Overheden verzamelen op grote schaal tweets zonder gebruikers te informeren

| AE 13617 | Privacy | 40 reacties

Overheidsinstanties zoals het ministerie van sociale zaken, de Belastingdienst en de Nederlandse Voedsel- en Warenautoriteit (NVWA) verzamelen op grote schaal tweets over onder andere hun beleid zonder Twittergebruikers hierover te informeren. Dat meldde Security.nl onlangs op gezag van onderzoek door AG Connect en Trouw. Het gaat om sentimentanalyse, data-analyse waarbij bakken met tweets zeg maar als “positief” of “negatief” worden gelabeld zodat je kunt zien hoe je beleid valt bij de mensen. Ook hier heerst dus die misvatting dat dat mag omdat Twitter openbaar is. Kunnen we eens ophouden met “ja maar openbare bron” als argument?

Het idee achter sentimentanalyse is dat je op basis van grote datasets de werkelijkheid kunt meten, en dat dat een stuk goedkoper/makkelijker is dan steeds een enquête eruit doen of 1200 Nederlands bellen. Waar zeker wat in zit, en we hebben ook genoeg tools (zoals van Microsoft) die op basis van statistische tekstanalyse kunnen zeggen of een tweet over een onderwerp gaat en daar dan positief of negatief over is. Dat kun je dan over de tijd meten, groeperen naar locatie van gebruikers (Randstad versus de provincie, bijvoorbeeld), groei of daling signaleren en ga zo maar door.

Punt is natuurlijk wel, dat begint allemaal bij een enorme verzameling berichten van Twitter. En tweets (met Twitternaam) zijn nu eenmaal persoonsgegevens en dus valt het verzamelen en tot sentimenten omturnen van die gegevens onder de AVG. Mag dat? Ja, in principe wel: dit is een vorm van wetenschappelijk en statistisch onderzoek en dat kun je binnen de grondslag van het gerechtvaardigd belang (art. 6 lid 1 sub f AVG) prima rechtvaardigen. (Ook bij overheden, omdat dit niet gaat om uitoefening van een publiekrechtelijke taak.) Toestemming van de twitteraars is dus niet nodig.

Wat wél nodig is, is dat mensen worden geïnformeerd over dit verdere gebruik. Dat staat gewoon in de AVG, en is iets dat altijd moet bij data harvesting. Ik geef toe dat dit bij een klantanalyse wat makkelijker is, daar zet je het in je privacyverklaring of je stuurt een update in het portaal. Bij dit soort gebruik van Twitterdata is er maar één manier en dat is iedereen een tweet sturen (DM’s sturen kan niet altijd). Daar zouden we gek van worden als iedereen dat deed, maar dat is voor een individuele organisatie niet disproportioneel of onmogelijk. (Bij data-verzameling met een drone of sensoren op straat is het natuurlijk een ander verhaal qua complexiteit, dus dan is een bordje of banner genoeg.)

Ik zie in de reacties her en der boosheid met het argument “kom op, Twitter is openbaar en iedereen doet het”. Dat laatste is vast waar, maar verandert niets aan het punt dat de makkelijke toegankelijkheid van de bron géén argument is onder de AVG. Je bent niet vogelvrij omdat men kan scrapen zonder ingewikkelde contracten of toelatingsprocedure. En vanuit juridisch perspectief zou dat ook heel raar zijn, dat het legaal is om iets te doen omdat het heel makkelijk is, en dat alleen bij moeilijk scrapen je mensen zou moeten gaan informeren of zo?

Arnoud

 

Deel dit artikel

  1. Ik was je toch nog even kwijt bij “tweets zijn nu eenmaal persoonsgegevens”. Misschien nog als je de afzender (Twitterhandle) betrekt in het onderzoek, maar de tweet zelf? “Ik ben echt tegen glasbakken in ons dorp”, hoe is dat “nu eenmaal persoonsgegevens”? Rek je dan de definitie niet erg ver op?

  2. Je zou naar analogie kunnen proberen aansluiting te zoeken bij BW 5:19, het prijsgeven van roerende zaken, en argumenteren dat de privacyaspecten van kennelijk zijn prijsgegeven door het plaatsen op twitter.

    Je zou ook kunnen argumenteren dat de gemiddelde tweet zodanig laag scoort op privacy-gerelateerde aspecten, en niet individueel gebruikt wordt maar als onderdeel van een grotere analyse, dat een dergelijk gebruik sowieso buiten het werkingsgebied van de AVG valt (waar Thijs ook al op hint). Met andere woorden: de individuele tweet is slechts ruis, de analyse leidt (mogelijk) tot patronen in de ruis.

  3. Gaat het hier niet juist om de uitvoering van een publieke taak? Verwerking buiten de publieke taak lijkt mij – om het klassieke voorbeeld de 21e eeuw in te sleuren – de burgemeester die berichten op Twitter analyseert om uit te vinden waar hij de beste pennen kan kopen voor zijn ambtenaren. In dat voorbeeld is de analyse van Twitterberichten m.i. onderdeel van een privaatrechtelijke handeling van een bestuursorgaan/ambtsdrager. Maar een overheidsorgaan dat berichten analyseert om te kunnen bepalen hoe onderdanen aankijken tegen de wijze waarop die overheid zijn publiek rechtelijke taak uitvoert, lijkt mij dusdanig verweven met die publiek rechtelijke taak, dat de analyse onlosmakelijk is verbonden met die publieke taak.

  4. Wat wél nodig is, is dat mensen worden geïnformeerd over dit verdere gebruik. Dat staat gewoon in de AVG, en is iets dat altijd moet bij data harvesting

    AVG artikel 14.5(b) zegt (…) niet van toepassing wanneer en voor zover (…) het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen

    Dan zeg jij “Bij dit soort gebruik van Twitterdata is er maar één manier en dat is iedereen een tweet sturen (DM’s sturen kan niet altijd). Daar zouden we gek van worden als iedereen dat deed, maar dat is voor een individuele organisatie niet disproportioneel of onmogelijk”

    Maar dat betwijfel ik. Iedereen een bericht sturen lijkt me wel disproportioneel, en met rate limits en Twitter AV wellicht ook onmogelijk.

  5. Toen het (in de media) een paar maanden terug ging over het ‘volgen van burgers en politici op Twitter door de overheid’ werd er een vergelijking gemaakt met een knipselkrant. Bij een knipselkrant heb je een ijverige ambtenaar die ’s ochtends alle kranten doorneemt en alle stukken met betrekking tot de beleidsterreinen van de minister uit de krant knipt en in 1 verzamelmap stopt.

    Daar zouden dan ook zo maar ingezonden brieven etc. tussen kunnen zitten. Zou dat dan ook verboden zijn? Of gelden daar andere kaders voor?

    In ieder geval kan ik me voorstellen dat het informeren van die mensen net iets minder makkelijk zou zijn dan op Twitter. Maar of dat dan doorslaggevend is(?).

  6. Is dit wel een AVG kwestie?

    Tweets zijn openbare auteursrechterlijk beschermde meningsuitingen. As het auteursrecht dat toelaat kun je die gewoon verzamelen net zoals je krantenknipsels kan verzamelen.

    Je kunt volgns mij geen privacy claimen over openbare meningsuitingen die al door auteursrecht zijn beschermd.

    Als ik morgen een lijst van citaten uit boeken ga vastleggen met daarbij de naam van de schrijver mag dat volgens mij ook omdat het auterusrecht dat toelaat. Het kan toch niet zijn dat de AVG dat zou verbieden.

    • De AVG staat als wet los van andere wetten. Omgekeerd ook: stel je hebt persoonsgegevens van een overledene, dan is de AVG vervallen maar kan het auteursrecht op die verzameling nog wel bestaan (mits creatief en zo). Het is toch niet raar dat er twee of meer wetten zijn die iets regelen?

      Het voelt voor mij een beetje alsof je zegt “op straat geldt al het Wetboek van Strafrecht dus hoezo heeft de Wegenverkeerswet iets te zeggen over wat ik op straat doe”?

        • Ik zie niet in wat auteursrechtelijke status te maken heeft met privacybescherming. Je kunt prima iemands privacy schenden door in een (auteursrechtelijk beschermd) boek dingen over die persoon te maken heeft, bijvoorbeeld. Het zijn twee sets regels die allebei een onderwerp kunnen treffen.

          Je noemt in je argument tegelijkertijd “publiekelijke” en “auteursrechtelijk”, dat vind ik ook zeer verschillende argumenten. Als het ging om WhatsApp-berichten (dus besloten kleinschalige chats), had je dan ook gezegd “Is het redelijk om privacybescherming te verwachten voor het doen van meningsuitingen die al auteursrechterlijk beschermd zijn”? (Neem even aan dat de chats beschermd zijn.) In die context voelt dat raar, blijf van mijn chats af.

          Het argument van “publiek” is hierboven al besproken.

  7. Na het lezen van de eerste alinea denk ik spontaan “Natuurlijk mag dat, wat kan daar nou tegen zijn? Met privacy heeft dat niks te maken. Mensen uiten vrijwillig in het openbaar hun mening, dan kan die mening ook gehoord en gebruikt worden, dat is logisch.”

    Zelf hoop dat bijvoorbeeld mijn getweete kritiek op belastingdienst, GGD en RIVM, over onhandige procedures en nodeloze papierverspilling, ook door ze opgepakt wordt, om misschien dingen te verbeteren. Mede daarom tweet ik ze. Ik denk wel meer mensen.

    Maar kennelijk is dat in deze tijd, met o.a. het sentiment “privacy gaat boven alles, zelfs boven het streven naar beleidsverbetering ” helemaal fout gedacht.

    Goed, nu maar eens verder lezen om te zien andere kanten er aan de kwestie zitten.

  8. Daar zouden we gek van worden als iedereen dat deed, maar dat is voor een individuele organisatie niet disproportioneel of onmogelijk.

    Dus naast de enorme overlast van de cookiemeldingen krijgen we nu straks ook nog dit erbij. Sorry, ik ben hier echt tegen. Dus lost niets op en is niet in het belang van de mensen.

    Ik zie in de logs van mijn website ook krankzinnig veel bots die het hele internet crawlen. Veel meer dan alleen Googlebot en Bingbot. Moeten die eigenlijk ook allemaal een mail aan de webmaster gaan sturen om die te informeren? Dat zou ik spam vinden. Mijn webstukjes bevatten net als mijn tweets vaak mijn mening, dus zijn persoonsgegevens.

    Maar ik publiceer ze (net als deze reactie) in de wetenschap dat iedereen die dat wil ze kan lezen, dus daar wil ik NIET apart over geïnformeerd worden als dat gebeurt.

  9. Bij medische gegevens en die over geaardheden is er toch een uitzondering voor het geval dat iemand zelf bewust daar in het openbaar over vertelt? (Ja: artikel 9 lid 2e.) Zou zoiets er ook kunnen of moeten komen bij een eerstvolgende herziening van de AVG, maar dan algemener over meningen?

    Plus de botsing met grondrechten: uitingsvrijheid heeft als tegenhanger de informatievrijheid: mensen mogen vrij kennis nemen van de mening van anderen. Als individuen dat mogen, waarom organisaties dan niet? Het klopt gewoon niet, zo voel ik dat.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS