Volgens mij bestaat “echt geanonimiseerde data” helemaal niet bij locatiedata, maar goed

| AE 11846 | Privacy, Regulering | 12 reacties

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op echt geanonimiseerde data, las ik bij Security.nl. Deze citeert de Europese privacytoezichthouder (EDPS) die daarmee reageert op plannen van de Europese Commissie om mobiele locatiegegevens in de strijd tegen het coronavirus te gebruiken. Het punt is namelijk dat locatiedata van mensen geldt als persoonsgegevens, maar dat je wel die data grootschalig nodig hebt om een goede analyse te doen over verspreidingspatronen en dergelijke. En ja, in de AVG staat dat anonieme gegevens geen persoonsgegevens zijn. Maar het is vrijwel onmogelijk om data echt te anonimiseren. En wie denkt dat hij daarmee bezig is, is vrijwel altijd stiekem aan het pseudonimiseren.

Doel van de gegevensverzameling is verspreidingspatronen van het coronavirus in kaart te brengen. Omdat veel mensen rondlopen met mobiele telefoons, en telecomoperators daarmee in detail van de hele Europese bevolking de gangen kunnen reconstrueren (excuses als u zich nu in de koffie verslikt) is het voor de bestrijding van corona zeer nuttig om deze informatie te verkrijgen. Maar dergelijke gegevens zijn – terecht – in de AVG als persoonsgegevens aangemerkt, en kunnen dus niet zomaar even bijeengeharkt in een mega-Excel bestand (pardon, “in een big data cluster”) worden voor wat dan ook.

De EDPS is de toezichthouder op het equivalent van de AVG voor de Europese instanties. Deze heeft dus een advies uitgebracht dat zegt dat het mag als de data maar écht anoniem is. Want in de AVG (en in dat EU-equivalent) stat dat data die echt anoniem is, geen persoonsgegeven meer is. Nogal wiedes: data is echt anoniem als hij totaal niet meer tot een persoon te herleiden is, en dat is dus precies het tegenovergestelde van de definitie van een persoonsgegeven.

Het punt is natuurlijk dat het vrijwel onmogelijk is om zoiets te doen. Ja, natuurlijk denkt u meteen aan het weghalen van namen en 06/IMEI/sim-nummers maar dát is onder de AVG echt niet genoeg. De AVG noemt dat pseudonimiseren, je vervangt dan een naam door een zelfgekozen label. Maar dat is niet hetzelfde als anonimiseren, want je hebt dan nog steeds een gegeven over een persoon. Je weet alleen niet meer hoe die persoon heet (of je kunt hem niet meer bellen), maar het is nog steeds data over die persoon.

De EDPS geeft niet aan hoe dit probleem op te lossen. Ik zit er zelf ook best wel mee, volgens mij is het hier fundamenteel onmogelijk. Natuurlijk, geaggregeerde patronen zijn anoniem (want gaan niet over individuele personen) maar om die te maken moet je eerst de persoonsgebonden brondata hebben. En tot dat punt zit je dus gewoon met de AVG als telecomoperator. Het enige wat ik kan bedenken is dan ook dat die operators de bronbewerkingen doen en de Europese instanties vanaf daar verder gaan. Maar dat lijkt me minder effectief dan dat één organisatie direct (en alleen voor dit doel) met álle data aan de slag kan.

Arnoud

Websites verantwoordelijk voor reacties anonieme bezoekers

| AE 7758 | Uitingsvrijheid | 35 reacties

Als bezoekers anoniem op een website bedreigingen achterlaten, kan de eigenaar van die website verantwoordelijk worden gehouden voor het verspreiden van die bedreigingen. Dat meldde Nu.nl gisteren in buitengewoon stellige termen: het Europese Hof voor de Rechten van de Mens heeft definitief een einde gemaakt aan een rechtszaak die al negen jaar lang voortsleept, en mogelijk grote gevolgen heeft voor vrijheid van meningsuiting op het internet. En dat allemaal vanwege gescheld op een Estse nieuwssite – Delfi – waar mensen erg boos waren over een brug.

U denkt nu wellicht net als ik: Delfi, die zaak hádden we toch al gehad? Inderdaad had het Europese Hof voor de Rechten van de Mens dit al bepaald, maar nu heeft de Grote Kamer van dat Hof er nog eens naar gekeken en vandaar het ‘definitieve’ karakter van de uitspraak.

Op de nieuwssite kon iedereen reageren op nieuwsberichten, ook anoniem. Een bericht over een bedrijf dat een ijsweg zou gaan aanleggen, gaf grote boosheid: mensen moesten flink gaan omrijden als het bedrijf zijn zin zou krijgen, want de korte autoroute over het ijs werd opgeheven en je moest naar een ver weg gelegen brug of de dure veerpont van dat bedrijf nemen. Een aantal comments ging juridisch echt te ver, en het bedrijf stelde de site dan ook aansprakelijk voor de schade als gevolg van deze bedreigende teksten.

Uiteraard stelde de site niet aansprakelijk te zijn (hoewel ze wel de comments weghaalden, notice/takedown inderdaad), maar daar nam het bedrijf geen genoegen mee. De eis tot schadevergoeding werd toegewezen, waarop de site stelde dat de vrijheid van meningsuiting werd aangetast – als je als site aansprakelijk bent voor comments, dan kun je de comment-tent wel sluiten en dat zal flink wat minder uitingen opleveren.

Het Hof oordeelde in eerste instantie dat een site die anonieme commentaren toelaat, aansprakelijk is voor smadelijke of anderszins strafbare uitingen. Je hebt anders geen enkele optie je schade te verhalen, en dat is niet eerlijk naar de slachtoffers van die uitingen. En die uitspraak wordt nu bevestigd. Een professionele nieuwssite moet gewoon rekening houden met extreme uitingen en deze proactief monitoren.

Maar hoe zit het dan met de wettelijke bescherming voor tussenpersonen? Daar kan het EHRM formeel niets over zeggen, omdat dat een regel uit het EU-recht betreft en geen grondrecht of mensenrecht. Men volstaat dan ook met te zeggen dat een nationale rechter moet bepalen of je een tussenpersoon bent in de zin van de wet, en dat de conclusie van de Estse rechter (nee, want je bemoeit je door achteraf te modereren en een tussenpersoon moet neutraal blijven) dan ook definitief is.

Wel lijkt het Hof de lat redelijk hoog te leggen. Het ging in deze zaak niet om theoretisch mogelijk strafbare zaken, maar evidente dat-kan-écht-niet doodsbedreigingen en uitspraken die “tegen de menselijke waardigheid” ingaan. Dat lijkt dan aan te sluiten bij de regel die we al kennen bij de Europese notice/takedowns: alleen bij evident onrechtmatige zaken moet je ingrijpen als hoster of beheerder – en nee, niet alleen bij klachten, ook als je er zelf achter komt. Als je het zo bekijkt, dan zegt het Hof dus, je moet je comments gewoon lézen en als je dat-kan-écht-niet zaken ziet, dan moet je ingrijpen. Lees je niet, dan is dat jouw probleem. En Delfi deed weinig, te weinig, om in te grijpen bij dergelijke reacties.

Ik snap de overwegingen achter de uitspraak, maar zie ook wel meteen de tegenreactie: nu kun je dus je panelen wel sluiten als site. Dat klopt niet helemaal: de uitspraak is gedaan vanuit de context van een grote commerciële nieuwssite waar men zelf redactionele content plaatst en dan zegt “roept u maar”. Niet iedere site waar gereageerd kan worden:

Accordingly, the case does not concern other fora on the Internet where third-party comments can be disseminated, for example an Internet discussion forum or a bulletin board where users can freely set out their ideas on any topics without the discussion being channelled by any input from the forum’s manager; or a social media platform where the platform provider does not offer any content and where the content provider may be a private person running the website or a blog as a hobby.

GeenStijl is dus wél aansprakelijk voor z’n reaguurders, maar het Nationaal Computer Forum (ik noem maar een dwarsstraat) is dat niet. Hoe het zit bij de forums van bijvoorbeeld Fok, is een leuke. Ik denk dat die ook geen last van het vonnis moeten hebben, omdat die forums voldoen aan de “without being channelled” eis. Maar de reacties op frontpage-artikelen zijn natuurlijk dan wél de verantwoordelijkheid van de exploitant.

Ik ben heel erg benieuwd of dit werkelijk iets aan de praktijk gaat veranderen. Ik lees al veel mensen die roepen “we moeten stoppen met reacties toelaten”, maar dat is echt overdreven. Hooguit kun je overwegen om anonieme reacties te gaan weren. Maar het is echt geen gegeven dat je nu voor iedere comment aansprakelijk bent als een bijdehante advocaat er met een gezochte redenering tot een mogelijk strafbaar grensgeval van kan maken. Je bent aansprakelijk als grote commerciële partij wanneer je keihard strafbare uitingen er doorheen laat én achterover zit als mensen klagen. En die aansprakelijkheid-situatie kan ik ergens wel billijken.

Arnoud

Facebook moet pseudoniemen toestaan in Duitsland

| AE 4853 | Privacy | 17 reacties

facebook-real-nameDe huisregel van Facebook dat je je echte naam moet gebruiken is in strijd met de Duitse privacywetgeving, las ik bij Nu.nl. Facebook meldt het bevel tot aanpassing van de Duitse privacywaakhond (nou ja, die van Schleswig-Holstein) te zullen aanvechten, want de Ierse collega’s hadden eerder nog geen problemen op dit punt bespeurd.

Facebook hanteert die echtenaamregel nu ongeveer een jaar, met enkele opmerkelijke handhavingsfeiten zoals dat Salman Rushdie geband werd omdat in zijn paspoort Ahmed staat. Het beleid zou trollen en misbruik moeten indammen, maar of dat werkt is niet echt duidelijk.

De Duitse telecommunicatiewet is op dit punt echter niet voor misverstand vatbaar (art. 13 lid 6):

The service provider must enable the use of telemedia and payment for them to occur anonymously or via a pseudonym where this is technically possible and reasonable. The recipient of the service is to be informed about this possibility.

De Ieren hebben echter niet zo’n regel, en ook in de Nederlandse wet kan ik niets terugvinden dat dit letterlijk bepaalt. Voor zover ik kan achterhalen, is deze Duitse regel gebaseerd op een overweging uit de e-Privacyrichtlijn, namelijk dat

(9) De lidstaten, de betrokken aanbieders en gebruikers alsmede de bevoegde communautaire instanties zouden moeten samenwerken bij de introductie en ontwikkeling van de benodigde technieken waar zulks noodzakelijk is met het oog op de waarborgen die door deze richtlijn worden geboden, daarbij met name rekening houdend met de doelstelling de verwerking van persoonsgegevens zoveel mogelijk te beperken en waar mogelijk gebruik te maken van anonieme of onder pseudoniem opgeslagen gegevens.

De Duitsers hebben ervoor gekozen deze overweging als wetsartikel op te nemen, maar dat is dus niet verplicht. Dat verklaart waarom de Ieren er geen punt van maakten – hun wet kent geen equivalent en dus valt daar voor een toezichthouder weinig over te zeggen.

Natuurlijk zou je kunnen zeggen dat mensen Facebook toestemming geven om hun echte naam te gebruiken, maar gezien de omvang van Facebook en het feit dat die regel pas kwam nadat Facebook al gigantisch gegroeid was, twijfel ik of je die toestemming wel “vrijwillig” kunt noemen. Meedoen of ophoepelen van het sociale netwerk is niet echt een keuze.

Update (15 februari 2013) dit lijkt van de baan, want de Duitse rechter vonnist dat zij onbevoegd is omdat Facebook in Ierland gevestigd is.

Arnoud

Ben ik strafbaar als ik een TOR exit node draai?

| AE 2890 | Ondernemingsvrijheid | 27 reacties

Een lezer vroeg me: Ben ik in Nederland strafbaar, of zou ik er problemen mee kunnen krijgen als, ik een Tor relay/bridge/exit-point opzet vanuit mijn flat? Mag dit van de wet? TOR is een open netwerk voor anonieme communicatie, die werkt volgens het principe van Onion Routing. Heel in het kort: een berichtje wordt niet… Lees verder