Van rare websites krijg je rare vergeetrechtzaken

| AE 11078 | Privacy, Uitingsvrijheid | 55 reacties

Een arts die op de vingers is getikt door het tuchtcollege moet verwijderd worden uit de zoekresultaten van zoekmachine Google. Dat meldde Trouw vorige week. Waarmee ze overigens bedoelen dat een bericht over dat vingertikken verborgen moet blijven in de zoekresultaten, niet dat de arts geheel onvindbaar moet worden. De rechtbank Amsterdam had in december vorig jaar bepaald dat het ging om een irrelevant en tendentieus bericht, dat de arts niet hoefde te worden nagedragen ondanks de voorwaardelijke schorsing die hem door de tuchtrechter was opgelegd. Een baanbrekende zaak, aldus zijn advocaat, maar wat mij betreft is dit niets bijzonders en klopt het helemaal met de regels die we al hadden.

De arts had enkele jaren terug een operatie uitgevoerd en daarbij een fout gemaakt. Dat leidde tot een tuchtrechtelijke procedure onder de Wet BIG (Wet op de beroepen in de individuele gezondheidszorg). De arts kreeg in eerste instantie een schorsing opgelegd, maar in hoger beroep werd dat een voorwaardelijke schorsing.

Wie nadien op de naam van de arts zocht, vond hoog in de resultaten de site zwartelijstartsen punt nl (die zelf zegt “Deze website is niet bedoeld als leedtoevoeging of schandpaal.” maar ik zie dat anders) met daarin naam, BIG nummer en foto van de arts, plus de tuchtrechtelijke uitspraak en een citaat uit een regionale krant over de kwestie.

De arts had nogal last van die vermelding, en vroeg Google om verwijdering uit zoekresultaten op zijn maam. Die weigerde dat, omdat het om zakelijke berichtgeving ging over zijn professionele activiteiten. De Autoriteit Persoonsgegevens was dezelfde mening toegedaan, mede omdat de arts nog in zijn proeftijd van de voorwaardelijke schorsing zat en de berichtgeving daarmee nog actueel was. Bovendien zou een gemiddelde patiënt niet bij het BIG register kijken of zijn arts een tuchtuitspraak tegen zich had, maar wel in Google.

Daarop stapte de arts naar de rechter, die hem in tegenstelling tot Google en de AP wél gelijk gaf. De rechtbank zet daarbij voorop – zoals de HR eerder bepaalde – dat bij Google’s zoekdienst de privacy van daarin opgenomen personen in principe wint, tenzij er bijzondere redenen zijn om de informatie wél te tonen. Normaal is de afweging van grondrechten gelijkwaardig (persvrijheid versus privacy), maar bij Google dus niet.

Dan is dus de vraag, wat zijn hier die bijzondere redenen. De site had aangedragen dat zij juist de openbaarheid met naam en toenaam kiezen omdat het publiek te lastig falende artsen kan vinden. Beroepsfouten door artsen zijn zeer kwalijk, dus logisch dat daar aandacht voor moet komen. En het huidige systeem vanuit de wet om dat te doen, voldoet niet genoeg.

Dat laatste ziet de rechtbank anders:

[dat] de wetgever in de wet BIG een uitgekiend wettelijk systeem heeft vastgelegd om bekendheid te geven aan beroepsbeoefenaren die een (voorwaardelijke) tuchtrechtelijke maatregel opgelegd hebben gekregen. Volgens de wet BIG wordt iedere tuchtrechtelijke maatregel in het BIG-register (www.bigregister.nl) gepubliceerd, met een zeer beperkte vermelding van de reden voor de oplegging. De tuchtrechtelijke maatregelen zijn vrij eenvoudig te vinden als in het (digitale) BIG-register wordt gezocht op de naam van de zorgverlener.

Wie dus echt wil weten of er wat speelde met zijn of haar arts, kan dat met een gerichte zoekopdracht achterhalen. Maar dat is heel wat anders dan gewoon je arts googelen en al dan niet verouderde of herroepen berichtgeving vinden, en op die basis concluderen dat je te maken hebt met een sjoemelarts (nog zo’n term van die site). Zeker als die site zich ook nog eens tooit met de toch tendentieuze term ‘zwarte lijst’, wat meer impliceert dan enkel een voorwaardelijke tik op de vingers. En het helpt al helemaal niet als blijkt dat die zwarte lijst kennelijk vrij willekeurig (met eigen, niet gepubliceerde criteria) sommige berispte artsen wel en andere niet publiceert, plus ook artsen die géén tuchtrechtelijke uitspraak tegen zich hebben.

Daar staat dan grote last voor de arts tegenover. Ik schrok er een beetje van wat de rechtbank zegt over het BIG register:

Bovendien heeft [verzoekster] diverse publicaties van de artsenfederatie KNMG overgelegd waaruit blijkt dat de publicatie van een tuchtrechtelijke maatregel in (enkel) het BIG-register – door de KNMG ‘naming and shaming’ of een ‘digitale schandpaal’ genoemd – voor de artsen die het betreft een zo grote invloed heeft, zowel persoonlijk als professioneel, dat ruim de helft van hen heeft overwogen te stoppen met werken.

Als alleen al de vermelding daar zó veel impact heeft, dan snap ik wel dat je zeker niet ook nog eens in een door willekeurige mensen opgezette zwarte lijst Dit alles bij elkaar maakt dat de rechtbank geen omstandigheden ziet om de privacy van de arts aan de kant te zetten, integendeel. Google moet dan ook binnen zeven dagen zorgen dat dit zoekresultaat niet meer wordt getoond als mensen de arts bij naam googelen.

Gezien deze feiten verbaast die uitspraak me niets. Baanbrekend zou ik hem ook weer niet noemen, de rechter past ‘gewoon’ het kader toe van alle vergeetrechtzaken. Dat het BIG register een eigen vergeet- of juist ‘herinner’-functie heeft, is wel een bijzonderheid maar ik zie die in het voordeel van de informatievrijheid. De relevante informatie over artsen is daar te vinden en wordt zorgvuldig beheerd. Wie wat wil weten of zijn arts, kan daar dus gewoon terecht. En als informatie niet meer relevant is, wordt dat door een onafhankelijke partij gescreend en weggehaald. Dat lijkt mij beter dan zelf googelen.

Arnoud

Google mag recht om vergeten te worden tot EU beperken, aldus advocaat-generaal

| AE 11061 | Privacy | 9 reacties

Google hoeft zoekresultaten die het verwijdert vanwege het Europese recht om vergeten te worden, niet op al zijn domeinen te verwijderen, maar alleen voor bezoekers binnen de EU. Dat las ik bij Tweakers onlangs. De advocaat-generaal aan het Hof van Justitie kwam in een recente analyse tot dit advies in een zaak tussen Google en de Franse Autoriteit Persoonsgegevens. Het advies weegt vaak zwaar bij het Hof van Justitie, maar is formeel niet bindend. Het is wel een mooi compromis tussen het belang te worden vergeten en het informatiebelang van anderen, zeker als je het vanuit wereldwijd perspectief bekijkt.

Sinds 2014 spreken we van een recht te worden vergeten in zoekresultaten bij diensten zoals Google. Wanneer zoekresultaten bij opdrachten rond jouw naam of jouw persoon bepaalde verouderde, irrelevante en gênante resultaten tonen, dan heb je het recht die te laten verbergen. Bij de bronsite blijven ze gewoon staan (het recht op een integer archief weegt zwaarder dan je privacy, tenzij publicaties onrechtmatig waren) maar ze zijn daarmee veel moeilijker te vinden. Met deze uitspraak wilde het Hof een balans zoeken tussen de privacy van mensen die steeds oude zoekresultaten terug zien komen, en de behoefte van anderen om informatie over mensen te vinden.

Google gaf op zich gehoor aan de uitspraak, maar kwam wel meteen met een restrictie: alleen bij zoekopdrachten vanuit de EU. Wie bijvoorbeeld met een vpn naar google.com gaat, kan gewoon ‘verboden’ zoekresultaten opvragen. De CNIL (de Franse Autoriteit Persoonsgegevens, zeg maar) vond dat ook dit in strijd was met de privacy: vergeten is vergeten, ongeacht IP-adres. De zaak kwam daarmee bij het Hof van Justitie, en haar onafhankelijk juridisch adviseur doet nu dus suggestie om het vergeetrecht Europees te beperken.

De belangrijkste reden lijkt te zijn dat de wetgeving (de oude Richtlijn, en nog niet de AVG) niet duidelijk maakt wanneer deze territoriaal van toepassing is bij internetdiensten als deze. Het gaat dan nogal ver om een wereldwijde verplichting af te leiden uit zo’n wet. Bij de AVG zou dat anders kunnen zijn, omdat de regels daar (artikel 3) veel breder te lezen zijn. Maar daar gaat deze zaak niet over.

Ook is de advocaat-generaal bezorgd over escalatie: als de EU buitenlandse dienstverleners gaat vertellen wat ze moeten blokkeren, gaan andere landen misschien Europese dienstverleners ook dergelijke dingen opleggen, of hun eigen dienstverleners opdragen om Europese bezoekers minder informatie te geven. Een informatieoorlog is wel het laatste waar je op zit te wachten.

Alles bij elkaar lijkt het dan ook het beste om te gaan voor een Europees vergeetrecht. Ik ben het daar wel mee eens: voor Europeanen is er zo een redelijke balans tussen privacy en informatievrijheid. Wie de informatie écht nodig heeft, kan met extra moeite deze wel vinden. Desnoods door bij de individuele bronnen zelf te gaan zoeken, of dus met een VPN bij een buitenlandse zoekmachine. Dan is er dus een stevig informatiebelang (waarom anders die moeite doen) en dat rechtvaardigt dan het kunnen vinden.

Arnoud

Moet je van het AVG-vergeetrecht je backups opschonen van oude persoonsgegevens?

| AE 10935 | Privacy, Security | 15 reacties

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem:

Af en toe komt het – hoewel uitzonderlijk – voor dat een bedrijf te maken heeft met dataverlies. Er wordt dan tijdelijk (onlangs github iirc) of permanent (verleden jaar gitlab iirc) een backup teruggezet. Nu ben ik benieuwd wat de wet hierover te zeggen heeft.Als klant denk ik: Ik wil ook niet meer in backups voorkomen. Dit is al dan niet een smoes die ik wel eens heb gehoord als reden waarom ik na verloop van tijd weer een nieuwsbrief ontvang nadat ik me heb uitgeschreven.

Als iemand zijn recht te worden vergeten uitoefent, dan geldt dat in principe jegens alle data die een bedrijf over hem heeft. In principe, want alleen data hoeft weg die verouderd of irrelevant is. Een vergeetverzoek op de debiteurenadministratie zal niet zo veel zin hebben dus, om eens wat te noemen.

Ben ik al jaren geen relatie meer bij een organisatie, dan heb ik ondertussen wel het recht verworven te worden vergeten. Men zal dan braaf mijn vermelding als oud-klant verwijderen, maar er zwerven vast nog backups rond van het nieuwsbriefbestand of de oudklantenadministratie. Dat is dan een probleem, want ook daar moet ik uit worden verwijderd.

In principe. Want: het doel van een backup is te zorgen dat een bedrijf weer verder kan na een catastrofe, en dat is gewoon een legitiem eigen belang onder de AVG (artikel 6 sub f) waarbij je de inhoud van de backup nodig hebt. Ook die verouderde, achterhaalde informatie over die exklant die vergeten wilde worden. Backups zijn niet ontworpen of bedoeld om individuele bestanden uit weg te halen.

Problemen ontstaan als na het herstellen van de backup die personen weer terug opduiken in de verzendlijst. Maar dat hoort niet te gebeuren. Als je een backup terugzet, lijkt het mij dat je daarmee terugkomt bij de huidige situatie. Mogelijk een dag of wat terug, maar verder niet. De bedoeling van een backup is immers terug te komen bij waar je was, zodat je weer door kunt.

Daarmee komen bij het restoren weliswaar verouderde gegevens terug, maar ook alle oude afmeldingen. Heb je dus zo’n backupprocedure, dan is er niets aan de hand. De restore zorgt er voor dat óók de afmeldingen weer gerestored worden. Althans, dat zou moeten om een AVG compliant backup strategie te hebben.

Dus nee, je hoeft je backups niet op te schonen – mits je maar zeker weet dat het terugzetten van een backup leidt tot herstel in de toestand van zo kort mogelijk voor de catastrofe. Komt je backupstrategie neer op “ik kopieer alles naar een externe disk en daarvan zet ik alles terug bij een storing” dan heb je een probleem.

Arnoud

Geldt het vergeetrecht onder de AVG ook bij forumdiscussies?

| AE 10495 | Uitingsvrijheid | 28 reacties

Een lezer vroeg me: Ik beheer een relatief groot discussieforum. Moet ik straks onder de AVG van iedereen die dat vraagt zijn berichten weghalen onder het vergeetrecht? Dan houd ik straks geen historie meer over! Het klopt dat je als aanbieder van internetdiensten al snel te maken krijgt met de AVG. Heel vaak werk je… Lees verder

Google moet berichten over afgesloten strafzaken vergeten

| AE 9230 | Privacy, Uitingsvrijheid | 25 reacties

Google moet een belastend zoekresultaat over een ontuchtpleger uit Doetinchem uit de zoekmachine verwijderen, las ik in Tubantia. Gauw het vonnis erbij gepakt: Google moet inderdaad uit haar zoekresultaten (bij Googelen op ’s mans naam) een Facebookpagina weglaten omdat deze vertelt over de strafrechtszaak, met naam en toenaam (en foto) van de man. Omdat het… Lees verder

‘Containerkwestie’ geen argument voor verwijdering zoekresultaten

| AE 7442 | Ondernemingsvrijheid, Privacy | 15 reacties

Een KPMG-topman die vanwege een geschil met zijn aannemer enkele maanden in een container moest bivakkeren, kan artikelen daarover niet in Google zoekresultaten laten blokkeren. Dat vonniste de rechtbank Amsterdam in de tweede vergeetrechtzaak in ons land. Artikelen laten blokkeren is een laatste redmiddel bij irrelevante en overmatige zoekresultaten, geen alternatief kanaal voor als een… Lees verder

Recht vergeten te worden geldt niet bij strafrechteljke veroordeling

| AE 6985 | Ondernemingsvrijheid, Privacy, Uitingsvrijheid | 19 reacties

Het recht om vergeten te worden, dat gebruikers irrelevante en verouderde informatie uit zoekmachines laat verwijderen, geldt niet voor een zware crimineel die daarom vroeg. Dat meldde Tweakers vrijdag naar aanleiding van een kort geding te Amsterdam. De man wilde dat Google verschillende links die verwijzen naar websites (waarop informatie staat over de veroordeling van… Lees verder

Tiradeweek: Nee, Google moet zich gewoon ook aan onze wet houden

| AE 6885 | Ondernemingsvrijheid | 105 reacties

Weinig uitspraken van het Hof van Justitie hebben zo veel losgemaakt als het vergeetrechtarrest. Zoekmachines als Google dienen (op grond van de privacywetgeving) zoekresultaten op te schonen wanneer deze over personen irrelevante of verouderde informatie bevatten. Termen als censuur en de opmaat tot boekverbrandingen zijn nog de lichtste kwalificaties die ik hierover heb gelezen van… Lees verder