Mogen admins in je direct message-box kijken als ze dat noodzakelijk achten?

Bij Tweakers las ik een draadje waarin iemand claimde gesteund te worden door mensen die zich per privébericht, pardon direct message (die term is belangrijk) hadden gemeld. Waarop zijn bericht werd weggehaald omdat een admin even had gekeken en – ik citeer – alleen “een paar andere users die ook al [] verbannen waren” had aangetroffen. En tsja, discussies “belanden in de prullenbak omdat fatsoenlijke onderbouwing ontbreekt of er op een andere manier niet fatsoenlijk gediscussieerd wordt.” Eh, oké. Daar gaan mijn wenkbrauwen wel van omhoog, dat een admin dan even in je inbox kijkt als deel van een discussie. Maar mág het?

De reden dat  ‘direct message’ hier belangrijk is, is omdat Tweakers die term is gaan gebruiken juist om te voorkomen dat mensen met termen als “privébericht” gaan schermen als een admin die gaat lezen. Want hoezo kijk jij in mijn privé? Maar nu klinkt het alsof het alleen gaat om het 1-op-1 karakter van het bericht (ik bereik jou direct) en dat zegt niets over je privacyverwachting. Dus mag men kijken, maar maak je geen zorgen: alleen als dat noodzakelijk wordt geacht. Zoals men het zelf zegt:

Alle berichten die je verstuurt en ontvangt blijven bewaard op de servers van Tweakers en kunnen worden ingezien door de crew van Tweakers indien dit noodzakelijk geacht wordt. Spam of anderszins ongewenste berichten kan je hier melden.
Iets preciezer is de privacy notice, die vermeldt:

Berichten worden, net als de gewone forumdiscussies, ongecodeerd op onze servers opgeslagen. Bij misbruik van het DM-systeem of vermoeden van ongewenste activiteiten (bijvoorbeeld: spam, bedreiging, oplichting, enz). kan een selecte groep beheerders van Tweakers.net de betreffende DM boxen inzien.

Voor mij als jurist is “misbruik of vermoeden van ongewenste activiteiten” niet hetzelfde als “indien dit noodzakelijk wordt geacht”. Ik snap dat beide brede criteria zijn, dus we zullen maar zeggen dat men met die term noodzaak verwijst naar de frase uit de privacy notice.

De onderbouwing voor deze specifieke inzage wordt gegeven als

Als jij in dat feedback topic op hoge poten commentaar levert over de moderatie en daarbij claimt veel steun te hebben gekregen via DM, dan was dat in dit geval voor mij aanleiding om te controleren van wie, om dat argument op waarde te schatten (en in dit geval dus te bevestigen dat dat een erg zwak argument is gezien die DMs afkomstig zijn van andere gebruikers die zich meermalen misdragen hebben).

Nou vind ik de Tweakerscrew heel liev maar ik kan met de beste wil van de wereld “controleren om je argument op waarde te schatten” niet scharen onder “misbruik of vermoeden van ongewenste activiteiten”. Tenzij je zegt, het is ongewenst dat mensen feitelijk onjuiste informatie verstrekken over hun direct message box in discussies over moderatie. Dat vind ik nou niet het sterkste soort ongewenste activiteit om me druk over te maken, zelfs niet als je je als moderator aangevallen voelt door de stelling “iedereen steunt me in dm”.

Arnoud

Mag een website in mijn inbox kijken?

phpbb-private-message-pb-bericht-inbox.pngEen lezer wees me op de voorwaarden van datingsite Vriendengezocht:

Wij behouden het recht om steekproefsgewijs mee te kijken in de inbox om onze site gebruiksvriendelijk en veilig te houden. Wij verplichten onszelf de privacy van de gebruiker te waarborgen tijdens de steekproef.

Mag dat zomaar? Nou, het mag misschien maar het is zeker niet genoeg om er een regeltje in je algemene voorwaarden aan te wijden en dan te denken dat je alles mag.

Ook bij gebruik van iemands webdienst heb je recht op (enige) privacy. Er geldt geen Grondwettelijk briefgeheim voor elektronische communicatie, maar dat wil niet zeggen dat een beheerder zonder meer een privébericht mag lezen.

De gewekte verwachting is daarbij van groot belang. Zo hanteert Tweakers de term “direct message” in plaats van “private message” met de expliciete bedoeling duidelijk te maken dat die berichten niet privé zijn voor het beheer. Het idee is dat als je tegen iemand zegt “dit als privé eruitziend kanaal is niet privé”, ze dan hun privacy opgeven.

Maar ik twijfel wel of mensen écht snappen dat “direct message” betekent “het beheer kan erbij” en niet “het gaat 1-op-1 direct naar je wederpartij”. En als mensen die laatste opvatting hebben, is de kans groot dat ze het bericht wel als privé beschouwen. Dan zul je als beheer meer moeten doen dan alleen “ja haha direct is een andere term dan privé” om jezelf een rechtvaardiging te geven die berichten te openen.

Persoonlijk zou ik altijd adviseren om bij het berichtenscherm zelf aan te geven dat het beheer onder voorwaarden mee kan lezen, met een linkje naar de pagina met die voorwaarden. Of een algemeen “Hoe privé is dit bericht” linkje met uitleg over veiligheid, meelezen en dat een ontvanger er ook mee aan de haal kan.

Hoe dan ook zou ik zelf altijd liever e-mail gebruiken. Maar ja, ik ben dan ook oud.

Arnoud

Mag een moderator privéberichten lezen op het forum?

phpbb-private-message-pb-bericht-inbox.pngEen lezer vroeg me:

Bij een forum waar ik lid van ben, is onlangs uitgekomen dat moderatoren privéberichten lezen. Dit naar aanleiding van een forumruzie waarbij de moderator zijn gelijk wilde halen. Je begrijpt dat dat nogal wat ruzie gaf, maar hoe zit dit juridisch? Wanneer mag dit, en moet het in de privacyverklaring staan of niet dat ze dit mogen?

Het lezen van privéberichten (private messages, PM, soms ook direct messages) is op veel forums een heikel punt. Beheerders vinden regelmatig dat ze dat mogen, op diverse gronden. En gebruikers vinden dat gewoonlijk een stevige schending van hun privacy.

Er geldt geen Grondwettelijk briefgeheim voor elektronische communicatie. Hier wordt al lang over gedebatteerd maar de Grondwet wijzigen is voor de politiek even een brug te ver.

Artikel 273d Strafrecht stelt het wederrechtelijk kennisnemen van privécommunicatie van gebruikers van een telecommunicatiedienst strafbaar. Echter, een internetforum is geen ’telecommunicatiedienst’ want dat vereist kort gezegd dat je zelf signalen (ISO level 3) routeert over kabels dan wel draadloos. En weinig forums hebben hun eigen backbone naar de gebruikers.

Dat wil niet zeggen dat het dús mag. Privacy bestaat ook op internet. Men mag niet zomaar iemands privacy schenden. ‘Zomaar’, want er zijn situaties denkbaar waarin het wel mag. Stel het forum werkt niet meer goed door veel te grote (of rare codes bevattende) privéberichten, dan mag de beheerder die lezen als dat nodig is om het probleem te verhelpen.

De gewekte verwachting is daarbij van groot belang. Zo hanteert Tweakers de term “direct message” in plaats van “private message” met de expliciete bedoeling duidelijk te maken dat die berichten niet privé zijn voor het beheer. Het idee is dat als je tegen iemand zegt “dit als privé eruitziend kanaal is niet privé”, ze dan hun privacy opgeven.

Ik twijfel of de Wet bescherming persoonsgegevens geldt op dit lezen. Het openklikken van een bericht vind ik niet echt passen bij ‘verwerken’, hoewel dat een zeer breed begrip is. Maar als je de wet breed leest, dan valt het eronder. En dat betekent toestemming of een dringende noodzaak voor het beheer.

Algemene voorwaarden en een privacyverklaring zullen hier weinig bij helpen. Aangezien mensen die niet lezen, en dat ook niet hoeven, kun je die niet gebruiken om privacygerelateerde toestemming te verkrijgen van mensen. Ook bij de dringende noodzaak zal dat weinig helpen. Die noodzaak moet in je privacyverklaring toegelicht zijn, maar het moet wel een noodzaak zijn. Een regel “Wij mogen elk bericht lezen op elk moment” in de privacyverklaring is niet genoeg om alles te rechtvaardigen onder dit kopje.

Meelezende moderatoren: wanneer lezen jullie privéberichten? En meelezende forummers: wat is jullie grootste horrorstory rond privéberichten?

Arnoud

Kun je privéberichten opeisen bij een forum via de Wet bescherming persoonsgegevens?

phpbb-private-message-pb-bericht-inbox.pngEen lezer vroeg me:

Recent ben ik verbannen van een forum. Hierdoor ben ik de toegang verloren tot al mijn privécommunicatie op dat forum. Deze wil ik nu opeisen via de Wet bescherming persoonsgegevens, de berichten betreffen immers mijzelf. Maar het forum wil me die niet geven, ze zeggen dat de Wbp niet geldt. Hoe zit het nu?

Het opeisen van persoonsgegevens kan in principe. Immers, als iemand persoonsgegevens verwerkt, heeft de betrokken persoon een recht van inzage (art. 35 Wbp). Hij mag vragen om:

een volledig overzicht [van de gegevens] in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.

Zaken als logs over iemand zijn persoonsgegevens, en de persoon heeft dus recht op een kopie van die logregels met zijn IP-adres of zijn gebruikersnaam. (Mits ze er nog zijn, er is géén logplicht of bewaarplicht voor forums.)

Bij privéberichten ligt dit wat lastiger. Ook die zijn als persoonsgegevens te zien, al is het maar omdat de persoon er als afzender of ontvanger aan gekoppeld is. Maar of die op te eisen zijn, betwijfel ik. Allereerst kun je je afvragen of de forumbeheerder wel de ‘verantwoordelijke’ is in de zin van de wet – hij koos er niet voor dat die gegevens in die berichten terecht kwamen, immers. Dat was de afzender van het bericht. Dus díe is volgens mij de persoon die je om inzage moet verzoeken.

En ten tweede bepaalt de Wbp dat wanneer “een derde naar verwachting bedenkingen zal hebben”, je eerst die derde (de wederpartij bij de communicatie dus) moet vragen om zijn ‘zienswijze’ over het inzageverzoek. Gezien het feit dat het om privéberichten gaat lijkt het me logisch dat die zienswijze is “eh, nee, privébericht”. Hoewel het briefgeheim formeel niet geldt voor e-mail of privéberichten, zit er wel een zwaarwegend privacybelang op zulke berichten. En dat blokkeert dan het recht van inzage. Hoewel daar natuurlijk tegenover staat dat het bericht al eens gestuurd was door/naar de betrokken persoon, dus hij wéét al wat erin staat.

Als de berichten ondertussen al weg zijn (omdat het account is opgeheven), dan houdt het natuurlijk allemaal op.

Het verbaast me trouwens hogelijk dat geen van de bekende forumsoftwarepakketten een exportoptie lijkt te hebben voor privéberichten. Mis ik iets of vindt men dat massaal overbodig?

Arnoud