Internetrecht door Arnoud Engelfriet

Google moet zoekresultaten verwijderen als gebruikers kunnen aantonen dat de gelinkte informatie overduidelijk niet klopt. Dat las ik bij Nutech.nl. In zaak C-460/20 oordeelde het Hof van Justitie dat je je als zoekmachine niet kunt beroepen op de uitingsvrijheid als een uiting feitelijke onjuistheden bevat.

Twee directeuren van een groep investeringsmaatschappijen zagen in Google hun naam gekoppeld aan artikelen waarin kritiek werd geuit op het investeringsmodel van de groep. Dat kan, maar er leken ook fouten in die artikelen te staan. Daarop diende men klachten in om de informatie verwijderd te krijgen, maar zoals u zult verwachten gaf Google niet thuis: zij kan vanuit haar positie niet oordelen of de gelinkte berichten (op zoekopdracht op hun naam) wel of niet juist waren en kon dus niet ingrijpen.

Een bekend maar frustrerend standpunt, daarop stapte men naar de rechter. Die besloot -in hoger beroep- de zaak aan het Hof van Justitie voor te leggen, omdat hier zowel de AVG als de uitsluiting van aansprakelijkheid van informatieproviders aan de orde is.

Het Hof begint met te herhalen dat Google zelf verwerkingsverantwoordelijke is voor zoekresultaten die als persoonsgegevens gelden. Dat was al in het bekende vergeetrecht-arrest uit 2014 uitgemaakt, maar het kan geen kwaad dat ter herhalen omdat mensen nog te vaak redeneren dat Google alleen maar een vergaarbak is van andermans informatie. Google kiest zelf wat op nummer 1 staat, met haar eigen criterium van “relevantie” en neemt daarmee de verantwoordelijkheid voor de koppelingen die ze aldus legt.

Dat wil niet zeggen dat Google dus automatisch aansprakelijk is voor alle fouten in de gekoppelde artikelen. Daarvoor moeten ze – zo beslist het Hof nu – eerst een beoordeling maken van de aard van die fouten. Er is hier namelijk sprake van een botsing tussen informatievrijheid en gegevensbescherming, waarbij een belangenafweging moet worden gemaakt die uitgaat van twee gelijkwaardige rechten. Maar de factor “de informatie is onjuist” weegt wel zwaar richting “weghalen”.

Waar zit je dan met de bewijslast? Iedereen kan immers wel zeggen dat berichten onjuist zijn. Als verweer daarop zie je de reflex bij nogal wat bedrijven om bij alles te zeggen “kom maar terug met een gerechtelijk bevel”, wat natuurlijk in de praktijk betekent “hoepel op”. Het Hof introduceert nu de juridische meetlat van “kennelijk onjuist” oftewel “overduidelijk onjuist”, het criterium dat we al kennen bij notice/takedown door hostingproviders. (En ja, die moeten dus ook overduidelijk onjuiste informatie van hun site halen, dat moesten ze al sinds 2000.)

Maar hoe bewijs je “kennelijk onjuist”?

Om te vermijden dat deze persoon een buitensporige last krijgt opgelegd die het nuttig effect van het recht op verwijdering van links kan ondermijnen, hoeft hij alleen bewijzen aan te leveren als, gelet op de omstandigheden van het geval, redelijkerwijs van hem kan worden verlangd dat hij ze opzoekt om die kennelijke onjuistheid aan te tonen.

Het is gelukkig ook weer niet zo dat je een hele discussie aan moet gaan met Google over hoe het dan wel precies zit:

Bij de behandeling van een dergelijk verzoek kan de exploitant van de betrokken zoekmachine er dus niet toe worden verplicht om de feiten te onderzoeken en daartoe een contradictoire dialoog met de aanbieder van inhoud aan te gaan teneinde ontbrekende gegevens te verkrijgen over de juistheid van de gelinkte inhoud.

Natuurlijk blijven er dan nog genoeg gevallen over van onjuiste informatie die in Google terechtkomt als je zoekt op een persoon. Maar voor die restcategorie zal je dan echt eerst naar de rechter moeten (dus de website dagen) om aan te tonen dat de informatie onjuist is, en pas daarna naar de zoekmachine zelf.

Arnoud

Mediabedrijf DPG Media heeft van de Autoriteit Persoonsgegevens een boete van 525.000 euro gekregen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen. Dat meldde Security.nl onlangs. Eindelijk eens werk gemaakt dus van de luie en ergerlijke praktijk om altijd maar een ID te vragen in plaats van na te denken hoe je betrokkenen identificeert.

De boete is voor DPG Media, maar de overtreding komt van mediabedrijf Sanoma voordat dit door DPG werd overgenomen. De AP legt uit:

Wie wilde weten welke persoonsgegevens Sanoma en DPG Media bijhielden, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Deze mensen werden er bovendien bij het digitaal versturen van het identiteitsbewijs niet door Sanoma en DPG Media op gewezen dat zij gegevens daarvan mochten afschermen. Het ging om klanten van DPG Media die geen online account hadden aangemaakt bij DPG Media.

Onzin natuurlijk, er zijn heel veel betere manieren om na te gaan wie je tegenover je hebt. Zeker als dat op afstand is. Sterker nog, een kopie identiteitsbewijs via de mail krijgen bewijst helemaal niets over wie je tegenover je hebt, hooguit dat deze persoon toegang had tot die kopie ID. Een verificatiemail sturen naar het bekende, geregistreerde adres (of een code per sms naar het bekende nummer) van de klant is bijvoorbeeld al veel slimmer als we het hebben over online klanten.

DPG hield het makkelijk voor zichzelf:

De AP heeft in hoofdstuk 2 vastgesteld dat DPG buiten de inlogomgeving van accounts altijd om een kopie van een identiteitsbewijs verzocht. DPG deed dit verzoek ongeacht welke (contact)informatie bij DPG beschikbaar was over de betrokkene en zonder rekening te houden met de aard en hoeveelheid persoonsgegevens waarvan inzage of wissing werd gevraagd. De werkwijze van DPG was voorts zo ingericht dat als een kopie van het identiteitsbewijs door de betrokkene niet werd verstrekt, het verzoek om inzage of wissing om die reden niet (verder) in behandeling werd genomen. Indien de betrokkene wel een kopie van het identiteitsbewijs verstrekte, dan had dat tot gevolg dat DPG onnodig veel gevoelige gegevens aan het verwerken was (zoals het Burgerservicenummer).

Natuurlijk, sóms kan het nodig zijn om extra informatie op te vragen om iemands identiteit te verifiëren. En een kopie identiteitsbewijs kan daar bij passen. Maar niet als standaard eerste stap. Dus ik hoop dat dit een mooie wake-up call is voor andere bedrijven die standaard om een identiteitsbewijs vragen.

Arnoud

Google heeft een rechtszaak gewonnen tegen de Franse privacywaakhond CNIL die wilde dat de gegevens van een persoon wereldwijd uit de zoekresultaten van Google verwijderd werden. Dat meldde Nu.nl gisteren. Iets preciezer: het Hof van Justitie oordeelde dat het Europees privacyrecht niet eist dat mensen wereldwijd vergeten hoeven te kunnen worden. Dit naar aanleiding van een bevel van de Franse toezichthouder dat Google wereldwijd zoekresultaten op persoonsnaam moet opschonen als naar Europees recht die resultaten verouderde of irrelevante informatie bevatten. Dat bevel gaat te ver – maar vooral omdat de Europese wetgever niet heeft gedurfd het vergeetrecht wereldwijd in te voeren.

Het zogeheten “recht te worden vergeten” staat natuurlijk in de AVG (artikel 17) maar is in 2014 al ingevoerd als brede uitleg van de oude privacyregels. Het komt erop neer dat je als persoon zeggenschap hebt over wat Google over je meldt als mensen op je naam zoeken, in die zin dat verouderde en irrelevante informatie buiten beeld moet blijven. Die is immers niet meer relevant vandaag de dag, maar kan je privacy raken doordat oude dingen je nagedragen blijven worden. En daarbij wint de privacy dan in beginsel boven het recht van Google om als bedrijf informatie te mogen ontsluiten.

Google volgde dit arrest maar zocht vanaf het begin de grenzen op. Eentje daarvan was dat de te vergeten resultaten alleen buiten beeld bleven in de zoekinterface met Europese domeinnamen (dus niet de .com). De Franse CNIL legde een bevel op dat dit te weinig was, en dat Google eigenlijk ongeacht locatie van de zoeker tot blokkade moet overgaan, omdat je anders triviaal dat vergeetrecht kunt schenden. (Google had overigens in de tussentijd IP-geolocatie ingevoerd, zodat het niet meer uitmaakte welke extensie je zoekinterface had. Je moet dus een niet-Europees IP-adres hebben om nog om de zoekbeperking heen te komen.)

De vraag kwam natuurlijk bij het Hof van Justitie. Dat oordeelt dat het vergeetrecht weliswaar uit het grondrecht tot bescherming van persoonsgegevens volgt, maar wel in balans moet staan met andere grondrechten, in dit geval de vrijheid van informatie van internetgebruikers wereldwijd. Die vrijheid kan aanzienlijk variëren; lang niet alle landen kennen iets als ons vergeetrecht. En dan gaat het wel heel ver om nu te zeggen, die grondrechten elders moeten maar wijken voor onze grondrechten.

Het kán wel, het Hof laat nadrukkelijk de optie open dat Europa wereldwijd bescherming van grondrechten afdwingt. Alleen, dat is wel iets dat de Uniewetgever dan expliciet moet regelen. Niets in de AVG suggereert dat ze dit hebben willen doen, terwijl er wel andere dingen in staan voor bedrijven buiten de EU. Dus kennelijk heeft de wetgever dat niet aangedurfd of niet gewild. En als dat zo is, dan moet de rechter natuurlijk niet alsnog die regel zelf op gaan leggen.

Het Hof laat wel een gaatje open: Europese landen mogen zelf aanvullende regels stellen over hoe om te gaan met informatievrijheid versus privacy, en het is daarin mogelijk om een regel in te voeren die gaat over wereldwijd vergeten van zoekresultaten. Dat is dan wel legaal, omdat een land er dan over nagedacht heeft en in een wetsartikel heeft vastgelegd wat de belangenafweging en motivatie dan moet zijn.

Arnoud

Een lezer vroeg me: Onlangs vroeg ik aan mijn (ex)apotheek of het mogelijk is om mijn medisch dossier te laten vernietigen, dit op grond van de AVG en de Wgbo. Echter, men weigert omdat de Zorgverzekeringswet bepaalt dat een zorgaanbieder verplicht is om een medisch dossier tot 5 jaar na het stoppen van de behandeling… Lees verder

Een arts die op de vingers is getikt door het tuchtcollege moet verwijderd worden uit de zoekresultaten van zoekmachine Google. Dat meldde Trouw vorige week. Waarmee ze overigens bedoelen dat een bericht over dat vingertikken verborgen moet blijven in de zoekresultaten, niet dat de arts geheel onvindbaar moet worden. De rechtbank Amsterdam had in december… Lees verder

Google hoeft zoekresultaten die het verwijdert vanwege het Europese recht om vergeten te worden, niet op al zijn domeinen te verwijderen, maar alleen voor bezoekers binnen de EU. Dat las ik bij Tweakers onlangs. De advocaat-generaal aan het Hof van Justitie kwam in een recente analyse tot dit advies in een zaak tussen Google en… Lees verder

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem: Af en toe komt het –… Lees verder

Een lezer vroeg me: Er is nogal wat onduidelijkheid over de toepassing van de AVG op fora op het internet, die worden gerund door privépersonen. Is de AVG inderdaad beperkt tot bedrijven en organisaties of geldt deze ook als men een forum runt, zonder een organisatie (vereniging etc) te zijn? De AVG geldt ook voor… Lees verder

Een lezer vroeg me: Ik beheer een relatief groot discussieforum. Moet ik straks onder de AVG van iedereen die dat vraagt zijn berichten weghalen onder het vergeetrecht? Dan houd ik straks geen historie meer over! Het klopt dat je als aanbieder van internetdiensten al snel te maken krijgt met de AVG. Heel vaak werk je… Lees verder

Google moet een belastend zoekresultaat over een ontuchtpleger uit Doetinchem uit de zoekmachine verwijderen, las ik in Tubantia. Gauw het vonnis erbij gepakt: Google moet inderdaad uit haar zoekresultaten (bij Googelen op ’s mans naam) een Facebookpagina weglaten omdat deze vertelt over de strafrechtszaak, met naam en toenaam (en foto) van de man. Omdat het… Lees verder