Komt een man met een knots geheime documenten bij Facebook halen

| AE 10985 | Regulering | 17 reacties

Dat Engelse recht heeft toch wel zo z’n charme. Het Britse parlement heeft van uitzonderlijke bevoegdheden gebruik gemaakt om interne papieren van Facebook te bemachtigen die info bevatten over de zaak-Cambridge Analytica, las ik bij Tweakers. Eén daarvan was dat de Serjeant at arms van het Parlement fysiek langs ging bij deze meneer, en dat is opmerkelijk want deze is bevoegd met een knots (de Royal Mace) op te treden als dat noodzakelijk is. Gelukkig bleek lijfsdwang genoeg om de documenten te verkrijgen. Maar de juridische vraag blijft, hoezo mag het Britse parlement Amerikaanse geheime documenten ophalen bij een Amerikaan?

Nou, omdat ‘ie in Engeland was, natuurlijk. Rechtsmacht kan soms zo simpel zijn als “je bent hier, dus doe wat ik zeg”. Zeker als je een Royal Mace in je knuist mag houden als je dat zegt. Helaas maken de Engelse publicaties over de zaak niet precies duidelijk op welke wat de bevoegdheid is gebaseerd, maar ik geloof onmiddellijk dat er zo’n bevoegdheid is gezien de brede macht die het Britse parlement onder de wet heeft.

Natuurlijk botst zo’n inbeslagname met het Amerikaans recht waaronder de documenten zijn verkregen. Ze waren in bezit van de Amerikaanse startup Six4Three, dat in een rechtszaak met Facebook gewikkeld is en in het kader van discovery toegang had gekregen tot geheime documenten van Facebook. Zo werkt dat in de VS: bij een rechtszaak moet je alle relevante informatie, bedrijfsgeheim of niet, aan de wederpartij geven. Doe je dat niet, dan ga je de cel in – contempt of court. (De Amerikaanse bailiff heeft dan weer geen ceremoniële knots maar wel een heel dik pistool.)

Als je een geheim document hebt gekregen in discovery, dan moet je het natuurlijk wel geheimhouden en alleen gebruiken voor die rechtszaak. En dat is ook waarom Facebook nu protesteert; het gebruik door het Parlement is natuurlijk een heel ander soort dan waarvoor zij het – in de VS ook nog – hadden verstrekt aan Six4Three. Maar dat is een probleem tussen Facebook en haar wederpartij in die rechtszaak, het Britse parlement is niet gebonden aan Amerikaanse procesrechtelijke voorwaarden.

In Nederland zou in principe zoiets ook kunnen door gebruik te maken van de bevoegdheden van de Autoriteit Persoonsgegevens. Artikel 5:20 Awb bepaalt namelijk:

1. Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.
2. Zij die uit hoofde van ambt, beroep of wettelijk voorschrift verplicht zijn tot geheimhouding, kunnen het verlenen van medewerking weigeren, voor zover dit uit hun geheimhoudingsplicht voortvloeit.

Er is dus maar héél weinig ruimte om te weigeren een document af te geven, en het is zeer de vraag of een Amerikaanse geheime discoveryprocedure valt onder dat lid 2. Dus in Nederland had dit ook zo gekund. (Wij hebben niets dat in de buurt komt van de Royal Mace maar twee potige politieagenten in je hotelkamer zal natuurlijk ook erg overtuigend werken.) En in theorie ook wanneer ons Parlement een Parlementaire Enquête had uitgevoerd, want heel simpel staat in artikel 6 lid 1 Wet op de Parlementaire Enquête:

De commissie kan inzage in, afschrift van of kennisneming op andere wijze van documenten vorderen.

En dat geldt nadrukkelijk óók als je daardoor in de knel komt met je wettelijke geheimhouding (artikel 15). Wel kan de enquêtecommissie besluiten om het document vertrouwelijk te behandelen of om de gesprekken erover achter gesloten deuren te voeren.

Puur juridisch gezien is er dus niets opvallends aan. Zo’n hoog instituut als het Parlement behoort vele bevoegdheden te hebben gezien de aard van hun onderzoek en macht. Maar het blijft een smeuïg verhaal natuurlijk.

Arnoud

Beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking

| AE 10651 | Privacy, Uitingsvrijheid | 11 reacties

Het Europese Hof van Justitie heeft in een uitspraak bepaald dat de beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien als het gaat om de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. Deze juridische term houdt in dat beide partijen samen bepalen wat er gebeurt met persoonsgegevens, en elk aansprakelijk zijn voor de gehéle verwerking. Was deze blog kort door de bocht, dan ware de conclusie dat iedere Facebookpaginabeheerder dus aansprakelijk is voor wat Facebook doet met gegevens van groepsgenoten. Auw.

De uitspraak (zaak ECLI:EU:C:2018:388) was onder de Richtlijn (en wat wij de Wbp zouden noemen) maar de begrippen zijn onder de AVG hetzelfde, zodat de uitspraak nog steeds van belang is. En uit de feiten maak ik op dat het om de zogeheten fanpagina’s gaat, waarbij je als beheerder bepaalde statistieken te zien krijgt over je bezoekers, waarbij onder meer cookies worden ingezet die tot personen te herleiden zijn.

Een Duitse toezichthouder had een beheerder van zo’n pagina aangesproken op haar plicht bepaalde gegevens te verwijderen, maar die weigerde dat omdat niet zij maar Facebook verantwoordelijk zou zijn hiervoor. Dat leidde tot een rechtszaak die nu bij het Hof van Justitie uitkwam. En die concludeert niet verrassend dat primair Facebook de verantwoordelijke is, omdat Facebook bepaalt hoe haar platform werkt en wat er mogelijk is.

Wél verrassend is dat zij ook de beheerder van zo’n pagina aanmerkt als (mede-)verantwoordelijke. Die besluit immers zo’n pagina op te zetten, waar mensen lid van kunnen worden en zo gegevens achterlaten. Zonder die ingreep waren die persoonsgegevens rondom interesses over die pagina (zeg maar) er niet gekomen, dus daarvoor ligt de verantwoordelijkheid bij deze beheerder. Dat je als beheerder alleen anonieme gegevens krijgt van Facebook, maakt niet uit – in de definitie van gezamenlijk verantwoordelijke staat niet dat je beiden bij alle persoonsgegevens moet kunnen.

De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.

Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.

Arnoud

Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische gegevens over jou bevatten, wat natuurlijk gebeurt als je bij je zorgverzekeraar of ziekenhuis rondklikt. Heel verbazingwekkend zou dat niet moeten zijn – dergelijke pixels vallen immers gewoon onder de cookiewet, en er wordt zelden toestemming gevraagd zoals het hoort. Plus, je hebt een grondslag nodig voor deze bijzondere persoonsgegevens en ook dat gaat mis.

Het komt natuurlijk vooral in het nieuws omdat het gaat om Facebook, maar uiteindelijk is het gewoon een punt (haha): als je mensen gaat tracken en je doet dat over meerdere sites heen, dan moet daar gewoon toestemming voor gegeven zijn. Allereerst omdat het gaat om informatie die je bij iemand opslaat – cookiewet – en daarnaast ook omdat het een nogal invasieve verwerking van iemands persoonsgegevens is – Wbp/AVG. Bij dat tweede is soms nog te verdedigen dat je kunt werken onder een eigen gerechtvaardigd belang, maar dat houdt heel snel op als het gaat om third-party tracking over meerdere sites heen.

De Facebook pixel is technisch een niet zo ingewikkelde constructie. Een website-eigenaar neemt een code op van Facebook, waarmee een plaatje van 1×1 pixel wordt opgenomen in zijn site. Dit plaatje komt van Facebook, en men kan vervolgens informatie uitlezen van de browser waarmee het plaatje wordt opgehaald. Maar de pixel doet meer: hij kijkt of je ingelogd bent bij Facebook, en slaat dan informatie over de pagina op bij je Facebook-interesseprofiel. Vervolgens kan de eigenaar van die site op Facebook je reclame tonen voor deze site (“retargeting”).

Dit noemen we profileren onder de AVG, en het is natuurlijk een vorm van verwerken van persoonsgegevens. Daarom is daarop (vanaf 25 mei) de AVG van toepassing. Die zegt dat toestemming nodig is voor deze vorm van tracking. Bovendien geldt op deze pixel de cookiewet, want de pixel is immers informatie die wordt opgeslagen op de computer van de bezoeker terwijl die informatie niet technisch noodzakelijk is voor de website. En ook die wet eist dan toestemming. En als triple whammy hebben we het specifiek hier nog eens over bijzondere persoonsgegevens (immers over gezondheid).

Ik zie dus geen manier om dit legaal te doen, tenzij je als website-eigenaar toestemming vraagt voor het mogen plaatsen van deze pixel en daarbij uitlegt dat het doel is om op Facebook gerichte reclame te kunnen doen. Oh, en die toestemming moet te weigeren zijn zonder dat je van de site geweerd wordt.

Arnoud

Hoe kan Facebook legaal gezichten gaan scannen onder de AVG?

| AE 10513 | Privacy | 10 reacties

Als voorbereiding op de AVG gaat Facebook gezichtsherkenning aanzetten voor Europese gebruikers die dat willen, las ik bij de socialenetwerksite. Dat is verrassend, omdat ze het in 2011 uitgezet hadden na klachten dat de (Duitse) Wbp werd overtreden met deze feature. Doel van de nieuwe feature is te zorgen dat mensen in kunnen grijpen als… Lees verder

Facebook overtreedt Belgische privacywet door volgen niet-gebruikers

| AE 10406 | Privacy | 22 reacties

Facebook overtreedt de Belgische privacywet door het internetgedrag te volgen van mensen die geen account bij het sociale netwerk hebben. Dat meldde Nu.nl zaterdag. De vind-ik-leuk knopjes die alomtegenwoordig zijn, zetten cookies en gebruiken andere trackingtechnieken om internetgedrag op te slaan. Ook bij mensen die geen klant (product?) zijn van het sociaal netwerk, en dat… Lees verder

‘Overheid kan nepnieuws op digitale platformen aanpakken’

| AE 10074 | Ondernemingsvrijheid, Uitingsvrijheid | 37 reacties

De overheid kan verschillende maatregelen nemen om te voorkomen dat digitale platforms als Facebook, Google en Amazon misleidende informatie doorgeven. Dat meldde Nu.nl op gezag van een CPB-rapport dat waarschuwt tegen de snelle groei en steeds kleiner wordende transparantie van deze platformaanbieders. Met name de aanbeveling voor een vergunningenstelsel springt in het oog. Digitale platforms… Lees verder

Van wie is de Facebookpagina van een bekende Nederlander?

| AE 9738 | Ondernemingsvrijheid | 59 reacties

“Mijn vorige werkgever zegt: die heb je onderhouden tijdens werktijd, dus die is van ons.” Aldus DJ Giel Beelen in het AD vorige week. De ex-werkgever van de DJ claimt eigenaar te zijn van de Facebookpagina, omdat deze onder werktijd werd onderhouden. Mogelijk een reactie op dat akkefietje vorige week met de ‘gehackte’ muziek. Maar… Lees verder

Mag mijn zorgverzekeraar op Facebook om mijn BSN vragen?

| AE 9693 | Informatiemaatschappij | 22 reacties

Een lezer vroeg me: Nadat ik ontdekte dat ik mijn gegevens niet kon wijzigen bij het portaal van mijn verzekeraar, kreeg ik via Facebook contact met ze. Heel behulpzaam en vriendelijk, alleen wil men mijn BurgerServiceNummer ontvangen ter authenticatie. Mag de zorgverzekeraar überhaupt wel naar mijn BSN vragen via dit kanaal? Vragen naar een BSN… Lees verder