Wie is deze Artikel 29 Werkgroep?
Een belangrijk deel van het privacyrecht is EU-breed geregeld in de privacyrichtlijn (Richtlijn 95/46/EG). De richtlijn verplicht alle EU-lidstaten om hun wetgeving in overeenstemming met die richtlijn te brengen.
In artikel 29 van de richtlijn is bepaald dat er een onafhankelijke en raadgevende groep is (de "Artikel 29 Werkgroep"). Lid van deze groep zijn in ieder geval leden van de toezichthoudende autoriteiten van alle lidstaten (de "privacywaakhonden") .
Karakter van de opinie: adviserend, maar wel van belang
In de richtlijn is expliciet bepaald dat alle werkzaamheden van de artikel 29 Werkgroep "raadgevend" van aard zijn. Dit betekent echter niet dat de opinies van dit overleg niet van belang zouden zijn.
De werkgroep bestaat grotendeels uit vertegenwoordigers van de nationale privacytoezichthouders.Deze toezichthouders nemen op nationaal niveau zeer waarschijnlijk hetzelfde standpunt in als ze op EU-niveau hebben gedaan in deze werkgroep. Het Nederlandse College Bescherming Persoonsgegevens (CBP) noemt de rol van deze werkgroep in het privacyrecht bovendien "belangrijk". Aardig detail is nog dat de voorzitter van het CBP, dhr. Jacob Kohnstamm, vice-voorzitter van de artikel 29 Werkgroep is.
Opvallende punten uit de opinie met enkele opmerkingen
In dit blogbericht zullen enkele opvallende punten uit de opinie kort worden aangestipt. Voor de volledige opinie verwijs ik naar het document zelf. Per punt zal ik enkele opmerkingen maken en daarbij verwijzen naar de Nederlandse Wet bescherming persoonsgegevens (WBP).
Gebruiker soms "verantwoordelijke"
Een gebruiker (naast de exploitant!) van een sociale netwerksite kan onder omstandigheden als "verantwoordelijke" worden aangemerkt. Er is sprake van deze status van verantwoordelijke bij:
- gebruik voor een organisatie voor commerciële, politieke of charitatieve doeleinden;
- het hebben van veel contacten (dit is een vermoeden);
- het openstellen van het profiel voor publieke toegang.
De verplichtingen van de WBP rusten op de "verantwoordelijke", zoals de meldingsplicht (artikel 27 WBP), de beveiligingsplicht (artikel 13 WBP) en de diverse informatieverplichtingen (artikel 33 en 34 WBP). Bovendien is de verantwoordelijke aanspreekpunt voor de rechten van de betrokkene, zoals het recht tot correctie van gegevens (artikel 35 en verder WBP). Uiteraard mag de verantwoordelijke persoonsgegeven alleen verwerking wanneer hiervoor een geldige grondslag bestaat (artikel 8 WBP); vermoedelijk kan deze zich alleen beroepen op toestemming (mits feitelijk verkregen!) onder sub a.
Dit is een aandachtspunt voor professionele gebruikers als recruiters op LinkedIn of bijvoorbeeld bedrijven met een "hyve" op Hyves. Verder geldt dat veel mensen, bewust of onbewust, hun profiel hebben opengezet voor de gehele buitenwereld. Of zij zich bewust zijn van de privacyrechtelijke consequenties hiervan waag ik te betwijfelen.
Standaardinstellingen profiel privacyvriendelijk
Aangezien gebruikers de instellingen van hun profiel volgens de Werkgroep toch bijna niet wijzigen, moeten de standaardinstellingen hiervan privacyvriendelijk zijn:
- een profiel moet standaard niet zichtbaar zijn voor de buitenwereld;
- een profiel moet standaard zelfs niet zichtbaar zijn voor de zoekmachine van het netwerk;
Deze eisen betekenen effectief dat de mogelijkheden voor het zoeken en vinden van andere personen op een sociaal netwerk behoorlijk beperkt worden.
Informatieverplichtingen nader ingevuld
Een verantwoordelijke moet aan degene wiens persoonsgegevens worden verwerkt vooraf melden wat de doeleinden van die verwerking zijn en moet "nadere informatie" verstrekken indien dat in de omstandigheden nodig is om zorgvuldigheid te waarborgen (artikel 33 WBP).
De Werkgroep heeft nu een invulling gegeven aan informatieverplichtingen waaraan exploitanten concreet moeten voldoen (niet limitatief):
- adequate waarschuwingen voor privacyrisico's bij plaatsen van informatie;
- herinneren van gebruikers dat plaatsen informatie mogelijk hun privacy schendt;
- erop wijzen dat plaatsen van afbeeldingen van of informatie over derden alleen met toestemming van die derden mag.
Uitnodigen van derden aan voorwaarden gebonden
Het versturen van uitnodigingen namens een gebruiker mag alleen wanneer:
- gebruiker of ontvanger hiervoor niet beloond worden;
- de exploitant de ontvangers van het bericht niet selecteert;
- de identiteit van de afzender duidelijk is vermeld;
- de gebruiker de volledige inhoud van het bericht dat namens hem wordt verzonden kent.
Dit zijn wederom strenge eisen. In de praktijk biedt een exploitant van een sociaal netwerk vaak de mogelijkheid aan een uitnodiging te sturen aan het gehele (Hotmail-/Gmail-/Yahoo-) adresboek. In de opvatting van deze Werkgroep is dit niet langer toegestaan, nu het hierbij de exploitant is die de ontvangers selecteert (namelijk: iedereen uit het adresboek). Verder krijgt in de praktijk de gebruiker van een sociaal netwerk niet de hele uitnodiging vooraf te zien bij het versturen (er wordt bijna altijd tekst omheen geplaatst door het sociale netwerk).
Gebruik door minderjarigen roept veel vragen op
Ten slotte constateert de werkgroep dat gebruik van sociale netwerken door kinderen veel vragen oproept. De Werkgroep ziet graag dat verder onderzocht wordt hoe om te gaan met vraagstukken van:
- adequate leeftijdsverificatie;
- bewijs van informed consent (vrijwillig verkregen toestemming gebaseerd op adequate informatie en een begrip van die informatie).
De werkgroep staat hierbij stil omdat de verwerking van persoonsgegevens op een netwerk immers gebaseerd is op de toestemming van de betrokkene (artikel 8 sub a WBP). Die toestemming kan tot 16 jaar jaar alleen gegeven worden door de wettelijk vertegenwoordiger (artikel 5 WBP). De Werkgroep ziet geen oplossingen voor deze vraagstukken. Ze draagt slechts enkele mogelijke oplossingsrichtingen aan.
Conclusie: strenge eisen
De opinie van de Artikel 29 Werkgroep is interessant en geeft voor de praktijk een duidelijk kader waaraan sociale netwerken volgens de groep moeten voldoen. De vraag is wel of de praktijk, en met name de gebruikers, op dergelijk strenge regels zitten te wachten.