Tegenwoordig weet iedereen wél wat ACAB betekent

Weet u nog, dat rechters niet mogen googelen? Dat was een zaak uit 2011 waarin de Hoge Raad bepaalde dat een rechtbank niet zomaar in Google mag kijken om te zien hoe bekend een afkorting is, om vervolgens iemand die die afkorting gebruikte te veroordelen. Die afkorting was ACAB, in 2011 redelijk bekend maar ten tijde van de overtreding een stuk minder. De rechtbank had op zijn minst de bevindingen aan de verdediging voor moeten leggen. Maar nu in 2018 is er een nieuw arrest (Hof Amsterdam) waarin googlen wél mag.

In deze zaak ging het om exact dezelfde afkorting. De verdachte zong tijdens een voetbalwedstrijd de tekst “ACAB, ACAB” en keek daarbij naar politieagenten. Deze arresteerden hem voor belediging van een ambtenaar in functie. De verdachte verklaarde niet te weten wat deze term betekende. Dat voelde voor mij ook wat onwaarschijnlijk, en met mij het Gerechtshof.

Het Hof pakt Google erbij, stelt de zoekperiode in op beperkt tot uiterlijk de datum van het delict(!), en constateert dat over de afkorting (en de beledigende betekenis daarvan) zeer veel nieuwsberichten zijn gepubliceerd, zowel door regionale als landelijke media. En dat vind ik dan leuk: die berichten kwamen mede naar aanleiding van die zaak uit 2011 waarin juist werd gezegd dat Googelen niet mag om de bekendheid van een term vast te stellen.

Het Hof concludeert nu dat gezien de landelijke bekendheid van de uitspraak en de term deze nu wel algemeen bekend geacht wordt te zijn. Daarop wordt de man veroordeeld voor belediging. En dat klopt dus – met zo veel bekendheid in pers en online over die uitspraak, kun je vandaag de dag niet meer volhouden dat je dit niet wist. Al helemaal niet in een voetbalcontext, wat mij betreft.

Arnoud (Dat ik in deze blog nergens hoef te zeggen wat ACAB betekende, zegt natuurlijk ook wel wat.)

Wanneer mag je onder de AVG sollicitanten nog wél googelen?

Beetje een boehoe-artikel in zakenmagazine Netwerk Brabant (dank, broer): stel je voor, krijg je een sollicitant en die blijkt ineens een olifantenstroper. Dat ontdek je door zijn Instagram, en dat zou niet meer mogen van de AVG? Wat een ontzettend stomme wet? Welnee, de AVG verbiedt helemaal niet het categorisch googelen van sollicitanten. Maar amateuristisch gepruts zoals ik in dat artikel lees, dát gaat verboden worden.

Ja, gisteren ging het ook al over de AVG maar het is gewoon een heel grote verandering. De nieuwe Europese privacywet is bedoeld als streep in het zand, ga nu eindelijk eens je zaakjes goed regelen als het gaat om andermans persoonsgegevens, andermans privacy. En dat is natuurlijk een schok voor mensen en organisaties die altijd dachten dat de AVG een juridische kwestie was, nieuwe privacyverklaring en je opt-in teksten wat oppoetsen.

De indruk ontstaat dat van de AVG niets meer zou mogen. Dat is pertinent onjuist (en iets dat ik ergens wel betreur, een paar stevige “kappen hiermee” artikelen zouden handig zijn geweest). De AVG eist vooral een duidelijke belangenafweging en maatregelen ter borging van de privacy van de mensen wiens persoonlijke informatie je gebruikt. Waarom vind jij dat je dit mag doen, hoe zorg je ervoor dat dat goed gebeurt en hoe bescherm je de gegevens? Je zou zeggen dat dat geen onredelijk verzoek is.

Specifiek bij sollicitanten en googelen is dat niet anders. Niets in de AVG verbiedt dit expliciet, je moet alleen aan de bak: meld in je personeelsadvertentie dat je dit doet, leg in een privacyverklaring uit waarom je dit doet en wat er met de resultaten gebeurt en déél die resultaten (en jouw bevindingen daarop) met de sollicitant. In die privacyverklaring moet trouwens ook staan hoe lang je cv’s bewaart en met wie je de gegevens deelt.

Het artikel noemt het voorbeeld van het Wereld Natuur Fonds dat ineens ontdekt dat een medewerker in zijn vrije tijd een olifantenstroper is en dan gigantische reputatieschade krijgt. Dat voelt een tikje buiten het normale, maar als die zorg er is dan kun je vast op papier zetten waarom de organisatie daar wat van mag vinden en dat je daarom even op de Instagram van de sollicitant gaat kijken. Dat je de sollicitant dan de resultaten stuurt zodat hij kan reageren (bijvoorbeeld dat het een naamgenoot is of een geposeerde foto van een studentenfeest 15 jaar geleden) lijkt mij dan niet meer dan redelijk. Vervolgens kun je als organisatie dan een terechte beslissing maken.

Eerlijk gezegd zie ik het probleem dus niet. Natuurlijk, je kunt nu niet meer volstaan met even snel googelen en daarna afwijzen met “wij hebben helaas een andere kandidaat gekozen die beter past bij het functieprofiel” of wat je standaardzin maar is. Maar dat is natuurlijk sowieso weinig netjes en zou een respectabele organisatie dus niet moeten doen.

Arnoud

Hoe hard zoek je de openbaarheid als je dingen op Facebook zet?

De privacywetgeving hoort niet van toepassing te zijn als iemand zelf de openbaarheid zoekt, las ik bij Netkwesties. Als mensen beslissen allerlei zaken openbaar te maken, betekent dat tegelijkertijd dat zij het ‘risico’ nemen dat anderen, waaronder wellicht potentiële werkgevers, daar kennis van nemen. Een standpunt dat hier ook recent voorbij kwam, zij het op een voor mij wat ergerlijke manier: het is me iets te makkelijk, dat “iedereen kiest voor Facebook dus wat je daar zet is vogelvrij”.

De kern van dit standpunt komt erop neer dat Facebook en andere sociale media inzetten een bewuste keuze is, die weloverwogen wordt gemaakt door een gemiddeld omzichtige consument na zich adequaat geïnformeerd te hebben. Na die keuze is het inderdaad wat raar om ineens te gaan schermen met allerlei privacybezwaren. Wie zijn arts aanklaagt voor een amputatie na middels diverse gesprekken over de beste medische behandeling daar welbewust voor gekozen te hebben, zal ook niet snel gelijk krijgen.

Alleen: dat de gemiddelde burger zo’n omzichtige consument is, klopt natuurlijk van geen kant. Mensen kiezen niet welbewust en na zorgvuldig inlezen voor die diensten, men gebruikt het omdat iedereen het gebruikt, het er netjes en overzichtelijk uitziet en het wel snor lijkt te zitten. Wie zou er immers niet een keurige nette dienst afnemen van een groot beursgenoteerd bedrijf? Betrouwbaarder kan haast niet, zou je denken.

En er zitten ook keurige knopjes in om je privacy mee te bedienen. Alleen, zo makkelijk is dat nog niet. Uit onderzoek blijkt dat slechts een derde van de mensen snapt hoe Facebook-privacyinstellingen werken. De meeste mensen denken te snel dat ze iets privé hebben gemaakt. Je moet er een behoorlijke studie van maken om zeker te weten wat je doet als je dingen dicht wil zetten.

Sterker nog: je kúnt je haast niet adequaat inlezen in wat die diensten doen. De privacyverklaring staat vol wollige taal, en wie dat allemaal door wil spitten is daar 76 werkdagen per jaar mee kwijt. En nog erger, die privacyverklaringen zijn niet volledig dus zelfs als je die 76 dagen er voor gaat zitten, kom je er nog niet uit.

En zelfs als je wél eruit komt, de boel goed dichttimmert en oplet wat je post, dan nog loop je tegen vrienden en kennissen aan die zonder nadenken dingen posten met jouw naam of foto erin. Een fotoverslag van een leuk feestje met als grappig commentaar dat jij weer helemaal teut was “maar je zal je wel ziek gemeld hebben vandaag he” om eens wat te noemen. Of tegen een naamgenoot die het wat minder nauw met de werkethiek neemt.

Natuurlijk zijn er mensen die welbewust hun hele leven delen. Die zullen er ook weinig bezwaar tegen hebben dat hun werkgever dat leest. Maar daar zal ook weinig echt privés te vinden zijn. Deze regels over werknemers googelen zijn natuurlijk niet voor deze groep bedoeld. Het gaat om het gros van de mensen dat niet weet, en eigenlijk ook niet kán weten hoe Facebook en consorten werken, die in een vervelende positie komen als hun socialmediainformatie al te makkelijk gebruikt kan worden.

Die mensen wegzetten als “ze kiezen er welbewust voor” vind ik gewoon wereldvreemd. Hetzelfde geldt voor “je hoeft niet op Facebook te zitten”, waar ik eerder al over tireerde.

(En dat raakt aan een aanverwant punt waar het Netkwesties-stuk overheen scheert: de benodigde zorgvuldigheid om die informatie op waarde te schatten. Weet jij als werkgever of zo’n bericht waar is? Klopt de datum wel? Is het echt je werknemer? En is het opschepperij/stoerdoen naar vrienden of serieus bedoeld?)

Arnoud

Sollicitanten niet meer vogelvrij op sociale media

Even het Twitter-account of de Facebook-site van een potentiële werknemer checken is niet toegestaan, meldde het FD vorige week. De Autoriteit Persoonsgegevens bracht een opiniestuk uit dat er nog eens op wijst dat dit eigenlijk gewoon niet toegestaan is, in ieder geval niet zonder stevige belangenafweging. Waanzin, noemt Quote het en je kunt je natuurlijk afvragen of dit veel gaat veranderen. Maar het is eigenlijk helemaal niet verrassend.

In de basis komt het erop neer dat iemand googelen dan wel zijn social media checken gewoon een verwerking van persoonsgegevens is. Het maakt niet uit of de bron openbaar is, of men zelf koos voor publicatie of wat de voorwaarden van die zoekdiensten of social media diensten ook vermelden. Als je informatie over een persoon opvraagt in een elektronisch systeem, dan is dat een verwerking en dan val je onder de Wbp (en volgend jaar de AVG). Punt.

Als je onder de Wbp/AVG valt, dan moet je een grondslag hebben om dit te mogen doen. Toestemming is de netste grond, maar gaat bij werknemers niet zo goed. Die kunnen naar hun werkgever toe geen toestemming geven, omdat daarvoor vrijwilligheid een vereiste is. En bij de werkgever zit op de achtergrond altijd een zweem van dwang: oh jij wilde volgend jaar promotie/vast contract/ander kantoor, dan zou ik maar niet weigeren. Het is juridisch onmogelijk die zweem weg te nemen.

Bij sollicitanten meen ik dat het anders ligt, je hóeft immers niet te solliciteren dus kan ik prima zeggen “Een Google-zoekopdracht en socialmediasnuffel maakt deel uit van de procedure, solliciteren is toestemming”. Maar het moet dan wel expliciet in de advertentie benoemd zijn, en je moet duidelijk zijn over wat je precies gaat doen.

Oh, en ook niet toegestaan is van je personeel verlangen dat ze je bevrienden of lid worden van je bedrijfsgroep.

Kan het wel? Ja, soms. Er is immers de grondslag van eigen dringende noodzaak, waarbij je kortweg zegt, ik kan niet anders en heb rekening gehouden met de privacy. Volgens deze opinie gaat dat alleen op als het googelen/monitoren:

  • noodzakelijk is voor een legitiem doel;
  • dit doel niet kan worden bereikt op een manier die minder inbreuk maakt op de privacy;
  • proportioneel is en dus niet meer verzamelt of onthult dan nodig is voor het doel.

Een voorbeeld van een legitiem doel is het nagaan of iemand een concurrentiebeding schendt. Hiervoor zou je Linkedin kunnen monitoren op namen van ex-personeel dat zo’n beding heeft. Er zijn weinig tot geen andere bronnen waar je kunt achterhalen wat een ex-werknemer doet, en als je dit ook meldt dat je gaat doen, dan is dit toegestaan.

Een ander voorbeeld is het monitoren van uitgaande mail op mogelijke lekken van bedrijfsgegevens. Dit mag, want het voorkomen van datalekken of geheimlekken is legitiem. En als je bang bent voor lekken via mail, dan is monitoren van de mail natuurlijk de enige manier. Maar de methode moet proportioneel zijn. Dus niet geforceerd alle mailtjes bcc’en naar de directeur ter screening, maar eerder een keyword tool die goed afgesteld is, en bij een match een ander er naar laat kijken. Bij voorkeur pas nadat de afzender zelf een bericht kreeg (“Deze mail lijkt een datalek, is dat juist [Y/n]”) en daar niet op reageerde.

Juridisch gezien is dit allemaal geen verrassing, het is hooguit nieuwe invulling van oude regels. Maar ‘waanzin’ zal het al snel genoemd worden bij veel bedrijven. Je moet toch je security in de gaten kunnen houden, en je betaalt mensen toch om te werken, privacy doen ze maar thuis. Ja precies, maar het wordt dus tijd om een afweging te maken tussen security en privacy. Je hebt nog tot 25 mei want dan staan er hoge boetes op disproportioneel monitoren.

Arnoud

Mag een verzekeraar mensen googelen en dan persoonlijk gaan observeren?

feitenonderzoek-google.pngVoor verzekeraars is internet een dankbare bron om dubieuze claims te verifiëren. Weinig dingen zo eenvoudig als even op Facebook kijken of iemand daar poseert met de zonnebril die een week eerder als gestolen opgegeven is, of op Twitter nalezen of een ziek persoon toch naar een feestje is geweest. Al in 2011 werd in de media gemeld dat verzekeraars ook daadwerkelijk dergelijke online controles uitoefenen van claims. Vooral als ze vermoeden dat er fraude in het spel is, kijken ze naar de Facebook- of Hyvespagina van degene die declareert, aldus RTL Nieuws op 7 november 2011. En het gebeurt ook vandaag nog.

In een geruchtmakende zaak in 2012 moest een man een arbeidsongeschiktheidsuitkering van verzekeraar Aegon terugbetalen tot een bedrag van €75.336. De uitkering werd verstrekt na een bedrijfsongeval met als gevolg ernstige fysieke en psychische klachten, zoals niet meer dan 20 minuten te kunnen lopen of zitten. Feitenonderzoek op internet een jaar later liet echter zien dat de man op sportief, zakelijk en sociaal gebied ook na het ongeval nog actief was geweest. Zo kwam hij vijf maal voor in de online uitslagenlijst van de Amstel Curaçao Race (80 kilometer) en werd hij vermeld als succesvol deelnemer een wielertocht van 250 kilometer van Luxemburg naar Valkenswaard. En dat terwijl de man had gezegd “als een zombie op een fiets te zitten” en pijnstillers te moeten slikken. Ook werd hij op online foto’s (met bijschriften) gesignaleerd als vaste supporter en in een krantenartikel omschreven als “vaste chauffeur en psychologisch begeleider” van een lokaal zaalvoetbalteam.

Heel recent speelde hetzelfde punt, maar dan nog een stapje erger: niet alleen internetonderzoek maar ook een persoonlijk onderzoek, oftewel structureel volgen. De vrouw in deze zaak was slachtoffer van een aanrijding door een persoon verzekerd bij Reaal. De conclusie van een neuroloog was dat de vrouw een “whiplash-like injury” had opgelopen, met pijn in de nek, rechterschouder en arm als gevolg. Dit leverde een aantal beperkingen op bij haar werk, hetgeen leidde tot een langdurig reïntegratietraject.

De aanleiding is niet geheel duidelijk, maar op enig moment besloot Reaal een persoonlijk onderzoek naar de vrouw te laten uitvoeren. Dit onderzoek bestond uit een dossieranalyse, deskresearch en uit het volgen, observeren en filmen van de vrouw. De ‘deskresearch’ bestaat uit internetonderzoek – naar ik vermoed googelen op naam van mevrouw, mogelijk aangevuld met andere persoonsgegevens zoals e-mailadressen of telefoonnummers.

Het internetonderzoek riep enkele vraagtekens op:

Uit de informatie van internet is naar voren gekomen dat betrokkene actiever lijkt te zijn dat wat ze heeft verklaard. Zo kan ze bijvoorbeeld meer dan alleen maar e-mails beantwoorden (ze is actief op diverse forums en schrijft blogs), lijkt ze actief (op zoek) te zijn met zaken gerelateerd aan recruitment en lijkt ze een actiever sociaal leven te hebben dan wat ze heeft verklaard.

Het advies op basis van bovenstaande was om over te gaan tot een persoonsgerichte observatie bij wijze van vervolgonderzoek. Deze observatie onthulde dat de vrouw actief is geweest met verschillende activiteiten, waaronder:

  • Het meerdere malen brengen en halen van haar kind naar en van school;
  • <li>Het op verschillende dagen winkelen en spullen kopen in verschillende winkels;</li>
    
    <li>Het aanwezig zijn als een begeleider van schoolkinderen bij een ijsbaan en vermoedelijk ook bij een kinderfeest;</li>
    
    <li>Het sporten in een sportschool; </li>
    
    <li>Betrokkene is daarbij meerdere malen waargenomen terwijl ze gevulde tassen bij zich droeg.</li>
    
    <li>Het in december een week lang afwezig zijn (geen brandend licht in huis, auto onder dik pak sneeuw bedolven), vermoedelijk op vakantie.</li>
    

(Ik noem dit even zo uitgebreid zodat jullie je ook wat onprettig voelen bij het idee van drie maanden lang op deze manier in de gaten gehouden worden.)

“Op geen enkel moment zijn er tijdens de observatie ogenschijnlijk enige fysieke beperkingen bij betrokkene waargenomen”, sluit het rapport af. Hierop werd een medisch advies aangevraagd, dat pleitte tegen het bestaan van de door de vrouw geclaimde klachten. Daarop stapte de vrouw naar de rechter, met onder meer de eis om het persoonlijkonderzoeksrapport als bewijs uit te laten sluiten bij de herbeoordeling van haar arbeidsongeschiktheid.

Hoewel een persoonlijk onderzoek als dit een inbreuk op de privacy oplevert, is het vaste jurisprudentie (Hoge Raad 16 juni 1987, NJ 1988, 850) dat een inbreuk op de privacy op zich geen reden is om bewijs uit te sluiten in civiele procedures. Daarvoor moet de inbreuk “rechtens ontoelaatbaar” zijn, en daarvan is pas sprake als er méér is dan alleen een schending op zich. Een ongeoorloofd inzetten van camera-observatie door een werkgever was in 2001 bij de Hoge Raad geen reden om gebruik van de beelden in een ontslagprocedure bij de kantonrechter te verbieden.

Een bijzondere omstandigheid in deze zaak is dat verzekeraars sinds 1997 werken met de zogeheten Gedragscode Persoonlijk Onderzoek. Deze code geeft de beginselen aan die een verzekeraar in acht moet nemen bij het uitvoeren van een persoonlijk onderzoek. Als centraal beginsel geldt dat een onderzoek als in deze zaak alleen mag worden verricht als voldaan is aan de eisen van proportionaliteit en subsidiariteit.

De rechtbank stelt vast dat niet aan deze eisen is voldaan bij het persoonlijk onderzoek, zodat het rapport wordt uitgesloten van het bewijs. Een verzekeraar die de Gedragscode schendt, behoort niet te worden beloond door het aldus verkregen bewijs te kunnen gebruiken, lijkt hier de gedachte. Afgezien van het rapport is er geen bewijs van fraude of misleiding, zodat een eerder deskundigenrapport leidend wordt verklaard. Partijen moeten nu opnieuw in gesprek om tot een vaststellingsovereenkomst te komen.

Opmerkelijk genoeg rept de rechtbank met geen woord over de toelaatbaarheid van het online onderzoek. De Gedragscode zelf werkt dit ook niet nader uit, tenzij men onder “inwinnen van informatie bij derden” ook het raadplegen van zoekmachines of openbare websites van derden rekent (artikel 7.2). In de hierboven aangehaalde zaak uit 2012 had de rechtbank ook geen moeite met een internetonderzoek naar een verzekerde. Daarmee lijkt het vooralsnog geen praktisch juridisch probleem te zijn om verzekerden te googelen bij claims. Maar hoe ver mag men daarbij gaan?

Arnoud

Mag je sollicitanten googelen?

google-homepage-patent.pngIn onze vacatures bij ICTRecht nemen wij sinds kort de standaardzin “NB: een Google-onderzoek maakt deel uit van de procedure.” op. Dat gaf enige discussie op: mag dat eigenlijk wel dan, sollicitanten googelen? En welke eisen gelden daarbij?

Heel formeel is het googelen van een sollicitant een geautomatiseerde verwerking van zijn persoonsgegevens. Je doorzoekt immers een databank op zoek naar persoonlijke informatie (persoonsgegevens) van een natuurlijk persoon. In beginsel is daarvoor dus toestemming nodig, ondubbelzinnige toestemming om precies te zijn. Die is een beetje moeilijk te krijgen in een personeelsadvertentie. Onze advertenties mélden dat we dit doen, en ik meen dat je dan de toestemming kunt afleiden uit het feit dat iemand dan toch solliciteert.

Je kunt het ook gooien op de “eigen dringende noodzaak”, de uitzondering in de privacywet waarmee je zonder toestemming mag handelen. Je noodzaak moet dan zwaarder wegen dan de privacy van de persoon. Dat vereist een belangenafweging, en daarbij zal meespelen welke bronnen je raadpleegt. Openbare, zelf gepubliceerde bronnen zoals een homepage of openbare LinkedIn-pagina zijn daarmee wel te raadplegen, maar gaan snuffelen op Facebook vanaf het privéaccount van de HR-medewerker lijkt me niet kunnen. Sterker nog, je kunt je afvragen of je als werkgever überhaupt wel op Facebook moet gaan kijken, dat is immers privé en dus niet relevant voor het werk.

De NVP Sollicitatiecode gaat hierbij nog een stapje verder: naast toestemming verkrijgen moet je ook aan de sollicitant je resultaten melden (met bronvermelding) en bespreken wat je gevonden hebt. Dit is niet wettelijk verplicht maar wel een goede best practice. Zeker omdat de kans op persoonsverwisseling of onjuist interpreteren van gegevens best aanwezig is bij Google.

Een complicatie daarbij zijn nog de “bijzondere persoonsgegevens”, gegevens over iemands ras, gezondheid, seksuele voorkeur en dergelijke. Die mag je eigenlijk helemáál niet verwerken, dus wat moet je dan als je die tegenkomt in een openbare databank zoals Google? Gelukkig is er een uitzondering in de Wbp: wanneer zulke gegevens “door de betrokkene duidelijk openbaar zijn gemaakt”, geldt het verbod niet. En ook bij uitdrukkelijke toestemming van de betrokkene zelf, mag je ernaar kijken. Een datingprofiel of een foto die die persoon zelf online zette, mag je dus bekijken als potentieel werkgever.

In ons geval gaat het er ons niet om of we gekke dingen vinden, om daarmee mensen af te wijzen. Sterker nog: het maakt ons niet uit of je gekke dingen doet in je privétijd. Ik zou het raarder vinden als iemand solliciteert voor ICT-jurist en dan niets gepubliceerd heeft. Dan ben je óf heel goed, óf heel slecht in de ICT.

En in dat verband: wat vinden jullie van mijn standaardvraag tijdens het eerste gesprek “We hebben je gegoogeld maar niets geks gevonden. Hoe kan dat?”?

Arnoud

Rechters mogen niet zomaar googelen voor hun vonnis

waarom-smartfms-software.pngAls een rechtbank haar vonnis baseert op gegevens die het heeft ontleend aan een eigen zoektocht op een internetsite, schendt zij het principe van hoor en wederhoor. Dat bepaalde de Hoge Raad afgelopen vrijdag. De HR vernietigt daarmee een arrest van het gerechtshof dat mede gebaseerd was op gegoogelde informatie over een softwarepakket. De gevonden informatie was doorslaggevend voor het hof, maar zij had deze informatie eerst moeten presenteren aan de partijen, aldus de hoogste rechtbank.

Het geschil draaide om de goedkeuring van de rekening en verantwoording van een bewindvoerder. Deze had een licentie gekocht voor een softwarepakket (Smart FMS), een administratiesysteem waarmee de persoon onder zijn bewind direct online inzage had in zijn eigen financiën. Volgens de bewindvoerder was deze licentie een “gewone beheersdaad”, zodat geen toestemming van de rechthebbende of kantonrechter nodig zou zijn.

Het Hof had echter op internet nagekeken wat het doel was van dit softwarepakket, en had geconstateerd

dat het toch in de eerste plaats een systeem ten behoeve van de administratie van de budgetbeheerder is en dat het slechts als neveneffect de financiële mutaties op de eigen rekening voor de cliënten inzichtelijk maakt. Verder is het niet een systeem waarbij de cliënt de keuze heeft daar al of niet gebruik van te maken, zo hij al bereid is de kosten daarvan te dragen en hij de capaciteiten heeft daarvan gebruik te maken.

Daarmee was dit geen systeem voor de cliënt maar voor de bewindvoerder. En die posten mogen niet uit het budget voor de onder bewind gestelde cliënt gehaald worden. De kosten van het Smart FMS systeem moesten derhalve voor rekening van de bewindvoerder blijven, aldus het Hof.

De bewindvoerder was een tikje verbaasd door deze uitspraak, vooral omdat hij pas in het arrest kon nalezen dat het Hof dit onderzoek had gedaan (“De bewindvoerder heeft geen informatie overgelegd over de werking van het Smart FMS systeem, maar het internet (www.smartfms.nl) biedt wel enige informatie.”). Hij had dus geen enkele kans gehad te protesteren tegen deze conclusie of te proberen te bewijzen dat dit wél een nuttig systeem voor zijn cliënt was.

Omdat de internetzoektocht van het Hof tot voor de beslissing zeer relevante gegevens heeft geleid, had het Hof deze moeten voorleggen aan de partijen, aldus de Hoge Raad. En dat is vaste rechtspraak: eerder had de HR al eens geoordeeld dat een rechtbank

[geen] eigener beweging verkregen feitelijke gegevens aan zijn beslissing ten grondslag mag leggen zonder partijen in de gelegenheid te stellen daarvan kennis te nemen en zich daarover desgewenst uit te laten

En specifiek over googelen hebben we natuurlijk de zaak over googelen op “A.C.A.B.”, waarbij het aantal Googletreffers geen bewijs was dat een bepaalde term “algemeen bekend” zou zijn.

Dit lijkt me volstrekt juist. Googelen en zelf informatie aandragen is prima. Maar je moet wel gelegenheid bieden om weerwoord te geven. Hoewel het mij als rechter wel uitermate zou frustreren dat ik de resultaten van elke query ter zitting moet bespreken, hoe onschuldig de informatie me ook lijkt.

Update (23 april) in een andere context bepaalt het Hof Arnhem dat de rechtbank de website van de ANWB mag raadplegen om na te gaan in hoeverre het door de fabrikant opgegeven brandstofverbruik afwijkt van het verbruik in de praktijk. De ANWB is voldoende betrouwbaar kennelijk.

Arnoud

Googelen door de rechter: geen bewijs van algemene bekendheid

1-3-1-2-shirt-belediging-cops-bastards.pngZijdelings inhakend op de discussie of rechters mogen googelen dan wel wikipediën: het Gerechtshof Den Haag had niet enkel via googelen mogen achterhalen dat de afkorting “A.C.A.B.” naar algemene bekendheid “All Cops Are Bastards” betekende. Dat bepaalde de Hoge Raad gisteren.

In februari vorig jaar veroordeelde het Gerechtshof een man die een bomberjack droeg met “A.C.A.B.” erop. Hij had toegegeven dat hij wist dat dit stond voor “All Cops Are Bastards”, en ook de agent die hem de bekeuring gaf was hiervan op de hoogte. Maar dat is niet genoeg: het publiek, oftewel de omstanders, moeten óók weten dat deze man de agent aan het beledigen is door dat jack te dragen. Oftewel, “iedereen” moet weten dat die afkorting een belediging inhoudt. En het gerechtshof had dat als volgt geconcludeerd:

Voorts heeft het hof vernomen dat het “googelen” van de afkorting “A.C.A.B.” in combinatie met “cop” een veelvoud (circa 190.000) aan treffers van internetsites geeft die verwijzen naar de betekenis “All Cops Are Bastards”. Nu onder een substantieel deel van het publiek bekend is dat een betekenis van de afkorting A.C.A.B. is: “All Cops Are Bastards”, heeft deze afkorting daarom alseen feit van algemene bekendheid te gelden.

De Hoge Raad keurt deze werkwijze af. Het klopt dat de rechter zonder meer mag afgaan op “feiten van algemene bekendheid”, maar dan moet wel voor iedereen evident zijn dat sprake is van een algemeen bekend feit. Is er ook maar enige twijfel, dan behoort de rechter op de zitting het punt aan de orde te stellen. Zo kunnen de betrokken partijen daarop reageren, en bijvoorbeeld tegenbewijs overleggen of deskundigen laten opdraven die er iets over kunnen zeggen. En zo hoort het ook: rechters moeten niet zelf na de zitting gaan googelen maar eerder vooraf, en dan de partijen vragen daarop te reageren.

Wil men toch zelf gaan onderzoeken, dan eist de HR wel dat er een duidelijke toelichting in het vonnis staat hoe men de zoekresultaten interpreteert:

Daartoe is het aantal treffers bij het zoeken in alle, ook anderstalige, internetsites niet zonder meer redengevend. Hetzelfde geldt voor het aantal treffers van de gebezigde zoekmachine waarop het Hof zich heeft beroepen, zonder evenwel te verduidelijken op welke of wat voor soort internetsites die treffers betrekking hebben.

Logisch ook. Een afkorting kan meerdere betekenissen hebben: All Coppers Are Bastards, maar ook Air Cavalry Attack Brigade of Advisory Committee on Agricultural Biotechnology. Die laatste resultaten moet je dan wel wegfilteren voordat je iets kunt zeggen over het aantal relevante zoekresultaten.

Dat er bijdehantjes zijn die met betekenissen komen als Acht Cola Acht Bier, het getal 1312 of dit shirt met een fruitautomaat met Appel Citroen Ananas Banaan erop maakt daarbij niet uit. Het gaat erom wat het grote publiek denkt als ze de afkorting zien.

zoals

Duitse privacywet wordt aangescherpt, en bij ons?

demonstratie-privacy-not-crime-flickr-sunside-ccbync.jpgIn Nederland was de insteek vooral dat profielen van sollicitanten doorzoeken verboden zou worden, bij Amerikaanse sites gaat het meer over het idee (nou já zeg) van privacy op de werkplek. Maar in ieder geval: in Duitsland wordt gewerkt aan een streng wetsvoorstel over hoe er met privacy en persoonsgegevens van werknemers en sollicitanten moet worden omgegaan.

Zo wordt het verboden om op als privé bedoelde netwerksites (Hyves, Facebook) te kijken wat sollicitanten allemaal uitspoken. Linkedin mag je wel bekijken, en Googelen van sollicitanten mag ook, mits je maar bij de resultaten mee laat wegen hoe oud de informatie is en in hoeverre de sollicitant controle heeft over de informatie zoals daar gepubliceerd. Ook worden er strengere regels over cameratoezicht en monitoren van internetgebruik ingevoerd.

Op zich verbazen de meeste voorgestelde regels niet. Privacy geldt ook op het werk, dat is vaste jurisprudentie van het Europese Hof voor de Rechten van de Mens. En we weten ook in Nederland dat het gebruik van persoonsgegevens aan strenge regels gebonden is, waardoor veel sociale-netwerksites een probleem hebben.

Het is dan weer wel typisch Duits om de regels tot in detail uit te gaan werken in wetgeving, maar goed. In Nederland lijken we meer de voorkeur te geven aan algemene wetten, die dan via richtsnoeren, convenanten en af en toe een rechtszaak ingevuld worden. Op zich lijkt me dat flexibeler, maar het duurt natuurlijk wel een stuk langer voordat je zeker weet of iets mag. Ik ben er nog niet helemaal uit wat ik nu prettiger vind.

Gekke voorbeelden van toezicht of indegatenhouden door werknemers zijn trouwens welkom, ik moet binnenkort weer een lezing geven over privacy op het werk en het verhaal van de camera in de kleedhokjes of in de toiletpot kennen ze al.

Arnoud<br/> Foto: Sunside @ Flickr, Creative Commons By-NC 2.0

Googelen van sollicitanten – de NVP sollicitatiecode

nvp-sollicitatie-code-googelen-sollicitant.pngMag je als recruiter je sollicitanten googelen? Dat is een lastige vraag, waar de op woensdag 7 oktober gepresenteerde NVP Sollicitatiecode een antwoord op zou moeten geven. Het doel van de code is een norm te bieden voor een transparante en eerlijke werving en selectieprocedure, zo meldt het document. Daarbij wordt nu voor het eerst expliciet aandacht besteed aan het omgaan met informatie over sollicitanten uit openbare bronnen, zoals internet.

De code vermeldt in artikel 5 namelijk het volgende:

5 Indien de arbeidsorganisatie inlichtingen over de sollicitant wil inwinnen bij derden en/of andere bronnen, vraagt zij hiertoe vooraf diens toestemming, tenzij zulks niet vereist is op grond van een wettelijk of algemeen verbindend voorschrift. De te verkrijgen informatie moet direct verband houden met de te vervullen vacature en mag geen onevenredige inbreuk maken op de persoonlijke levenssfeer van de sollicitant. De bij derden en andere bronnen, waaronder websites, verkregen informatie zal, indien relevant, a) aan de sollicitant worden meegedeeld, met uitdrukkelijke vermelding van de bron en b) met de sollicitant worden besproken.

Volgens de code moet je dus toestemming vragen voordat je iemand mag googelen of op Hyves mag gaan bladeren. Je zou dit kunnen afvangen met een duidelijke waarschuwing bij de advertentie (“Een achtergrondcheck met Google alsmede een psychologisch onderzoek maken deel uit van de procedure”).

Het beste punt is echter dat je de gevonden informatie moet delen en bespreken met de sollicitant. Dat is immers waar het vaak fout gaat: men vindt een rare Hyvepagina of foute blogpost en wijst de sollicitant af, zonder dat deze heeft kunnen uitleggen dat die tekst vijf jaar oud is of van een naamgenoot is die ze verder niet kennen.

Bij Sync wijst Wilfred van Roij erop dat het nog wel even zou duren voordat een organisatie in een afwijzingsbrief iets schrijft als:

Bij een onderzoek in openbare bronnen op het Internet hebben wij helaas vastgesteld dat uw hobby’s en levenswijze niet overeenkomen met deze eisen [uit onze vacature].

Dat lijkt mij ook erg sterk, maar dan vooral omdat zo’n mededeling me als illegaal voorkomt: je erkent dan dat je iemand afwijst op basis van levensovertuiging, en dat is strafbaar. “Wij zagen dat u moslim was” of “ons bedrijf heeft beleid tegen naturisten” zul je ook niet snel horen als reden voor afwijzing.

Desondanks blijft het een goede zaak dat deze oplossing nu aanbevolen wordt.

Arnoud