Mijn blog van vorige week over de RET-tweet maakte nogal wat los – op het stukje “je mag sollicitanten niet zomaar googelen want dat valt onder de Wet bescherming persoonsgegevens”. In de comments bleek het nog erger: je mag geen Twitterberichten lezen zonder het apart te vragen, “hoi Wim” op een blog is een overtreding en zonder dringende noodzaak mag je personen niet googelen.
De Wbp is gemaakt als een algemene wet, die in principe alle vormen van gebruik van persoonsgegevens wil reguleren zodat personen de controle over hun gegevens kunnen uitoefenen. Een beetje zoals de Auteurswet rechthebbenden macht wil geven door iedere kopie en iedere publicatie onder de wet te reguleren. Vanuit dat perspectief is het dus niet gek dat de Wbp altijd geldt, dat is een feature.
Vaak wordt gedacht dat de Wbp alleen geldt bij grootschalige opslag of gebruik in bestanden of databases. Dat klopt half: als je op papier persoonsgegevens verwerkt, dan geldt de wet pas als je dat in een bestand doet. Verwerk je echter elektronisch, dan is het hebben van een database volstrekt irrelevant. Een grote dikke Big Data database is dus gedekt door de wet, maar ook de zinsnede “hoi Wim” in deze blog omdat dit over een persoon gaat. Zet ik die zin op een briefje, dan valt dat briefje buiten de Wbp.
De enige echte uitzondering die ik kan bedenken voor de internetsituatie, is die voor strikt persoonlijk gebruik. Je adresboek of privécloudbestand met gegevens van anderen valt dus buiten de Wbp. Een strikt afgesloten webdienst met persoonsgegevens die wederom alleen toegankelijk is voor familie en huisgenoten denk ik ook nog wel. Maar vereist hierbij is wel dat het écht een privésituatie betreft. Activiteiten op internet lijken niet snel een privésituatie te betreffen. Zie de Hof van Justitie-uitspraak over het verzamelen van camerabeelden en veel eerder het Lindqvist-arrest waarin “De vrijwilligersbijeenkomst gaat niet door want mevrouw Lindqvist heeft haar enkel verstuikt” op de homepage van een kerk een verwerking van persoonsgegevens werd geacht.
Er is ook een uitzondering voor journalistieke verwerkingen, maar die komt er eigenlijk op neer dat mensen geen inzage en correctie kunnen eisen in hun persoonsgegevens. Dit is dus waarom je eigenlijk geen verwijdering uit krantenarchieven zou moeten kunnen eisen. Bij Google wel – Google is geen journalist. Zie ook de discussie over Kleintje Muurkrant dat op grond van de Wbp werd aangepakt (maar het op inhoud won).
Maar allerlei verwerkingen zijn toch vrijgesteld? Ja, alleen betekent dat niet meer dan dat je niet tegen het Cbp hoeft te zeggen dat je die verwerkingen uitvoert. Je moet nog steeds een grondslag hebben.
Ai. De Wbp geldt dus altijd op internet. Mag je dan niet eens meer mensen begroeten op je blog zonder toestemming?
Nou, niet helemaal. De Wbp zegt dat er zes gronden zijn, waarvan de belangrijkste zijn:
- Toestemming
- Uitvoering van een overeenkomst
- Een eigen dringende noodzaak
Toestemming is de hoofdregel, maar als je één van de andere gronden kunt onderbouwen dan is dat ook goed. Een webwinkel hoeft écht geen toestemming te vragen om je naam en adres naar een leverancier te mailen zodat jij het bestelde pakketje geleverd krijgt. Dat is gewoon nodig om de koopovereenkomst na te komen. Ik zie daar wel de nodige analogieën voor op internet: wie zijn naam in het reactieformulier hieronder invult, krijgt zijn naam op internet gepubliceerd. Dat is gewoon nodig om je reactie te publiceren. En ja, ‘gewoon’ is voor discussie vatbaar – zie ook Privacy en een goede uitvoering van de overeenkomst.
Als restcategorie is er dan nog de eigen dringende noodzaak. Als toestemming eigenlijk niet haalbaar is en jij een legitiem belang hebt dat zwaarder weegt dan de privacy van de persoon wiens gegevens je gebruikt, dan mag het – mits je maar alles doet om die privacy zo veel mogelijk te waarborgen. Om die reden mag ik IP-adressen loggen om hackpogingen te detecteren. Ik hoef geen toestemming te vragen, maar ik mag die gegevens niet zomaar publiceren of gebruiken voor andere doelen. Google Analytics valt ook onder dit legitiem belang, mits je een paar maatregelen neemt vanuit die privacywaarborg.
Valt “hoi Wim” daar nu ook onder? Is het nódig dat ik dat zeg? Ik meen van wel: vrijheid van meningsuiting is een grondrecht en dús een legitiem belang. Ik mag zeggen wat ik wil, en ik hoef daar geen belang voor aan te dragen. Maar ja, dan krijg je een botsing met de privacywet die zegt dat je niet zomaar iemands gegevens mag verwerken. En dát is waar de pijn in de Wbp zit. Je moet dan kort gezegd aantonen dat jouw publicatie belangrijker is dan de privacy van de persoon over wie je schrijft. Toch een belangenafweging dus.
In de praktijk komt die belangenafweging denk ik gewoon neer op de vraag “Is het rechtmatig om dit te publiceren”. Dat bepaalde het Hof Den Bosch een paar jaar terug, en dat is wel een werkbaar compromis. Er is geen aparte route via de Wbp – als je het mag zeggen, vindt de Wbp het ook goed, en als je het niet mocht zeggen, dan wordt de Wbp ook boos.
Dus ja, de Wbp geldt altijd. Maar toestemming hoef je niet altijd te hebben.
Arnoud