VoetbalTV hoeft boete Autoriteit Persoonsgegevens niet te betalen

VoetbalTV heeft een boete van €575.000 van de Autoriteit Persoonsgegevens gekregen, maar hoeft die van de rechtbank niet te betalen. Dat meldde Rechtspraak.nl maandag.  Een mooie winst voor de amateurvoetbalaggregator en -uitzender: de Autoriteit Persoonsgegevens heeft volgens de rechtbank onvoldoende uitgelegd waarom VoetbalTV geen gerechtvaardigd belang heeft bij het opnemen en uitzenden van amateurwedstrijden. De AP vond immers dat het hier ging om zuiver commerciële belangen, die sowieso nooit de privacy mogen schenden. Dat ligt dus – het zal eens een keer niet – een stukje genuanceerder.

In juni stapte VoetbalTV naar de rechter. Privacytoezichthouder AP was anderhalf jaar geleden een onderzoek gestart naar het videoplatform, maar de resultaten lieten maar op zich wachten. Op het platform kun je amateurvoetbalwedstrijden uit heel Nederland bekijken, maar omdat men onzekerheid voelde of dat wel mag van de AVG, kwam het niet op gang. Ondanks een redelijk vlotte uitspraaktermijn is het doek toch reeds gevallen voor VoetbalTV, maar dat terzijde.

Waar ging het nu om? VoetbalTV vond dat zij die beelden mocht maken zonder iedere voetballer individueel toestemming te vragen. Dat zou immers ook een onvoorstelbare administratieve ramp zijn geweest,  zeker omdat je toestemming op ieder moment kan intrekken – zeg, 30 seconden na een achterstand. VoetbalTV moest het hebben van het zogeheten gerechtvaardigd belang, waarmee je in beginsel de privacy mag passeren als je genoeg waarborgen neemt en jouw belang zo inkleedt dat het zwaarder weegt.

Alleen, wat voor belangen moet het dan om gaan? De AVG zwijgt hierover, en noemt alleen indirect een aantal zaken. Vrijheid van meningsuiting (journalistiek) is enerzijds een voorbeeld, anderzijds worden specifieke dingen als ‘bewaking’ en ‘direct marketing’ genoemd. De AP was er eens goed voor gaan zitten en kwam met een principieel standpunt:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc.
Om als “gerechtvaardigd” belang te tellen, moest het belang eigenlijk gewoon tot een wettelijk recht te herleiden zijn. Vrijheid van meningsuiting dus, dat is een grondrecht dus daar kun je op gaan zitten. Vervolgens krijg je dan een belangenafweging die al dan niet pro-uitingsvrijheid kan uitvallen. Maar als je komt met “ik wil heel amateurvoetballend Nederland filmen en dat uitzenden als betaal-tv” dan is dat zuiver commercieel en dan gaan we het niet eens hébben over een belangenafweging. Bah, commercie, dat telt niet.

De rechtbank ziet dat anders: de AVG noch haar voorganger (de Richtlijn uit 1995) definieert in beperkte zin wat zo’n belang is. Er is niet direct jurisprudentie, maar uiteindelijk wel een gezaghebbende uitspraak van de verzamelde toezichthouders (de artikel 29-Werkgroep). En die zeiden, aldus de rechtbank:

In haar opinie uit 2014 heeft de WP29 geschreven dat het gerechtvaardigd belang moet worden geïnterpreteerd als een begrip waar een scala aan verschillende belangen onder kan vallen, of het nu gaat om triviale of dwingende belangen, en of deze nu evident of meer controversieel zijn, mits het een werkelijk en aanwezig (en dus niet speculatief) belang is. Niet alleen juridische, maar ook allerhande feitelijke, economische en ideële belangen kunnen dus als gerechtvaardigd belang kwalificeren.
Dit is dus wat de meeste juristen destijds ook al riepen: je kunt niet op voorhand zeggen dat belang X nóóit gerechtvaardigd kan zijn. Een belang moet er zijn, grofweg de enige echte grenzen zijn dan nog of het binnen de wet past (dus geen illegale belangen of tegen de openbare orde, zeg maar). Maar kwaliteitseisen of arbitraire grenzen, dat gaat niet.

Natuurlijk zal bij een zuiver commercieel winstbelang de belangenafweging sneller in het nadeel van de geldbeluste wolf uitvallen dan bij een hoogwaardige uiting die een zwaarwegend belang dient. Maar dat is dus het hele punt van die afweging van belangen. En omdat die niet was gemaakt, wordt het besluit van de AP vernietigd en moet zij gaan beoordelen hoe die afweging er dan wel zou hebben uitgezien.

Als bijvangst weten we nu dat dit soort activiteiten niét onder de persvrijheid vallen. Weliswaar is ook het filmen van voetballers een vorm van informatiegaring en -verbreiding, maar:

De uitzending van de amateurvoetbalwedstrijden kan namelijk niet worden aangemerkt als een bekendmaking aan het publiek van informatie, meningen of ideeën. De wedstrijden hebben daarvoor te weinig nieuwswaarde; het gaat om het uitzenden van amateursport en- spel. De beelden geven geen informatie over bekende personen, bijvoorbeeld bekende voetballers, en dragen ook niet bij aan enig maatschappelijk debat. Het gaat om een ongefilterd verwerken van een grote hoeveelheid door eiseres zelf verzamelde persoonsgegevens. Voor het geheel van de verwerkingen geldt niet dat zij uitsluitend een journalistiek doeleinde hebben. Dat er in alle door haar verzamelde beelden nieuwswaardige informatie kan zitten, maakt niet dat alle duizenden uitgezonden wedstrijden kunnen worden gezien als journalistiek en rechtvaardigt niet het maken van opnames en uitzenden van al deze wedstrijden.
Ik zag dat zelf altijd anders; er is immers geen kwaliteitstoets bij de uitingsvrijheid. Nieuwswaarde is een argument voor de belangenafweging, als iets te weinig nieuwswaarde heeft dan zeg je dat het nieuwsbelang niet opweegt tegen de privacy van je nieuwsonderwerp. Maar ik zie wel het punt dat een grove berg met beeldmaterial (nog) geen nieuws is, je moet zoeken naar de pareltjes die je wil brengen.

Arnoud

Mag een tracking cookie van de AVG als je het “gerechtvaardigd belang” noemt?

Een lezer vroeg me:

Sinds een tijdje valt het me op dat er steeds meer cookie-popups zijn die schermen met de term “gerechtvaardigd belang” als reden waarom ze cookies mogen plaatsen. Ook tracking cookies, terwijl dat toch gewoon onder toestemming valt volgens de AVG? Waar komt die term vandaan en hoezo is het niet misleidend om jouw commerciële belang op voorhand “gerechtvaardigd” te noemen?
Die term is inderdaad wat misleidend, zeker gezien hoe mensen de term nu gebruiken namelijk als schaamlap voor alles dat ze maar willen. Maar ‘gerechtvaardigd’ betekent niet dat jij het goed moet vinden, het betekent dat het binnen de wet past, van de wet te rechtvaardigen is.

In de kern komt het erop neer dat er situaties zijn waarin jij ook gewoon een belang hebt, bijvoorbeeld de bescherming van jouw eigendom (een grondrecht, immers). Dat belang moet je dan kunnen beschermen, zoals door cameratoezicht. De AVG zegt dan dat dat mag, mits je maar zo veel mogelijk de privacy van passanten beschermt.

Daar zit dan een hele belangenafweging in, inclusief zo mogelijk een opt-out op basis van persoonlijke omstandigheden. Maar in de kern zegt de AVG dus dat het mag, “in principe” zoals de AVG dat noemt.

Het lastige is natuurlijk wanneer een belang “gerechtvaardigd” is. De AVG gaat daar niet op in, en er is ook geen jurisprudentie hierover van het Hof van Justitie. Onze eigen Autoriteit Persoonsgegevens publiceerde in haar normuitleg hier wel een formulering over:

[Gerechtvaardigd] houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden.
De insteek is dus dat een belang ergens te herleiden moet zijn tot de wet, zoals in mijn voorbeeld van het eigendomsrecht dat ik wil beschermen. Een ander belang zou kunnen zijn dat ik een rechtsvordering wil instellen tegen jou, omdat jij mijn schadeclaim niet betaalt. Daarvoor heb ik jouw persoonsgegevens nodig, en dat zou ik dan onder deze grondslag kunnen doen.

Bij al die cookiedingen wordt er geschermd met “direct marketing” als gerechtvaardigd belang, omdat de AVG dat expliciet noemt als een voorbeeld. Daar zet de AP tegenover:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc
Over wat een “zuiver commercieel belang” is, heb ik het eerder gehad. Ik las dat als dat je “ik wil geld verdienen anders ga ik failliet” niet als belang mag opvoeren, maar de AP lijkt het te interpreteren als “iedere motivatie waarin ‘ik wil geld verdienen’ staat, is ongeldig”. Dat gaat wel héél ver, met name omdat grondrechten wél als gerechtvaardigd belang kunnen dienen en de vrijheid van ondernemerschap een grondrecht is. Net als de vrijheid van meningsuiting; als ik jouw privacy mag schenden door iets te publiceren, waarom dan niet door jou te tracken?

Specifiek bij cookies werkt dit trouwens bijna nooit. De Telecommunicatiewet eist toestemming voor ieder plaatsen of uitlezen van informatie, ongeacht wat de AVG eventueel zegt over de persoonsgegevens-aspecten van die informatie. Dus een cookie plaatsen of een remote software update uitvoeren mag alleen met toestemming.

De Nederlandse uitzondering daarop is dat cookies die geen of geringe privacy-inbreuk maken, géén toestemming nodig hebben. Daarmee kun je dus bijvoorbeeld third-party analytics inzetten, hoewel daar tracking cookies bij komen kijken. Als je dat goed dichttimmert, dan is dat legaal zonder toestemming – en dán kun je je dus op gerechtvaardigd belang beroepen. Ik zou dus zeggen vrijheid van informatiegaring – weten hoe je site bezocht wordt.

Arnoud

VoetbalTV spant rechtszaak aan tegen Autoriteit Persoonsgegevens wegens treuzelen

VoetbalTV is het wachten zat en sleept de Autoriteit Persoonsgegevens voor de rechter, las ik bij BNR Nieuwsradio. De privacytoezichthouder is anderhalf jaar geleden een onderzoek gestart naar het videoplatform, maar de resultaten laten nog altijd op zich wachten. Op het platform kun je amateurvoetbalwedstrijden uit heel Nederland bekijken, maar omdat men onzekerheid voelt of dat wel mag van de AVG, komt het niet op gang en dreigen de investeerders er nu mee te stoppen. De AP moet dus zeggen of het mag, maar dat duurt en duurt maar.

Het probleem is natuurlijk: mag VoetbalTV die beelden via internet uitzenden zonder dat ze van iedere voetballer toestemming heeft verkregen? Dat zou een onmogelijke opgaaf zijn (en u weet het: wie toestemming vraagt, is verkeerd bezig (of heeft een nieuwsbrief)) dus logisch dat VoetbalTV het gooit op het eigen legitiem belang, de grondslag waarbij zo ongeveer alles mag als je het maar goed genoeg onderbouwt.

VoetbalTV had zo’n onderbouwing maar de Autoriteit Persoonsgegevens was een onderzoek gestart waaruit ze concludeerde dat deze niet goed genoeg was. Alleen bleef het bij dat rapport; een formeel besluit in de zin van de Algemene Wet Bestuursrecht kwam maar niet. En dat is vervelend, want als zo’n onderzoek gestart wordt dan mag je niets tot het besluit genomen is. En dat duurt nu dus al anderhalf jaar, een onhoudbare toestand en nogal unfair naar VoetbalTV – ongeacht wat je van hun standpunt vindt.

Persoonlijk had ik gezegd: wij brengen als nieuwsplatform sportverslaggeving, dat valt onder de informatievrijheid en dus de journalistieke exceptie, en dan is de AP in het geheel niet bevoegd. Want dan kun je verder en dwing je ze tot een onderbouwd besluit, immers ze kunnen je pas beboeten als ze een formeel besluit nemen. En dan vecht je dat dus weer aan met een beroep op hun onbevoegdheid.

Maar daar zit een fors financieel risico aan: dan ga je dus lanceren, komt drie maanden later dat besluit en legt men ondertussen een last onder dwangsom op dat je platform offline moet tot de uitspraak van de rechter er is. En hoe veel bitcoins John de Mol ook verdient naast zijn investeringen in dit platform, niemand heeft zin in het dragen van zulke financiële onzekerheden.

Bovendien klopt het principieel niet. Als er een onderzoek en een rapport is, dan moet er gewoon met gezwinde spoed een besluit komen. Zo werkt het bestuursrecht, dan kun je bezwaar maken en daarna naar de bestuursrechter als je het er echt niet mee eens bent. Er is geen enkele reden om dan anderhalf jaar te wachten.

In een heel andere zaak (pdf) las ik nog van een vrouw die dwangsommen bij de AP opeist omdat ze maar geen besluit kreeg tegen haar klacht dat haar gegevens ten onrechte voor kwaliteitsbenchmarking werden gebruikt. Die dwangsommen werden toegewezen, maar ze kreeg meteen ook een afwijzing van haar klacht.

Arnoud

Hoe generiek mag je privacyverklaring zijn onder de AVG?

Een lezer vroeg me:

Een van mijn ‘leveranciers’ heeft in de Privacy Verklaring staan dat ze bij websitebezoek mijn IP-adres, Internetbrowser, besturingssysteem en apparaattype opslaan. Dat doen ze “Voor het onderzoeken van je (surf)gedrag op onze website, zo kunnen we bijvoorbeeld de website en onze tools nog beter maken.” Bij navraag blijkt dat ze zich beroepen op het gerechtvaardigd belang. Mag dat zo generiek? Als dat zo is, dan mag iedereen weer alles opslaan van de website bezoeker, want alles is bruikbaar voor verbetering van de website.

Het is inderdaad mogelijk om met een beroep op het gerechtvaardigd belang van alles te doen onder de AVG. Maar dat moet je wel onderbouwen, en een tekst als deze voelt wat magertjes.

Het eigen gerechtvaardigd belang is een grondslag voor de verwerking van persoonsgegevens. Als je je hierop beroept, heb je geen toestemming nodig maar alleen een gemotiveerde belangenafweging die in jouw voordeel uitkomt. Het is dus ten onrechte dat dingen “niet mogen” van de AVG of niet mogen zonder toestemming; deze grondslag (en er zijn er nog 4) is net zo goed als met toestemming werken.

Die belangenafweging is natuurlijk wel kern. Bij toestemming weet je dat het mag, omdat je hebt uitgelegd wat je gaat doen en de betrokkene daar expliciet mee instemt. Bij het gerechtvaardigd belang weet je dat niet, je moet zelf verzinnen wat men ervan zou vinden en hoe je de privacy van betrokkenen afweegt tegen jouw belang.

In de praktijk komt het erop neer dat je eerst op een rijtje zet wat je wilt doen en wat je daarvoor nodig hebt, en dat je daarna kijkt of het niet een onsje minder kan. In juridische taal: dat je privacybevorderende maatregelen neemt die eventuele inbreuken door jouw verwerking beperken of tot nul reduceren.

Bij de verwerking hierboven kun je je afvragen hoe lang daarbij is stilgestaan. Het is zeker een gerechtvaardigd belang om te kijken hoe je site wordt gebruikt zodat je deze beter kunt maken. Maar daarmee is niet gezegd dat je dus alles mag verzamelen. In dit geval vind ik wel dat inventariseren van besturingssysteem en apparaattype weinig kwaad kan, die gegevens zijn erg relevant in de aggregatie (moeten we Safari blijven ondersteunen, tablets gebruikt niemand meer) maar niet voor persoonsgebonden onderzoek (he daar heb je die Linuxgebruiker weer).

Natuurlijk kún je die gegevens ook voor heel persoonlijk volgen gebruiken (device fingerprinting) maar dat wordt hier niet genoemd en zou ook een hele andere belangenafweging eisen. Gegevens verzamelen voor doel X en dan inzetten voor niet-genoemd doel Y is AVG-technisch onder geen voorwaarde toegestaan (oké tenzij X en Y zeer dicht bij elkaar liggen), dus als jurist zou ik dan zeggen dat hier niets aan de hand is.

Ik had wel graag gezien dat in de privacyverklaring werd uitgelegd dát die gegevens alleen voor geaggregeerde gebruiksstatistieken werden ingezet. Dat had in ieder geval deze vraagsteller gerustgesteld vermoed ik.

Arnoud