Een verjaardagskadootje dat me niet eens was opgevallen. Op 11 december publiceerde College bescherming persoonsgegevens (CBP) de definitieve tekst van de Richtsnoeren ‘Publicatie van persoonsgegevens op internet’ (PDF). Deze Richtsnoeren leggen uit hoe het CBP vindt dat de Wet Bescherming Persoonsgegevens toegepast zou moeten worden op internet, met name bij websites en forums.
Veel kritiek, pardon feedback over het omgaan met persoonsgegevens van minderjarigen. Je mag geen stamboom met daarin de naam van je kind publiceren, om eens wat te noemen. Maar, iets belangrijker, sites zoals Hyves, Sugababes en CU2 zijn illegaal bezig omdat ze kinderen profielen laten aanmaken zonder expliciet toestemming aan de ouders te vragen. Deze regel zal grote problemen op gaan leveren voor veel sites, nu meer dan 90 procent van alle jongeren regelmatig online bezig is en 58% vaak gebruik maakt van zulke sites. Toch vindt het Cbp het door haar gepropageerde strenge regime belangrijk:
Bij publicatie op internet moet echter rekening worden gehouden met het feit dat de gevolgen pas jaren later merkbaar kunnen worden, door koppeling van gegevens over een persoon door de tijd heen, of omdat een jongere zich in een nieuwe omgeving (bijvoorbeeld bij wisseling van school) op een andere manier wil kunnen ontwikkelen dan voorheen.
Ook handhaaft het Cbp de opvatting dat een IP-adres een persoonsgegeven is (in combinatie met een datum en tijdstip). Hierop was de nodige kritiek gekomen, omdat IP-adressen eigenlijk bij elke communicatie via internet nodig zijn en de Wbp zo wel heel ruim uitgelegd wordt. Maar deze brede uitleg past binnen de wet en de Europese privacyrichtlijn.
Als laatste bleek er veel verwarring te zijn over de verschillende begrippen, en met name wat de bijbehorende consequenties zijn. Zo gaat het vaak over de “verantwoordelijke” voor een verwerking van persoonsgegevens. Deze term lijkt te suggereren dat je die persoon dan dus aan kunt spreken op de gevolgen. Verantwoordelijkheid op grond van de Wbp is echter iets anders dan aansprakelijkheid. Je kunt verantwoordelijk zijn voor een verwerking zonder aansprakelijk te zijn voor de gevolgen. Zo is Youtube niet aansprakelijk voor schade door een daar gepubliceerd filmpje waar iemand herkenbaar op te zien is. Pas als Youtube getipt wordt, en men het filmpje dan niet weghaalt, kan dat anders worden.
De beheerder van een discussieforum is daarentegen wel verantwoordelijk én aansprakelijk voor persoonsgegevens die op zijn forum geplaatst worden. Een goed moderator-team is dus erg belangrijk. Het Cbp gaat nog een stapje verder:
Houders van websites of forums zijn onder de Wbp ook verantwoordelijk voor onjuiste of onnodige vermeldingen van persoonsgegevens door de bezoekers van hun publicatie. De verantwoordelijke moet daarom actief modereren om aperte onrechtmatigheden te voorkomen, zeker als het gaat om bijzondere gegevens, zoals strafrechtelijke of gezondheidsgegevens (zie hoofdstuk I paragraaf 8). Om onrechtmatigheid van de publicatie te voorkomen, dienen verantwoordelijken ervoor te zorgen dat bijdragen alleen gepubliceerd kunnen worden op tijdstippen dat er moderatie aanwezig is.
Dat wil niet zeggen dat het dus verplicht is om alleen publicaties na moderatie te laten verschijnen. Wie die strenge regel hanteert, zit goed volgens het Cbp. Wie dat niet doet, loopt het risico dat er een bijdrage op het forum komt die achteraf gezien iemands privacy schendt. Maar als dat niet gebeurt, is er geen juridisch probleem.
De regels zijn officieel gepubliceerd in de Staatscourant 2007, 240, pag. 27.
Eerste commentaar bij Netkwesties.
Arnoud