Eerder dit jaar bepleitte Google mondiale privacyregels. Want nu ontmoet het bedrijf overal andere regels, dat wil zeggen nauwelijks regels. Niet dat het Google zal spijten. Ze verzamelt persoonlijke data als geen ander. En liegt daarbij dat de dataopslag noodzakelijk is vanwege wettelijke vereisten.
In 2008 mogen we de grote aanvaring tegemoet zien tussen de Europese privacywaakhond EDPS en Google over dataopslag. Immers, Google suggereert met haar 18 maanden opslag van onze zoekdata dat ze dit doet in lijn met de Europese richtlijn voor dataretentie. Maar die verplicht zoekdiensten tot niets.
Zou het College Bescherming Persoonsgegevens met haar richtsnoeren 'Publicatie persoonsgegevens op internet', gepubliceerd in de Staatscourant deze week, een voorschot willen nemen op die confrontatie?
IP-nummer is persoonsgegeven
De bestrijding van Google in Europa begon immers ook in Nederland, door toedoen van dat CBP. De ironie wil dat in Brussel de Nederlander Peter Hustinx de scepter zwaait ovcer privacyclub EDPS die ook inbreng heeft in het onderzoek naar zoekdiensten en privacy. Als baas van het CBP liet hij het er lelijk bij zitten met de privacy en internet.
Zijn opvolger bij het CBP Jacob Kohnstamm maakt dat niet alleen goed, hij voedt Hustinx ook met informatie. En met beleidsregels voor privacy die van Europees belang kunnen worden, bijvoorbeeld met het vaststellen dat een IP-nummer een persoonsgegeven is. Google's databank is erop gebaseerd.
De regels zijn vergaand. Dat is niet op de laatste plaats te danken aan de door het CBP aangetrokken Sjoera Nas. voorheen een strijder voor privacy bij Xs4all en Bits of Freedom bepaalde ineens voor een belangrijk deel de regels. En protesten van populisten in het parlement blijven uit. Ze hebben geen benul, kennelijk.
Tegen 'naming'en 'shaming'
Zo bindt het CBP de strijd aan met 'naming and shaming', het te schande maken van personen die in de ogen van een bepaalde groepering niet deugen, en/of waarvoor gewaarschuwd moet worden. De tendens is toch naar het noemen van namen en toenamen, ofwel: veiligheid gaat voor privacy. Recent nog bepleitte de PVV een online register van veroordeelden.
Nu zijn er dus vergaande privacyregels. Kent de wereld die elders? We weten het niet. Eigenaardig is dat een Amerikaans overzicht uit 2003 de nadruk legt op bescherming tegen overheidswetten in het kader van terrorismebestrijding. Ook het CBP is daarmee in de weer. Maar met de internetregels gaat het vooral om persoonlijke data, zoals profielen en foto's etc. Dat is de tijdgeest wellicht, dat zal de tijd leren.
De grootste uitdaging is handhaving. Het CBP heeft immers niet de mankracht om daarop toe te zien. Het hoopt met het aanbieden van middelen om zelf actie te ondernemen, bijvoorbeeld verzoeken om inzage en correctie en verwijdering uit de Google cache. Lukt dat niet, dan kan de internetter klagen bij het CBP.
De achilleshiel van dit privacyverhaal vormt uiteraard het grensoverschrijdend karakter van internet. Het laten verwijderen van je persoonsgegevens op internet houdt ongeveer op aan de grens.
Grote schendingen eerst
De vraag is of de 'Richtsnoeren' binnen onze grenzen al te handhaven zullen zijn. Of elke 'buurmanbashing' van het web verdwijnen zal. Nee dus. Daar kun je tegenin brengen dat dagelijks ook nog miljoenen mensen de maximum snelheid overtreden.
De relevante partijen die het CBP raadpleegde, zeiden in hun commentaar dat er een focus moet zijn op overtredingen door grote en/of professionele bedrijven en organisaties.
Daarbij zou het CBP zich moeten richten op die gevallen waarbij de impact van niet-naleving van de privacywet Wbp op internet het verst gaat: ernstige privacyinbreuken plaatsvinden of te verwachten, dat wil zeggen gevallen die individueel ver reiken qua 'kapot maken' van personen met persoonsdata erbij en inbreuken die veel burgers raken.
Meer in het bijzonder is gewezen op de noodzaak van:
Het CBP wil op de handhaving nu niet ingaan. De praktijk moet uitwijzen hoe effectief de regels zijn.
Kritiek en aanpassing
Het College bescherming persoonsgegevens (CBP) paste het concept aan na raadpleging van instituten en marktpartijen. De kritiek was niet groot. Kwalijk is volgens partijen dat het CBP zich beperkt tot het web, en andere vormen van communicatie via internet over het hoofd ziet.
Op de klacht dat de regels zo formeel zijn komt het CBP nog met een antwoord. Online komen binnenkort voorbeelden te staan van privacykwesties in de vorm van vraag en antwoord. En er komt in de loop van 2008 nog een voor iedereen goed te begrijpen uitleg in de vorm van een 'informatieblad Publicatie van persoonsgegevens op internet'. Die is bedoeld voor zowel voor websitehouders als internetters.
Justitie en parlement buitenspel
Ondermeer de Consumentenbond, de Internet Society Nederland, de ministeries van Economische Zaken en justitie, Ouders Online, Raad voor de Journalistiek, het Tilburg Institute for Law and Technology en VNO-NCW zijn gehoord over de privacyrichtsnoeren.
Het ministerie van Justitie had als enige niet gereageerd. Dat kun je curieus vinden. Het CBP gaat een eigen weg, ook niet gehinderd (?) door enige parlementaire inbreng.
De regels zijn uitgebreid met meer paragrafen over jongeren, profielsites en user generated content.
Want kritiek was er op gebrek aan extra aandacht voor jongeren en privacy. Er is gevraagd om meer voorbeelden over kinderen in de richtsnoeren; voor ouders die gegevens van hun kinderen online zetten; het publiceren van verzamelingen familie- en klassenfoto's; en over productiemaatschappijen die filmpjes van kinderen publiceren met toestemming van de ouders.
Het CBP heeft nu meer voorbeelden opgenomen met jongeren, en aandacht besteed aan nieuwe 'Web 2.0' diensten zoals Hyves.
Er staat nu in een toelichting: De aanbieders van profielsites zijn samen met de gebruikers medeverantwoordelijk voor de verwerking van persoonsgegevens op de betreffende website. De aanbieders van deze diensten moeten zich daarom houden aan de regels uit de Wbp.
Zo dienen ze gebruikers vooraf volledig te informeren over de beschikbaarheid van de profielen voor andere bezoekers van de site. Ze dienen geschikte beveiligingsmaatregelen te treffen, zoals het standaard afschermen van de profielen voor zoekmachines en alleen toegang te bieden aan vrienden van de gebruiker.
Ook dienen ze de mogelijkheid te bieden de profielen en elders op de site geplaatste informatie te verwijderen.
'Overregulering'
Veel reacties waren toegespitst op de onduidelijkheid over de verantwoordelijkheid van verschillende partijen. Wie is op welk punt aanspreekbaar bij privacyschending? Immers, er zijn websites die publiceren, personen die over en met elkaar berichten en aanbieders van dat soort 'participatieve' diensten.
Aanbieders van toegang tot internet en van hosting en tijdelijke opslag vallen onder de e-commerce richtlijn. Ze zijn voor de wet een tussenpersoon die pas aansprakelijk is voor wetsovertreding nadat zij op de hoogte zijn gesteld van een overtreding. Moeten de aanbieders in het kader van de persoonsbescherming data ook verwijderen zodra ze van een privacyschending op de hoogte zijn gesteld?
Hiermee samen hangt kritiek dat de pretenties van het CBP te ver reiken. Er zou sprake zijn van 'overregulering'. Zo vinden sommigen de stelling dat een IP-adres per definitie wel een persoonsgegeven is, te absoluut.
Het CBP zegt hierover: Toepassing van de regels uit de Wbp (en de Privacyrichtlijn 95/46/EG ) leidt er in praktisch alle gevallen toe dat IP adressen door de betrokken partijen zullen moeten worden beschouwd als persoonsgegevens.
Journalisten en weblogs
Er zijn drie soorten gegevensgebruik op internet waarop de Wbp niet of slechts gedeeltelijk van toepassing is. Dat zijn:
Verschillende partijen verwachten problemen door onduidelijkheid over de uitzondering voor gebruik van persoonsdata voor uitsluitend journalistieke doeleinden. Want waar liggen de grenzen van journalistiek. En geldt het ook voor webloggers?
Het CBP vindt echter dat, in samenspraak met de Raad voor de Journalistiek, afdoende is uitgemaakt wie zich wel kan beroepen op de uitzondering voor journalistiek en wie niet.
De criteria:
Als alle vragen met 'ja' te beantwoorden zijn, is er sprake van journalistiek. Dan nog moet het publiceren van persoonlijke gegevens noodzakelijk zijn voor een artikel of reportage. Daar buigt de Raad voor de Journalistiek zich al regelmatig over.
Het is overigens voor het eerst dat er in Nederland juridische regels zijn wie er nu wel en wie er niet journalisten zijn. Daar zijn lang niet alle journalisten het mee eens. Het is immers in principe een vrij beroep.
Een voorbeeld van het CBP: Een minister vertelt op televisie over zijn privéleven. Tal van persoonlijke, niet-journalistieke weblogs besteden aandacht aan zijn uitspraken en allerlei mensen geven daar weer commentaar op.
In dit geval, omdat de bewindsman zijn uitlatingen in het openbaar heeft gedaan, mag aangenomen worden dat hij op de hoogte is van het feit dat hierover in het openbaar verder wordt gediscussieerd, ook op internet. De houders van de weblogs hoeven de minister daarom niet apart te informeren dat ze persoonsgegevens over hem verwerken.
Een (niet-journalistieke) verantwoordelijke die de aanleiding echter te baat neemt om allerlei andere privé-informatie over de minister op internet te publiceren, inclusief bijvoorbeeld foto's van zijn familie, dient de minister wel degelijk te informeren.
Of een dergelijke publicatie überhaupt te rechtvaardigen valt, is zeer de vraag, gezien de mogelijke gevolgen voor de familieleden.
Belangrijkste principes
De richtsnoeren gaan ervan uit dat internet geen uitzondering vormt voor privacy. Op internet moeten persoonsgegevens op dezelfde zorgvuldige wijze worden verwerkt als in de offline wereld.
Dat zal tot gevolg hebben dat ook online de regels massaal met voeten getreden zullen worden. Immers, de Wbp gaat uit van een meldingsplicht door degene die persoonsdata bijhoudt. Je zou zeggen: dat kan een subject van publicatie zelf toch zien online? Maar nee, officeel moet je het melden. <
Naar verwachting zal het vooral gaan draaien om regel 9: het verwijderen van data indien een persoon daarom vraagt, indien die data voor het doeleinde onvolledig of niet ter zake dienend zijn. Wie maakt dat uit? En regel 10 over onrechtmatig gepubliceerde persoonsgegevens, in bijvoorbeeld/vooral reacties van bezoekers.
Regels voorafgaand aan publicatie:
1. Stel vast of de publicatie een legitiem doeleinde dient en of dat doel verenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verkregen.
2. Beschik over een rechtvaardigingsgrond voor publicatie. De belangrijkste rechtvaardiging voor publicatie is toestemming van de betrokkene. Als het verkrijgen van die toestemming niet mogelijk is, dienen verantwoordelijken te kunnen onderbouwen dat publicatie is toegestaan op grond van een van de vijf andere rechtvaardigingsgronden. Dit zijn:
Bij deze vijf rechtvaardigingsgronden moet telkens de noodzaak worden vastgesteld om de gekozen persoonsgegevens op internet te publiceren.
3. Publiceer geen bijzondere persoonsgegevens, zoals over godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksueel leven, lidmaatschap van een vakvereniging, strafrechtelijke gegevens en gegevens over onrechtmatig of hinderlijk gedrag.
Publicatie van bijzondere persoonsgegevens op internet is alleen toegestaan als de betrokkene er uitdrukkelijk toestemming voor heeft gegeven of de gegevens bewust zelf openbaar heeft gemaakt.
Tijdens publicatie:
4. Leef de informatieplicht na: Verantwoordelijken dienen betrokkenen actief te informeren over het doel en de opzet van de publicatie.
5. Vermeld duidelijk uw eigen identiteit, toegankelijk voor iedere bezoeker van de publicatie.
6. Zorg ervoor dat u persoonsgegevens niet langer bewaart en ter beschikking stelt dan strikt noodzakelijk.
7. Waarborg actief de kwaliteit en juistheid van de gepubliceerde persoonsgegevens.
8. Tref beveiligingsmaatregelen tegen onbevoegd gebruik.
Volgend op publicatie:
9. Verwijder gegevens als de betrokkene zijn toestemming voor publicatie intrekt. Voldoe tevens aan verzoeken van betrokkenen tot inzage en aan verzoeken tot verwijdering, verbetering, aanvulling of afscherming van persoonsgegevens als die feitelijk onjuist zijn, voor het doeleinde onvolledig of niet ter zake dienend, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.
10. Verwijder onrechtmatig gepubliceerde persoonsgegevens. Dit speelt vooral bij publicaties met een reactiemogelijkheid voor bezoekers.
Sancties
Verantwoordelijken die zich niet houden aan de Wbp kunnen door betrokkenen worden gedaagd, zowel op grond van de Wbp als op grond van het bestuursrecht en het civiele recht.
Daarnaast kan het CBP zelf ingrijpen, variërend van het aanbieden van bemiddeling tot het instellen van een ambtshalve onderzoek en het opleggen van een dwangsom.