Facebook verwerkte illegaal persoonsgegevens Nederlandse gebruikers

Facebook heeft illegaal persoonsgegevens van Nederlandse gebruikers verwerkt, zo heeft de rechtbank Amsterdam geoordeeld in een zaak die was aangespannen door de Data Privacy Stichting (DPS). Dat meldde Security.nl gisteren. De uitspraak betreft de periode van 2010 tot 2020: al die tijd had Facebook geen Wbp/AVG-grondslag én verwerkte ze bijzondere persoonsgegevens zonder daartoe gerechtigd te zijn. De zaak is nog niet ten einde, omdat de DPS onder het oude recht voor collectieve claims opereerde en dus niet meteen schadevergoeding mocht vorderen. Dat zal de volgende stap worden.

Het vonnis is zo lang dat de rechtbank een aparte overzichtssectie toevoegt. Deze laat geen spaan heel van daarna te behandelen verweren van Facebook:

Het oordeel van de rechtbank is dat Facebook Ierland onrechtmatig heeft gehandeld in de manier waarop zij met de persoonsgegevens van Nederlandse Facebookgebruikers is omgegaan.  … Het onrechtmatig handelen bestaat onder meer uit het zonder rechtsgeldige grondslag verwerken van persoonsgegevens voor advertentiedoeleinden. … [Een en ander] vormde ook een oneerlijke handelspraktijk. Het onvoldoende voorlichten van de Facebookgebruiker als consument over het gebruik van persoonsgegevens voor commerciële doeleinden was misleidend. De gemiddelde consument kon namelijk geen goed geïnformeerd besluit nemen over het deelnemen aan de Facebookdienst.
Verder lezend zie ik een héleboel open deuren als conclusie, maar wel met een stevige juridische onderbouwing. Wat een verademing dat iemand (oké, drie iemanden) er eens goed voor is gaan zitten en gewoon de conclusies trekt die bijvoorbeeld op deze blog ook al door velen zijn getrokken, maar dan met het gezag van gewijsde, pardon gezag van de rechtbank want hoger beroep is zeker nog mogelijk.

Allereerst was er een hele discussie over toepasselijk recht en welke van de bedrijven uit het Meta-concern van bedrijven in diverse landen je moet hebben. Al eerder was beslist dat Nederlands recht zou gelden, en dat de vorderingen beperkt zouden zijn tot slachtoffers – pardon, gebruikers – in Nederland. En na een hele analyse over (verwerkings-)verantwoordelijkheid komt de rechtbank simpelweg uit bij Facebook Ierland als de aan te spreken partij.

De volgende taaie juridische discussie is of er wel schade is geleden. Dat is niet vanzelfsprekend: de “enkele inbreuk op een grondrecht” is te weinig om meteen van meetbare schade te mogen spreken. Het zou in juridische zin bij “niet meer dan ergernis” kunnen blijven, en dan valt er geen geld te claimen. Zie bijvoorbeeld de rechtspraak rond die 500 euro-claims uit 2020.

Hier gaat dat goed voor de stichting, want omdat het gaat om een massaclaim mag je alles een beetje abstraheren:

Bij een collectieve actie als de onderhavige past, onder andere ten aanzien van de belangvraag, een zekere abstracte toetsing. Dat betekent dat de vraag of de mogelijkheid van schade aannemelijk is, in algemene zin moet worden beantwoord, dat wil zeggen geabstraheerd van individuele omstandigheden van leden van de Achterban. Weliswaar kan niet worden gezegd dat de door de Stichting gestelde privacyschendingen en oneerlijke handelspraktijken zonder meer tot schade leiden, maar daar staat tegenover dat de mogelijkheid van schade ook niet op voorhand en in algemene zin is uitgesloten.
Een andere discussie die met datzelfde argument beslecht werd, ging over verjaring. Er is immers een termijn van 5 jaar voor onrechtmatig handelen, grofweg vanaf het moment dat je dat wist dat je schade had en wie je daarvoor kon aanspreken. Die was hier niet:
In algemene zin is er niet één specifiek moment aan te wijzen waarop de gevolgen van de gestelde onrechtmatige gebeurtenissen van vóór 30 december 2014 zich hebben geopenbaard. In zoverre is er dus niet één specifiek moment aan te wijzen waarop de (mogelijke) schade en de subjectieve bekendheid daarmee is of kan zijn ontstaan.
De hele discussie over wat er nu precies geschonden is (informatieplichten, grondslag) laat ik even voor wat deze is. Belangrijkste vind ik dat de rechter bevestigt dat zowel bij de Wbp als de AVG de bewijslast bij de verantwoordelijke ligt: toon aan dat je adequaat hebt geïnformeerd, anders ben je tekort geschoten. Bewijs dat je adequaat toestemming hebt verkregen (of andere grondslag), anders heb je onrechtmatig verwerkt. Dat is voor toekomstige procedures een flinke opsteker.

Maar waar had Facebook dan nadrukkelijk over moeten informeren? Allereerst over de Graph API versie 2, oftewel welke externe applicatie er toegang kon krijgen tot persoonsgegevens van Facebookgebruikers. Daarbij gebruikte Facebook een op zich duidelijk popupscherm, dat uitsplitste waar je toestemming voor gaf. Alleen:

Op basis van het (voorbeeld) pop-upvenster stelt de rechtbank vast dat aan de Facebookgebruiker toestemming werd gevraagd om de applicatie van de externe ontwikkelaar toegang te geven tot verschillende categorieën informatie over de Facebookgebruiker. Voor zover de rechtbank kan nagaan, blijkt uit het pop-upvenster echter niet dat daarin is vermeld met welk doel de applicatie toegang zal krijgen tot die informatiecategorieën. Dat betekent dat ervan uit moet worden gegaan dat de Facebookgebruiker in het pop-upvenster niet is geïnformeerd over de doeleinden van die gegevensverwerking.
Want ja, er stond dan wel “de app mag mijn profiel lezen” maar niet waarom de app dat zou doen of wat er dan zou gebeuren met de profielinformatie. “We stoppen je profiel in een set categorieën zodat we weten wie onze app gebruikt” is heel wat anders dan “we verpatsen je gegevens onder de tafel aan een Londense/New Yorkse dataminer die je politieke advertenties op maat gaat serveren” immers. En er zal in de privacyverklaring vast het nodige te lezen zijn geweest, maar ook dat vindt de rechter niet adequaat:
De rechtbank is van oordeel dat in het midden kan blijven of het Gegevensbeleid (voldoende concrete) informatie bevatte over de doeleinden van deze gegevensverwerking, omdat het Gegevensbeleid in dit geval niet de geëigende plek is om ten aanzien van deze specifieke vorm van gegevensverwerking de daarvoor relevante informatie te verschaffen.
Je moet dus IN je popup noemen wat je gaat doen en waarom, met hooguit “voor meer informatie, raadpleeg de bijsluiter” daar achter met een link naar je gegevensbeleid.

Een ander dingetje was dat men met het uitlezen van die informatie ook informatie van Facebookvrienden én van vrienden van vrienden te pakken kreeg. Dat ligt niet direct voor de hand bij een popup die zegt “Deze app wil toegang tot je profiel”. Dus dan moet je meer informeren, en dat ging niet helemaal goed:

Uit de door Facebook Ierland genoemde passages in de Gebruikersvoorwaarden blijkt niet dat de persoonsgegevens van gebruikers door hun Facebookvrienden konden worden gedeeld met externe applicaties. Voor het eerst in het Gegevensbeleid van 15 november 2013 is enige informatie te vinden waaruit een dergelijke gegevensverwerking indirect kan worden opgemaakt. Dat is echter niet in voldoende duidelijke en begrijpelijke bewoordingen gebeurd. Bovendien is het Gegevensbeleid van 15 november 2013 zeer omvangrijk; dat beslaat bijna dertig pagina’s aan informatie. Geconcludeerd moet dan ook worden dat op dit punt sprake is van mededelingen in verhuld taalgebruik tussen een grote hoeveelheid andere gedetailleerde informatie in een onderliggende informatielaag (het Gegevensbeleid). Dergelijke mededelingen voldoen niet aan de eisen van transparant, begrijpelijk en in gemakkelijk toegankelijke vorm informeren over een relevante gegevensverwerking.
Even voor de duidelijkheid: hier zegt dus een rechter dat een privacyverklaring van dertig pagina’s met wollig taalgebruik géén informatie-instrument onder de AVG is. Als je dertig pagina’s nodig hebt, dan gaat er sowieso al iets niet goed. En als daar dan ook nog “verhuld taalgebruik” (dit is geen compliment, ik zeg het even voor de juristen) bij staat, dan heb je helemaal een probleem.

Vervolgens maakt de rechter gehakt van de beroepen op grondslagen (toestemming, contractuele noodzaak en gerechtvaardigd belang). Met name die contractuele noodzaak is interessant, want Facebook zegt immers al een hele tijd dat het profileren erbij hoort en dus deel is van de overeenkomst. Ergens voelt het ook een raar criterium: als ik in de voorwaarden zeg dat ik iets ga doen, hoort het dan noodzakelijkerwijs bij de overeenkomst of niet? Zuiver verbintenisrechtelijk wel, pacta sunt servanda roepen alle contractsjuristen meteen. Maar binnen het gegevensverwerkingsrecht heb je de ‘echt’ noodzakelijke en de ja-op-papier-wel-maar-haha-nee-niet-echt noodzakelijke  verbintenissen:

Gesteld noch gebleken is dat het aanbieden van een profiel op het sociale netwerk feitelijk niet kan worden uitgevoerd als de verwerking van persoonsgegevens voor advertentiedoeleinden niet plaatsvindt. Dat dat niet zou kunnen, staat dus niet vast. Voor het aanbieden van een profiel op het sociale netwerk van het Facebookplatform is dus niet objectief en daadwerkelijk noodzakelijk dat Facebook Ierland persoonsgegevens van een gebruiker verwerkt voor advertentiedoeleinden.
Ook de grondslag toestemming sneuvelt, onder meer met de constatering dat men wellicht toestemming geeft voor gebruik voor de dienst an sich, maar een gebruiker hoeft er
niet bedacht op te zijn dat zijn persoonsgegevens ook voor andere doeleinden worden verwerkt, zoals de door Facebook Ierland gebezigde advertentiedoeleinden. Om die reden kan ook niet worden gezegd dat op de gebruiker op dit punt een onderzoeksplicht rustte [waarbij je de privacy policy moet gaan lezen].
Ook bij latere, aangepaste registratie- of akkoordschermen ging het mis. Er werd dan akkoord gevraagd op de voorwaarden, met daarin een verwijzing naar het gegevensbeleid, wat een té indirecte manier van werken is.

Blijft over – zucht – het gerechtvaardigd belang, u weet wel van VoetbalTV. Zonder die uitspraak te noemen, merkt de rechtbank op dat je wel degelijk een commercieel belang als gerechtvaardigd zou kunnen zien. Maar je moet dat wel nader uitwerken, met name over de vraag over noodzaak van wat je van plan bent. Dat vertaalt zich naar transparantie:

Voor de vraag of in dit verband voldoende duidelijk is geïnformeerd, moet er rekening mee worden gehouden dat gebruikers van een dienst die als gratis wordt gepresenteerd zich vaak niet volledig bewust zijn van de mate waarin hun persoonsgegevens worden verwerkt en hun activiteiten worden bijgehouden. De (verwerkings)verantwoordelijke dient daarom transparant te zijn over die verwerking en over zijn bedrijfsmodel.
Die transparantie ontbreekt; wie wil uitpluizen wát Facebook nu allemaal doet qua profilering en datadelen moet op allerlei bronnen dit bij elkaar spitten. Ook had Facebook niet onderbouwd waarom ze perse nu gepersonaliseerde advertenties nodig zou hebben in plaats van gewone.

De overige AVG-aspecten laat ik even zitten, want ik vond het nog erg mooi om te zien dat de eisers ook inzetten op de regels van oneerlijke handelspraktijken. Want wat Facebook doet, is niet alleen een AVG-schending:

Het niet bij het aangaan van de overeenkomst (helder genoeg) op de hoogte brengen van de omstandigheid dat de (persoons)gegevens die de consument aan Facebook Ierland verstrekt om toegang tot de Facebookdienst te krijgen mede worden gebruikt voor advertentiedoeleinden op de wijze zoals dit gebeurt, moet als een misleidende omissie van essentiële informatie worden beschouwd die de gemiddelde consument – dat wil zeggen de redelijk geïnformeerde, omzichtige en oplettende consument – nodig heeft om een geïnformeerd besluit over het deelnemen aan de Facebookdienst te kunnen nemen als bedoeld in artikel 6:193d BW.
Een onduidelijke privacybijsluiter is dus net zo misleidend als het weglaten van ingrediënten of compatibiliteitsinformatie bij andere producten. Daar valt zeker wat voor te zeggen.

De volgende stap is nu een massaclaim naar nieuw recht. Volgens de Consumentenbond hebben al meer dan 185.000 mensen zich bij de massaclaim aangesloten. Ik ben heel benieuwd; zelfs al komt er maar een symbolische vijf euro uit, dan nog zou dat een enórme opsteker zijn voor de handhaving van de AVG.

Arnoud

20 reacties

  1. Je moet dus IN je popup noemen wat je gaat doen en waarom, met hooguit “voor meer informatie, raadpleeg de bijsluiter” daar achter met een link naar je gegevensbeleid.

    Wat betekent dit voor apps? Als ik het goed heb vraagt/vertelt een smartphone/tablet als je een app installeert wat deze app aan permissies nodig heeft (denk aan het bekende voorbeeld van een zaklamp-app die je adresboek wil kunnen uitlezen). Daar staat volgens mij nooit bij wat die app met die gegevens doet. Moeten deze apps dit ook gaan doen dan?

    Hier is het nog wat lastiger dat de APIs het niet mogelijk maken om tekst en uitleg te bieden – de permissies staan doorgaans in een manifest en het besturingssysteem zorgt voor de rest. Dan zouden deze APIs ook verbeterd moeten worden. Voor nu kan een app-bouwer zich verschuilen achter “slechte APIs, dus het moet vermeld worden in het (100 pagina’s tellende) privacybeleid”

    1. Bij Apple is dat standaard:

      The system automatically generates the prompt’s title, which includes the name of your app. You supply a message called a purpose string or a usage description — in this case, “Your location allows you to view restaurants in delivery range of your address.”

      Inderdaad kun je bij Android standaard alleen zeggen wat je nodig hebt, en alleen bij special permissions (zoals locatie) een intentie toevoegen:

      Decide what your data access rationale activity should show. For example, you might show your app’s website or a help center article. To provide a more detailed explanation about the types of data that your app accesses, as well as when the access occurred, handle the extras that the system includes when it invokes the permission usage intent:

      Je kunt je niet verschuilen achter slechte system API’s, dat betekent alleen maar dat je een slechte materiaalkeuze hebt gemaakt. Ja sorry, er zit asbest in je huis maar onze leverancier heeft dat nu eenmaal overal in zitten.

      1. Je kunt je niet verschuilen achter slechte system API’s, dat betekent alleen maar dat je een slechte materiaalkeuze hebt gemaakt. Ja sorry, er zit asbest in je huis maar onze leverancier heeft dat nu eenmaal overal in zitten.

        Wat is dan het alternatief? Je app alleen voor iOS-gebruikers aanbieden? Lijkt me ook niet echt realistisch.

        1. Je kunt permissions op Android gewoon at runtime aanvragen. Dan is het ook mogelijk om voordat je de Android API aanroept eerst zelf een popup te tonen met de vraag waarom je de permission aanvraagt en waarvoor je het gaat gebruiken natuurlijk.

  2. In dezelfde zaak werden de Facebook cookies op sites van derden ook behandeld, met als uitkomst dat Facebook daar niet voor verantwoordelijk was, maar de derde partij zelf. Zou ik nu een zaak kunnen starten tegen elke website met een facebook pixel met deze uitspraak in de hand?

    1. Een rechtszaak starten is een burgerrecht en gebaseerd op de jurisprudentie, met een redelijke advocaat is er een grote kans dat je deze gaat winnen. Zo’n rechtszaak gaat je gegarandeerd tijd kosten en hoogstwaarschijnlijk ook het nodige geld kosten, want de door de rechter toegekende vergoeding voor rechtsbijstand dekt vrijwel nooit de rekening die jij van je advocaat krijgt. Wil je een schadevergoeding eisen dan zul je die met stukken moeten onderbouwen en ik zie in “tracking zaken” niet veel schade voor de gemiddelde consument.

      1. Voor dit soort zaken zou it het gooien op het systematisch aanzetten tot een onrechtmatige daden. Aangezien ze weten dat de sites die een “like” knop op de site zetten geen eigen belang hebben bij het tracken (en er ook niets aan verdienen).

  3. Een ander dingetje was dat men met het uitlezen van die informatie ook informatie van Facebookvrienden én van vrienden van vrienden te pakken kreeg. Dat ligt niet direct voor de hand bij een popup die zegt “Deze app wil toegang tot je profiel”. Dus dan moet je meer informeren, en dat ging niet helemaal goed

    Los daarvan, als je informatie over Facebookvrienden en vrienden van vrienden achterhaalt, zou je daarvoor toestemming moeten vragen aan die (vrienden van) vrienden. Ik kan onder de AVG geen toestemming geven zodat Facebook gegevens van Arnoud mag verzamelen lijkt me. En als je als Facebook die toestemming niet bij Arnoud wil of kan halen, lijkt het me dat je die informatie dan simpelweg niet mag verzamelen.

    Hetzelfde lijkt me te spelen bij apps en sites die het delen van je adresboek mogelijk maken om contacten te vinden die ook op die app of site zitten. Je deelt daar telefoonnummers mee, zelfs van mensen die überhaupt geen lid zijn van de app of site.

    1. Toestemming is niet de enige verwerkingsgrond. Contractuele noodzaak en gerechtvaardigd belang kunnen ook. Het uploaden van het adresboek zonder toestemming is daarom niet automatisch verboden, maar een popup die zegt “Deze app wil toegang tot je profiel” biedt daarvoor onvoldoende informatie.

      1. Dat weet ik, echter is er geen contractuele noodzaak (anders zou het uploaden van je adresboek geen optie maar voor iedereen een verplichting zijn), en gerechtvaardigd belang is enkel van toepassing als het belang van Facebook zwaarder weegt dat de privacy van anderen. Dat zie ik hier niet. Ook de andere grondslagen zie ik hier niet, dus toestemming lijkt me de enige waar Facebook zich op zou kunnen beroepen.

      2. Contractuele noodzaak gaat in principe over zaken zoals een internetwinkel die je adresgegevens verwerkt om het bestelde ook daadwerkelijk toe te zenden (lastig zonder adres waar het dan afgeleverd moet worden).

        1. Ja, daarom ook het ‘noodzaak’. Het is geen optie want als je weigert kan er niet geleverd worden. In dit voorbeeld dus niet van toepassing, want als je weigert kun je nog steeds gebruik maken van Facebook, je mist mogelijk alleen wat vrienden of moet die handmatig opzoeken en toevoegen.

  4. … én verwerkte ze bijzondere persoonsgegevens zonder daartoe gerechtigd te zijn.

    Onder bijzondere persoonsgegevens vallen o.a. seksuele voorkeur en religie. Dus als je zegt dat je homo of moslim bent, dan mag Facebook dat niet verwerken in hun systemen?

    Wat is daar het resultaat van? Mogen ze het bericht niet opslaan? Of het bericht niet analyseren? De voorkeur/religie niet apart registreren? Extra toestemming nodig?

    1. In dit geval ging het om het kunnen targeten van advertenties op specifieke seksuele voorkeuren, iets waarover zelfs in die dertig pagina’s geen nadere informatie te vinden was. Ik denk dat je uitdrukkelijke toestemming geeft om je geaardheid te gebruiken als je deze zelf invult in een daartoe bestemd vakje, maar de vraag is dan wáárvoor men het gaat gebruiken. “Om je in contact te brengen met potentiële seksuele partners” lijkt me voor de hand liggend, “zodat iedereen kan zien wat jij wil delen” lijkt me ook een logische, maar “zodat adverteerders jou tijdens de Pride een roze opblaasflamingo kunnen verkopen” voelt een tikje verrassend. En “zodat een doorgedraaid bekeerder je kan vertellen dat je hélemaal fout zit met je geaardheid” lijkt me dan weer zeer onwenselijk.

  5. De vraag is alleen wat de gevolgen vervolgens kunnen zijn. Zo kan Facebook gewoon besluiten om de Europese tak gewoon af te stoten en Europa af te sluiten van hun diensten. Sowieso zijn er al diverse nieuwssites in the USA die keurig netjes iedereen tegenhouden die vanuit Europa hun site wil bekijken. Dit omdat ze vinden dat de AVG/GDPR niet deugt omdat ze geen gegevens mogen verzamelen. Immers, privacy bestaat niet in de USA. Ten minste, niet zoals hier.

    Hoe willen we Facebook dan nog in Europa behouden? Willen we Facebook nog wel?Welk alternatief is er eigenlijk?

    Maar dan kijk ik naar Twitter, die lange tijd onmisbaar leek te zijn. Vervolgens koopt een biljonair het bedrijf op en gaat dusdanig reorganiseren waardoor het voortbestaan ervan in gevaar komt en er spontaan tientallen alternatieven opduiken. En hoe mooi die alternatieven ook zijn, ze zorgen voor meer inkijk in prive-gegevens van de gebruikers. Maar dan op manieren die we nog niet hebben ontdekt. Sowieso kun je door iemand te volgen al heel veel informatie over hen verzamelen…

    Want kijk gewoon naar dit blog en wat het al deelt over de auteur ervan. Privacy heeft hij allang kunnen opgeven, he @Arnoud? En het is wel leuk dat hij hier regelmatig aangeeft wanneer hij een weekje op vakantie gaat. Het dievengilde is daar erg blij mee. 🙂 Maar ook de vele volgers geven enig inzicht in hun identiteit, hoe anoniem ze ook proberen te blijven.

    Feit is dat privacy nu eenmaal erg lastig te beschermen is. Daarnaast, we kunnen eigenlijk alleen diegenen aanpakken die zich netjes aan de regels willen houden. Als Facebook zich uit de Nederlandse markt terugtrekt en daarna de AVG negeert, dan is daar weinig wat we tegen kunnen doen. Behalve dan de gebruikers inlichten over de problemen met Facebook…

    En dan vraag ik mij opeens af of iedereen al hun Twitter account heeft opgezegd, daar Twitter waarschijnlijk de AVG aan haar laars gaat lappen.

    1. Wim, privacy is niet zwart-wit alles-of-niets delen, het is controle houden over welke zaken je met wie deelt. Als ik bij Bol een stel esoterische boeken bestel en afspreek dat ze woensdag tussen 1 en 5 bezorgd worden, is dat geen uitnodiging voor de Jehova getuigen om op die tijd langs te komen. Ook een blogger vertelt wat hij/zij (publiekelijk) kwijt wil. Arnoud gebruikt deze blogs om zijn professionele activiteiten te promoten, maar vertelt niet veel van zijn persoonlijke leven.

      Privacy betekent voor mij dat ik van geval tot geval besluit wat ik wil delen; als ik naar een restaurant ga dan deel ik bepaalde medische informatie (voedselallergie), maar daar heeft mijn kledingzaak niets mee te maken. Lichaamsmaten deel ik juist met de kledingzaak en niet met het restaurant.

      1. Niets is zwart/wit in deze wereld. Maar als het om wetgeving en regels gaat dan moeten we wel een duidelijke grens instellen. Een beetje zoals de verwarming instellen in je huis. Beneden 21C is te koud en boven 23 is te warm. Daartussenin is precies goed, naar mijn mening. Dus in mijn huis is het “wet” dat de temperatuur altijd 22C is.

        En dat geldt dus ook voor privacy. Alleen is dan niet alleen mijn mening doorslaggevend maar eigenlijk van iedereen. We moeten tezamen bepalen waar de grens ligt en op dit moment is dat voornamelijk op nationaal niveau geregeld en worden internationale bedrijven gestoord door de vele regels. Of ze lappen die regels aan hun laars.

        En privacy is juist erg lastig omdat er zoveel informatie is en we voor ieder beetje informatie moeten bepalen wie er wel of niet bij mak. Je restaurant moet wel weten van je pinda-allergie. Je huisarts ook. Maar je levensverzekering? Die gooit je premie omhoog als je dood kunt gaan van een enkele pinda. Die willen dat je 95 jaar of ouder wordt zodat ze heel lang niet hoeven uit te betalen.

        Het kan zelfs nog complexer worden omdat werkgevers deze informatie ook willen weten. Als je een chef-kok inhuurt dan wil je absoluut weten van die pinda-allergie omdat die kok niet met sate-saus kan werken. Maar een simpele kantoor-slaaf kan zelf wel bepalen om geen pinda’s te eten op de vrijdag-borrel. Blijft alleen jammer als die persoon vervolgens twee weken op de intensive care komt omdat ze toch per ongeluk wat pinda hebben binnengekregen… Twee weken lang een medewerker missen is kostbaar voor een bedrijf… Tijdens de sollicitatie kunnen ze dan weigeren deze persoon aan te nemen omdat ze dan geen pinda’s meer tijdens de borrel kunnen serveren…

        En dan hebben we het alleen nog maar over pinda-allergies en niet seksuele voorkeur, aantal kinderen, partners, de gehele thuissituatie, hoe oud je ouders zijn en nog veel meer informatie die een bedrijf eigenlijk wel wil weten voor ze je inhuren…

        Maar je hebt wel gelijk dat Arnoud weinig over zijn privéleven meldt. Nou ja, we weten van zijn kinderen omdat hij de geboortes hier heeft gemeld. We weten vaak ook wanneer hij op vakantie gaat omdat we dan gast-blogs krijgen. Of een weekje rust. Ook weten we best veel over zijn beroep en opleiding. Daarnaast bevatten veel posts hier kleine details over zijn persoonlijke mening en je kunt daar een AI over heen gooien om meer over zijn karakter te leren. Maar ook om de personen te analyseren die hier veel commentaar leveren. (Waarbij mijn naam nog best makkelijk is voor hen om aan andere data te koppelen.) (Komen ze ook meteen bij een supermarkt terecht…) Ondertussen schijnt het dat Arnoud probeert een baard te laten staan… 🙂 Of hij moet zijn gezicht wassen voor hij op de foto gaat…

        Maar als het om privacy gaat dan komt daar ook de kracht van kunstmatige intelligentie bij kijken! En dat is het probleem wat bij Facebook speelt. Dit bedrijf heeft een enorme vergaarbak van data en via vele slimme algoritmes kunnen ze daar nuttige informatie uit halen. Simpele feiten eigenlijk. Als je weet dat de meeste juristen rond hun 20e al flink met rechtenstudies bezig zijn en dat Arnoud in 1993 al bezig was met Internetrecht dan is het een simpele rekensom om te stellen dat Arnoud binnenkort Abraham tegemoet gaat zien… Bijna 50 jaar al. 🙂 En als Arnoud dat ook nog in zijn blog gaat aankondigen, met een groot feest op de zaak van 17:00 tot 23:00 dan weet het dievengilde dit wel te waarderen… 🙂 Dat is informatie die een beetje AI al snel weet te vinden…

        Toch weet Arnoud veel details over zichzelf prive te houden. En dat is best lastig!

        1. In Nederland is het voor het grootste deel goed geregeld met de privacy. Het is niet zo moeilijk om te bepalen wat je wil delen: Als je iets publiek wilt maken zet je het op YouTube of Facebook; wat je in beperkte kring wil houden vertel je alleen aan de personen die het aangaat. De wet verbiedt bedrijven om jouw informatie zomaar te delen en daar houden Nederlandse bedrijven zich behoorlijk aan.

          Helaas, de grote olifanten in de porseleinkast komen uit de Verenigde Staten, waar zo goed als geen privacywetgeving bestaat. In de VS is handel in persoonsgegevens een lucratieve tak van zakendoen en de bedrijven daar zien totaal geen reden om EUropeanen met rust te laten. Bedrijven die wat groter zijn (met vestigingen in de EU) zijn al meerdere malen op de vingers getikt door EUropese instanties (voor miljarden euro’s), maar verandering gaat daar traag zolang de mindset bij het Amerikaanse management niet verandert.

          (Over Arnoud: Wikipedia verklapt me dat hij dit jaar Abraham nog niet zal zien.)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.