Wacht even, nu gaan privacytoezichthouders ook al notice/takedown verzoeken doen?

De Ierse privacytoezichthouder DPC heeft noyb, de organisatie van privacyactivist Max Schrems, een take down request gestuurd waarin wordt verzocht een document te verwijderen. Dat meldde Security.nl vorige week. Het document is het conceptbesluit op noyb’s handhavingsverzoek tegen Facebook, waarin een opmerkelijke interpretatie van de AVG wordt geïntroduceerd die een joekel van een loophole oplevert. De DPC wil deze publicatie offline omdat ze interfereert met het overlegproces om het besluit te finaliseren.

Er is al jaren kritiek op de Ierse privacytoezichthouder omdat het niet zou optreden tegen techbedrijven, die vaak in Ierland hun Europees hoofdkantoor hebben. Iets wat de DPC ontkent. De nieuwe kritiek gaat over de opmerkelijke draai die Facebook op 25 mei 2018 maakte: vanaf toen hoefde niemand meer toestemming te geven onder de AVG voor wat Facebook deed, dat was sindsdien namelijk allemaal een noodzakelijk deel van de dienstverlening en voor verwerkingen die nodig voor een contractsuitvoering zijn, is geen toestemming nodig.

Ik ken werkelijk niemand behalve Facebook die met een serieus gezicht volhoudt dat “als wij in de voorwaarden zetten dat het nodig is, dan is het nodig” een valide interpretatie van de AVG is. Maar goed, nu dus de Ierse toezichthouder ook. Ik snap dus wel dat iemand als Schrems daar een publicatie over doet.

Dat valt juridisch een beetje slecht, want formeel is deze interpretatie van de DPC (disclaimer: er zijn geen aanwijzingen dat Facebook het conceptbesluit heeft voorgekookt of geschreven) slechts een concept, dat nu gedeeld wordt met belanghebbenden en andere toezichthouders, die dan commentaar mogen leveren, waarna er een definitief, openbaar besluit komt. Het is niet heel gebruikelijk dat conceptbesluiten in de pers komen, want er kunnen immers fouten in staan, slordigheden en ga zo maar door. Precies daarom wil je feedback verwerken voor je het besluit oplegt.

In veel procedures zijn dan ook expliciete geheimhoudingsregels opgenomen. De AVG kent die niet, en ook in de Ierse Uitvoeringswet AVG kan ik zoiets niet vinden. De DPC verwijst naar artikel 26 daarvan, maar zo te lezen gaat dat alleen over medewerkers van de DPC. Desondanks is de takedownbrief heel stellig: weg met die publicatie, en wel meteen. Maar wie als cynische jurist leest, komt tot de conclusie dat er veel bangmakerij staat maar géén “op grond van artikel 26 van de wet beveel ik u”. En reken maar dat een jurist die zin opneemt als hij daar aanleiding toe ziet, weinig dingen zo heerlijk als keihard in je recht te staan en met wapperende toga de wederpartij tot de orde te roepen.

De discussie wordt wat complex omdat noyb in de eerdere onderzoeksfase had toegezegd documenten vrijwillig geheim te houden om het onderzoek niet te schaden. De DPC citeert passages van noyb die zonder voorbehoud lijken te zeggen dat men die documenten gewoon, altijd geheim zal houden. noyb stelt daar tegenover dat de volledige toezeggingsmails duidelijk maken dat het alleen ging om de onderzoeksfase, die ondertussen allang is afgerond.

Ondertussen is het mij een raadsel wat de DPC dacht te bereiken nu hun conceptbesluit al wereldnieuws bleek te zijn geworden toen men de boze brief ging sturen.

Arnoud

15 reacties

  1. We zien allemaal dat het gedrag van de Ierse privacytoezichthouder DPC niet consistent is met het publiek belang en de betreffende wetgeving. Ik zou zeggen een duidelijke aanwijzing dat deze instelling door-en-door corrupt is, en de belangen van grote bedrijven (en bepaalde departementen in de Ierse overheid) voor laten gaan. Daarnaast zijn ze ook nog eens behoorlijk incompetent, juist door zo’n take-down te sturen naar een club waar je van op je vingers kunt natellen dat ze het aan de grote klok zullen hangen. Nog nooit gehoord van het Streisand effect (tenzij er een idealistische ambtenaar bij zit die dit bewust doet).

    Zelfs als ze het al van hun eigen server afhalen, dan nog zijn er nu genoeg partijen van op de hoogte dat dit nooit meer weggestopt kan worden, en dat is precies de bedoeling.

    1. Precies, wilde het Streisand-effect ook noemen. Niet wrijven in een vlek en zo. De DPC staat hier in z’n hemd en niet in z’n recht, dat moge duidelijk zijn. Ben benieuwd of er in Ierland ook WOB-verzoeken mogelijk zijn. Zou interessant zijn om te zien hoe men op dit idee gekomen is, wellicht door een externe partij??

  2. Ik ken werkelijk niemand behalve Facebook die met een serieus gezicht volhoudt dat “als wij in de voorwaarden zetten dat het nodig is, dan is het nodig” een valide interpretatie van de AVG is.

    Behalve dus de Ierse AP en de rechters in Oostenrijk in een zaak van Schrems?

  3. Je moet het die juristen van Facebook wel nageven, het is creatief bedacht. Je zegt gewoon dat een van de doelen van je dienst is om de gebruiker op de persoon afgestemde advertenties te tonen (uiteraard zorgvuldig vermomd in de voorwaarden en opgesteld in legalese), en ineens zijn al je tracking-technieken noodzakelijk geworden. Tijd voor stevige handhaving. Persoonlijk heb ik geen facebook, maar ik ken voldoende mensen die het wel hebben. Ik vind ook dat zo’n soort businessmodel moet kunnen, mits, en daar zit ‘m het probleem, mits het voor de consument volkomen duidelijk is wat die dienst precies doet en hoe die dat doet. Dat alles opgesteld in eenvoudige, begrijpelijke taal, niet weggemoffeld, en met eenvoudige manieren om dingen aan of uit te zetten zonder druk om dingen toe te staan. Ik denk dat het een goed idee zou zijn als er Europese wetgeving komt die het dit soort socialmedia-bedrijven verplicht om, naast het gangbare “advertenties gebaseerd op tracking”, ook een betaalde versie aan te bieden zonder al die tracking, advertenties e.d. De prijs daarvan moet dan aantoonbaar vergelijkbaar zijn met wat het bedrijf aan al die advertenties verdient. Consumenten krijgen pas dan een daadwerkelijke eerlijke keuze: betaal met je privacy en persoonsgegevens, of betaal met geld.

    1. Aardig idee, maar hoe scheid je de betalende en niet betalende gebruikers, want Facebook verweeft de input van alle gebruikers in een constante stroom aan berichten, waartussen ze hun reclame dumpen. (zo-wie-zo al een probleem voor niet-gebruikers die genoemd worden of verschijnen in foto’s of video’s).

      1. Zoals andere sites die een betaaloptie hebben dat ook doen. Als je op die site of in die app inlogt dan weet die client dat je een betaald account hebt, en laat dan simpelweg geen advertenties zien en plaatst alleen de echt technisch noodzakelijke cookies. Er zijn voldoende online diensten waarbij dat prima werkt. Als je die site bezoekt zonder betaald account krijg je wel advertenties. Het issue met derden die in foto’s en zo verschijnen los je hier inderdaad niet mee op, maar dat is ook een ander (en meer fundamenteel) probleem.

    2. Nog belangrijker, hoe maak je onderscheid tussen Facebook gebruikers en niet-Facebook gebruikers. Voor zover tot nu toe bekend, maakt Facebook een tracking informatie aan voor eenieder die een pagina bezoekt, waar een link naar Facebook op staat. Dus als ze stellen, dat het noodzakelijk is, kunnen ze dat alleen hard maken voor mensen cie Facebook actief gebruiken en door het accepteren van de voorwaarden hebben aangegeven. Dit even er vanaf gezien, dat het voor de meesten waarschijnlijk in volkomen onbegruipelijk keterwaals vermeld staat.

    3. Dat lijkt min of meer het model dat Tweakers hanteert: of 3d party cookies accepteren, of een betaald abo nemen. Prima opzet, w.m.b.

      De prijs daarvan moet dan aantoonbaar vergelijkbaar zijn met wat het bedrijf aan al die advertenties verdient
      Inderdaad moet de prijs reëel zijn, anders het geen echte keuze. Is wel lastig, omdat die advertentieomzet vast deels afhankelijk is van de hoeveelheid getrackte mensen. Als de helft gaat betalen (en dat zal dan de rijkere helft v/d wereld zijn..), wordt de omzet per niet-betaler ongetwijfeld lager.

      1. Zeker, maar dat moet op te lossen zijn. Die prijs hoeft ook niet tot in de eeuwigheid fixed te zijn natuurlijk, die kan best eenmaal per jaar aangepast worden. Verder controle door een accountant, uitleg in het jaarverslag, en een onafhankelijke toezichthouder (de reeds bestaande AP’s). Sommige sites hebben al zo’n model zonder wetgeving, dus het moet relatief eenvoudig te implementeren zijn en voor die partijen is het blijkbaar zelfs een positieve businesscase.

      2. Heeft de AP al eens (formeel) geoordeeld over die manier van keuzevrijheid? Met andere woorden: is nog wel sprake van een vrije toestemming (overweging 42) als een een keuze is tussen tracking-cookies, een betaald abonnement en géén toegang?

        1. De DSB uit Oostenrijk heeft al wel eens beslist dat de keuze tussen tracking-cookies, een abonnement van 6 euro per maand, of geen toegang, toegestaan is. (Duitstalige) uitspraak uit 2018 of Engelstalig commentaar op noyb.eu. Noyb.eu is het daar niet mee eens, en heeft eerder dit jaar bezwaar tegen 7 niewswebsites met een cookie paywall ingediend.

          De AP heeft slechts bepaald dat een cookiewall niet toegestaan is, dus de keuze tussen cookies of geen toegang.

  4. Interessant weer, dit. Die goeie ouwe DPC toch. Moest wel lachen om “…weinig dingen zo heerlijk als keihard in je recht te staan en met wapperende toga de wederpartij tot de orde te roepen.” Ben benieuwd hoe dit verder gaat en of dit muisje nog een staart krijgt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.