Mag een browserextensie je waarschuwen voor oplichters?

chrome-zwartelijstAfgelopen maand heb ik in de avonduren een chrome extensie ontwikkeld die op elke webpagina zoekt naar IBAN, telefoonnummer, e-mailadressen, las ik (dank, tipgever) bij Gathering of Tweakers. De poster was slachtoffer van oplichting geworden en ontdekte dat hij dit had kunnen voorkomen door even dergelijke gegevens door Google te halen. Vandaar de extensie: de gegevens worden vergeleken met een blacklist van 10.000+ fraudeurs (die elke nacht wordt bijgewerkt) en je krijgt een waarschuwing. Oké, komt ie: mag dat?

Allereerst de vraag: hoe komt deze extensie aan zijn gegevens? Als ik het goed begrijp, dan scant hij webpagina’s op e-mailadressen, bankrekeningen en adressen en matcht hij die tegen een lijst. Zo’n extensie kan die gegevens makkelijk uitlezen, en een lijst binnenhalen met brongegevens is ook niet heel moeilijk. Ik zie alleen niet wat de beheerders van die lijsten daarvan vinden. Dat zóu een probleem met databankrecht kunnen zijn, want op lijsten met verdachte gegevens als deze kan databankrecht zitten als de beheerder er substantieel in geïnvesteerd heeft. Dus even navragen (en een bronvermelding) lijkt me wel verstandig.

Belangrijker is echter de vraag, mag dat wel van de Wbp? Want hoe logisch het ook klinkt dat je nu gewoon een Google-opdracht in een extensie stopt, de Wbp ziet zulke dingen altijd anders. Als jij zelf gegevens gaat verwerken, dan moet jij dat verantwoorden en “Google doet het ook” is géén verantwoording. Waarom heb jij het recht die gegevens zo te ontsluiten?

Meer specifiek ziet de toezichthouder zwarte lijsten als deze als een soort verwerking waar voorafgaand verlof voor nodig is, vanwege de impact die zulke lijsten kunnen hebben. Je zult eens door een paar boze klanten als oplichter worden aangemerkt en dan levenslang via zulke extensies worden gehinderd.

Oh ja, en ik lees nog dat mensen dan bezwaar kunnen maken bij de extensie-beheerder: haal mij van de lijst. Maar het is zeker geen automatisme dat mensen op grond van de Wbp bezwaar kunnen maken tegen opname op zo’n lijst. Ik zie zo’n openbare lijst als een stukje vrijheid van meningsuiting, mensen willen waarschuwen voor oplichting is een legitiem doel en de Wbp mag daar niet zomaar doorheen fietsen.

Dus nou ja, mag het? In principe niet, want een zwarte lijst vereist toestemming. Maar als je de lijst kunt verantwoorden als aan de kaak stellen van misstanden, dan mag het denk ik wél.

Belangrijkste zal zijn dat je de lijst actueel en juist houdt, want wie achterhaalde gegevens als zwarte lijst inzet, heeft een probleem.

Arnoud

Mag je details van oplichters publiceren?

scam-waarschuwen.jpgEen lezer vroeg me:

Ik ben opgelicht via internet. Nu blijk ik niet de enige, dus ik wil samen met mijn mede-gedupeerden een site beginnen om mensen te waarschuwen over deze persoon. Daar moeten natuurlijk dan zijn personalia en contactgegevens in, zodat mensen die daarop googelen het vinden. Maar nu zei iemand dat dat niet mag van de privacywet?

Het publiceren van iemands naam, adres of andere contactgegevens is inderdaad een probleem onder de privacywet, de Wet bescherming persoonsgegevens. Deze eist dat je toestemming hebt, behalve in beperkt een aantal uitzonderingssituaties (zoals een goede uitvoering van een contract).

De uitzondering hier zou zijn “de eigen dringende noodzaak die zwaarder weegt dan de privacy”, of iets anders geformuleerd “de vrijheid van meningsuiting”. Je mag namelijk dingen zeggen over mensen op grond van de vrije meningsuiting, dat is net als privacy een grondrecht.

Bepalen wat er wint -privacy of meningsuiting- is geen eenvoudige kwestie. Het is niet zo dat vrije meningsuiting absoluut is, of dat de privacy voorop staat. Je moet echt elke keer alle feiten en omstandigheden van het geval afwegen tegen elkaar om te zien wiens belang het grootste is in die specifieke situatie. En dat is niet eenvoudig.

Een groot probleem dat bij dit soort sites speelt, is dat er makkelijk misbruik van gemaakt kan worden. Mensen kunnen wraak willen nemen op een leverancier, en die dan als oplichter aanmelden. Of er is sprake van naamsverwarring: ik ken diverse mensen die hetzelfde heten als een oplichter, en dan staan hún adresgegevens steeds op dergelijke sites. In één geval zelfs omdat de oplichter opzettelijk die gegevens gebruikt, met dan erbij “ik heb tijdelijk een andere 06”.

Maar ook als je de juiste persoon te pakken hebt, kan het moeilijk zijn. Is er wel sprake van scamming of oplichting? Of is het “gewoon” een slordige leverancier? Of gebruiken boze gedupeerden hier gewoon sterk taalgebruik? Iemand in een boze forumpost “vuile oplichter” noemen, is wat anders dan een zakelijke analyse publiceren waarin je concludeert dat sprake is van oplichting.

Verder kun je er donder op zeggen dat je binnen de kortste keren van zo’n vermeende oplichter een blafbrief te pakken hebt waarin hij dreigt met maatregelen wegens smaad, laster, privacyschending en wat al niet meer. Of dat steek houdt, is dus maar de vraag, maar ondertussen moet je wél kosten maken om erop te reageren.

Ik zou dus altijd liever gebruik maken van een grote, gerespecteerde site (zoals OpgeletopInternet) om dit soort dingen aan te kaarten. Vaak zie je dat daar al procedures zijn om gegevens op een zorgvuldige manier te verzamelen, en dat moderatoren actief opletten of er geen al te rare dingen worden gezegd. Zelf daar iets voor gaan hobby’en lijkt me vragen om problemen.

Arnoud