Foutje, bedankt

Lees hier de december-blog van de redactiecommissie!

Dat privacy meer mensen bezighoudt dan informatiejuristen alleen, is goed nieuws. Het is tenslotte niet de privacy van informatiejuristen alleen die op het spel staat. Het boek ‘Je hebt wél iets te verbergen’ van Maurits Martijn en Dimitri Tokmetzis stond in de top van bestellerslijsten, en bij de publieke omroep was er eind oktober een complete ‘Privacyweek’. Met onder andere ‘Super Stream me’, waarin twee televisiemakers 24 uur per dag online te volgen waren, ‘Hunted’, waarin twaalf deelnemers uit handen probeerden te blijven van de Nederlandse opsporingsdiensten en ‘De Privacytest’.

In ‘De Privacytest krijgt u, het publiek, vragen over privacy. Hoe kan het dat Google altijd weet waar je bent? Hoe voorkom je dat hackers er met jouw gegevens vandoor gaan? En hoezo moet je nooit je sleutelbos online zetten?[1]

Op deze vragen en meer, krijgt u antwoord, luidde de belofte. Het enige mankement? De juridische onderbouwing ontbreekt. Die krijgt u hier alsnog.

Vraag: Kan je Google verzoeken de link naar foto’s van jou te laten verwijderen? (dus niet de foto’s zelf)

Antwoord AVRO-TROS: Ja, mits je geen bekend persoon bent. De slagingskans van zo’n verzoek is 50% volgens Maurits Martijn, die als technologie-expert vragen beantwoordt in het programma. Maar klopt dat ook?

Uiteraard kijken we hierbij naar het beroemde Costeja/Google-arrest[2]. Hierin nam de Spaanse jurist Mario Costeja Gonzales het op tegen Google. Inzet: het recht om vergeten te worden. Wanneer je namelijk ‘Mario Costeja Gonzales’ intikte op Google, verscheen er een krantenartikel over de financiële moeilijkheden van Gonzales. De financiële malaise was echter verleden tijd voor Gonzales, anders zou hij ook niet tegen Google kunnen procederen. Gonzales wilde de verouderde artikelen dus verwijderd hebben.

Het recht om vergeten te worden staat in de Europese Privacyrichtlijn (Richtlijn 95/46/EG). In Nederland (voorlopig nog) geïmplementeerd in de Wet Bescherming Persoonsgegevens.

In art. 12 van de richtlijn staat: ‘De Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen: (…) naar gelang van het geval, de rectificatie, de uitwissing of de afscherming van de gegevens waarvan de verwerking niet overeenstemt met de bepalingen van deze richtlijn, met name op grond van het onvolledige of onjuiste karakter van de gegevens.’

De prejudiciële vraag van de Spaanse rechter luidde: moet dit artikel zo worden uitgelegd dat de betrokkene van de zoekmachine-exploitant kan eisen dat verwijzingen naar rechtmatig gepubliceerde en correcte informatie op zijn naam worden verwijderd? Omdat deze informatie hem schade kan berokkenen of omdat hij wenst dat zij na zekere tijd wordt “vergeten”?[3]

De rechter moest kiezen tussen conflicterende grondrechten, namelijk het recht op informatie (art. 10 EVRM, art. 11 Handvest) en het recht op privacy (art. 8 EVRM, art. 8 Handvest).

Het Hof overwoog dat ‘een dergelijke onverenigbaarheid niet enkel het gevolg kan zijn van de omstandigheid dat deze gegevens onnauwkeurig zijn maar, in het bijzonder, ook omdat zij ontoereikend, niet ter zake dienend of bovenmatig zijn voor de doeleinden van de verwerking, omdat zij niet zijn bijgewerkt of omdat zij langer worden bewaard dan noodzakelijk is, tenzij de bewaring ervan is vereist wegens historische, statistische of wetenschappelijke doeleinden.’[4]

Maar volgens het Hof moet er ook rekening worden gehouden met ‘het gerechtvaardigde belang van de internetgebruikers die toegang willen krijgen tot die informatie’.[5]

De conclusie van het Hof luidt dat deze privacyrechten ‘in de regel’ voorrang hebben op het belang van internetgebruikers. In bijzondere gevallen kan dat evenwicht afhangen ‘van de aard van de betrokken informatie en de gevoeligheid ervan voor het privéleven van de betrokkene en van het belang dat het publiek erbij heeft om over deze informatie te beschikken, wat met name wordt bepaald door de rol die deze persoon in het openbare leven speelt’[6].

De conclusie dat 50% van de verzoeken wordt gehonoreerd lijkt daarmee wat kort door de bocht. Google kan een verzoek simpelweg weigeren en afwachten of juridische stappen worden ondernomen (lees: rechterlijke toetsing). Daarbij hanteert Google haar eigen verwijderingsbeleid.[7]

Terug naar het programma. ‘De Privacytest’ wil mensen wakker schudden over hun (gebrek aan) privacy. Dat gebeurt onder meer door aan te tonen hoe makkelijk het is om identiteitsfraude te plegen en in te breken bij mensen thuis.

Op Instagram uploaden mensen namelijk gewoon hun rijbewijs, ‘Joepie, eindelijk geslaagd! (foto).’ En ook sleutels worden in maximale resolutie via sociale media het internet op geslingerd, ‘Wij gaan samenwonen! (foto) #homesweethome.

Zo kan er eenvoudig identiteitsfraude plaatsvinden, en met de opkomst van 3D-printers kunnen sleutels op basis van een foto al worden gekopieerd.

Ironisch genoeg was ‘De Privacytest’ even vergeten om hun bronnen te anonimiseren. Zo kwamen niet-geblurde Instagram-accounts voorbij van mensen met hun sleutels en rijbewijs. Criminelen kregen de rijbewijzen en sleutelbossen zo in de schoot geworpen. Niet zo handig van ‘De Privacytest’, of juist een briljante marketingtruc?

De aflevering van ‘De Privacytest’ werd tijdelijk van Uitzending Gemist gehaald vanwege bovenstaand incident.[8] Toch maar even blurren.

Bronnen:
[1]  http://www.npo.nl/de-privacytest/POMS_S_AT_5487672
[2] http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:62012CJ0131
[3] Google Spain, par. 89
[4] Google Spain, par. 92
[5] Google Spain, par. 81
[6] Google Spain, par. 77
[7] https://www.google.com/transparencyreport/removals/europeprivacy/?hl=en
[8] http://www.ad.nl/tv-en-radio/privacytest-offline-gehaald-wegens-privacyschending~a908865e/

Oscar Smit, Redactiecommissie 2016-2017