Gemeente Groningen publiceert volledige vergunningen online

aanvraag-bouwvergunning-groningen.pngDe gemeente Groningen publiceert volledige aanvragen voor bouwvergunningen online, inclusief de persoonsgegevens van de aanvrager, zo tipte een lezer mij. En inderdaad, als je zoekt in Bouwdossiers groningen krijg je de complete aanvraag te zien. Wel als plaatje en in een of ander raar formaat (DjVu), maar toch. Onderzoeker Eric Hennekam ontdekte dit. De lokale media OOGtv meldt dat dit in strijd zou zijn met een uitspraak die het College Bescherming Persoonsgegevens (CBP) in 2008 deed. Update: Groningen meldt per direct alle gegevens te verwijderen.

Het CBP oordeelde in 2008 namelijk over het archief van de gemeente Nijmegen, waarbij persoonsgegevens van individuele burgers online in te zien waren. Gemeenten zijn op grond van de Woningwet verplicht een openbaar register bij te houden met aantekening van alle aangevraagde en verleende bouwvergunningen. Dat mag best een online register zijn, maar de gemeente moet dan wel rekening houden met de privacy van de burger, oftewel men mag niet meer gegevens online zetten dan anderen echt nodig hebben in verband met die vergunning. Het adres waar iets gebouwd gaat worden is essentieel, maar telefoonnummer of e-mailadres van de aanvrager niet bijvoorbeeld.

Naar aanleiding van dat oordeel heeft Nijmegen de nodige wijzigingen doorgevoerd. Het is alleen nog mogelijk om voor een specifiek adres een vergunning op te vragen, dus je moet al weten om welk adres het gaat voordat je iets kan. De robots.txt bevat een uitsluiting voor deze databank. En de vergunningen en dergelijke die je kunt vinden, zijn niet-doorzoekbare PDF bestanden. Wel valt me op dat je de resultaatpagina kan dieplinken, hoewel Google en consorten nog steeds tegen de robots.txt zullen aanlopen als het goed is. Deze wijzigingen waren voor het College acceptabel.

In de databank van de gemeente kun je zoeken op straat of met een kaart (een lelijke kloon van Google Maps) navigeren door de stad. Er is geen robots.txt, hoewel er ook maar weinig tekstuele informatie is die een zoekmachinerobot (spider) zou kunnen indexeren. Het navigeren gaat dus iets verder dan wat Nijmegen destijds heeft gedaan, je kunt nu iets eenvoudiger zien in welke straten mensen vergunningen aanvragen. Maar of dat nou een schending van de wet bescherming persoonsgegevens oplevert? Mwa. In ieder geval kun je niet zoeken op namen van bewoners.

In juli vorig jaar blogde ik over de Handreiking publicatie van bouwvergunningen van het ministerie van VROM. Hierin wordt onder andere aanbevolen om irrelevante persoonsgegevens (BSN, e-mailadres, telefoonnummer en dergelijke) weg te poetsen voordat zo’n document online gaat. Dat lijkt niet gebeurd te zijn bij alle ingescande documenten in Groningen – en ook niet in Nijmegen, hoewel het me niet duidelijk is of dat nu beleid is of een foutje.

De opmerking van OOG dat “Net als Groningen trekt ook Nijmegen zich hier nog steeds niets van aan” gaat me wat ver, het is voor 90% binnen het advies dus “niets” vind ik een onjuiste kwalificatie.

Arnoud

Amsterdam zet persoonskaarten van levende personen online

persoonskaarten-privacy-archief.pngOp het Archiefforum vond ik een verwijzing naar de Index op de Persoonskaarten van de gemeente Amsterdam. Via een zoekscherm zijn gegevens vanaf 1931 tot 1991 te vinden. Opmerkelijk daarbij is dat ook gegevens van levende personen te vinden zijn via deze index. Dat is in strijd met de Wet Bescherming Persoonsgegevens, zo blijkt onder andere uit de richtsnoeren persoonsgegevens op internet.

Een deelnemer aan het forum deed navraag en kreeg deze uitleg van de gemeente:

De wet maakt onderscheid tussen algemene en bijzondere persoonsgegevens. Geboortejaar valt onder de algemene gegevens, publicatie hiervan is toegestaan. De kaarten zijn niet te openen, dus verder gegevens die onder de bijzondere persoonsgegevens vallen zijn niet te zien.

Het klopt dat er zo’n onderscheid is; de wet kent een strenger regime voor gegevens zoals religie of seksuele voorkeur dan voor naam en geboortedatum. Maar dat wil niet zeggen dat die laatste soort gegevens zomaar overal gebruikt mag worden. Er is nog steeds toestemming nodig om die gegevens te mogen publiceren. Zoals het College het formuleert:

Wie een stamboom wil publiceren op internet, doet er verstandig aan om zich in eerste instantie te beperken tot gegevens van overledenen en alleen gegevens op te nemen over levende personen als zij daarin ondubbelzinnig hebben toegestemd. De Wbp kent geen principe als “wie zwijgt, stemt toe” bij het publiceren op internet van persoonsgegevens.

Het lijkt me dat dit net zo goed geldt voor persoonskaarten. Er is mij geen wettelijke regel bekend die zegt dat je naam en geboortejaar van mensen zomaar mag publiceren.

Op zich zie ik weinig praktische risico’s bij het melden van iemands naam en geboortejaar. (Hoewel, niet iedereen wil graag bekend zien hoe oud hij of zij is.) Maar dit antwoord van de gemeente is onbegrijpelijk en ik kan me niet voorstellen dat daar werkelijk juridisch advies is ingewonnen.

Arnoud

Een foto van je kind op een afgeschermde Hyve, mag dat?

ditisnietok-hyves.pngIk had er al eens een vraag over opgeworpen, maar nu is er dan echt een rechtszaak over gevoerd: mag je foto’s of filmpjes van je minderjarig kind op internet zetten? De kantonrechter Almelo vindt van niet, maar maakt daarbij wel onderscheid tussen een openbaar en een afgeschermde pagina op Hyves.

Na een echtscheiding plaatste de vader foto’s en filmpjes van de vijfjarige zoon op een openbaar Hyves-profiel, waar de moeder bezwaar tegen maakte. Dit onder andere omdat de vrouw in een blijf-van-mijn-lijfhuis werkte en daarmee een reëel risico loopt als haar eigen adres bekend is. Na zo’n sommatie werden de materialen dan verwijderd maar kwamen al snel weer terug, vandaar de stap naar de rechter.

Dat de publicatie van foto’s van minderjarigen een privacyinbreuk kan zijn, wisten we al: dat bleek uit de zaak rond Kleinkind onbereikbaar. Maar in deze zaak ligt het iets complexer. Zowel de vader als de moeder hebben iets te zeggen over de privacy van het kind. Oftewel (waar ik dus over blogde in maart): als de moeder nee zegt, en de vader ja, wat geldt er dan? De nee dus, volgens de kantonrechter:

De voorzieningenrechter is van oordeel dat de man door het plaatsen van foto’s op een niet afgeschermd gedeelte van het internet inbreuk maakt op de (ook door voormeld Verdrag beschermde) privacy van [Naam zoon], alsmede dat hij de op grond van het gezamenlijk gezag op hem rustende verplichting om belangrijke beslissingen omtrent de minderjarige na onderling overleg te nemen, niet nakomt.

De vader mag dus niet zomaar “ja” zeggen bij zoiets ingrijpends als publicatie van foto’s en dergelijke van het kind, daarover moet hij overleggen met de moeder. De foto’s moeten dus van het openbare internet af.

De publicatie op de afgeschermde Hyve blijkt echter geen privacyschending:

De vrouw heeft niet aannemelijk gemaakt en niet valt in te zien datdaarvan hinder, leed, schade, onheil of ander ongerief dan wel een inbreuk op de persoonlijke levenssfeer van de vrouw en [Naam zoon] redelijkerwijze te verwachten valt. De omstandigheid dat partijen werkzaam zijn in een omgeving die vraagt om afscherming van hun privacy en van die van [Naam zoon], leidt niet tot een ander oordeel. Dat in dat verband bijzonder gevaar te duchten valt van foto’s van [Naam zoon] op het afgeschermde Hyves-profiel van de man is door de vrouw niet verder geconcretiseerd en ookoverigens niet direct aannemelijk. Van misbruik van ouderlijk gezag is in zoverre evenmin sprake.

Het is me niet helemaal duidelijk waar de kantonrechter dit op baseert. Je zou kunnen zeggen, de vrienden en kennissen weten al hoe vader en kind eruit zien, daar is dus geen probleem met publicatie als diezelfde mensen dat ook via Hyves kunnen zien. Maar heel sterk is dat niet. Misschien heeft het te maken met de specifieke vrees van de moeder vanwege haar werk. De kans dat een relatie van de vrouwen die zij helpt, haar opspoort via een afgeschermde Hyve lijkt me minimaal.

Ik denk niet dat je nu kunt zeggen dat nu op een afgeschermde Hyve (alleen voor vrienden toegankelijk dus) zomaar alles mag zonder dat dat de privacy schendt. Maar het is mogelijk dat je een claim van privacyschending kunt afwenden door je Hyve af te schermen.

Via Boek9.nl, dat de laatste tijd wel vaker van het IE-pad dwaalt richting privacy en vrije meningsuiting. Krijg ik concurrentie?

Arnoud<br/> Foto door Robert Gaal, CC-BY 2.0

Bezwaar tegen bezwaarschrift op internet

stellage-steiger-gebouw-bouwen-bouwbesluit-vergunning-bezwaar-beroep.jpgEen lezer mailde me:

Vorig jaar heb ik een bezwaarschrift ingediend tegen het plan van de gemeente om een nieuw gemeentehuis te gaan bouwen op ons dorpsplein. Nu blijkt dat de gemeente mijn bezwaarschrift, plus vele andere, ingescand heeft en op internet heeft gezet. Hierdoor ziet iedereen die mijn naam via Google opzoekt dat ik dit bezwaarschrift heb ingediend. En mijn adres staat er ook nog bij! Nu weigert de gemeente dit te verwijderen. Kan dat zomaar?

Het lijkt me dat je hier met een beroep op de Wet Bescherming Persoonsgegevens wel tegen op moet kunnen treden. Een bezwaarschrift bevat persoonsgegevens van de betrokkene, en publicatie daarvan op internet is dus juridisch gezien een ‘verwerking van persoonsgegevens’. Er is een vrijstelling voor zulke verwerkingen in het kader van beroep en bezwaar maar die zegt niets over publicatie op internet. Verstrekking aan “anderen” dan de betrokken ambtenaren mag volgens dit besluit alleen als:

– de betrokkene zijn ondubbelzinnige toestemming heeft verleend voor de gegevensverwerking, of
– de gegevensverwerking noodzakelijk is voor de nakoming van een wettelijke plicht door de verantwoordelijke, of
– de gegevensverwerking noodzakelijk is vanwege een vitaal belang van de betrokkene (bijvoorbeeld een dringende medische noodzaak), of
– de gegevens verder worden verwerkt voor historische, statistische of wetenschappelijke doeleinden. Voorwaarde hierbij is dat de verantwoordelijke ervoor zorgt dat de gegevens ook alleen voor deze specifieke doeleinden verder worden verwerkt.

Artikel 7:4 lid 2 van de Algemene Wet Bestuursrecht bevat zo’n wettelijke plicht:

Het bestuursorgaan legt het bezwaarschrift en alle verder op de zaak betrekking hebbende stukken voorafgaand aan het horen gedurende ten minste één week voor belanghebbenden ter inzage.

Alleen is voor zover ik kan zien, nergens uitgewerkt hoe een gemeente (een bestuursorgaan) deze stukken ter inzage moet leggen. Op zich lijkt me weinig mis met terinzagelegging via internet. Dat is snel en goedkoop, en maakt het voor anderen veel eenvoudiger om te kijken of een eigen bezwaar nog iets toe zou voegen.

Wel moet je bij publicatie op internet zeker rekening houden met de persoonsgegevens in het bezwaarschrift. Toevallig vond ik een handreiking voor publicatie van bouwvergunningen van het ministerie van VROM. Bij bouwvergunningen blijkt hetzelfde probleem te bestaan: ook die moeten worden gepubliceerd en ook dat kan op internet. In deze handrekening wordt onder andere aanbevolen om PDF-bestanden niet doorzoekbaar te maken voor zoekmachines, en om gegevens zoals het BSN van de aanvrager altijd weg te laten voordat je publiceert. Dat lijkt mij een prima manier om dit op te lossen.

Arnoud

Privacyschending op website: ook provider aansprakelijk

kleinkindonbereikbaarpuntnl-logo.pngDe website Kleinkind onbereikbaar schendt de privacy van de (klein-)kinderen wiens naam, geboortedatum, woonplaats en dergelijke zonder hun toestemming op deze site waren gezet. Dit levert reputatieschade op voor die kinderen en kleinkinderen. Dat blijkt uit een vonnis van afgelopen donderdag. Opmerkelijk daarbij is de reden om de website-beheerder aansprakelijk te houden: de E-commercerichtlijn zegt dat de bescherming voor providers niet geldt voor privacyzaken.

De site Kleinkind onbereikbaar is bedoeld voor grootouders die hun kleinkind niet meer kunnen zien, vanwege een geschil met de ouders. Wie op die site zijn of haar verhaal kwijt wil, kan dat doen via een speciaal formulier. Na screening door de beheerders wordt het verhaal dan geplaatst. En daarbij werd de volledige naam, geboortedatum, geboorteplaats, woonplaats en nationaliteit, alsmede de naam van de moeder en van de vader van het kleinkind vermeld op een open deel van de website. Dat was ook expliciet de bedoeling:

Door de gegevens van uw kleinkind op internet te publiceren ” dat doet u bij het invullen van de gegevens bij “mijn kleinkind”- komen die gegevens beschikbaar voor zoekmachines, en zo hopelijk bij uw kleinkind of diens omgeving terecht. … Dit werkt het beste als u zoveel mogelijk gegevens ” foto’s, teksten, namen ” invult. Het is hierbij van belang dat u zich realiseert dat dit persoonsgegevens betreft. U bent zelf verantwoordelijk voor wat u invult

Deze manier van werken acht de kortgedingrechter onrechtmatig. Er wordt “op grove wijze inbreuk op de privésfeer van de kleinkinderen en de ouders wordt gemaakt”. Dat bleek ook uit het feit dat de (klein-)kinderen in kwestie in hun dagelijks leven werden aangesproken op wat er op deze site stond. Bovendien:

Ook het gevaar van commerciële belangstelling is niet denkbeeldig. Zo is bijvoorbeeld denkbaar dat de persoonsgegevens interessant zijn voor gerichte reclame, zoals bijvoorbeeld voor mediationdienstverleners, gezien het doel van de website om de verstoorde familierelatie te herstellen.

Maar waarom was de websitebeheerder nu aansprakelijk? Volgens de Wet Bescherming Persoonsgegevens is hij degene die het doel en de middelen voor deze “verwerking van persoonsgegevens” vaststelt. Daarmee is hij de ‘verantwoordelijke’ en daarmee degene die je moet aanspreken als er geen toestemming of noodzaak tot publicatie is. Op zich denk ik wel begrijpelijk: de beheerder screende vooraf en bepaalde wat hij online zou zetten.

Daarmee is denk ik ook wel duidelijk dat deze beheerder geen aanspraak op art. 6:196c BW kan maken; hij biedt niet slechts een platform maar plaatst zelf de berichten.

Update (12:15) de beheerder van de site vroeg me deze reactie van hem toe te voegen:

De uitspraak is inderdaad opmerkelijk. Zeker ook omdat ik NIET de inhoud vooraf, tijdens of achteraf controleer(de). het enige wat ik wel verifieerde is wie ik toegang verleen, met daarbij uitdrukkelijk uitleg over wat wel en niet kan. Dus volgens mij wel bescherming ex. 6:196c.

De rechter vond echter nog een andere reden: de WBP gaat boven de bescherming van internettussenpersonen, omdat artikel 1 lid 5 van Richtlijn 2000/31/EG (waarin deze bescherming is geregeld) expliciet zegt dat deze niet van toepassing is op diensten die onder de privacyrichtlijnen 95/46/EG 97/66/EG vallen. Dat is bij mijn weten de eerste keer dat een rechter deze redenering hanteerde.

In de Martijn-zaak ging ook de privacy boven de bescherming van de beheerder, maar dat was expliciet vanwege het bijzondere karakter van die website. De rechter in die zaak verklaarde dat vereniging Martijn een extra zware verantwoordelijkheid had tegen privacyschendingen: “anders dan wellicht [bij] eigenaren of beheerders van websites die door hun aard niet op dergelijk misbruik en onbedoeld gebruik bedacht behoeven te zijn”.

Maar moeten sitebeheerders zich nu zorgen gaan maken? Ik denk het niet. Het gaat in artikel 1 lid 5 om kwesties in verband met diensten die onder de privacyrichtlijn vallen. Zo’n dienst kan bijvoorbeeld zijn een elektronisch adresboek (telefoongids of e-mailgids). Wie zo’n dienst aanbiedt, kan geen aanspraak maken op de uitsluiting van aansprakelijkheid voor providers. Maar als de dienst zelf niet het verwerken van persoonsgegevens is, dan lijkt dit artikel me niet van toepassing.

Een forumbeheerder die aangesproken wordt op publicatie van iemands naam in een forumbericht bijvoorbeeld kan gewoon de bescherming van art. 6:196c claimen: het bericht moet aangepast maar voor schade is die beheerder niet aansprakelijk. De dienst “online forum” is geen dienst in de zin van de privacyrichtlijn.

Arnoud

Je ex zet foto’s van je kind online, wat nu?

Een helaas veel voorkomende vraag:

Mijn partner en ik zijn gescheiden. Nu wonen de kinderen bij mij, maar hij (soms zij) is het daar niet mee eens en is een site (of een Hyve of een weblog) begonnen waarin hij zijn ongenoegen daarover spuit. Dat is tot daaraan toe, maar hij heeft er nu ook foto’s (soms filmpjes) van de kinderen bij gezet. Dat wil ik niet, zeker niet nu hij er allemaal rare teksten over hen bijzet. Kan ik daar als ouder iets tegen doen?

Persoonlijke gegevens over een minderjarige, inclusief hun naam en portretfoto’s, mag je alleen publiceren met toestemming van de ouders. Ja, ook als je zelf de minderjarige bent. En ja, al die kinderprofielen op Hyves, Habbo en elders schenden de privacywet. Maar dat terzijde.

Het probleem is hier dat de twee ouders nu verschillende opvattingen hebben: de ene ouder vindt het prima dat het kind met naam en gezicht op internet te zien is, en de andere wil het niet hebben. Als de publicerende ouder geen ouderlijke macht meer over het kind heeft, dan is het duidelijk dat deze fout zit als hij (zij) tegen de wil van de ouder-verzorger ingaat.

Het komt ook voor dat beide ouders formeel nog de gezamenlijke macht hebben over de kinderen. Dan is het vrees ik niet goed geregeld wat er moet gebeuren als de ene ouder toestemming geeft voor een publicatie en de andere deze weigert. De Wet Bescherming Persoonsgegevens houdt hier geen rekening mee, en ik kon ook niets vinden over deze problematiek in de jurisprudentie.

Op grond van het portretrecht zou je als verzorger wel iets moeten kunnen doen aan de foto’s: het privacybelang van het kind is evident, en er is weinig tot geen rechtvaardiging te bedenken waarom je bij zo’n protestsite een foto van je kind moet laten zien. Die foto’s of films zijn dus wel weg te krijgen. Maar de naam en leeftijd en dergelijke? Dat wordt heel erg moeilijk vrees ik.

Dit zijn van die zaken waar je eigenlijk geen juridisch antwoord op zou willen hoeven geven. :S

Arnoud

Beoordeelmijnleraar.nl krijgt strafregels van CBP

beoordeel-mijn-leraar-logo.pngIn de hoek staan hoefde niet, maar de makers van Beoordeelmijnleraar.nl hebben wel een aantal extra regels op hun dak gekregen voor hun site waar scholieren hun leraren konden beoordelen. Nu.nl meldde donderdag dat het College Bescherming Persoonsgegevens heeft geoordeeld dat de site op meerdere punten de privacy van leraren schond.

Scholieren kunnen op deze site hun leraar cijfers geven, maar ook eigen opmerkingen en reviews (“Hij is egt een nachtmerrie”) achterlaten. Zoals te verwachten zijn die lang niet altijd positief, en zoals eveneens te verwachten is dat lang niet altijd terecht. Als je net een fikse onvoldoende hebt gehad, lucht het natuurlijk lekker op om die leraar zelf ook een drie min te mogen geven en eens flink uit te halen. Na klachten had de site enkele maatregelen genomen, en na het oordeel van het CBP is er nog het een en ander gesleuteld.

Zo worden zoekmachines nu geweerd van pagina’s waar leraren met naam en school genoemd worden. Je moet aangemeld zijn als leerling van een bepaalde school om die namen nog te kunnen achterhalen (al schijnt de controle nonexistent te zijn). Dit omdat oordelen over leraren binnen de school horen te blijven. Je kunt als leerling al terecht bij een begeleider of mentor, vertrouwenspersoon of maatschappelijk werker en/of leerlingenraad.

Het laagdrempelige en iets anoniemere karakter van de site kan echter wel een voordeel zijn. Het CBP ziet niet op voorhand bezwaar tegen de site als deze beperkt wordt tot de leerlingen van de leraar die besproken wordt. Maar de mogelijkheden van misbruik zijn groot, en daar dient de sitebeheerder dan ook zorgvuldig op te letten:

De [sitebeheerder] dient derhalve voortdurend het verkeer naar de site te monitoren en in te grijpen als de gegevens erop duiden dat beoordelingen worden gegeven door andere personen dan leerlingen, bijvoorbeeld om een bepaalde leraar te pesten.

Opmerkelijk en m.i. te kort door de bocht is de eis van het CBP dat ieder verzoek tot verwijdering van een leraar ingewilligd moet worden:

Het belang van een individuele leraar die aangeeft niet (meer) op de site vermeld te willen staan, dient daarom altijd te prevaleren boven het algemene belang van de verantwoordelijke.

Dit is opmerkelijk, omdat de privacywet in normaal een afweging van belangen en omstandigheden van het geval vereist. Als de beheerder van de site een groter belang heeft om de informatie te laten staan, dan mag de informatie blijven staan ook als de betrokkene deze eraf wil. Kennelijk is het CBP van mening dat dat per definitie onmogelijk is bij Beoordeeljeleraar.nl.

Daarbij woog mee dat “de site zich [richt] op een doelgroep van overwegend minderjarigen waarvan algemeen wordt aangenomen dat zij de gevolgen van hun handelen nog niet ten volle kunnen overzien”. Maar betekent dat dat een leraar dus in zijn recht staat als hij niet door die minderjarigen besproken wil worden?

Meelezende leraren: staan jullie op Beoordeelmijnleraar, en zo ja ben je daar blij mee?

Arnoud

Notice and takedown gedragscode ingevoerd

printer-aangeklaagd-dmca.jpgAfgelopen donderdag is de ‘Notice-and-takedown’-gedragscode na meer dan een jaar steggelen afgekomen en uitgereikt aan staatssecretaris Heemskerk van Economische Zaken. In deze gedragscode staan procedures uitgewerkt voor webhosters en andere internetdienstverleners over hoe om te gaan met klachten en claims over materiaal dat hun klanten aanbieden. Internetbedrijven zijn aansprakelijk voor wat hun klanten aanbieden, als ze dit niet na een terechte klacht weghalen. Dat staat in de wet (art. 6:196c BW). Maar hoe een dienstverlener moet bepalen of een klacht terecht is, en welke stappen je het beste kunt nemen bij de afhandeling, was altijd onduidelijk. De gedragscode helpt daarbij.

Heel in het kort zou de procedure als volgt moeten gaan:

  1. Een provider publiceert details over zijn procedure, inclusief contactgegevens en beleid over bepaalde soorten inhoud. Bijvoorbeeld wat er wel en niet mag in e-mail, op websites of via andere diensten.
  2. Een klager dient via dat contactadres een klacht in, en verschaft daarbij in ieder geval zijn contactgegevens, de URL of andere vindplaats van het materiaal en een motivatie waarom dit materiaal in strijd is met de wet of het beleid van de provider. De provider kan een vrijwaring eisen dat de klager een terechte klacht indient – en opdraait voor de schade als dat niet zo is.
  3. De provider controleert de klacht en maakt een inschatting of de klacht onmiskenbaar juist is. Als hij dat zonder problemen kan, meldt hij zijn bevindingen aan de klager en sluit hij bij een juiste klacht het materiaal af.
  4. Als de provider niet kan inschatten of de klacht onmiskenbaar juist is (bv. bij klachten over smaad), geeft hij de klacht door aan de klant met het verzoek het materiaal weg te halen of met de klager in contact te treden om het samen op te lossen.
  5. Lukt dat laatste niet, en haalt de klant het materiaal ook niet weg, dan “moet de melder bij voorkeur in staat worden gesteld zijn geschil met de [klant] voor de rechter te brengen.”

Een belangrijk gemis in de NTD gedragscode is hoe om te gaan met afgifte van persoonsgegevens van klanten. De wet zegt hier niets over. In de jurisprudentie (vooral het Lycos/Pessers-arrest) is uitgemaakt dat een provider onder omstandigheden verplicht kan zijn deze gegevens toch af te geven. Het moet voldoende duidelijk zijn dat de klant onrechtmatig bezig is, de eiser moet een reëel belang hebben en er mag geen geen minder ingrijpende mogelijkheid zijn om aan de NAW-gegevens van de klant te komen. Helaas zegt de gedragscode alleen maar dat “de tussenpersoon [kan] overgaan tot het verstrekken van NAW-gegevens”.

In de praktijk blijkt die afgifte redelijk makkelijk te gaan, zeker als het gaat om inbreuken op auteursrecht. De criteria uit de jurisprudentie zijn echter niet eenduidig. Schreef Lycos/Pessers (van de Hoge Raad) nog een vierstappentoets voor, bij de Brein/UPC en Brein/KPN zaken werd heel wat makkelijker geoordeeld dat deze gegevens moesten worden overgedragen. Bij Webwereld laat stichting Brein dan ook weten

“Wij kunnen en zullen echter niet aanvaarden dat er op een melding van Brein geen NAW wordt afgegeven”, aldus een strijdbare Kuik. “Er is geen plaats voor anoniem zaken doen op Internet. Dat is niet anders dan offline. Wat offline geldt moet ook online gelden. Dat is de regel die de overheid heeft gesteld en die moet gelding krijgen.”

Dat laatste is natuurlijk kletspraat – anoniem zakendoen gebeurt elke dag offline, en dient dus ook online te kunnen gebeuren. Los daarvan is het een veel te conservatief principe dat “wat offline geldt, ook online moet gelden” want online kunnen er dingen die offline niet mogelijk zijn, en wat moet daar dan voor gelden?

Het is jammer dat de gedragscode niet uitwerkt hoe deze afgifte in zijn werk zou moeten gaan. Er zijn diverse voorstellen gedaan hoe een klager toch kan discussiëren met een anonieme klant en hem zelfs anoniem voor de rechter kan slepen. Een dergelijke procedure zou een wezenlijke verbetering zijn ten opzichte van de huidige situatie. En daarmee zou de gedragscode een hele stap vooruit geweest zijn, in plaats van de formalisatie van de wet die ze nu is.

Arnoud<br/> (PS: check die schoenen!)

WBP gebruikt tegen publicatie op website

Voor zover mij bekend de eerste keer dat iemand met succes de Richtsnoeren persoonsgegevens op internet weet in te zetten om zijn naam van internet te krijgen. Op NJBlog bespreekt Folkert Jensma een in juli gewezen vonnis over de grenzen van de meningsuiting. De website Kleintje Muurkrant had in een bericht de naam van een zakenman genoemd en in herinnering gebracht dat hij ooit gehoord was in een strafrechtelijk onderzoek naar Johan de V. alias ‘de Hakkelaar’. De man begon een rechtszaak omdat daarmee zijn persoonsgegevens onterecht op internet terechtkwamen en bovendien zijn privacy geschonden was.

Voor deze verwerking was geen toestemming, en dus moet de site laten zien dat er een noodzaak was om de gegevens te publiceren. Maar dat lukt ze niet. De connectie die men rapporteerde, was gedateerd en weinig relevant, zo staat in het vonnis. Een opmerkelijke motivatie volgt:

Het zou te dol voor woorden zijn als iedereen die ooit in een strafrechtelijk onderzoek is gehoord maar nooit is vervolgd, dat nog decennia later in besmuikte zin op internet tegengeworpen krijgt.

De rechter benoemt de publicatie als een “hetze” en wijst de vordering toe. Al in juli meldde Peter Olsthoorn hierover:

Hiermee gaat de rechter ver in de journalistieke beoordeling. Je kunt je afvragen of die niet te ver gaat. In elk geval is het een vonnis om goed rekening mee te houden. Zeker voor Kleintje Muurkrant. Moet dat voortaan meer bronnen gaan noemen en/of om wederhoor gaan vragen?

Wat ik persoonlijk zorgelijker vind, is de grondslag van dit vonnis. De Wet Bescherming Persoonsgegevens gaat niet over dit soort dingen. Een publicatie waarin iemand besmaad wordt, behoort niet als verwerking van persoonsgegevens gezien te worden. Het is smaad, belediging, laster, aantasting van iemands goede naam, wat dan ook, maar het heeft niets te maken met iemands naam in een kaartenbak stoppen.

De WBP stelt (te) strenge eisen aan verwerkingen op internet, en al helemaal wanneer het gaat om publicaties in journalistieke context.

Arnoud

Mag een schoolfoto op de website?

groepsfoto-klassenfoto.jpgEen lezer mailde me met deze vraag:

Wij zijn een openbare basisschool en hebben net een nieuwe website op het internet staan. Nu hebben wij de groepslijsten met de namen van de kinderen geplaatst en tevens de groepsfoto’s. Onze vraag is of dit niet in strijd is met de privacy van de kinderen?

Namen en foto’s waar personen herkenbaar op staan, zijn persoonsgegevens. Het publiceren van zulke informatie is een verwerking van persoonsgegevens die onder de Wet Bescherming Persoonsgegevens valt. Dat betekent dat je als school in principe toestemming moet hebben van de betrokkenen. In dit geval de ouders, omdat de betrokkenen (de kinderen) natuurlijk minderjarig zijn.

Een paar jaar geleden hoorde ik van een kind wiens naam en foto ook op een schoolsite waren gezet, zonder dat ze dat zelfs maar was gemeld. Dat pakte bijzonder pijnlijk uit – het kind en zijn moeder waren ondergedoken voor de stalkende vader. Via Google had deze ze man ze snel weer gelokaliseerd. Nou is dat een extreem geval, maar het geeft wel aan waar je tegenaan kunt lopen bij publicatie.

Het beste is dus om de ouders expliciet om akkoord te vragen dat deze informatie van hun kinderen op internet te vinden is. Nu kan dat bij een grote basisschool lastig zijn. Denk bijvoorbeeld aan een groepsfoto waarbij één ouder publicatie niet wil en de overige 35 wel. Een kind ‘uitpixelen’ of van zwart balkje voorzien is ook zo wat, dus in zo’n geval zou je kunnen kiezen voor publicatie op een semi-besloten deel van de site. Met een Robots.txt bestand kun je zoekmachines weghouden van zo’n pagina. Daarmee zijn veel van de bezwaren weggenomen lijkt me.

Arnoud