Het Europese Hof van Justitie heeft in een uitspraak bepaald dat de beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien als het gaat om de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. Deze juridische term houdt in dat beide partijen samen bepalen wat er gebeurt met persoonsgegevens, en elk aansprakelijk zijn voor de gehéle verwerking. Was deze blog kort door de bocht, dan ware de conclusie dat iedere Facebookpaginabeheerder dus aansprakelijk is voor wat Facebook doet met gegevens van groepsgenoten. Auw.
De uitspraak (zaak ECLI:EU:C:2018:388) was onder de Richtlijn (en wat wij de Wbp zouden noemen) maar de begrippen zijn onder de AVG hetzelfde, zodat de uitspraak nog steeds van belang is. En uit de feiten maak ik op dat het om de zogeheten fanpagina’s gaat, waarbij je als beheerder bepaalde statistieken te zien krijgt over je bezoekers, waarbij onder meer cookies worden ingezet die tot personen te herleiden zijn.
Een Duitse toezichthouder had een beheerder van zo’n pagina aangesproken op haar plicht bepaalde gegevens te verwijderen, maar die weigerde dat omdat niet zij maar Facebook verantwoordelijk zou zijn hiervoor. Dat leidde tot een rechtszaak die nu bij het Hof van Justitie uitkwam. En die concludeert niet verrassend dat primair Facebook de verantwoordelijke is, omdat Facebook bepaalt hoe haar platform werkt en wat er mogelijk is.
Wél verrassend is dat zij ook de beheerder van zo’n pagina aanmerkt als (mede-)verantwoordelijke. Die besluit immers zo’n pagina op te zetten, waar mensen lid van kunnen worden en zo gegevens achterlaten. Zonder die ingreep waren die persoonsgegevens rondom interesses over die pagina (zeg maar) er niet gekomen, dus daarvoor ligt de verantwoordelijkheid bij deze beheerder. Dat je als beheerder alleen anonieme gegevens krijgt van Facebook, maakt niet uit – in de definitie van gezamenlijk verantwoordelijke staat niet dat je beiden bij alle persoonsgegevens moet kunnen.
De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.
Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.
Arnoud
Betekent dit dat we binnenkort op elk social media account van organisaties een bericht gaan zien wat ze met onze gegevens doen? Niemand zit op die spam te wachten denk ik. Valt me trouwens ook op dat het op dit blog verplicht is om je email in te vullen om een reactie te plaatsen maar ik zie nergens staan wat je met dat gegeven doet.
Ik doe niets met je mailadres (behalve het functionele stuk van je herkennen als vaste reageerder, iets dat ik volgens mij niet hoef uit te leggen).
Betekent dat dat we binnenkort op elk social media account van organisaties een bericht gaan zien met wat ze met onze gegevens doen? Niemand zit op die spam te wachten denk ik. Het viel me trouwens ook op dat het op dit blog verplicht is om je email in te vullen om een reactie te plaatsen, maar ik zie nergens wat je ermee doet.
Ook wel benieuwd eigenlijk 🙂
Ah, ik zie dat hier dit een dubbele reactie en het antwoord boven al staat. Denk wel nog steeds iets wat je moet melden, maar inderdaad niet zo belangrijk.
Het gaat wat ver om te zeggen dat ik op nog meer toestemmingsmails zit te wachten, maar ik zie het zeker als positief: het is voor mij een indicatie dat al deze partijen eindelijk eens worden gedwongen na te denken over hun keuze voor een communicatieplatform.
Nu kiezen veel organisaties voor een communicatieplatform dat wordt betaald met direct marketing aan de gebruikers. Dat is een bewuste keuze. Ze hadden ook voor een andere communicatieplatform kunnen kiezen. Als ik mijn ledenadministratie uitbesteed aan Sjonnies Roekeloze Boekhouding B.V. dan mag ik daar ook op aangesproken worden. Waarom zou dat voor het uitbesteden van mijn communicatieplatform aan Facebook anders zijn?
Je kiest als organisatie niet echt een communicatieplatform. Je zult een platform moeten gebruiken waar het gros van je geadresseerden gebruik van maakt. Juist deze platformen lopen zwalkend langs de randjes van de AVG en zullen de gaten gebruiken als ze die vinden, terwijl de kleine ondernemer met een immens probleem wordt opgezadeld terwijl die geen vlieg kwaad doet.
Een beetje gek en grenzend aan politiek lijkt mij deze uitspraak wel. De definitie van verantwoordelijke is immers diegene die zowel doel als middelen bepaalt en dat zijn dan nog drie cumulatieve vereisten ook. Zelf heb ik nooit een Facebook pagina beheert dus ik hoor het graag als ik het fout heb, maar voor zover mij bekend heeft de beheerder toch geen enkele invloed op het wel of niet plaatsen van deze cookies, laat staan waar zij voor gebruikt worden? Dat de resultaten van die tracking functionaliteiten gedeeltelijk met de beheerder worden gedeeld heeft volgens mij niets te maken met de uiteindelijke vraag of deze daar invloed op heeft. Tenzij er een element van keuzevrijheid is kan ik deze uitspraak dan ook enkel duiden middels de quasi-politieke boodschap dat je maar beter uit kan kijken welke diensten je gebruikt, straks ben je onbedoeld ook verantwoordelijk voor wat zij stiekem uitvreten. Hoe gepast dit is betwijfel ik echter ten zeerste.
Als je de uitspraak leest, wordt er specifiek ingegaan op ‘doel en middelen’ (r.o. 31 e.v.).
En als je een besloten Facebook groep maakt. Zou dat verschil uitmaken?
Dat betwijfel ik. Het gaat er volgens mij om dat jij Facebook inzet om meer gegevens te verzamelen van je bezoekers/fans/deelnemers. Of die groep nou open is of dicht, er zijn mensen die lid zijn van de groep.
Is dat niet iets te kort door de bocht? In de wetsgeschiedenis bij de Wbp (imo door te trekken naar de AVG) werden drie vormen van gezamenlijke verantwoordelijkheid onderscheiden: van samen geheel verantwoordelijk (en aansprakelijk) voor de gehele verwerking tot ieder ‘los’ verantwoordelijk voor hun eigen deelverwerkingen (waarbij die deelverwerkingen samen dan weer de gehele verwerking vormen). Het Hof lijkt verderop in de uitspraak impliciet naar een variant van laatstgenoemde vorm te verwijzen.
Ik lees de uitspraak van het Hof (heel erg platgeslagen en ietwat ongenuanceerd) als dat je zelf verantwoordelijk bent voor dat waar je invloed op hebt. En dat de mate waarin je verantwoordelijk bent mede afhangt van de mate waarin je invloed uitoefent.maar Dat beheerder hier geen invloed heeft op de feitelijke analyse achter Insights betekent niet dat hij geen trigger is die ervoor zorgt dat deze inzichten geproduceerd worden. Niet verantwoordelijk voor de analyse, wel medeverantwoordelijk voor het informeren van het publiek dat er analyse plaatsvindt.
Overigens spreek je als beheerder ook met Facebook af dat je een rol hebt in het informeren van het publiek, maarja, ik snap ook wel dat geen hond die voorwaarden leest.