Wat doen we met zijn profiel na overlijden? Facebook, Twitter en de digitale erfenis

| AE 11352 | Informatiemaatschappij | 9 reacties

Hoe ga je om met de berichten en foto’s van een dierbare na diens overlijden? Met die vraag opende de Volkskrant vorige week vrijdag. Sociale media gaan steeds vaker fungeren als online begraafplaatsen, je digitale nalatenschap. De journalist ging op onderzoek uit naar de vragen die dat oproept, waaronder dus juridische vragen en ik kreeg een klein beetje gekromde tenen van sommige antwoorden.

“Van wie zijn je berichten en foto’s nadat je overlijdt”, zo begint het eerste kopje bijvoorbeeld. Een redelijke clichévraag met volgens mij een bekend antwoord: van niemand, want data bestaat juridisch niet. Facebook is een butler met een ijzeren geheugen, en als de butler ontslag neemt krijg je nooit meer die mooie verhalen van wat opa allemaal uithaalde. Alleen dan met foto’s. Het is dus niet zo dat Facebook zich eigenaar maakt van je foto’s: het is gewoon data, en data gaat weg als de hostende partij dat wil. Of toegang ertoe gaat geld kosten. Juridisch niet raar, wel vervelend als je moet betalen om de foto’s van je ouders in de lucht te houden.

Een hele creatieve vond ik nog om alle chats en dergelijke van de overledene door een machine learning algoritme te halen, om zo een chatbot te maken die klinkt als die persoon. Technisch best een heel eind mogelijk, en die datasets kun je via de AVG te pakken krijgen (net als een kopie van de foto’s trouwens) dus zeker te doen. Maar toch zou ik het nogal raar vinden als mensen dat met mijn blogs gingen doen (postmortem.iusmentis.com, eh nee).

Ik zou niet weten wat ik juridisch daartegen zou kunnen doen. Met name omdat ik dan dood ben natuurlijk, maar er is ook niet echt een juridische remedie. Auteursrechtinbreuk is het volgens mij niet om teksten door zo’n learning algoritme te halen. En mijn privacy – mijn blogs zijn persoonsgegevens – houdt op bij overlijden: de AVG geldt alleen voor levende mensen, niet voor overledenen.

Voor accounts geldt overigens hetzelfde als voor data: je kunt niet zeggen dat die van iemand zijn, want het zijn slechts toegangskaartjes tot die butler. Het beheer van een account en wie er in mag, is dus niet een kwestie van “het is mijn account” of “ik heb het geërfd, laat me erin”. Het is een kwestie van afspreken, en de wet zegt niets over wat er in die afspraken mag staan. Er is van alles te verzinnen – zoals een specifieke machtiging voor je executeur via de notaris – maar praktisch gezien is het wachtwoord in een envelop ergens veilig bewaren een stuk handiger.

Arnoud

Een Facebookpagina is van de vrijwilliger die hem aanmaakt

| AE 11193 | Intellectuele rechten, Uitingsvrijheid | 12 reacties

Wanneer een vrijwilliger uit eigen beweging een Facebookpagina (of groep) aanmaakt, dan is die van hem en niet van de vereniging. Dat maak ik op uit een recent vonnis uit Rotterdam over de beheerrechten (“eigendom”) van een Facebookpagina van een lokale politieke partij. Die had een geschil met een ex-lid die de officiële verenigingspagina en een aanverwante Facebookgroep niet af wilde geven. Alleen als er een expliciete opdracht was, of specifieke afspraken over eigenaarschap, dan kan dat anders worden. Komt er vervolgens een geschil en loopt de ex-vrijwilliger weg met de pagina, dan heb je dus als vereniging geen poot om op te staan.

De politieke partij ONS.Vlaardingen had een conflict met het uit de fractie gezette raadslid Tim Thiel: die weigerde de beheerrechten van de ONS-Facebookpagina’s af te staan. Hij zag deze pagina’s als zijn persoonlijke investering en succes, en weigerde ze af te staan aan de partij. Deze stapte daarop naar de rechter, die nu dus het ex-lid gelijk geeft.

Uit het vonnis haal ik dat de Facebookpagina van de partij in 2014 is aangemaakt ten behoeve van de partij (maar niet door wie). Het ex-lid had in 2017 de Facebookpagina in beheer gekregen, opnieuw vormgegeven en stevig gewerkt aan promotie: het aantal volgers steeg van 340 naar meer dan 2000. Later, in 2018, maakte hij nog een Facebookgroep aan ter ondersteuning van de partijpagina.

Eind 2018 werd hij uit de fractie gezet, waarna men de toegangscodes en beheerrechten van de twee pagina’s opeiste. Na een eerste mail met toezegging gebeurde dat niet, integendeel. De man verwijderde volgers van de pagina om terug te komen naar de 340 originele, veranderde het mailadres, en maakte van de naam van de pagina en de profielfoto iets stekeligs (geen idee wat maar iets met poppenkastpoppen en een sneer naar de fractievoorzitter). Daarna stapte de vereniging naar de rechter.

De vraag is juridisch nog knap ingewikkeld, wat ís een Facebookpagina eigenlijk, juridisch? Je kunt erop afstuderen: is het een overeenkomst van opdracht, een licentie onder Facebook’s gebruiksrechten, een vermogensrecht dat je schept, of ga zo maar door?

De voorzieningenrechter had haast gezien de aard van de zaak, en gaat er dus niet in detail op in. Heel pragmatisch is dan ook de conclusie: degene die een pagina aanmaakt is in beginsel de beheerder (“eigenaar”) van die pagina, tenzij er concrete opdrachten zijn gegeven of je bindend hebt toegezegd deze over te dragen.

Die tenzij gaat op bij de pagina van de partij zelf. Deze is immers in 2014 aangemaakt voor de partij, en pas drie jaar later is het ex-lid gevraagd beheer daarvan te doen. Dat is dus werk in opdracht aan andermans pagina. Of hij zelf auteursrechten kan claimen op zaken daar geplaatst (en daarmee de overdracht of gebruik door de partij kan frustreren) laat de rechtbank even buiten beschouwing.

Voor de groep komt het anders uit. Het uitgangspunt blijft hetzelfde, maar deze groep is op eigen initiatief door het ex-lid aangemaakt, waarbij hij zichzelf als beheerder presenteerde en de groep niet als officieel of namens de partij aangemerkt had. Daarmee is er dan te weinig om te spreken van een groep die eigenlijk van de partij had moeten zijn. Het beheer over die groep hoeft hij dus niet terug te geven, ook niet nu hij uit de partij is gezet.

Ik blijf er op hameren dat als je als vereniging of stichting met vrijwilligers werkt voor je online activiteiten, je maar beter gewoon afspraken met ze kunt maken op papier. Of regel meteen dat een functioneel account (zoals bestuur@ of penningmeester@ of pr@) het beheer heeft op dergelijke pagina’s) zodat een aangewezen vrijwilliger niet met zijn account weg kan lopen met je pagina’s.

Arnoud

Mag een kinderdagverblijf voor hun activiteiten-app eisen dat je Google of Facebook gebruikt?

| AE 11125 | Ondernemingsvrijheid, Privacy | 43 reacties

Een lezer vroeg me:

De kinderopvang waar mijn kinderen naartoe gaan hebben onlangs een contract gesloten met Bitcare voor hun management en registratie van wat er zoal gebeurt gedurende de dag. Echter, registreren kan alleen door je via een ‘identity provider’ aan te melden. Je hebt een Google, Microsoft of Facebook account nodig zodat het bedrijf je kan koppelen aan je kinderen, en zodat ze in contact met je kunnen komen indien nodig. Maar ik wil dat helemaal niet, mijn gegevens hoeven niet naar die Amerikaanse datagraaiers. Kunnen ze dit zomaar doen?

Bitcare is een van diverse dienstaanbieders gericht op communicatie tussen ouders en kinderopvang, bso en dergelijke. Het idee is dat je zo makkelijk allerlei informatie kunt verstrekken op een veilige manier, inclusief foto’s van je kinderen tijdens de dag. De dienst legt uit wat het inhoudt:

Met Bitcare zullen gedurende de dag activiteiten en foto’s online met u gedeeld. Via een app en website kunt u zien hoe laat uw kind heeft geslapen, gegeten en gedronken en welke leuke activiteiten er met de kinderen zijn ondernomen. Ook kunt u de planning bekijken en verzoeken indienen omtrent vakanties, ziekte, extra dagen en ruildagen. Daarnaast kunt u chatten met leidsters op de groep. Met Bitcare blijft u altijd op de hoogte van alle gebeurtenissen en de ontwikkeling van uw kind(eren). Zo kunt u zorgeloos werken en hoeft u niets te missen!

Om dit goed te laten werken, moet de dienst natuurlijk de identiteit van ouders vaststellen alvorens ze een account te geven. Dat kunnen ze natuurlijk zelf doen, maar dat is in dit geval uitbesteed aan Facebook, Google of Microsoft als identity provider. In de kern komt het er dan op neer dat je daar moet inloggen en dat het resultaat wordt teruggemeld aan Bitcare, waarna die weet wat je echte naam is.

Deze insteek zie ik vaker sinds de AVG. Het achterliggende idee is dan dat Facebook, Google of Microsoft beter in staat zijn je gegevens te beschermen dan zo’n kleine club als een kinderopvang. De authenticatie is dan dus veiliger en betrouwbaarder. Daar is weinig tegenin te brengen, dus de zorg gaat dan vooral over wat er nog meer gebeurt met die gegevens.

Bitcare zelf doet eigenlijk niets met Facebook-gegevens, noch andersom:

Bitcare gebruikt na toestemming dan ook alleen uw naam en e-mail adres, zodat mocht het nodig zijn er contact met u opgenomen kan worden. We hanteren strenge privacy regels voor u en uw kind en Bitcare zal nooit deze gegevens misbruiken. Bitcare heeft verder geen toegang tot uw Google, Microsoft of Facebook account en de bovenstaande partijen hebben ook geen toegang tot de Bitcare gegevens.

Eerlijk gezegd zie ik in die situatie weinig reden om hier bang voor te zijn. Een verhoogd risico door gebruik van deze authenticatie bij deze dienst is er volgens mij niet. Als je bang bent voor wat Google, Microsoft of Facebook doen, dan snap ik dat maar deze specifieke toepassing zal de bedreigingen weinig versterken.

Een alternatief bieden in de zin van een eigen authenticatiedienst kan natuurlijk, maar voelt nogal omslachtig en geeft bovendien extra risico’s rond identiteitsfraude, foutjes bij de administratie en ga zo maar door. Ik zou de stelling wel aandurven dat je minder veilig bent met eigen formuliertjes dan met een Microsoft als identity provider.

Wat denken jullie?

Arnoud

Komt een man met een knots geheime documenten bij Facebook halen

| AE 10985 | Regulering | 17 reacties

Dat Engelse recht heeft toch wel zo z’n charme. Het Britse parlement heeft van uitzonderlijke bevoegdheden gebruik gemaakt om interne papieren van Facebook te bemachtigen die info bevatten over de zaak-Cambridge Analytica, las ik bij Tweakers. Eén daarvan was dat de Serjeant at arms van het Parlement fysiek langs ging bij deze meneer, en dat… Lees verder

Beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking

| AE 10651 | Privacy, Uitingsvrijheid | 11 reacties

Het Europese Hof van Justitie heeft in een uitspraak bepaald dat de beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien als het gaat om de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. Deze juridische term houdt in dat beide partijen samen bepalen wat er gebeurt met persoonsgegevens, en elk… Lees verder

Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische… Lees verder

Hoe kan Facebook legaal gezichten gaan scannen onder de AVG?

| AE 10513 | Privacy | 10 reacties

Als voorbereiding op de AVG gaat Facebook gezichtsherkenning aanzetten voor Europese gebruikers die dat willen, las ik bij de socialenetwerksite. Dat is verrassend, omdat ze het in 2011 uitgezet hadden na klachten dat de (Duitse) Wbp werd overtreden met deze feature. Doel van de nieuwe feature is te zorgen dat mensen in kunnen grijpen als… Lees verder

Facebook overtreedt Belgische privacywet door volgen niet-gebruikers

| AE 10406 | Privacy | 22 reacties

Facebook overtreedt de Belgische privacywet door het internetgedrag te volgen van mensen die geen account bij het sociale netwerk hebben. Dat meldde Nu.nl zaterdag. De vind-ik-leuk knopjes die alomtegenwoordig zijn, zetten cookies en gebruiken andere trackingtechnieken om internetgedrag op te slaan. Ook bij mensen die geen klant (product?) zijn van het sociaal netwerk, en dat… Lees verder

‘Overheid kan nepnieuws op digitale platformen aanpakken’

| AE 10074 | Ondernemingsvrijheid, Uitingsvrijheid | 37 reacties

De overheid kan verschillende maatregelen nemen om te voorkomen dat digitale platforms als Facebook, Google en Amazon misleidende informatie doorgeven. Dat meldde Nu.nl op gezag van een CPB-rapport dat waarschuwt tegen de snelle groei en steeds kleiner wordende transparantie van deze platformaanbieders. Met name de aanbeveling voor een vergunningenstelsel springt in het oog. Digitale platforms… Lees verder