf vrijgeven in hun profiel. Al die gegevens kunnen dus worden verzameld en worden verwerkt zonder dat hier eigenlijk enige controle op zit. Dus ook hier de vraag in hoeverre de Wbp enige bescherming kan bieden… En wie er uiteindelijk verantwoordelijk is voor die verwerkingen…

    1. Van een heleboel hardcore EVE spelers is de koppeling nvan Avatar naar RL naam al gemaakt. Onder andere vanwege de vele forum hacks tussen allianties onderling en spionnen die deze gegevens openbaar maken. Alles wat deze mensen onder hun avatar op de Eve forums plaatsen is in principe dus een persoonsgegeven, want te herleiden tot een individu.

  5. Arnoud, volgens mij vergeet je nog een belangrijk aspect. Waar de discussie vorige ook gedeeltelijk over ging is: mag je iets lezen wat gepubliceerd is, al herpubliceer je het niet, en bewaar je het niet eens.

    Het lezen is al verwerken, en het geschrevene is impliciet een persoonsgegeven: de mening van de auteur.

    Dus als iemand (in de electronische krant, of in een forum, of wherever) bijvoorbeeld pleit voor hogere minimumlonen, heb je al een persoonsgegeven te pakken: de auteur vindt dat de minimumlonen te laag zijn. Het gaat er dan niet om dat er een persoonsgegeven expliciet in de publicatie staat (mevrouw jansen is ziek), het gaat erom dat uit de publicatie zelf blijkt dat de schrijver een linkse rakker is.

    Of iemand schrijft iets voor een postzegelverzamelblog: de auteur is blijkbaar filatelist.

    En daar zit het probleem: puur het lezen van een artikel waarvan de auteur te identificeren is, zelfs als dat artikel expliciet voor publicatie bestemd is, maakt dat je al onder de WBP valt.

    Het is natuurlijk niet doenbaar om bij iedere klik weer een nieuwe belangenafweging te maken. En dan zit je ook nog met het probleem dat je de belangenafweging alleen maar kunt maken nadat je het artikel gelezen hebt.

    Je zou kunnen zeggen dat dit onder de vrijheid van nieuwsgaring valt, maar toch….

    1. Klopt. Je moet dus binnen de Wbp zoeken naar een rechtvaardiging om dit te mogen doen. Ik zou in dit soort situaties dan al heel snel op het dringend belang gaan zitten, de vrijheid van meningsuiting omvat immers ook het mogen ontvangen van informatie.

      Het liefst zou je zeggen, door dit zelf te publiceren gaf je toestemming voor het lezen. Alleen moet toestemming specifiek worden gegeven, dus daar zit echt nog wel ruimte voor discussie.

    1. Het lijkt mij dat een incassobureau sowieso niet je gegevens mag blijven bewaren. Ze handelen namelijk alleen in opdracht van de schuldeiser. Als de opdracht ongeldig blijkt of zodra je de schuld hebt betaald heeft het incassobureau verder niets meer te doen met jou. De enige gegevens die van belang zijn, zijn die van de opdrachtgever voor wie ze een opdracht hebben uitgevoerd. De gegevens van de schuldenaar zijn alleen van belang voor de schuldeiser… Maar goed, misschien denk ik hier te simpel over. 🙂 IANAL.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.