Tag: identiteit

About identiteit

Subscribe Feeds

Gordon wil anoniem reageren online onmogelijk maken, maar is dat haalbaar?

Geplaatst op in Uitingsvrijheid, 18 reacties

Zanger en entertainer Gordon is een petitie gestart waarmee hij wil zorgen dat anoniem reageren op internetfora en sociale media niet meer mogelijk is. De SBS-presentator vindt dat mensen een identiteitsbewijs moeten indienen voordat ze een account kunnen aanmaken. “Ik wil ervoor zorgen dat er jurisprudentie komt waar andere collega’s die gestalkt worden of van wie naaktfoto’s worden verstuurd op terug kunnen vallen”, zei hij eerder. Dat gaat nog best eens een probleem worden.

De aanleiding lijkt te zijn geweest dat Gordon een nieuwe televisieserie was begonnen over zijn hondje, dat volgens deskundigen te ziek zou zijn daarvoor. “Wij zien op basis van de vele filmpjes en foto’s dat de fokker van dit hondje zich niet aan alle regels heeft gehouden”, constateert de Hondenbescherming op basis van de voorschriften van de NVWA. Dit gaf vele anonieme commentaren, waarvan een groot deel inderdaad te walgelijk voor woorden is. Bij lang niet alle fora krijgt Gordon daar wat tegen gedaan, en vanwege anonimiteit is het lastig die mensen zelf aan te pakken. Vandaar het plan.

De presentator ziet het als oplossing als mensen niet meer anoniem een online account kunnen aanmaken. Hij stelt bijvoorbeeld voor om inlogs te koppelen aan de DigiD of het BSN. Dat heeft natuurlijk enig effect: wie weet dat zhij te traceren is, zal zich enigszins inhouden bij het doen van al te rare commentaren. Dit zal alleen wel een wetswijziging vereisen: gebruik van BSN voor dit doel – of voorschrijven van DigiD inlog – is niet mogelijk af te dwingen enkel met jurisprudentie. En ook meer algemeen, het eisen dat men de klanten identificeert is iets dat in principe een wet eist.

Je kunt natuurlijk (Lycos/Pessers) eisen dat het platform geeft wat men heeft, zoals het IP-adres. Maar stel nu eens dat ook het BSN of de gegevens van de DigiD-inlog daarbij zitten. Dan heb je toch nog steeds dezelfde route? Je elimineert alleen de tweede stap naar de internetprovider die IP-adres naar abonnee kan vertalen. Heel veel effectiever lijkt me dat niet.

In uitzonderlijke gevallen kun je binnen de huidige jurisprudentie de platformaanbieder aansprakelijk stellen. Het Delfi-arrest uit 2015 bepaalde dat een website die zeer controversiële berichten plaatst en weet dat daar grove, onrechtmatige reacties op gaan komen, zelf aansprakelijk is voor de inhoud daarvan. Wel lijkt het Hof de lat redelijk hoog te leggen: niet bij theoretisch mogelijk strafbare zaken, maar evidente dat-kan-écht-niet doodsbedreigingen en uitspraken die “tegen de menselijke waardigheid” ingaan. Dat lijkt dan aan te sluiten bij de regel die we al kennen bij de Europese notice/takedowns: alleen bij evident onrechtmatige zaken moet je ingrijpen als hoster of beheerder – en nee, niet alleen bij klachten, ook als je er zelf achter komt. Als je het zo bekijkt, dan zegt het Hof dus, je moet je comments gewoon lézen en als je dat-kan-écht-niet zaken ziet, dan moet je ingrijpen. Lees je niet, dan is dat jouw probleem. En Delfi deed weinig, te weinig, om in te grijpen bij dergelijke reacties.

Indirect zou van zo’n aansprakelijkheid een dreiging uit kunnen gaan naar platformeigenaren: als je dát soort troep doorlaat, dan ben je kennelijk zelf aan te spreken, en iemand als Gordon zal dat ook met veel kabaal gaan doen. Dus dan maar beter daarop modereren. Dan krijg je natuurlijk meteen de discussie dat daarmee alle platforms alle negatieve uitingen zullen gaan weren – of stoppen met commentaar in het algemeen – omdat ze niet kunnen modereren op enkel de zeer ernstige gevallen. Ik heb met dat laatste altijd wat moeite gehad. Natuurlijk, vrijheid van meningsuiting is een groot goed maar het soort oprispingen waar we het hier over hebben, zijn die echt niet te onderscheiden van de serieuze kritiek wegens dierenmishandeling die met een tikje emotie wordt geplaatst?

Arnoud

Hoe navigeer je tussen werkbare procedures en de omstandigheden van het geval?

Geplaatst op in Informatiemaatschappij, 3 reacties

Mijn oog viel op deze tweet van de Engelse toezichthouder, waar ik een tikje van opkeek:

Hi, orgs should not look to adopt a blanket approach in asking for ID when responding to a SAR [inzageverzoek onder de AVG]. They should consider each request on a case by case basis and identify which form of ID is most proportionate if required.

De tweet was een reactie op een vraag van de onvolprezen privacyvoorvechter Pat Walshe, die constateerde dat je bij het vragen van een kopie van je persoonsgegevens bij Engelse politieke partijen altijd een kopie ID moet meesturen. Uit de reactie valt op te maken dat dat niet mag, en dat een organisatie dus per verzoek moet kijken of de persoon duidelijk geïdentificeerd is als de betrokkene en zo nee wat in dat geval het handigste is.

Mijn wenkbrauwen fronsen bij zo’n benadering, omdat ik net daarvoor dit onderzoek las over waarom organisaties regels schenden. Iets dat voor juristen vaak moeilijk te vatten is. Het staat toch in de wet dat dat niet mag, opgelost slotje. Maar voor organisaties werkt dat niet zo:

Because organizations rely on routines for following rules, complex rules would require complex routines, which would be harder to execute reliably. As expected, both types of rule complexity increased noncompliance. The two also reinforced one another such that having many components and connections made it far more likely that the rule would be broken.

Met name die eerste zin springt in het oog natuurlijk: organisaties werken altijd met routines, met procedures. Dat is de enige manier om het werkbaar te houden voor de mensen die het moeten doen. Elk geval toetsen op de individuele merites is ongelofelijk kostbaar en geeft veel ruimte voor onduidelijkheid. Het voelt dan ook wat onwerkbaar wat de ICO hier zegt.

Natuurlijk is het niet perse zo dat je altijd een kopie ID kunt vragen en anders stomeenvoudig zeggen, uw verzoek wordt afgewezen. Je moet een controle hebben die past bij de situatie. Als mensen bijvoorbeeld zich online aanmelden voor je dienst (zoals bij de bekende “Mijn Dinges” portalen) dan is een aanvullende identificatie niet nodig. En staan ze aan de balie, dan kun je gewoon hun ID bekijken zonder dat een kopie nodig is. Dat zijn prima procedures.

Maar écht maatwerk, dat zou de uitzondering moeten zijn. Ik vrees dat het juist eerder misgaat als ieder geval als maatwerk wordt behandeld. Dat duurt langer, leidt tot willekeur en fouten.

Arnoud

Mag een bedrijf telefonisch informatie verstrekken aan iemand anders dan de contracthouder?

Geplaatst op in Security, 9 reacties

Een lezer vroeg me:

Steeds vaker merk ik dat wanneer ik voor mijn partner of ouders een helpdesk bel, ze meteen afhaken wanneer ik zeg dat ik niet zelf de contracthouder ben. Dit “vanwege de privacy” en “omdat ze niet kunnen verifiëren dat ik gemachtigd ben”. Maar is die privacywet echt zo streng? En hoe zou het dan wel moeten?

Vroeger, toen bits nog van hout waren, kon je inderdaad een stuk makkelijker namens anderen bellen of informatie inwinnen. Maar het vertrouwen dat daaronder lag, is ondertussen wel stevig aangetast. En terecht, social engineering is wel érg makkelijk als iemand bij mijn gegevens kan door te zeggen dat hij mijn echtgenoot is.

Het is wat verwarrend als bedrijven dan “vanwege de privacy” zeggen, want dit is niet specifiek een privacy-issue. Het is meer een veiligheidsissue of een bevoegdheids-issue, als je het juridisch bekijkt. Maar wellicht dat dat lastiger aan de telefoon uit te leggen is.

Als je gemachtigd bent, dan zou “vanwege de privacy” of security geen issue moeten zijn. Die persoon mág dan namens die ander de conversatie voeren. Alleen, hoe toon je dat aan als gemachtigde? Machtigen kan ook mondeling (of per mail), dus het is denkbaar dat iemand belt die geen stuk papier kan laten zien.

Het lijkt me in beginsel redelijk dat je als bedrijf zegt, telefonisch willen we geen gemachtigden spreken want dat is niet te verifiëren. Maar in veel gevallen zou ik dat wel wat streng vinden. Denk aan afspraken maken of dingen aanvragen die vervolgens worden opgestuurd.

Arnoud

Mag je iemands ware identiteit bekendmaken?

Geplaatst op in Privacy, Uitingsvrijheid, 26 reacties

anoniem-pseudoniem-nickname-bijnaam-naam.pngDoxing is de wat merkwaardige internetterm voor “iemands identiteit achterhalen”. Veel mensen op internet zijn anoniem, en het kan dan een sport zijn te achterhalen wie dit werkelijk is. En soms heeft dat vervelende gevolgen voor die persoon, variërend van rare brieven bij de buren of stapels pizza’s tot de buurt moeten ontvluchten.

Het is niet verboden om iemands ware identiteit achter een pseudoniem te onthullen. Dergelijke informatie publiceren valt onder de vrijheid van meningsuiting, ook als de pseudonymous het niet leuk vindt. Pas als er bijkomstige omstandigheden zijn die schade opleveren, zoals dat die persoon vervolgens gevaar loopt, zou je onrechtmatig kunnen handelen.

Het is verboden om iemands ware identiteit achter een pseudoniem te onthullen. Dergelijke informatie maakt deel uit van de persoonlijke levenssfeer, en daar beslist de betrokkene zelf over. Pas als er bijkomstige omstandigheden zijn die publicatie rechtvaardigen, zou de publicatie legaal kunnen zijn. Dergelijke omstandigheden zouden kunnen zijn dat de naam essentieel deel is van een nieuwsfeit.

Ja, ik spreek mezelf tegen hier. Maar dit is wat je altijd krijgt bij botsende grondrechten, in dit geval de uitingsvrijheid versus de privacy. Beiden werken met een “mag, tenzij beperking noodzakelijk” constructie en die kun je niet in één regel samenvatten. De juridisch-pragmatische oplossing is dan de argumenten voor en tegen op een rijtje te zetten en af te wegen, wat voor blogs als deze zeer onbevredigend is want ik heb een hekel aan “dat hangt er van af” maar dat is de enige algemene regel.

Maar Arnoud, in de media vermelden ze toch altijd de namen van verdachten met een initiaal, waarom is dat dan? Nou, dat is niet gebaseerd op een wet. Ooit namen de Nederlandse hoofdredacteuren een vrijwillig besluit om geen volledige namen meer te publiceren, puur zelfregulering dus. De Leidraad van de Raad voor de Journalistiek verbiedt dat journalisten gegevens over verdachten (én veroordeelden) publiceert waarmee deze “eenvoudig kunnen worden geïdentificeerd en getraceerd.” De Leidraad maakt uitzonderingen, onder meer wanneer de naam al algemeen bekend is, maar ook als de betrokkene zelf de openbaarheid zoekt.

Toevallig kwam dit onderwerp aan de orde in een kort geding over een vrouw die publiceerde over de prostitutie onder de schuilnaam Patricia Perquin. De Volkskrant had haar ware identiteit achterhaald en wilde dit in een krantenartikel publiceren, omdat ze wat opmerkelijke feiten had ontdekt. De vrouw spande een kort geding aan, dat ze won omdat de krant onvoldoende onderbouwing had. Maar in een vervolgartikel had men het nodige bewijs op tafel gekregen.

De krant had twaalf argumenten op tafel gelegd, waarvan de meesten de rechter overtuigend voorkomen. Het enige echte tegenargument was dat de publicatie tot bedreigingen en gevaar tegen de vrouw zou leiden. Maar daar zet de rechter zijn twijfels bij, vooral omdat ze al eerder zelf aan een radioprogramma had meegewerkt zonder te eisen dat haar stem werd vervormd. Als je dat doet dan neem je al een risico, dus kennelijk viel het wel mee met dat gevaar. Ook speelde mee dat ze zelf de publiciteit had gezocht – iemand uit de anonimiteit trekken is ernstiger dan een populaire anonymous ontmaskeren.

Ook werd de Wbp weer eens in stelling gebracht tegen de persvrijheid, maar ook dat mocht niet baten. De rechter bepaalt allereerst dat er geen sprake is van een geautomatiseerde verwerking, en ziet vervolgens de persexceptie en houdt dan op met lezen. Jammer, eigenlijk had hier toch echt een expliciete afweging van de “dringende noodzaak” moeten plaatsvinden.

Stelling: het is onmogelijk op internet te publiceren zonder traceerbaar te zijn.

Arnoud