Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

De HR afdeling van mijn werkgever heeft een afspraak met een ander bedrijf om elkaars werknemers te scannen op Linkedin op hun beschikbaarheidsstatus. De HR medewerker die het betreft heeft bij een vorige werkgever op zijn/haar kop gekregen, omdat er werknemers vertrokken zonder dat de werkgever actie hadden kunnen ondernemen, om die werknemers te behouden. Is dat wel toegestaan gezien bijvoorbeeld de AVG? En wat kan ik eraan doen?

Niet iedereen wil dat, dus is er ook de beperkte variant waarbij alleen mensen die Linkedin Recruiter afnemen (“een platform voor het vinden, contact leggen met en beheren van kandidaten”). Daarbij worden recruiters tegengehouden die voor je huidige werkgever of daarmee verbonden organisaties werken. De truc die deze werkgever dus heeft gevonden, is een recruiter van de concullega laten kijken en dan een seintje te geven “Wim hengelt naar nieuw werk”.

Mijn niet-juridische vraag is dan meteen, wat wil je doen met die informatie? Want iemand er direct op aanspreken lijkt me nogal kansloos, wat verwacht je te halen uit zo’n gesprek? Indirect het gebruiken, bijvoorbeeld “toevallig” een extra leuke klus toeschuiven of de bonus een week eerder, dat kan maar zou dat genoeg zijn? Iemand verbieden weg te gaan, of iemand verplichten dat vinkje weg te halen lijkt me onmogelijk.

Juridisch gezien: ja, natuurlijk valt zulke informatie onder de AVG. Het is immers informatie over een persoon, in dit geval “werknemer Wim wil mogelijk weg bij bedrijf X”. De vraag is dan waarom bedrijf Y (de concullega) deze informatie mag opvragen en doorgeven aan bedrijf X. Het opvragen zie ik nog wel: bij Y werkt een recruiter, die neemt deze tool af en Wim heeft expliciet het vinkje aangezet dat recruiters het mogen weten. Dus dat zit voor Y wel snor qua grondslag van de verwerking.

Maar het gaat mis bij het doorgeven aan X, precies omdat Wim bij het aanzetten van dat vinkje heeft gekozen voor die beperkte variant. Wim wil niet dat het bij X terecht komt, en zowel X als Y weten dat. Ze maken immers die afspraak om om deze wens heen te komen. En dan gaat het mis op de rechtmatigheid (art. 5 lid 1 AVG) van de verwerking, of zo je wilt op de doelbinding (art. 6 lid 4 AVG) omdat je heel duidelijk iets voor het verkeerde doel inzet.

Je kunt dus je werkgever verbieden om deze informatie aan te nemen laat staan te gebruiken. Ik weet niet hoe je dat op een handige manier doet, eentje waarbij de werkrelatie nog even overeind blijft. De OR of vakbond vragen hier wat van te vinden is denk ik nog de veiligste manier. Blijft hooguit de vraag hoe deze kan onthullen te weten te zijn gekomen dat het bedrijf zo werkt.

Arnoud

Een lezer vroeg me:

Ik krijg in toenemende mate ongewenste commerciële berichten via Linkedin van niet-contacten. Soms wederom niet gericht op mijn werk en/of interesses, maar meestal wel, want “We zitten toch in dezelfde groep op Linkedin!” Dit nog los van de officiële gesponsorde berichten die je via LinkedIn zelf kunt versturen. Hoezo is dat legaal, en wat kan ik er aan doen?

Hoofdregel is dat ongevraagde commerciële DM’s niet mogen, niet per mail, niet per Linkedin bericht, gewoon niet. Je moet toestemming hebben, en dat moet expliciet. De antispamwet (artikel 11.7 Telecommunicatiewet) is daar duidelijk in:

Het gebruik van automatische oproep- en communicatiesystemen zonder menselijke tussenkomst, faxen en elektronische berichten voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden is verboden, tenzij de verzender kan aantonen dat de desbetreffende eindgebruiker daarvoor voorafgaand toestemming heeft verleend.

Het maakt niet uit of iemand in jouw netwerk zit, of een uitnodiging om te linken heeft gecommuniceerd. Natuurlijk is “hoi kunnen we linken” gevolgd door “link” wel een toestemming om communicatie met elkaar uit te wisselen, maar ongevraagde commerciële communicatie heeft nu eenmaal een andere status. Ik zou zeggen dat alleen “mag ik je een commercieel voorstel doen, accepteer mijn linkverzoek dan praten we verder” nog net kan. Die vraag zou ik in de context van LinkedIn nog niet als een reclamebericht zelf willen zien, en uit de tekst blijkt dat het accepteren dan bedoeld is als toestemming voor het reclamebericht.

Wel anders is natuurlijk de gesponsorde InMail, dat is een dienst van LinkedIn zelf en dat hoort dus gewoon bij hoe het platform werkt. Dus daar zou dan aparte toestemming niet meer aan de orde zijn. LinkedIn biedt overigens hiervoor een afmeldmogelijkheid, en sinds ik die gebruik lijkt dat ook echt te werken.

Arnoud

Elf-Moondance / Pixabay

Het scrapen van data van Linkedinprofielen is geheel legaal, las ik bij TechRadar. De Court of Appeals for the Ninth Circuit (het hogerberoepshof dat onder meer over techstaat Californië gaat) heeft namelijk bevestigd dat dit geen computervredebreuk oplevert. Dit in hoger beroep (na cassatie bij de Supreme Court) van een zaak uit 2017 tussen Linkedin en startup hiQ. HiQ is erg blij dat archivisten en bibliotheken nu deze data kunnen opnemen in het algemeen belang. Ja, moest ik ook om lachen. Maar dat terzijde.

Zoals ik in 2017 schreef, HiQ (dat blijkt dus hiQ te moeten zijn) is als bedrijf gericht op analyseren van werknemers, en kan bijvoorbeeld bepaald gedrag van werknemers voorspellen, zoals wanneer iemand ontslag neemt. Hierbij is input vanaf LinkedIn erg belangrijk, zo belangrijk zelfs dat ze zeggen als bedrijf failliet te gaan als de toegang tot LinkedIn hen ontzegd zou worden.

Linkedin zag dat anders, zij had in haar gebruiksvoorwaarden scrapen gewoon verboden en schermt daarbij graag met mooie woorden over het vertrouwen van haar gebruikers dat geschonden wordt als gewetenloze recruiters of andere vage figuren er met data vandoor gaan. (Dit in tegenstelling tot de betrouwbare partners natuurlijk.) Maar omdat het hier ging om data die je zonder inloggen kon zien, moest LinkedIn het over de strafrechtelijke boeg gooien: de beruchte Computer Fraud and Abuse Act. 

In 2017 was de rechter er snel klaar mee: de juridische argumenten van LinkedIn over computervredebreuk waren niet zeer overtuigend, de schade voor het sociale netwerk is beperkt en de impact van een verbod voor hiQ is buitengewoon groot. Dan is de uitkomst van die afweging natuurlijk evident: geen verbod. Sterker nog, Linkedin werd verboden om met technische trucs (IP-blokkades) het scrapen tegen te houden.

Na een lange juridische discussie die zelfs tot de Supreme Court kwam, heeft nu de 9th Circuit de definitieve uitspraak gedaan: het opvragen van zonder login beschikbare data telt niet als computervredebreuk. Maar dan met iets meer nuance. De kern is dat hiQ stelde dat haar contracten met data-afnemers in gevaar kwamen door de blokkade van LinkedIn, wat een onrechtmatige daad (tortious interference of contract) zou zijn.

LinkedIn meende dat de privacy van haar bezoekers telde als een rechtvaardiging om die daad te mogen plegen, maar kreeg daarover dus tot de Supreme Court ongelijk. En nu dus ook: niet alleen is dat privacybelang zeer gering omdat het gaat om de openbare (zonder login toegankelijke) informatie die men publiceert, maar ook heeft LinkedIn een vrij ongebruikelijk middel ingezet, namelijk een IP-blokkade. Oh ja, en het feit dat LinkedIn al een paar jaar wist van hiQ en de cease-and-desist pas stuurde na een persbericht dat hiQ met een funding round bezig was, hielp natuurlijk ook niet mee.

Hoewel het dus gaat om een vrij specifieke zaak, zijn er nu wel een paar uitgemaakte punten waardoor scrapen in de VS een verdedigbare praktijk wordt. Het moet dus gaan om openbare informatie, je moet een legitiem zakelijk belang hebben en je mag de bedrijfsvoering van je doelwit niet hinderen.

De privacy van betrokkenen zou uit kunnen maken, maar omdat het gaat om openbare informatie in principe niet. En dat laatste is natuurlijk waarom het bij ons anders uitpakt: de AVG geldt net zo goed bij openbare informatie. Wie dus in Europa LinkedIn-profielen scrapet en als business intelligence verkoopt, moet daarbij een verhaal hebben onder de AVG dat ik eerlijk gezegd niet zou kunnen bedenken.

Arnoud

LinkedIn moet het verwijderde profiel van Tweede Kamerlid Wybren van Haga van de rechter binnen drie werkdagen terugplaatsen, meldde de NOS gisteren. Negen specifieke verwijderde berichten hoeven niet te worden teruggezet, en Linkedin hoeft haar handelen niet te rectificeren. Het is voor zover ik weet de eerste keer dat een sociaal medium door de Nederlandse… Lees verder

Mijn werkgever heeft meerdere BV’s gestart ipv de 2 die er nu zijn, zo begon een recente Redditpost op de JuridischAdvies reddit. Het personeel moet nu ineens een nieuw arbeidscontract tekenen in verband met deze overgang, en er staan toch wat gekke dingen in dat contract die de juridische wenkbrauwen doen fronzen. De vakbond is… Lees verder

Een lezer vroeg me: Recent kreeg ik als commercieel directeur bij een IT-adviesbureau een klacht van een klant: die zag zichzelf terug op een groepsfoto op Linkedin, gepost door een van mijn marketing/sales-medewerkers. De foto was gemaakt op een intern event bij ons waar ongeveer 40 klanten bij aanwezig waren. Weliswaar was het event openbaar… Lees verder

Via Twitter kreeg ik de vraag hoe rechtsgeldig Linkedin-opschoonbedingen zijn. De vraagsteller had een specifieke clausule daarover in de arbeidsovereenkomst van een kennis gezien, en twijfelde of dat wel mocht. De clausule stond naast een ‘gewoon’ relatiebeding, dus dat inspireerde mij om te zeggen “een privé usb-stick met zakelijke gegevens moet je ook wissen”, wat… Lees verder

Wie een onjuiste functietitel koppig blijft handhaven op LinkedIn ondanks herhaalde sommatie van zijn werkgever, kan daarvoor ontslag op staande voet krijgen. Dat maak ik op uit een recent vonnis van de rechtbank Midden-Nederland. In deze zaak was de werknemer sinds 2015 actief in de functie van accountmanager New Business. Op zeker moment in 2016… Lees verder

Een lezer vroeg me: Onder de AVG ben je verplicht om bij alle direct marketing uitingen mensen apart te wijzen op het recht van opt-out (verzet). Hoe pakt dat uit bij Linkedinberichten, waar immers het doel van de dienst bestaat uit het contacteren van mensen voor (in mijn geval) bijvoorbeeld personeelsbemiddeling? Het is volstrekt ondoenlijk… Lees verder

Het is toch wat, je mag ook niets meer van die AVG die in mei van kracht wordt. Nu is ook al niet meer toegestaan om je Linkedin-contacten te exporteren en ze reclamemails te sturen. Dat besliste de Italiaanse AP vorige week. Eigenlijk gaat de uitspraak nog breder: je mag op geen enkel sociaal netwerk… Lees verder