Hoe hard zoek je de openbaarheid als je dingen op Facebook zet?

| AE 9586 | Arbeidsrecht, Privacy | 31 reacties

De privacywetgeving hoort niet van toepassing te zijn als iemand zelf de openbaarheid zoekt, las ik bij Netkwesties. Als mensen beslissen allerlei zaken openbaar te maken, betekent dat tegelijkertijd dat zij het ‘risico’ nemen dat anderen, waaronder wellicht potentiële werkgevers, daar kennis van nemen. Een standpunt dat hier ook recent voorbij kwam, zij het op een voor mij wat ergerlijke manier: het is me iets te makkelijk, dat “iedereen kiest voor Facebook dus wat je daar zet is vogelvrij”.

De kern van dit standpunt komt erop neer dat Facebook en andere sociale media inzetten een bewuste keuze is, die weloverwogen wordt gemaakt door een gemiddeld omzichtige consument na zich adequaat geïnformeerd te hebben. Na die keuze is het inderdaad wat raar om ineens te gaan schermen met allerlei privacybezwaren. Wie zijn arts aanklaagt voor een amputatie na middels diverse gesprekken over de beste medische behandeling daar welbewust voor gekozen te hebben, zal ook niet snel gelijk krijgen.

Alleen: dat de gemiddelde burger zo’n omzichtige consument is, klopt natuurlijk van geen kant. Mensen kiezen niet welbewust en na zorgvuldig inlezen voor die diensten, men gebruikt het omdat iedereen het gebruikt, het er netjes en overzichtelijk uitziet en het wel snor lijkt te zitten. Wie zou er immers niet een keurige nette dienst afnemen van een groot beursgenoteerd bedrijf? Betrouwbaarder kan haast niet, zou je denken.

En er zitten ook keurige knopjes in om je privacy mee te bedienen. Alleen, zo makkelijk is dat nog niet. Uit onderzoek blijkt dat slechts een derde van de mensen snapt hoe Facebook-privacyinstellingen werken. De meeste mensen denken te snel dat ze iets privé hebben gemaakt. Je moet er een behoorlijke studie van maken om zeker te weten wat je doet als je dingen dicht wil zetten.

Sterker nog: je kúnt je haast niet adequaat inlezen in wat die diensten doen. De privacyverklaring staat vol wollige taal, en wie dat allemaal door wil spitten is daar 76 werkdagen per jaar mee kwijt. En nog erger, die privacyverklaringen zijn niet volledig dus zelfs als je die 76 dagen er voor gaat zitten, kom je er nog niet uit.

En zelfs als je wél eruit komt, de boel goed dichttimmert en oplet wat je post, dan nog loop je tegen vrienden en kennissen aan die zonder nadenken dingen posten met jouw naam of foto erin. Een fotoverslag van een leuk feestje met als grappig commentaar dat jij weer helemaal teut was “maar je zal je wel ziek gemeld hebben vandaag he” om eens wat te noemen. Of tegen een naamgenoot die het wat minder nauw met de werkethiek neemt.

Natuurlijk zijn er mensen die welbewust hun hele leven delen. Die zullen er ook weinig bezwaar tegen hebben dat hun werkgever dat leest. Maar daar zal ook weinig echt privés te vinden zijn. Deze regels over werknemers googelen zijn natuurlijk niet voor deze groep bedoeld. Het gaat om het gros van de mensen dat niet weet, en eigenlijk ook niet kán weten hoe Facebook en consorten werken, die in een vervelende positie komen als hun socialmediainformatie al te makkelijk gebruikt kan worden.

Die mensen wegzetten als “ze kiezen er welbewust voor” vind ik gewoon wereldvreemd. Hetzelfde geldt voor “je hoeft niet op Facebook te zitten”, waar ik eerder al over tireerde.

(En dat raakt aan een aanverwant punt waar het Netkwesties-stuk overheen scheert: de benodigde zorgvuldigheid om die informatie op waarde te schatten. Weet jij als werkgever of zo’n bericht waar is? Klopt de datum wel? Is het echt je werknemer? En is het opschepperij/stoerdoen naar vrienden of serieus bedoeld?)

Arnoud

Sollicitanten niet meer vogelvrij op sociale media

| AE 9547 | Privacy | 75 reacties

Even het Twitter-account of de Facebook-site van een potentiële werknemer checken is niet toegestaan, meldde het FD vorige week. De Autoriteit Persoonsgegevens bracht een opiniestuk uit dat er nog eens op wijst dat dit eigenlijk gewoon niet toegestaan is, in ieder geval niet zonder stevige belangenafweging. Waanzin, noemt Quote het en je kunt je natuurlijk afvragen of dit veel gaat veranderen. Maar het is eigenlijk helemaal niet verrassend.

In de basis komt het erop neer dat iemand googelen dan wel zijn social media checken gewoon een verwerking van persoonsgegevens is. Het maakt niet uit of de bron openbaar is, of men zelf koos voor publicatie of wat de voorwaarden van die zoekdiensten of social media diensten ook vermelden. Als je informatie over een persoon opvraagt in een elektronisch systeem, dan is dat een verwerking en dan val je onder de Wbp (en volgend jaar de AVG). Punt.

Als je onder de Wbp/AVG valt, dan moet je een grondslag hebben om dit te mogen doen. Toestemming is de netste grond, maar gaat bij werknemers niet zo goed. Die kunnen naar hun werkgever toe geen toestemming geven, omdat daarvoor vrijwilligheid een vereiste is. En bij de werkgever zit op de achtergrond altijd een zweem van dwang: oh jij wilde volgend jaar promotie/vast contract/ander kantoor, dan zou ik maar niet weigeren. Het is juridisch onmogelijk die zweem weg te nemen.

Bij sollicitanten meen ik dat het anders ligt, je hóeft immers niet te solliciteren dus kan ik prima zeggen “Een Google-zoekopdracht en socialmediasnuffel maakt deel uit van de procedure, solliciteren is toestemming”. Maar het moet dan wel expliciet in de advertentie benoemd zijn, en je moet duidelijk zijn over wat je precies gaat doen.

Oh, en ook niet toegestaan is van je personeel verlangen dat ze je bevrienden of lid worden van je bedrijfsgroep.

Kan het wel? Ja, soms. Er is immers de grondslag van eigen dringende noodzaak, waarbij je kortweg zegt, ik kan niet anders en heb rekening gehouden met de privacy. Volgens deze opinie gaat dat alleen op als het googelen/monitoren:

  • noodzakelijk is voor een legitiem doel;
  • dit doel niet kan worden bereikt op een manier die minder inbreuk maakt op de privacy;
  • proportioneel is en dus niet meer verzamelt of onthult dan nodig is voor het doel.

Een voorbeeld van een legitiem doel is het nagaan of iemand een concurrentiebeding schendt. Hiervoor zou je Linkedin kunnen monitoren op namen van ex-personeel dat zo’n beding heeft. Er zijn weinig tot geen andere bronnen waar je kunt achterhalen wat een ex-werknemer doet, en als je dit ook meldt dat je gaat doen, dan is dit toegestaan.

Een ander voorbeeld is het monitoren van uitgaande mail op mogelijke lekken van bedrijfsgegevens. Dit mag, want het voorkomen van datalekken of geheimlekken is legitiem. En als je bang bent voor lekken via mail, dan is monitoren van de mail natuurlijk de enige manier. Maar de methode moet proportioneel zijn. Dus niet geforceerd alle mailtjes bcc’en naar de directeur ter screening, maar eerder een keyword tool die goed afgesteld is, en bij een match een ander er naar laat kijken. Bij voorkeur pas nadat de afzender zelf een bericht kreeg (“Deze mail lijkt een datalek, is dat juist [Y/n]”) en daar niet op reageerde.

Juridisch gezien is dit allemaal geen verrassing, het is hooguit nieuwe invulling van oude regels. Maar ‘waanzin’ zal het al snel genoemd worden bij veel bedrijven. Je moet toch je security in de gaten kunnen houden, en je betaalt mensen toch om te werken, privacy doen ze maar thuis. Ja precies, maar het wordt dus tijd om een afweging te maken tussen security en privacy. Je hebt nog tot 25 mei want dan staan er hoge boetes op disproportioneel monitoren.

Arnoud

Mag een verzekeraar mensen googelen en dan persoonlijk gaan observeren?

| AE 6358 | Aansprakelijkheid, Privacy | 41 reacties

feitenonderzoek-google.pngVoor verzekeraars is internet een dankbare bron om dubieuze claims te verifiëren. Weinig dingen zo eenvoudig als even op Facebook kijken of iemand daar poseert met de zonnebril die een week eerder als gestolen opgegeven is, of op Twitter nalezen of een ziek persoon toch naar een feestje is geweest. Al in 2011 werd in de media gemeld dat verzekeraars ook daadwerkelijk dergelijke online controles uitoefenen van claims. Vooral als ze vermoeden dat er fraude in het spel is, kijken ze naar de Facebook- of Hyvespagina van degene die declareert, aldus RTL Nieuws op 7 november 2011. En het gebeurt ook vandaag nog.

In een geruchtmakende zaak in 2012 moest een man een arbeidsongeschiktheidsuitkering van verzekeraar Aegon terugbetalen tot een bedrag van €75.336. De uitkering werd verstrekt na een bedrijfsongeval met als gevolg ernstige fysieke en psychische klachten, zoals niet meer dan 20 minuten te kunnen lopen of zitten. Feitenonderzoek op internet een jaar later liet echter zien dat de man op sportief, zakelijk en sociaal gebied ook na het ongeval nog actief was geweest. Zo kwam hij vijf maal voor in de online uitslagenlijst van de Amstel Curaçao Race (80 kilometer) en werd hij vermeld als succesvol deelnemer een wielertocht van 250 kilometer van Luxemburg naar Valkenswaard. En dat terwijl de man had gezegd “als een zombie op een fiets te zitten” en pijnstillers te moeten slikken. Ook werd hij op online foto’s (met bijschriften) gesignaleerd als vaste supporter en in een krantenartikel omschreven als “vaste chauffeur en psychologisch begeleider” van een lokaal zaalvoetbalteam.

Heel recent speelde hetzelfde punt, maar dan nog een stapje erger: niet alleen internetonderzoek maar ook een persoonlijk onderzoek, oftewel structureel volgen. De vrouw in deze zaak was slachtoffer van een aanrijding door een persoon verzekerd bij Reaal. De conclusie van een neuroloog was dat de vrouw een “whiplash-like injury” had opgelopen, met pijn in de nek, rechterschouder en arm als gevolg. Dit leverde een aantal beperkingen op bij haar werk, hetgeen leidde tot een langdurig reïntegratietraject.

De aanleiding is niet geheel duidelijk, maar op enig moment besloot Reaal een persoonlijk onderzoek naar de vrouw te laten uitvoeren. Dit onderzoek bestond uit een dossieranalyse, deskresearch en uit het volgen, observeren en filmen van de vrouw. De ‘deskresearch’ bestaat uit internetonderzoek – naar ik vermoed googelen op naam van mevrouw, mogelijk aangevuld met andere persoonsgegevens zoals e-mailadressen of telefoonnummers.

Het internetonderzoek riep enkele vraagtekens op:

Uit de informatie van internet is naar voren gekomen dat betrokkene actiever lijkt te zijn dat wat ze heeft verklaard. Zo kan ze bijvoorbeeld meer dan alleen maar e-mails beantwoorden (ze is actief op diverse forums en schrijft blogs), lijkt ze actief (op zoek) te zijn met zaken gerelateerd aan recruitment en lijkt ze een actiever sociaal leven te hebben dan wat ze heeft verklaard.

Het advies op basis van bovenstaande was om over te gaan tot een persoonsgerichte observatie bij wijze van vervolgonderzoek. Deze observatie onthulde dat de vrouw actief is geweest met verschillende activiteiten, waaronder:

  • Het meerdere malen brengen en halen van haar kind naar en van school;
  • <li>Het op verschillende dagen winkelen en spullen kopen in verschillende winkels;</li>
    
    <li>Het aanwezig zijn als een begeleider van schoolkinderen bij een ijsbaan en vermoedelijk ook bij een kinderfeest;</li>
    
    <li>Het sporten in een sportschool; </li>
    
    <li>Betrokkene is daarbij meerdere malen waargenomen terwijl ze gevulde tassen bij zich droeg.</li>
    
    <li>Het in december een week lang afwezig zijn (geen brandend licht in huis, auto onder dik pak sneeuw bedolven), vermoedelijk op vakantie.</li>
    

(Ik noem dit even zo uitgebreid zodat jullie je ook wat onprettig voelen bij het idee van drie maanden lang op deze manier in de gaten gehouden worden.)

“Op geen enkel moment zijn er tijdens de observatie ogenschijnlijk enige fysieke beperkingen bij betrokkene waargenomen”, sluit het rapport af. Hierop werd een medisch advies aangevraagd, dat pleitte tegen het bestaan van de door de vrouw geclaimde klachten. Daarop stapte de vrouw naar de rechter, met onder meer de eis om het persoonlijkonderzoeksrapport als bewijs uit te laten sluiten bij de herbeoordeling van haar arbeidsongeschiktheid.

Hoewel een persoonlijk onderzoek als dit een inbreuk op de privacy oplevert, is het vaste jurisprudentie (Hoge Raad 16 juni 1987, NJ 1988, 850) dat een inbreuk op de privacy op zich geen reden is om bewijs uit te sluiten in civiele procedures. Daarvoor moet de inbreuk “rechtens ontoelaatbaar” zijn, en daarvan is pas sprake als er méér is dan alleen een schending op zich. Een ongeoorloofd inzetten van camera-observatie door een werkgever was in 2001 bij de Hoge Raad geen reden om gebruik van de beelden in een ontslagprocedure bij de kantonrechter te verbieden.

Een bijzondere omstandigheid in deze zaak is dat verzekeraars sinds 1997 werken met de zogeheten Gedragscode Persoonlijk Onderzoek. Deze code geeft de beginselen aan die een verzekeraar in acht moet nemen bij het uitvoeren van een persoonlijk onderzoek. Als centraal beginsel geldt dat een onderzoek als in deze zaak alleen mag worden verricht als voldaan is aan de eisen van proportionaliteit en subsidiariteit.

De rechtbank stelt vast dat niet aan deze eisen is voldaan bij het persoonlijk onderzoek, zodat het rapport wordt uitgesloten van het bewijs. Een verzekeraar die de Gedragscode schendt, behoort niet te worden beloond door het aldus verkregen bewijs te kunnen gebruiken, lijkt hier de gedachte. Afgezien van het rapport is er geen bewijs van fraude of misleiding, zodat een eerder deskundigenrapport leidend wordt verklaard. Partijen moeten nu opnieuw in gesprek om tot een vaststellingsovereenkomst te komen.

Opmerkelijk genoeg rept de rechtbank met geen woord over de toelaatbaarheid van het online onderzoek. De Gedragscode zelf werkt dit ook niet nader uit, tenzij men onder “inwinnen van informatie bij derden” ook het raadplegen van zoekmachines of openbare websites van derden rekent (artikel 7.2). In de hierboven aangehaalde zaak uit 2012 had de rechtbank ook geen moeite met een internetonderzoek naar een verzekerde. Daarmee lijkt het vooralsnog geen praktisch juridisch probleem te zijn om verzekerden te googelen bij claims. Maar hoe ver mag men daarbij gaan?

Arnoud

Mag je sollicitanten googelen?

| AE 5431 | Arbeidsrecht | 46 reacties

In onze vacatures bij ICTRecht nemen wij sinds kort de standaardzin “NB: een Google-onderzoek maakt deel uit van de procedure.” op. Dat gaf enige discussie op: mag dat eigenlijk wel dan, sollicitanten googelen? En welke eisen gelden daarbij? Heel formeel is het googelen van een sollicitant een geautomatiseerde verwerking van zijn persoonsgegevens. Je doorzoekt immers… Lees verder

Rechters mogen niet zomaar googelen voor hun vonnis

| AE 2702 | Internetrecht | 20 reacties

Als een rechtbank haar vonnis baseert op gegevens die het heeft ontleend aan een eigen zoektocht op een internetsite, schendt zij het principe van hoor en wederhoor. Dat bepaalde de Hoge Raad afgelopen vrijdag. De HR vernietigt daarmee een arrest van het gerechtshof dat mede gebaseerd was op gegoogelde informatie over een softwarepakket. De gevonden… Lees verder

Googelen door de rechter: geen bewijs van algemene bekendheid

| AE 2387 | Aansprakelijkheid, Meningsuiting | 25 reacties

Zijdelings inhakend op de discussie of rechters mogen googelen dan wel wikipediën: het Gerechtshof Den Haag had niet enkel via googelen mogen achterhalen dat de afkorting “A.C.A.B.” naar algemene bekendheid “All Cops Are Bastards” betekende. Dat bepaalde de Hoge Raad gisteren. In februari vorig jaar veroordeelde het Gerechtshof een man die een bomberjack droeg met… Lees verder

Duitse privacywet wordt aangescherpt, en bij ons?

| AE 2189 | Privacy | 13 reacties

In Nederland was de insteek vooral dat profielen van sollicitanten doorzoeken verboden zou worden, bij Amerikaanse sites gaat het meer over het idee (nou já zeg) van privacy op de werkplek. Maar in ieder geval: in Duitsland wordt gewerkt aan een streng wetsvoorstel over hoe er met privacy en persoonsgegevens van werknemers en sollicitanten moet… Lees verder

Googelen van sollicitanten – de NVP sollicitatiecode

| AE 1802 | Privacy | 22 reacties

Mag je als recruiter je sollicitanten googelen? Dat is een lastige vraag, waar de op woensdag 7 oktober gepresenteerde NVP Sollicitatiecode een antwoord op zou moeten geven. Het doel van de code is een norm te bieden voor een transparante en eerlijke werving en selectieprocedure, zo meldt het document. Daarbij wordt nu voor het eerst… Lees verder

Politie “googelt”, maar niet met Google

| AE 201 | Merken, Strafrecht, Zoekmachines | Er zijn nog geen reacties

Intrigerende kop op NU.nl: Het Korps Landelijke Politiediensten en de andere 25 politiekorpsen kunnen binnenkort criminele informatie van andere korpsen ‘googelen’. Het blijkt echter te gaan om een intern informatiesysteem, BlueView geheten, waarmee het makkelijker wordt om gegevens bij elkaar te zoeken over criminelen. De redacteur die besloten heeft om dit met “googelen” te koppen,… Lees verder

“Ik google” mag niet, “iGoogle” mag wel?

| AE 141 | Merken, Zoekmachines | 1 reactie

Google’s persoonlijke zoekdienst heet voortaan iGoogle, meldt o.a. Tweakers. Leuke dienst, maar weten de merkenjuristen van Google hier van? Die kreet kan het bedrijf tenslotte bijna 50 miljard euro kosten. “I Google” is immers Engels voor “ik google” (of “ik googel”, allebei mag), en als er iets is waar merkenmensen allergisch voor zijn dan is… Lees verder