U staat op een zwarte lijst, mag dat?

| AE 9772 | Privacy | 37 reacties

Incassokantoren hebben stilletjes grote zwarte lijsten aangelegd van bijna iedereen die in Nederland wel eens een rekening vergat te betalen. Dat meldde De Groene) vorige week (dank, vele tipgevers!). Talloze energiebedrijven, webwinkels en telefoonmaatschappijen checken de betaalmoraal van hun klanten – geheel in strijd met de wet. Wat dus al die tipgevers mij deed mailen: hoe kan het dat men daarmee wegkomt, en wat kun je doen als individu als je terecht of onterecht op zo’n lijst staat?

Iedereen kent het BKR uit Tiel, maar er blijken dus veel meer bedrijven te zijn die gegevens verzamelen over ons betaalgedrag:

Databedrijf EDR bijvoorbeeld heeft gegevens van 7,5 miljoen mensen. Het bedrijf Lindorff beschikt over de vuile was van 10,3 miljoen consumenten en Focum is kampioen met 10,5 miljoen Nederlanders, oftewel bijna iedere volwassene met een eigen portemonnee. Bedrijven analyseren de herkomst van je achternaam en hoeveel je verdient. Ze registreren openstaande rekeningen die je een keer over het hoofd hebt gezien. En ze knopen daar subjectieve conclusies aan vast die zeer nadelig kunnen zijn.

Juridisch kan ik daar weinig over zeggen dat niet al door Jan Kabel en Arnold Roosendaal is gezegd: dit mag gewoon niet, punt. Je moet worden geïnformeerd (actief) over waar je persoonsgegevens heen gaan, en wat die ander daarmee gaat doen. Daarnaast heb je recht op inzage in je dossier, en onder de AVG straks ook recht op een kopie daarvan plus een uitleg over de algoritmes die bepalen waarom men je een wanbetaler noemt.

Frustrerend dat het niet gebeurt, en dat hier geen handhaving op plaatsvindt. Dit is toch een grootschalige misstand waar mensen écht last van hebben. Het is een wat flauw argument om dan te zeggen, vanaf de nieuwe wet zal er opnieuw naar gedragscodes en naleving worden gekeken. Hoewel ik het wel begrijp, het schiet weinig op om een uitspraak onder de Wbp te krijgen terwijl we over minder dan 9 maanden een nieuwe wet krijgen met geheel nieuwe kaders.

Praktisch gezien weet ik niet hoe hier dan beweging in te krijgen, als de Autoriteit Persoonsgegevens het niet oppakt. Het enige dat ik kan bedenken, is massaal gebruik maken van je recht op inzage, en vanaf 25 mei ook staan op uitleg over een en ander.

Helaas staat er nog steeds geen standaardbedrag aan schadevergoeding op het niet naleven van zulke rechten. Ik blijf peinzen op een manier om een uitspraak daarover te forceren. Het blijft raar dat bij inbreuk op ‘gewone’ rechten (zoals auteursrecht) de rechter eigenlijk altijd aanneemt dat er schade is, en dat we bij privacy-inbreuk eigenlijk standaard zeggen dat er geen waardeerbare schade is. Een massaclaim dan maar, iedereen claimt een symbolische euro schade bij een stichting en dan namens tienduizend mensen naar de kantonrechter?

Arnoud

Mag je nog wel een zwarte lijst voor bedrijven aanleggen?

| AE 9665 | Meningsuiting, Webwinkels | 7 reacties

Een lezer vroeg me:

Ik begrijp dat een zwarte lijst voor personen erg lastig is om aan te leggen, vanwege privacywetgeving. Maar nu las ik dat privacy niet geldt voor bedrijven, dus klopt het dan dat ik wel voor mijn b2b webshops een zwarte lijst mag hanteren van zakelijke klanten met wie ik geen zaken wil doen?

Een zwarte lijst voor webwinkels ligt erg gevoelig, onder de privacywetgeving. Het belang voor winkeliers is duidelijk, maar het kan voor betrokken personen bijzonder vervelende gevolgen hebben. Zeker omdat mensen er onterecht op kunnen belanden. Wat nu als ik verhuis naar een plek waar een wanbetaler woonde, bijvoorbeeld. Of omdat ik erop kom omdat de winkelier me een vervelend figuur vindt dat maar blijft zeuren over garantie.

Kort gezegd komen de eisen vanuit privacywetgeving over zwarte lijsten neer op zorgvuldigheidseisen. Zo moet vooraf aangekondigd zijn dat deze gegevens verwerkt worden. Een winkel moet dus op een of andere manier kenbaar maken dat men een zwarte lijst beheert. Ook moeten mensen in staat zijn om na te gaan dat zij op deze lijst staan, en hebben zij het recht om eraf gehaald te worden als blijkt dat hun vermelding onterecht was. De toezichthouder heeft een checklist zwarte lijsten gepubliceerd. Ook moeten dergelijke lijsten worden gemeld.

Privacy geldt alleen voor mensen, en dus in principe niet voor ondernemingen of verenigingen/stichtingen. Hooguit als het ook gaat om privégegevens, zoals de 06 van de directeur van een bv of het persoonlijk mailadres van de voorzitter. Dus in principe is er weinig tegen zo’n zwarte lijst te doen.

In de praktijk zul je wel aan hoge eisen van zorgvuldigheid moeten voldoen om te voorkomen dat je smaadclaims tegen je krijgt, want een bedrijf kun je wel besmaden door ze ten onrechte en lichtvaardig op een zwarte lijst te zetten. Ik denk dat je in de praktijk dan diezelfde checklist zult moeten volgen, afgezien van de melding bij de toezichthouder zelf.

Arnoud

Mag een browserextensie je waarschuwen voor oplichters?

| AE 8707 | Meningsuiting, Software | 20 reacties

chrome-zwartelijstAfgelopen maand heb ik in de avonduren een chrome extensie ontwikkeld die op elke webpagina zoekt naar IBAN, telefoonnummer, e-mailadressen, las ik (dank, tipgever) bij Gathering of Tweakers. De poster was slachtoffer van oplichting geworden en ontdekte dat hij dit had kunnen voorkomen door even dergelijke gegevens door Google te halen. Vandaar de extensie: de gegevens worden vergeleken met een blacklist van 10.000+ fraudeurs (die elke nacht wordt bijgewerkt) en je krijgt een waarschuwing. Oké, komt ie: mag dat?

Allereerst de vraag: hoe komt deze extensie aan zijn gegevens? Als ik het goed begrijp, dan scant hij webpagina’s op e-mailadressen, bankrekeningen en adressen en matcht hij die tegen een lijst. Zo’n extensie kan die gegevens makkelijk uitlezen, en een lijst binnenhalen met brongegevens is ook niet heel moeilijk. Ik zie alleen niet wat de beheerders van die lijsten daarvan vinden. Dat zóu een probleem met databankrecht kunnen zijn, want op lijsten met verdachte gegevens als deze kan databankrecht zitten als de beheerder er substantieel in geïnvesteerd heeft. Dus even navragen (en een bronvermelding) lijkt me wel verstandig.

Belangrijker is echter de vraag, mag dat wel van de Wbp? Want hoe logisch het ook klinkt dat je nu gewoon een Google-opdracht in een extensie stopt, de Wbp ziet zulke dingen altijd anders. Als jij zelf gegevens gaat verwerken, dan moet jij dat verantwoorden en “Google doet het ook” is géén verantwoording. Waarom heb jij het recht die gegevens zo te ontsluiten?

Meer specifiek ziet de toezichthouder zwarte lijsten als deze als een soort verwerking waar voorafgaand verlof voor nodig is, vanwege de impact die zulke lijsten kunnen hebben. Je zult eens door een paar boze klanten als oplichter worden aangemerkt en dan levenslang via zulke extensies worden gehinderd.

Oh ja, en ik lees nog dat mensen dan bezwaar kunnen maken bij de extensie-beheerder: haal mij van de lijst. Maar het is zeker geen automatisme dat mensen op grond van de Wbp bezwaar kunnen maken tegen opname op zo’n lijst. Ik zie zo’n openbare lijst als een stukje vrijheid van meningsuiting, mensen willen waarschuwen voor oplichting is een legitiem doel en de Wbp mag daar niet zomaar doorheen fietsen.

Dus nou ja, mag het? In principe niet, want een zwarte lijst vereist toestemming. Maar als je de lijst kunt verantwoorden als aan de kaak stellen van misstanden, dan mag het denk ik wél.

Belangrijkste zal zijn dat je de lijst actueel en juist houdt, want wie achterhaalde gegevens als zwarte lijst inzet, heeft een probleem.

Arnoud

Kun je een zwartelijstbeheerder tegenhouden met een beroep op de Wbp?

| AE 7541 | Meningsuiting, Privacy | 3 reacties

De Block Bot is in de juridische problemen gekomen, las ik onlangs. Blogger Matthew Hopkins, zelfbenoemd “Witchfinder General” had een claim ingediend bij de beheerder van deze Twitter zwarte lijst, waar je op komt als de beheerder je een troll vindt, of een vrouwonvriendelijke man of nog wat niet bepaald vleiende kwalificaties. Het op smaad… Lees verder

Mag een advertentieblokker een betaalde whitelist hebben?

| AE 5974 | Internetrecht | 12 reacties

Intrigerend. Advertentieblokker AdBlock Plus werkt met een betaalde whitelist: bedrijven die liever niet meteen geadvertentieblokkeerd willen worden, kunnen het bedrijf achter Adblock Plus betalen om standaard op een witte lijst te komen. Natuurlijk kan de gebruiker alsnog die bedrijven of hun advertenties blokkeren maar dan moet je wel moeite gaan doen, en als het gaat… Lees verder

Zwartelijstweek: Hoe mogen websitevoorwaarden worden gewijzigd?

| AE 2634 | Contracten | 17 reacties

Vanwege mijn vakantie deze week geen gewone blogs, maar een zomerserie die ik ‘Zwartelijstweek’ heb gedoopt. Welke websitevoorwaarden zouden moeten worden verboden? Of hoe ver zouden website-exploitanten nog mogen gaan bij een site waar gebruikers ook een bijdrage leveren? In de items tot nu toe is het al een paar keer aan de orde gekomen:… Lees verder

Zwartelijstweek: Wat mogen websites met je persoonlijke informatie?

| AE 2637 | Contracten | 13 reacties

Vanwege mijn vakantie deze week geen gewone blogs, maar een zomerserie die ik ‘Zwartelijstweek’ heb gedoopt. Welke websitevoorwaarden zouden moeten worden verboden? Of hoe ver zouden website-exploitanten nog mogen gaan bij een site waar gebruikers ook een bijdrage leveren? Privacy op sociale media en websites is een hot topic, maar tegelijkertijd een verschrikkelijk lastig onderwerp…. Lees verder

Zwartelijstweek: Welke garanties moet een website bieden?

| AE 2635 | Contracten | 18 reacties

Vanwege mijn vakantie deze week geen gewone blogs, maar een zomerserie die ik ‘Zwartelijstweek’ heb gedoopt. Welke websitevoorwaarden zouden moeten worden verboden? Of hoe ver zouden website-exploitanten nog mogen gaan bij een site waar gebruikers ook een bijdrage leveren? Een standaardbepaling in websitevoorwaarden gaat over garanties. Of beter gezegd, de totale afwezigheid daarvan. Een websitebeheerder… Lees verder

Zwartelijstweek: Wanneer mag een website haar gebruikers verwijderen?

| AE 2633 | Contracten | 21 reacties

Vanwege mijn vakantie deze week geen gewone blogs, maar een zomerserie die ik ‘Zwartelijstweek’ heb gedoopt. Welke websitevoorwaarden zouden moeten worden verboden? Of hoe ver zouden website-exploitanten nog mogen gaan bij een site waar gebruikers ook een bijdrage leveren? Na gisteren de auteursrechten is een ander frequent voorkomende discussie de vraag of en wanneer je… Lees verder