Afgelopen maand heb ik in de avonduren een chrome extensie ontwikkeld die op elke webpagina zoekt naar IBAN, telefoonnummer, e-mailadressen, las ik (dank, tipgever) bij Gathering of Tweakers. De poster was slachtoffer van oplichting geworden en ontdekte dat hij dit had kunnen voorkomen door even dergelijke gegevens door Google te halen. Vandaar de extensie: de gegevens worden vergeleken met een blacklist van 10.000+ fraudeurs (die elke nacht wordt bijgewerkt) en je krijgt een waarschuwing. Oké, komt ie: mag dat?
Allereerst de vraag: hoe komt deze extensie aan zijn gegevens? Als ik het goed begrijp, dan scant hij webpagina’s op e-mailadressen, bankrekeningen en adressen en matcht hij die tegen een lijst. Zo’n extensie kan die gegevens makkelijk uitlezen, en een lijst binnenhalen met brongegevens is ook niet heel moeilijk. Ik zie alleen niet wat de beheerders van die lijsten daarvan vinden. Dat zóu een probleem met databankrecht kunnen zijn, want op lijsten met verdachte gegevens als deze kan databankrecht zitten als de beheerder er substantieel in geïnvesteerd heeft. Dus even navragen (en een bronvermelding) lijkt me wel verstandig.
Belangrijker is echter de vraag, mag dat wel van de Wbp? Want hoe logisch het ook klinkt dat je nu gewoon een Google-opdracht in een extensie stopt, de Wbp ziet zulke dingen altijd anders. Als jij zelf gegevens gaat verwerken, dan moet jij dat verantwoorden en “Google doet het ook” is géén verantwoording. Waarom heb jij het recht die gegevens zo te ontsluiten?
Meer specifiek ziet de toezichthouder zwarte lijsten als deze als een soort verwerking waar voorafgaand verlof voor nodig is, vanwege de impact die zulke lijsten kunnen hebben. Je zult eens door een paar boze klanten als oplichter worden aangemerkt en dan levenslang via zulke extensies worden gehinderd.
Oh ja, en ik lees nog dat mensen dan bezwaar kunnen maken bij de extensie-beheerder: haal mij van de lijst. Maar het is zeker geen automatisme dat mensen op grond van de Wbp bezwaar kunnen maken tegen opname op zo’n lijst. Ik zie zo’n openbare lijst als een stukje vrijheid van meningsuiting, mensen willen waarschuwen voor oplichting is een legitiem doel en de Wbp mag daar niet zomaar doorheen fietsen.
Dus nou ja, mag het? In principe niet, want een zwarte lijst vereist toestemming. Maar als je de lijst kunt verantwoorden als aan de kaak stellen van misstanden, dan mag het denk ik wél.
Belangrijkste zal zijn dat je de lijst actueel en juist houdt, want wie achterhaalde gegevens als zwarte lijst inzet, heeft een probleem.
Arnoud