Google moet zoekresultaten met overduidelijk onjuiste informatie verwijderen

Google moet zoekresultaten verwijderen als gebruikers kunnen aantonen dat de gelinkte informatie overduidelijk niet klopt. Dat las ik bij Nutech.nl. In zaak C-460/20 oordeelde het Hof van Justitie dat je je als zoekmachine niet kunt beroepen op de uitingsvrijheid als een uiting feitelijke onjuistheden bevat.

Twee directeuren van een groep investeringsmaatschappijen zagen in Google hun naam gekoppeld aan artikelen waarin kritiek werd geuit op het investeringsmodel van de groep. Dat kan, maar er leken ook fouten in die artikelen te staan. Daarop diende men klachten in om de informatie verwijderd te krijgen, maar zoals u zult verwachten gaf Google niet thuis: zij kan vanuit haar positie niet oordelen of de gelinkte berichten (op zoekopdracht op hun naam) wel of niet juist waren en kon dus niet ingrijpen.

Een bekend maar frustrerend standpunt, daarop stapte men naar de rechter. Die besloot -in hoger beroep- de zaak aan het Hof van Justitie voor te leggen, omdat hier zowel de AVG als de uitsluiting van aansprakelijkheid van informatieproviders aan de orde is.

Het Hof begint met te herhalen dat Google zelf verwerkingsverantwoordelijke is voor zoekresultaten die als persoonsgegevens gelden. Dat was al in het bekende vergeetrecht-arrest uit 2014 uitgemaakt, maar het kan geen kwaad dat ter herhalen omdat mensen nog te vaak redeneren dat Google alleen maar een vergaarbak is van andermans informatie. Google kiest zelf wat op nummer 1 staat, met haar eigen criterium van “relevantie” en neemt daarmee de verantwoordelijkheid voor de koppelingen die ze aldus legt.

Dat wil niet zeggen dat Google dus automatisch aansprakelijk is voor alle fouten in de gekoppelde artikelen. Daarvoor moeten ze – zo beslist het Hof nu – eerst een beoordeling maken van de aard van die fouten. Er is hier namelijk sprake van een botsing tussen informatievrijheid en gegevensbescherming, waarbij een belangenafweging moet worden gemaakt die uitgaat van twee gelijkwaardige rechten. Maar de factor “de informatie is onjuist” weegt wel zwaar richting “weghalen”.

Waar zit je dan met de bewijslast? Iedereen kan immers wel zeggen dat berichten onjuist zijn. Als verweer daarop zie je de reflex bij nogal wat bedrijven om bij alles te zeggen “kom maar terug met een gerechtelijk bevel”, wat natuurlijk in de praktijk betekent “hoepel op”. Het Hof introduceert nu de juridische meetlat van “kennelijk onjuist” oftewel “overduidelijk onjuist”, het criterium dat we al kennen bij notice/takedown door hostingproviders. (En ja, die moeten dus ook overduidelijk onjuiste informatie van hun site halen, dat moesten ze al sinds 2000.)

Maar hoe bewijs je “kennelijk onjuist”?

Om te vermijden dat deze persoon een buitensporige last krijgt opgelegd die het nuttig effect van het recht op verwijdering van links kan ondermijnen, hoeft hij alleen bewijzen aan te leveren als, gelet op de omstandigheden van het geval, redelijkerwijs van hem kan worden verlangd dat hij ze opzoekt om die kennelijke onjuistheid aan te tonen.
Het gaat om een hoge lat, “overduidelijk” is niet iets dat je aantoont met een steekwagentje met dossierstukken. Sterker nog, als je meer dan een halve a4 nodig hebt dan is het volgens mij per definitie niet overduidelijk, maar ik zit er altijd vrij cynisch in.

Het is gelukkig ook weer niet zo dat je een hele discussie aan moet gaan met Google over hoe het dan wel precies zit:

Bij de behandeling van een dergelijk verzoek kan de exploitant van de betrokken zoekmachine er dus niet toe worden verplicht om de feiten te onderzoeken en daartoe een contradictoire dialoog met de aanbieder van inhoud aan te gaan teneinde ontbrekende gegevens te verkrijgen over de juistheid van de gelinkte inhoud.
Voor mij lijkt dit evenzo vanzelfsprekend: als er van alles nader onderzocht moet worden, dan is het niet bepaald overduidelijk. Even klikken of de gelinkte bronnen vermelden wat wordt geclaimd zou al de grens moeten zijn, heel misschien nog nagaan wat het voor bronnen zijn, maar je hoeft als zoekmachine zeker niet na te zoeken of er tegen-bronnen zijn die wat anders beweren.

Natuurlijk blijven er dan nog genoeg gevallen over van onjuiste informatie die in Google terechtkomt als je zoekt op een persoon. Maar voor die restcategorie zal je dan echt eerst naar de rechter moeten (dus de website dagen) om aan te tonen dat de informatie onjuist is, en pas daarna naar de zoekmachine zelf.

Arnoud

 

Google ontslaat engineer die claimde dat LaMDA zelfbewust was geworden, mag dat?

Google heeft Blake Lemoine van de Responsible AI-divisie van het bedrijf ontslagen nadat hij eerder al op non-actief was gesteld. Dat meldde Tweakers onlangs. Lemoine haalde het wereldnieuws met zijn stelling dat het LaMDA-taalmodel zelfbewust was geworden, zelfs een ziel zou hebben. Dit op basis van gepubliceerde chattranscripties. Google gooit het op schending van de geheimhoudingsplicht voor werknemers, wat formeel natuurlijk klopt maar wel vragen oproept over klokkenluiden en maatschappelijke misstanden. Want wat zou Lemoine anders hebben moeten doen om een zelfbewuste entiteit te mogen redden van de grote delete-knop?

Californië is juridisch een bijzonder land. Enerzijds is het ontzettend ondernemersvriendelijk, het is niet voor niets dat hier de ict-industrie is geboren. Anderzijds houdt het ook veel rekening met de belangen van werknemers, en dat zie je in dit geval terug in de California Whistleblower Protection Act: een wet die werknemers beschermt wanneer die genoodzaakt zijn de klok te luiden over misstanden bij een werkgever. Deze verbiedt werkgevers om wraak te nemen op werkgevers die klokkenluiden.

Of dat opgaat voor Lemoine is een lastige vraag, primair gaat de WPA namelijk over het informeren van de overheid en moet het gaat om kwesties waarbij de werkgever de wet lijkt te overtreden of de gezondheid van mensen in gevaar brengt. Het contact opnemen met de pers wordt in de WPA niet genoemd, en het zou dan een werkgever vrij staan om tegenmaatregelen te nemen.

Ook in Nederland is de wetgeving rondom klokkenluiden primair gericht op bescherming van mensen die naar de autoriteiten stappen, niet op mensen die direct de krant bellen. Maar de aankomende Wet Bescherming Klokkenluiders zal wel een regeling bevatten dat wie een melding heeft gedaan bij werkgever of autoriteiten ook beschermd moet zijn als zhij naar de pers stapt (art. 17ea). Wat hier dan lastig is, want welke autoriteiten moet je bellen als je een niet-menselijke intelligentie hebt gevonden en het erop lijkt dat anderen deze willen negeren of zelfs kwaad aandoen?

Wat ook meespeelt is dat de claims van Lemoine niet echt gehoor lijken te vinden. Ik zie wel veel nieuws over zijn initiële ontdekking, maar niemand lijkt uiteindelijk de conclusie over te nemen. Uiteindelijk is voor een beroep op klokkenluidersbescherming wel vereist dat je claim min of meer klopt. En één set chattranscripties waar niemand na de eerste verbazing echt van achterover valt, dat is dan echt niet genoeg.

Arnoud

Sonos wint van Google in zaak over patenten

DarkmoonArt / Pixabay

Speakerfabrikant Sonos heeft een zege behaald op Google in een juridisch gevecht over patenten. Dat las ik bij RTL Nieuws onlangs. Het bedrijf wist bij de Federal Trade Comission een voorlopige voorziening te krijgen die bepaalt dat Google (Alphabet dan) inbreuk maakt op vijf van haar octrooien. Google had toegang tot Sonos-technologie gekregen toen Sonos in 2013 muziekdienst Google Play Music met zijn systeem wilde laten samenwerken. Het laat zien wat de échte reden is om patenten op software te willen.

Sonos leek mij altijd een grote jongen – market cap 1.5 miljard – maar valt natuurlijk in het niet bij Google en haar moederbedrijf Alphabet. Samenwerken met zo’n grote partij is dan aantrekkelijk, maar komt met een bekend risico:

To hear Sonos tell the story, Google got a behind-the-scenes look at Sonos’ hardware in 2013, when Google agreed to build Google Play Music support for Sonos speakers. Sonos claims Google used that access to “blatantly and knowingly” copy Sonos’ audio features for the Google Home speaker, which launched in 2016.
Dat kopiëren gebeurt dan niet zo letterlijk dat je van auteursrechtinbreuk (copypasten van code) kunt spreken. Het gaat om algoritmes, werkwijzes, hardware-inrichting. En dat is waar patenten voor bedacht zijn. Die beschermen op een net hoger niveau van abstractie dan auteursrecht, en waren dus precies wat Sonos nodig had om deze “overname” van hun technologie tegen te houden. (Google ontkent maar gebruikt alleen marketingblabla zonder feitelijke weerlegging.)

Natuurlijk zijn er – zeker in de ICT – ook vele octrooien die onmogelijk breed zijn verleend. Dat komt omdat een abstract idee en een algoritme niet ver van elkaar liggen, en omdat patentbureaus decennia lang hebben geaccepteerd dat je “middelen om een cursor die aan een rechterkant van het scherm wordt bewogen, te laten verschijnen aan een linkerkant van voornoemd scherm, zijnde een zijde welke tegenover voornoemde rechterzijde ligt bekeken langs een verticale as” als definitie van een uitvinding kunt opnemen. Wat dus niet de bedoeling is.

De definitieve uitspraak volgt in december, en kan betekenen dat Google haar eigen speakers van de markt moet halen.

Arnoud

 

Google wint van Oracle, maar de rest van de wereld heeft daar weinig aan

Google heeft geen inbreuk gemaakt op het copyright van softwarebedrijf Oracle toen het de code uit de programmeertaal Java gebruikte voor zijn mobiele besturingssysteem Android. Dat meldde RTL Nieuws onlangs. De Amerikaanse Supreme Court bepaalde namelijk dat de relevante code een fair use was onder eventuele auteursrechten van Oracle op diens Java-implementatie. Leuk voor Google, maar een uitspraak dat iets fair use is, daar heeft de rest van de wereld weinig aan. De kern van de zaak was namelijk: rust er überhaupt auteursrecht op een API definitie, wat de betreffende regels code uiteindelijk waren.

De zaak Google/Oracle draait om de universele programmeertaal Java, die begin jaren negentig is ontwikkeld door Sun Microsystems. In 2007 kwam het voor mobiele apparaten ontwikkelde besturingssysteem Android op de markt. Om ontwikkelaars over de streep te trekken Android-applicaties te maken, had Google daarin verschillende API’s opgenomen. Deze API’s bevatten elementen die ook aanwezig waren in de API’s van Java en droegen bovendien dezelfde namen. Alleen, de implementatie was verschillend.

Dat mag, zo dachten de meeste juristen destijds. Op een definitie of een naam rust geen auteursrecht. De implementatie wel, maar die was dus niet overgenomen. Desondanks kwam dit voor de Supreme Court en die bepaalde tot veler verrassing dat je op een API wél auteursrecht kunt hebben. Dit zou betekenen dat het interface-conform ontwikkelen van een implementatiekloon juridisch onmogelijk zou zijn, vandaar dat Google er met een truc een nieuwe zaak van maakte.

Die nieuwe zaak ging over fair use: mag je andermans werk gebruiken zonder toestemming als dat eerlijk of redelijk is, even kort gezegd. Dit Amerikaanse begrip is breder dan ons citaatrecht, parodierecht et cetera: weliswaar zijn al die dingen van ons vormen van fair use, maar wij hebben in Europa geen algemeen criterium “jamaar dat is toch doodnormaal, kom nou toch hoezo mag dat niet”. Dat is zowel een voordeel als een nadeel. Een nadeel, want als het niet in de wet staat dan vereist het dus toestemming. Maar ook een voordeel, want je weet nu precies wat wel en niet mag.

In de VS hebben ze dus die open norm, en de Supreme Court oordeelt nu dat Google daaronder dit mocht doen. Google had alleen die regels broncode gekopieerd – die API definities overgeschreven – die ze echt nodig had:

Google copied only what was needed to allow programmers to work in a different computing environment without discarding a portion of a familiar programming language. Google’s purpose was to create a different task-related system for a different computing environment (smartphones) and to create a platform—the Android platform—that would help achieve and popularize that objective. The record demonstrates numerous ways in which reimplementing an interface can further the development of computer programs.
Het probleem is alleen: geldt dit voor íedere herimplementatie van andermans API? Hoe ver gaat dat “what was needed”, hoe anders moet jouw eigen programmeeromgeving zijn en moet het gaan om een “bekende” (familiar) programmeertaal? Als ik de API van zeg de elearning-provider op de hoek kopieer, val ik dan hieronder? En dat is dan alleen nog maar wat ik in vijf seconden kan bedenken na het lezen van deze zin; kun je nagaan wat een advocaat van Oracle daarvan maakt als hij zes maanden fulltime 800 dollar per uur daarvoor mag rekenen.

Het Hof danst om de vraag heen of haar vorige uitspraak over auteursrecht op API definities terecht was. Dat is ook lastig want zelfs de Supreme Court kan niet zomaar haar eigen precedenten opzij zetten. Men houdt het dan ook bij

We shall assume, but purely for argument’s sake, that the entire Sun Java API falls within the definition of that which can be copyrighted. … As part of an interface, the copied lines are inherently bound together with uncopyrightable ideas (the overall organization of the API) and the creation of new creative expression (the code independently written by Google).
Dit laat dus het principe overeind dat er best auteursrecht op een API als zodanig kan zitten. Weliswaar niet heel veel, maar kennelijk net genoeg. En hoe je het idéé van een API hergebruikt zonder de letterlijke functienamen en dergelijke te gebruiken, daar laat men zich wijselijk niet over uit.

We kunnen dus nu wel roepen dat Google gewonnen heeft, maar de conclusie die op lange termijn blijft staan is dat vrijwel iedere API auteursrechtelijk beschermd is, met als gevolg dat interoperabiliteit vrijwel onmogelijk wordt. Immers, wil je die herimplementeren dan heb je toestemming nodig tenzij je in een beperkte uitzondering valt.

Dit versterkt de macht van rechthebbenden enorm. En ja, ik maak me daar ook bij Europese bedrijven zorgen over. De meeste innovatieve softwaredienstverleners opereren immers vanuit de VS. De ervaring leert dat hun gedrag (en contractuele voorwaarden) sterk Amerikaans georiënteerd zal zijn, waarbij men niet snel Europeesrechtelijk water bij de wijn zal doen. Daar komt bij dat een concurrent binnen dit juridisch kader geen API-compatibele eigen dienst kan aanbieden, omdat dit op auteursrechtelijke bezwaren zal stuiten in de VS – en de dienst aldaar niet aanbieden is commercieel dan geen optie.

Daar staat natuurlijk tegenover dat zeker de web API’s vaak al onder bepaalde voorwaarden worden aangeboden, zodat de praktijk niet direct zal wijzigen. Maar API-aanbieders hebben nu wel een stuk steviger fundament voor hun voorwaarden, namelijk dat wie deze schendt, tevens het auteursrecht te buiten gaat. Een app die jouw voorwaarden schendt, kun je afsluiten van de API en dat is het. Een app die jouw auteursrecht schendt, kun je van de markt halen onder opvordering winst en een verbod voor de toekomst. Dus nee, ik vind deze ‘overwinning’ best zorgelijk.

Arnoud

Google gaat individuele identifiers van adverteerders blokkeren

Google wil binnen een aantal jaar stoppen met het individueel volgen van gebruikers, las ik bij Tweakers. Google wil alle unieke identifiers blokkeren, zowel van het bedrijf zelf als van adverteerders. “People shouldn’t have to accept being tracked across the web in order to get the benefits of relevant advertising”, aldus de toelichtingsblog van Google. Toch blijven er volgens Google manieren waarop websites gericht kunnen adverteren. Het bedrijf noemt ‘vooruitgang in aggregate, anonimisatie, on-device-verwerkingen en andere privacybehoudende technologieën’. Ik ben erg benieuwd.

Als je één bedrijf moet noemen dat je continu volgt, dan zullen veel mensen Google noemen. De stap voelt dan ook raar en onverwacht, en het bedrijf zal er zeker goede PR garen bij spinnen: kijk ons eens ineens pivotten naar een privacyvriendelijke webbelevenis. Maar de grap is natuurlijk dat Google dit soort tracking helemaal niet meer nodig heeft, ze kan met contextual advertising al meer dan genoeg mensen passende advertenties voorschotelen. Het zijn dus vooral Google’s concurrenten die hier last van gaan krijgen.

Daar komt bij dat Google ook een nieuwe technologie heeft ontwikkeld waarmee het beheren van persoonsinformatie privacyvriendelijker wordt. In de kern wordt alle data op de eigen computer geladen en in een machine learning model gevoegd. Data van andere mensen wordt op een privacyvriendelijke (want geanonimiseerde) manier gedeeld, zodat iedereen zijn of haar eigen profiel kan verrijken zonder dat ergens centraal álle gegevens (of zelfs maar de gegevens per cohort) beschikbaar zijn. Het is vrij nieuw, maar al getest met het Android-toetsenbord Gboard en lijkt te werken zoals beloofd.

In theorie wordt dit zelfs een open standaard, zodat concurrenten het ook over kunnen nemen. Maar de marktmacht van Google blijft wel zo groot dat het lange tijd vooral dit bedrijf een groot voordeel zal opleveren. En dat maakt het zorgelijk, ondanks de belofte van meer privacy en bescherming van persoonsgegevens.

Arnoud

Onderzoek legt privacyrisico’s bij Google-diensten in het onderwijs bloot

Het gebruik van Google Workspace in het onderwijs brengt vermijdbare privacyrisico’s voor leerlingen en studenten met zich mee. Dat meldde Nu.nl onlangs, op basis van onderzoek van de Hogeschool van Amsterdam (HvA) en Rijksuniversiteit Groningen (RUG) en een bijbehorende Kamerbrief hierover. De kern is dat wanneer je deze dienst afneemt, Google zelfstandig beslist wat zij met metadata doet – en daarmee dus geen volwaardige verwerker is. Ook zit je natuurlijk met het punt van Amerikaanse verwerking. Wat betekent dit nu voor de praktijk?

In de Kamerbrief staat de kern van de materie als volgt omschreven:
Google heeft als standpunt dat zij zichzelf als enige verwerkingsverantwoordelijke ziet voor metadata. Dit betekent dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt. Ook heeft Google in de privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder de gebruiker om toestemming te vragen.
De term metadata verwijst naar data over de echte data, in dit geval data over studiegedrag en gebruiksgedrag van de dienst. Dat is vaak waardevoller dan die echte data. Het zal Google een zorg zijn wat er op de slides staat, maar weten dat studenten gemiddeld tussen 20.53 en 02.20 inloggen om studiemateriaal te consumeren, dát is waardevol. En dan kan ze nog zo mooi zeggen dat “we nooit klantgegevens of servicegegevens (zoals gebruikersactiviteit) gebruiken voor advertentie-targeting”, die gegevens gaan ergens het zwarte gat in dat je Googleprofiel heet. En dat mag niet.

Het probleem is natuurlijk dat dat niet hoort; als je een verwerker bent dan ga je geen eigen dingen met data doen, ook niet met afgeleide data of metadata die je krijgt bij zo’n dienst. Maar het is ook weer heel logisch dat Google dat doet.

De vraag is nu bij de AP neergelegd hoe verder. Normaal zou je na het constateren van zo’n hoog risico in je DPIA een voorafgaand advies vragen (en wachten tot dat er is) maar dat kan niet omdat het onderwijs al op grote schaal draait op Google. De pragmatische oplossing is dus doorgaan tot er duidelijkheid is.

Nadeel hiervan is wel dat er een reële kans is dat de AP zegt dat dit niet kan, en dat onderwijsinstellingen weg moeten bij deze dienstverlener. Alsof de ICT’ers hier nog niet genoeg aan hun hoofd hebben, meelezende onderwijs-ICT-mensen u heeft mijn sympathie.

Arnoud

Oh sjonge, optimaliseren van onze website is dus een boetewaardige cookietekst

De Franse privacyautoriteit CNIL heeft Google en Amazon een boete van respectievelijk 100 miljoen en 35 miljoen euro gegeven, las ik bij Nu.nl. Het boetebesluit is opmerkelijk omdat het gewoon recht voor z’n raap beboet wat veel mensen al lang zeggen maar bedrijven gewoon blijven doen: direct een tracking cookie zetten en ook nog eens in de cookiemelding alleen maar vage teksten als “By using this website, you accept our use of cookies allowing to offer and improve our services. Read More” te hanteren. Het blijft me verbazen, dat iedereen daar gewoon mee doorging.

Of nou ja, eigenlijk ook weer niet want iedereen doet het en er werd toch niet op gehandhaafd. Maar ik had denk ik wel ergens verwacht dat die vage teksten als “wij gebruiken cookies om uw bezoekerservaring te optimaliseren” wel zouden verdwijnen toen de AVG haar intocht maakte. Dat blijkt dus fors tegen te vallen.

De CNIL is de Franse toezichthouder, en legt dan ook de boete op voor de dienst Google.fr en Amazon.fr – aan de Franse dochter van Google en Amazon, omdat die daadwerkelijk in de EU gevestigd zijn. Zo concludeert men:

Therefore, the processing consisting of operations of accessing or entering information in the terminal of users of the Google Search search engineresiding in France, in particular for advertising purposes, is carried out within the framework of the activities of the company GOOGLE FRANCE on French territory, which is in charge of the promotion and marketing of GOOGLE products and their advertising solutions in France.
(Wat natuurlijk klopt, die Europese dochterbedrijven zitten er om advertenties te verkopen dus die tracking cookies draaien daar voor hún zakelijk belang. De juridische bedrijfsstructuur doet er dan gewoon niet meer toe.)

Maar dan de echte discussie, hoe moet je uitleggen wat je doet? Na eerst alleen maar “Beheer uw privacy klik hier” te hebben gehad, had Google bijvoorbeeld op zeker moment dit ingevoerd:

Google uses cookies and other data to provide, manage and improve its services and ads. If you agree, we’ll personalize the content and ads you see based on your activity on Google services like Search, Maps, and YouTube. Some of our partners also assess how our services are used. Click “More Info” to explore your options or visit g.co/privacytools anytime
Maar is dit genoeg? Nee, aldus de CNIL: hieruit haal je niet dat je gevolgd wordt over meerdere apparaten en diensten heen, dat sprake is van vérgaande personalisatie en vooral dat je dit alles kunt uitzetten. Ja, er staat “more info to explore options” maar dat is bij lange na natuurlijk niet een mogelijkheid om te weigeren. En laat de wet nu niet alleen een weigermogelijkheid eisen maar zelfs een vooráfgaande: je moet gewoon vrijelijk toestemming kunnen geven of niet.

Wie heel hard zocht, kon een opt-out mogelijkheid vinden. Alleen bleek daarbij dat daarna niet alle cookies daadwerkelijk werden verwijderd of op opt-out werden gezet, zodat het tracken vrolijk verder kon gaan.

Goed, en nu. Moet iedereen stoppen met die vage zinnen, en vooral met cookies plaatsen voordat mensen op ja hebben geklikt? Nou ja, wat denk je zelf. Maar ik weet ook wel dat de concurrent er gewoon mee doorgaat, dat deze zaak nog jaren gaat slepen en dat er dus bar weinig prikkel is om morgen over te stappen op een volledig compliant systeem. Dit is echt een probleem.

Arnoud

Google hoeft recht op vergetelheid niet wereldwijd toe te passen van EU

Google heeft een rechtszaak gewonnen tegen de Franse privacywaakhond CNIL die wilde dat de gegevens van een persoon wereldwijd uit de zoekresultaten van Google verwijderd werden. Dat meldde Nu.nl gisteren. Iets preciezer: het Hof van Justitie oordeelde dat het Europees privacyrecht niet eist dat mensen wereldwijd vergeten hoeven te kunnen worden. Dit naar aanleiding van een bevel van de Franse toezichthouder dat Google wereldwijd zoekresultaten op persoonsnaam moet opschonen als naar Europees recht die resultaten verouderde of irrelevante informatie bevatten. Dat bevel gaat te ver – maar vooral omdat de Europese wetgever niet heeft gedurfd het vergeetrecht wereldwijd in te voeren.

Het zogeheten “recht te worden vergeten” staat natuurlijk in de AVG (artikel 17) maar is in 2014 al ingevoerd als brede uitleg van de oude privacyregels. Het komt erop neer dat je als persoon zeggenschap hebt over wat Google over je meldt als mensen op je naam zoeken, in die zin dat verouderde en irrelevante informatie buiten beeld moet blijven. Die is immers niet meer relevant vandaag de dag, maar kan je privacy raken doordat oude dingen je nagedragen blijven worden. En daarbij wint de privacy dan in beginsel boven het recht van Google om als bedrijf informatie te mogen ontsluiten.

Google volgde dit arrest maar zocht vanaf het begin de grenzen op. Eentje daarvan was dat de te vergeten resultaten alleen buiten beeld bleven in de zoekinterface met Europese domeinnamen (dus niet de .com). De Franse CNIL legde een bevel op dat dit te weinig was, en dat Google eigenlijk ongeacht locatie van de zoeker tot blokkade moet overgaan, omdat je anders triviaal dat vergeetrecht kunt schenden. (Google had overigens in de tussentijd IP-geolocatie ingevoerd, zodat het niet meer uitmaakte welke extensie je zoekinterface had. Je moet dus een niet-Europees IP-adres hebben om nog om de zoekbeperking heen te komen.)

De vraag kwam natuurlijk bij het Hof van Justitie. Dat oordeelt dat het vergeetrecht weliswaar uit het grondrecht tot bescherming van persoonsgegevens volgt, maar wel in balans moet staan met andere grondrechten, in dit geval de vrijheid van informatie van internetgebruikers wereldwijd. Die vrijheid kan aanzienlijk variëren; lang niet alle landen kennen iets als ons vergeetrecht. En dan gaat het wel heel ver om nu te zeggen, die grondrechten elders moeten maar wijken voor onze grondrechten.

Het kán wel, het Hof laat nadrukkelijk de optie open dat Europa wereldwijd bescherming van grondrechten afdwingt. Alleen, dat is wel iets dat de Uniewetgever dan expliciet moet regelen. Niets in de AVG suggereert dat ze dit hebben willen doen, terwijl er wel andere dingen in staan voor bedrijven buiten de EU. Dus kennelijk heeft de wetgever dat niet aangedurfd of niet gewild. En als dat zo is, dan moet de rechter natuurlijk niet alsnog die regel zelf op gaan leggen.

Het Hof laat wel een gaatje open: Europese landen mogen zelf aanvullende regels stellen over hoe om te gaan met informatievrijheid versus privacy, en het is daarin mogelijk om een regel in te voeren die gaat over wereldwijd vergeten van zoekresultaten. Dat is dan wel legaal, omdat een land er dan over nagedacht heeft en in een wetsartikel heeft vastgelegd wat de belangenafweging en motivatie dan moet zijn.

Arnoud

Mag een kinderdagverblijf voor hun activiteiten-app eisen dat je Google of Facebook gebruikt?

Een lezer vroeg me:

De kinderopvang waar mijn kinderen naartoe gaan hebben onlangs een contract gesloten met Bitcare voor hun management en registratie van wat er zoal gebeurt gedurende de dag. Echter, registreren kan alleen door je via een ‘identity provider’ aan te melden. Je hebt een Google, Microsoft of Facebook account nodig zodat het bedrijf je kan koppelen aan je kinderen, en zodat ze in contact met je kunnen komen indien nodig. Maar ik wil dat helemaal niet, mijn gegevens hoeven niet naar die Amerikaanse datagraaiers. Kunnen ze dit zomaar doen?

Bitcare is een van diverse dienstaanbieders gericht op communicatie tussen ouders en kinderopvang, bso en dergelijke. Het idee is dat je zo makkelijk allerlei informatie kunt verstrekken op een veilige manier, inclusief foto’s van je kinderen tijdens de dag. De dienst legt uit wat het inhoudt:

Met Bitcare zullen gedurende de dag activiteiten en foto’s online met u gedeeld. Via een app en website kunt u zien hoe laat uw kind heeft geslapen, gegeten en gedronken en welke leuke activiteiten er met de kinderen zijn ondernomen. Ook kunt u de planning bekijken en verzoeken indienen omtrent vakanties, ziekte, extra dagen en ruildagen. Daarnaast kunt u chatten met leidsters op de groep. Met Bitcare blijft u altijd op de hoogte van alle gebeurtenissen en de ontwikkeling van uw kind(eren). Zo kunt u zorgeloos werken en hoeft u niets te missen!

Om dit goed te laten werken, moet de dienst natuurlijk de identiteit van ouders vaststellen alvorens ze een account te geven. Dat kunnen ze natuurlijk zelf doen, maar dat is in dit geval uitbesteed aan Facebook, Google of Microsoft als identity provider. In de kern komt het er dan op neer dat je daar moet inloggen en dat het resultaat wordt teruggemeld aan Bitcare, waarna die weet wat je echte naam is.

Deze insteek zie ik vaker sinds de AVG. Het achterliggende idee is dan dat Facebook, Google of Microsoft beter in staat zijn je gegevens te beschermen dan zo’n kleine club als een kinderopvang. De authenticatie is dan dus veiliger en betrouwbaarder. Daar is weinig tegenin te brengen, dus de zorg gaat dan vooral over wat er nog meer gebeurt met die gegevens.

Bitcare zelf doet eigenlijk niets met Facebook-gegevens, noch andersom:

Bitcare gebruikt na toestemming dan ook alleen uw naam en e-mail adres, zodat mocht het nodig zijn er contact met u opgenomen kan worden. We hanteren strenge privacy regels voor u en uw kind en Bitcare zal nooit deze gegevens misbruiken. Bitcare heeft verder geen toegang tot uw Google, Microsoft of Facebook account en de bovenstaande partijen hebben ook geen toegang tot de Bitcare gegevens.

Eerlijk gezegd zie ik in die situatie weinig reden om hier bang voor te zijn. Een verhoogd risico door gebruik van deze authenticatie bij deze dienst is er volgens mij niet. Als je bang bent voor wat Google, Microsoft of Facebook doen, dan snap ik dat maar deze specifieke toepassing zal de bedreigingen weinig versterken.

Een alternatief bieden in de zin van een eigen authenticatiedienst kan natuurlijk, maar voelt nogal omslachtig en geeft bovendien extra risico’s rond identiteitsfraude, foutjes bij de administratie en ga zo maar door. Ik zou de stelling wel aandurven dat je minder veilig bent met eigen formuliertjes dan met een Microsoft als identity provider.

Wat denken jullie?

Arnoud

Google mag recht om vergeten te worden tot EU beperken, aldus advocaat-generaal

Google hoeft zoekresultaten die het verwijdert vanwege het Europese recht om vergeten te worden, niet op al zijn domeinen te verwijderen, maar alleen voor bezoekers binnen de EU. Dat las ik bij Tweakers onlangs. De advocaat-generaal aan het Hof van Justitie kwam in een recente analyse tot dit advies in een zaak tussen Google en de Franse Autoriteit Persoonsgegevens. Het advies weegt vaak zwaar bij het Hof van Justitie, maar is formeel niet bindend. Het is wel een mooi compromis tussen het belang te worden vergeten en het informatiebelang van anderen, zeker als je het vanuit wereldwijd perspectief bekijkt.

Sinds 2014 spreken we van een recht te worden vergeten in zoekresultaten bij diensten zoals Google. Wanneer zoekresultaten bij opdrachten rond jouw naam of jouw persoon bepaalde verouderde, irrelevante en gênante resultaten tonen, dan heb je het recht die te laten verbergen. Bij de bronsite blijven ze gewoon staan (het recht op een integer archief weegt zwaarder dan je privacy, tenzij publicaties onrechtmatig waren) maar ze zijn daarmee veel moeilijker te vinden. Met deze uitspraak wilde het Hof een balans zoeken tussen de privacy van mensen die steeds oude zoekresultaten terug zien komen, en de behoefte van anderen om informatie over mensen te vinden.

Google gaf op zich gehoor aan de uitspraak, maar kwam wel meteen met een restrictie: alleen bij zoekopdrachten vanuit de EU. Wie bijvoorbeeld met een vpn naar google.com gaat, kan gewoon ‘verboden’ zoekresultaten opvragen. De CNIL (de Franse Autoriteit Persoonsgegevens, zeg maar) vond dat ook dit in strijd was met de privacy: vergeten is vergeten, ongeacht IP-adres. De zaak kwam daarmee bij het Hof van Justitie, en haar onafhankelijk juridisch adviseur doet nu dus suggestie om het vergeetrecht Europees te beperken.

De belangrijkste reden lijkt te zijn dat de wetgeving (de oude Richtlijn, en nog niet de AVG) niet duidelijk maakt wanneer deze territoriaal van toepassing is bij internetdiensten als deze. Het gaat dan nogal ver om een wereldwijde verplichting af te leiden uit zo’n wet. Bij de AVG zou dat anders kunnen zijn, omdat de regels daar (artikel 3) veel breder te lezen zijn. Maar daar gaat deze zaak niet over.

Ook is de advocaat-generaal bezorgd over escalatie: als de EU buitenlandse dienstverleners gaat vertellen wat ze moeten blokkeren, gaan andere landen misschien Europese dienstverleners ook dergelijke dingen opleggen, of hun eigen dienstverleners opdragen om Europese bezoekers minder informatie te geven. Een informatieoorlog is wel het laatste waar je op zit te wachten.

Alles bij elkaar lijkt het dan ook het beste om te gaan voor een Europees vergeetrecht. Ik ben het daar wel mee eens: voor Europeanen is er zo een redelijke balans tussen privacy en informatievrijheid. Wie de informatie écht nodig heeft, kan met extra moeite deze wel vinden. Desnoods door bij de individuele bronnen zelf te gaan zoeken, of dus met een VPN bij een buitenlandse zoekmachine. Dan is er dus een stevig informatiebelang (waarom anders die moeite doen) en dat rechtvaardigt dan het kunnen vinden.

Arnoud