Beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking

| AE 10651 | Privacy, Uitingsvrijheid | 11 reacties

Het Europese Hof van Justitie heeft in een uitspraak bepaald dat de beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien als het gaat om de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. Deze juridische term houdt in dat beide partijen samen bepalen wat er gebeurt met persoonsgegevens, en elk aansprakelijk zijn voor de gehéle verwerking. Was deze blog kort door de bocht, dan ware de conclusie dat iedere Facebookpaginabeheerder dus aansprakelijk is voor wat Facebook doet met gegevens van groepsgenoten. Auw.

De uitspraak (zaak ECLI:EU:C:2018:388) was onder de Richtlijn (en wat wij de Wbp zouden noemen) maar de begrippen zijn onder de AVG hetzelfde, zodat de uitspraak nog steeds van belang is. En uit de feiten maak ik op dat het om de zogeheten fanpagina’s gaat, waarbij je als beheerder bepaalde statistieken te zien krijgt over je bezoekers, waarbij onder meer cookies worden ingezet die tot personen te herleiden zijn.

Een Duitse toezichthouder had een beheerder van zo’n pagina aangesproken op haar plicht bepaalde gegevens te verwijderen, maar die weigerde dat omdat niet zij maar Facebook verantwoordelijk zou zijn hiervoor. Dat leidde tot een rechtszaak die nu bij het Hof van Justitie uitkwam. En die concludeert niet verrassend dat primair Facebook de verantwoordelijke is, omdat Facebook bepaalt hoe haar platform werkt en wat er mogelijk is.

Wél verrassend is dat zij ook de beheerder van zo’n pagina aanmerkt als (mede-)verantwoordelijke. Die besluit immers zo’n pagina op te zetten, waar mensen lid van kunnen worden en zo gegevens achterlaten. Zonder die ingreep waren die persoonsgegevens rondom interesses over die pagina (zeg maar) er niet gekomen, dus daarvoor ligt de verantwoordelijkheid bij deze beheerder. Dat je als beheerder alleen anonieme gegevens krijgt van Facebook, maakt niet uit – in de definitie van gezamenlijk verantwoordelijke staat niet dat je beiden bij alle persoonsgegevens moet kunnen.

De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.

Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.

Arnoud

Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische gegevens over jou bevatten, wat natuurlijk gebeurt als je bij je zorgverzekeraar of ziekenhuis rondklikt. Heel verbazingwekkend zou dat niet moeten zijn – dergelijke pixels vallen immers gewoon onder de cookiewet, en er wordt zelden toestemming gevraagd zoals het hoort. Plus, je hebt een grondslag nodig voor deze bijzondere persoonsgegevens en ook dat gaat mis.

Het komt natuurlijk vooral in het nieuws omdat het gaat om Facebook, maar uiteindelijk is het gewoon een punt (haha): als je mensen gaat tracken en je doet dat over meerdere sites heen, dan moet daar gewoon toestemming voor gegeven zijn. Allereerst omdat het gaat om informatie die je bij iemand opslaat – cookiewet – en daarnaast ook omdat het een nogal invasieve verwerking van iemands persoonsgegevens is – Wbp/AVG. Bij dat tweede is soms nog te verdedigen dat je kunt werken onder een eigen gerechtvaardigd belang, maar dat houdt heel snel op als het gaat om third-party tracking over meerdere sites heen.

De Facebook pixel is technisch een niet zo ingewikkelde constructie. Een website-eigenaar neemt een code op van Facebook, waarmee een plaatje van 1×1 pixel wordt opgenomen in zijn site. Dit plaatje komt van Facebook, en men kan vervolgens informatie uitlezen van de browser waarmee het plaatje wordt opgehaald. Maar de pixel doet meer: hij kijkt of je ingelogd bent bij Facebook, en slaat dan informatie over de pagina op bij je Facebook-interesseprofiel. Vervolgens kan de eigenaar van die site op Facebook je reclame tonen voor deze site (“retargeting”).

Dit noemen we profileren onder de AVG, en het is natuurlijk een vorm van verwerken van persoonsgegevens. Daarom is daarop (vanaf 25 mei) de AVG van toepassing. Die zegt dat toestemming nodig is voor deze vorm van tracking. Bovendien geldt op deze pixel de cookiewet, want de pixel is immers informatie die wordt opgeslagen op de computer van de bezoeker terwijl die informatie niet technisch noodzakelijk is voor de website. En ook die wet eist dan toestemming. En als triple whammy hebben we het specifiek hier nog eens over bijzondere persoonsgegevens (immers over gezondheid).

Ik zie dus geen manier om dit legaal te doen, tenzij je als website-eigenaar toestemming vraagt voor het mogen plaatsen van deze pixel en daarbij uitlegt dat het doel is om op Facebook gerichte reclame te kunnen doen. Oh, en die toestemming moet te weigeren zijn zonder dat je van de site geweerd wordt.

Arnoud

Hoe kan Facebook legaal gezichten gaan scannen onder de AVG?

| AE 10513 | Privacy | 10 reacties

Als voorbereiding op de AVG gaat Facebook gezichtsherkenning aanzetten voor Europese gebruikers die dat willen, las ik bij de socialenetwerksite. Dat is verrassend, omdat ze het in 2011 uitgezet hadden na klachten dat de (Duitse) Wbp werd overtreden met deze feature. Doel van de nieuwe feature is te zorgen dat mensen in kunnen grijpen als hun gezicht ergens op Facebook opduikt, waarvoor gezichtsherkenning best wel nodig is.

De status van portretfoto’s onder de privacywet is lange tijd nogal punt van discussie geweest. Wanneer iemand herkenbaar in beeld is, dan is die foto een persoonsgegeven, daar is iedereen het wel over eens. Maar aan een foto kun je vaak ook dingen zien die als bijzonder persoonsgegeven aan te merken zijn, zoals iemands etnische afkomst of medische aandoeningen. Daarmee zouden portretten onder de strengste regels van de privacywet vallen, en dan gaan allerlei dingen mis.

De AVG kiest een compromis. Een foto van een mens is een persoonsgegeven, maar wordt pas een bijzonder persoonsgegeven als de foto wordt gemaakt of gebruikt met het oog op identificatie. De pasfoto op een toegangspas is dus een bijzonder persoonsgegeven, een sfeerfoto van een receptie is dat niet. (Het portret van het bruidspaar op de receptie denk ik dan weer wel, we willen immers weten wie er 50 jaar getrouwd waren. Maar die foto valt dan weer onder de uitingsvrijheid en daarmee buiten de AVG.)

Gaat zo’n sfeerfoto op Facebook, dan is dus een gewone verwerking. Je kunt je afvragen of dat dan valt onder het eigen gerechtvaardigd belang van de uploader, namelijk zijn uitingsvrijheid, of dat er toestemming nodig is van de geportretteerde. Maar wat Facebook vervolgens doet is problematisch: gezichtsherkenning om de personen op de foto te melden dat die foto geupload is, zodat ze daar bezwaar tegen kunnen maken.

Nu zegt Facebook dat ze dit alleen doen als je daarmee instemt:

If you choose to opt in then you will have access to the following features:
– We’ll let you know when someone else uploads a photo of you as their profile picture. We’re doing this to prevent people from impersonating others on Facebook.
– You’ll hear from us if you’re in a photo and are part of the audience, even if you haven’t been tagged. You can choose whether to tag yourself, leave yourself untagged, or reach out to the person who posted the photo if you have concerns about it.

En ik geloof onmiddellijk dat ik geen berichten ga krijgen hierover tenzij ik de feature aanzet. Maar in de praktijk betekent dit volgens mij dat ieder gezicht op iedere foto gescand en herkend wordt, inclusief dus personen die daar nog geen toestemming voor hebben gegeven. En dat zou een probleem zijn, want in die situatie werkt Facebook dus met bijzondere persoonsgegevens zonder uitdrukkelijke toestemming.

Misschien dat ze alleen screenen op features van gezichten van personen die die toestemming wel gaven. Dan worden andere personen dus niet herkend, en dan is het denk ik wel legaal. Dit voelt alleen erg inefficiënt, en bovendien kun je dan oude foto’s van mensen die later toestemming geven niet verwerken. Dus ik denk niet dat dit het gaat zijn.

(En terzijde: het portretrecht komt dus te vervallen vanaf 25 mei, afgezien van het verzilverbaar portretrecht voor bekende personen.)

Arnoud

Facebook overtreedt Belgische privacywet door volgen niet-gebruikers

| AE 10406 | Privacy | 22 reacties

Facebook overtreedt de Belgische privacywet door het internetgedrag te volgen van mensen die geen account bij het sociale netwerk hebben. Dat meldde Nu.nl zaterdag. De vind-ik-leuk knopjes die alomtegenwoordig zijn, zetten cookies en gebruiken andere trackingtechnieken om internetgedrag op te slaan. Ook bij mensen die geen klant (product?) zijn van het sociaal netwerk, en dat… Lees verder

‘Overheid kan nepnieuws op digitale platformen aanpakken’

| AE 10074 | Ondernemingsvrijheid, Uitingsvrijheid | 37 reacties

De overheid kan verschillende maatregelen nemen om te voorkomen dat digitale platforms als Facebook, Google en Amazon misleidende informatie doorgeven. Dat meldde Nu.nl op gezag van een CPB-rapport dat waarschuwt tegen de snelle groei en steeds kleiner wordende transparantie van deze platformaanbieders. Met name de aanbeveling voor een vergunningenstelsel springt in het oog. Digitale platforms… Lees verder

Van wie is de Facebookpagina van een bekende Nederlander?

| AE 9738 | Ondernemingsvrijheid | 59 reacties

“Mijn vorige werkgever zegt: die heb je onderhouden tijdens werktijd, dus die is van ons.” Aldus DJ Giel Beelen in het AD vorige week. De ex-werkgever van de DJ claimt eigenaar te zijn van de Facebookpagina, omdat deze onder werktijd werd onderhouden. Mogelijk een reactie op dat akkefietje vorige week met de ‘gehackte’ muziek. Maar… Lees verder

Mag mijn zorgverzekeraar op Facebook om mijn BSN vragen?

| AE 9693 | Informatiemaatschappij | 22 reacties

Een lezer vroeg me: Nadat ik ontdekte dat ik mijn gegevens niet kon wijzigen bij het portaal van mijn verzekeraar, kreeg ik via Facebook contact met ze. Heel behulpzaam en vriendelijk, alleen wil men mijn BurgerServiceNummer ontvangen ter authenticatie. Mag de zorgverzekeraar überhaupt wel naar mijn BSN vragen via dit kanaal? Vragen naar een BSN… Lees verder

Mogen onze politici mensen op social media blokkeren?

| AE 9575 | Uitingsvrijheid | 17 reacties

Amerikaanse politici mogen van een rechter in de staat Virginia geen mensen blokkeren op sociale media, las ik bij Nu.nl. Dit is strijd met het 1st Amendment, de vrijheid van meningsuiting, omdat politici in een openbaar forum niet zomaar mensen mogen verbieden hun mening te uiten. En daaronder valt ook het als politicus jezelf afschermen… Lees verder