Ik word gefotografeerd als ik iemands huis fotografeer, mag dat?

Een lezer vroeg me:

Ik fotografeer graag huizen. Wanneer ik een huis zie dat voldoet en waar ik een gevoel bij krijg dan neem ik vanaf de openbare weg, vaak staand op mijn auto, foto’s. Nu iedereen dus thuis zit ben ik afgelopen week al meerdere malen aangesproken door enkele buurtgenoten van het desbetreffende huis die vervolgens mij + nummerplaat gaan fotograferen met hun mobieltje. Waarschijnlijk om een beetje stoer te doen of het door te sturen naar de politie. Dat is toch de omgekeerde wereld? Waar sta ik juridisch?

Het is inderdaad toegestaan om vanaf de openbare weg huizen (of andere objecten, of zelfs dieren) te fotograferen wanneer je daar zin in hebt. Dat valt onder de vrijheid van informatiegaring, deel van de vrijheid van meningsuiting (artikel 10 EVRM). Je doel bij de foto’s of het artistiek niveau van de resultaten doet er niet toe.

Portretrecht, de AVG of je eigendomsrecht inroepen als huiseigenaar gaat hem niet worden. Ook dat het onprettig voelt dat iemand met een camera voor je huis staat is geen argument. Alleen als je mensen op de foto zet dan kan privacy in beeld komen, en bij heel vaak op dezelfde plek komen fotograferen héél misschien het argument stalking maar die zie ik eerlijk gezegd niet.

Die huiseigenaren of buurtgenoten die gaan “terugfotograferen” zitten dus iets lastiger in de race, want zij maken nadrukkelijk wel foto’s van een herkenbaar persoon. Dat is ook vrije informatiegaring maar zij moeten rekening houden met de belangen van de persoon die ze op de foto zetten.

De vraag daarbij is dus met welk doel zij dat doen. Stoerdoen is een zuiver particulier doel en dat valt buiten de AVG. Daar is juridisch dus niets tegen te doen. Als ze de foto’s gebruiken voor het geval de fotograaf iets raars blijkt te gaan doen (een inbraak plannen, stalking, kidnapping, ik noem eens een dwarsstraat) dan is dat ook nog te rechtvaardigen. Maar ander doelen zouden niet toegestaan zijn, denk aan de foto preventief op Twitter zetten “wie kent deze rare man met telelens”.

Arnoud

Inderdaad, bescherming van persoonsgegevens gaat over veel meer dan privacy

Maar pas deze week zag ik welk fundamenteel maatschappelijk misverstand door dat rare begrip ‘privacy’ is ontstaan. Dat schreef Maxim Februari vorige week in NRC Handelsblad. Hij noemt het een ‘gruwelijk misverstand’ dat het steeds maar over de private kwestie van privacy gaat – de omgang met persoonsgegevens is een kwestie van algemeen belang. Het raakt het hart van de rechtsstaat. En dat is een gruwelijk goed punt, en maakt de discussie zó veel sterker.

De omgang met persoonsgegevens is natuurlijk altijd gebracht vanuit de context van privacy, meestal onder verwijzing naar artikel 8 EVRM waar inderdaad bescherming van je persoonlijke levenssfeer staat geregeld. Juristen maken dan het onderscheid tussen de klassieke of relationele privacy (met rust gelaten worden, jezelf kunnen zijn) en de informationele privacy (niet zomaar digitaal besnuffeld worden). De regels van de Wbp en nu de AVG zijn heel logisch in die context: ze regelen de informationele privacy, ze geven je rechten om te voorkomen dat je gegevens nodeloos worden gebruikt, dat fouten worden gemaakt die jou in je menszijn raken.

Echter. Privacy is een vrij breed begrip, heel flexibel ook. De discussie over het ‘waarom’ van zulke regels komt dan ook al snel uit bij “omdat je recht hebt op privacy”, en dat is dan een heel ongrijpbaar argument. Daar komt bij dat het vaak niet perse gáát over jezelf zijn, over met rust gelaten worden. Februari noemt het voorbeeld van de Belastingdienst die persoonsgegevens misbruikt in de toeslagenaffaire: dat was een ramp omdat aan onbetrouwbare data verregaande en foute conclusies werden verbonden, niet omdat mensen zonder respect voor hun gezinsleven werden behandeld. De Belastingdienst was niet transparant en niet eerlijk.

Dat zijn kwesties van algemeen belang, die raken aan hoe een rechtsstaat moet opereren. (En ja, ook hoe burgers onderling moeten opereren, ook naar elkaar toe heb je eerlijk te zijn.) Wie bestuurt, of wie afspraken maakt, moet zorgen dat hij kan rechtvaardigen wat hij vervolgens doet. Dat is waar het nu vaak misgaat: datamodellen zijn niet volledig of niet inzichtelijk, welke data wordt gebruikt of waarvoor is totaal niet transparant en tegen de conclusies kun je zelden wat doen.

Dát is het ongewenste aan misbruik van persoonsgegevens. Het gaat om eerlijkheid, een nette behandeling van iedereen. Algoritmes (pardon, datasets maar dat bekt minder lekker) inzetten om mensen te beoordelen is niet een individueel probleem maar een probleem van de maatschappij: het is niet netjes, zo willen we mensen niet behandelen.

Zoals ikelders las:

Data-gedreven technologie slaat sociale problemen plat. Het reduceert de werkelijkheid tot data zonder rekening te houden met de verschillende, rauwe, niet-kloppende, tegenstrijdige kanten.

Dat, veel meer dan “laat mij mezelf zijn”, is de kern van dataprotectie.

Arnoud

Oke mag ik dan wél thuiswerken (of e-lesgeven) van de AVG vanwege het coronavirus?

Nederland is koploper thuiswerken, las ik op diverse plekken. Bestrijding van het coronavirus vereist dat we onszelf zo veel mogelijk isoleren, en thuiswerken is dan ook een logische maatregel (en ja, mijn kantoor is natuurlijk ook dicht nu). Ook het onderwijs is dicht, en daar wordt nu ook breed gegrepen naar elearning en video-oplossingen. En ja, vorige week was ik ook al aan het zeuren over de AVG maar ik kom er toch nog eens op terug want ik zie toch veel misgaan bij de snelle keuze voor video, monitoring en onderwijs op afstand.

Natuurlijk snap ik dat het nu voor iedereen hoogst acuut is om toch even iéts te kunnen realiseren. Geen onderwijs of niet kunnen werken is erger dan kunnen werken met een suboptimale tool. Mijn zorg is alleen vooral dat als we over een aantal maanden, als dit virus weer onder controle is, we blijven werken met deze tools omdat het nu eenmaal lekker werkt. Toch even verder kijken en onderzoeken lijkt me dan ook wel verstandig.

Het probleem zit hem wat mij betreft vooral in het feit dat de snelst inzetbare thuiswerk- en elearningtools uit Amerika komen. De regels over privacy zitten daar, laten we zeggen, net even anders dan bij ons. De aanbieders van die tools beschouwen de gebruikers als de ruwe grondstof voor het verbeteren van hun dienstverlening, al dan niet gekoppeld aan advertentieverkoop of profileren. En dat mag prima in de VS, moet je de privacyverklaring maar lezen en/of de voorwaarden maar afwijzen als het je niet bevalt. En dat is natuurlijk een volkomen absurde fictie maar wel het geldend recht in Amerika.

Hier zouden we iets veiliger moeten zitten omdat de AVG rare voorwaarden verbiedt. Zo kun je niet in gebruiksvoorwaarden akkoord gaan met het monitoren van je elearning- of thuiswerkgedrag door de dienstverlener, of voor het analyseren daarvan voor het ahem “verbeteren van de dienstverlening”. Je zult heel expliciet (dus met een privacyverklaring in eenvoudige taal) moeten uitleggen wat dat precies inhoudt en hoezo die dienstverlener dat zelf gaat doen.

Daarnaast hebben thuiswerk- en elearning tools nog wel eens monitoring features waar we in Europa de wenkbrauwen juridisch van fronsen. Ik blogde al over die webcam die foto’s maakt om je werk te monitoren, maar ook bij studenten en scholieren blijkt er te kunnen worden meegekeken door docenten zonder dat dat gemeld is bij de ouders (of meerderjarige studenten zelf). Dat is natuurlijk heel erg niet de bedoeling.

In het onderwijs zou ik zo hard mogelijk willen benadrukken: kijk bij het privacy Convenant voor partijen waar je wél keurig onder de Europese regels kunt werken. Voor werkgevers is er niet direct zo’n site maar je kunt natuurlijk wel gewoon kiezen voor een Europese leverancier die zelf durft te zeggen dat hij GDPR compliant is terwijl er geen toestemmingsknopje in beeld komt bij de installatieprocedure. (Wie om toestemming vraagt, doet het fout onder de AVG.)

Arnoud

Nee, het coronavirus is geen ontheffing voor de AVG

Mijn werkgever verplicht alle werknemers nu thuis te werken vanwege de corona uitbraak. Dat las ik bij Tweakers (dank, tipgever). So far so good, maar dan komt ‘ie: men moet timetrackingsoftware installeren en deze “doet echter op random intervallen screenshots maken en volgens de privacy voorwaarden van deze software ook een lijst bijhouden met alle urls die bezocht worden en verdere activiteit op het apparaat.” De werkgever komt niet veel verder dan dat timetracking hoort bij thuiswerken en weet kennelijk niet wat die software doet. Dat is dus een probleem onder de AVG, en nee daar kom je niet mee weg omdat het een noodsituatie is en/of thuiswerken de enige optie gezien de kennelijke pandemie die zich in Nederland voordoet.

Toevallig las ik gisteren over WorkSmart, Amerikaanse software die zogenaamd de productie monitort maar in feite mensen de ziektewet in helpt:

… even using the bathroom in his own home required speed and strategy: he started watching for the green light of his webcam to blink before dashing down the hall to the bathroom, hoping he could finish in time before WorkSmart snapped another picture.

Het bedrijf achter deze software zegt dat het slechts een hulpmiddel is en dat bedrijven zelf na moeten denken hoe ze deze in willen zetten. Want als de software zegt dat iemand niet productief is, dan is dat natuurlijk reden voor een goed gesprek en geen manager koppelt aan zo’n handige indicatie een betalingsinhouding of negatieve beoordeling. Precies, zou ik ook zeggen als ik dat bedrijf was.

Mag het? Nee, natuurlijk niet. Ik zie in de draad mensen suggereren dat het zou mogen omdat het thuiswerken is en je toch iets moet om de productiviteit van je mensen in de gaten te houden. Nieuwsflash: je mag mensen sowieso al niet in de gaten houden op het werk, of je moet een héél goede reden hebben én de privacy-impact van de werknemers daarin meegenomen hebben.

En dat is tien keer zo erg thuis. In principe mág je thuis niet eens kijken hoe mensen hun werkplek ingericht hebben (en ja ondertussen ben je wel aansprakelijk als die werkplek niet arbocompliant is en mensen daardoor klachten krijgen). Dus waarom zou dat wel mogen omdat het een ict-middel is? Oh ja wacht, het is met de computer en dat is anders he. Dat is gewoon software die mensen monitort. Nee natuurlijk niet. Misschien moeten we aan de AVG een artikel toevoegen dat zegt “als het raar is wanneer een mannetje met een notitieblok het live doet, dan mag software het ook niet”.

Want nee, het elke tien minuten fotograferen van je personeel terwijl dat aan het werk is, dat krijg je echt niet rond onder de AVG. Ook niet als je zegt dat je geen ander middel hebt om hun productiviteit te meten. Want dat heb je wel, al is het maar de output die er ligt op vrijdagmiddag. Dus definieer maar een betere output metric en ga daar op sturen, zo moeilijk moet dat niet zijn als mensen in staat zijn om thuis te werken.

Arnoud

Hoe verhoudt de AVG zich tot mijn huwelijkse gemeenschap van goederen?

Ik ben voor deze posting even mevrouw van Dam. Gehuwd in gemeenschap van goederen. Zo opende een forumbericht bij Security.nl onlangs. Met daaraan gekoppeld de vraag: hoe zit dat dan met de AVG, stel dat je een bestelling van je vrouw wilt ophalen of van een account van je man een inzage- of correctieverzoek wil doen? En is het dan relevant of je in gemeenschap van goederen bent getrouwd? Of, iets pikanter -zoals de vraagsteller- kun je daarmee achterhalen of je man stiekeme accountjes heeft bij een niet-nader te noemen immorele datingdienst die aanzet tot echtbreuk maar toch van de RCC mag blijven adverteren?

Privacy en de bescherming van persoonsgegevens zijn grondrechten, en die zijn persoonlijk. Dus als partner in een huwelijk heb je daar in principe niets over te zeggen, het gaat jou niet aan hoe je partner daarmee omgaat. Althans, juridisch niet; natuurlijk mag je er best wat van vinden omdat je nu eenmaal getrouwd bent. Maar bij de rechter is dat niet afdwingbaar.

Uitzondering zou zijn als de gegevens ook die van jou betreffen, denk aan een gezamenlijke bestelling of hypotheek. Maar een bestelling is niet al gezamenlijk enkel omdat je in gemeenschap van goederen bent getrouwd, deze staat op naam van een van de partners en die is dan AVG-technisch de ‘betrokkene’. Dat je via het vermogensrecht als partner opdraait voor de kosten als je partner niet betaalt, staat daar los van.

Heel formeel zie ik dus onder de AVG geen grond om de persoonsgegevens van je partner op te vragen, ook niet als de aanwezigheid van die persoonsgegevens ergens in een systeem kunnen leiden tot financiële claims op jou. Of omdat je er sterker mee komt te staan in een echtscheidingsprocedure. Het zijn niet jouw gegevens.

Wellicht is er wel een uitweg als je zegt, in een huwelijk is het gebruikelijk dat je voor elkaar ook rechtshandelingen uitvoert. Ik bestel iets voor mijn vrouw omdat zij het druk heeft, iemand belt naar de apotheek voor een medicijn voor zijn man, je vrouw boekt een afspraak bij de kapper voor je, en ga zo maar door.

Juridisch gezien zeg je dan, ik ben gemachtigd om dit te doen althans de wederpartij mag veronderstellen dat ik dat mag. Daarmee zou je dan ook kunnen zeggen dat je onder de AVG inzageverzoeken (en correctie, verwijdering et cetera) mag doen. Dat zijn immers ook gewoon rechtshandelingen, en daar ben je dan toe gemachtigd. Wel zou de wederpartij dan bewijs kunnen vragen dát je gemachtigd bent, zeker als in hun systemen niet na te gaan is dat jullie getrouwd zijn. Tot nu toe heb ik zelf alleen maar knipperende ogen gehad als ik met zo’n stuk papier namens mijn vrouw me ergens meldt, maar het zal onwennigheid zijn.

Arnoud
PS en ja dat laatste is de premisse van mijn verhaal A New Intelligence, mocht je het nog niet gelezen hebben.

Moet je als hostingbedrijf AVG-verzoeken voor klanten honoreren?

Een lezer vroeg me:

Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen?

Sinds de AVG zijn steeds meer mensen zich bewust van hun rechten omtrent persoonsgegevens. Je ziet dan ook vaker en vaker dat men op websites vergeetverzoeken, correctieaanvragen en dergelijke doet. Een site-beheerder moet daaraan meewerken, maar helaas gebeurt dat niet altijd.

We kennen deze problematiek van andere juridische domeinen, zoals het auteursrecht. Je gaat dan hogerop in de keten, en je spreekt de hoster aan. Volgens de gewone regels voor aansprakelijkheid (art. 6:196c BW) moet een hoster ingrijpen als een klant evident (onmiskenbaar) onrechtmatig handelt. De site of publicatie weghalen bijvoorbeeld, of de klant dwingen een correctie door te voeren.

Bij auteursrechtinbreuk is dat relatief simpel: weg die film, weg die muziek. Of er komt discussie, van wie is die foto eigenlijk, en dan is de overtreding niet meer evident. Daar kom je nog wel uit.

Bij privacykwesties is dit een stuk lastiger. Is dit vergeetverzoek terecht of is de informatie nog actueel? Is er toestemming gegeven (en/of niet ingetrokken) of is het beroep op een legitiem belang hier juist? Is dit hergebruik binnen de doelbinding? Daar kom je gewoon niet uit als hostingbedrijf.

Een complicatie is dat veel hosters zich opstellen als verwerkers, oftewel partijen die de informatie uitsluitend in opdracht van de klant online zetten. Dan mógen ze niet eens zelf besluiten om in te grijpen, ook al is de overtreding nog zo evident. Onder de AVG moet een verwerker verzoeken van betrokkenen doorspelen naar de verantwoordelijke (de klant dus) en die het laten afhandelen.

Wel is het zo dat een verwerker verplicht is verwerking te staken als deze evident in strijd is met de AVG. Hij moet dan in discussie met de verantwoordelijke over hoe verder. Effectief komt dat volgens mij op hetzelfde neer: je zegt dan alsnog tegen de klant, volgens mij gaat hier iets mis met deze persoonsgegevens op je site, hoe ga je dat oplossen of haal ik de site/pagina offline? De route is anders maar het resultaat volgens mij gelijk.

Mag je werkgever je verplichten een smartphone met chatapp te kopen?

Een lezer vroeg me:

Mijn werkgever wil dat ik mobiel bereikbaar ben, niet alleen om te bellen maar ook via een chat-app. Ik heb geen smartphone en wordt dus zo gedwongen die te kopen én een account bij Apple of Google te nemen. Kan een werkgever me dit werkelijk verplichten?

Anno 2019 is dit niet 100% duidelijk. In de kern moet de werkgever aan de werknemers de gereedschappen beschikbaar stellen voor het werk, maar als het in de branche gebruikelijk is dat die het zelf meeneemt, dan kan de werkgever zich daarop beroepen. Dit speelt bijvoorbeeld bij kappers en chefkoks die eigen scharen en messen meenemen zodat het het beste bij hun hand past. Een restaurant kan dan zeggen, bij ons krijg je geen eigen messen, die moet je zelf meenemen.

Het gaat voor mij echter te ver om te zeggen, koop als ‘gewone’ werknemer maar een smartphone van vele honderden euro’s en zet daar onze app op. Een dergelijke investering kun je niet verlangen van werknemers. En ja, ik weet dat messensets ook duur kunnen zijn maar dat zijn werknemers die ook navenant beloond worden en unieke skills hebben. Als je als werknemer in een met chefkoks vergelijkbare situatie bent én het normaal is dat iedereen met eigen smartphones rondloopt, dan wil ik dit standpunt nog wel herzien.

De meeste mensen hebben een eigen smartphone, en dan kun je dat ‘duur’ argument natuurlijk niet meer gebruiken. Dan gaat het in de praktijk vooral over het gedoe rondom die chat-app en wat er nog meer bij komt kijken. Het installeren van WhatsApp is praktisch gezien weinig gedoe en vergt niet veel van je telefoon, dus daar heb je alleen je privacy-argument nog over. Een custom chat-app inclusief MDM en remote wipe optie is op zich alweer een hele burden voor de werknemer.

Dat privacyargument is wel iets wezenlijk extra’s ten opzichte van die messen- of scharenset. Daar gaat die vergelijking dan ook scheef op, wat mij betreft. Je kunt denk ik best verlangen dat mensen eigen spullen meenemen die hen op het lijf zijn gesneden, zeker als iedereen dat al jaren doet, maar eisen dat ze ook bij jou hun privacy te grabbel gooien is volgens mij geen goed werkgeverschap.

Arnoud

Kandidaat zijn zonder dat je het weet, mag dat?

Voor het radiospel ‘De Uitverkorene’ stuurt Qmusic een privédetective af op onbekende Nederlanders. Dat meldde RTL maandag. Het concept: een Nederlander wordt door een privédetective gevolgd. Wie de gelukkige denkt te zijn en dat raadt, wint 10.000 euro. De kandidaat-zonder-wil wordt gekozen op basis van een “goede daad” die hij eerder verricht heeft, maar wel eentje die Q-Music in scène heeft gezet. Het signalement wordt enigszins generiek opgebouwd en alleen op basis van gegevens verkregen in de openbare ruimte. Desondanks de vraag: huh, sinds wanneer mag dat?

“Je mag willekeurige personen gewoon observeren in het publieke. Het gebeurt wel vaker, bijvoorbeeld in stalkingszaken.” aldus de verdediging van het programma in een notendop. Eh ja, maar dat is omdat er dan een zwaarwegend belang is, namelijk het vastleggen van stalkingsgedrag zodat je aangifte kunt doen. Een andere reden om mensen te observeren, is fraude bij bijvoorbeeld ziekmeldingen op te sporen. En zelfs bij het onderzoeken van zeg overspel in een relatie kan ik me nog wat voorstellen bij een zwaarwegend belang om dat te willen weten.

Hier gaat het echter om een zelfbedacht belang: men zet een “goede daad” in scène, zoals een portemonnee neerleggen die iemand dan opraapt en retourneert. En dan wil je vervolgens die persoon in het zonnetje zetten met een opsporingsbericht en een privédetective. Nee, daar vind ik dan toch wel wat van.

Hoe zou het dan wel moeten? Geen idee eerlijk gezegd. Ja, toestemming vragen aan de betrokkenen maar dan is de lol er wel een beetje af natuurlijk. De enige manier om dit te spelen is via de belangenafweging van de grondslag “eigen gerechtvaardigd belang”. En omdat het hier gaat om puur entertainment, kun je natuurlijk spreken van vrijheid van meningsuiting maar sterk zal dat niet zijn. Daarmee is het moeilijk het privacybelang van de kandidaten-in-spe te overrulen.

En ja, mensen worden gevolgd in het publiek domein, in het openbaar. Maar dat maakt niet uit bij privacy: die houdt niet op bij de voordeur. Ook op de openbare weg heb je recht op privacy, waaronder dus ook valt het structureel vastleggen van je persoonsgegevens met als doel deze in een televisieprogramma te gebruiken. De openbaarheid van de gegevens is een factor in die belangenafweging, maar geen doorslaggevende.

Arnoud

Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische gegevens over jou bevatten, wat natuurlijk gebeurt als je bij je zorgverzekeraar of ziekenhuis rondklikt. Heel verbazingwekkend zou dat niet moeten zijn – dergelijke pixels vallen immers gewoon onder de cookiewet, en er wordt zelden toestemming gevraagd zoals het hoort. Plus, je hebt een grondslag nodig voor deze bijzondere persoonsgegevens en ook dat gaat mis.

Het komt natuurlijk vooral in het nieuws omdat het gaat om Facebook, maar uiteindelijk is het gewoon een punt (haha): als je mensen gaat tracken en je doet dat over meerdere sites heen, dan moet daar gewoon toestemming voor gegeven zijn. Allereerst omdat het gaat om informatie die je bij iemand opslaat – cookiewet – en daarnaast ook omdat het een nogal invasieve verwerking van iemands persoonsgegevens is – Wbp/AVG. Bij dat tweede is soms nog te verdedigen dat je kunt werken onder een eigen gerechtvaardigd belang, maar dat houdt heel snel op als het gaat om third-party tracking over meerdere sites heen.

De Facebook pixel is technisch een niet zo ingewikkelde constructie. Een website-eigenaar neemt een code op van Facebook, waarmee een plaatje van 1×1 pixel wordt opgenomen in zijn site. Dit plaatje komt van Facebook, en men kan vervolgens informatie uitlezen van de browser waarmee het plaatje wordt opgehaald. Maar de pixel doet meer: hij kijkt of je ingelogd bent bij Facebook, en slaat dan informatie over de pagina op bij je Facebook-interesseprofiel. Vervolgens kan de eigenaar van die site op Facebook je reclame tonen voor deze site (“retargeting”).

Dit noemen we profileren onder de AVG, en het is natuurlijk een vorm van verwerken van persoonsgegevens. Daarom is daarop (vanaf 25 mei) de AVG van toepassing. Die zegt dat toestemming nodig is voor deze vorm van tracking. Bovendien geldt op deze pixel de cookiewet, want de pixel is immers informatie die wordt opgeslagen op de computer van de bezoeker terwijl die informatie niet technisch noodzakelijk is voor de website. En ook die wet eist dan toestemming. En als triple whammy hebben we het specifiek hier nog eens over bijzondere persoonsgegevens (immers over gezondheid).

Ik zie dus geen manier om dit legaal te doen, tenzij je als website-eigenaar toestemming vraagt voor het mogen plaatsen van deze pixel en daarbij uitlegt dat het doel is om op Facebook gerichte reclame te kunnen doen. Oh, en die toestemming moet te weigeren zijn zonder dat je van de site geweerd wordt.

Arnoud

Facebook overtreedt Belgische privacywet door volgen niet-gebruikers

Facebook overtreedt de Belgische privacywet door het internetgedrag te volgen van mensen die geen account bij het sociale netwerk hebben. Dat meldde Nu.nl zaterdag. De vind-ik-leuk knopjes die alomtegenwoordig zijn, zetten cookies en gebruiken andere trackingtechnieken om internetgedrag op te slaan. Ook bij mensen die geen klant (product?) zijn van het sociaal netwerk, en dat is waar de Belgische privacytoezichthouder over viel. De rechtbank bevestigt dit en eist op straffe van een dwangsom van 250.000 euro per dag dat Facebook ermee stopt.

Bij Reuters lees ik dat Facebook het blabla teleurstellend vindt (duh) en meent dit te mogen omdat het een industriebreed gebruik is. Dat is zonder licht fietsen ook, maar toch mag het niet. En dat je “enable hundreds of thousands of businesses to grow their businesses” met deze truc, maakt natuurlijk ook helemaal niets uit als het gaat om mensen hun privacy.

Voor mensen die Facebookgebruiker zijn, kun je misschien nog zeggen dat ze gekozen hebben voor deze functionaliteit op andere sites dan de blauwe hoofdsite. Maar voor mensen zonder Facebook (ja, het bestaat) kan dat argument niet opgaan natuurlijk. En dan is de “clear notice” die het bedrijf eist dat websites met de knop geven, natuurlijk niet genoeg. Als die cookies of trackers achter de knop mensen volgen, dan moet je daar toestemming voor vragen en dat doe je niet door te melden dat je ze aan het volgen bent.

Ja, hieronder staan ook socialenetwerkknopjes die tracking doen. Maar let op: die staan pas aan als je daar expliciet toestemming voor geeft (dank, Arjan Snaterse) en dat doe je door op de standaard dichtgeklapte balk te klikken. Dat is wél in lijn met de Europese wet, en het lijkt me niet moeilijk om dat overal uit te rollen. Ben benieuwd hoe veel sites dit op 25 mei hebben aangepast.

Arnoud