Ho stop, datakluizen gaan niets doen aan Facebook en consorten

| AE 12127 | Ondernemingsvrijheid | 24 reacties

Geef gebruikers controle over hun persoonlijke data, om daarmee de te grote macht van grote technologiebedrijven terug te dringen, las ik in NRC voor mijn vakantie. Het huidige model van omgaan met data is niet geschikt om de techbedrijven te bedwingen, zo betoogt daar professor Ruben Verborgh. Zijn betoog lijkt vooral te gaan over het gebrek aan dataportabiliteit: je kunt data niet meenemen, alles zit opgesloten bij Facebook en dáárdoor zijn ze zo machtig. Want daardoor ga je niet weg, en concurrenten kunnen niets opzetten want er komt niemand. Leuk en ik zie het punt, maar dat is niet het probleem.

En wat al helemaal niet het punt is, is de oplossing om data in een decentrale persoonlijke kluis te zetten. Die metafoor heb ik vaker voorbij zien komen. Het idee is altijd dat als je de data maar ergens anders opslaat, er dan meer grip op komt. Ongeacht het probleem is de oplossing een database, zoals dat in IT-land heet. Maar daar gáát het niet om.

Het punt van die macht van Facebook is natuurlijk dat iedereen daar zit omdat iedereen daar zit. En dat ze je privacy eenvoudig kunnen schenden omdat je daar niet mee bezig bent. Dat los je niet op met een extra database waar dan je privacygevoelige gegevens in zitten. Praktisch gezien vraagt Facebook dan gewoon “mag ik even in je kluis” en dan klik je op ja, waarna dezelfde situatie ontstaat. Ik zie dat echt niet.

Helemaal jeuk krijg ik dan (ik weet het, ik krijg overal jeuk van maar het is dit of hoofdpijn) van het idee dat je dan als consument geld zou kunnen vragen voor toegang tot je kluis. Persoonsgegevens zijn geen eigendom, dat is een heel slecht idee. Het gaat om je fundamentele rechten, niet om stukjes arbeid of producten die anderen best mogen hebben tegen betaling.

Dit nog los van het punt dat het in de meeste gevallen niet eens gáát om het soort data dat je in een kluis stopt. Dan moet je immers denken aan dingen als je NAW gegevens, kopie identiteitsbewijs, schoolresultaten; algemeen gezegd, dossierstukken. Maar wat Facebook wil weten is of jij die video leuk vindt. Dat artikel leest. Wel eens vaker op sites voor onzekere mannen komt. Iets vindt van Black Lives Matter. Dát geeft ze inzicht in jouw interesses en daarmee inzicht in waar op te adverteren. En dat is haast per definitie informatie die een Facebook zelf verzamelt, niet iets dat in jouw digitale kluis gaat.

Arnoud

Oké zullen we gewoon stoppen met de US cloud want ik wil niet stééds uitspraken van 60 pagina’s samenvatten tot “stop nou eens met de US cloud”

| AE 12072 | Privacy | 51 reacties

Ja sorry, ik word een beetje chagrijnig van dit gedoe. Maar zoals ik -en velen met mij- al een paar jaar roep: je kunt niet vertrouwen op Privacy Shield, en je mag niet zomaar data van je klanten naar Amerika sturen. Ook niet in een clouddienst en ook niet als je er een verwerkersovereenkomst bij hebt. En ja, ze hebben ook gezegd dat Standard Contractual Clauses wél rechtsgeldig zijn. Maar dat is alleen omdat in die SCC staat dat je onmiddellijk moet stoppen met data naar Amerika sturen zodra blijkt dat dat land onveilig is. Oftewel, per direct.

Goed, ik ben alweer rustig. het gaat dus om de Schrems II-zaak. Oostenrijkse GDPR-activist Max Schrems wilde alweer heel wat jaartjes geleden weten waarom Facebook Ierland persoonsgegevens van hemzelf mocht verstrekken aan Facebook Inc. uit Californië. Amerika heeft immers niet echt hetzelfde niveau van bescherming van persoonsgegevens als wij. De Ierse AP besloot die vraag aan het Hof van Justitie voor te leggen, en die kwamen toen met de verstrekkende uitspraak dat de toenmalige Safe Harbor-overeenkomst niet rechtsgeldig was. Mede gezien de Snowden-onthullingen kun je Amerika met de beste wil van de wereld geen persoonsgegevensrespecterend land noemen.

Dat gaf politieke onrust, vandaar dat een jaartje later het Privacy Shield er kwam. Daarmee was er formeel weer een grondslag voor uitbesteden van dataverwerking in de VS, mits het bedrijf maar plechtig zei dat ze Privacy Shield zou respecteren en de Amerikaanse overheid zou doen alsof die ombudsman en mooie verklaringen uit het verdrag iets betekenden. Ja moehaha zeg ik dan, maar goed het was even een schaamlap zodat u tijd had om uw clouddiensten en Amerikaanse onderaannemers uit te faseren.

En nu is het dus zover, het Hof van Justitie zegt wederom dat Amerika niet veilig is voor persoonsgegevens en dat je die er dus niet heen mag brengen vanwege mooie woorden in die Privacy Shield overeenkomst. De Europese Commissie had gewoon niet kunnen en mogen concluderen dat Amerika veilig is (net zoals ze dat bij Safe Harbor niet hadden gemogen). Met name specifiek omdat de NSA en andere overheidsinstanties data mogen besnuffelen zonder enige mogelijkheid van klacht of bezwaar, en dat recht moet je wel hebben. En die ombudsman valt onder de minister van binnenlandse zaken en is daarmee niet onafhankelijk. Daarmee had Privacy Shield nooit gesloten mogen worden, en dat ding dat ze wel gesloten hebben is dus ongeldig.

Vele privacyjuristen hadden hier al rekening mee gehouden en dus ingezet op de zogeheten Standard Contractual Clauses (SCC). Dat zijn door de Europese Commissie opgestelde bepalingen waarmee je een standaardcontract samenstelt om grip te krijgen op een buitenlandse (niet-EU) partij die voor jou persoonsgegevens gaat verwerken. In dat contract dwing je keihard af dat men zich aan de GDPR houdt, onder meer met een recht van audit voor jou bij hem, een plicht van hem om rare dingen te melden en de plicht om klachten van gebruikers daadwerkelijk op te lossen.

Het Hof van Justitie zegt nu dat die constructie nog wél geldig is. Die is immers bedoeld voor situaties waarin de buitenlandse partij ergens zit waar ze rare dingen doen met persoonsgegevens. Dus dan is het prima als je samen keiharde afspraken maakt waarmee je die rare dingen buiten de deur houdt. Afdwingbaar, met boetes en rechtszaken. Dat kan gewoon. Daarom zegt het Hof, prima om naar Amerika met SCC te werken.

Alleen en nu komt ie: die afspraken moet je dan wel daadwerkelijk handhaven. Zo moet de Amerikaanse partij jou bijvoorbeeld informeren over rare praktijken of wetten die botsen met Europese rechten. Als jij onder FISA valt, zoals alle ICT-providers, dan moet jij dat aan je Europese klanten melden. En die mogen dan geen persoonsgegevens meer aan jou geven. Dus als je met SCC werkt, dan heb je jezelf contractueel verplicht om vandaag nog te stoppen met persoonsgegevens naar Amerika sturen.

Einde US cloud dus. Althans: voor laten we zeggen zakelijk gebruik door Europese bedrijven. Als jij zelf een Amerikaanse dienst gebruikt voor dienstverlening aan jou (hetzij zakelijk hetzij privé) dan blijft dat prima. Dat valt onder het kopje “toestemming”, dat nog steeds kan. Boeken bij een Amerikaans hotel, een Amerikaanse prijsvergelijker, lezen van een Amerikaanse krantwebsite, betalen met Paypal of een Amerikaans-gecontroleerde creditcard: allemaal prima. Gegevens van je klanten of je websitebezoekers door een Amerikaan laten analyseren: niet prima.

Ook niet als je een verwerkersovereenkomst hebt. Die zegt alleen maar dat die Amerikaan niets mag doen behalve wat jij hem opdraagt, maar dit borgt niet dat de NSA van die persoonsgegevens afblijft. En zolang dát niet geborgd is, mag je geen data laten verwerken in de VS.

Arnoud

Consumentenbond wil dat Facebook gebruikers compenseert voor schenden privacy

| AE 12057 | Privacy | 15 reacties

De Consumentenbond en de Data Privacy Stichting hebben Facebook gedagvaard in een poging om het socialenetwerkbedrijf te dwingen gebruikers te compenseren voor het schenden van hun privacy. Dat meldde Tweakers dinsdag. Deelname is gratis, wel wordt 18% van de toe te kennen schadevergoeding aan een advocatenkantoor betaald dat op no-cure-no-pay basis (of nou ja, niet helemaal) de zaak doet. De exacte dagvaarding kan ik nog niet vinden maar de kern is natuurlijk geen toestemming (grondslag) en geen verplichte informatieverstrekking onder de AVG. Ik zeg #teamConsumentenbond.

De AVG is er natuurlijk al sinds 2018 maar de reden dat de Bond nu pas deze stap maakt, is dat het pas sinds kort mogelijk is om een massaclaim met schadevergoeding te brengen bij de Nederlandse rechter (art. 3:303a BW). Tot die tijd had de Bond alleen een verbod kunnen eisen, maar dat schiet niet zo op want dat zal Facebook niet echt pijn doen. Dan verzinnen ze weer wat nieuws. Een schadeclaim, en vooral heel veel vervolgclaims vanuit de rest van Europa, dát doet pijn.

Had dit nu niet beter via de toezichthouder kunnen gaan? Die is natuurlijk al naar Facebook aan het kijken en ik zie daar ook echt wel boetes vandaan komen. Alleen, het is voor de AP lastiger om een boete op te leggen dan voor de Consumentenbond om een schadeclaim te doen. Een boete vereist een heel bestuursrechtelijk traject: inspraak, reacties, concepten, toetsing aan boetekaders en richtlijnen, zorgvuldige besluitvorming et cetera. Dat duurt naar zijn aard twee jaar. (Plus AVG-gedoe over de competente leidende toezichthoudende autoriteit, juristen krijgen hoofdpijn van deze wetsartikelen, artsen staan versteld).

Terwijl een schadeclaim bij de burgerlijke rechter gewoon een jaartje is met een paar rondes verweerschriften en repliek/dupliek en dan een uitspraak. De onderbouwing kan makkelijker: een boete moet je gedetailleerd motiveren, de schadevergoeding kan -in theorie- zijn “wat uwedelachtbare billijk acht (artikel 6:97 BW)”. En ja, het grote probleem is natuurlijk dat de Bond geen harde getallen op de schade kan zetten. Wat is je schade doordat Facebook je profiel blootstelde aan rare advertenties of politieke manipulatie? Inderdaad, laat ik ook liever aan de dikke duim, pardon het rechtsgevoel van de rechter. Maar denk aan 50 tot 100 euro.

Per persoon ja. En we hebben in Nederland iets van 14 miljoen volwassenen die dus kwalificeren als consument. Ook Facebook vindt iets van 14 miljoen maal 50 euro, zeker als er een dwangsom achteraan komt én andere consumentenbonden deze zelfde claim btrengen vanuit hun land. (Dit is meer dan de 10,4 miljoen Nederlandse Facebookgebruikers want daar zitten ook minderjarigen tussen en bovendien volgt Facebook je ook als je geen lid bent.)

Het voornaamste voor mij is dat dit volgens mij is hoe de AVG moet werken. Toezichthouders zijn leuk en aardig maar naar hun aard te grofmazig en traag om elke overtreding aan te pakken. Massaal kleinschalig handhaven werkt veel beter (daarom was ik ook zo blij met die Belgen). Het kan natuurlijk uit de hand lopen – lees daarvoor mijn World of 2K38 of voorinteken voor de graphic novel.

Arnoud

Facebook doet dus al genoeg tegen nepbitcoinadvertenties, tuurlijk

| AE 11961 | Ondernemingsvrijheid | 18 reacties

Internetplatform Facebook treft vooralsnog voldoende maatregelen om nep-bitcoin advertenties met bekende Nederlanders te weren. Dat las ik in een recent vonnis. De presentator van EenVandaag was samen met zijn werkgever had Facebook aangeklaagd omdat ook hij als gezicht werd misbruikt in die Bitcoinfraudeadvertenties (“Bankiers zijn bang voor deze vondst”). Inderdaad net als John de Mol,… Lees verder

Hongarije geeft Facebook miljoenenboete voor pretenderen gratis te zijn

| AE 11654 | Ondernemingsvrijheid | 7 reacties

De Hongaarse concurrentiewaakhond Hungarian Competition Authority heeft een boete uitgedeeld aan Facebook voor het pretenderen een gratis dienst te zijn. Dat las ik bij Nu.nl. De boete bedraagt ruim 3,5 miljoen euro en is gebaseerd op het idee dat je betaalt met je persoonsgegevens, als ik de bron Bloomberg goed begrijp (mijn Hongaars is wat… Lees verder

Rechter dwingt ex-werknemer om wachtwoord Facebookpagina af te staan

| AE 11562 | Ondernemingsvrijheid | 14 reacties

Een voormalig medewerkster van een dierenopvangtehuis moet het wachtwoord en beheer van een Facebookpagina overdragen aan haar voormalige werkgever, meldde Security.nl onlangs. Dit op gezag van de rechtbank Gelderland die dat bepaalde, versterkt met een dwangsom van 1000 euro per dag dat ze dit niet. De Facebookpagina was tijdens haar dienstverband aangemaakt en draagt de… Lees verder

Een rechtbank mag providers (en dus ook Facebook) tot notice en *stay* down verplichten

| AE 11534 | Ondernemingsvrijheid, Uitingsvrijheid | 8 reacties

Het Hof van Justitie in Luxemburg heeft bepaald dat er geen EU-regels zijn die zich verzetten tegen een verplichting voor hostingproviders als Facebook om commentaren te verwijderen die sterk gerelateerd zijn aan eerdere onwettig verklaarde commentaren. Dat las ik bij Tweakers. Nogal een omweg om te zeggen dat rechters providers kunnen verplichten om onrechtmatig verklaarde… Lees verder

Als je een like knop op je site zet, ben je aansprakelijk voor wat Facebook daarmee doet

| AE 11422 | Ondernemingsvrijheid, Privacy | 26 reacties

De beheerder van een website die een plug-in van een derde partij op zijn site opneemt waarmee persoonsgegevens van de gebruiker worden verzameld en doorgezonden, is medeverantwoordelijk voor de gegevensverwerking. Dat meldde Tweakers gisteren. Het Hof van Justitie bepaalde dat namelijk (zaak C-40/17) in een Duitse kwestie over een modewebwinkel die Like-knoppen bij haar producten… Lees verder

Wat doen we met zijn profiel na overlijden? Facebook, Twitter en de digitale erfenis

| AE 11352 | Informatiemaatschappij | 9 reacties

Hoe ga je om met de berichten en foto’s van een dierbare na diens overlijden? Met die vraag opende de Volkskrant vorige week vrijdag. Sociale media gaan steeds vaker fungeren als online begraafplaatsen, je digitale nalatenschap. De journalist ging op onderzoek uit naar de vragen die dat oproept, waaronder dus juridische vragen en ik kreeg… Lees verder

Een Facebookpagina is van de vrijwilliger die hem aanmaakt

| AE 11193 | Intellectuele rechten, Uitingsvrijheid | 12 reacties

Wanneer een vrijwilliger uit eigen beweging een Facebookpagina (of groep) aanmaakt, dan is die van hem en niet van de vereniging. Dat maak ik op uit een recent vonnis uit Rotterdam over de beheerrechten (“eigendom”) van een Facebookpagina van een lokale politieke partij. Die had een geschil met een ex-lid die de officiële verenigingspagina en… Lees verder