Als je een like knop op je site zet, ben je aansprakelijk voor wat Facebook daarmee doet

| AE 11422 | Ondernemingsvrijheid, Privacy | 26 reacties

De beheerder van een website die een plug-in van een derde partij op zijn site opneemt waarmee persoonsgegevens van de gebruiker worden verzameld en doorgezonden, is medeverantwoordelijk voor de gegevensverwerking. Dat meldde Tweakers gisteren. Het Hof van Justitie bepaalde dat namelijk (zaak C-40/17) in een Duitse kwestie over een modewebwinkel die Like-knoppen bij haar producten had staan. De Verbraucherzentrale NRW eV had daartegen bezwaar gemaakt en onder meer aangevoerd dat dit de webwinkel mede-verwerkingsverantwoordelijke maakt, in navolging van dit arrest uit 2018 over fanpagina’s. Het Hof bevestigt dat dit zo is, zodat je nu dus webwinkels kunt aanspreken voor wat Facebook doet met gegevens die ze met die Like-knop binnenhalen. Ben ik even blij dat ik al jaren toestemming voor het tonen van die knoppen vraag.

De standaardversie van zo’n Like knop is vrij agressief namelijk: het is niet alleen een knop die je naar een Facebook-formulier leidt, maar er zit een zooi javascript omheen dat automatisch al gegevens verzamelt en doorstuurt naar Facebook. Ongeacht of je erop klikt, ongeacht of je ergens toestemming voor af – zelfs ongeacht of je ingelogd bent bij Facebook. Waarom alle shops (en online diensten, massaal) dat zo accepteerden was me nooit helemaal duidelijk. Het lijkt mij niet zo fijn dat anderen meekijken over jouw webschouder naar jouw klanten, maar dat zal aan mij liggen.

In 2018 was er een uitspraak van het Hof over een fanpagina op Facebook, waar de beheerder als mede-verwerkingsverantwoordelijke werd aangemerkt. Die besluit immers zo’n pagina op te zetten, waar mensen lid van kunnen worden en zo gegevens achterlaten. Zonder die ingreep waren die persoonsgegevens rondom interesses over die pagina (zeg maar) er niet gekomen, dus daarvoor ligt de verantwoordelijkheid bij deze beheerder. Dat je als beheerder alleen anonieme gegevens krijgt van Facebook, maakt niet uit – in de definitie van gezamenlijk verantwoordelijke staat niet dat je beiden bij alle persoonsgegevens moet kunnen. En het is “mede” verantwoordelijkheid omdat ook Facebook zelfstandig beslist wat er gebeurt op zo’n pagina.

Het Hof trekt die lijn nu door: een webwinkel (of andere online dienst) die zo’n Like-knop invoegt op zijn eigen site (met plugin of handmatig gebouwd, maakt niet uit) die is mede-verantwoordelijk. Die beslist dat Facebook bij die bezoekersgegevens mag, en Facebook doet de rest. Beiden zijn daarvoor in gelijke mate verantwoordelijk – en dus ook aansprakelijk. Voor welk deel precies is nog een interessante vraag; de AVG zegt letterlijk dat je iedere verantwoordelijke voor het gehele schadebedrag kunt aanspreken (artikel 82 lid 4 AVG). Maar deze uitspraak is onder de Wbp (Richtlijn) gedaan en die is daar minder expliciet in.

Desondanks lijkt het me nu de hoogste tijd om die Like-knopjes (en je andere social sharing plugins) eraf te halen, of op zijn minst achter een toestemmingsknop te zetten. En doe dat alsjeblieft niet met een popup. Een simpele hover met uitleg zoals op deze site werkt prima en is AVG compliant. Wie daarna klikt en de plugin activeert, heeft toestemming voor die verwerking gegeven.

Arnoud

Wat doen we met zijn profiel na overlijden? Facebook, Twitter en de digitale erfenis

| AE 11352 | Informatiemaatschappij | 9 reacties

Hoe ga je om met de berichten en foto’s van een dierbare na diens overlijden? Met die vraag opende de Volkskrant vorige week vrijdag. Sociale media gaan steeds vaker fungeren als online begraafplaatsen, je digitale nalatenschap. De journalist ging op onderzoek uit naar de vragen die dat oproept, waaronder dus juridische vragen en ik kreeg een klein beetje gekromde tenen van sommige antwoorden.

“Van wie zijn je berichten en foto’s nadat je overlijdt”, zo begint het eerste kopje bijvoorbeeld. Een redelijke clichévraag met volgens mij een bekend antwoord: van niemand, want data bestaat juridisch niet. Facebook is een butler met een ijzeren geheugen, en als de butler ontslag neemt krijg je nooit meer die mooie verhalen van wat opa allemaal uithaalde. Alleen dan met foto’s. Het is dus niet zo dat Facebook zich eigenaar maakt van je foto’s: het is gewoon data, en data gaat weg als de hostende partij dat wil. Of toegang ertoe gaat geld kosten. Juridisch niet raar, wel vervelend als je moet betalen om de foto’s van je ouders in de lucht te houden.

Een hele creatieve vond ik nog om alle chats en dergelijke van de overledene door een machine learning algoritme te halen, om zo een chatbot te maken die klinkt als die persoon. Technisch best een heel eind mogelijk, en die datasets kun je via de AVG te pakken krijgen (net als een kopie van de foto’s trouwens) dus zeker te doen. Maar toch zou ik het nogal raar vinden als mensen dat met mijn blogs gingen doen (postmortem.iusmentis.com, eh nee).

Ik zou niet weten wat ik juridisch daartegen zou kunnen doen. Met name omdat ik dan dood ben natuurlijk, maar er is ook niet echt een juridische remedie. Auteursrechtinbreuk is het volgens mij niet om teksten door zo’n learning algoritme te halen. En mijn privacy – mijn blogs zijn persoonsgegevens – houdt op bij overlijden: de AVG geldt alleen voor levende mensen, niet voor overledenen.

Voor accounts geldt overigens hetzelfde als voor data: je kunt niet zeggen dat die van iemand zijn, want het zijn slechts toegangskaartjes tot die butler. Het beheer van een account en wie er in mag, is dus niet een kwestie van “het is mijn account” of “ik heb het geërfd, laat me erin”. Het is een kwestie van afspreken, en de wet zegt niets over wat er in die afspraken mag staan. Er is van alles te verzinnen – zoals een specifieke machtiging voor je executeur via de notaris – maar praktisch gezien is het wachtwoord in een envelop ergens veilig bewaren een stuk handiger.

Arnoud

Een Facebookpagina is van de vrijwilliger die hem aanmaakt

| AE 11193 | Intellectuele rechten, Uitingsvrijheid | 12 reacties

Wanneer een vrijwilliger uit eigen beweging een Facebookpagina (of groep) aanmaakt, dan is die van hem en niet van de vereniging. Dat maak ik op uit een recent vonnis uit Rotterdam over de beheerrechten (“eigendom”) van een Facebookpagina van een lokale politieke partij. Die had een geschil met een ex-lid die de officiële verenigingspagina en een aanverwante Facebookgroep niet af wilde geven. Alleen als er een expliciete opdracht was, of specifieke afspraken over eigenaarschap, dan kan dat anders worden. Komt er vervolgens een geschil en loopt de ex-vrijwilliger weg met de pagina, dan heb je dus als vereniging geen poot om op te staan.

De politieke partij ONS.Vlaardingen had een conflict met het uit de fractie gezette raadslid Tim Thiel: die weigerde de beheerrechten van de ONS-Facebookpagina’s af te staan. Hij zag deze pagina’s als zijn persoonlijke investering en succes, en weigerde ze af te staan aan de partij. Deze stapte daarop naar de rechter, die nu dus het ex-lid gelijk geeft.

Uit het vonnis haal ik dat de Facebookpagina van de partij in 2014 is aangemaakt ten behoeve van de partij (maar niet door wie). Het ex-lid had in 2017 de Facebookpagina in beheer gekregen, opnieuw vormgegeven en stevig gewerkt aan promotie: het aantal volgers steeg van 340 naar meer dan 2000. Later, in 2018, maakte hij nog een Facebookgroep aan ter ondersteuning van de partijpagina.

Eind 2018 werd hij uit de fractie gezet, waarna men de toegangscodes en beheerrechten van de twee pagina’s opeiste. Na een eerste mail met toezegging gebeurde dat niet, integendeel. De man verwijderde volgers van de pagina om terug te komen naar de 340 originele, veranderde het mailadres, en maakte van de naam van de pagina en de profielfoto iets stekeligs (geen idee wat maar iets met poppenkastpoppen en een sneer naar de fractievoorzitter). Daarna stapte de vereniging naar de rechter.

De vraag is juridisch nog knap ingewikkeld, wat ís een Facebookpagina eigenlijk, juridisch? Je kunt erop afstuderen: is het een overeenkomst van opdracht, een licentie onder Facebook’s gebruiksrechten, een vermogensrecht dat je schept, of ga zo maar door?

De voorzieningenrechter had haast gezien de aard van de zaak, en gaat er dus niet in detail op in. Heel pragmatisch is dan ook de conclusie: degene die een pagina aanmaakt is in beginsel de beheerder (“eigenaar”) van die pagina, tenzij er concrete opdrachten zijn gegeven of je bindend hebt toegezegd deze over te dragen.

Die tenzij gaat op bij de pagina van de partij zelf. Deze is immers in 2014 aangemaakt voor de partij, en pas drie jaar later is het ex-lid gevraagd beheer daarvan te doen. Dat is dus werk in opdracht aan andermans pagina. Of hij zelf auteursrechten kan claimen op zaken daar geplaatst (en daarmee de overdracht of gebruik door de partij kan frustreren) laat de rechtbank even buiten beschouwing.

Voor de groep komt het anders uit. Het uitgangspunt blijft hetzelfde, maar deze groep is op eigen initiatief door het ex-lid aangemaakt, waarbij hij zichzelf als beheerder presenteerde en de groep niet als officieel of namens de partij aangemerkt had. Daarmee is er dan te weinig om te spreken van een groep die eigenlijk van de partij had moeten zijn. Het beheer over die groep hoeft hij dus niet terug te geven, ook niet nu hij uit de partij is gezet.

Ik blijf er op hameren dat als je als vereniging of stichting met vrijwilligers werkt voor je online activiteiten, je maar beter gewoon afspraken met ze kunt maken op papier. Of regel meteen dat een functioneel account (zoals bestuur@ of penningmeester@ of pr@) het beheer heeft op dergelijke pagina’s) zodat een aangewezen vrijwilliger niet met zijn account weg kan lopen met je pagina’s.

Arnoud

Mag een kinderdagverblijf voor hun activiteiten-app eisen dat je Google of Facebook gebruikt?

| AE 11125 | Ondernemingsvrijheid, Privacy | 43 reacties

Een lezer vroeg me: De kinderopvang waar mijn kinderen naartoe gaan hebben onlangs een contract gesloten met Bitcare voor hun management en registratie van wat er zoal gebeurt gedurende de dag. Echter, registreren kan alleen door je via een ‘identity provider’ aan te melden. Je hebt een Google, Microsoft of Facebook account nodig zodat het… Lees verder

Komt een man met een knots geheime documenten bij Facebook halen

| AE 10985 | Regulering | 17 reacties

Dat Engelse recht heeft toch wel zo z’n charme. Het Britse parlement heeft van uitzonderlijke bevoegdheden gebruik gemaakt om interne papieren van Facebook te bemachtigen die info bevatten over de zaak-Cambridge Analytica, las ik bij Tweakers. Eén daarvan was dat de Serjeant at arms van het Parlement fysiek langs ging bij deze meneer, en dat… Lees verder

Beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking

| AE 10651 | Privacy, Uitingsvrijheid | 11 reacties

Het Europese Hof van Justitie heeft in een uitspraak bepaald dat de beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien als het gaat om de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. Deze juridische term houdt in dat beide partijen samen bepalen wat er gebeurt met persoonsgegevens, en elk… Lees verder

Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische… Lees verder

Hoe kan Facebook legaal gezichten gaan scannen onder de AVG?

| AE 10513 | Privacy | 10 reacties

Als voorbereiding op de AVG gaat Facebook gezichtsherkenning aanzetten voor Europese gebruikers die dat willen, las ik bij de socialenetwerksite. Dat is verrassend, omdat ze het in 2011 uitgezet hadden na klachten dat de (Duitse) Wbp werd overtreden met deze feature. Doel van de nieuwe feature is te zorgen dat mensen in kunnen grijpen als… Lees verder

Facebook overtreedt Belgische privacywet door volgen niet-gebruikers

| AE 10406 | Privacy | 22 reacties

Facebook overtreedt de Belgische privacywet door het internetgedrag te volgen van mensen die geen account bij het sociale netwerk hebben. Dat meldde Nu.nl zaterdag. De vind-ik-leuk knopjes die alomtegenwoordig zijn, zetten cookies en gebruiken andere trackingtechnieken om internetgedrag op te slaan. Ook bij mensen die geen klant (product?) zijn van het sociaal netwerk, en dat… Lees verder