Social networks op gespannen voet met privacy

Social networks zoals LinkedIN en Facebook zijn de afgelopen tijd diverse malen in het nieuws gekomen in verband met het gebruik van persoonsgegevens.

Zo bleek dat Facebook met cookies kan zien waar en hoe lang Facebook-gebruikers op andere websites zitten, ook als ze niet ingelogd zijn. Facebook krijgt kennelijk ook nog eens een berichtje als iemand op een website komt met een zogenaamde ‘Like’ knop (waarmee een bepaalde voorkeur kan worden uitgedrukt), zelfs als de gebruiker de ‘Like’ knop niet eens gebruikt. Dit stelt Facebook nog beter in staat om profielen van gebruikers te maken.

Daarnaast heeft Facebook het zogenaamde ‘frictionless sharing’ingevoerd waarmee uw online activiteiten kunnen worden gedeeld met uw online vrienden. Alleen gebeurt dat delen van informatie ongevraagd en vaak zonder dat de gebruiker dat in de gaten heeft.

Deze zomer werd bekend dat LinkedIN stilzwijgend haar privacyvoorwaarden had aangepast. Met de nieuwe regels had LinkedIN voortaan nota bene standaard het recht om naam en foto van LinkedIN-gebruikers’ op te nemen in advertenties. De gebruiker moest dus voortaan zelf het vinkje uitzetten op de profielpagina als hij of zij daar niet van gediend was. Dat is de wereld op zijn kop en is intussen alweer teruggedraaid. Toch is het goed uw eigen instellingen eens te controleren.

Deze voorbeelden laten zien dat social networks op de rand van het toelaatbare acteren bij bescherming van de persoonlijke levenssfeer van hun gebruikers. Dat is ook niet onlogisch. Het gebruik van persoonsgegevens voor diverse commerciële doeleinden is een van de belangrijkste assets van de bedrijven achter de social networks.

Toestemming

Mogen de social networks de persoonsgegevens eigenlijk wel gebruiken? In principe is voor elk gebruik van persoonsgegevens de toestemming nodig. Dat is een van de belangrijkste uitgangspunten die gelden op grond van de Nederlandse Wet bescherming persoonsgegevens en Europese privacyregelgeving.

Maar wat is ‘toestemming’? Zeker in een digitale omgeving is dat niet altijd even duidelijk. Is sprake van (impliciete) toestemming als u naar een website gaat waarop in de gebruikersvoorwaarden (‘terms of use’) staat dat u toestemming geeft voor gebruik van uw persoonsgegevens? Is het voldoende als u zich niet uitdrukkelijk verzet tegen het gebruik van uw naam en foto zoals LinkedINdoet?

Op verzoek van de Europese Commissie is een werkgroep (de”Artikel 29 werkgroep”) in juli 2011 met een aantal aanbevelingen en verduidelijkingen gekomen:

  • toestemming moet duidelijk en expliciet zijn (‘unambiguous’);
  • op een kwalitatieve en toegankelijke wijze moet inzichtelijk worden gemaakt waarvoor toestemming wordt gevraagd.

Het is dus uitdrukkelijk niet toegestaan om impliciete toestemming aan te nemen, zoals LinkedIN deed met het gebruik van de naam en de foto. Degene die het betreft zal de toestemming uitdrukkelijk moeten aangeven, bijvoorbeeld door het actief aanvinken van een button waarmee ook volstrekt duidelijk is waarvoor toestemming wordt gegeven.

Het valt te verwachten dat de Europese wetgever de eisen aan toestemming zal aanscherpen.

Cookies

Overigens gelden er bijzondere regels voor het volgen van internetgebruik met cookies. Daaraan zullen ook de social networkszich moeten houden. De Tweede Kamer heeft onlangs ingestemd met aanpassing van de Nederlandse Telecommunicatiewet; het moet nog wel door de Eerste Kamer. De aanpassingen gaan verder dan de Europese regels. Alleen met voorafgaande expliciete toestemming (‘opt in’) mogen websites, en dus ook social networks, straks via cookies surfgedrag en persoonlijke voorkeuren bijhouden. Impliciete toestemming kan dan dus niet meer worden afgeleid uit de browserinstellingen van de internetgebruiker, zoals nu vaak gebeurt. Een gebruiker weet immers vaak niet wat er precies in zijn instellingen staat. Daarnaast is het in veel gevallen ook behoorlijk complex om je instellingen zelf te wijzigen, zoals bijvoorbeeld in het geval van het eerder genoemde ‘frictionlesssharing’. Dat laatste zit bij Facebook gewoon standaard in de instellingen van de gebruikers.

De nieuwe regels roepen – zoals altijd – weer nieuwe vragen op.Wat wordt er bijvoorbeeld onder het begrip ‘cookies’ begrepen? Bepaalde cookies, zogenaamde session cookies, helpen bij het goed functioneren van het internet. De nieuwe regelgeving zou het functioneren van het internet lastiger kunnen maken. Daarnaast zijner ook de nodige vragen over de praktische uitvoerbaarheid van het toestemmingsvereiste. Er gaan stemmen op om een soort zelfregulering en de introductie van een cookie-icoon te introduceren om internetgebruikers te informeren over het plaatsen van reclame cookies en hen de mogelijkheid te bieden zich te registreren in een volg-me-niet register. Maar of dat voldoet aan de wettelijke vereisten, valt te bezien. Het is dan immers toch weer ‘opt out’.

Tot slot

Social networks hebben zich uiteraard te houden aan de privacywetgeving. De voorbeelden laten zien dat bedrijven als Facebook en LinkedIN het niet altijd zo nauw nemen met het vereiste van het verkrijgen van expliciete toestemming van haar gebruikers.De noodzaak om daar verandering in te brengen zal echter alleen maar groter worden als de verwachte aanscherping van het toestemmingsvereiste, op grond van de aanbevelingen van de artikel29 werkgroep en de voorgestelde cookiewetgeving, wordt ingevoerd.

De Electronic Frontier Foundation, een Amerikaanse organisatie die zich toelegt op de controle van burgerrechten op internet, publiceerde in 2010 al eens een ‘bill of privacy rights‘ voor de gebruikers van sociale netwerken:

  • recht op goede informatie over het gebruik van persoonsgegevens  door het social network
  • het recht op controle over de manier waarop het social network persoonsgegevens gebruikt; en
  • het recht om het netwerk te verlaten met de mogelijkheid dat alle persoonsgegevens worden vernietigd.

Die uitgangspunten klinken redelijk en sluiten ook min of meer aan bij de privacy wet- en regelgeving.

De regels voor toestemming gelden uiteraard ook voor uw bedrijf.Aandacht voor de volgende punten is van belang:

  • check hoe uw bedrijf omgaat met cookies, toestemming en persoonsgegevens;
  • wat doet uw bedrijf met persoonsgegevens?
  • sluit uw privacy statement nog aan bij bestaande wet- en regelgeving?
  • check uw profielinstellingen in social networks. Bij Facebooken LinkedIN kunt u onder ‘settings’ of via de privacystatement de instellingen controleren en aanpassen.

 

publicatiedatum: dinsdag 18 oktober 2011