Tag: vergeetrecht

About vergeetrecht

Subscribe Feeds

Google moet zoekresultaten met overduidelijk onjuiste informatie verwijderen

Geplaatst op in Ondernemingsvrijheid, Privacy, Uitingsvrijheid, 23 reacties

Google moet zoekresultaten verwijderen als gebruikers kunnen aantonen dat de gelinkte informatie overduidelijk niet klopt. Dat las ik bij Nutech.nl. In zaak C-460/20 oordeelde het Hof van Justitie dat je je als zoekmachine niet kunt beroepen op de uitingsvrijheid als een uiting feitelijke onjuistheden bevat.

Twee directeuren van een groep investeringsmaatschappijen zagen in Google hun naam gekoppeld aan artikelen waarin kritiek werd geuit op het investeringsmodel van de groep. Dat kan, maar er leken ook fouten in die artikelen te staan. Daarop diende men klachten in om de informatie verwijderd te krijgen, maar zoals u zult verwachten gaf Google niet thuis: zij kan vanuit haar positie niet oordelen of de gelinkte berichten (op zoekopdracht op hun naam) wel of niet juist waren en kon dus niet ingrijpen.

Een bekend maar frustrerend standpunt, daarop stapte men naar de rechter. Die besloot -in hoger beroep- de zaak aan het Hof van Justitie voor te leggen, omdat hier zowel de AVG als de uitsluiting van aansprakelijkheid van informatieproviders aan de orde is.

Het Hof begint met te herhalen dat Google zelf verwerkingsverantwoordelijke is voor zoekresultaten die als persoonsgegevens gelden. Dat was al in het bekende vergeetrecht-arrest uit 2014 uitgemaakt, maar het kan geen kwaad dat ter herhalen omdat mensen nog te vaak redeneren dat Google alleen maar een vergaarbak is van andermans informatie. Google kiest zelf wat op nummer 1 staat, met haar eigen criterium van “relevantie” en neemt daarmee de verantwoordelijkheid voor de koppelingen die ze aldus legt.

Dat wil niet zeggen dat Google dus automatisch aansprakelijk is voor alle fouten in de gekoppelde artikelen. Daarvoor moeten ze – zo beslist het Hof nu – eerst een beoordeling maken van de aard van die fouten. Er is hier namelijk sprake van een botsing tussen informatievrijheid en gegevensbescherming, waarbij een belangenafweging moet worden gemaakt die uitgaat van twee gelijkwaardige rechten. Maar de factor “de informatie is onjuist” weegt wel zwaar richting “weghalen”.

Waar zit je dan met de bewijslast? Iedereen kan immers wel zeggen dat berichten onjuist zijn. Als verweer daarop zie je de reflex bij nogal wat bedrijven om bij alles te zeggen “kom maar terug met een gerechtelijk bevel”, wat natuurlijk in de praktijk betekent “hoepel op”. Het Hof introduceert nu de juridische meetlat van “kennelijk onjuist” oftewel “overduidelijk onjuist”, het criterium dat we al kennen bij notice/takedown door hostingproviders. (En ja, die moeten dus ook overduidelijk onjuiste informatie van hun site halen, dat moesten ze al sinds 2000.)

Maar hoe bewijs je “kennelijk onjuist”?

Om te vermijden dat deze persoon een buitensporige last krijgt opgelegd die het nuttig effect van het recht op verwijdering van links kan ondermijnen, hoeft hij alleen bewijzen aan te leveren als, gelet op de omstandigheden van het geval, redelijkerwijs van hem kan worden verlangd dat hij ze opzoekt om die kennelijke onjuistheid aan te tonen.
Het gaat om een hoge lat, “overduidelijk” is niet iets dat je aantoont met een steekwagentje met dossierstukken. Sterker nog, als je meer dan een halve a4 nodig hebt dan is het volgens mij per definitie niet overduidelijk, maar ik zit er altijd vrij cynisch in.

Het is gelukkig ook weer niet zo dat je een hele discussie aan moet gaan met Google over hoe het dan wel precies zit:

Bij de behandeling van een dergelijk verzoek kan de exploitant van de betrokken zoekmachine er dus niet toe worden verplicht om de feiten te onderzoeken en daartoe een contradictoire dialoog met de aanbieder van inhoud aan te gaan teneinde ontbrekende gegevens te verkrijgen over de juistheid van de gelinkte inhoud.
Voor mij lijkt dit evenzo vanzelfsprekend: als er van alles nader onderzocht moet worden, dan is het niet bepaald overduidelijk. Even klikken of de gelinkte bronnen vermelden wat wordt geclaimd zou al de grens moeten zijn, heel misschien nog nagaan wat het voor bronnen zijn, maar je hoeft als zoekmachine zeker niet na te zoeken of er tegen-bronnen zijn die wat anders beweren.

Natuurlijk blijven er dan nog genoeg gevallen over van onjuiste informatie die in Google terechtkomt als je zoekt op een persoon. Maar voor die restcategorie zal je dan echt eerst naar de rechter moeten (dus de website dagen) om aan te tonen dat de informatie onjuist is, en pas daarna naar de zoekmachine zelf.

Arnoud

 

DPG krijgt AVG-boete van 525.000 euro voor onnodig opvragen identiteitsbewijs

Geplaatst op in Privacy, 5 reacties

Mediabedrijf DPG Media heeft van de Autoriteit Persoonsgegevens een boete van 525.000 euro gekregen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen. Dat meldde Security.nl onlangs. Eindelijk eens werk gemaakt dus van de luie en ergerlijke praktijk om altijd maar een ID te vragen in plaats van na te denken hoe je betrokkenen identificeert.

De boete is voor DPG Media, maar de overtreding komt van mediabedrijf Sanoma voordat dit door DPG werd overgenomen. De AP legt uit:

Wie wilde weten welke persoonsgegevens Sanoma en DPG Media bijhielden, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Deze mensen werden er bovendien bij het digitaal versturen van het identiteitsbewijs niet door Sanoma en DPG Media op gewezen dat zij gegevens daarvan mochten afschermen. Het ging om klanten van DPG Media die geen online account hadden aangemaakt bij DPG Media.
Het komt heel, heel vaak voor dat organisaties vragen om een kopie identiteitsbewijs als je je rechten onder de AVG wilt uitoefenen. Dat is een luie reflex van sommige juristen (of een vertragingstactiek, als u echt cynisch bent), je moet van de AVG nagaan dat je geen inzage aan de verkeerde geeft, een ID-bewijs stelt identiteit vast, dus vraag maar een kopie ID.

Onzin natuurlijk, er zijn heel veel betere manieren om na te gaan wie je tegenover je hebt. Zeker als dat op afstand is. Sterker nog, een kopie identiteitsbewijs via de mail krijgen bewijst helemaal niets over wie je tegenover je hebt, hooguit dat deze persoon toegang had tot die kopie ID. Een verificatiemail sturen naar het bekende, geregistreerde adres (of een code per sms naar het bekende nummer) van de klant is bijvoorbeeld al veel slimmer als we het hebben over online klanten.

DPG hield het makkelijk voor zichzelf:

De AP heeft in hoofdstuk 2 vastgesteld dat DPG buiten de inlogomgeving van accounts altijd om een kopie van een identiteitsbewijs verzocht. DPG deed dit verzoek ongeacht welke (contact)informatie bij DPG beschikbaar was over de betrokkene en zonder rekening te houden met de aard en hoeveelheid persoonsgegevens waarvan inzage of wissing werd gevraagd. De werkwijze van DPG was voorts zo ingericht dat als een kopie van het identiteitsbewijs door de betrokkene niet werd verstrekt, het verzoek om inzage of wissing om die reden niet (verder) in behandeling werd genomen. Indien de betrokkene wel een kopie van het identiteitsbewijs verstrekte, dan had dat tot gevolg dat DPG onnodig veel gevoelige gegevens aan het verwerken was (zoals het Burgerservicenummer).
Dit maakt het voor mensen niet makkelijk en eenvoudig, wat een eis is uit de AVG. Dit zorgde er dan ook voor dat een onnodige drempel werd opgeworpen voor mensen om hun rechten uit te oefenen.

Natuurlijk, sóms kan het nodig zijn om extra informatie op te vragen om iemands identiteit te verifiëren. En een kopie identiteitsbewijs kan daar bij passen. Maar niet als standaard eerste stap. Dus ik hoop dat dit een mooie wake-up call is voor andere bedrijven die standaard om een identiteitsbewijs vragen.

Arnoud

Google hoeft recht op vergetelheid niet wereldwijd toe te passen van EU

Geplaatst op in Ondernemingsvrijheid, Privacy, 11 reacties

Google heeft een rechtszaak gewonnen tegen de Franse privacywaakhond CNIL die wilde dat de gegevens van een persoon wereldwijd uit de zoekresultaten van Google verwijderd werden. Dat meldde Nu.nl gisteren. Iets preciezer: het Hof van Justitie oordeelde dat het Europees privacyrecht niet eist dat mensen wereldwijd vergeten hoeven te kunnen worden. Dit naar aanleiding van een bevel van de Franse toezichthouder dat Google wereldwijd zoekresultaten op persoonsnaam moet opschonen als naar Europees recht die resultaten verouderde of irrelevante informatie bevatten. Dat bevel gaat te ver – maar vooral omdat de Europese wetgever niet heeft gedurfd het vergeetrecht wereldwijd in te voeren.

Het zogeheten “recht te worden vergeten” staat natuurlijk in de AVG (artikel 17) maar is in 2014 al ingevoerd als brede uitleg van de oude privacyregels. Het komt erop neer dat je als persoon zeggenschap hebt over wat Google over je meldt als mensen op je naam zoeken, in die zin dat verouderde en irrelevante informatie buiten beeld moet blijven. Die is immers niet meer relevant vandaag de dag, maar kan je privacy raken doordat oude dingen je nagedragen blijven worden. En daarbij wint de privacy dan in beginsel boven het recht van Google om als bedrijf informatie te mogen ontsluiten.

Google volgde dit arrest maar zocht vanaf het begin de grenzen op. Eentje daarvan was dat de te vergeten resultaten alleen buiten beeld bleven in de zoekinterface met Europese domeinnamen (dus niet de .com). De Franse CNIL legde een bevel op dat dit te weinig was, en dat Google eigenlijk ongeacht locatie van de zoeker tot blokkade moet overgaan, omdat je anders triviaal dat vergeetrecht kunt schenden. (Google had overigens in de tussentijd IP-geolocatie ingevoerd, zodat het niet meer uitmaakte welke extensie je zoekinterface had. Je moet dus een niet-Europees IP-adres hebben om nog om de zoekbeperking heen te komen.)

De vraag kwam natuurlijk bij het Hof van Justitie. Dat oordeelt dat het vergeetrecht weliswaar uit het grondrecht tot bescherming van persoonsgegevens volgt, maar wel in balans moet staan met andere grondrechten, in dit geval de vrijheid van informatie van internetgebruikers wereldwijd. Die vrijheid kan aanzienlijk variëren; lang niet alle landen kennen iets als ons vergeetrecht. En dan gaat het wel heel ver om nu te zeggen, die grondrechten elders moeten maar wijken voor onze grondrechten.

Het kán wel, het Hof laat nadrukkelijk de optie open dat Europa wereldwijd bescherming van grondrechten afdwingt. Alleen, dat is wel iets dat de Uniewetgever dan expliciet moet regelen. Niets in de AVG suggereert dat ze dit hebben willen doen, terwijl er wel andere dingen in staan voor bedrijven buiten de EU. Dus kennelijk heeft de wetgever dat niet aangedurfd of niet gewild. En als dat zo is, dan moet de rechter natuurlijk niet alsnog die regel zelf op gaan leggen.

Het Hof laat wel een gaatje open: Europese landen mogen zelf aanvullende regels stellen over hoe om te gaan met informatievrijheid versus privacy, en het is daarin mogelijk om een regel in te voeren die gaat over wereldwijd vergeten van zoekresultaten. Dat is dan wel legaal, omdat een land er dan over nagedacht heeft en in een wetsartikel heeft vastgelegd wat de belangenafweging en motivatie dan moet zijn.

Arnoud

Wat gaat voor, de AVG of een bewaarplicht?

Geplaatst op in Privacy, 16 reacties

Een lezer vroeg me:

Onlangs vroeg ik aan mijn (ex)apotheek of het mogelijk is om mijn medisch dossier te laten vernietigen, dit op grond van de AVG en de Wgbo. Echter, men weigert omdat de Zorgverzekeringswet bepaalt dat een zorgaanbieder verplicht is om een medisch dossier tot 5 jaar na het stoppen van de behandeling te bewaren om eventuele audits door zorgverzekeraars mogelijk te maken. Maar klopt dat wel? Wat heb ik dan aan mijn recht van verwijdering?

Er zijn ontzettend veel misverstanden over het recht van wissing van persoonsgegevens — ook wel eens het vergeetrecht genoemd. Het belangrijkste is dat het een absoluut recht zou zijn, een recht dat je altijd kunt inroepen.

De AVG noemt diverse situaties waarin je het vergeetrecht kunt inroepen, maar eigenlijk komen ze allemaal neer op het geval dat er eigenlijk überhaupt geen reden meer is om die gegevens te gebruiken. Toestemming is ingetrokken, gegevens zijn niet meer nodig, er was eigenlijk nooit een grondslag, en ga zo maar door.

Wanneer gegevens nog actueel zijn, is een recht op vergetelheid dus helemaal niet aan de orde. Je kunt een bedrijfsproces niet doorkruisen met een beroep op je vergeetrecht, tenzij je kunt hardmaken dat die gegevens helemaal niet meer nodig zijn. En dat valt niet mee als er een wettelijke plicht tot bewaren is.

Bij de Wgbo geldt ongeveer hetzelfde. Weliswaar heb je volgens artikel 7:455 BW het recht om vernietiging te verlangen van je dossier, maar daar staat een uitzondering bij:

Lid 1 geldt niet voor zover het verzoek bescheiden betreft waarvan redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de patiënt, alsmede voor zover het bepaalde bij of krachtens de wet zich tegen vernietiging verzet.

En dat laatste is waar het hier om gaat: er is een andere wet die eist dat de gegevens worden bewaard. Allereerst is dat artikel 7:454 lid 3 BW dat vijftien jaar bewaarplicht voorschrijft, en daarnaast de Zorgverzekeringswet die inderdaad tot 5 jaar na einde behandeling bewaren van dossier verlangt.

De conclusie is dus eenvoudig: als er een wet is die bewaren eist, dan gaat dat eigenlijk altijd boven het vergeetrecht uit de AVG.

Arnoud

Van rare websites krijg je rare vergeetrechtzaken

Geplaatst op in Privacy, Uitingsvrijheid, 56 reacties

Een arts die op de vingers is getikt door het tuchtcollege moet verwijderd worden uit de zoekresultaten van zoekmachine Google. Dat meldde Trouw vorige week. Waarmee ze overigens bedoelen dat een bericht over dat vingertikken verborgen moet blijven in de zoekresultaten, niet dat de arts geheel onvindbaar moet worden. De rechtbank Amsterdam had in december vorig jaar bepaald dat het ging om een irrelevant en tendentieus bericht, dat de arts niet hoefde te worden nagedragen ondanks de voorwaardelijke schorsing die hem door de tuchtrechter was opgelegd. Een baanbrekende zaak, aldus zijn advocaat, maar wat mij betreft is dit niets bijzonders en klopt het helemaal met de regels die we al hadden.

De arts had enkele jaren terug een operatie uitgevoerd en daarbij een fout gemaakt. Dat leidde tot een tuchtrechtelijke procedure onder de Wet BIG (Wet op de beroepen in de individuele gezondheidszorg). De arts kreeg in eerste instantie een schorsing opgelegd, maar in hoger beroep werd dat een voorwaardelijke schorsing.

Wie nadien op de naam van de arts zocht, vond hoog in de resultaten de site zwartelijstartsen punt nl (die zelf zegt “Deze website is niet bedoeld als leedtoevoeging of schandpaal.” maar ik zie dat anders) met daarin naam, BIG nummer en foto van de arts, plus de tuchtrechtelijke uitspraak en een citaat uit een regionale krant over de kwestie.

De arts had nogal last van die vermelding, en vroeg Google om verwijdering uit zoekresultaten op zijn maam. Die weigerde dat, omdat het om zakelijke berichtgeving ging over zijn professionele activiteiten. De Autoriteit Persoonsgegevens was dezelfde mening toegedaan, mede omdat de arts nog in zijn proeftijd van de voorwaardelijke schorsing zat en de berichtgeving daarmee nog actueel was. Bovendien zou een gemiddelde patiënt niet bij het BIG register kijken of zijn arts een tuchtuitspraak tegen zich had, maar wel in Google.

Daarop stapte de arts naar de rechter, die hem in tegenstelling tot Google en de AP wél gelijk gaf. De rechtbank zet daarbij voorop – zoals de HR eerder bepaalde – dat bij Google’s zoekdienst de privacy van daarin opgenomen personen in principe wint, tenzij er bijzondere redenen zijn om de informatie wél te tonen. Normaal is de afweging van grondrechten gelijkwaardig (persvrijheid versus privacy), maar bij Google dus niet.

Dan is dus de vraag, wat zijn hier die bijzondere redenen. De site had aangedragen dat zij juist de openbaarheid met naam en toenaam kiezen omdat het publiek te lastig falende artsen kan vinden. Beroepsfouten door artsen zijn zeer kwalijk, dus logisch dat daar aandacht voor moet komen. En het huidige systeem vanuit de wet om dat te doen, voldoet niet genoeg.

Dat laatste ziet de rechtbank anders:

[dat] de wetgever in de wet BIG een uitgekiend wettelijk systeem heeft vastgelegd om bekendheid te geven aan beroepsbeoefenaren die een (voorwaardelijke) tuchtrechtelijke maatregel opgelegd hebben gekregen. Volgens de wet BIG wordt iedere tuchtrechtelijke maatregel in het BIG-register (www.bigregister.nl) gepubliceerd, met een zeer beperkte vermelding van de reden voor de oplegging. De tuchtrechtelijke maatregelen zijn vrij eenvoudig te vinden als in het (digitale) BIG-register wordt gezocht op de naam van de zorgverlener.

Wie dus echt wil weten of er wat speelde met zijn of haar arts, kan dat met een gerichte zoekopdracht achterhalen. Maar dat is heel wat anders dan gewoon je arts googelen en al dan niet verouderde of herroepen berichtgeving vinden, en op die basis concluderen dat je te maken hebt met een sjoemelarts (nog zo’n term van die site). Zeker als die site zich ook nog eens tooit met de toch tendentieuze term ‘zwarte lijst’, wat meer impliceert dan enkel een voorwaardelijke tik op de vingers. En het helpt al helemaal niet als blijkt dat die zwarte lijst kennelijk vrij willekeurig (met eigen, niet gepubliceerde criteria) sommige berispte artsen wel en andere niet publiceert, plus ook artsen die géén tuchtrechtelijke uitspraak tegen zich hebben.

Daar staat dan grote last voor de arts tegenover. Ik schrok er een beetje van wat de rechtbank zegt over het BIG register:

Bovendien heeft [verzoekster] diverse publicaties van de artsenfederatie KNMG overgelegd waaruit blijkt dat de publicatie van een tuchtrechtelijke maatregel in (enkel) het BIG-register – door de KNMG ‘naming and shaming’ of een ‘digitale schandpaal’ genoemd – voor de artsen die het betreft een zo grote invloed heeft, zowel persoonlijk als professioneel, dat ruim de helft van hen heeft overwogen te stoppen met werken.

Als alleen al de vermelding daar zó veel impact heeft, dan snap ik wel dat je zeker niet ook nog eens in een door willekeurige mensen opgezette zwarte lijst Dit alles bij elkaar maakt dat de rechtbank geen omstandigheden ziet om de privacy van de arts aan de kant te zetten, integendeel. Google moet dan ook binnen zeven dagen zorgen dat dit zoekresultaat niet meer wordt getoond als mensen de arts bij naam googelen.

Gezien deze feiten verbaast die uitspraak me niets. Baanbrekend zou ik hem ook weer niet noemen, de rechter past ‘gewoon’ het kader toe van alle vergeetrechtzaken. Dat het BIG register een eigen vergeet- of juist ‘herinner’-functie heeft, is wel een bijzonderheid maar ik zie die in het voordeel van de informatievrijheid. De relevante informatie over artsen is daar te vinden en wordt zorgvuldig beheerd. Wie wat wil weten of zijn arts, kan daar dus gewoon terecht. En als informatie niet meer relevant is, wordt dat door een onafhankelijke partij gescreend en weggehaald. Dat lijkt mij beter dan zelf googelen.

Arnoud

Google mag recht om vergeten te worden tot EU beperken, aldus advocaat-generaal

Geplaatst op in Privacy, 9 reacties

Google hoeft zoekresultaten die het verwijdert vanwege het Europese recht om vergeten te worden, niet op al zijn domeinen te verwijderen, maar alleen voor bezoekers binnen de EU. Dat las ik bij Tweakers onlangs. De advocaat-generaal aan het Hof van Justitie kwam in een recente analyse tot dit advies in een zaak tussen Google en de Franse Autoriteit Persoonsgegevens. Het advies weegt vaak zwaar bij het Hof van Justitie, maar is formeel niet bindend. Het is wel een mooi compromis tussen het belang te worden vergeten en het informatiebelang van anderen, zeker als je het vanuit wereldwijd perspectief bekijkt.

Sinds 2014 spreken we van een recht te worden vergeten in zoekresultaten bij diensten zoals Google. Wanneer zoekresultaten bij opdrachten rond jouw naam of jouw persoon bepaalde verouderde, irrelevante en gênante resultaten tonen, dan heb je het recht die te laten verbergen. Bij de bronsite blijven ze gewoon staan (het recht op een integer archief weegt zwaarder dan je privacy, tenzij publicaties onrechtmatig waren) maar ze zijn daarmee veel moeilijker te vinden. Met deze uitspraak wilde het Hof een balans zoeken tussen de privacy van mensen die steeds oude zoekresultaten terug zien komen, en de behoefte van anderen om informatie over mensen te vinden.

Google gaf op zich gehoor aan de uitspraak, maar kwam wel meteen met een restrictie: alleen bij zoekopdrachten vanuit de EU. Wie bijvoorbeeld met een vpn naar google.com gaat, kan gewoon ‘verboden’ zoekresultaten opvragen. De CNIL (de Franse Autoriteit Persoonsgegevens, zeg maar) vond dat ook dit in strijd was met de privacy: vergeten is vergeten, ongeacht IP-adres. De zaak kwam daarmee bij het Hof van Justitie, en haar onafhankelijk juridisch adviseur doet nu dus suggestie om het vergeetrecht Europees te beperken.

De belangrijkste reden lijkt te zijn dat de wetgeving (de oude Richtlijn, en nog niet de AVG) niet duidelijk maakt wanneer deze territoriaal van toepassing is bij internetdiensten als deze. Het gaat dan nogal ver om een wereldwijde verplichting af te leiden uit zo’n wet. Bij de AVG zou dat anders kunnen zijn, omdat de regels daar (artikel 3) veel breder te lezen zijn. Maar daar gaat deze zaak niet over.

Ook is de advocaat-generaal bezorgd over escalatie: als de EU buitenlandse dienstverleners gaat vertellen wat ze moeten blokkeren, gaan andere landen misschien Europese dienstverleners ook dergelijke dingen opleggen, of hun eigen dienstverleners opdragen om Europese bezoekers minder informatie te geven. Een informatieoorlog is wel het laatste waar je op zit te wachten.

Alles bij elkaar lijkt het dan ook het beste om te gaan voor een Europees vergeetrecht. Ik ben het daar wel mee eens: voor Europeanen is er zo een redelijke balans tussen privacy en informatievrijheid. Wie de informatie écht nodig heeft, kan met extra moeite deze wel vinden. Desnoods door bij de individuele bronnen zelf te gaan zoeken, of dus met een VPN bij een buitenlandse zoekmachine. Dan is er dus een stevig informatiebelang (waarom anders die moeite doen) en dat rechtvaardigt dan het kunnen vinden.

Arnoud

Moet je van het AVG-vergeetrecht je backups opschonen van oude persoonsgegevens?

Geplaatst op in Privacy, Security, 15 reacties

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem:

Af en toe komt het – hoewel uitzonderlijk – voor dat een bedrijf te maken heeft met dataverlies. Er wordt dan tijdelijk (onlangs github iirc) of permanent (verleden jaar gitlab iirc) een backup teruggezet. Nu ben ik benieuwd wat de wet hierover te zeggen heeft. Als klant denk ik: Ik wil ook niet meer in backups voorkomen. Dit is al dan niet een smoes die ik wel eens heb gehoord als reden waarom ik na verloop van tijd weer een nieuwsbrief ontvang nadat ik me heb uitgeschreven.

Als iemand zijn recht te worden vergeten uitoefent, dan geldt dat in principe jegens alle data die een bedrijf over hem heeft. In principe, want alleen data hoeft weg die verouderd of irrelevant is. Een vergeetverzoek op de debiteurenadministratie zal niet zo veel zin hebben dus, om eens wat te noemen.

Ben ik al jaren geen relatie meer bij een organisatie, dan heb ik ondertussen wel het recht verworven te worden vergeten. Men zal dan braaf mijn vermelding als oud-klant verwijderen, maar er zwerven vast nog backups rond van het nieuwsbriefbestand of de oudklantenadministratie. Dat is dan een probleem, want ook daar moet ik uit worden verwijderd.

In principe. Want: het doel van een backup is te zorgen dat een bedrijf weer verder kan na een catastrofe, en dat is gewoon een legitiem eigen belang onder de AVG (artikel 6 sub f) waarbij je de inhoud van de backup nodig hebt. Ook die verouderde, achterhaalde informatie over die exklant die vergeten wilde worden. Backups zijn niet ontworpen of bedoeld om individuele bestanden uit weg te halen.

Problemen ontstaan als na het herstellen van de backup die personen weer terug opduiken in de verzendlijst. Maar dat hoort niet te gebeuren. Als je een backup terugzet, lijkt het mij dat je daarmee terugkomt bij de huidige situatie. Mogelijk een dag of wat terug, maar verder niet. De bedoeling van een backup is immers terug te komen bij waar je was, zodat je weer door kunt.

Daarmee komen bij het restoren weliswaar verouderde gegevens terug, maar ook alle oude afmeldingen. Heb je dus zo’n backupprocedure, dan is er niets aan de hand. De restore zorgt er voor dat óók de afmeldingen weer gerestored worden. Althans, dat zou moeten om een AVG compliant backup strategie te hebben.

Dus nee, je hoeft je backups niet op te schonen – mits je maar zeker weet dat het terugzetten van een backup leidt tot herstel in de toestand van zo kort mogelijk voor de catastrofe. Komt je backupstrategie neer op “ik kopieer alles naar een externe disk en daarvan zet ik alles terug bij een storing” dan heb je een probleem.

Arnoud

Val je als privepersoon met een forum ook onder de AVG?

Geplaatst op in Privacy, 24 reacties

Een lezer vroeg me:

Er is nogal wat onduidelijkheid over de toepassing van de AVG op fora op het internet, die worden gerund door privépersonen. Is de AVG inderdaad beperkt tot bedrijven en organisaties of geldt deze ook als men een forum runt, zonder een organisatie (vereniging etc) te zijn?

De AVG geldt ook voor privépersonen die een forum runnen. De AVG zegt nergens dat zij alleen geldt voor bedrijven en instellingen. Wel is er een uitzondering voor privépersonen die voor strikt eigen huishoudelijk gebruik persoonsgegevens verwerken, maar die is heel beperkt en geldt niet wanneer je een forum in de openbaarheid van internet aanbiedt.

Vanuit de bedoeling van de AVG is dit ook logisch: het gaat erom te zorgen dat persoonlijke informatie alleen netjes en veilig wordt gebruikt. Op een forum kunnen dingen misgaan (van datalekken tot smaad) en of daar nu een privépersoon of een bedrijf met 2 miljoen jaaromzet achter zit, maakt voor de impact van zo’n fout niet uit. Daarom moeten beiden onder de AVG vallen.

Natuurlijk zal het niet meevallen voor een privépersoon alleen om een forum geheel aan de AVG te laten voldoen. Je host dat dan vaak bij een groot bedrijf tegen minimale prijzen (of zelfs gratis), en je hebt daardoor weinig rechten. Bovendien is toezicht houden, laat staan ze aanspreken op fouten onder de AVG zo goed als onmogelijk. Je hebt het als particulier al druk genoeg met je forumgebruikers onder de duim houden, met al hun klachten, vergeetverzoeken en waarschuwingen over vermeende datalekken.

Toch ontslaat dat je niet van je plicht om aan de AVG te voldoen. De wet is de wet, en een kleintje in zijn eentje moet aan precies dezelfde regels voldoen als een miljardenbedrijf. En om diezelfde reden kun je als privépersoon beboet worden als je de AVG overtreedt. Het is dan een schrale troost dat de AVG zegt (overweging 148) dat

Indien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, kan in plaats van een geldboete worden gekozen voor een berisping.

Ik kan me in de praktijk echter niet voorstellen dat je snel de AP achter je aan krijgt als particulier, in ieder geval niet dat ze méér doen dan een sommatie om bepaalde dingen te stoppen. Tenzij je het echt heel bont maakt of de indruk wekt dat je opzettelijk de wet zit te negeren op punten waarvan iedereen weet hoe het geregeld is.

Arnoud

Geldt het vergeetrecht onder de AVG ook bij forumdiscussies?

Geplaatst op in Uitingsvrijheid, 30 reacties

Een lezer vroeg me:

Ik beheer een relatief groot discussieforum. Moet ik straks onder de AVG van iedereen die dat vraagt zijn berichten weghalen onder het vergeetrecht? Dan houd ik straks geen historie meer over!

Het klopt dat je als aanbieder van internetdiensten al snel te maken krijgt met de AVG. Heel vaak werk je immers met persoonsgegevens, informatie die tot personen te herleiden is. Namen of e-mailadressen, maar ook IP-adressen en cookies met unieke nummers zijn persoonsgegevens. Als die informatie achterhaald of irrelevant is, dan moet deze op verzoek weg.

Dit geldt dan net zo goed voor online forums. Punt is wel dat een bericht dat mensen posten (net als een reactie op deze blog) an sich óók persoonsgegevens zijn, omdat de berichten van iemand zijn en daarmee over die iemand gaan. Dan zou die iemand dus ook bij een inmiddels compleet dode discussie of stokoud bericht kunnen eisen dat het wordt weggehaald.

Echter, specifiek bij forums loop je dan tegen een probleem aan dat daarmee de discussie toch een stuk verstoord wordt, of het archief niet meer volledig. Dat is een probleem, want bij zulke situaties komt dan de vrijheid van meningsuiting in het gedrang. Mensen moeten kunnen lezen wat in het verleden is gezegd, en de privacy mag daar niet als een 1984-bulldozer doorheen rauzen.

Dit probleem werd bij invoering van de AVG al onderkend, en er staat dan ook bij het vergeetrecht dat het niet van toepassing is wanneer de verwerking (de publicatie dus) noodzakelijk is voor de uitoefening van het grondrecht van de uitingsvrijheid (artikel 17 lid 3 AVG). Daarmee kan een forumbeheerder dus in principe het weghalen van berichten voorkomen. Een profiel of registratie van een gebruiker valt buiten dat grondrecht en moet dus wél worden weggehaald op verzoek.

In Nederland komt er naast de AVG de zogeheten Uitvoeringswet AVG, met daarin een aantal belangwekkende uitzonderingen bij “journalistieke doeleinden of academische, artistieke of literaire uitdrukkingsvormen”. Alle rechten die je normaal hebt, zoals inzage, correctie en verwijdering, gelden bij deze uitingsvormen niet. Daarmee kun je als forum dus ook andere verzoeken pareren, althans voor zover het gaat om persoonsgegevens die als journalistiek of literair te duiden zijn. Dat is wat mij betreft beperkt tot de postings of reacties zelf. Zaken als iemands profiel of interesses vallen daar buiten.

Arnoud

Google moet berichten over afgesloten strafzaken vergeten

Geplaatst op in Privacy, Uitingsvrijheid, 25 reacties

Google moet een belastend zoekresultaat over een ontuchtpleger uit Doetinchem uit de zoekmachine verwijderen, las ik in Tubantia. Gauw het vonnis erbij gepakt: Google moet inderdaad uit haar zoekresultaten (bij Googelen op ’s mans naam) een Facebookpagina weglaten omdat deze vertelt over de strafrechtszaak, met naam en toenaam (en foto) van de man. Omdat het hier gaat om strafrechtelijke gegevens, is het niet toegestaan deze te verwerken.

De uitspraak is een van de weinige in Nederland waarin Google zoekresultaten moet opschonen. Meestal wint de zoekmachine, en dat is vrij logisch: de lat uit het Europese vergeetrechtarrest is vrij hoog. Het moet gaan om verouderde informatie die niet meer relevant is en ook nog eens beschamend. Wanneer het gaat om zaken met enige nieuws- of actualiteitswaarde, wordt daar eigenlijk nooit aan voldaan.

Nu hebben we in vrij korte tijd twee zaken gehad (hier de andere) waarin strafrechtelijke informatie centraal staat, en de rechter vrij simpel is: weg ermee. En zuiver juridisch gezien lijkt dat te kloppen. Strafrechtelijke persoonsgegevens vallen onder dezelfde categorie als bijvoorbeeld medische gegevens, en mogen dus niet zonder toestemming of een paar hier niet relevante uitzonderingen worden ‘verwerkt’ – een begrip waar Google ook onder valt.

Mogen journalisten dan ook niet over strafzaken schrijven, zou je denken. Ja, die mogen dat wel: de privacywet kent een uitzondering op dat verbod wanneer de verwerking voor uitsluitend journalistieke of literaire doeleinden plaatsvindt (art. 3 Wbp). Eerder dit jaar mocht strafrechtelijke berichtgeving gewoon blijven staan om die reden.

Alleen: Google handelt niet journalistiek, zo bepaalde het Hof van Justitie in dat vergeetrechtarrest. Veel motivatie kon ik er niet voor vinden, anders dan “het is niet hetzelfde” en “de resultaten in een zoekmachine hebben meer impact en verspreiding dan een artikel van een webredacteur”. Maar het is het geldend recht, en dus geldt voor Google een totaalverbod tot tonen van strafrechtelijke feiten over personen.

Onder de Privacyverordening die volgend jaar in werking treedt (komt ie weer met dat boek), wordt dit niet anders. Ook daar zijn strafrechtelijke persoonsgegevens beschermd, zelfs nog strenger dan de medische en andere bijzondere persoonsgegevens. Weliswaar geldt ook daar een uitzondering voor “academische, artistieke of literaire uitdrukkingsvormen”, maar daar zal Google nog steeds geen beroep op kunnen doen.

Ik moet zeggen dat ik hier toch wel een beetje moeite mee heb. Ik snap ergens het argument wel van “je straf uitgediend hebben en weer een schone lei krijgen”, maar als er geen énkele ruimte is voor een belangenafweging met de vrijheid van meningsuiting, dan gaat me dat echt te ver. Het kan toch niet de bedoeling zijn dat strafrechtjournalistiek een categorische ban in Google moet krijgen?

Arnoud