Faculteit Rechtsgeleerdheid Universiteit Gent. Academiejaar EEN PARADOX VANUIT JURIDISCH PERSPECTIEF? Ingediend door

___________________________________________

Faculteit Rechtsgeleerdheid Universiteit Gent

Academiejaar 2013-‐2014

FACEBOOK & PRIVACY: EEN PARADOX VANUIT JURIDISCH PERSPECTIEF?

Masterproef van de opleiding ‘Master in de rechten’ Ingediend door

Ennio Di Rosa

(Studentennr. 00700711)

Promotor: Eva Lievens Commissaris: Yves Haeck

WOORD VOORAF Deze masterproef is geschreven ter afsluiting van de opleiding ‘Master in de rechten’ aan de Universiteit Gent. Graag maak ik van de gelegenheid gebruik om een aantal mensen te bedanken die mij bij het schrijven van deze masterproef met raad en daad hebben bijgestaan. Bovenal gaat mijn oprechte dank uit naar mijn promotor, Prof. Dr. Eva Lievens. Haar opbouwende kritiek zorgde ervoor dat een vage impressie evolueerde tot een gedetailleerd, afgebakend en uiterst boeiend onderwerp. Ook voor haar begeleiding en waardevolle feedback, ben ik haar zeer dankbaar. Een speciale vermelding verdienen ook de personen die deze masterproef kritisch hebben doorgelezen, in het bijzonder Julie Latomme en mijn zus Fiorina. Tot slot wil ik ook mijn ouders, familie en vrienden bedanken voor de onvoorwaardelijke morele steun gedurende het voorbije jaar. Gent, december 2013 Ennio Di Rosa

I

INHOUDSOPGAVE INLEIDING ........................................................................................................................................................ 1 HOOFDSTUK 1: BEGRIPPEN EN SITUERING ........................................................................................ 7 1. SOCIALE NETWERKSITES .............................................................................................................................................. 7 1.1 Een korte geschiedenis .................................................................................................................................. 7 1.2 Web 2.0. ................................................................................................................................................................ 8 1.3 Kenmerken en functies .................................................................................................................................. 9 1.3.1 Kenmerken van sociale netwerksites .......................................................................................... 11 1.3.2 Functies ..................................................................................................................................................... 11 1.4 Facebook ........................................................................................................................................................... 13 2.4.1 Korte Geschiedenis .............................................................................................................................. 13 1.4.2 Motieven voor gebruik van Facebook ......................................................................................... 14 2. HET PRIVACY-‐BEGRIP ................................................................................................................................................. 16 2.1 Geschiedenis .................................................................................................................................................... 16 2.2 Wat is privacy? ................................................................................................................................................ 16 2.3 Privacy, waardevol? .................................................................................................................................... 18 2.4 Privacy in een digitale omgeving ........................................................................................................... 20 2.5 Het Privacy-‐paradox .................................................................................................................................... 21 2.6 Kritische reflectie .......................................................................................................................................... 23 3. BESLUIT BIJ HOOFDSTUK 1 ........................................................................................................................................ 24 HOOFDSTUK 2: JURIDISCH KADER ...................................................................................................... 26 1. EUROPESE WETGEVING .............................................................................................................................................. 26 1.1 Ontwikkelingen .............................................................................................................................................. 26 1.2 Raad Van Europa ........................................................................................................................................... 27 1.2.1 VERDRAG 108, een eerste internationaal bindend instrument ....................................... 27 1.2.2 AANBEVELING van de Raad ............................................................................................................ 28 1.3 De Richtlijn Bescherming Persoonsgegevens (Europese Unie) ............................................... 30 1.3.1 Werkingssfeer ........................................................................................................................................ 31 1.3.2 Algemene voorwaarden betreffende de legitimiteit van de gegevensverwerking. .. 32 1.3.3 RBP en minderjarigen ........................................................................................................................ 33 1.4 EVRM .................................................................................................................................................................. 34 II

1.4.1 Artikel 8 EVRM ...................................................................................................................................... 34 1.4.2 Relatief recht .......................................................................................................................................... 35 1.4.3 De notie ‘privéleven’ ........................................................................................................................... 35 1.4.4 Verplichtingen ....................................................................................................................................... 36 1.4.5 Positieve verplichtingen voortvloeiend uit het EVRM ......................................................... 37 1.4.5.1 K.U. tegen Finland ....................................................................................................................... 37 1.4.5.2 Positieve Verplichting ............................................................................................................... 38 1.4.5.3 Anonimiteit .................................................................................................................................... 38 1.4.5.1 Besluit bij Artikel 8 EVRM ....................................................................................................... 39 1.5 De E-‐Privacy Richtlijn .................................................................................................................................. 40 1.5.1 Achtergrond en werkingssfeer ....................................................................................................... 40 1.5.2 ‘Cookies’ en ‘opt-‐in’-‐regeling ........................................................................................................... 40 1.6 Voorstel voor een Algemene Verordening Gegevensbescherming .......................................... 43 1.6.1 Achtergrond van de Ontwerptekst ............................................................................................... 43 1.6.2 Belangrijkste wijzigingen in de nieuwe Verordening .......................................................... 45 1.6.2.1 Territoriaal toepassingsgebied ............................................................................................. 45 1.6.2.2 Scherpere definitie van ‘Persoonsgegevens’ & ‘Measures based on Profiling’. 45 1.6.2.3 Verlichting van de plichten tegenover een verhoogde aansprakelijkheid ......... 46 2. BELGISCHE WETGEVING ............................................................................................................................................. 48 2.1 De Grondwet ..................................................................................................................................................... 48 2.2 De Privacywet ................................................................................................................................................. 49 2.2.1 Persoonsgegevens ................................................................................................................................ 49 2.2.2 Gegevensverwerking .......................................................................................................................... 50 2.3 De Strafwet ........................................................................................................................................................ 51 2.4 De Telecommunicatiewet .......................................................................................................................... 52 2.4.1 Cookies in de Belgische Wet ............................................................................................................ 52 2.4.2 Facebook .................................................................................................................................................. 54 2.5 De Auteurswet en het recht op afbeelding ......................................................................................... 54 2.5.1 Achtergrond ............................................................................................................................................. 54 2.5.2 Foto’s van anderen publiceren, kan dat wel? ........................................................................... 55 3. BESLUIT BIJ HOOFDSTUK 2 ........................................................................................................................................ 57 HOOFDSTUK 3: DE SOCIALE NETWERKSITE FACEBOOK IN HET LICHT VAN DE EUROPESE GEGEVENSBESCHERMINGSREGELS ........................................................................................................ 59 1. DE PRIVACYRICHTLIJN EN FACEBOOK ..................................................................................................................... 59 1.1 Toepasselijkheid van de Richtlijn ............................................................................................................ 59 1.1.1 . Toepassingsgebied .............................................................................................................................. 59 III

1.1.2 Verantwoordelijke voor de verwerking ..................................................................................... 59 1.1.3 De gebruiker zelf ................................................................................................................................... 60 1.1.4 Gevoelige persoonsgegevens .......................................................................................................... 61 1.2 De werkgroep Artikel 29 ............................................................................................................................ 62 2. DE RELATIE MET DE E-‐PRIVACY RICHTLIJN ........................................................................................................... 63 2.1 De ‘Like-‐Button’ ............................................................................................................................................... 63 2.2. De digitale voetafdruk ................................................................................................................................. 64 2.3 De digitale schaduw ....................................................................................................................................... 65 3. AVG EN DE TOEKOMST VAN SOCIALE NETWERKSITES ......................................................................................... 67 3.1 The ‘Right to be forgotten” & the ‘Right to erasure’ ........................................................................ 67 3.2 The ‘Right to data portability’ ................................................................................................................... 69 3.3 Voorwaarden voor de toestemming ....................................................................................................... 70 3.4 ‘Privacy by design’ & ‘Privacy by default’ ............................................................................................. 71 3.5 Specifieke bepaling inzake minderjarigen .......................................................................................... 72 4. WAT NU? ...................................................................................................................................................................... 73 HOOFDSTUK 4: VAN THEORIE NAAR REALITEIT ............................................................................ 75 1. FACEBOOK PRIVACY-‐POLICY ...................................................................................................................................... 75 1.1 Evolutie ............................................................................................................................................................... 76 1.1.1 Van bescherming naar vrijgeven van gegevens, een overzicht. ....................................... 76 1.1.2 Facebook’s privacy-‐policy anno 2013 & Graph search ........................................................ 79 1.2 ‘Default Privacy Settings’ ............................................................................................................................. 81 1.2.1 Advies van De werkgroep Artikel 29. ........................................................................................... 81 1.2.2 Standaardinstellingen concreet ...................................................................................................... 82 1.2.3 Belang van privacy-‐bevorderende standaardinstellingen. ................................................. 84 1.2.4 Richtlijnen van het ICRI ...................................................................................................................... 87 1.2.4.1 ‘Wired-‐in’ ......................................................................................................................................... 87 1.2.4.2 De ‘would-‐have-‐wanted’-‐invulling van ‘adjustable settings’ ..................................... 87 1.2.4.3 Instellingen op maat .................................................................................................................. 88 1.2.4.4. De aard van de Verwerking ..................................................................................................... 88 1.2.5 Besluit bij ‘Default Privacy Settings’ .............................................................................................. 88 1.3 Het gebruik van pseudoniemen, een recht? ........................................................................................ 89 1.3.1 Pseudoniem of vals profiel? .............................................................................................................. 90 1.3.2 Facebook-‐beleid inzake namen ....................................................................................................... 90 2. GEGEVENS ..................................................................................................................................................................... 92 2.1 Welke gegevens worden verzameld en waarom. ............................................................................. 92 2.1.1 Gedeelde informatie ............................................................................................................................. 93 IV

2.1.2 Andere informatie ................................................................................................................................. 93 2.1.3 Openbare gegevens ............................................................................................................................... 94 2.1.4 Vertrouwelijkheidsovereenkomst, een toepassingsgeval ................................................... 94 2.2 Gebruikt voor commerciële doeleinden ............................................................................................... 97 2.2.1 Sociale Advertenties ............................................................................................................................. 97 2.2.2 De zaak ‘Fraley et al. versus Facebook ........................................................................................ 98 2.2.3 Facebook ‘Beacon’ Case ...................................................................................................................... 99 2.2.4 Sociale advertenties in het licht van de Belgische wetgeving ......................................... 100 2.3 Facebook, een publieke of gesloten omgeving? ............................................................................. 102 2.3.1 De mening van het Franse Hof van Cassatie ........................................................................... 102 2.3.2 Openbaarheid, Stand van zaken in België ................................................................................ 103 2.3.3 Vergelijking met Drukpersmisdrijven ....................................................................................... 105 3. BESLUIT BIJ HOOFDSTUK 4 ..................................................................................................................................... 107 HOOFDSTUK 5: ALGEMEEN BESLUIT ................................................................................................ 108 BIBLIOGRAFIE ............................................................................................................................................ 110 BIJLAGE........................................................................................................................................................ 127 V

“The real danger is the gradual erosion of individual liberties through automation, integration, and interconnection

of

many

small,

separate

record-‐keeping

systems,

each of which alone may seem innocuous, even benevolent, and wholly justifiable.” -‐ U.S. PRIVACY PROTECTION STUDY COMMISSION.1 1 U.S. PRIVACY PROTECTION STUDY COMMISSION,

"Personal Privacy in an Information Society", PPSC Report, 1977, 615. 2 Zie grafiek bijlage 3. 3 N. BILTON, “Facebook Changes Privacy Settings Again”, The New York Times Bits, 12 december 2012, VI http://bits.blogs.nytimes.com/2012/12/12/facebook-‐changes-‐privacy-‐settings-‐again/.

SPEAK NOW, OR FOREVER HOLD YOUR FACEBOOK-‐POSTS

VII

Inleiding

INLEIDING “Privacy is dead, get over it!”. Deze uitspraak van MARK ZUCKERBERG, oprichter en huidig CEO van Facebook, was tevens de slogan van de ‘Big Brother-‐Awards’ 2013, waarin prijzen worden uitgereikt aan de grootste privacy-‐schenders en zo het privacy-‐probleem op een ludieke wijze weet aan te kaarten. In realiteit lijkt er echter minder reden tot lachen. Sociale netwerksites schieten als paddenstoelen uit de grond en zijn de dag van vandaag niet meer weg te denken. Facebook in het bijzonder lijkt wijd en zijd in de smaak te vallen. Dat getuigen de bijna ongeloofwaardige ledencijfers waaruit blijkt dat de sociale netwerksite begin 2013 maar liefst 1.2 miljard gebruikers telde.2 Het voelt haast ‘not done’ om ervoor te kiezen geen Facebook-‐profiel aan te maken. Maar zoals in de meeste gevallen snijdt ook dit mes aan twee kanten. We kunnen terecht stellen dat de sociale netwerksite Facebook doorheen de jaren zijn gebruikers steeds meer noopte persoonlijke informatie publiek toegankelijk te maken. Van tijd tot tijd kwam de aanbieder van het sociale netwerk op de proppen met nieuwe privacy-‐opties en –regels. In december 2012 voerden ze bijvoorbeeld veranderingen door die een aantal functies, naar hun zeggen, toegankelijker maken, zoals het ‘privacy-‐menu’ dat vanaf nu op elke pagina terug te vinden is. Leden krijgen hiermee de mogelijkheid te bepalen wie welke inhoud van hun profiel kan zien, wie contact met hen kan opnemen, etc. “But when Facebook giveth, Facebook taketh away.”3 Wanneer de sociale netwerksite een nieuwe regeling of optie invoert, schaft ze jammer genoeg meestal ook iets af. In dit geval verdwenen een aantal belangrijke opties, waaronder de (privacybeschermende) mogelijkheid voor gebruikers om niet teruggevonden te worden via de zoekfunctie. 4 Aanvankelijk, in 2005, wanneer de website nog “The Facebook” heette 5 , was ze enkel toegankelijk voor studenten van de Universiteit van ‘Harvard’. Destijds was bescherming van 2 Zie grafiek bijlage 3. 3 N.

BILTON, “Facebook Changes Privacy Settings Again”, The New York Times Bits, 12 december 2012, http://bits.blogs.nytimes.com/2012/12/12/facebook-‐changes-‐privacy-‐settings-‐again/. 4 V. GOEL, "Facebook Delays New Privacy Policy", The New York Times Bits, 5 september 2013, http://bits.blogs.nytimes.com/2013/09/05/facebook-‐delays-‐new-‐privacy-‐policy/. Op 28 augustus kondigde Facebook aan dat op 5 september 2013 de nieuwe Privacy-‐regeling van toepassing zou worden. Dit werd echter uitgesteld op dezelfde gronden dan een minnelijke schikking die ze in 2011 gesloten hebben met de gereguleerde agentschappen en de vele negatieve reacties van Facebook gebruikers. 5 X.,“What happened to Facebook?”, Rixtip, 2013, http://rixstep.com/2/1/20100505,00.shtml .

1

Inleiding

hun persoonlijke informatie een prioriteit.6 “We understand you may not want everyone in the world to have the information you share on Facebook; that is why we give you control of your information”, bevestigde de privacy policy van 2006.7 De basisgedachte die de exclusiviteit van deze informatie voorop stelde, was net één van de hoofdredenen waarom Facebook zich van vergelijkbare websites als ‘MySpace’ distantieerde.8 Hoe populairder Facebook werd, hoe meer de commerciële doelstellingen van het bedrijf zich lieten merken door gaandeweg steeds meer afstand te nemen van de bescherming van persoonlijke gegevens. Enkele jaren nadat de website toegankelijk was geworden voor iedereen met een geldig e-‐mailadres (omstreeks 2009), haalde de openbaarheid echter de bovenhand en werden de privacy-‐instellingen vaak zeer ingrijpend gewijzigd. Dit stond voor het eerst geschreven in de privacy policy van 2009 waar men kon lezen “Facebook is designed to make it easy for you to share information with anyone you want.”, maar op dat moment was de bal reeds aan het rollen, en is deze uitspraak tegelijk een verbloeming en slechts een deel van de echte waarheid. 9 MARK ZUCKERBERG gaf in 2010 aan dat er een nieuwe ‘social norm’ zou ontstaan zijn. “People have gotten really comfortable not only sharing more information and different kinds, but more openly and with more people. (...) That social norm is just something that has evolved over time.” 10 Hij meent dat er zich een bepaalde evolutie heeft voorgedaan op het gebied van de privacy-‐ perceptie, waardoor de nadruk niet meer ligt op de sociale norm ‘privacy’, maar eerder op deze van het ‘delen van informatie’. 11 Deze visie veruitwendigde zich dan ook duidelijk in de doorgevoerde beleidswijzigingen. Desalniettemin vormt de steeds verder evoluerende graad van openbaarheid een heikel punt, en is dit in tegenstelling tot wat meeste Facebook-‐gebruikers denken, een uiterst delicate situatie. Staan Facebook en het recht op Privacy werkelijk tegenover elkaar? Hoe wordt privacy vandaag gewaardeerd en welke betekenis heeft de notie nog in onze hedendaagse maatschappij? Deze 6 R. FOREMAN, “Facebook History 2005 -‐2007”, http://empoweryou.ca/facebook-‐history-‐2005-‐2007/ .

K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”, EEF, https://www.eff.org/deeplinks/2010/04/facebook-‐timeline . 8 P. CHINOWSKY, J DIEKMANN en J. O’BRIEN, ”Project Organizations as Social Networks.”, J. Constr. Eng. Manage, p. 136; L. ROEDER, "What is Myspace", About.com, Social Media, 2013, http://personalweb.about.com/od/myspacecom/a/whatismyspace.htm. 9 K. OPSAHL, “Facebook's Eroding Privacy Policy: A Timeline”, EEF, 28 april 2010, https://www.eff.org/deeplinks/2010/04/facebook-‐timeline . 10 G. WARREN, “Is privacy dead?”, Times Newspapers, 2010, http://erasingdavid.com/categories/issues-‐in-‐ the-‐news/facebook’s-‐mark-‐zuckerberg-‐says-‐privacy-‐is-‐dead-‐so-‐why-‐does-‐he-‐want-‐to-‐keeps-‐this-‐picture-‐ hidden/ . (Hierna: G. WARREN, “Is privacy dead?”, Times Newspapers, 2010.) 11 B. JOHNSON, “Privacy no longer a social norm, says Facebook founder”, The Guardian, 11 januari 2010, http://www.theguardian.com/technology/2010/jan/11/facebook-‐privacy . 7

2

Inleiding

vraagstelling situeert huidig masteronderzoek. We dienen ons daarbij ook de vraag te stellen of ZUCKERBERG‘s stelling wel klopt. Is er echt een nieuwe sociale norm ‘delen van informatie’ die de norm ‘privacy’ in de schaduw plaatst? Voor de generatie “Digital Natives”, die met het internet en sociale media opgegroeid zijn en van wie het als het ware in hun DNA is ingeprent, kan dit kan mogelijks wel kloppen12 Onder het motto ‘ik heb toch niets te verbergen’ ontstaat snel een onverschillige houding tegenover de bescherming van hun privacy.13 Een relevant voorbeeld om deze problematiek toe te lichten is de casus van een tiener uit Oregon in de Verenigde Staten, die zijn status updatete met de volgende zin: “Drivin drunk... classic ;) but to whoever’s vehicle I hit I am sorry. :P”.14 Naar aanleiding van deze zin werd hij door de politie aangehouden en werden zijn naam en foto’s overal op het internet verspreid.15 Uit een onderzoek van BRANDIMARTE, doctor in de Filosofie en mede-‐oprichtster van de “Privacy Economics Experiments Lab”, bleek dat mensen van een bepaalde ‘illusion of control’ uitgaan wanneer ze privé-‐informatie op het internet delen.16 Naar aanleiding van deze stelling zouden gebruikers van sociale netwerken dus soepeler met hun privacy omspringen. Onbewust verwachten ze dat hen een bepaalde ‘permission’, toestemming, zal gevraagd worden vooraleer de door hen gedeelde gegevens verder verwerkt zouden worden. Kortom, we zien een kloof tussen wat men als privacy percipieert en de realiteit. De privacy perceptie die hier onderzocht zal worden kent meerdere schijnt zich op te splitsen in meerdere aspecten, afhankelijk van het standpunt waaruit het wordt bekeken (dat van de provider, de gebruiker of de maatschappij). Zo merken we dat door een te vage verwoording van heel wat privacy-‐instellingen op Facebook veel gebruikers niet precies lijken te weten wie welke informatie van hun account te zien krijgt. Echter, door de inburgering van Facebook plaatsten deze laatsten ook veel sneller iets op de sociale netwerksite, zonder zich de kwalijke gevolgen voor hun privacy te realiseren. Enkele jaren geleden was de verspreiding van sommige van die gegevens zelfs niet eens mogelijk, maar met de maatschappelijke inburgering en snelheid van het internet is de openbaarheid ervan opmerkelijk toegenomen. Een vierde aspect kan gevonden X., “Special Eurobarometer 359/Wave 74.3”, TNS Opinion & Social, 2011, 7; http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. “A digital native can be defined as a young person who was born during or after the general introduction of digital technology, and through interacting with digital technology from an early age, has a greater understanding of its concepts.”; 13 G. WARREN, “Is privacy dead?”, Times Newspapers, 2010. 14 Zie foto bijlage 1 15 C. LOPEZ, “Oregon teen Arrested After Posting ‘Drivin Drunk’ Facebook Status”, ABC News, 4 januari 2013, http://abcnews.go.com/blogs/headlines/2013/01/oregon-‐teen-‐arrested-‐after-‐posting-‐drivin-‐ drunk-‐facebook-‐status/ . 16 L. BRANDIMARTRE, “Privacy concerns and information disclosure: An illusion of control hypothesis”, iConference ’09 Posters, 8 februari 2009,https://www.ideals.illinois.edu/bitstream/handle/2142/153 44/Poster.ppt.pdf?sequence=4 . 12

3

Inleiding

worden in het feit dat internationale bedrijven en zelfs de overheid het recht op privacy lijken uit te hollen. Steeds meer verzamelen zij persoonlijke informatie, zonder dat de betrokken personen daarvan op de hoogte zijn, laat staan hun toestemming gegeven hebben. 17 Concluderend, het is dan ook niet verwonderlijk dat bij het grote publiek de bezorgdheid, over de bescherming van hun privacy en de privacy-‐perceptie, in stijgende mate groeit. We kunnen ons afvragen ‘Is Facebook really designed to share information with anyone you want?’ Beslissen we écht nog zelf wie onze informatie ziet? Want zoals hierboven reeds aangehaald, besloot de aanbieder van het sociale netwerk bijvoorbeeld onlangs nog de om mogelijkheid om niet opgezocht te kunnen worden met behulp van de zoekfunctie te elimineren, zodat iedereen nu vindbaar is aan de hand van de geïntegreerde zoekfunctie.18 Is dit geen inbreuk op de privacy? Om dergelijke vragen te kunnen beantwoorden dient eerst en vooral een antwoord gegeven te worden op de vraag wat dit ‘privacy-‐begrip’ precies inhoudt. Uit tal van onderzoeken kan bovendien besloten worden dat het nagenoeg onmogelijk is om een algemene en afgelijnde definitie van de notie ‘privacy’ te vormen. We moeten vaststellen dat het om een uiterst persoonsgebonden en contextueel begrip gaat.19 Desalniettemin is het een zeer belangrijk begrip in onze huidige maatschappij. Zo stelt RÖSSLER, professor in de ethiek aan de Universiteit van Amsterdam, in “The Value of Privacy” dat het privacy-‐begrip een essentiële voorwaarde vormt om in een samenleving als autonoom subject gewaardeerd te kunnen worden.20 En het is net deze privacy die op het spel lijkt te staan. Er kan en mag bijgevolg niet zomaar voorbijgaan worden aan de ingrijpende gevolgen die sociale netwerken voor het recht op privacy impliceren. Door middel van een kritische kijk op deze problemen, doen we een poging een antwoord te bieden op een aantal vragen die hieromtrent kunnen rijzen. ONDERZOEKSVRAGEN Bij de aanvang van voorliggende masterproef stellen we ons de vraag wat sociale netwerksites nu werkelijk zijn. Een onderzoek naar hun belang en functies in onze huidige maatschappij kan hierbij zeker niet ontbreken. Meer specifiek nemen we de sociale netwerksite Facebook onder de loep, en overlopen we de mogelijke redenen waaraan die zijn populariteit te danken heeft. Daarnaast wordt onderzocht welke invulling kan gegeven worden aan het privacy-‐begrip. In S. SAKUMA, “VS verzamelen online privégegevens van gebruikers”, NRC, 7 januari 2013, http://www.nrc.nl/nieuws/2013/06/07/vs-‐verzamelen-‐online-‐privegegevens-‐van-‐gebruikers/. 18 V. WOOLLASTON, “Now ANYONE can find you on Facebook: Outrage as site removes privacy option for users to hide their profile in search results”, Daily Mail, 11 Oktober 2013. 19 D. BOYD en A.E. MARWICK ,“Social Privacy in Networked Publics: Teens’ Attitudes, Practices, and Strategies”, A Decade in Internet Time: Symposium on the Dynamics of the Internet and Society, September 2011, 12. 20 B. RÖSSLER, The Value of Privacy, Cambridge, Polity Press, 2005, 2-‐19. 17

4

Inleiding

functie van het beantwoorden van de onderzoeksvraag gaan we terug in de tijd om de evolutie van deze notie te onderzoeken en de waarde ervan de dag van vandaag te kunnen bepalen. In het kader van dit werk is een uiteenzetting van voorgaande begrippen noodzakelijk teneinde naderhand een duidelijk antwoord te bieden op verdere onderzoeksvragen. In het tweede deel van dit werk analyseren we zowel de bestaande Europese als Belgische wetgeving die op beide niveaus het recht op privacy zo goed en zo kwaad als mogelijk trachten te beschermen. Het accent ligt echter bij de Europese regels gezien deze vaak rechtstreeks of onrechtstreeks de standaarden bepalen die door de verschillende lidstaten in acht genomen moeten worden. Op dit moment is de Privacyrichtlijn van 1995 nog steeds van toepassing voor de bescherming van persoonlijke gegevens op het internet.21 Deze richtlijn blijkt achterhaald te zijn en niet meer in staat het hoofd te bieden aan de huidige problemen inzake gegevensbescherming op het internet. Op 25 januari 2012 werd daarom een voorstel gedaan voor een Algemene Verordening inzake Gegevensbescherming. 22 Het lijkt daarom ook interessant

om

Facebook

in

het

licht

te

plaatsen

van

deze

Europese

gegevensbeschermingsregels. Dit zal dan ook gedaan worden in het kader van het derde luik van deze masterproef. We zullen nagaan in welke mate deze juridische teksten de persoonlijke levenssfeer van gebruikers effectief beschermen en wat zowel de huidige als toekomstige bepalingen concreet betekenen voor de sociale netwerksite. Hierbij zal de ontwerptekst van de nieuwe verordening zonder twijfel het belangrijkste instrument zijn. In het vierde en tevens laatste gedeelte toetsen we de theorie aan de realiteit. We evalueren in hoeverre de geschetste regelgeving uit het tweede en derde luik kunnen volstaan om in een adequaat beschermingsniveau te voorzien. Een eerste bijvraag situeert zich rond de Facebook Privacy-‐Policy en de wijze waarop zij persoonlijke gegevens verwerken. Facebook houdt privacy hoog in het vaandel, in elk geval beweren ze dat toch te doen. We verdiepen ons in de huidige ‘privacy policy’ en onderzoeken of deze voldoet aan de vereisten van de huidige Europese en nationale maatstaven. Zo proberen we ook antwoorden te geven op de vragen wie feitelijk eigenaar is van gedeelde gegevens, en of deze gegevens zonder meer gebruikt mogen worden in het kader van gepersonaliseerde advertenties. 21 De

Richtlijn Bescherming Persoonsgegevens, RBP of Privacyrichtlijn is te raadplegen op Eur-‐Lex: http://eur-‐lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:NL:NOT. 22 Het voorstel van 25 januari 2012 tot verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(algemene verordening gegevensbescherming), COM(2012) 11 definitief. Te raadplegen op: http://eur-‐lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM :2012:0011:FIN:NL:PDF. (Hierna: Algemene Verordening Gegevensbescherming of AVG.)

5

Inleiding

Om te besluiten keren we op het einde van deze masterproef terug naar de hoofdvraag. “Staan Facebook en het recht op Privacy nu daadwerkelijk paradoxaal tegenover elkaar?” Of moet deze zienswijze evenwel genuanceerd worden? Aan de hand van een literatuuronderzoek pogen we een zo gefundeerd mogelijk antwoord te bieden op deze onderzoeksvragen.

6

Begrippen en situering

HOOFDSTUK 1: BEGRIPPEN EN SITUERING

1. SOCIALE NETWERKSITES 1.1 EEN KORTE GESCHIEDENIS 1. We kunnen ons vandaag de dag geen leven meer inbeelden zonder het internet en de sociale media, maar dit is zeker niet altijd zo geweest. Hoe zijn we op dit punt gekomen? Vanwaar kwam de gedachte om dit genre sociale netwerken op te starten? Wanneer sprak men voor het eerst van een echt sociaal netwerk? Dit zijn vragen die we ons kunnen stellen in de zoektocht naar de oorsprong van sociale netwerken. 2. Het begon allemaal met het voor iedereen bekende internetfenomeen: ‘het forum', wat kan beschreven worden als een webpagina die bestaat uit verschillende publieke discussiepagina’s over allerhande onderwerpen. Deze fora kunnen over zeer uiteenlopende onderwerpen gaan. Het belangrijkste kenmerk is echter het feit dat internetgebruikers interactief kunnen deelnemen aan een ‘online gesprek’. In hun meest fundamentele vorm bestaan fora al sinds 1970, maar deze waren helemaal nog niet te vergelijken met de publieke internetforums zoals we ze vandaag kennen. Alles veranderde wanneer in 1994 ‘Geocities’ zijn intrede deed. De onderneming bood een online platform aan waar men een website kon aanmaken die samen met andere gecreëerde een soort virtuele stad vormde. 23 3. Het volgende jaar startten twee studenten van Cornell University een onderneming, “TheGlobe” genaamd, die individuele internetgebruikers de mogelijkheid gaf om een eigen ‘homepage’ aan te maken. Ze kenden een enorme populariteit die gepaard ging met de snelle vooruitgang van het internet. Ze profileerden zichzelf als “A Social Networking Service”. 24 25 In datzelfde jaar werd de website ‘Classmates.com’ opgericht. Het was de eerste webpagina waar men online een profiel kon opmaken en ‘bevriend’ kon worden met kennissen.

Later evolueerde Geocities tot een webhostingbedrijf. In 2001 werd het bedrijf door Yahoo overgenomen. 24 Het bedrijf heeft noodgedwongen de deuren moeten sluiten ten gevolge van de ‘dot-‐com bubble’. 25 R. SHIM, “TheGlobe.com to cut staff, fold sites”, CNET News, 3 augustus 2001, http://archive.is/20130119134602/http://news.com.com/TheGlobe.com+to+cut+staff,+fold+sites/2100 -‐1023_3-‐271110.html. 23

7


Naast de opkomst van de ‘instant messaging services’ startte ‘Sixdegrees.com’ in 1997 met het aanbieden van zijn diensten. Op deze website werd het mogelijk om aan de hand van een online profiel informatie en kennis te delen met zowel bekende als onbekende mensen, die een soortgelijk profiel hadden aangemaakt. Deze sociale netwerksite, want zo kunnen we die wel degelijk noemen, was het voorbeeld voor vele sociale netwerksites die later opgericht werden zoals Friendster, MySpace, LinkedIn en Facebook. 26 4. Van al deze sociale netwerksites brak Facebook, opgericht in 2004, alle records. Door zijn duidelijke gebruikersinterface en het gemak om ‘vrienden’ toe te voegen en zo met elkaar in contact te komen, tekenden miljoenen mensen in en maakten ze een profiel aan.27 Sociale media is niet meer ‘een webpagina op het net’ of iets triviaal waar we ons in onze vrije tijd mee bezig houden, maar eerder een zelfstandig medium dat men door de enorme ontwikkeling van de technologie altijd en overal kan raadplegen en updaten. De opkomst van de smartphones speelt hier ongetwijfeld een grote rol in. Zo zien we bijvoorbeeld dat wanneer in 2009 een vliegtuig crashte in New York, dit nieuws op Facebook al te lezen was vooraleer de grote nieuwszenders hiervan op de hoogte waren.28

1.2 WEB 2.0. 5. Het begrip Web 2.0 werd bedacht door TIM O’REILLY, CEO van zijn eigen mediaonderneming en een voorstander van ‘open-‐source’ software. 29 Hij legt in meerdere van zijn publicaties uit dat er geen eensgezindheid bestaat over de exacte lading en betekenis van het begrip. Sommigen noemen het een modeverschijnsel, terwijl anderen het beschrijven als een nieuwe ‘conventional wisdom’.30 6. Web 2.0 wordt gebruikt als term om als het ware de nieuwe generatie van het internet mee aan te duiden. In beginsel komt het er op neer dat het internet geëvolueerd is van een quasi 26 D. BOYD, N. ELLISON, "Social Network Sites: Definition, History, and Scholarship", JCMC, 2012, 210-‐230.

27 J.W.

VAN CAPELLEVEEN, "Ontwikkeling van de sociale media", Jeeweeweb, Sociale Media, 2013, http://www.jeeweeweb.com/socialemedia/ontwikkeling_van_sociale_media.html ; (De geschiedenis van Facebook wordt later verder besproken). 28 X., “Social Media Geschiedenis – Hoe is het begonnen”, Social Media Blog, 2013, http://socialmediablog.nl/social-‐media-‐geschiedenis/. 29 De term 'open source' betekent dat die bepaalde software door de ontwikkelaar zo ter beschikking is gesteld zodat ze voor iedereen toegankelijk is en gemodificeerd kan worden en in deze gewijzigde vorm versprijd kan worden. Dit in tegenstelling tot de 'property software' of 'closed source' (de meeste software), waarvan de 'source code' niet publiekelijk toegankelijk is en dus niet aangepast kan worden. ; A. ENGELFRIET, “De wet op internet”, Eindhoven, Ius Mentis , 2010, 111-‐124. 30 T. O'REILLY, "What is Web 2.0: Design patterns and business models for the next generation of software", Communications & Strategies, 2007, 17.

8


eenrichtingsverkeer naar een wisselwerking tussen servers en gebruikers. Waar het vroeger eerder ging om het raadplegen van informatie, is de internetgebruiker nu mee een bron geworden van de gegevens die op het net te vinden zijn, en dit door het zelf uploaden van teksten, muziek of beeldmateriaal. Dergelijke inhoud heet men ‘User Generated Content’, in het Nederlands: ‘gebruikers gegenereerde inhoud’. Het aantal websites dat mensen aanspoort om informatie op deze manier te delen stijgt zienderogen.31 Dit soort diensten heet men ook wel Web 2.0 diensten, die onderscheiden kunnen worden van de eerste generatie diensten gezien zij de gebruikers centraal stellen.32 7. Wanneer internetgebruikers inhoud delen doen ze dit onder andere in een groep vrienden, mensen met eenzelfde interesse of collega’s van op het werk. Dit zijn sociale netwerken. Het steeds goedkoper en meestal zelf gratis worden van deze diensten is mede verantwoordelijk voor hun grote populariteit en gebruik, en het is net dat ‘gratis’ worden dat een groot gevaar inhoudt voor de bescherming van onze privacy. In hoofdstuk 4 zullen we zien waarom dit zo is en waarom het voorstel tot een nieuwe Europese gegevensbeschermingswetgeving het voortbestaan van (gratis) sociale netwerksites mogelijks in het gedrang zal brengen. 8. Eerder werd de evolutie van communicatietechnologieën zoals de smartphone reeds aangehaald als belangrijke factor voor het succes van sociale netwerksites. Deze ‘intelligente mobiele telefoon’ biedt heel wat mogelijkheden om nieuwe Web 2.0 toepassingen te ontwikkelen. Zo zien we steeds meer dat locatie-‐gebonden applicaties als Foursquare grote spelers worden. De belangrijkste aspecten die deze toepassingen steeds hebben is het feit dat ze sociaal zijn, simpel in gebruik, altijd online, vaak locatiegegevens gebruiken en bovenal interactief zijn. 33

1.3 KENMERKEN EN FUNCTIES 9. In 2008 definieerden BOYD EN ELLISON sociale netwerksites als volgt: “We define social network sites as web-‐based services that allow individuals to (1) construct a public or semi-‐public profile within a bounded system, (2) articulate a list of other users with whom they share a connection, and (3) view and traverse their list of connections and those made by 31 Het is belangrijk dit begrip toe te lichten omdat net door deze evolutie de vooruitgang van sociale

netwerken als Facebook enorm vergemakkelijkt werd. 32 K. SEGERS, Maak mij wat wijs, Amsterdam, Lannoo Meulenhoff, 2010, 240. 33 D. VAN BERLO, Ambtenaar 2.0: Nieuwe ideeën en praktische tips om te werken in overheid 2.0, David van

Berlo, 2008, 21-‐27.

9


others within the system. The nature and nomenclature of these connections may vary from site to site.” 34 10. Door deze netwerken wordt met andere woorden aan internetgebruikers de mogelijkheid gegeven om een (semi-‐)openbaar profiel aan te maken binnen een begrensd systeem waar men in contact kan komen met andere gebruikers die dergelijk profiel hebben aangemaakt. Hoe deze ‘connecties’ tussen gebruikers genoemd worden verschilt van aanbieder tot aanbieder. Ze worden vaak ‘vrienden’ genoemd, bijvoorbeeld op Facebook, en heten dan weer ‘Volgers’ op ‘Twitter’. 35 Dit betekent niet dat deze personen in het echte leven ook daadwerkelijk vrienden zijn. Het zijn eerder een soort kennissen die men ofwel in het echt ook kent (dan kunnen het inderdaad vrienden zijn in de normale betekenis van het woord) of die men niet kent maar toch virtueel als ‘vriend’ wil hebben omdat ze bijvoorbeeld dezelfde interesses hebben, voor professionele doeleinden interessant kunnen zijn, etc. Het is dus ook perfect mogelijk om contact te leggen met ‘vrienden’ van ‘vrienden’.36 Wat deze contacten typeert is het feit dat ze kunnen ontstaan en onderhouden worden zonder dat deze individuen elkaar face-‐to-‐face moeten ontmoeten. 37 Net omdat ze zich onderscheiden van reële vrienden, beschrijft BOYD ze als een imaginair publiek.38 11. BOYD EN ELLISON poneren in hun werk ook dat er een onderscheid is tussen de termen ‘sociale netwerk-‐sites’ en ‘sociale netwerking-‐sites’. Ze merken op dat de twee begrippen vaak door elkaar gebruikt worden, terwijl ze niet volledig dezelfde lading dekken. Niettegenstaande dat ‘netwerking’ zeker mogelijk is op dit soort websites, geven ze de voorkeur aan de term ‘sociale netwerksite’ omdat het begrip ‘netwerking’ volgens hen eerder het aangaan van connecties tussen onbekenden betekent en dit niet hun belangrijkste functie is. Sociale netwerksites doelen vooral op het in contact brengen van mensen die reeds deel uitmaken van bepaalde sociale netwerken. 39 34 D.BOYD, N. ELLISON, “Social Network Sites: Definition, History, and Scholarship.”, Journal of computer-‐ Mediated Communication, 2008, 2. 35 Wikipedia

omschrijft Twitter als: “een gratis internetdienst waarmee gebruikers korte berichtjes van maximaal 140 tekens publiceren. Het is een sociaalnetwerksite waarbij mensen op elkaar kunnen reageren en elkaar kunnen volgen.”; http://nl.wikipedia.org/wiki/Twitter . 36 D.BOYD, N. ELLISON, “Social Network Sites: Definition, History, and Scholarship.”, Journal of computer-‐ Mediated Communication, 2008, 3. 37 K. CURRAN, S. GRAHAM, C. TEMPLE, “Advertising on Facebook.”, IJED, 2011, 27. 38 D. BOYD, “Social Network Sites: Public, Private, or what?”, Knowledge Tree, 2007, 2.; http://www.danah.org/papers/KnowledgeTree.pdf 39 D.BOYD, N. ELLISON, “Social Network Sites: Definition, History, and Scholarship.”, Journal of computer-‐ Mediated Communication, 2008, p. 2-‐3.

10


1.3.1 Kenmerken van sociale netwerksites 12. Volgens een onderzoek dat besproken werd op de Internationale Conventie over het World Wide Web in 2009, of WWW’09, zijn er vijf kernelementen die sociale netwerksites typeren.40 Bovendien stemmen deze vijf kenmerken ook overeen met de hierboven gegeven definitie. -‐

Een eerste eigenschap van sociale netwerksites is de profielpagina van de gebruiker waar we gewoonlijk een lijst terugvinden van de bestaande ‘vrienden’ en waar de gebruiker informatie op kan delen. Andere -‐ meestal bestaande -‐ connecties kunnen ook gegevens plaatsen op deze pagina.

-‐

Een tweede kenmerk zijn de gebruikers van de sociale netwerksite, die individueel identificeerbaar zijn aan de hand van bovengenoemde profielpagina.

-‐

Als derde eigenschap kunnen we het functionele relatieaspect tussen deze verschillende gebruikers noemen. De verhoudingen kunnen eenzijdig zijn, maar zijn meestal wederzijds. In het eerste geval spreekt men bijvoorbeeld over de ‘like button’ op Facebook(zie verder), of wanneer men fan wordt van een bepaalde pagina. In het tweede geval ziet men de normale Facebook-‐vriend-‐relatie.

-‐

De verschillende soorten relaties die de gebruikers onderling met elkaar liëren zoals professionele relaties, normale vriendschapsrelaties, academische relaties, is een vierde kernelement.

-‐

Tot slot kan gesteld worden dat de massa aan uiteenlopende soorten bestanden als videobeelden, muziekbestanden, tekstdocumenten, multimedia, status-‐updates, een vijfde karakteristiek is van sociale netwerksites.

1.3.2 Functies 13. In een werkstuk hebben RICHTER EN KOCH, onderzoekers aan het Cooperation Systems Center Munich (CSCM), een onderzoek gevoerd naar de functies van sociale netwerksites. Ze analyseerden verschillende open en gesloten sociale netwerksites om zo hieruit de gemeenschappelijke functies te destilleren. Als resultaat van hun onderzoek kwamen ze uit op een lijst met zes functies die de nagenoeg alle sociale netwerken met elkaar gemeen hebben.41 40 A.C. SQUICCIARINI, M. SHEHAB, P. PACI, “Collective privacy management in social networks”, PROC WWW09,

2009, 521-‐530. A. RICHTER, M. KOCH, “Functions of Social Networking Services”, COOP’08, 2008, 87-‐98; http://www.kooperationssysteme.de/wp-‐ content/uploads/coop08_richterkoch_functions_of_social_networking_services_final.pdf (Hierna: A. RICHTER, M. KOCH, “Functions of Social Networking Services”).

41

11


1.3.2.1 Identity Management 14. Gedrag als gevolg van sociale interactie wordt door GOFFMAN, Canadese socioloog en ex-‐ voorzitter van de American Sociological Association, vergeleken met een opvoering van een theaterstuk dat geschreven en geregisseerd is in functie en naar de noden van het publiek en de omgeving. 42 Mensen beseffen dat ze via hun profiel op deze websites voortdurend door anderen geanalyseerd worden, en construeren op basis daarvan een sociale identiteit. De gebruiker kan dit met andere woorden doen door te beslissen welke informatie ingevuld wordt en welke niet, door te bepalen welke zaken er op het profiel komen, door in te stellen wie welke informatie te zien krijgt.43 1.3.2.2 Expert Search 15. In de context van sociale netwerksites kan men kiezen welke connecties men aangaat en welke niet. Men kan aan de hand van ‘zoekformulieren’ doelgericht bepaalde personen opzoeken op basis van verschillende criteria (zoals naam, interesses, bedrijf). Er moet anderzijds ook gewezen worden dat het netwerk zelf mogelijks aanbevelingen kan doen op basis van de informatie van de gebruiker.44 1.3.2.3 Context Awareness 16. ‘Context awareness’ kan omschreven worden als het bewustzijn van een gebruiker van het bestaan van een gemeenschappelijke ‘context’ met anderen. Dit kan informatie zijn over gemeenschappelijke contacten of interesses, over het frequenteren van dezelfde universiteit of hetzelfde bedrijf waar men gewerkt heeft. Dit bewustzijn draagt bij aan het creëren van een gemeenschappelijk vertrouwen tussen gebruikers, wat essentieel is voor een ‘online vriendschap’. Een voorbeeld hiervan is het onderdeel “Hoe u met elkaar bent verbonden” dat men vaak op sociale netwerksites terug kan vinden.45 1.3.2.4 Contact Management 17. De gebruiker van sociale netwerksites heeft de mogelijkheid om zijn ‘vriendenlijst’ te beheren en digitale vriendschappen te onderhouden. Zo kan hij bepaalde informatie voor

42 E. GOFFMAN, “The Presentation of Self in Everyday Life.”, New York, Doubleday: Garden City, 1959, 259p. 43 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, 90. 44 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, 91. 45 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, 91.

12


bepaalde personen ontoegankelijk maken, kan hij vrienden ‘taggen’ in een foto, iets op het prikbord van een vriend plaatsen, etc. 46 47 1.3.2.5 Network Awareness 18. Door een vorm van indirecte communicatie is de gebruiker op de hoogte van het doen en laten van de personen in zijn online-‐netwerk. Dit wordt mogelijk gemaakt door een nieuwsoverzicht waar men bijvoorbeeld kan zien dat een Facebook vriend nieuwe foto’s op zijn profielpagina gezet heeft, of door de mogelijkheid te zien dat iemand een bepaalde dag jarig is. 1.3.2.6 Exchange 19. De exchange-‐functie bestaat uit alle mogelijkheden die sociale netwerksites bieden om direct informatie met elkaar uit te wisselen. Dit kan door een chat-‐functie, de mogelijkheid om een berichtje op iemands prikbord te plaatsen, een nieuw fotoalbum te uploaden, enzovoort.48 Uit onderzoek bleek dat het wegvallen van communicatie-‐barrières bevorderlijk is voor het succesvol delen van informatie. 49

1.4 FACEBOOK 2.4.1 Korte Geschiedenis 20. Oorspronkelijk was Facebook een sociaal netwerk dat in 2004 door enkele Harvard studenten -‐ waaronder de befaamde CEO van het bedrijf MARC ZUCKERBERG -‐ werd opgericht. Wat begon als een soort grap evolueerde tot één van de meest succesvolle sociale netwerksites aller tijden. Bij de start was het netwerk enkel toegankelijk voor Harvard studenten, maar het duurde niet lang (2006) eer het netwerk door het enorme succes volledig openbaar werd zodat iedereen ouder dan dertien zich kon registreren.50 Facebook kende sinds 2007 een enorme groei van zijn aantal leden en tot op heden komen er elke dag honderden nieuwe gebruikers bij. In maart 2013 telde de sociale netwerksite maar 46 ‘Taggen’ of het plaatsen van een tag betekent letterlijk een label of etiket aan een bestand toevoegen.

Deze tag geeft bijkomende informatie over desbetreffend bestand. Een van de bekendste voorbeelden is de ‘tag’ op Facebook, wanneer een bepaald persoon op een foto wordt aangeduid. X., “Taggen”, Wikipedia, 2013, http://nl.wikipedia.org/wiki/Tag_(metadata). 47 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, 91. 48 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, 91. 49 P. MARONE, R. TAYLOR, “Knowlegde diffusion dynamics and netword properties of face-‐to-‐face interactions”, Journal of Evolutionary Economics, 1999, 327-‐351. 50 S. PHILLIPS, “A brief history on Facebook”, The Guardian, 25 Juli 2007.

13


liefst 1,11 miljard leden. 51 We kunnen ons afvragen waarom Facebook zo succesvol is. Biedt dit sociale netwerk dan zoveel meerwaarde, of is het gewoon een modetrend? In een onderzoek naar de beweegredenen van personen om lid te worden van Facebook werd vastgesteld dat de voornaamste reden simpelweg de ‘groepsdruk’ was, men wilde ‘erbij horen’. Secundair bleek Facebook handig te zijn. Het creëerde de mogelijkheid om bestaande vriendschappen gemakkelijker te onderhouden en bleek bovendien ook een forum te bieden om nieuwe contacten te leggen.52 1.4.2 Motieven voor gebruik van Facebook 21. Er kan niet omheen gegaan worden dat Facebook ongetwijfeld de meest populaire sociale netwerksite is. We kunnen ons afvragen waarom dit sociale netwerk in het bijzonder zo populair is en wat de beweegredenen zijn van gebruikers om er lid van te worden. 22. Volgens een onderzoek van KHE FOON HEW, assistent-‐professor aan de ‘National Institute of Education’ in Singapore, zijn er negen algemene drijfveren voor het Facebook-‐gebruik. 53 In eerste instantie wil de Facebook-‐gebruiker de bestaande contacten onderhouden. Dit kan zowel gaan over vage kennissen als over goede vrienden. Facebook biedt de mogelijkheid om informatie als foto’s, berichten, etc. met hen te delen, waardoor ze het gevoel hebben steeds op de hoogte te zijn (1). Naast bestaande vrienden kunnen ook nieuwe contacten gelegd worden via Facebook (2). Deze elementen zag men ook terugkomen in de functies die sociale netwerksites bieden van Richter en Koch. 54 Veel jongeren willen de dag van vandaag ‘hip zijn’ en ‘mee zijn met de mode’. Facebook heeft het geluk van deze connotatie te kunnen genieten waardoor jongeren er graag deel van willen uitmaken (3). In dezelfde sfeer kan gesteld worden dat Facebook gebruikt wordt om de graad van populariteit te profileren tegenover anderen. Wanneer men iemands profielpagina bezoekt kan men (in de meeste gevallen) het aantal online vriendschappen zien aan de hand van de vriendenlijst (4). Een vijfde argument voor het gebruik van de website is dat Facebook ongetwijfeld ook een platform voor ontspanning en plezier biedt (5). Een van de belangrijkste motieven voor het gebruik van Facebook is en blijft ‘het delen van 51 B. VINGERLING, “Social media gebruikers statistieken maart 2013”, Afix Internetbureau, 17 april 2013,

http://www.afix.nl/blog/2013/04/statistieken-‐gebruikers-‐facebook-‐twitter-‐en-‐linkedin-‐maart-‐2013/ . GIOVANI, H. PASHLEY, “Student Awareness of the Privacy Implications When Using Facebook”, 3 december 2005, 5; http://lorrie.cranor.org/courses/fa05/tubzhlp.pdf . 53 K.F. HEW, "Reviex: Studens' and techers' use of Facebook", Computers in Human Behavior 2011, 662-‐676. Deze bevindingen deed hij op grond van een zestal andere onderzoeken waaruit hij deze beweegredenen destilleerde. Deze onderzoeken worden tegenover elkaar geplaatst. Hier merkt Hew dat elk onderzoek de motieven voor Facebook gebruik anders benadert maar dat ze bij nader inzien steeds neerkomen op dezelfde negen beweegredenen. 54 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, 91. 52 T.

14


informatie’. Hierboven werd reeds uiteengezet dat mensen allerhande informatie delen, en dit voor uiteenlopende redenen (6). Een andere reden waarom mensen Facebook gebruiken is de mogelijkheid om ‘groepen’ of ‘fan-‐pagina’s’ op te richten. Dit vergemakkelijkt het om mensen te vinden met gelijkaardige interesses. Op deze manier kunnen ze gemakkelijker met elkaar in contact komen zonder daarom elkaar in het echte leven op te zoeken. ADAM JOINSON, professor aan de University of the West of England en deskundige op het gebied van cyberpsychologie, heeft het in zijn onderzoek over gemeenschappelijke identiteiten om dit fenomeen uit te leggen: “These activities are akin to ‘social browsing’ (...) although there is no reason to assume that they are necessarily motivated by a desire to meet offline eventually. It also contains related to the discovery of new music and new groups via friends. As such, it seems to represent a ‘shared identities’ function” (7). Daarenboven kan Facebook ook nog op een educatieve manier gebruikt worden. Het kan door studenten gebruikt worden als communicatiemiddel voor schoolwerk (8). Tot slot is de sociale netwerksite zeer praktisch gebleken voor het bijhouden van informatie over zijn/haar vrienden. Het is als het ware een ‘managementinstrument’ (9).55 23. We kunnen besluiten dat in de huidige internetomgeving de sociale netwerksites een hele grote rol spelen. In tegenstelling met vroeger zien we nu dat een groot deel van de sociale interacties zich verplaatst van de fysieke wereld naar de digitale wereld. Deze websites bieden tal van mogelijkheden die gebruikers ten goede komen.56 24. Helaas is er ook een keerzijde aan de medaille en vormen sociale netwerken in sommige gevallen een gevaar voor de privacy van hun gebruikers. Om te kunnen onderzoeke hoe sociale netwerken de eerbiediging van het privéleven in het gedrang kunnen brengen is het elementair een goede notie te vormen van het begrip ‘privacy’. Aan de hand van het volgende onderdeel trachten we door middel van een grondige bespreking de invulling van dit begrip te duiden. 55N.B. ELLISON, C. STEINFIELD, C LAMPE, “The benefits of Facebook ―friends. Social capital and college

students‘ use of online social network sites”, Journal of computer –mediated communication 2007, 1143-‐ 1168. ; A. JOINSON, ̳”Looking at’, Looking up‘ or Keeping up with‘ people? Motives and uses of facebook”, CHI’08 2008, 1027-‐1036; T. PEMPEK, S. CALVERT, Y. YERMOLAYEVA, “College‘s students‘ social networking experiences on Facebook”, Journal of applied developmental psychology 2009, 227-‐238; M.A. URISTA, Q. DONG, K. DAY, “Explaining why young adults use MySpace and Facebook through uses and gratifications theory”, Human Communication 2009, 215-‐229; A. YOUNG, A. QUAN-‐HAASE, “Information revelation and internet privacy concerns on social network sites: A case study of Facebook.”, C&T '09 2009, 265-‐274 en T.E. BOSCH, “Using online social networking for teaching and learning: Facebook use at the university of Cape Town”, South African Journal for Communication Theory and Research 2009, 185-‐ 200. 56 Een voorbeeld is het delen van foto’s, waardoor het gevoel kan hebben dat vrienden en kennissen helemaal niet ver weg zijn, terwijl ze op een ander continent verblijven.

15


2. HET PRIVACY-‐BEGRIP 2.1 GESCHIEDENIS 25. In de klassieke oudheid was het privéleven minder belangrijk dan het publieke leven, privacy had zelf een negatieve bijklank. Men zou het vreemd gevonden hebben dat iemand uit vrije wil meer privacy zou wensen. Wanneer men geen deel uitmaakte van het publieke gebeuren, schoot men tekort om te voldoen aan de vereisten van een waardig menselijk bestaan.57 Dit wordt bijvoorbeeld duidelijk door ons woord ‘idioot’, afgeleid van de Griekse term ‘idios’, letterlijk vertaald is dit: een eigen privé eigendom. Het stond voor de persoon die zich buiten de publieke samenleving bevond.58 In 1980 lijkt het tij volledig gekeerd. Zo zien we hoe de advocaten WARREN EN BRANDEIS reeds in 1890 oproepen tot een betere bescherming van de persoonlijke levenssfeer.59

2.2 WAT IS PRIVACY? 26. Om goed de relatie tussen Facebook en Privacy te kunnen onderzoeken moeten we eerst een goede notie vormen van het begrip ‘privacy’. Wat is privacy eigenlijk? En wat houdt ‘het recht op privacy’ nu net in? Waarom is dit nu juist zo een hot topic? 28. De VAN DALE omschrijft privacy als ”de persoonlijke vrijheid, het ongehinderd, alleen, in eigen kring of met een partner ergens kunnen vertoeven; gelegenheid om zich af te zonderen, om storende invloeden van de buitenwereld te ontgaan, een toestand waarin een mens er zeker van is dat zonder zijn toestemming zo weinig mogelijk andere mensen zich op zijn terrein zullen begeven.”.60 Met andere woorden het leiden van een onbewaakt en onbespied leven en zelf kunnen bepalen wie welke informatie over ons krijgt. 29. In 1950 werd door de Raad van Europa ‘de Conventie ter bescherming van de

57 H. ARENDT, The Human Condition, Chicago, University of Chicago Press, 1958, 332; H. BELIEN EN F. MEIJER,

Een kleine geschiedenis van de klassieke oudheid, Amsterdam, Bert Bakker, 2010.

58 P. DE HERT EN S. GUTWIRTH, “Over privacy: filosofische reflecties”, CBPL, 2013,

http://www.anthologieprivacy.be/sites/anthology/files/documents/Over-‐privacy-‐ filosofischereflecties.pdf . 59 S. WARREN en D. BRANDEIS, “The Right To Privacy”, Harvard Law Review 1890, Vol. IX; http://faculty.uml.edu/sgallagher/Brandeisprivacy.htm. 60 X., Van Dale Groot woordenboek van de Nederlandse taal, Antwerpen, Van Dale Lexicografie bv, 2005, 4464p.

16


Mensenrechten’ voorgesteld aan de toenmalige lidstaten61. Dit was de eerste maal dat het begrip privacy op Europees niveau werd aangehaald. Artikel 8 van het ‘Verdrag tot Bescherming van de rechten van de Mens en de fundamentele vrijheden’ spreekt over het ‘Recht op eerbiediging van privé, familie en gezinsleven’ 62. Eenieder dient dus elkaars woning, gezinsleven, briefwisseling en in het bijzonder privéleven te respecteren. Ten gevolge van dit verdrag ontstond in België de wet van 8 december 1992 betreffende ‘de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens’ of met andere woorden ‘de privacywet’.63 Ze zet nauwgezet uit op welke wijze en onder welke voorwaarden de persoonlijke gegevens verwerkt of doorgegeven mogen worden. Deze wet beschermt niet enkel om de rechten en plichten van de persoon wiens gegevens worden verwerkt maar ook de rechten en plichten van de persoon die de gegevens verwerkt 64. 30. In 1995 kwam er dan de Richtlijn inzake betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens . 65 Op Europees niveau is dit de voornaamste tekst op vlak van persoonsgegevensbescherming. Ze voorziet in een regeling die zware restricties oplegt aan het verzamelen en gebruik van persoonlijke gegevens en legt aan elke lidstaat op om een onafhankelijk controle orgaan op te richten dat bevoegd is voor de bescherming van deze gegevens. In België werd naar aanleiding van die Richtlijn de Commissie voor de bescherming van de persoonlijke levenssfeer in het leven geroepen. De richtlijn tracht een evenwicht te creëren tussen het vrij verkeer van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de Europese Unie 66. 31. Het concept privacy heeft doorheen de tijd een lange weg afgelegd die wordt gekenmerkt door ettelijke pogingen tot definiëren en herdefiniëren. Een duidelijke en algemene definitie vormen uit de massa aan literatuur over het onderwerp lijkt niet eenvoudig. Een van de 61 X., “Raad van Europa”, Diplomatie België, 2013, http://diplomatie.belgium.be/nl/Beleid/beleidsthemas/

mensenrechten/belangrijkste_instellingen/raad_van_europa/ .

62 Het Europees Verdrag voor de Rechten van de Mens is te raadplegen op:

http://www.echr.coe.int/Documents/Convention_NLD.pdf . 63 De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de

verwerking van persoonsgegevens, BS 18 maart 1993; http://www.privacycommission.be/sites/privacycommission/files/documents/CONS_wet_privacy_08_12 _1992_0.pdf. 64 Commissie voor de bescherming van de persoonlijke levenssfeer, De Privacywet, 2013, http://www.privacycommission.be/nl/node/3908 . 65 Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb.L. 23november 1995, afl. 281, 31-‐50. (Verder: Richtlijn Bescherming Persoonsgegevens.) 66 De verdere evolutie van Europese richtlijnen en verdragen komt later aan bod.

17


hoofdredenen hiervoor is het feit dat wat mensen als ‘privé’ aanzien cultureel, sociaal en tijdsgebonden voortdurend in verandering is. 32. Concluderend, zowel wijzigende omstandigheden op persoonlijk vlak, als evoluties in communicatietechnieken, als de steeds groter wordende hoeveelheid aan beschikbare informatie leiden allen tot de noodzaak naar een nieuwe, verruimende afbakening van het begrip 67.

2.3 PRIVACY, WAARDEVOL? 33. Niet onbelangrijk is de waarde die onze samenleving geeft aan privacy. Volgens professor ADAM MOORE, information ethics specialist aan de universiteit van Washinton, is een stevig fundament te vinden in de menselijke natuur. Privacy is volgens hem, zoals onderwijs en gezondheid, een noodzakelijke factor voor het menselijk welzijn, een kernwaarde dus. Hij stelt bijvoorbeeld vast dat een mate overbevolking kan leiden tot stress en agressiviteit. Wanneer we ons na een zekere tijd zouden beginnen ergeren aan elkaar, stelt privacy ons in staat om ons even af te zonderen. De belangrijke waarde van privacy is volgens hem ook te verklaren door het feit dat men in alle culturen privacy-‐ elementen terug kan vinden.68 34. JAMES RACHELS, een Amerikaans moraalfilosoof, volgt echter een andere visie, volgens dewelke de waarde van-‐ en het recht op privacy gevonden kunnen worden in de menselijke behoefte om gedifferentieerde sociale relaties aan te gaan. Wanneer onze privacy in gedrang zou komen, dan komt een belangrijk element van dat sociale karakter van de mens in gevaar waardoor de keuze om zelf te beslissen wat met wie wordt gedeeld zou verdwijnen en onze sociale wereld enorm beperkt zou worden69. 35. Enige tijd geleden ontstond er bijvoorbeeld heel wat commotie omtrent de zaak van de Amerikaanse klokkenluider Edward Snowden. Hij lekte heel wat ‘top secret’ informatie van de Amerikaanse geheime dienst NSA 70 . Hij onthulde dat deze dienst op enorme schaal de internationale communicatie van op het internet aftapt met als opzet terrorisme een stap voor te zijn. Dit deed hij aan de hand van een programma gekend onder de naam ‘PRISM’, Planning tool 67J.DE MUL en Y.H. VAN DER PLOEG, “Internet & Privacy” in Onderzoeksprogramma 'Internet en Openbaar

Bestuur' 1999-‐2001, Rotterdam, Center for Public Innovation, 2003, 8. A. MOORE, “Privacy Rights, Moral and Legal Foundations”, Verenigde Staten, Pennsylvania State University Press, 2010, 3.

68

69 J. RACHELS, “Why Privacy is Important”, Philosophy and Public Affairs, 1975, 323-‐333. 70 Afkorting voor “The National Security Agency”.

18


for Resource Integration, Synchronization and Management. De vraag is natuurlijk of er enkel informatie

wordt

verzameld

relevant

voor

de

terrorismebestrijding.

Snowden,

systeembeheerder bij de dienst, vond dit ontoelaatbaar en stapte met zijn verhaal naar de pers.71 36. Wat vreemd genoeg opvalt is dat er beduidend veel positieve reacties zijn op PRISM. Sommige individuen hebben er klaarblijkelijk geen probleem mee dat ze onder een constant toezicht zouden kunnen staan, wat duidelijk een inbreuk op hun persoonlijke levenssfeer is. Met als redenering “ik heb toch niets te verbergen” accepteren ze blindelings de uitholling van hun recht op privacy. Dit is echter niet zo onschuldig als men denkt. DANIEL SOLOVE, professor en privacywetgeving specialist aan de George Washington University, waarschuwt voor een te lakse houding tegenover deze ‘niets te verbergen-‐visie’. Bij een gevat antwoord als "If you have nothing to hide, then that quite literally means you are willing to let me photograph you naked? And I get full rights to that photograph—so I can show it to your neighbors?” lijken mensen wakker te schieten. In zijn boek weerlegt professor Soleve de ‘niets te verbergen-‐redenering’ zeer simpel; Everybody probably has something to hide from somebody. Iedereen heeft waarschijnlijk wel iets voor iemand anders te verbergen72. 37. Het belang van het privacy begrip is de afgelopen jaren fors toegenomen. Het steeds populairder worden van nieuwe technologieën als internet, digitale camera’s, elektronische betaalsystemen, smartphones, ... liggen hier zeker mee aan de oorzaak van. We kunnen spreken van een soort ‘digitalisering’ van het dagelijkse doen en laten van mensen. Door deze digitalisering ontstaat er een massa aan gegevens die via ‘datamining-‐processen’ omgezet kunnen worden in informatie die kan gebruikt worden door bedrijven voor bijvoorbeeld het maken van individueel aangepaste reclamecampagnes 73. Wordt hierdoor onze persoonlijke levenssfeer niet bedreigd? 38. Er moet in elk geval met een zekere alertheid gehandeld worden, gezien eenmaal deze rechten uit handen gegeven zijn, ze niet zomaar teruggewonnen kunnen worden. Dit doet denken aan het thema van het bekende boek ‘1984’ van GEORGE ORWELL dat spreekt over een Big

71 Uit vrees voor de Amerikaanse overheid vluchtte hij naar China, waar hij ondertussen ook al niet meer

verblijft gezien er inmiddels een strafrechtelijke vervolging te wachten staat. SOLOVE, Nothing to Hide: The False Tradeoff Between Privacy and Security, Verenigde Staten, Yale University Press, 2011, 21-‐33. 73 P. DE HERT EN S. GUTWIRTH, “Over privacy: filosofische reflecties”, CBPL, 2013, http://www.anthologieprivacy.be/sites/anthology/files/documents/Over-‐privacy-‐filosofische-‐ reflecties.pdf. 72 D.

19


Brother-‐maatschappij. Wordt dit dan het resultaat van onze steeds laksere houding tegenover onze privacy-‐rechten?

2.4 PRIVACY IN EEN DIGITALE OMGEVING 39. Hierboven werd verwezen naar Orwell ’s boek dat een samenleving creëert waarin de overheid van alles op de hoogte is, elke beweging, elke handeling van elk individu wordt voortdurend gecheckt door “het “Telescreen”. Dit is een speciaal scherm dat bij elke burger in zijn woning aanwezig is. Het is een scherm dat zowel als televisietoestel functie doet maar waarlangs de overheid rechtstreeks binnen kan kijken in de woonkamer van de burger om zo elk doen en laten te registreren, ze staan onder constante ‘surveillance’74. Het Telescreen kan vergeleken worden met ons huidige internet.75 Telkens we onze browser aanklikken en op het net navigeren worden onze acties geobserveerd, persoonlijke informatie wordt opgeslagen en dit zonder dat we ons ervan bewust zijn. Professor SOLOVE is echter van mening dat er niet meer over ‘surveillance’ kan gesproken worden en merkt op dat het tegenwoordig eerder over ‘dataveillance’ gaat, een evolutie van het oude ‘surveillance’ begrip en als het ware een surveillance 2.0. Het is een samenvoegsel van de termen ‘data’, onze gegevens en handelingen op het internet, en ‘surveillance’, het toezicht en de controle van deze verzamelde gegevens. ROGER CLARKE, professor en expert in privacy zaken, lanceerde het begrip in 1986 waarna het in 2009 zelf in de ‘Webster's New Millennium™ Dictionary of English’ werd opgenomen.76 Hij definieert ‘dataveillance’ als: “the systematic use of personal data systems in the investigation or monitoring of the actions or communications of one or more persons”; terwijl hij ‘surveillance’ eerder als: “the systematic investigation or monitoring of the actions or communications of one or more persons. Its primary purpose is generally to collect information about them, their activities, or their associates. There may be a secondary intention to deter a whole population from undertaking some kinds of activity” omschrijft. 77 40. Gezien de mogelijkheid om informatie toch nog te verbergen kan men bij dataveillance niet spreken over Orwells Big-‐Brother metafoor redeneert professor SOLOVE, niettegenstaande hij 74 G. ORWELL, Nineteen Eighty-‐four, Toronto, HarperCollins Canada, 2013, 335 p. 75 D.J. SOLOVE, The digital person, Technology and Privacy in the Information Age, New York en London, NYU

Press, 2004, 29-‐35.

76 R. CLARKE, “Dataveillance and Information Privacy Home-‐Page”, 2013,

http://www.rogerclarke.com/DV/ . CLARKE, “Information technology and dataveillance” in: C. DUNLOP en R. KLING (eds.), Controversies in Computing, New York, Academic Press, 1991, 498-‐512.

77 R.

20


van mening is dat men die mogelijkheid nauwelijks nog heeft omwille van het feit dat personen niet op de hoogte zijn van welke informatie door wie en met welk doel verzameld wordt.

2.5 HET PRIVACY-‐PARADOX 41. In het kader van deze masterproef is het belangrijk om het privacy-‐paradox meer in detail te bespreken. In het vorige onderdeel werd duidelijk dat het vormen van een universele notie van privacy geen peulenschil is, wat het ontwikkelen van een adequaat juridisch beschermingssysteem ongetwijfeld bemoeilijkt. 42. We wezen in de inleiding al op het bestaan van een ‘illusion of control’ bij Facebook-‐ gebruikers.

Deze

laatsten

gaan

uit

van

een

bepaalde

impliciet

afgesloten

zorgvuldigheidsovereenkomst met hun connecties op het sociale netwerk inzake de wijze waarop met hun gegevens omgegaan wordt, en als het ware toestemming zou moeten gevraagd worden wanneer ze deze gegevens willen gebruiken. Niets is echter minder waar gezien de controle over vrijgegeven informatie door de aanbieder van de sociale netwerksite continu wordt uitgehold. Dientengevolge spreekt men eerder over een privacy-‐illusie, dan over het bestaan van een online-‐privésfeer.78 We kunnen bij wijze van spreken stellen dat Facebook een informele online-‐omgeving is dat door gebruikers ervaren wordt als een verlenging van hun persoonlijke levenssfeer in de digitale wereld, en bijgevolg een platform biedt voor de online verderzetting van hun ‘offline’ sociale leven. In tegenstelling tot de vroegere trend die anonimiteit op het internet promootte, ebt door dit vals veiligheid de belangstelling ervoor langzaamaan weg.79 43. In dit hoofdstuk werd reeds uiteengezet hoe Facebook haar policy aanpaste en eerder het ‘publieke’ dan het ‘private’ stimuleert, en eigenlijk afdwingt door het continu aanpassen van de privacy-‐instellingen. Ten eerste wezen we op het feit dat door middel van hun default instellingen almaar meer inhoud standaard openbaar wordt gezet en bijgevolg zichtbaar is voor iedereen op het internet (zelf niet-‐Facebook-‐gebruikers). Ten tweede toonden we aan dat gebruikers de facto gebonden zijn aan de faciliteiten die de sociale netwerksite hen aanbiedt voor het beschermen van hun persoonlijke gegevens, en op die manier dus onderworpen zijn aan hun invulling van het privacy-‐concept. (Een voorbeeld hiervan was de schrapping in 2012 78 L.

BRANDIMARTRE, “Privacy concerns and information disclosure: An illusion of control hypothesis”, iConference ’09 Posters, 8 februari 2009, https://www.ideals.illinois.edu/bitstream/handle/2142/15344/Poster.ppt.pdf?sequence=4 . 79 H. KENNEDY, "Beyond anonymity, or future directions for internet identity research", New Media & Society 2006, 861.

21


van de mogelijkheid om niet gevonden te worden in de Facebook zoekfunctie.) 44. Daarnaast moeten we ons ook even stilstaan bij wat BARNES, professor aan het Rochester Institute of Technology, het ‘privacy paradox’ noemt. In haar onderzoek constateerde ze dat er een discrepantie was tussen het gemak waarmee tieners zich op exuberante wijze online profileren, en de daar op volgende verontwaardiging wanneer bleek dat ook hun ouders op de hoogte waren van hun handelingen op sociale netwerksites. BARNES definieert dit paradox als “de ophef over het gevolg van online gegevens die de desbetreffende personen er zelf hadden opgezet.” 80 Daarenboven stelt ze zelfs dat wanneer bepaalde informatie enkel zichtbaar zou zijn voor onszelf, deze echter toch bewaard worden op de Facebook-‐server en bijgevolg zowel geraadpleegd kan worden door de aanbieder van de sociale netwerksite zelf, als door derden ter kwader trouw.81 45. Het voorgaande in beschouwing nemend kunnen we concluderen dat de gesupponeerde mate van bescherming van de persoonlijke levenssfeer op sociale netwerken jammer genoeg een illusie is. Dit vormt ongetwijfeld een aanzienlijke bedreiging voor de privacy van Facebook gebruikers, daar zij, omwille van het feit dat zij hier geen zicht op hebben, zich de mate van openbaarheid van hun informatie onvoldoende realiseren.82 46. Tot slot reikt BARNES in haar conclusie nog een mogelijks plausibele oplossing aan voor het Privacy paradox. Ze legt de verantwoordelijkheid bij de ouders om hun kinderen te informeren over de gevaren van online profilering en de eventuele gevolgen dat dit bijvoorbeeld met zich mee kan brengen tijdens sollicitaties en toelatingen tot universiteiten in hun latere leven. De oplossing ligt volgens haar in de eerste plaats bij individuen zelf die zich bewust moeten worden van het aandeel dat ze hebben in de schending van hun eigen privacy. Pas daarna kan bepaald worden in welke mate sociale netwerksites, die kennelijk steeds vaker geneigd zijn persoonlijke informatie van hun leden publiekelijk beschikbaar te stellen, hiervoor verantwoordelijk zijn.83 80 S.B. BARNES, "A privacy paradox: Social networking in the United States", First Monday 2006;

http://www.firstmonday.org/article/view/1394/1312. (Hierna: S.B. BARNES, "A privacy paradox: Social networking in the United States"). 81 S.B. BARNES, "A privacy paradox: Social networking in the United States", hfd. 2. 82 S.B. BARNES, "A privacy paradox: Social networking in the United States". 83 P. Speets, "Het privacy paradox", Meta Reporter, 27 januari 2012, http://www.metareporter.nl/2011/2012/01/27/het-‐privacy-‐paradox/.

22


2.6 KRITISCHE REFLECTIE 47. Uit bovenstaande beschouwing is gebleken dat meermaals gepoogd is om een duidelijk afgelijnde invulling te geven van het privacy-‐begrip. Over welke definitie nu als de enige juiste wordt aanzien bestaat geen zekerheid. 48. De vraag kan echter gesteld worden of definiëring überhaupt wel aangewezen is. Volgens SERGE GUTWIRTH, professor in de Mensenrechten aan de Vrije Universiteit Brussel, is dit bij de notie ‘privacy’ geenszins aan de orde. Voordien werd reeds aangehaald hoe complex en fluctuerend het begrip is, en eveneens talrijke dimensies van het menselijke leven en de innerlijke vrijheid omvat. Een te strikte afbakening van het begrip zou kunnen leiden tot een beperking van onze privacy. ‘Vrijheid’ valt tenslotte niet te definiëren en moet onbepaald blijven, wil men niet verzaken aan de individuele vrijheid van individuen. Op grond van deze redenering meent de professor dan ook dat er geen ‘juiste’ definitie bestaat van ‘privacy’. 84 49. Als de bewering van GUTWIRTH klopt, waarom trachtte menig jurist dan alsnog een parafrase van het begrip vast te leggen? Een antwoord kan gevonden worden bij rechtskundige stellingname dat het recht op de eerbiediging van het privéleven een subjectief recht, en bovenal een persoonlijkheidsrecht is. Als we meegaan in dit betoog wordt snel duidelijk dat een afgebakende definitie primordiaal is bij de bescherming van dit soort specifieke persoonlijkheidsrechten. Deze categorisering van het recht op privacy binnen zuiver de subjectieve rechten dreigt echter de persoonlijke vrijheid van rechtssubjecten nagenoeg volledig uit te hollen, waardoor de uitoefening van het recht veeleer gelimiteerd wordt dan gevrijwaard. 50. Desalniettemin kan een deviatie het privacy-‐recht enkel verschoond worden als deze zich voordeed in het kader van een legitieme doelstelling. Bij wijze van voorbeeld zou hier kunnen verwezen worden naar de recentelijke afluisterpraktijken vanwege de Amerikaanse overheid, met het oog op de strijd tegen het terrorisme. Dergelijke opvatting van de notie ‘privacy’ zou leiden tot een degeneratie ervan tot een bekrompen recht dat enkel beschutting biedt aan strikte en welomschreven aspecten, waardoor aan de werkelijke objectieven van de bescherming voorbijgegaan wordt. 85 84 S. GUTWIRTH, “Privacyvrijheid: geen recht, maar de individuele zelfbepalingsvrijheid” in L. BOEYKENS, P.

LAMBERT, P. THOMAS, P.J. HUSTINX (eds.), Privacy: Séminaire, Brussel, Ministerie van binnenlandse zaken, 1998, 93. 85 S. GUTWIRTH, “Privacyvrijheid: geen recht, maar de individuele zelfbepalingsvrijheid” in L. BOEYKENS, P. LAMBERT, P. THOMAS, P.J. HUSTINX (eds.), Privacy: Séminaire, Brussel, Ministerie van binnenlandse zaken, 1998, 96-‐97.

23


3. BESLUIT BIJ HOOFDSTUK 1 51. Na bovenstaande uiteenzetting kunnen we besluiten een goed beeld te hebben geschetst van de rol en functies van sociale netwerksites in onze huidige samenleving. We zagen hoe de snelle vooruitgang van communicatietechnologieën ons in staat stelt een deel van het werkelijke leven voort te zetten op een digitaal niveau. Deze verplaatsing bleek echter ook gewichtige risico’s in te houden voor de veiligheid van de persoonlijke levenssfeer van individuen op het internet. Uit onderzoek kwam zelfs naar voor dat deze laatsten, in tegenstelling tot de waarde die zij aan hun privacy hechtten en de wens naar een adequate bescherming ervan, vaak tegenstrijdig gedrag vertonen door het onbezonnen vrijgeven van persoonlijke informatie op sociale netwerksites. Desalniettemin is, teneinde dit recht optimaal te beschermen, een precieze afbakening van privacy-‐begrip primordiaal. We kunnen er echter, ondanks de vele fanatieke pogingen doorheen de jaren, van uitgaan dat het juridisch definiëren van het privacy-‐begrip allesbehalve kinderspel is. Daarbij is de notie onderhevig aan diverse maatschappelijke factoren en dient de complexiteit en het abstract karakter ervan benadrukt te worden. 52. Vooreerst constateerden we de beïnvloeding door continue evolutie van politieke, economische, sociale en politieke waarden, en merkten we op dat de invulling van het privacy-‐ recht vrij situatiegevoelig is. We zagen evenzeer dat het om een relatief begrip gaat, gezien de individuele belangen van personen de duiding ervan mee gaan bepalen. Tot slot dient het belang van de wettelijke waarde die aan het recht op privacy gegeven wordt, geaccentueerd te worden, gezien zij de intensiteit en degelijkheid ervan vastlegt. In onze westerse maatschappij vormt dit nagenoeg geen probleem, daar de eerbiediging van het privéleven een fundamenteel mensenrecht is dat door verschillende wetgevende instrumenten gevrijwaard wordt. 53. Teneinde dergelijke grondrechten van burgers, waaronder het recht op privacy, effectief te beschermen, dient de verzameling van persoonlijke informatie op het internet onderworpen te worden aan concrete en goed gefundeerde regels. Op Europees niveau wordt de bescherming van persoonsgegevens geregeld door de Richtlijn 95/46/EG betreffende de Bescherming van Natuurlijk Personen in verband met de Verwerking van Persoonsgegevens en betreffende het Vrije verkeer van die Gegevens. Deze supranationale wetgeving bepaalt voor het grootste deel de onderscheiden nationale wetgevingen met betrekking tot gegevensbescherming. Gezien de veranderde omstandigheden diende het Europees Parlement in 2012 een voorstel in tot een nieuwe verordening inzake gegevensbescherming. Het ziet ernaar uit dat deze regels

24


ingrijpende veranderingen teweeg zullen brengen voor het verzamelen en verwerken van persoonlijke gegevens. In het volgende hoofdstuk wordt een schets gemaakt van zowel de huidige Europese als Belgische geldende wetgeving en worden de relevante nieuwe bepalingen van de ontwerptekst van het voorstel tot Algemene Verordening Gegevensbescherming toegelicht.

25

Juridisch kader

HOOFDSTUK 2: JURIDISCH KADER 1. EUROPESE WETGEVING 1.1 ONTWIKKELINGEN 54. De eerbiediging van het privéleven wordt in Europa gewaarborgd sinds 1950 wanneer de Raad van Europa het Europees Verdrag voor de Rechten van de Mens (EVRM) goedkeurde.86 In de loop van de jaren 1960 en 1970 werd duidelijk dat de snelle evolutie van communicatietechnologieën, waaronder bijvoorbeeld het internet en de toenemende toezicht mogelijkheden, serieuze gevolgen kon inhouden voor zowel de private als de publieke sector. De toenmalige wetgeving ter bescherming van de privacy van persoonlijke informatie bood het hoofd niet meer aan de nieuwe problemen die rezen ten gevolge van deze evolutie. Zo zag men dat de invulling in het EVRM van het begrip van ‘privéleven’ onderhevig was aan een aantal beperkingen waardoor de draagwijdte ervan onzeker bleek en de toepassing vooral gericht was op het beschermen van onderdanen tegen het ongeoorloofd ingrijpen van overheden en niet tegen inmengingen van private organisaties. De nood naar een nieuw Europees juridisch kader was hoog. Daarom keurde de Raad van Europa in 1981 het Verdrag inzake Gegevensbescherming (Verdrag 108) goed en werd het door de meeste landen van de Europese Unie bekrachtigd. 87 Tegelijkertijd stelde de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) richtlijnen op om haar leden aan te sporen maatregelen te nemen om de persoonlijke informatie veilig te stellen.88 55. De eerbiediging van het privéleven en het recht op privacy liggen ongetwijfeld zeer dicht bij elkaar maar zijn toch elk op zich individuele en fundamentele rechten in het Europees Handvest 86 Het EVRM of Europees Verdrag voor de rechten van de Mens komt later aan bod. 87 Verdrag 108 van 28 januari 1981 tot bescherming van personen ten opzichte van de geautomatiseerde

verwerking van persoonsgegevens van de Raad van Europa, http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm . (Hierna: Verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens.) 88 Deze richtlijnen zijn te raadplegen op de website van het OECD: http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowso fpersonaldata.htm . In 2013 werden deze echter bijgewerkt om beter het hoofd te bieden aan hedendaagse problemen: http://www.oecd.org/sti/ieconomy/privacy.htm .

26

Juridisch kader

van de Grondrechten.89 Dit was de eerste maal dat de bescherming van persoonlijke gegevens als een afzonderlijk recht voor onderdanen werd omschreven. 56. Er moet evenwel een duidelijk onderscheid gemaakt worden tussen het initiatief van de Raad van Europa enerzijds en deze op het niveau van de Europese Unie. Dit in de volgende paragrafen wordt toegelicht.

1.2 RAAD VAN EUROPA 1.2.1 VERDRAG 108, een eerste internationaal bindend instrument 57. Zoals eerder vermeld nam de Raad van Europa in 1981 het Verdrag 108 tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens aan.90 Het is het eerste internationaal bindend instrument dat de juridische omkadering biedt voor de overdracht van persoonsgegevens tussen landen die het verdrag hebben geratificeerd.91 Elke nationale wetgeving dient volgens artikel 4 van het verdrag aan deze grondbeginselen uitvoering gegeven hebben vooraleer een staat kan toetreden. In het verdrag vindt men definities van bepaalde algemeen erkende beginselen en juridisch bindende normen en heeft tot doel om: “op het grondgebied van elke Partij aan iedere natuurlijke persoon, ongeacht zijn nationaliteit of verblijfplaats, de eerbiediging van zijn rechten en fundamentele vrijheden te waarborgen en met name zijn recht op persoonlijke levenssfeer ten opzichte van de geautomatiseerde verwerking van persoonsgegevens hem betreffend (« databescherming »).” 92 58. Deze beginselen vormen vandaag nog steeds de essentie van iedere nationale gegevensbeschermingswetgeving. Het verdrag bepaalt dat persoonlijke gegevens op een “eerlijke en rechtmatige wijze verkregen en verwerkt” moeten worden en dat ze slechts “mogen worden bewaard in een zodanige vorm dat de betrokkene hierdoor niet langer te identificeren is dan strikt noodzakelijk voor het doel waarvoor de gegevens zijn opgeslagen.” De technologisch-‐ 89 Het

Handvest van de Grondrechten van de Europese Unie werd goedgekeurd in het jaar 2000 en opnieuw bevestigd in 2007. 90 Het Verdrag werd in 2001 aangevuld met een nieuw protocol inzake grensoverschrijdend verkeer van gegevens en bepalingen inzake de toezichthoudende autoriteiten. Ook in 2012 werd het verdrag ingrijpend vernieuwd. De huidige tekst is te raadplegen op: http://www.coe.int/ t/dghl/standardsetting/dataprotection/TPD_documents/T-‐PD_2012_04_rev2_En.pdf. In 2013 werden opnieuw voorstellen ingediend ter modernisering van het Verdrag. Zie G. GREENLEAF, "Modernising' Data Protection Convention 108: A Safe Basis for a Global Privacy Treaty?", Computer Law & Security Review 2013, 4. 91 Tot op heden hebben 43 Europese staten het verdrag geratificeerd. 92 Artikel 1 van het Verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens.

27

Juridisch kader

neutrale bepalingen van het Verdrag legt een minimumbescherming vast inzake de bescherming van individuen tegen de aantasting van hun privacy door particulieren of openbare instellingen bij het verzamelen en verwerken van persoonlijke informatie. 93 94 59. Het recht op bescherming van persoonlijke informatie omvat ongetwijfeld de bescherming van de privacy maar reikt de facto veel verder dan dat. Uit het verklarend rapport over het verdrag leiden we af dat met de term ‘gegevensbescherming’ niet enkel het waarborgen het privacy-‐recht van de betrokken persoon bedoeld wordt maar ook de bescherming van fundamentele rechten en vrijheden. Zo leest men dat: “De preambule de verplichting inhoudt van de ondertekenende lidstaten tot bescherming van de mensenrechten en fundamentele vrijheden. Bovendien bevestigt het dat de onbelemmerde uitoefening van de vrijheid om informatie te verwerken, onder bepaalde voorwaarden, de uitoefening van andere fundamentele rechten (als bijvoorbeeld werkgelegenheid en koopdracht) nadelig kan beïnvloeden. Om een degelijk evenwicht tussen de verschillende rechten en individuele belangen te bewaren schrijft het verdrag bepaalde voorwaarden of beperkingen voor met betrekking tot het verwerken van informatie. Geen enkel ander motief kan de maatregelen die de contracterende staten ondernemen op dit gebied verantwoorden.” 95 60. De doelstelling van het verdrag is zeker niet om elke verwerking van persoonlijke gegevens vanzelfsprekend te kwalificeren als een inbreuk op het privéleven, maar dat, gelet op de bescherming van de fundamentele rechten en vrijheden (waaronder de persoonlijke levenssfeer), bij iedere verwerking rekening moet worden houden met welbepaalde voorwaarden en grenzen door de wet opgelegd.96 1.2.2 AANBEVELING van de Raad 61. De impact van sociale netwerksites op het dagelijkse leven van individuen bleef ook de Raad van Europa niet onopgemerkt. In 2012 gaf het Comité van Ministers enkele aanbevelingen

93 X., “Dag van de gegevensbescherming: waarborging van het recht op privacy”, Press releases database,

Europese Commissie, 2011, http://europa.eu/rapid/press-‐release_IP-‐11-‐102_nl.htm. 3 van het Verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens. 95 Explanatory Report on the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Strasbourg, Council of Europe, 1981, 13, nr. 25. 96 P.J. HUSTINX, “Gegevensbescherming in de informatiemaatschappij” In E.J. NUMANN (ed.), Massificatie in het privaatrecht. Opstellen ter gelegenheid van het 200-‐jarige bestaan van het genootschap Iustitia et Amicitia, Deventer, Kluwer, 2010, 77. 94 Artikel

28

Juridisch kader

inzake de bescherming van de fundamentele mensenrechten in het kader van sociale netwerkdiensten.97 De aanbeveling is onderverdeeld in drie delen. 62. Vooreerst benadrukt het Comité de positieve en bevorderende functie van sociale netwerksites op het vlak van de democratie en de beleving van de fundamentele mensenrechten. Zo wordt gesteld dat deze netwerken tegenwoordig de toegankelijkheid en mogelijkheid tot participatie van personen in het politieke, sociale en culturele leven versterken. Bovendien bieden ze een effectief platform aan individuen voor het uitoefenen van hun basisrechten zoals ‘het recht op vrije meningsuiting’, ‘de vrijheid van gedachte en geweten’ en de ‘vrijheid van informatie’.98 63. In het tweede onderdeel van de aanbeveling waarschuwt de Raad voor mogelijke risico’s die het gebruik van sociale netwerken met zich kunnen meebrengen voor datzelfde recht op vrije meningsuiting , de eerbiediging van het privéleven en wordt gewezen op de mogelijke uitsluiting van gebruikers. Deze risico’s zijn vooral te wijten aan: een gebrek aan legale en procedurele beschermingsmaatregelen om kinderen af te schermen van schadelijke inhoud of gedragingen en tegen de miskenning van andermans rechten, het ontbreken van privacy-‐vriendelijke standaardinstellingen en een duidelijke kennisgeving van de beweegredenen voor de verzameling van informatie.

99

Daarnaast wijst het Comité op de het belang van

mediageletterdheid in het kader van sociale netwerken om de hiervoor genoemde gevaren af te wenden, bij het bewustmaken van gebruikers inzake de rechten waarover ze beschikken en op welke manier ze die van anderen optimaal eerbiedigen.100 64. Het laatste onderdeel worden aanbieders van sociale netwerkdiensten aangemaand om de algemene procedurele rechten van onderdanen te respecteren. Ook lidstaten worden aangespoord om in overleg met deze aanbieders een samenhangend beleid te ontwikkelen inzake de bescherming van de mensenrechten op sociale netwerksites in overeenstemming met de doelstellingen opgenomen in de appendix.101 97 Aanbeveling CM/Rec(2012)4 van 4 april 2012 van het Comité van Ministers inzake de bescherming van

mensenrechten met betrekking tot sociale netwerkdiensten, https://wcd.coe.int/ViewDoc.jsp?Ref=CM/Rec(2012)4&Language=lanFrench&Ver=original&Site=CM&Ba ckColorInternet=DBDCF2&BackColorIntranet=FDC864&BackColorLogged=FDC864. (Hierna: Aanbeveling van het Comité van Ministers inzake sociale netwerksites). 98 Overweging 1 en 2 Aanbeveling van het Comité van Ministers inzake sociale netwerksites, 1. 99 Overweging 3 Aanbeveling van het Comité van Ministers inzake sociale netwerksites, 1. 100 Overweging 4 Aanbeveling van het Comité van Ministers inzake sociale netwerksites, 1. 101 Overweging 5 en 6 Aanbeveling van het Comité van Ministers inzake sociale netwerksites, 1-‐2; Appendix bij de Aanbeveling van het Comité van Ministers inzake sociale netwerksites, 2-‐6. De doelstellingen van deze appendix zijn op hun beurt eveneens onderverdeeld in drie thema’s. Een eerste

29

Juridisch kader

65. Over de draagwijdte en gevolgen van de aanbevelingen van de Raad van Europa kan nog niet veel gezegd worden. Wat wel vaststaat is dat het hier gaat om loutere ‘aanbevelingen’, en deze zijn bijgevolg niet bindend voor de Lidstaten van de Raad. Daarentegen hebben ze wel een belangrijke morele waarde.102

1.3 DE RICHTLIJN BESCHERMING PERSOONSGEGEVENS (EUROPESE UNIE) 66. Sinds het jaar 2000 vindt de bescherming van deze persoonsgegevens haar grondslag in artikel 8 van het Handvest van de grondrechten van de Europese Unie, gezien ze een zeer essentieel element is om het recht op privacy te waarborgen. 103 Het verdrag stond echter de ontwikkeling van de interne markt en de economische voordelen die ervan verwacht werden in de weg. Op vraag van het Europese Parlement diende de Europese Commissie een voorstel in bij het Europese Parlement en de Raad van Ministers van de Europese Unie, met als doelstelling ‘het vrije verkeer van persoonlijke gegevens binnen de Europese Unie te garanderen’. 104 67. Op 24 oktober 1995 werd de ‘Richtlijn betreffende de verwerking en bescherming van persoonsgegevens’ (of korter RBP) goedgekeurd. Deze richtlijn staat ook gekend als de ‘Privacyrichtlijn’. 105 In 2008 vulde de Raad deze richtlijn aan met een Kaderbesluit. 106 De richtlijn tracht in haar eerste artikel te voorzien in een algemeen juridische omkadering voor de verwerking en bescherming van persoonsgegevens en in het waarborgen van het ‘vrije verkeer’ van deze gegevens tussen alle lidstaten van de Europese Unie.107 Uit de overwegingen van de richtlijn wordt al snel duidelijk wat de uiteindelijke beweegredenen waren voor het tot stand thema gaat over welke informatie essentieel is voor gebruikers om op een goede manier met sociale netwerken om te gaan(overwegingen 1 tot 4), In het tweede onderdeel worden richtlijnen gegeven aan lidstaten voor het nemen van maatregelen inzake de bescherming van kinderen en jongeren tegen schadelijke inhoud(overwegingen 5 tot 11), en in het laatste actiegebied bevinden zich de voorschriften met betrekking tot het verwerking van persoonsgegevens(overwegingen 12 tot 15). 102 E. WOUTERS, "Mensenrechten en sociale media', EMSOC, 18 april 2012; http://www.emsoc.be/3298-‐ mensenrechten-‐en-‐sociale-‐media/. 103 Het Handvest betreffende de Grondrechten van de Europese Unie, Pb.L. 18 december 2000, afl. 364, 1-‐ 22. Te raadplegen op: http://www.europarl.europa.eu/charter/pdf/text_nl.pdf . 104 T.F.M. HOOGHIEMSTRA en S. NOUWT, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag, Sdu Uitgevers, 2007, 15. 105 Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb.L. 23november 1995, afl. 281, 31-‐50. (Hierna: Richtlijn Bescherming Persoonsgegevens.) 106Kaderbesluit 2008/977/JBZ van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, Pb.L. 30 december 2008, afl. 350, 60 e.v. 107 Artikel 1 Richtlijn Bescherming Persoonsgegevens.

30

Juridisch kader

komen van deze richtlijn. Overweging 4 en 5 verklaren dat deze richtlijn er moest komen omdat in die periode steeds meer persoonsgegevens verwerkt werden en ondernemingen, die zich bovendien in verschillende lidstaten gevestigd hadden, vaker deze informatie onderling gingen uitwisselen. Het bewustzijn van de steeds belangrijkere rol van elektronische communicatie en technologische evoluties in de informatiemaatschappij wordt door overweging 6 in de verf gezet. Naast de bescherming legt de richtlijn terzelfdertijd ook strikte grenzen op aan het vergaren en verwerken van persoonlijke gegevens. Persoonlijke gegevens worden door aanbieders van diensten op het internet op allerlei manieren verzameld en opgeslagen in allerhande databanken. Wanneer deze opgeslagen gegevens misbruikt worden, houdt dit een inbreuk in op het recht op privacy.108 1.3.1 Werkingssfeer 68. De richtlijn bepaalt in artikel 3 dat ze van toepassing is “op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-‐geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.” 109 Met andere woorden is de bescherming zowel van kracht wanneer de verwerking gebeurt met behulp van communicatietechnologieën, alsook wanneer er geen geautomatiseerde verwerking plaatsvond. Hieruit kunnen we afleiden dat de verwerking van persoonsgegevens door sociale netwerksites onder het toepassingsgebied valt. 69. De wet geeft ook een invulling aan bepaalde belangrijke en relevante begrippen als persoonsgegevens, verwerking van persoonsgegevens, verwerker, toestemming van de betrokkene,... 110 Zo worden ‘persoonsgegevens’ bijvoorbeeld omschreven als: “iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke

108 J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐Deel 2: Artikelsgewijze commentaar -‐ Volume I,

Antwerpen, Intersentia, 2004, 735, nr. 34. “Onder auspiciën van de Raad van Europa werd in 1981 een aanvullend verdrag gesloten: het zgn. Dataprotectie-‐verdrag. Dit verdrag is een uitwerking van het recht op eerbiediging van het privéleven van artikel 8 EVRM voor de bescherming van persoonsgegevens bij geautomatiseerde verwerking en is de aanzet geweest tot het uitvaardigen van de Belgische Wet Bescherming Persoonsgegevens van 1992.“ (Hierna: J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐Deel 2: Artikelsgewijze commentaar -‐ Volume I.) 109 Artikel 3, 1 Richtlijn Bescherming Persoonsgegevens. 110 Artikel 2, a) – h) Richtlijn Bescherming Persoonsgegevens.

31

Juridisch kader

elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.” 1.3.2 Algemene voorwaarden betreffende de legitimiteit van de gegevensverwerking. 70. In het tweede hoofdstuk van de richtlijn worden een aantal beginselen uiteengezet waaraan bij de verwerking van persoonsgegevens voldaan moet worden. Zo komen de kwaliteit, de toelaatbaarheid, uitzonderingen en enkele bijzondere categorieën aan bod. 71. Artikel 6 RBP legt de lidstaten op om te bepalen dat persoonsgegevens eerlijk en rechtmatig, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en niet verwerkt mogen worden op een manier die onverenigbaar zou zijn met deze doelstellingen. Zij dienen, uitgaande van die doeleinden, toereikend, ter zake dienend en niet overmatig te zijn. 111 De gegevens moeten ook nauwkeurig zijn en indien nodig worden bijgewerkt. Ze moeten verwerkt worden in een vorm die het mogelijk maakt de betrokkene te identificeren en mogen slechts voor de tijd die noodzakelijk is om de doelstellingen te bereiken worden bewaard. De verantwoordelijke voor de verwerking heeft dan ook de plicht toe te zien op de naleving van deze vereisten. Hier wordt later dieper op ingegaan. De toelaatbaarheid van de verwerking wordt besproken in artikel 7 van de richtlijn. Het artikel beschrijft de verschillende modaliteiten waarin het toegelaten is om persoonsgegevens te verwerken. Gegevens mogen enkel verwerkt worden wanneer dit noodzakelijk is om de doelstellingen te bereiken. 112 Dit is de veruitwendiging van het ‘proportionaliteitsbeginsel’. 113 72. Vervolgens worden enkele bijzondere categorieën voor de verwerking uiteengezet. Lidstaten worden verplicht te bepalen dat het verwerken van gegevens waaruit raciale of etnische afkomst, godsdienstige of levensbeschouwelijke overtuiging, politieke opvattingen of lidmaatschap van een vakvereniging blijkt, verboden is. Verder is ook de verwerking van gegevens die de gezondheid of het seksuele betreffen uit den boze. 114

111 Dit noemt men ook wel het ‘Finaliteitsbeginsel of het beginsel van het gerechtvaardigd doeleinde is de

basis van de privacybescherming in vele landen; K. VAN RAEMDONCK, De verwerking van persoonsgegevens in de banksector. De invloed van de Wet van 8 december 1992, Jura Falc. 1996, 649-‐690. 112 Artikel 7 Richtlijn Bescherming Persoonsgegevens. 113 Dit is een juridisch beginsel dat inhoudt dat een sanctie in verhouding dient te zijn met de zwaarte van de fout, overtreding. Dit om willekeur in strafmaten te voorkomen. 114 Artikel 8 Richtlijn Bescherming Persoonsgegevens.

32

Juridisch kader

73. Echter, om het recht op privacy te harmoniseren met het recht op vrije meningsuiting wordt, uitsluitend voor journalistieke, artistieke of literaire doeleinden, in een uitzondering voorzien.115 De lidstaten dienen daarom, enkel voor zover nodig, een afwijking op de gedragscodes en regels in verband met de doorgifte van gegevens naar derde landen toe te staan. 116 74. De artikelen 10 en 11 zijn de uitwerking van het ‘transparantiebeginsel’. Ze bepalen welke informatie minimaal dient gegeven te worden aan de persoon wiens gegevens verwerkt worden. Betrokkenen beschikken bovendien over een ‘recht van toegang’, dat is het recht om de gegevens te raadplegen, maar ook over een ‘recht van rectificatie en uitwisseling of afscherming van gegevens waarvan de verwerking niet overeenstemt met de bepalingen van de richtlijn’.117 In artikel 13 komen de uitzonderingen en beperkingen op de voorgaande artikels aan bod. Lidstaten hebben de mogelijkheid om wettelijke beperkingen op te leggen aan de toepassing van artikelen 6, 10, 11, 12 en 21; respectievelijk aan de kwaliteit van gegevens, de informatieverstrekking, het recht van toegang en de openbaarheid van de verwerking. 75. De Richtlijn legt daarenboven aan lidstaten de verplicht op om de betrokkene een recht van verzet toe te kennen in de vermelde omstandigheden118, en artikel 15 beschermt elk individu tegen beslissingen die louter gebaseerd zijn op geautomatiseerde systemen van gegevensverwerking. Het vertrouwelijkheidsbeginsel de beveiliging van de verwerking vinden hun grondslag in artikel 16 en 17. Voorts legt het tweede hoofdstuk een verplichting tot melding bij de toezichthoudende overheid op aan de verantwoordelijke voor de verwerking (artikel 18).119 De regelen in verband met deze toezichthoudende autoriteit liggen vast in artikel 20 en 21. 1.3.3 Geen specifieke bescherming voor minderjarigen 76. Hoewel de bepalingen van de RBP natuurlijk ook van toepassing zijn op minderjarigen, zijn er geen bepalingen die de situatie van minderjarigen in het bijzonder regelen. Men kon echter 115 Artikel 9 Richtlijn Bescherming Persoonsgegevens. 116 Hoofdstukken IV en V Richtlijn Bescherming Persoonsgegevens. 117 Artikel

12, c) Richtlijn Bescherming Persoonsgegevens: Betrokkenen hebben ook het recht van kennisgeving aan derden van elk van de handelingen in a) en b). 118 Artikel 14 Richtlijn Bescherming Persoonsgegevens 119 De inhoud van de melding wordt bepaald in artikel 19. Zoals eerder vermeld legt Artikel 28 van de Richtlijn Bescherming Persoonsgegevens aan elke lidstaat op om een autoriteit op te richten die wordt belast met het toezicht op de toepassing van de geïmplementeerde bepalingen van de richtlijn op zijn grondgebied. In België werd de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (of het CBPL) opgericht om aan de toezichtplicht op de toepassing van de privacywet van 8 december 1992 te voldoen.

33

Juridisch kader

ten tijde van de redactie van de Richtlijn in ‘95 nog niet weten welke enorm belangrijke rol het internet en sociale netwerken in ons leven zouden innemen, waardoor er geen specifieke bepalingen met betrekking tot minderjarigen of jongeren werden voorzien. In tegenstelling tot de huidige richtlijn zien we dat er in het voorstel van Europees Commissaris Viviane Reding tot het Algemene verordening inzake Gegevensbescherming dat er wel in het bijzonder aandacht wordt besteed aan de bescherming van de persoonlijke informatie van minderjarigen.120 (Het voorstel wordt later toegelicht.)

1.4 EVRM 1.4.1 Artikel 8 EVRM 77. Bij de schetsing van het huidig juridisch kader kunnen de bepalingen van het Europees Verdrag voor de Rechten van de Mens (EVRM) zeker niet buiten schot blijven. Het is één van de voornaamste Europese verdragen inzake het recht op privacy. De bescherming van dat recht en van het communicatiegeheim vinden hun grondslag in artikel 8 van het EVRM.121 Het artikel luidt als volgt: “Lid 1 Een ieder heeft recht op respect voor zijn privéleven, zijn familie-‐ en gezinsleven, zijn woning en zijn correspondentie. Lid 2 Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen;” 122 78. Hoewel het artikel zowel spreekt over de eerbiediging van de woning, het gezinsleven, de correspondentie als over de eerbiediging van het ‘privéleven’, vervult deze laatste in het

120 Hier

moet de vergelijking gemaakt worden met de Amerikaanse COPPA, waarop de regels in de Ontwerptekst gebaseerd zijn. 121 Het Verdrag 4 november 1950 tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: EVRM) is te raadplegen op: http://www.echr.coe.int/Documents/Convention_NLD.pdf . 122 Artikel 8 EVRM.

34

Juridisch kader

algemeen de rol van overkoepelend begrip dat de andere elementen uit het eerste lid omvat. 123 In de Belgische rechtspraak wordt de directe werking van de meeste artikels van het EVRM aanvaard waardoor particulieren zich ten overstaan van nationale of Europese rechterlijke instanties rechtstreeks op de bepalingen ervan kunnen beroepen.124 1.4.2 Relatief recht 79. Er moet echter wel gewezen worden op het feit dat artikel 8 een relatief recht is 125, gezien de artikels 8 tot en met 11 van het EVRM bepalen in hun tweede lid bepalen onder welke omstandigheden afgeweken kan worden. Deze bepalingen worden ’escape-‐clausules genoemd.126 Dit betekent dat, hoewel het recht zowel inhoudelijk als in reikwijdte duidelijk wordt omschreven, de mogelijkheid bestaat dat het onderworpen wordt aan inmengingen of beperkingen waardoor in specifieke omstandigheden de toepassing ervan belet wordt door de bescherming van een ander, hoger recht (bijvoorbeeld het recht op vrije meningsuiting).127 In paragraaf 2 van artikel 8 EVRM lezen we de voorwaarden aan welke moet voldaan zijn zodat een inmenging toegelaten is, namelijk wanneer ze “noodzakelijk is voor de democratische samenleving”, “ze bij wet is voorzien” en gebeurt “in het belang van een legitieme doelstelling”.

128

1.4.3 De notie ‘privéleven’ 80. Om een duidelijk beeld te vormen van de draagwijdte van de bescherming van het privéleven die het EVRM biedt is het noodzakelijk dit begrip duidelijk af te bakenen. Het Europese Hof voor de Rechten van de Mens (Hierna: EHRM) gaf het door middel van haar rechtspraak een concrete invulling.129 Het recht op eerbiediging van het privéleven omvat het recht op autonomie om zelf te bepalen op welke manier men zijn leven leidt, om beschermd te worden tegen de nieuwsgierigheid van anderen en om te beslissen over welke zaken van zijn privéleven hij openbaar maakt. De persoonlijke autonomie die ons in staat stelt beslissingen te P. DE HERT, “Recht op privacy” in J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐ Deel 2: Artikelsgewijze commentaar -‐ Volume I, 711-‐713. 124 J.S. VANWIJNGAERDEN, “De werking van grondrechten tussen particulieren, geïllustreerd met voorbeelden”, Jura Falc. 2007, 217-‐248. 125 J. VANDE LANOTTE, Handboek EVRM -‐ Deel 1: Algemene Beginselen, Antwerpen, Intersentia, 2004, 94. (Hierna: J. VANDE LANOTTE, Handboek EVRM -‐ Deel 1: Algemene Beginselen,.) 126 J. VANDE LANOTTE, Handboek EVRM -‐ Deel 1: Algemene Beginselen, 123. 127 J. VANDE LANOTTE, Handboek EVRM -‐ Deel 1: Algemene Beginselen, 92. 128 P. DE HERT, “Recht op privacy” in J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐ Deel 2: Artikelsgewijze commentaar -‐ Volume I, 711-‐712. 129 P. LEMMENS (ed.), Uitdagingen door en voor het E.V.R.M., Mechelen, Kluwer, 2005, 3-‐14. 123

35

Juridisch kader

maken betreffende ons eigen leven is een kernelement van het recht op eerbiediging van het privéleven. 130 Een ander onderdeel is het recht op een persoonlijke identiteit, waaronder ook het recht op naam en het recht om informatie over zijn identiteit te krijgen.131 Ook de morele, fysieke en psychische integriteit132, de levenskwaliteit133 en de seksuele oriëntatie van personen worden door dit recht beschermd.134 81. Het wordt duidelijk dat, gezien de grote hoeveelheid rechtspraak hieromtrent, het concept ‘privéleven’ een enorme lading dekt en dat het Hof op deze manier de invulling van het begrip tracht af te bakenen. 1.4.4 Verplichtingen 82. Het recht op eerbiediging van het privéleven van artikel 8 EVRM legt aan staten de negatieve verplichting op om geen inmengingen te doen in het privéleven van burgers, tenzij dit bij wijze van uitzondering door §2 van het artikel toegelaten wordt.135 Naast de negatieve verplichting legt het recht ook positieve verplichtingen op.136 De staat moet het eerst en vooral mogelijk maken het recht op eerbiediging van het privé-‐en gezinsleven uit te oefenen maar moet anderzijds handelingen van particulieren die een inbreuk uitmaken op het recht voorkomen en zo nodig sanctioneren.137 Het opleggen van deze verplichtingen is een middel om het stilzitten van de interne overheid tegen te gaan. In de praktijk hebben de positieve verplichtingen tot een verruiming van de werkingssfeer en de draagwijdte van de artikelen geleid waardoor deze nu ook toepasselijk zijn op aspecten waarop het verdrag voorheen amper een invloed had.138

130 B. DOCQUIR, Le droit de la vie privée, Brussel, Larcier, 2008, 65-‐73. 131 EHRM 13 februari 2003, nr. 42326/98, Odièvre v. France, E.H.R.R. 2003, § 29; EHRM 22 februari 1994,

nr. 16213/90, Burghartz v. Switzerland, Publ.Hof, Vol. 280-‐B, § 24.

132 B. DOCQUIR, Le droit de la vie privée, Brussel, Larcier, 2008, 65-‐73.

P. DE HERT, “Recht op privacy” in J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐ Deel 2: Artikelsgewijze commentaar -‐ Volume I, 731-‐732. 134 P. DE HERT, “Recht op privacy” in J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐ Deel 2: Artikelsgewijze commentaar -‐ Volume I, 732-‐735. 135 C. RUSSO, “Article 8, § 1” in L.-‐E. PETTITI, E. DECAUX en P.-‐H. IMBERT (eds.), La Convention Européenne des Droits de l’Homme. Article par article, Parijs, Economica, 1995, 306-‐307. 136 C.W. VAN DER POT, D.J. ELZINGA en R. DE LANGE (eds.), Handboek van het Nederlandse staatsrecht, Deventer, Kluwer, 2006, 391; EHRM 31 januari 2006, nr. 50435/99, Rodrigues da Silva v. Nederland. 137 P. DE HERT, “Recht op privacy” in J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐ Deel 2: Artikelsgewijze commentaar -‐ Volume I, 740-‐741. 138 J. VANDE LANOTTE, Handboek EVRM -‐ Deel 1: Algemene Beginselen, 99-‐100. 133

36

Juridisch kader

1.4.5 Positieve verplichtingen voortvloeiend uit het EVRM 83. Het wordt algemeen aanvaard dat minderjarigen ook onder het toepassingsgebied vallen van de bepalingen omtrent de eerbiediging van het privéleven van artikel 8 EVRM.139 Bijgevolg gelden voor verdragstaten dezelfde positieve verplichtingen tegenover kinderen. Zo bevestigde het EHRM in haar uitspraak van 2 december 2008 in de zaak K.U. tegen Finland de positieve verplichtingen van verdragstaten bij de bescherming van de privacy van minderjarigen, meer bepaald op het internet.140 1.4.5.1 K.U. tegen Finland 84. De zaak werd ingeleid in 1999 door een klacht van een twaalfjarig Fins kind (K.U.) dat het slachtoffer was geworden van online pedofiele praktijken. Een onbekende persoon had in de naam van K.U. een advertentie op een online datingsite geplaatst waarin hij te kennen gaf op zoek te zijn naar een intieme relatie. De advertentie vermeldde daarenboven ook zijn geboortejaar, leeftijd, een nauwkeurige beschrijving van zijn fysieke kenmerken en een directe link naar zijn persoonlijke webpagina waarop zijn foto en telefoonnummer te zien waren. De betrokkene (K.U.) was hiervan niet op de hoogte tot op het moment dat hij een e-‐mail kreeg van een geïnteresseerde man. De vader contacteerde de politiediensten met de vraag om de identiteitsgegevens van de betrokken man op te sporen teneinde hem strafrechtelijk te vervolgen. Hierop diende de politie een verzoek in bij de Rechtbank te Helsinki om de internet service provider, bij wie de advertentie geplaatst was, op te dragen de identiteit van de dader kenbaar te maken. Dit verzoek werd echter afgewezen, waarop hoger beroep werd aangetekend. Toch werd zowel door het Hof van Beroep als in cassatie (bij de Hoge Raad van Finland) het eerste vonnis aangehouden. K.U. zag zich genoodzaakt zich te wenden tot het Europees Hof voor de Rechten van de Mens in Straatsburg.141 85. Een substantiële vraag die het Hof diende te beantwoorden was of van de Finse staat kon verwacht worden dat ze, op het moment van de feiten, reeds in een wettelijke regeling voor misbruiken door pedofielen op het internet te voorzien. Finland verweerde zich door te wijzen op het feit dat het fenomeen van online misbruik door pedofielen in die tijd nog betrekkelijk onbekend was. 139 E. LIEVENS, Protecting Children in the Digital Era. The Use of Alternative Regulatory

Instruments, Boston, Martinus Nijhoff Publishers, 2010, 316. 140 EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, NJCM-‐Bulletin 2009, 282-‐285. 141 M. GROOTHUIS, noot onder EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, NJCM-‐Bulletin 2009,

281; M. GROOTHUIS , ”Uitspraak EHRM over bescherming van minderjarigen op internet”, Computerr. 2009, 91.

37

Juridisch kader

In haar uitspraak haalde het Hof echter aan dat het ten tijde van de feiten in 1999 reeds algemeen geweten was dat het internet, door haar anonieme karakter, een middel kon zijn voor plegen van criminele feiten en dat de problematiek omtrent pedofilie de maatschappij zeker niet onbekend was. Het Hof van dus van mening dat de Finse overheid zich niet kon verschuilen achter haar verwering en dat ze reeds vroeger in maatregelen had moeten voorzien. Bijkomend stelt het Hof dat de Finse wetgever hierbij een evenwicht had moeten vinden tussen enerzijds de vertrouwelijkheid van dienstverlening op het internet en het recht op expressievrijheid van artikel 10 EVRM, en anderzijds dergelijke misdrijven te voorkomen en het waarborgen van het recht eerbiediging van het privéleven van anderen, in het bijzonder van dat van kinderen.142 1.4.5.2 Positieve Verplichting 86. Bij de beoordeling en afweging van de verplichtingen van de staat om zowel de belangen van internetgebruikers als deze van kinderen te beschermen overweegt het Hof dat de Finse regering op grond van artikel 8 EVRM de positieve verplichtingen had om het privéleven van minderjarigen effectief te waarborgen door het voorzien van passende procedurele mogelijkheden binnen het strafrecht.143 Het Hof stelde vast dat hoewel de Finse Wetgever in haar Wet op de Vrijheid van Meningsuiting in de Massamedia had voorzien in dergelijke regeling, deze ten tijde van de feiten nog niet in werking was getreden waardoor K.U. niet van deze bescherming kon genieten en de Finse regering haar positieve verplichtingen niet nagekomen was.144 1.4.5.3 Anonimiteit 89. Een ander belangrijk aspect in deze zaak was de anonimiteit van personen op het internet. Anonimiteit is nu eenmaal een gevolg van de techniciteit van het internet en kan ongetwijfeld ook een positief gevolg hebben voor het recht op vrije meningsuiting.145 De hoofdaanleiding van 142 M. GROOTHUIS, noot onder EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, NJCM-‐Bulletin 2009,

281. 143 Niettegenstaande het feit dat het doel van artikel 8 EVRM in essentie is burgers te beschermen tegen

een willekeurige inmenging van de overheid. ; M. GROOTHUIS, noot onder EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, NJCM-‐Bulletin 2009, 287. 144 Het Europees Hof legt in deze uitspraak de lidstaat duidelijk de positieve verplichting op om in strafrechtelijke procedure te voorzien voor strafbare feiten op het internet. Eerder had het EHRM in de zaken X en Y v. Nederland (dat een toonaangevend arrest was inzake de positieve verplichtingen voor staten inzake de persoonlijke integriteit van onderdanen) en M.C. v. Bulgarije onder artikel 8 EVRM lidstaten opgelegd effectieve straffen op te leggen bij het dwingen van kinderen tot ontuchtige handelingen. L. STEVENS, noot onder EHRM 4 december 2003, No. 39272/98, M.C. v. Bulgarije, RW 2005, 1235; EHRM 26 maart 1985, No. 8978/80, X en Y v. Nederland. T. DECAIGNY, “Positieve mensenrechtenverplichtingen met betrekking tot politie en justitie. Verduidelijking aan de hand van Europese rechtspraak over intrafamiliaal geweld en seksueel misbruik”, T.Strafr. 2012, 7-‐15. 145 M. GROOTHUIS, noot onder EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, NJCM-‐Bulletin 2009, 288.

38

Juridisch kader

zaak tegen Finland was de onmogelijkheid tot achterhalen van de identiteit van de persoon die de rechten van K.U. met de voeten getreden had, waardoor deze laatste geen vervolging kon instellen. 90. Principle 7 van de ‘Declaration on freedom of communication on the Internet’ van de Raad van Europa bevestigt het bestaan van een recht op anonimiteit op het internet, maar bepaalt terzelfdertijd ook dat dit lidstaten niet belet om maatregelen te nemen om daders van criminele feiten op te sporen in overeenstemming met de nationale wetgeving, het EVRM of andere internationale overeenkomsten.146 Met de bewoording: “Although freedom of expression and confidentiality of communications are primary considerations and users of telecommunications and Internet services must have a guarantee that their own privacy and freedom of expression will be respected, such guarantee cannot be absolute and must yield on occasion to other legitimate imperatives, such as the prevention of disorder or crime or the protection of the rights and freedoms of others.” 147, stelt het Hof dat het uitoefenen van dat recht op anonimiteit onder geen enkel beding een ‘free pass’ is om bepaalde verplichtingen te omzeilen.148 1.4.5.1 Besluit bij Artikel 8 EVRM 91. Door de algemene bewoording van artikel 8 EVRM is de bepaling beter opgewassen tegen nieuwe problemen en evoluties op het internet dan de Privacyrichtlijn en dekt zij een bredere lading.149 Het blijft met andere woorden een duurzame rechtsfundering voor de bescherming van de privacy online. Desalniettemin valt het te betreuren dat het EVRM steeds beoordeeld dient te worden navenant de zich voordoende situatie waardoor artikel 8 moeilijker in te zetten is.150 Daarenboven wordt aan artikel 8 EVRM slechts een verticale werking gegeven en is het bijgevolg enkel tegen overheden inroepbaar. Men moet bovendien ook steeds rekening houden met de vereiste van het uitputten van alle interne rechtsmiddelen (wat ettelijk aantal jaren in beslag kan nemen151) alvorens men zich tot het Europees Hof Voor de Rechten van de Mens kan wenden.152 De Declaration on freedom of communication on the Internet is te raadplegen op: https://wcd.coe.int/ViewDoc.jsp?id=37031 . 147 EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, §49. 148 D. VOORHOOF, “Recht op anonimiteit op internet brokkelt af”, Juristenkrant 14 januari 2009, 5. 149 Het EHRM bevestigde de ruime bewoording van het artikel in diverse arresten. E.J. DOMMERING, noot onder EHRM 15 januari 2009, Nr. 1234/05, Reklos en Davourlis v. Griekenland, AMI 2009, 188-‐198; E.J. DOMMERING, noot onder EHRM 7 februari 2012, Nr. 40660/08, Von Hannover v. Duitsland II, NJ 2013, nr. 250 en EHRM 7 februari 2012, Nr. 39954/08, Springer v. Duitsland, NJ 2013, nr. 251; E.J. DOMMERING, noot onder EHRM 5 oktober 2010, Nr. 420/07, Köpke v. Duitsland, NJ 2011, 566. 150 J. VANDE LANOTTE, Handboek EVRM -‐ Deel 1: Algemene Beginselen, 207-‐216. 151 Bij het overlopen van de procedure valt op dat de definitieve uitspraak door het Hof slecht in 2008 gedaan werd. Het lijkt merkwaardig dat dan pas een eerste uitspraak omtrent de bescherming van 146

39

Juridisch kader

1.5 DE E-‐PRIVACY RICHTLIJN 1.5.1 Achtergrond en werkingssfeer 92. Het spreekt voor zich dat de regeling van de RBP ook toepasselijk is op de verwerking van gegevens op het internet. De nood aan een specifieke bescherming van de persoonlijke levenssfeer in de sector van de elektronische communicatie is een gevolg van de eerder aangehaalde ontwikkeling van nieuwe communicatie-‐ en informatietechnologieën, de zogenaamde ICT. Bijvoorbeeld het internet, sociale netwerksites en e-‐mail adressen dienen onderworpen te worden aan maatstaven die de bescherming van de privacy garanderen. Om hieraan tegemoet te komen hebben het Europese Parlement en de Raad van Europa de ‘Richtlijn betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie’ in het leven geroepen.153 De richtlijn bepaalt de elementaire regelgeving die het vertrouwen in deze technologieën en diensten moeten versterken.

154

Zo wordt een regeling gestipuleerd omtrent de voorafgaande

toestemming van gebruikers (‘opt in’), de ongewenste reclameboodschappen (‘spam’) en zo worden ook de afspraken in verband met ‘cookies’ vastgelegd. 155 1.5.2 ‘Cookies’ en ‘opt-‐in’-‐regeling 93. Hierboven werden enkele begrippen aangehaald die in de Richtlijn worden geregeld. Deze moeten worden toegelicht gezien ze nauw verbonden en zeer belangrijk zijn voor de werking van sociale netwerksites.

kinderen tegen pedofiele praktijken op het internet gepubliceerd werd. Dit toont de ‘juridische vertraging’ des te meer aan. 152 A.R. LODDER, A. ENGELFRIET, D. MEKIC, R. VAN DEN HOVEN VAN GENDEREN e.a., “Recht en Web 2.0 – Bewerkte bloemlezing uit www.internetrecht20.nl”, Publicatiereeks NVvIR, Nr.27, 2010, 121; http://da.nny.nl/wp-‐content/uploads/2008/05/rechtenweb20.pdf (Hierna: A.R. LODDER, A. ENGELFRIET, D. MEKIC, R. VAN DEN HOVEN VAN GENDEREN e.a., “Recht en Web 2.0”) ; Artikel 35, lid 1 EVRM. 153 Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn “privacy en elektronische communicatie”), Pb.L. 31 juli 2002, afl. 201, 37-‐47; Te raadplegen op: http://eur-‐lex.europa.eu/LexUriServ/LexUriServ. do?uri=CELEX:32002L0058:nl:HTML . 154 Artikel 1 E-‐Privacyrichtlijn 155 X., “Samenvattingen van de EU wetgeving”, 2013, http://europa.eu/legislation_summaries/ information_society/legislative_framework/l24120_nl.htm.

40

Juridisch kader

94. De E-‐Privacyrichtlijn regelt de bepalingen in verband met ‘cookies’.156 “Een ‘cookie’ is een hoeveelheid data die een server naar de browser stuurt met de bedoeling dat deze opgeslagen wordt en bij een volgend bezoek weer naar de server teruggestuurd wordt. Zo kan de server de browser opnieuw herkennen en bijhouden wat de gebruiker, c.q. de webbrowser, in het verleden heeft gedaan.” 157 Het is een klein tekstbestand dat, op verzoek van een webserver, kortstondig wordt opgeslagen op een webbrowser van een internetgebruiker (zoals Safari of Internet Explorer). Een cookie laat een website toe een bepaalde browser te herkennen en gebruikersvoorkeuren bij te houden. Dit zal gebeuren tot wanneer de cookie verwijderd wordt of wanneer hij vervalt. De cookie bestaat uit een naam en de inhoud, slaat enkel bruikbare informatie op maar bevat geen software, virussen of ‘spyware’ (dit laatste is software door fabrikanten gebruikt om zaken te bespioneren op een pc). Wat bijvoorbeeld wel bijgehouden wordt is de duur van het bezoek aan een bepaalde pagina, het aantal websites dat bezocht worden, welke hyperlinks men aanklikt en dergelijke. In principe kan de cookie enkel geraadpleegd worden door de server die de cookie verstuurde en dit enkel wanneer de gebruiker desbetreffende website opnieuw bezoekt.158 95. Er bestaan verschillende soorten cookies. Ze worden ingedeeld naargelang hun functie, oorsprong en levensduur. Wanneer ze geplaatst worden op het ogenblik dat de gebruiker de webpagina bezoekt, spreekt men van First-‐Party Cookies. Bij Third-‐Party Cookies is het anders. Deze cookies worden geplaatst door een andere website dan diegene die door de internetgebruiker bezocht word. Dit gebeurt meestal door websites zoals Google en Facebook die door een overeenkomst af te sluiten met een andere website een cookie bij de bezoeker weten te plaatsen. Daarnaast bestaat er nog zoiets als ‘Functionele Cookies’ en ‘Niet-‐Functionele Cookies. De eerste dienen voor de goede werking van een website, en zijn in de meeste gevallen First-‐party cookies. De tweede soort biedt geen meerwaarde voor het goed functioneren van een website maar wordt geplaatst met statistisch of commercieel oogmerk. Dit onderscheid moet noodzakelijk gemaakt worden aangezien het bepaalt of er toestemming aan de gebruiker moet worden gevraagd voor het gebruik ervan. Dit betekent dat in tegenstelling tot Functionele Cookies die automatisch opgeslagen worden, bij niet-‐Functionele toelating aan de betrokkene moet worden 156 In België wordt dit geregeld door de Wet van 13 juni 2005 betreffende de Elektronische Communicatie,

korter: de “Telecommunicatiewet”, deze wordt later besproken . Ze is te raadplegen op: http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&cn=2005061332&table_name= wet . 157 B. PRONK, "Wat te doen met de nieuwe cookiewetgeving?", Bartonline, 11 juni 2012, www.bart-‐ online.nl/blog/item/wat-‐te-‐doen-‐met-‐de-‐nieuwe-‐cookiewetgeving. 158 X., “Wat is een cookie, hoe werken ze?”, Cookie Demo Site, Cookies FAQ, 2013, http://cookiedemosite.eu/about_nl.html

41

Juridisch kader

gevraagd. Een andere vorm van cookies zijn ‘sessie cookies’ (meestal zijn dit functionele cookies). Deze worden tijdelijk geplaatst en worden bij het afsluiten van de internetbrowser verwijderd. Tot slot bestaan er ook ‘permanente cookies’, die voor een onbepaalde (lange) periode op de harde schijf van de gebruiker bewaard blijven en telkens de gebruiker de webpagina die de cookies plaatste bezoekt, geactiveerd worden. Het merendeel van de permanente cookies zijn dan ook niet-‐functioneel waardoor er gretig gebruikt van wordt gemaakt door sociale netwerksites en dit voor commerciële doeleinden.159 Cookies worden door bijna elk website op het internet gebruikt en Facebook is daar zeker geen uitzondering op. Bij wijze van voorbeeld vermelden we één toepassing waar cookies worden gebruikt: men bezoekt de homepagina van Facebook en stelt enkele voorkeuren in, waaronder taal en lay-‐out. Bij een volgend bezoek aan dezelfde pagina zullen deze instellingen automatisch opnieuw van toepassing zijn, zonder dat men de instelling telkens opnieuw hoeft aan te passen. 96. In 2009 werd artikel 5, punt 3 van de Richtlijn gewijzigd en bepaalt nu dat gebruikers voorafgaandelijk hun toestemming moeten geven alvorens cookies op hun eindapparatuur mogen opgeslagen worden.160 Er dient een duidelijke en precieze informatie worden verstrekt over het oogmerk van de opslag of de toegang ertoe. De oorspronkelijke doelstelling van cookies is dus het vergemakkelijken van het internetgebeuren en is in principe in het voordeel van de gebruikers. Helaas kunnen ze ook een hulpmiddel zijn voor malafide praktijken waardoor de internetgebruiker bespioneerd kan worden.161 Het verontrustende aan de zaak is dat de meerderheid van de internetgebruikers zich helemaal niet bewust is van het feit dat er bij het bezoeken van een ‘onschuldige’ webpagina een cookie op hun harde schijf kan opgeslagen worden. 159 X., “Welke soorten van cookies vallen onder de cookiewet?”, European Institute for Privacy Protection,

2013, http://cookiemanager.eu/nl/faq/welke-‐cookies-‐vallen-‐onder-‐cookiewet/# . 160 De Richtlijn 2009/136/EG van 25 november 2009 vervangt het artikel 5,3 in de volgende tekst: “De

lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrok ken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig Richtlijn 95/46/EG, onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.”. 161X., “Bescherming van de persoonlijke levenssfeer in de sector van de elektronische communicatie”, 2013, http://europa.eu/legislation_summaries/information_society/legislative_framework/l24120_nl.htm#am endingact.

42

Juridisch kader

97. De Belgische wetgever bepaalt dat websites hun bezoekers duidelijk moeten informeren over hun cookie-‐policy. Gebruikers dienen ook een duidelijke uitleg te krijgen over hoe ze de instellingen van hun internet-‐browser kunnen aanpassen om cookies van desbetreffende website al dan niet op hun harde schijf toe te laten. De Belgische wetgever koos dus, in tegenstelling tot bij onze Noorderburen, voor een ‘opt-‐out’-‐systeem. Dit betekent dat cookies automatisch toegelaten worden, maar dat internet gebruikers zelf kunnen bepalen welke websites ze als het ware ‘uitvinken’, om zo geen cookies op hun systeem toe te laten. 162 Het tegenovergestelde van ‘opt-‐out’ is een ‘opt-‐in’ systeem (zoals in Nederland). 163 Bij dit soort benadering worden standaard géén cookies toegelaten en moeten gebruikers ermee instemmen om dit toch te doen.164 98. De omzetting van de richtlijn gebeurde in België met de Wet van 10 juli 2012 houdende diverse bepalingen inzake elektronische communicatie. De wet voert enkele nieuwe bepalingen in, waaronder een toestemmingsvereiste. De Telecommunicatiewet komt in afdeling 2.4 uitgebreid aan bod.

1.6 VOORSTEL VOOR EEN ALGEMENE VERORDENING GEGEVENSBESCHERMING 1.6.1 Achtergrond van de Ontwerptekst 99. Zoals voordien duidelijk werd geldt inzake gegevensbescherming op Europees niveau de Richtlijn Bescherming Persoonsgegevens (Privacyrichtlijn). Een van de grootste verdiensten van de huidige Richtlijn is ongetwijfeld de realisatie van een minimumbeschermingsniveau voor de bescherming van persoonsgegevens in de Europese Unie. Helaas creëerde ze vanwege de uiteenlopende wijzen van implementatie en interpretatie door de verschillende Europese lidstaten ook een grote versnippering. Een uniform beleid was ver te zoeken. 165 Daarenboven beweerden in 2011 heel wat Europeanen te ervaren dat ze de controle over hun persoonlijke O. VAN MILTENBURG, “België kiest voor opt-‐out met nieuwe cookieregels”, Tweakers, 2012, http://tweakers.net/nieuws/82709/belgie-‐kiest-‐voor-‐opt-‐out-‐met-‐nieuwe-‐cookieregels.html. 163 De Nederlandse wetgever koos voor een ‘opt-‐in’ systeem, waardoor ze kozen voor een zeer strenge implementatie. Hierdoor ontstond heel wat onduidelijkheid. Wanneer men naar een Nederlandse website surft ziet men een soort ‘pop-‐up’ verschijnen die ons de toestemming vraagt om cookies toe te laten. 164 A. BURNS, R. BUSH, I. SMEETS, Principes van marktonderzoek, Amsterdam, Pearson Education Benelux, 2006, 51-‐52. 165 S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012, http://siriuslegal.wordpress.com/2012/02/06/het-‐voorstel-‐voor-‐een-‐europese-‐privacy-‐ verordening-‐doorgelicht/. 162

43

Juridisch kader

informatie verloren waren.166Er moet uiteraard ook rekening gehouden worden met het feit dat de Privacyrichtlijn dateert uit een periode waarin het internet nog in haar kinderschoenen stond en dus onmogelijk de enorme snelheid van technologische en informationele ontwikkelingen kon bijhouden. Hierdoor was de nood hoog aan een nieuw uniform beleid inzake gegevensbescherming.167 100. Op grond van deze bevindingen diende Europees Commissaris VIVIANE REDING begin 2012 een voorstel in tot een Algemene Verordening Gegevensbescherming. 168 Anders dan bij de huidige Richtlijn werd hier gekozen om de regels op te nemen in een verordening.169 Dit betekent dat de bepalingen zonder verdere implementatie rechtstreeks toepasselijk worden in elke Europese lidstaat.170 De doelstellingen van de nieuwe verordening zijn het vereenvoudigen en vastleggen van een betere en coherente bescherming van persoonsgegevens die de Europese consument meer rechtszekerheid, een verhoogd vertrouwen en meer controle over zijn gegevens geeft.171 Op 21 oktober van dit jaar keurde de Europese Commissie, ondanks de bijna vierduizend amendementen op de originele ontwerptekst, met een overweldigende meerderheid het voorstel goed.

166 “A majority of the interviewees who had disclosed information on the Internet feel partly or completely in

control of their personal data; just over a quarter of social network users and even fewer online shoppers feel in complete control.”; X., “Special Eurobarometer 359/Wave 74.3”, TNS Opinion & Social, 2011, 205. 167 H. HIJMANS, "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het informatietijdperk te beschermen", NtEr 2012, 132. 168 Het voorstel van 25 januari 2012 tot verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), COM(2012) 11 definitief. Te raadplegen op: http://eur-‐lex.europa.eu/LexUriServ/LexUriServ.do? uri=COM:2012:0011:FIN:NL:PDF . (Hierna: Algemene Verordening Gegevensbescherming of AVG.). Het voorstel van Reding omvat daarenboven ook een voorstel tot richtlijn in de sfeer van de voormalige derde pijler van de Europese Unie (politionele en justitiële samenwerking in strafzaken): Het voorstel tot Richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en betreffende het vrije verkeer van die gegevens, COM(2012) 10 definitief. Te raadplegen op: http://eur-‐lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:001:FIN:NL:HTML. 169 Algemene Verordening gegevensbescherming, 6. 170 Artikel 288 Verdrag betreffende de Werking van de Europese Unie. Te raadplegen op: http://eur-‐ lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2008:115:0047:0199:nl:PDF. 171 Algemene Verordening gegevensbescherming, 1-‐2; H. HIJMANS, "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het informatietijdperk te beschermen", NtEr 2012, 132. Het voorstel geeft uitvoering aan art. 16 VWEU dat aan de wetgever van de Europese Unie oplegt een regeling uit te werken op het gebied van een moderne, integrale benadering van gegevensbescherming en het vrij verkeer van persoonsgegevens en daarenboven sinds de inwerkingtreding van het Verdrag van Lissabon hiervoor een nieuwe rechtsgrondslag biedt.

44

Juridisch kader

1.6.2 Belangrijkste wijzigingen in de nieuwe Verordening 1.6.2.1 Territoriaal toepassingsgebied 101. De ontwerptekst voert enkele grondige veranderingen door. Zo merken we dat het territoriale toepassingsgebied van de verordening aanzienlijk uitgebreid werd tegenover deze van de voormalige richtlijn.172 Vanaf het moment dat de nieuwe regeling van kracht is, zal ze gelden voor elke verantwoordelijke voor de verwerking van gegevens alsook voor de verwerkers met een vestiging binnen de Europese Unie, los van het feit dat de gegevens al dan niet binnen de Unie verwerkt werden. Dit betekent dat wanneer de verwerker een vestiging heeft binnen de EU maar de door hem voor de verwerking gebruikte servers zich hierbuiten bevinden, de verordening nog steeds van toepassing zal zijn (artikel 3, lid 1 AVG).173 Het vorige geldt ook wanneer gegevens verwerkt worden door ondernemingen zonder vestiging binnen de Unie maar wel goederen en diensten aanbieden aan EU-‐onderdanen of het surfgedrag van deze laatsten observeren (artikel 3, lid 2 AVG).174 Om deze bepaling adequaat toe te passen legt de nieuwe verordening in artikel 25 deze bedrijven uit derde landen de verplichting op om binnen de Europese Unie een vertegenwoordiger aan te wijzen.175 1.6.2.2 Scherpere definitie van ‘Persoonsgegevens’ & ‘Measures based on Profiling’. 102. De ontwerptekst geeft een ‘update’ van de invulling van het begrip ‘persoonsgegeven’. Iedere informatie betreffende een betrokkene wordt aanzien als een persoonsgegeven.176 Dit betekent dat wanneer “gegevens betrekking hebben op de geïdentificeerde natuurlijke persoon die direct of indirect, met behulp van middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-‐identificatiemiddel of een of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit”, zo zullen gekwalificeerd worden. Het verschil met de definitie uit de richtlijn zit hem in de bewoording: artikel 2 van de Richtlijn spreekt immers over 172 Artikel 3 Algemene Verordening gegevensbescherming. 173 S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari

2012, http://siriuslegal.wordpress.com/2012/02/06/het-‐voorstel-‐voor-‐een-‐europese-‐privacy-‐ verordening-‐doorgelicht/. 174 Met het ‘observeren van surfgedrag’ verwijzen we naar de problematiek omtrent sociale advertenties en het plaatsen van cookies die doorheen deze masterproef uitvoerig besproken worden. 175 H. HIJMANS, "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het informatietijdperk te beschermen", NtEr 2012, 136; Artikel 25 Algemene Verordening gegevensbescherming. 176 Artikel 4, punt (2) AVG verwijst naar punt (1).

45

Juridisch kader

‘een geïdentificeerde of identificeerbare natuurlijke persoon’ terwijl het in de verordening gaat over ‘de geïdentificeerde natuurlijke persoon’.177 103. Opmerkelijk is ook dat de ontwerptekst een specifiek artikel invoert inzake ‘online profilering’. Waar een ‘online profielen‘ vroeger ook al onder de definitie van ‘persoonsgegevens’ vielen, wordt dit door de definitie van de ontwerptekst nog meer benadrukt.178 Het werd eerder duidelijk dat internetgebruikers door hun online handelingen en surfgedrag in het algemeen heel wat gegevens achterlaten. Aan de hand van deze gegevens kan van de betrokkene een ‘profiel’ worden aangemaakt. Hier dreigt het gevaar dat gegevens in dergelijke mate zodanig specifiek worden, dat ze de internetgebruiker rechtstreeks van anderen kunnen onderscheiden.179 De bepaling in artikel 20 AVG schrijft voor dat individuen het recht hebben om niet onderworpen te worden aan maatregelen, die hen in een buitengewone mate zouden raken en rechtsgevolgen voor hen teweeg kunnen brengen, die zuiver genomen worden op grond van een geautomatiseerde verwerking met als doel om bepaalde persoonlijke kenmerken te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen.180 104. Het voorstel geeft tevens een bredere invulling van wat moet worden verstaan onder 'gevoelige gegevens’. Zo wordt naast het verwerken van persoonsgegevens in verband met politieke opvattingen, raciale kenmerken, etnische afkomst, geloofsovertuiging, gezondheid en seksueel gedrag, ook het verwerken van genetische gegevens of informatie aangaande strafrechtelijke veroordelingen verboden.181 1.6.2.3 Verlichting van de plichten tegenover een verhoogde aansprakelijkheid 105. Zoals aangegeven beoogt de ontwerptekst de vereenvoudiging van de huidige regeling. Dit doet ze onder meer door minder administratieve verplichtingen op te leggen aan ondernemingen. Zo zijn ze in de toekomst niet meer verplicht om in elke lidstaat telkens een aanmelding te doen bij de bevoegde toezichthoudende autoriteit vooraleer gegevens 177 Artikel 4, punt (1) AVG. 178 De Richtlijn bescherming persoonsgegevens voorziet in artikel 15 in een soortgelijke regeling voor

“geautomatiseerde individuele besluiten”. Het artikel was echter ruimer en bakende niet precies af welke persoonlijkheidsaspecten bedoeld worden. 179 M. RIEWALD, “Nieuwe Europese privacyregels relevant voor sociale netwerken”, Wisemen, 9 maart 2012, http://www.wisemen.nl/weblog/weblogs/nieuwe-‐europese-‐privacyregels-‐relevant-‐voor-‐sociale-‐ netwerken/. 180 Artikel 20 Algemene Verordening Gegevensbescherming. 181 Artikel 9, lid 1 Algemene Verordening Gegevensbescherming.

46

Juridisch kader

automatisch mogen worden verwerkt.182 Onder de huidige Richtlijn zijn bedrijven die zich op het grondgebied van meerdere lidstaten gevestigd hebben, onderworpen aan de controle van verschillende toezichthoudende overheden. Op grond van artikel 51, lid 2 juncto artikel 4, punt 13 van het voorstel zal vanaf de inwerkingtreding enkel de autoriteit van het land van de ‘belangrijkste vestiging’ hiervoor bevoegd zijn.183 Dit is doorgaans het land waar de belangrijkste beslissingen inzake gegevensbescherming worden genomen. Gezien ondernemingen nu slechts met één in plaats van met verscheidene toezichthouders te maken hadden zal deze ‘one-‐stop-‐ shop’ voor een grote verlichting zorgen van de lasten.184 Overigens versoepelt de verordening de administratieve verplichtingen van een onderneming bij het uitwisselen van gegevens met diens niet-‐Europese vestigingen.185 106. Om het evenwicht echter te bewaren wordt de aansprakelijkheid van ondernemingen aanzienlijk opgevoerd. Artikel 30 van het voorstel verplicht de verwerker en de voor de verwerking verantwoordelijke om, rekening houdend met de risico’s van de verwerking en de aard van de gegevens, adequate technische en organisatorische maatregelen te nemen om een passend beveiligingsniveau te waarborgen.186 In het geval dat er zich toch een inbreuk op de bescherming persoonsgegevens zou voordoen, zal de verantwoordelijke voor de verwerking de bevoegde toezichthoudende overheid hiervan ‘zonder onnodige vertraging’ en ten laatste 24 uur nadat hij van de inbreuk kennis nam, op de hoogte moeten brengen.187 Ook de betrokkene wiens gegevens het voorwerp van een inbreuk uitmaken heeft er alle belang bij zo snel mogelijk geïnformeerd te worden. De verantwoordelijke voor de verwerking dient dan ook, na de melding aan de toezichthoudende autoriteit, het slachtoffer van de vermeende inbreuk ‘without undue delay’ in kennis te stellen.188 Bovendien legt de nieuwe verordening in artikel 73 tot en met 77 een reeks rechtsmiddelen voor de burger vast. Het feit dat onder deze regelingen ook belangengroepen rechtsingang zullen hebben en dat betrokkenen de mogelijkheid zullen hebben een klacht in te dienen (bij de toezichthoudende overheid) in elke lidstaat van de EU, zijn opmerkelijke vernieuwingen. Daarenboven voeren de artikels 78 en 79 van de verordening een 182 Hierdoor vervalt de algemene aanmeldingsverplichting van artikel 18 RBP. 183 De artikelen 46 tot en met 50 van het voorstel omvatten de overige bepalingen in verband met de

toezichthoudende overheid. 184H. HIJMANS, "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het

informatietijdperk te beschermen", NtEr 2012, 138.

185 E. WIERTZ, “De nieuwe Europese regels rond gegevensbescherming: toelichting bij het voorstel van de

Europese Commissie”, CBPL 31 januari 2012, http://www.privacycommission.be/nl/nieuws/de-‐nieuwe-‐ europese-‐regels-‐rond-‐gegevensbescherming-‐toelichting-‐bij-‐het-‐voorstel-‐van-‐de. 186 Artikel 30 van het Voorstel tot Algemene Verordening Gegevensbescherming. 187 Artikel 31 van het Voorstel tot Algemene Verordening Gegevensbescherming. 188 ‘Zonder onnodige vertraging’, Artikel 32 van het Voorstel tot Algemene Verordening Gegevensbescherming.

47

Juridisch kader

efficiënter sanctiemechanisme in. Bij het bepalen van de administratieve sancties bij overtredingen zal in de toekomst bijvoorbeeld rekening worden gehouden met onder andere de ernst, de aard en de duur van de inbreuk. 189 107. Voorts voert de nieuwe verordening ook enkele geheel nieuwe concepten in. Bijvoorbeeld zullen individuen voortaan de mogelijkheid hebben om zijn verzamelde “gegevens over te dragen”. Andere nieuwigheden zijn “the Right to be Forgotten”, “Privacy by Design” en “Privacy by Default”. 108. Omwille van hun relevantie en de impact die ze zullen hebben op sociale netwerksites, worden deze begrippen in Hoofdstuk 3, dat sociale netwerksites in het licht plaatst van het Europees wetgevend kader, besproken.

2. BELGISCHE WETGEVING

2.1 DE GRONDWET 109. Ook onze Grondwet (hierna: GW) voorziet sinds 1994 in een bescherming van de persoonlijke levenssfeer. Artikel 22 GW waarborgt ‘het recht op privacy’. Het eerste lid van het artikel voorziet erin, behoudens bepaalde voorwaarden en gevallen in de wet bepaald, dat elk individu het recht heeft op eerbiediging van zijn gezinsleven en privéleven. Dit artikel leunt opvallend dicht aan bij artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM).190 Bij de redactie ervan heeft de grondwetgever zich dan ook dan ook duidelijk op artikel 8 EVRM gebaseerd.191Wat opvalt is dat slechts enkele vernoemde beperkingsgronden worden overgenomen. Zo ziet men bijvoorbeeld dat het recht op de bescherming van de briefwisseling wordt weggelaten aangezien deze reeds door artikel 29 van onze Grondwet gewaarborgd worden. 110. Het tweede lid van artikel 22 GW, dat verwijst naar artikel 134 en op zijn beurt verwijst 189 H. HIJMANS, "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het

informatietijdperk te beschermen", NtEr 2012, 138-‐139. Verdrag 4 november 1950 tot bescherming van de rechten van de mens en de fundamentele vrijheden is te raadplegen op: http://www.echr.coe.int/Documents/Convention_NLD.pdf . 191 Herziening van titel II van de Grondwet, om een artikel24 quater in te voegen betreffende de eerbiediging van het privé-‐leven (1), Parl. St. Kamer 1992-‐1993, nr. 997/5, 12. 190 Het

48

Juridisch kader

naar artikel 34, bepaalt dat een formele wet nodig is voor een inmenging. De Grondwet eist echter niet dat die wet ‘noodzakelijk is voor de democratie’ of ‘ nodig is om aan bepaalde legitieme doelstellingen te voldoen’. Zo lijkt het dat wetgever redelijk wat ruimte heeft om desbetreffende grondrechten te beperken. Niets is minder waar daar de bepalingen van het EVRM directe werking hebben en haar artikel 8 zo een bijkomende en duidelijke beschermingsgrond is voor ‘het recht op privacy’.192

2.2 DE PRIVACYWET 111. Zoals reeds eerder vermeld creëerde de Europese Richtlijn van ’95 een juridisch kader waarbinnen de lidstaten hun nationale wetgeving dienden uit te werken. Bijgevolg kwam in België op 8 december 1992 de Wet tot Bescherming van de Persoonlijke Levenssfeer ten opzichte van de Verwerking van Persoonsgegevens tot stand 193. Deze werd in 2001 aangepast d.m.v. het uitvoeringsbesluit van 13 februari.194 In 2003 legde een tweede uitvoeringsbesluit de manier waarop de sectorale comités werken vast.195 Binnen dit wettelijk kader vormt privacy een fundamentele rechtvaardigheidsgrond voor de bescherming van persoonsgegevens. 2.2.1 Persoonsgegevens 112. De Privacywet omschrijft persoonlijke gegevens als de gegevens aan de hand van welke een individu rechtstreeks of onrechtstreeks wordt geïdentificeerd of geïdentificeerd kan worden. Hiermee wordt onder meer namen van personen, adressen, e-‐mailadressen, telefoonnummers, vingerafdrukken en dergelijke bedoeld. Enkel gegevens van natuurlijke, fysieke, personen en niet van verenigingen of rechtspersonen worden in aanmerking genomen.196 Niet enkel gegevens in verband met de persoonlijke levenssfeer van personen worden beschermd, ook relevante gegevens uit het openbare en professionele leven worden als

192 E. BREMS, “De nieuwe grondrechten in de Belgische Grondwet en hun verhouding tot het Internationale,

ingezonderd het Europese Recht”, T.B.P. 1995, 625. 193 De Wet van 8 december 1992 tot Bescherming van de Persoonlijke Levenssfeer ten opzichte van de

Verwerking van Persoonsgegevens, BS 18 maart 1993. besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 13 maart 2001. 195 Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, BS 30 december 2003. 196 Commissie voor de bescherming van de persoonlijke levenssfeer, lexicon, 2013 http://www.privacycommission.be/nl/lexicon/p/Persoonsgegevens . 194 Koninklijk

49

Juridisch kader

persoonsgegevens aanzien. Wanneer deze gegevens worden verstrekt, dan zijn de beschermingsregels van de Privacywet van toepassing 197. 2.2.2 Gegevensverwerking 113. Elke mogelijke bewerking of elk geheel van bewerkingen, zoals meedelen, gebruiken, verzamelen,

beheren,

gegevensverwerking

die

op

aanzien.

persoonsgegevens Zoals

eerder

worden vermeld

uitgevoerd zijn

wordt

informatie-‐

als en

communicatietechnologieën met een enorme snelheid geëvolueerd. Hierdoor kunnen bedrijven maar ook overheden een betere dienstverlening garanderen. Jammer genoeg kunnen het gebruik van deze nieuwe technologieën ook een groot gevaar zijn voor onze persoonlijke levenssfeer. Onze gegevens worden opgeslagen in databanken om ze daarna te gebruiken, mee te delen of te verkopen. Het wordt dan ook zeer moeilijk om hier enige controle over te hebben gezien we niet weten wie over deze gegevens beschikt, op welk moment en waarvoor ze zullen gebruikt worden.198 De bescherming tegen misbruik komt zo in het gedrang. Een voorbeeld hiervan is het online reserveren van een vlucht. Hier wordt gevraagd naar de naam, het adres, de kredietkaartgegevens, etc. waardoor de luchtvaartmaatschappij strikt persoonlijke gegevens van personen verzameld. Vanaf het moment dat de verwerking van persoonlijke gegevens, zelfs gedeeltelijk, gebeurt aan de hand van een geautomatiseerd systeem is de wet van toepassing. Met dergelijke systemen wordt elke informatietechnologie bedoeld, zijnde informatica, telematica en het internet . Indien er geen sprake is van een geautomatiseerde verwerking van gegevens, bijvoorbeeld op papier, is de wet toch toepasselijk op deze handeling wanneer de gegevens zijn opgenomen of naderhand opgenomen zullen worden in een manueel bestand dat aan de hand van specifieke criteria geraadpleegd kan worden.199

197 X.,“Wat zijn persoonsgegevens”, Commissie voor de bescherming van de persoonlijke levenssfeer, 2013, http://www.privacycommission.be/nl/wat-‐zijn-‐persoonsgegevens . 198 X., “Wat is een gegevensverwerking”, Commissie voor de bescherming van de persoonlijke levenssfeer,

2013, http://www.privacycommission.be/nl/wat-‐is-‐een-‐gegevensverwerking . 199 Commissie voor de bescherming van de persoonlijke levenssfeer, lexicon, 2013,

http://www.privacycommission.be/nl/lexicon#letter_v .

50

Juridisch kader

2.3 DE STRAFWET 114. Voorheen werd reeds gewezen op het recht op privacy dat vervat ligt in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). “Een ieder heeft recht op respect voor zijn privé leven, zijn familie-‐ en gezinsleven, zijn woning en zijn correspondentie". Dit artikel verwijst duidelijk ook naar de bescherming van de elektronische communicatie. 115. In België is de bescherming van het telecommunicatiegeheim opgenomen in het Strafwetboek.200 Het is niet toegelaten om tijdens de overbrenging van gegevens opzettelijk kennis te nemen van privé-‐telecommunicatie zonder de toestemming van elke persoon die eraan deelneemt. Het begrip telecommunicatie moet ruim geïnterpreteerd worden. Zo vallen zowel telefonie, faxen, e-‐mail-‐ en chatberichten , online bankieren hier bijvoorbeeld onder. De voorwaarde is echter dat ze niet bestemd mogen zijn voor ‘iedereen’, ze dienen dus privé te zijn. Er is geen twijfel over het feit dat berichten en dergelijke op een openbare website, een forum of blog niet privé zijn. Deze worden bijgevolg niet door de Strafwet beschermd. Over dezelfde acties binnen een duidelijk afgebakende groep bestemmelingen, zoals sociale netwerken en meer bepaald Facebook, heerst onduidelijkheid. Zo werd in de rechtsspraak reeds geoordeeld dat berichten niet privé zijn wanneer de optie ‘vrienden van vrienden’ aangevinkt is. In deze omstandigheid dient geval per geval onderzocht te worden welke privacy-‐instellingen de betrokken gebruiker heeft gekozen.201 116. Dergelijke problematiek zien we ook opduiken bij onze Noorderburen. In Nederland oordeelde het Gerechtshof in Arnhem dat het ontslag van een Blokker-‐medewerker terecht ontslagen werd na meerdere negatieve uitlatingen over zijn werkgever op Facebook. De man uitte zijn ongenoegen als volgt: "blokker wat een hoerebedrjf spijt dak er ben gaan werken en die mensen ook d er werken vooral me teamleider wat een gore achter de ellebogen nijmegseple nep wout je ken aan die kkstreken van hem wel merken dat hij uit nijmegen ko en wout uis geweest de hoerestumperd ooit komt mijn dag en geloof me dan st ze te janken kkhomo,s". Een letterlijke vertaling van deze boodschap is niet nodig om aan te tonen dat deze persoon het imago van de onderneming door het slijk haalde. 202 Met de argumentatie van de man dat Facebook een afgesloten omgeving was en dus niet publiek toegankelijk was voor iedereen, hield de rechter 200 Artikel 314 van het Belgisch Strafwetboek, BS 27 september 2013. 201 Y. VAN DEN BRANDE, “Hoe privé zijn mails, Facebookposts, chatsessies...?”, De Tijd, 10 februari 2012. 202 X.,

“Ontslag na negatieve uitlatingen Blokker-‐medewerker op Facebook”, Aantjes Advocaten, 2012, http://www.aantjesadvocaten.nl/index.php/blog/49-‐social-‐media/156-‐ontslag-‐na-‐negatieve-‐uitlatingen-‐ blokker-‐medewerker-‐op-‐facebook#sthash.AC1XyoZX.dpuf .

51

Juridisch kader

echter geen rekening. Volgens de rechter behoort Facebook in dit geval niet tot het privédomein van werknemer omdat zijn uitlatingen ook door anderen, waaronder zijn collega’s waargenomen konden worden. De rechter wees ook op het gevaar dat door de ‘share-‐button’, een optie die gemakkelijk gebruikt wordt, ook personen waarmee de werknemer niet bevriend was op de sociale netwerksite het bericht mogelijks hebben kunnen lezen. In het arrest kunnen we lezen hoe de rechter zijn standpunt onderbouwt: "Zo hebben ook anderen van de uitlating van [werknemer] kennis kunnen nemen. [werknemer] miskent bovendien dat met het plaatsen van het bericht op Facebook er het risico van re-‐tweten is, welk risico met zich meebrengt dat ook anderen dan de 'vrienden' van [werknemer] kennis kunnen nemen van het bericht in kwestie."203 117. ARNOUD ENGELFRIET, een ICT-‐jurist gespecialiseerd in internetrecht, merkt op dat dit een uitzonderlijk vonnis is, maar kan niet voorspellen welke precedentenwaarde deze uitspraak zal hebben. Hij is het ongetwijfeld eens met de rechter die wijst op de betrekkelijkheid van het privékarakter van Facebook. Volgens Engelfriet was er geen probleem geweest moest de werknemer zijn uitspraken op papiertjes in het fietsenhok hebben opgehangen of het in een chat-‐ of e-‐mailbericht zou verstuurd hebben. Want als deze personen dit zouden doorspelen naar de zijn werkgever zitten we in een volledig andere situatie. 204

2.4 DE TELECOMMUNICATIEWET 2.4.1 Cookies in de Belgische Wet 118. Oorspronkelijk was het mogelijk dat een websitebeheerder onbeperkt cookies plaatste bij een internetgebruiker die zijn website bezocht, tenzij deze laatste dit verhinderde door de relevante browser-‐instellingen aan te passen. Dergelijke praktijken zijn nu niet meer mogelijk.205 119. Digitale marketting kende een enorme opmars de laatste jaren. Logischerwijs was het gevolg hiervan dat bedrijven niet meer enkel belang hechten aan het bereiken van de juiste doelgroep (publiciteit en dergelijke), maar ook op de hoogte willen zijn de eisen en interesses van hun klanten. De zoekgeschiedenis en het surfgedrag van internetgebruikers is gemakkelijk 203 Arnhem,

19 maart 2012, JAR 2012, 97. De rechter maakte hier een schrijffout en bedoelde onwaarschijnlijk ‘re-‐tweeten’. 204 A. ENGELFRIET, “Ontslag vanwege Facebookposting”, Ius Mentis, 2012, AE 2957, http://blog.iusmentis.com/2012/03/22/ontslag-‐vanwege-‐facebookposting/ . 205 X., “Ondubbelzinnige toestemming nodig voor plaatsen cookies”, NJB 2011, 1234.

52

Juridisch kader

na te gaan aan de hand van cookies. Dit brengt echter ongetwijfeld zware gevolgen mee voor de privacy van de gebruiker. Zoals hierboven uiteengezet reageerde de Europese wetgever hierop met de e-‐Privacy Richtlijn. Deze richtlijn verplicht alle lidstaten om de Europese regeling in hun nationale wetgeving te implementeren. In België gebeurde dit met de Wet van 13 juni 2005 betreffende de elektronische communicatie, korter: “de Telecommunicatiewet”, die niet enkel het gebruik van cookies beheerst maar tevens van toepassing is op “elke opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker”.206 Artikel 129 van de Telecommunicatiewet bepaalt dat Belgische website beheerders vanaf augustus 2012 toestemming aan internetgebruikers dienen te vragen voor het plaatsen van cookies. Helaas wordt in de wet niet verduidelijkt op welke manier die toestemming gegeven moet worden. Hoe de wet geïnterpreteerd dient te worden kunnen we enkel opmaken uit de het standpunt van de Europese Unie en het standpunt van de Werkgroep 29.207 120. De werkgroep, die hierboven reeds werd aangehaald en toch een zekere autoriteit bezit op Europees niveau, bracht op 2 oktober van dit jaar een werkdocument uit waarin ze te kennen geeft welke invulling aan de vereiste toestemming voor het gebruik van cookies gegeven moet worden.208 Dit deed ze omdat ze vaststelde dat de regeling omtrent cookies in de verschillende lidstaten zeer verschillend was. 209 Volgens hen moet de toestemming: “ -‐ Ondubbelzinnig zijn; -‐ Vrijelijk gegeven moet zijn op basis van een vrije echte keuze. -‐ Gebaseerd zijn op voorafgaande specifieke informatie; -‐ Blijken uit een positieve actie of andere actieve gedraging van de consument; -‐ Verkregen worden vóór het plaatsen of lezen van de cookies voordat het proces start. “ 121. Volstaat een impliciete toestemming dan? De Telecommunicatiewet stelt dat een internetgebruiker zijn toestemming moet geven. Zolang dat er geen Koninklijk Besluit wordt afgekondigd waarin “toestemming geven” geconcretiseerd wordt moet men ervan uitgaan dat dit begrip in zijn meest gebruikelijke betekenis aangenomen moet worden. Het geven van een 206 Wet van 13 juni 2005 betreffende de elektronische communicatie, BS 20 juni 2005.

B. VAN DEN BRANDE, "Wat is een Cookie?", Sirius Legal, 2013, http://www.siriuslegaladvocaten.be/wordpress/cookie-‐informatiepagina/# . 208 X., “Privacybescherming”, Computerr. 2012, 315-‐317; http://ec.europa.eu/justice/data-‐protection/ article-‐29/press-‐material/press-‐release/art29_press_material/20131008_pr_oct_plenary_en.pdf . 209 X., "Privacywaakhonden stellen onjuiste eisen aan cookies", Thuiswinkel Waarborg, 2013, www.thuiswinkel.org/cms/showpage.aspx?id=12795 . 207

53

Juridisch kader

toestemming impliceert meestal een bewuste, actieve en duidelijke handeling waaruit de wil van de berokken gebruiker blijkt, zodat men er bijgevolg moet van uitgaan dat een impliciete toestemming niet volstaat. 210 2.4.2 Facebook 122. In het geval van Facebook zou men er kunnen van uitgaan dat de gebruiker door het accepteren van algemene voorwaarden zijn uitdrukkelijke toestemming gegeven heeft voor het plaatsen van cookies. Op het moment dat Facebook-‐gebruikers persoonlijke berichten of andere gegevens achterlaten op de sociale netwerksite kan geargumenteerd worden dat zij ingestemd hebben met de verwerking van deze gegevens op de wijze beschreven in de Privacy-‐policy. Wanneer echter gegevens en informatie over anderen vrijgegeven wordt, onder meer door de persoon te vermelden of te taggen, begint het schoentje te wringen.211 Niettegenstaande het aannemelijk is dat personen die de voorwaarden accepteren hiermee instemmen, bevinden we ons hier meer en meer in een grijze zone van de wetgeving.212

2.5 DE AUTEURSWET EN HET RECHT OP AFBEELDING 2.5.1 Achtergrond 123. Auteursrechten vinden hun oorsprong bij het ontstaan van de boekdrukkunst. Voordien was de noodzaak voor een bescherming van de rechten van auteurs nagenoeg onbestaand. Maar met de automatisering van de boekdrukkunst en de komst van het kopieerapparaat in de 18e eeuw nam het belang van het auteursrecht aanzienlijk toe. Aan het feit dat dit recht, door de komst van het internet, een nog grotere vlucht heeft genomen, valt zeker niet te twijfelen. Wie gebruikt vandaag geen informatie die men online kan vinden? Bovendien leidde de evolutie naar een ‘Web 2.0’ ertoe dat auteursrechtelijk relevante inhoud op grote schaal geproduceerd en/of van anderen gebruikt wordt.213

210 B. VAN DEN BRANDE, "Wat is een Cookie?", Sirius Legal, 2013,

http://www.siriuslegaladvocaten.be/wordpress/cookie-‐informatiepagina/# .

211 Wanneer een persoon vermeld of getagged wordt kunnen andere gebruikers naar zijn/haar profiel

geleid worden door simpelweg op de naam te klikken. 212 P. VAN EECKE EN A. DIERICK, “EU-‐regelgeving en de informatiemaatschappij: naar een wetgeving 2.0?” in I.

GOVAERE (ed.), Europees recht: Moderne interne markt voor de praktijkjurist, Mechelen, Kluwer, 2012, 201-‐ 244. 213 A.R. LODDER, A. ENGELFRIET, D. MEKIC, R. VAN DEN HOVEN VAN GENDEREN e.a., “Recht en Web 2.0”, 71.

54

Juridisch kader

124. Wie deelneemt aan Web 2.0 toepassingen dient zich een goed beeld te vormen van het juridisch kader omtrent het verspreiden van door de auteurswet beschermde informatie. In dit geval is de bescherming van het Portretrecht relevant. Zo worden op sociale netwerksites foto’s van gebruikers zelf, maar ook van anderen gestaag uitgewisseld. We kunnen ons de vraag stellen of het delen van foto’s van anderen op sociale netwerken eigenlijk zomaar kan. Iedereen bezit volgens de Belgische Auteurswet het recht op eigen afbeelding (en op het gebruik ervan), waar verder niemand over mag beschikken zonder diens toestemming.214 125. In de rechtsleer bestaat hier echter discussie over. Zo beweren sommigen dat het recht op de bescherming van de persoonlijke levenssfeer en het recht op afbeelding als los zand aan elkaar hangen. Deze redenering staven ze door aan te tonen dat het laatstgenoemde recht namelijk ook bescherming biedt aan zaken die volledig los van het privéleven staan.215 Anderen lijken het met deze stelling eens te zijn, maar wijzen toch op het feit dat afbeeldingen van natuurlijke personen anderen in staat stelt hen te identificeren, zodat men handelingen vrij snel als een verwerking van persoonlijke gegevens kan kwalificeren, dat de facto wel deel uitmaakt van het recht op privacy. Deze redenering in acht nemend moet de zienswijze dat deze twee rechten onderling volledig losstaan van elkaar toch genuanceerd worden.216 Afgezien van het bestaan van dit dispuut menen we toch een onlosmakelijk verband te zien tussen het recht op afbeelding en het privacy-‐recht waardoor dit in de volgende paragraaf besproken wordt. 2.5.2 Foto’s van anderen publiceren, kan dat wel? 126. Het antwoord op bovenstaande vraag kan gevonden worden in het portretrecht. Het portretrecht is een explicitering van het ‘Recht op Afbeelding’. In tegenstelling tot wat de integratie ervan in de Auteurswet doet vermoeden, gaat het hier om een persoonlijkheidsrecht, en niet om een auteursrecht.217 Artikel 10 van deze wet zegt dat "de auteur of de eigenaar van een portret dan wel enige andere persoon die een portret bezit of voorhanden heeft, heeft niet het recht het te reproduceren of aan het publiek mede te delen zonder toestemming van de

214 Wet van 30 juni 1994 betreffende het Auteursrecht en Naburige rechten, BS 27 juli 1994. (Hierna: Wet

betreffende het Auteursrecht.)

215 L. Dierickx, Het recht op afbeelding, Antwerpen, Intersentia, 2005, 18. 216 P. DE HERT en R. SAELENS, “Het recht op afbeelding”, TPR 2009, 870-‐871; B. DE GROOTE en R. DE CORTE,

Overzicht van het burgerlijk recht, Mechelen, Kluwer, 2005, 371. 217 D. VOORHOOF, “Facebook en de Raad voor Journalistiek”, NjW 2011, 39.

55

Juridisch kader

geportretteerde of, gedurende twintig jaar na diens overlijden, zonder toestemming van zijn rechtverkrijgenden".218 127. Met andere woorden wordt met dit recht het gebruik van afbeeldingen waarop betrokkenen herkenbaar zijn voor derden ingeperkt en dient hiervoor steeds de toestemming van de geportretteerde te worden gevraagd.219 In de rechtspraak wordt evenwel gepreciseerd dat de toestemming voor het maken van een foto niet impliceert dat deze ook automatisch gegeven wordt voor de verspreiding ervan.220 Op dit principe maakt ze echter ook een aantal uitzonderingen. Dit is bijvoorbeeld het geval voor publicatie van afbeeldingen van personen tijdens de uitoefening van een publieke functie. In deze gevallen wordt de vereiste toestemming gezien als impliciet gegeven te zijn, voor zover de afbeeldingen gepubliceerd worden in het kader van actuele gebeurtenissen en het openbare leven van de betrokkene. Verdere uitzonderingen situeren zich hoofdzakelijk op het vlak van de bevordering van de expressievrijheid en het recht op informatie van het publiek.221 Er moet daarenboven ook gewezen worden op het feit dat de jurisprudentie in het kader van het recht op privacy, de laatste decennia, ook buiten artikel 10 van de Auteurswet, een ruimer recht op afbeelding als persoonlijkheidsrecht aanvaardt.222 128. Toegepast op Facebook zou dit betekenen dat telkens een gebruiker een foto van een ander op zijn pagina plaatst, hij van de betrokken persoon de uitdrukkelijke toestemming moet verkrijgen, tenzij in de hierboven vernoemde uitzonderingen. Omgezet naar de praktijk zou dit voor de Facebook-‐gebruiker echter een buitengewone last betekenen. In dit opzicht biedt de Privacywet een oplossing. Op grond van die wet heeft de persoon wiens afbeelding gebruikt wordt, bij redelijk belang, het recht zich te verzetten tegen de publicatie ervan (zie infra). Wat opvalt is dat er als het ware omgekeerd te werk gegaan wordt (en men dus eerst zonder voorafgaande toestemming de afbeelding publiceert, en slechts bij verzet de foto dient weg te halen).223 Voor de toepassing van dit verzetsrecht maakt het overigens een aanzienlijk verschil uit of iemands foto op een publiek toegankelijk of op een besloten gebruikersprofiel geplaatst werd (zie infra) en is het voorts zo dat de betrokkene geïdentificeerd, of tenminste 218 Artikel 10 Wet betreffende het Auteursrecht. 219 E. BREWAEYS, “Recht op afbeelding”, NJW 2010, 206.

220 J. DEENE, noot bij Antwerpen 5 mei 2003, NJW 2003, 1193. 221 D. VOORHOOF en P. VALCKE, Handboek Mediarecht, Brussel, Larcier, 2007, 145-‐151. 222 D. VOORHOOF, “Facebook en de Raad voor Journalistiek”, NjW 2011, 39. Dit doet ze bijvoorbeeld op

grond van de Privacywet. afbeelding wordt namelijk eerst op het sociale netwerk geplaatst (zonder voorafgaandelijke toestemming), waarna de gebruiker zich er tegen verzet. Terwijl volgens artikel 10 Auteurswet in beginsel eerst toestemming dient gevraagd te worden vooraleer er tot publicatie overgegaan kan worden.

223 De

56

Juridisch kader

identificeerbaar, moet zijn om het recht op afbeelding in te kunnen roepen. Dit zou bijvoorbeeld niet het geval zijn indien men enkel zijn/haar silhouet op een foto kan waarnemen.224 129. Bovendien biedt Facebook ook intern mogelijkheden om dit verzetsrecht uit te oefenen. Zo kan men bijvoorbeeld zelf aan de persoon in kwestie via een standaardbericht vragen om een bezwarende foto van zijn profiel te halen. Wanneer deze laatste niet wenst in te gaan op dit verzoek, kan de betrokken foto gerapporteerd worden bij Facebook zelf, die dan verdere stappen onderneemt. 130. Hierboven werd duidelijk dat het recht op afbeelding enkele zaken impliceert. Dat het persoonlijkheidsrecht op afbeelding op sociale netwerksites, in het licht van de eerbiediging van het privéleven, beschermd dient te worden spreekt uiteraard voor zich. Duidelijk is althans dat het recht geldt ten aanzien van iedereen. We merkten evenwel op dat de grenzen van dit recht vervagen onder invloed van het ‘deel-‐karakter’ dat Facebook lijkt te typeren. Een van de grondvereisten voor het publiceren van foto’s van anderen is namelijk het verkrijgen van hun uitdrukkelijke toestemming, tenzij in enkele gevallen door de rechtsspraak bepaald. Toch valt op dat de sociale netwerksite, onder invloed van de Privacywet, weliswaar een omgekeerde redenering toepast. Derhalve dienen de regelgevende instanties een zekere mate van waakzaamheid aan de dag te leggen om de verwatering van dit persoonlijkheidsrecht zo goed als mogelijk tegen te gaan.

3. BESLUIT BIJ HOOFDSTUK 2 131. We kunnen aldus besluiten dat zowel de geldende Europese als nationale wetgeving, die in voorgaande uiteenzetting uitvoerig uit de doeken werd gedaan, het zeil in top zetten om de persoonlijke levenssfeer van individuen zo goed als mogelijk te beschermen. Aanvaard moet worden dat, omwille van het feit dat er hoogstwaarschijnlijk nooit een waterdichte definitie van het privacy-‐begrip zal bestaan, er nimmer zal kunnen gesproken worden van een integrale bescherming die alle deelaspecten van het privacy-‐concept zal omhelzen. 132. Op supranationaal niveau merkten we dat zowel de Raad van Europa als de Europese Commissie de handen uit de mouwen steken om het privacy-‐recht vrijwaren, en bevat de 224 L. Dierickx, Het recht op afbeelding, Antwerpen en Oxford, Intersentia, 2005, 66-‐67;

57

Juridisch kader

Richtlijn Bescherming Persoonsgegevens in dat kader ongetwijfeld de belangrijkste bepalingen. Desalniettemin mag de aanzienlijke waarde van artikel 8 EVRM en de daaruit voortvloeiende positieve verplichtingen niet verloochend worden. Toch is gebleken dat de huidige regels niet meer volstonden om een adequate bescherming te garanderen in onze immer evoluerende digitale maatschappij. Om het hoofd te bieden aan de uitdagingen inzake de bescherming van persoonlijke gegevens op het internet, die de afgelopen decennia ontstonden, keurde de Europese Commissie in oktober het voorstel voor een nieuwe Algemene Verordening Gegevensbescherming (met de daarin onder meer het ‘recht om vergeten te worden’ en het ‘recht van gegevensoverdraagbaarheid’) eerder dit jaar goed. 133. Nationaal is artikel 22 van de Belgische Grondwet de grondslag voor de bescherming van de persoonlijke levenssfeer. Gezien de enge bewoording van het privacy-‐begrip laat de grondwetgever de invulling ervan echter hoofdzakelijk over aan de bevoegde wetgevende instellingen. Zo bepalen verscheidene afzonderlijke wetten zoals de Privacywet, de Strafwet en de Telecommunicatiewet de Belgische regels inzake de bescherming van de persoonsgegevens in de digitale omgeving. Hoewel het op het eerste zicht vreemd leek, aangezien het om een persoonlijkheidsrecht ging, merkten we op dat de regels inzake het recht op afbeelding te vinden zijn in de Auteurswet. Desalniettemin werd ook het belang van de bescherming van dit recht, in het kader van de privacybescherming, aangetoond. 134. Maar waar God een kerk sticht, bouwt de duivel een kapel. Zo zagen we bijvoorbeeld dat de verschillende implementatie van de Richtlijn Bescherming Persoonsgegevens in de onderscheiden lidstaten, een uniform beleid binnen de Europese Unie in de weg stond. Wanneer het juridisch kader echter in zijn totaliteit bekeken wordt, valt de grote verscheidenheid aan regels en de onderling variërende invullingen van het recht duidelijk op. Daarenboven is het voorgaande ongetwijfeld nadelig voor de rechtszekerheid van de burger. Dientengevolge

is

alle

hoop

gevestigd

op

de

nieuwe

Algemene

Verordening

Gegevensbescherming, die een uniforme en adequate beschermingsregeling moet invoeren in alle lidstaten van de Europese Unie.

58

Facebook & Europese gegevensbescherming

HOOFDSTUK 3: DE SOCIALE NETWERKSITE FACEBOOK IN HET LICHT VAN DE EUROPESE GEGEVENSBESCHERMINGSREGELS

1. DE PRIVACYRICHTLIJN EN FACEBOOK 1.1 TOEPASSELIJKHEID VAN DE RICHTLIJN 1.1.1 . Toepassingsgebied 135. In de meeste gevallen is de Richtlijn bescherming Persoonsgegevens van toepassing, ook wanneer de hoofdkantoren van aanbieders van sociale netwerksites zich buiten de Europese Economische Ruimte bevinden. Dit zegt de Groep van Artikel 29 (zie infra) in haar ‘Advies over Online Sociale Netwerken’.225 Ze stellen dat het gebruik van ‘cookies’ en dergelijke software door sociale netwerksites gezien kan worden als het gebruik van middelen aan de hand van welke persoonlijke gegevens verwerkt worden. Deze verwerking vindt dan plaats op het grondgebied van een Lidstaat, waardoor de nationale wetgeving van desbetreffende Lidstaat dan ook van toepassing is. Dit doet de Groep op basis van artikel 4 van de Richtlijn Bescherming Persoonsgegevens dat poneert dat wanneer de gebruikte apparatuur zich op het grondgebied van een Lidstaat bevindt, de gegevensbeschermingswetgeving van dat land van toepassing is. Wanneer deze situatie zich voordoet is de aanbieder van het sociale netwerk gehouden een vertegenwoordiger aan te stellen op datzelfde grondgebied. 226 1.1.2 Verantwoordelijke voor de verwerking 136. De Richtlijn spreekt over de ‘verantwoordelijke van de verwerking’. In artikel 6 bepaalt ze dat deze verantwoordelijke instaat voor de eerlijkheid en rechtmatigheid van de verwerking van persoonsgegevens en staat voor de nakoming van de plichten die uit de Richtlijn voorkomen. 227 225 Advies 5/2009 van de Groep gegevensbescherming artikel 29 over online sociale netwerken, 12 juni

2009. Te raadplegen op: http://www.privacycommission.be/sites/privacycommission/files/documents/01.02.04.02.01-‐ wp163_nl.pdf . 226 Artikel 4, lid 2, c) Richtlijn Bescherming Persoonsgegevens. 227 Commissie voor de bescherming van de persoonlijke levenssfeer, lexicon, 2013, http://www.privacycommission.be/nl/lexicon/verantwoordelijke-‐voor-‐de-‐verwerking .

59


Bij sociale netwerken zijn het de aanbieders van de diensten die aangeduid worden als verantwoordelijke voor de verwerking van gegevens net omdat zij beslissen welke gegevens voor publiciteit en marketing gebruikt kunnen worden en ze ook de middelen voor de verwerking ter beschikking stellen. Wat ook niet vergeten mag worden is dat ontwikkelaars van derde applicaties, die in verband staan met de sociale netwerken, ook gehouden kunnen worden als verantwoordelijke voor de verwerking. Dit is enkel het geval wanneer de gebruikers van het Sociale netwerk een toepassing gebruiken die de ontwikkelaar ontwierp in het verlengde, als aanvulling op de bestaande aangeboden service. 228 Betrokkenen dienen wel eerst hun uitdrukkelijke toestemming te geven aan de applicatie vooraleer deze toegang krijgt tot de nodige Facebook-‐gegevens (bijvoorbeeld bij het koppelen van een Instagram-‐account aan een Facebook account “geef je Instagram toegang tot je persoonlijke gegevens, vriendenlijst en bovendien ook om namens jou bepaalde zaken op je prikbord te plaatsen”).229 1.1.3 De gebruiker zelf 137. Elke gebruiker van een sociale netwerksite kan worden aanzien als een ‘betrokken persoon’ in de zin van de Richtlijn Bescherming Persoonsgegevens. Hij is diegene die zijn gegevens vrijgeeft en de persoonsgegevens van anderen ook kan verwerken. Enkel wanneer hij dit laatste doet “in het kader van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden” is hij niet gehouden tot dezelfde plichten als de verantwoordelijke voor de verwerking.230 Zowel de aanbieder als de gebruiker kunnen bijgevolg aangemerkt worden als verantwoordelijke voor de verwerking. 231 Dit bevestigt de Werkgroep artikel 29 in haar advies.232 Een toepassingsgeval hiervan zou zijn dat de sociale netwerkgebruiker handelt voor een onderneming of wanneer zijn acties politiek of commercieel ingegeven waren.233 X., “Toepasselijkheid van de Europese Privacyrichtlijn”, Commissie voor de bescherming van de persoonlijke levenssfeer, 2013, http://www.pr.ivacycommission.be/nl/toepasselijkheid-‐van-‐de-‐europese-‐privacyrichtlijn 229 Deze standaardvermelding zien we terugkomen in bij nagenoeg alle applicaties die aan een Facebook-‐ account gekoppeld worden. 230 Artikel 3, §2, 2e streep spreekt over de “vrijstelling voor huishoudelijke activiteiten”. In de uitzondering werd voorzien om bepaalde handelingen in het dagelijkse leven (bijvoorbeeld een telefoonboekje maken met nummers van vrienden) niet onder de beperking te laten vallen. Wanneer hij dit buiten de huishoudelijke sfeer zou doen zal hij wel als verantwoordelijke voor de verwerking aanzien worden en bijgevolg wel onder de toepassing van de Richtlijn vallen. 231 P. VAN EECKE en M. TRUYENS, “Privacy en sociale netwerken”, Computerr. 2010, 117. 232 Advies 5/2009 van de Groep gegevensbescherming artikel 29 over online sociale netwerken, 12 juni 2009. Te raadplegen op: http://www.privacycommission.be/sites/privacycommission/files/documents/01.02.04.02.01-‐ wp163_nl.pdf . 233 P. VAN EECKE en M. TRUYENS, “Privacy en sociale netwerken”, Computerr. 2010, 117-‐118. 228

60


1.1.4 Gevoelige persoonsgegevens 138. In de Privacyrichtlijn worden “gevoelige persoonsgegevens” omschreven als: “persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen.”234 De bepalingen leggen ook bijzondere voorwaarden wanneer deze gevoelige informatie verwerkt zou worden. 138. Bij het bekijken van veel Facebook-‐profielen merken we op dat zij bijna elke categorie van informatie, in artikel 8 omschreven, bevatten of lijken te bevatten. Gebruikers hebben de mogelijkheid hun seksuele voorkeur, politieke opvattingen of geloofsovertuiging op hun profielpagina mee te delen. Daarenboven kan men door lid te worden van een bepaalde groep of door deel te nemen aan een bepaalde activiteit ook heel wat persoonlijke informatie vrijgeven. 235 De bepalingen van de Privacyrichtlijn bepalen dat voor het verwerken van ‘gevoelige’ informatie de uitdrukkelijke toestemming van de betrokken gebruiker vereist is, terwijl voor het verwerken van andere informatie een impliciete toestemming volstaat. Gezien Facebook-‐profielen beide soorten informatie bevat zou er in principe aan de twee vereiste toestemmingen voldaan dien te worden. Vreemd genoeg voorziet de Richtlijn in een uitzondering die de bijzondere regels inzake gevoelige gegevens in het kader van sociale netwerksites teniet doen door te stellen dat ze niet gelden wanneer de “verwerking betrekking heeft op gegevens die duidelijk door de betrokkene openbaar gemaakt zijn.”236 Moeten gebruikers er dan vrede mee nemen dat hun gevoelige gegevens minder beschermd worden louter omwille van het feit dat sociale netwerksites in beginsel openbaar zijn? 237 Of zijn ze hiervoor zelf verantwoordelijk, gezien ze per slot van rekening toch zelf beslissen of ze die gevoelige informatie over zichzelf al dan niet vrijgeven? Dit is relevant in het kader van sociale netwerksites waar privacy-‐onvriendelijke ‘default-‐ instellingen’ de veiligheid van persoonlijke gegevens in gevaar brengen en dit net omdat de leden van de netwerksites niet weten of er niet om geven dat deze instellingen aangepast

234 Artikel 8, lid 1 RBP.

235 Bijvoorbeeld een deelnemen aan een evenement van een kiescampagne van een bepaalde politieke

partij, lid worden van een groep in verband met gelijke rechten voor holebi ’s kan politieke of seksuele voorkeuren kenbaar maken. 236 Artikel 8, lid 2, e) Richtlijn Bescherming Persoonsgegevens. 237 L. EDWARDS EN I. BROWN, “Data Control and Social Networking: Irreconcilable Ideas?” in A. MATWYSHYN (ed.), Harbouring Data: Information security, Law and the corporation , Palo Alto, Stanford University Press, 2009, 205.

61


kunnen worden. Het opleggen van een algemene regeling met bepaalde minimumvoorschriften aan alle sociale netwerksites zou mogelijks een oplossing bieden voor dit probleem.238

1.2 DE WERKGROEP ARTIKEL 29 139. In het eerste lid van artikel 28 van de Privacyrichtlijn legt ze aan elke Lidstaat op om één of meer toezichthoudende autoriteiten op te richten die belast worden met het toezicht op de toepassing van de uitvoering die door desbetreffende Lidstaat ter uitvoering van de RBP op zijn grondgebied werden ingevoerd.239 140. Vervolgens bepaalt artikel 29 dat er een onafhankelijke Europese werkgroep dient opgericht te worden die bevoegd is voor zaken in verband met de bescherming van persoonlijke gegevens en privacy. 240 In deze ‘Groep’ met raadgevingsfunctie wordt elke toezichthoudende autoriteit van elk van de 27 Lidstaten van de Europese Unie vertegenwoordigd. Ze bestaat niet enkel uit de vertegenwoordigers van de verschillende privacy-‐commissies maar ook uit de Europese toezichthouder voor gegevensbescherming en vertegenwoordigers van de Europese Commissie. 241 242 De afdeling Gegevensbescherming van het Directoraat-‐generaal Justitie, Vrijheid en Veiligheid van de Europese Commissie neemt het secretariaat voor haar rekening.243 In beginsel is haar functie het bevorderen van een uniforme toepassing van de Privacyrichtlijn in alle 27 Lidstaten. Ze let tevens ook op de goede toepassing van de Richtlijn inzake privacy en Elektronische Communicatie. Dit doet ze aan de hand van adviezen, aanbevelingen betreffende uiteenlopende onderwerpen inzake de bescherming van het recht op privacy (waaronder de persoonsgegevensbescherming) en het ontwerpen van werkdocumenten.244 Deze documenten en adviezen vindt men ter raadpleging terug op de webpagina van de Groep. De plenaire

238 De problematiek omtrent de Standaard Privacy Instellingen wordt later besproken.; L. EDWARDS EN I.

BROWN, “Data Control and Social Networking: Irreconcilable Ideas?” in A. MATWYSHYN (ed.), Harbouring Data: Information security, Law and the corporation , Palo Alto, Stanford University Press, 2009, 222. 239 Artikel 28, lid 1 Richtlijn Bescherming Persoonsgegevens. 240 Verder de ‘Groep’. 241 Artikel 29 Richtlijn Bescherming Persoonsgegevens. 242 Een aantal kandidaat-‐lidstaten (Kroatië en de Voormalige Joegoslavische Republiek Macedonië) en IJsland, Liechtenstein en Noorwegen, de lidstaten van de EER (Europese Economische Ruimte), vervullen in de ‘Groep’ een waarnemende rol. 243 Artikel 29, 5 Richtlijn Bescherming Persoonsgegevens. 244 Commissie voor de bescherming van de persoonlijke levenssfeer, lexicon, 2013, http://www.privacycommission.be/nl/lexicon/groep-‐artikel-‐29.

62


zittingen van de Groep worden vijf maal per jaar gehouden in de Brusselse gebouwen van de Europese Unie.245 141. Onder de nieuwe voorgestelde Algemene Verordening Gegevensbescherming wordt de Werkgroep 29 vervangen door een Europees Comité voor gegevensbescherming, dat zal bestaan uit de voorzitters van de toezichthoudende overheid van elke lidstaat en van de Europese Toezichthouder voor gegevensbescherming.246 Het wordt een onafhankelijk comité waarvan de Europese Commissie geen deel uitmaakt. De ontwerptekst voorziet ook in aanvullende elementen tegenover de huidige Richtlijn gezien de grotere spanwijdte van het comité. Ze geeft bijvoorbeeld de mogelijkheid aan de Commissie om binnen een bepaalde (korte) termijn adviezen te vragen aan het nieuwe toezichthoudend orgaan, om zo beter in staat te zijn te reageren op dringende situaties. De voornaamste taak van het nieuwe Comité zal ervoor zorgen zijn dat de Algemene Verordening consequent toegepast wordt in alle Lidstaten van de Europese Unie door onder andere het verrichten van onderzoeken, het uitbrengen van adviezen, de samenwerking te bevorderen tussen de verschillende toezichthoudende overheden. 247

2. DE RELATIE MET DE E-‐PRIVACY RICHTLIJN 2.1 DE ‘LIKE-‐BUTTON’ 142. Relevant voor het cookie-‐discours inzake Facebook is het fenomeen van de ‘Like-‐Button’. Vroeger bestond de mogelijkheid binnen Facebook zelf reeds om foto’s, statussen en dergelijke te ‘liken’. Facebook ging in april 2010 echter nog een stapje verder met de introductie van de Like-‐button op andere websites. Dit deed Facebook wanneer ze een reeks sociale ‘plug-‐ins’ invoerde, waarmee men ook op derde websites desbetreffende ‘button’ kon terugvinden (“like this on Facebook”). De Like-‐button stelt in principe niets meer voor dan een knop waarop men kan klikken om weer te geven dat men iets ‘leuk’ vindt. Vervolgens wordt hetgeen ‘geliked’ werd ook zichtbaar voor de ‘vrienden’ van de betrokkene. Op deze manier wordt een klein stukje Facebook naar een andere webpagina gehaald. Alle wegen leiden naar Facebook? Zo lijkt het

245X., “Werkgroep Artikel 29 voor de bescherming van persoonsgegevens”, Commissie voor de bescherming

van de persoonlijke levenssfeer, 2013, http://www.privacycommission.be/nl/groep-‐29. 246 Artikel 64 Algemene Verordening Gegevensbescherming. 247 Artikel 66 Algemene Verordening Gegevensbescherming.

63


inderdaad. Overal op het internet kunnen we de like-‐button terugvinden, hij is niet meer weg te denken uit het dagelijkse internetgebeuren.248 143. Het succes van deze functie is dus op twee elementen gebaseerd: de kwantiteit en de kwaliteit van de ‘likes’. Hoe meer een bepaalde status, afbeelding, artikel of eender welke post ‘geliked’ wordt, hoe groter de kans dat een andere persoon deze post zelf bekijkt en liked. Op deze manier gaat de bal aan het rollen en wordt het duidelijk dat het ‘delen van informatie’ nooit sneller en efficiënter gebeurde. Verder is ook de kwaliteit van de like belangrijk. Er kunnen bijvoorbeeld 200 mensen een bepaalde post liken, maar wanneer niemand daarvan een connectie van de betrokkene is, is de kans op onverschilligheid bij deze laatste groot. Wanneer er daarentegen twintig ‘goede vrienden’ eenzelfde iets liken, of een persoon wiens mening of stijl men apprecieert, wordt de kans aanzienlijk verhoogd dat de gebruiker geneigd zal zijn desbetreffende informatie ook te raadplegen. 144. Naast de voordelen van deze optie dient hierbij toch ook de bescherming van de privacy onder de loep genomen te worden. Uit een onderzoek in 2013 blijkt dat met de likes van een persoon heel wat persoonlijke informatie kan verzameld worden. Het onderzoek spreekt over seksuele voorkeur, religieuze en politieke standpunten, middelengebruik van personen, raciale informatie, persoonlijkheid en intelligentie. Facebook-‐vrienden, websites met toegang tot het Facebook-‐profiel, overheidsinstellingen of iedereen die toegang heeft tot de ‘likes’ van gebruikers, kan aan de hand van software deze persoonlijke informatie verzamelen, die bij het samenvoegen ervan een bepaald profiel van de betrokkene creëren, terwijl dit mogelijks zijn intentie niet was bij het uitbrengen van de ‘like’.249

2.2. DE DIGITALE VOETAFDRUK 145. Door het gebruik van cookies en met behulp van gespecialiseerde software wordt elke activiteit op internet, en dus ook op Facebook, geregistreerd en omgezet tot bruikbare data. Iedereen die op het internet surft laat een spoor achter bij elke handeling die hij uitvoert. Het klikken op een link, het veranderen van een webpagina, iets liken, etc. vormen samen een bron

248 ‘Twitter’, een andere grote speler onder de sociale media, was eigenlijk de voorloper hiervan. Men kon

reeds vanop verschillende websites iets ‘doortweeten’ waardoor het artikel of wat men wou tweeten rechtstreeks te zien was op de persoon zijn Twitter-‐pagina. 249 M. KOSINSKY, D. STILWELL, T. GREAPEL, “Private traits and attributes are predictable from digital records of human behavior”, PNAS 2013, 5802–5805.

64


van informatie waardoor ons pad op het net ‘Hans-‐en-‐Grietje-‐gewijs’ gevolgd kan worden. Deze informatie wordt ook wel ‘clickstream-‐data’ genoemd.250 146. Wat is een ‘digitale voetafdruk’ nu? Zoals eerder aangehaald wordt door het gebruik van cookies heel wat persoonlijke informatie verspreid op het internet. In beginsel is dit niet steeds de intentie van de internetgebruiker, waardoor we kunnen spreken van een vorm van impliciete verspreiding van deze gegevens. Wanneer we een foto op het internet plaatsen is dit meestal wel met de bedoeling deze zichtbaar te maken voor anderen. In dat geval spreken we van een expliciete gegevensverspreiding. Onze digitale voetafdruk kan het best omschreven worden als alles dat we zelf aan informatie aanmaken. Telkens een persoon nieuwe informatie verspreid vergroot dit zijn digitale voetafdruk. Dit kan zodoende zowel impliciet als expliciet. Dit wordt ook de ‘actieve’ en ‘passieve’ digitale voetafdruk genoemd.251 Eenmaal de informatie vrijgegeven is deze moeilijk tot nagenoeg nooit meer volledig te verwijderen, ook niet wanneer men bijvoorbeeld de bewuste foto, status-‐update of het volledige Facebook-‐profiel zou verwijderen. De vraag is natuurlijk in hoeverre we controle hebben over onze eigen gegevens op het internet. Als we zelf naderhand niet meer kunnen bepalen welke gegevens beschikbaar zijn, is dit dat niet in strijd met ons recht op privacy? Zijn de regelen omtrent het gebruik van deze persoonsgegevens wel aangepast aan onze snel evoluerende ‘digitale maatschappij’? Hier zal de nieuwe Algemene Richtlijn Gegevensbescherming in de toekomst een oplossing bieden door de invoering van ‘het recht om vergeten te worden’ (zie infra).

2.3 DE DIGITALE SCHADUW 147. Zoals hierboven duidelijk werd, wordt heel wat informatie over ons verspreid zonder dat we hiervan op de hoogte zijn. Wanneer anderen data over ons creëren maakt dit ook deel uit van onze passieve digitale voetafdruk. We noemen dit ook wel onze digitale schaduw. Deze informatie kan bestaan uit openbare gegevens waarvan u het bestaan kent maar tevens ook uit informatie waarvan men niet eens weet dat ze bestaat. Videobeelden gemaakt in een parkeergarage, bancontact gegevens verzameld wanneer u uw kerstaankopen deed, een foto van 250 J. WOO, "The right not to be identified: privacy and anonymity in the ineractive media environment",

New Media & Soc. 2006, 949 – 967. 251 B. BAGGIO, Y. BELDARRAIN, Anonymity and Learning in Digitally Mediated Communications: Authenticity

and Trust in Cyber Education, Verenigde Staten, Idea Group Inc, 2011, 91-‐103.

65


u die iemand plaatste op een sociale netwerksite zonder dat u hiervan op de hoogte bent, zijn hier voorbeelden van. 148. De problematiek bij dit soort informatie is dat men er vrijwel nooit toegang tot kan krijgen en men er bijgevolg geen vat op heeft. Mensen zullen moeten aanvaarden dat steeds meer elementen uit hun dagelijkse leven een massa informatie creëert die ‘ergens’ verzameld kan en bekendgemaakt kan worden. Dit kan doen terugdenken aan ORWELL’S ‘Big Brother-‐maatschappij’ die voordien reeds werd aangehaald. Uit een onderzoek in opdracht van ‘EMC’, wereldwijd leider in het ondersteunen van bedrijven en service providers bij de transformatie van hun IT(Information Technologie)-‐activiteiten, blijkt dat onze digitale schaduw veel verder reikt dan onze digitale voetafdruk. Het ‘digitale universum’, zoals zij de verzameling van wereldwijde opgeslagen informatie noemen, groeit jaarlijks zienderogen met een enorme snelheid. Het onderzoek toont aan dat 75% van de gegevens voortkomt uit het internetgedrag van particulieren en dat zakelijke ondernemingen, vaak zonder hun medeweten, beschikken over 80% van deze gegevens.252 Net omdat er een enorme diversiteit is aan netwerken wordt de kans op informatielekken, zonder medeweten van deze ondernemingen, vergroot en wat bijgevolg een bedreiging vormt voor de eerbiediging van het privéleven.253 149. De rechtspraak in België hanteert het complexe fenomeen van de verjaring waardoor na het verstrijken van een bepaalde termijn zaken en informatie hun relevantie verliezen. Oude gegevens dienen met verloop van tijd ook vernietigd te worden. De wet is op dit vlak duidelijk milder dan het internet, van een ‘verjaring’ is hier alvast zeker geen sprake.254 In het volgende onderdeel zullen we zien hoe het voorstel van van Europees Commissaris Viviane Reding tot een algemene verordening inzake gegevensbescherming hier verandering in zal brengen.

252 Deze ondernemingen kunnen een internetprovider zijn waarlangs deze gegevens zich verplaatsen, een

verlener van digitale diensten. Aangezien persoonlijke gegevens en deze van ondernemingen steeds meer met elkaar verwoven zijn kan dit zelf een werkgever zijn. 253 J. GANTZ, D. REINSEL, “Extracting Value from Chaos”, IDC iView, 2011, http://netherlands.emc.com/collateral/analyst-‐reports/idc-‐extracting-‐value-‐from-‐chaos-‐ar.pdf. 254 H. TIMMERMAN, “Uw digitale schaduw”, Data Centered, 2011, http://www.datacentered.nl/2011/07/uw-‐digitale-‐schaduw/.

66


3. AVG EN DE TOEKOMST VAN SOCIALE NETWERKSITES 150. In Hoofdstuk 3 was te lezen hoe de bedreigingen voor de privacy in de digitale context geleid heeft tot het indienen van een voorstel voor een algemene verordening inzake Gegevensbescherming. Om het vertrouwen van individuen in onlinediensten te stimuleren is een hoge beschermingsgraad inzake persoonlijke gegevens noodzakelijk. We wezen eerder op de vrees van particulieren voor het verliezen van de controle over hun gegevens op het internet. Deze nieuwe verordening beoogt dan ook het vertrouwen in de sociale media en communicatie in het algemeen aan te wakkeren, alsook het herstellen van de controle over de eigen online persoonsgegevens.255 De klemtoon ligt duidelijk op het bevorderen van de transparantie voor de betrokkenen. Er moet in de eerste plaats in detail geïnformeerd worden welke gegevens precies worden verwerkt, met welk oogmerk, voor welke termijn ze bewaard blijven en aan welke derden de gegevens worden doorgegeven indien dit het geval zou zijn. Daarnaast dienen ze te beschikken over de informatie die hen in eenvoudige bewoording duidelijk maakt tot welke autoriteiten ze zich dienen te wenden bij misbruik van hun persoonsgegevens.256 Het voorstel voert heel wat wijzigingen door op het vlak van de verwerking van gegevens en introduceert bovendien ook enkele opmerkelijke nieuwe begrippen die de huidige regeling voor sociale netwerksites grondig aanpast. 257

3.1 THE ‘RIGHT TO BE FORGOTTEN” & THE ‘RIGHT TO ERASURE’ 151. De Europese Commissie voorziet in artikel 17 van de verordening in het recht ‘om vergeten te worden’ en ‘op uitwissing van gegevens’. Op basis van dit recht moet de betrokkene in bepaalde omstandigheden op elk ogenblik de mogelijkheid hebben zijn toestemming voor de verwerking van persoonlijke gegevens in te trekken, met als logisch gevolg dat deze door de verantwoordelijke voor de verwerking verwijderd worden. Hij kan dit recht uitoefenen op basis van één van de in het eerste lid omschreven gronden, namelijk: wanneer het bewaren van de gegevens niet langer nodig is in verband met de doeleinden waarvoor ze verzameld of 255 X.,

“Wat betekenen de nieuwe gegevensbeschermingsregels voor sociale netwerken?”, Europese Commissie, 2012, http://ec.europa.eu/justice/data-‐protection/document/review2012/factsheets/3_nl.pdf. 256 S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012, http://siriuslegal.wordpress.com/2012/02/06/het-‐voorstel-‐voor-‐een-‐europese-‐privacy-‐verordening-‐ doorgelicht/. (Hierna: S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012.) 257 Zie bijlage 4.

67


anderszins verwerkt werden, na het aflopen van de tussen de partijen gesloten overeenkomst of wanneer de gegevens verwerkt werken in strijd met de bepalingen van de verordening. Het artikel specifieert dat het mogelijk is dat een individu persoonlijke informatie ‘als kind beschikbaar heeft gesteld’ die later nadelige gevolgen voor hem blijkt te hebben. De betrokken persoon moet, ongeacht zijn leeftijd, dergelijke ‘oude informatie’ volledig kunnen verwijderen.258 152. Het is van belang dat bij de uitoefening van dit recht de verantwoordelijke voor de verwerking van de persoonlijke gegevens dadelijk alle redelijke, waaronder ook technische, maatregelen neemt teneinde deze gegevens te verwijderen. In het geval hij ze zelf verder aan derden verstrekt heeft is hij daarenboven ook verantwoordelijk om deze derden op de hoogte te brengen over het feit dat de betrokkene hun verzoekt iedere koppeling naar, kopie of reproductie ervan te wissen.259 Op de vraag van de betrokkene kan echter niet ingegaan worden in het geval dat de persoonsgegevens bewaard moeten blijven in het kader van de persvrijheid en het recht op vrije meningsuiting of wanneer ze noodzakelijk zijn voor historische, statistische of wetenschappelijke onderzoeksdoeleinden.260 153. In tegenstelling tot het nieuwe voorstel voorziet de huidige Richtlijn Bescherming persoonsgegevens niet in een afzonderlijk ‘recht om vergeten te worden’. We mogen echter niet stellen dat de Richtlijn geen enkele vergelijkbare vorm van bescherming biedt. Sommige bepalingen kunnen geïnterpreteerd worden als een ‘verdund’ ‘right to be forgotten’. Zo is het volgens de Richtlijn verboden om persoonlijke gegevens langer dan noodzakelijk te bewaren en hebben betrokkenen in geval van onjuiste of onvolledige gegevens het recht op rechtzetting, uitwissing of afscherming ervan. Artikel 14 van de Richtlijn bepaalt dat de betrokkene een algemeen verzetsrecht heeft tegen de verwerking van gegevens. Jammer genoeg heeft dit artikel een beperkt toepassingsgebied waardoor er niet van een effectief ‘recht om vergeten te worden’ gesproken kan worden. 261 154. Welke gevolgen heeft dit recht nu op sociale netwerksites? Vanaf de inwerkingtreding van de verordening zal de aanbieder van de sociale netwerksite telkens wanneer één van hun gebruikers dit vraagt, tenzij ze bewijs kunnen voorleggen voor het bestaan van legitieme 258 Artikel 17 Algemene verordening gegevensbescherming. 259 Artikel 17, lid 2 Algemene verordening gegevensbescherming. 260 Artikel

17, lid 3 Algemene verordening gegevensbescherming; S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012. 261 J. AUSLOOS, “The ‘Right to be Forgotten’ – Worth remembering?”, ICRI Research Paper 2011, 13; http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1970392. Deze bepalingen zijn terug te vinden in de artikelen 6 en 12 van de Richtlijn Bescherming Persoonsgegevens.

68


gronden voor het bewaren ervan, diens persoonlijke gegevens uit hun databanken moeten wissen.262

3.2 THE ‘RIGHT TO DATA PORTABILITY’ 155. De verhoogde transparantie die het voorstel beoogt uit zich onder meer in het ‘recht van gegevensoverdraagbaarheid’ dat wordt vastgelegd in artikel 18 van de verordening.263 Op basis van het eerste lid van het artikel heeft de internetgebruiker het recht om van de verantwoordelijke voor de verwerking een kopie te krijgen van de verzamelde en verwerkte persoonlijke gegevens, wat onder EU recht zeer ruim gedefinieerd wordt als: “any information relating to the data subject”, en dat in een elektronisch en gestructureerd formaat dat door de betrokkene verder kan gebruikt worden. Een Facebook-‐gebruiker zal bijvoorbeeld zelf kunnen bepalen om de verkregen gegevens aan een andere sociale netwerksite aan te bieden.264 Het tweede lid van artikel 18 AVG bepaalt dat betrokkenen het recht hebben om persoonsgegevens en ‘alle andere informatie’, die hij vrijgaf en dat bewaard worden op een geautomatiseerd systeem voor verwerking, in een algemeen gebruikt formaat over te dragen naar een ander soortgelijk systeem, zonder dat de verantwoordelijke voor de verwerking zich hiertegen verzet.265 Al lijkt deze bepaling op het eerste zicht niet veel te verschillen van het eerste lid, onderscheidt ze zich ervan op drie belangrijke punten. Eerst en vooral worden de gegevens zonder tussenkomst van de betrokkene door de huidige verantwoordelijke voor de verwerking rechtstreeks overgedragen aan een andere. In dit geval zou bijvoorbeeld Facebook zélf de verzamelde gegevens van de betrokken gebruiker, op zijn verzoek, moeten overdragen aan een andere website. Ten tweede moeten desbetreffende gegevens ‘onbelemmerd’ overgedragen worden in een algemeen gebruikt formaat. Ook al bepaalt het voorstel niet nader wat onder een belemmering moet verstaan worden, uit de redactie van de bepaling kan afgeleid worden dat de overdracht vlot moet verlopen. Als derde en laatste onderscheidend element wordt een ruimere bewoording dan het eerste lid gehanteerd. Lid twee spreekt niet enkel over ‘persoonlijke gegevens’ die reeds opgeslagen zijn in een algemeen gehanteerd formaat, maar ook 262 Artikel 17 Algemene verordening gegevensbescherming.

263 Artikel 18 Algemene verordening Gegevensbescherming. 264 P. SWIRE EN Y. LAGOS, "Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust

and Privacy Critique", Mayerland Law Review 2013, 341-‐342. (Hierna: P. SWIRE EN Y. LAGOS, "Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique", Mayerland Law Review 2013.) De letterlijke tekst van artikel 18 AVG spreek over: “persoonsgegevens die elektronisch en in een gestructureerd en algemeen gebuikt formaat worden verwerkt”. 265 Artikel 18, lid 2 Algemene verordening Gegevensbescherming.

69


over ‘alle andere informatie’ door de gebruiker vrijgegeven. 266 Voor Facebook-‐gebruikers betekent dit concreet dat wanneer zij dit wensen, op grond van dit recht, gemakkelijker hun persoonlijke gegevens zullen kunnen overdragen naar bijvoorbeeld een andere sociale netwerksite, zonder hiervoor door Facebook belemmerd te worden.267

3.3 VOORWAARDEN VOOR DE TOESTEMMING 156. Ten aanzien van individuen die persoonlijke gegevens voor verwerking vrijgeven, biedt de voorgestelde verordening enkele additionele garanties die gegevens in de toekomst veiliger zullen moeten stellen. De belangrijkste verandering het opleggen van de vereiste voor een ‘explicit consent’ of een uitdrukkelijke toestemming vanwege de betrokkene alvorens zijn/haar gegevens verwerkt zullen mogen worden.268 157. Artikel 7 van de huidige Richtlijn Bescherming Persoonsgegevens bepaalt dat persoonlijk gegevens slechts mogen verwerkt worden “wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming verleend heeft”.269 Deze bewoording, die de Europese wetgever hanteerde, creëerde heel wat rechtsonzekerheid, gezien ze geen duidelijke invulling gaf aan het concept van de ‘ondubbelzinnige toestemming’. Vergt dergelijke toestemming steeds een actieve toestemming van de betrokkene of is door het louter voorzien van ‘opt-‐out’ mogelijkheden (een mogelijkheid waarbij de gebruiker de verwerking van gegevens kan verbieden) voldaan aan de vereiste van een ondubbelzinnige toestemming? De ontwerptekst schept hier duidelijkheid over. Zo dient de toestemming van de betrokkene in de toekomst ‘expliciet’ te zijn en mag stilte of inactiviteit van zijn kant niet geïnterpreteerd worden als een geldige toestemming (overweging 25).270 We kunnen de eerder gestelde vraag te beantwoorden door te stellen dat, wanneer we willen spreken van een uitdrukkelijke toestemming, inderdaad een actieve handeling van de betrokkene vereist is. Dit kan zich veruiterlijken door het aanklikken van een selectievakje wanneer men op het punt staat zijn persoonlijke gegevens voor verwerking vrij te geven.271 266 P. SWIRE EN Y. LAGOS, "Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust

and Privacy Critique", Mayerland Law Review 2013, 343. 267 P. SWIRE EN Y. LAGOS, "Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust

and Privacy Critique", Mayerland Law Review 2013, 341.

268 S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari

2012. 269 Artikel 7, a) Richtlijn bescherming persoonsgegevens. 270 H. HIJMANS, "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het

informatietijdperk te beschermen", NtEr 2012, 136. 271 S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari

2012.

70


158. Deze explicitering heeft belangrijke gevolgen voor sociale netwerksites. Bij het registratieproces van sociale netwerksites als Facebook kan men zich, na het invullen van enkele (persoonlijke) gegevens, eenvoudig akkoord verklaren met de algemene voorwaarden en de privacy policy door op de ‘accept button’ te klikken. Deze pagina verwijst meestal door middel van een ‘hyperlink’ naar desbetreffende voorwaarden. 272 Het is algemeen geweten dat de meerderheid van de internetgebruikers deze documenten niet doorneemt omwille van hun volume, complexiteit en de grote hoeveelheid aan voor hen irrelevante informatie.273 Dergelijke doorverwijzing zal in de toekomst niet meer volstaan om te kunnen spreken van een expliciete toestemming voor het verwerken van gegevens. Daarenboven bepaalt artikel 7 van de verordening dat de bewijslast voor het bestaan van de toestemming bij de verantwoordelijke voor de verwerking ligt.274

3.4 ‘PRIVACY BY DESIGN’ & ‘PRIVACY BY DEFAULT’ 159. Onder de nieuwe verordening zullen aanbieders van online diensten de beginselen van ‘privacy by default’ en ‘privacy by design’ in acht moeten nemen. 275 Bijgevolg zullen de bepalingen dus ook van toepassing zijn op aanbieders van sociale netwerksites. Het eerste beginsel bepaalt dat de standaardinstellingen een maximaal niveau van privacy moeten bieden aan de gebruikers.276 Aanbieders hebben hierbij ook de verplichting om deze rigoureuze regels automatisch op elk gebruikersprofiel toe te passen, zonder dat dit enige actieve handeling (zoals het aanpassen van de standaardinstellingen) van de betrokkenen vereist.277 Om deze doelstelling efficiënt te bereiken moet volgens het principe van ‘privacy by design’ in alle stadia, namelijk van de ontwikkeling tot de toepassing ervan, rekening gehouden worden met de optimale bescherming van de persoonlijke levenssfeer van gebruikers en dit aan de hand van privacy-‐bevorderende voorschriften, ook wel bekend als Privacy Enhancing Technologies 272 De

Van Dale omschrijft een ‘hyperlink’ als: “(computer) verwijzing die de gebruiker bij aanklikken direct naar het document of de plaats brengt waarnaar verwezen wordt; koppeling”. 273 P. VAN EECKE en M. TRUYENS, “Privacy en sociale netwerken”, Computerr. 2010, 123. 274 Artikel 7 Algemene verordening gegevensbescherming. 275 Artikel 23 Algemene verordening gegevensbescherming. 276 X., “Wat betekenen de nieuwe gegevensbeschermingsregels voor sociale netwerken?”, Europese Commissie, 2012, http://ec.europa.eu/justice/data-‐protection/document/review2012/factsheets/3_nl.pdf. 277 S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012.

71


(PET).278 Het is dan ook niet verwonderlijk dat dit beginsel zich vooral richt tot de ‘system engineers’, de ontwikkelaars, van bijvoorbeeld sociale netwerksites. Het hanteren van deze werkwijze, waaronder het hanteren van PET, leidt tot standaardinstellingen die de persoonlijke levenssfeer van gebruikers effectief kunnen beschermen. 279 160. Gezien hun relevantie kan het nodig zijn kort toe te lichten wat Privacy Enhancing Technologies nu precies zijn. PET is een verzamelnaam voor de verschillende technieken die gebruikt worden door informatiesystemen om de bescherming van persoonsgegevens te ondersteunen en omvat alle technische maatregelen om de privacy te waarborgen.280 Deze PET kunnen bijvoorbeeld gebruikt worden om identiteitsgegevens van een betrokkene los te koppelen van de overige gegevens die over hem werden verzameld. Deze koppeling kan dan enkel opnieuw worden hersteld aan de hand van bepaalde specifiek ontworpen hulpmiddelen. Een andere toepassing zou kunnen zijn dat men tracht te voorkomen dat er überhaupt persoonsgegevens vastgelegd worden eenmaal de identiteit is vastgesteld.281

3.5 SPECIFIEKE BEPALING INZAKE MINDERJARIGEN 161. In tegenstelling tot de Richtlijn van ’95 voorziet de ontwerptekst wel in specifieke bepalingen voor de bescherming van minderjarigen in de digitale omgeving. De commissie benadrukt dat minderjarigen en vooral jongere kinderen van een bijzondere bescherming zouden moeten kunnen genieten omwille van het feit dat zij zich minder bewust zijn van de risico’s, gevolgen, beschermingsmaatregelen en rechten bij de verwerking van persoonlijke gegevens. Voor de invulling van het begrip ‘kind’ wordt daarenboven rechtsreeks verwezen naar het VN-‐Verdrag inzake de rechten van het kind.282 Zo omschrijft artikel 4 AVG een kind als “iedere persoon die jonger is dan achttien jaar”.283 278 A. CAVOUKIAN EN M. PROSCH, “The Roadmap for Privacy by Design in Mobile Communications: A Practical

Tool for Developers”, Service Providers, and Users, Privacy by Design, 2010, 23; http://www.privacybydesign.ca/content/uploads/2011/02/pbd-‐asu-‐mobile.pdf. 279 L. MITROU EN M. KARYDA, "EU's Data Protection Reform and the Right to be Forgotten: A Legal Response to a Technological Challenge?", 5 februari 2012, 5th ICILE 2012. Te raadplegen op: http://ssrn.com/abstract=2165245. 280 R. KOORN, H. VAN GILS, J. TER HART, P. OVERBEEK EN R. TELLEGEN, Privacy Enhancing Technologies -‐ Witboek voor beslissers, Nederland, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (NL), 5; http://www.cbpweb.nl/downloads_technologie/witboek_pet.pdf. (Hierna: R. KOORN et al., Privacy Enhancing Technologies -‐ Witboek voor beslissers.) 281R. KOORN et al., Privacy Enhancing Technologies -‐ Witboek voor beslissers, 13. 282 Overweging 29 Algemene Verordening Gegevensbescherming, 24. 283 Artikel 4, puntje (18) Algemene Verordening Gegevensbescherming.

72


162. De opmerkelijkste verandering is het invoeren van een geheel nieuw en specifiek artikel die de regels vastlegt voor de verwerking van de persoonsgegevens van kinderen. Het artikel bepaalt de omstandigheden waarin persoonsgegevens van kinderen, in het kader van diensten van de informatiemaatschappij die hun rechtstreeks worden aangeboden, rechtmatig verwerkt kunnen worden.284 Opvallend is dat het eerste lid voor het eerst de leeftijdsgrens van 13 jaar aanvoert.285 Zo zal bij het aanbieden van dergelijke diensten aan kinderen onder die leeftijd, enkel rechtmatig overgegaan kunnen worden tot het verzamelen en verwerken van diens gegevens, nadat een ouder of voogd van het kind daarvoor zijn toestemming heeft verleend.286

4. WAT NU? 163. Voor de aanbieders van sociale netwerksites zijn dit enkele drastische wijzigingen in vergelijking met hun huidige manier van werken. Ze zullen dan ook ongetwijfeld hun privacy policy dienen aan te passen conform de bepalingen van de ontwerptekst. Sommigen vrezen zelf dat sociale netwerksites als Facebook hierdoor in de toekomst hun diensten onmogelijk nog gratis zullen kunnen aanbieden gezien ze hun structuur in zodanige wijze zouden moeten aanpassen.287 Wanneer de nieuwe regels niet gerespecteerd zullen worden heeft de Belgische Privacycommissie in de toekomst meer mogelijkheden. Tot op heden kan deze commissie bij inbreuken enkel optreden als bemiddellaar. Onder de nieuwe verordening wordt haar bevoegdheid opmerkelijk uitgebreid. Zo zal ze aan de hand van nieuwe middelen effectievere controles kunnen uitvoeren en zal ze de mogelijkheid hebben om inbreuken met aanzienlijke administratieve geldboetes te bestraffen.288 284 Artikel 8 Algemene Verordening Gegevensbescherming. 285 Deze leeftijd is geïnspireerd op deze van “part §312.2 van de Amerikaanse Children’s Online Privacy

Protection Act (COPPA). Deze Amerikaanse wet bepaalt de specifieke regels inzake de bescherming van de persoonlijke levenssfeer van kinderen onder de leeftijd van 13 op het internet. De COPPA is te raadplegen op:http://www.ecfr.gov/cgibin/retrieveECFR?gp=&SID=97cc896fc6afbc34ac43f8abc971b9f2&n=16y1.0. 1.3.36&r=PART&ty=HTML. 286 Artikel 8, lid 1 Algemene Verordening Gegevensbescherming. Het artikel legt de verantwoordelijke voor de verwerking op om ‘het nodige’ te doen voor het verkrijgen van deze verifieerbare toestemming en wordt hierbij rekening gehouden met de ‘beschikbare technologie’. 287 S. GEUKENS, "Gratis Facebook onmogelijk door nieuw wetsvoorstel EU”, De Morgen, 14 januari 2013. Hier kunnen we verwijzen naar het wegvallen van de grootste bron van inkomsten, verwezenlijkt door het verkopen van gegevens voor sociale advertenties. 288 X., “De nieuwe Europese regels rond gegevensbescherming: toelichting bij het voorstel van de Europese Commissie”, Commissie voor bescherming van de persoonlijke levenssfeer, 31 januari 2012, http://www.privacycommission.be/nl/nieuws/de-‐nieuwe-‐europese-‐regels-‐rond-‐gegevensbescherming-‐ toelichting-‐bij-‐het-‐voorstel-‐van-‐de.

73


Sociale netwerksites bleken in het verleden reeds experten te zijn in het naar hun hand zetten van (standaard)instellingen met het oog op hun commerciële doelstellingen. Hoe ze de nieuwe regeling echter zullen toepassen valt af te wachten.

74

Van theorie naar realiteit

HOOFDSTUK 4: VAN THEORIE NAAR REALITEIT 1. FACEBOOK PRIVACY-‐POLICY 164. Facebook is met haar 1.2 miljard gebruikers ongetwijfeld het bekendste en meest gebruikte platform onder de sociale netwerksites.289 Wanneer we de website vandaag bekijken merken we dat hij enkel al qua lay-‐out een enorme evolutie ondergaan heeft. Maar de lay-‐out is niet het enige wat doorheen de jaren aangepast werd. Ook de houding van de aanbieder van de sociale netwerksite tegenover het beschermen van persoonlijke gegevens onderging enkele grondige wijzigingen. Iedereen herinnert zicht beslist nog dat telkens wanneer Facebook met een nieuwe lay-‐out op de proppen kwam, ‘de newsfeed’ (dat is de startpagina die gebruikers te zien krijgen met een overzicht van alle recente ‘verhalen’) van het sociale netwerk woekerde van misnoegde gebruikers die terug wilden keren naar “hoe het vroeger was”.

290

Waar het merendeel van de gebruikers zich echter niet van bewust was, was het feit dat wanneer deze lay-‐outs veranderden, Facebook vaak ook haar privacy policy en standaard privacy-‐instellingen wijzigde, en dit zonder dat de gebruikers hier duidelijk van op de hoogte gebracht werden. Een afleidingsmanoeuvre? Het lijkt zo. Dergelijke werkwijze kan een probleem vormen voor de privacy, gezien veel mensen op Facebook waarschijnlijk nooit hun instellingen controleerden en gewoon de standaardinstellingen aanvaardden, welke deze ook mochten zijn. In dit opzicht kan het interessant zijn de verschillende wijzigingen die de Facebook Privacy Policy onderging eens te overlopen.

289 Zie grafiek in bijlage 3.

290 De Newsfeed of Het nieuwsoverzicht (de middelste kolom op je startpagina) is volgens de Facebook

help-‐pagina een lijst met verslagen van personen en pagina's die je op Facebook volgt en die continu wordt bijgewerkt. Nieuwsoverzichtverslagen omvatten statusupdates, foto's, video's, links, app-‐ activiteiten en vind-‐ik-‐leuks., te raadplegen op: https://www.facebook.com/help/210346402339221 .

75


1.1 EVOLUTIE 1.1.1 Van bescherming naar vrijgeven van gegevens, een overzicht. 165. In 2010 maakte KURT OPSAHL van de Electronic Frontier Foundation (EFF) een mooi overzicht van hoe Facebook stilaan haar privacy beleid aanpaste.291 Wat opvalt is dat de sociale netwerksite oorspronkelijk de mogelijkheid bood aan leden van een bepaalde groep om te communiceren of enkel in contact te komen met de mensen die men zelf wou. Later veranderde het tot een platform waar een groot deel van de persoonlijke informatie van gebruikers (door standaardinstellingen) openbaar werd. Nu lijkt het echter eerder geëvolueerd te zijn tot een sociale netwerksite waar leden bijna verplicht worden om bepaalde gegevens publiek toegankelijk te maken, meer nog, waar Facebook deze informatie zelfs doorverkoopt aan handelspartners om gepersonaliseerde advertenties per individuele gebruiker te maken.292 Aan de hand van uittreksels uit hun policy van 2005 tot 2010 wordt deze evolutie toegelicht. 166. In 2005 stond het volgende in hun Privacy Policy: “No personal information that you submit to Thefacebook will be available to any user of the Web Site who does not belong to at least one of the groups specified by you in your privacy settings. We use the information about you that we have collected from other sources to supplement your profile unless you specify in your privacy settings that you do not want this to be done.” Informatie was dus enkel toegankelijk voor Facebook-‐ gebruikers die de betrokkene aan een groep, aan wie hij de toegang tot deze informatie reeds had verleend, had toegevoegd. Wat Facebook wel deed was informatie die ze elders over een gebruiker vergaard had, gebruiken om zijn/haar profiel aan te vullen, tenzij dit in de privacy-‐ instellingen werd uitgeschakeld. 293 In de Facebook Privacy Policy van 2006 merkt men dat Facebook vage temen hanteert en in plaats van toegang te geven aan enkel de groepen die men specifiek instelt, zijn de standaardinstellingen zo ingesteld dat informatie zichtbaar wordt voor personen die tot eenzelfde ‘community’, zoals een school en de regio waarin men woont, behoren: “We understand you may not want everyone in the world to have the information you share on 291 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”, EEF,

https://www.eff.org/deeplinks/2010/04/facebook-‐timeline . (Hierna: K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”). 292 Deze gepersonaliseerde advertenties worden gemaakt door het verzamelen van cookies die via bepaalde datamining-‐processen omgevormd kunnen worden tot informatie die relevant is voor het maken van gepersonaliseerde advertenties (zowel te zien in de Facebook newsfeed, als in de rechter zij-‐ kolom van de website. Dit wordt later toegelicht. 293 H. JONES en J. HIRAM SOLTREN, “Facebook: Threats to Privacy”, CSAIL, 2005, http://groups.csail.mit.edu/mac/classes/6.805/student-‐papers/fall05-‐papers/facebook.pdf .

76


Facebook; that is why we give you control of your information. Our default privacy settings limit the information displayed in your profile to your school, your specified local area, and other reasonable community limitations that we tell you about.” 294 In 2007 werd deze sectie nog verder uitgebreid. Nu kon informatie als Naam, naam van de school waarop men zat en de profielfoto van de gebruiker door iedereen teruggevonden worden in de Facebook zoekfunctie, tenzij men dit in de privacy instellingen aanpaste. Profiel-‐informatie was niet meer enkel toegankelijk voor gebruikers binnen dezelfde ‘community’; deze term werd echter vervangen door het ruimere ‘network’. Het aantal mensen die de informatie bereikte werd op deze manier onopvallend enorm vergroot. Toch bestond de mogelijkheid nog steeds om via de instellingen te bepalen welke netwerken er al dan niet toegang tot verkregen: “Profile information you submit to Facebook will be available to users of Facebook who belong to at least one of the networks you allow to access the information through your privacy settings (e.g., school, geography, friends of friends). Your name, school name, and profile picture thumbnail will be available in search results across the Facebook network unless you alter your privacy settings.” 295 De Facebook Privacy Policy werd in november 2009 opnieuw grondig aangepast. Nu waarschuwde men gebruikers dat ze zelf dienden na te kijken of de standaard privacy-‐ instellingen conform hun wensen waren. Het zwaartepunt van de policy lag hem in de zinsnede “with anyone you want”. Facebook was er zich dus van bewust dat gebruikers zelf moeten kunnen bepalen wie welke informatie te zien kan krijgen. Toch werden de standaardinstellingen nog steeds zodanig opgemaakt dat alle informatie voor iedereen te zien was, tot wanneer men dit in de privacy-‐instellingen aanpaste. De grootste verandering echter was het feit dat door deze ‘everyone’-‐instelling informatie ook zichtbaar werd voor personen die geen lid waren van het sociale netwerk en bijgevolg door derde partijen gebruikt mocht worden: “Facebook is designed to make it easy for you to share your information with anyone you want. You decide how much information you feel comfortable sharing on Facebook and you control how it is distributed through your privacy settings. You should review the default privacy settings and change them if necessary to reflect your preferences. You should also consider your settings whenever you share information. ... Information set to “everyone” is publicly available information, may be accessed by everyone on the Internet (including people not logged into Facebook), is subject to indexing by third party search engines, may be associated with you outside of Facebook (such as when you visit other sites on the internet), and may be imported and exported by us and others without privacy 294 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”. 295 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”.

77


limitations. The default privacy setting for certain types of information you post on Facebook is set to “everyone.” You can review and change the default settings in your privacy settings.” 296 Wie denkt dat het invoeren van vaag omschreven instellingen het toppunt was, heeft het mis. In december 2009 werd deze alinea namelijk nog verder uitgebreid. Daarenboven heeft Facebook voor sommige informatie van gebruikers zoals de naam, de profielfoto, de vriendenlijst, pagina’s waar men ‘fan’ van is, geografische gegevens en netwerken waartoe hij behoort, de mogelijkheid om de privacy–instellingen ervan te wijzigen verwijderd, aangezien ze beschouwd worden als publiekelijk toegankelijk voor iedereen, zelfs voor derde-‐partij toepassingen: “Certain categories of information such as your name, profile photo, list of friends and pages you are a fan of, gender, geographic region, and networks you belong to are considered publicly available to everyone, including Facebook-‐enhanced applications, and therefore do not have privacy settings. You can, however, limit the ability of others to find this information through search using your search privacy settings.” 297 Wanneer we in april 2010 de Policy raadpleegden zagen kon men het volgende lezen: “When you connect with an application or website it will have access to General Information about you. The term General Information includes your and your friends’ names, profile pictures, gender, user IDs, connections, and any content shared using the Everyone privacy setting. ... The default privacy setting for certain types of information you post on Facebook is set to “everyone.” ... Because it takes two to connect, your privacy settings only control who can see the connection on your profile page. If you are uncomfortable with the connection being publicly available, you should consider removing (or not making) the connection.” Het komt er dus op neer dat ze de persoonlijke informatie over gebruikers nu benoemen met de term ‘general information’, wat een nog grotere lading leek te dekken dan voordien. Nog zegt de policy dat deze informatie automatisch op ‘voor iedereen toegankelijk’ staat ingesteld. Wanneer men zich inlogt op een website of op een applicatie via zijn Facebook-‐account zal deze informatie bijgevolg ook voor hen toegankelijk zijn. De enige mogelijkheid die de policy biedt om dergelijke toegang tot persoonlijke gegevens te voorkomen is het niet maken van de connectie. 298

296 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”. 297 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”. 298 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”.

78


1.1.2 Anno 2013, de Graph search 167. Zoals eerder vermeld elimineerde de sociale netwerksite in december van vorig jaar de mogelijkheid om ‘onvindbaar’ te zijn op Facebook voor personen die nog geen gebruik gemaakt hadden van de optie. Dit hield in dat gebruikers die dit wensten konden beletten voor te komen in de resultaten van de Facebook-‐zoekfunctie en in deze van derde-‐partijen zoekmachines. 299 In oktober van dit jaar kregen gebruikers die wel gebruik van deze mogelijkheid gebruik hadden gemaakt de volgende melding: “X, we wanted to make sure you know we're removing the “Who can look up your Timeline by name" setting. This setting controlled whether people could find your name. We're removing the setting because it isn't as useful as it was before, and now there are better ways to manage your privacy using your privacy shortcuts.” en werd bijgevolg ook voor hen de mogelijkheid afgeschaft. 300 Facebook stelt dat de functie eigenlijk door velen verkeerd begrepen werd. Op het eerste zicht leek het erop dat men door de optie aan te vinken onvindbaar werd voor vreemden, maar niets is minder waar. Gebruikers die geen vriend waren met deze personen konden op verschillende manieren toch toegang krijgen tot zijn/haar profielgegevens. Dit kon onder meer door de naam aan te klikken op een foto waar deze persoon op geïdentificeerd of ‘getagd’ werd, een ‘like’ van deze persoon of door de persoon op te zoeken in iemands vriendenlijst. 168. Logischerwijs kwam Facebook met de afschaffing van deze functie met iets nieuws op de proppen; ze voerde de nieuwe ‘Graph Search’ in. Op deze manier kan men aan de hand van een minimum aan informatie zeer gemakkelijk iemands profiel terugvinden. Bovendien wordt vanaf nu ook de informatie uit de gegevens die men zelf op Facebook plaats, zoals woonplaats, school en dergelijke, gebruikt om de nieuwe zoekfunctie optimaal te laten functioneren. Een voorbeeld hiervan zou kunnen zijn dat wanneer iemand in zijn algemene profielinformatie te kennen geeft in Brussel te wonen, deze persoon teruggevonden kan worden door in de nieuwe zoekmogelijkheden de optie “Personen wonend te Brussel” aan te klikken. Op deze manier kunnen andere gebruikers zonder enig beletsel doorklikken naar uw profiel. 301 We kunnen stellen dat dit een grove inbreuk is op het recht op privacy gezien gebruikers doodeenvoudig de keuze niet meer krijgen om ‘volledig onzichtbaar’ te zijn én te blijven. 299 B. MIKKELSON en D. MIKKELSON, “Facebook Privacy Removal”, Snopes, 17 oktober 2013,

http://www.snopes.com/computer/facebook/privacyremoval.asp#9Q2UGZDHUbfbhzDH.99 .

300 J. CONSTINE, "Facebook Removing Option To Be Unsearchable By Name, Highlighting Lack Of Universal

Privacy Controls" ,Techcrunch, 10 oktober2013, http://www.techcrunch.com/2013/10/10/facebook-‐ search-‐privacy/ . 301 J. CONSTINE, "Facebook Removing Option To Be Unsearchable By Name, Highlighting Lack Of Universal Privacy Controls" ,Techcrunch, 10 oktober 2013, http://www.techcrunch.com/2013/10/10/facebook-‐ search-‐privacy/ .

79


Wat gebruikers echter wel kunnen doen is manueel het doelpubliek van hun ‘Facebook-‐posts’ aanpassen. 302 Met andere woorden: een onbegonnen en extreme last, gezien de meeste gebruikers toch heel wat op hun pagina zetten. Anderzijds lijkt de sociale netwerksite ook een positief signaal uit te sturen aangezien ze het verwijderen van de optie verantwoordt door te stellen dat ze een verkeerd en vals gevoel van privacy gaven waardoor gebruikers zich slechts enkel onzichtbaar ‘voelden’. Desalniettemin was er beter een sterker alternatief voor de ‘opt-‐ out’ mogelijkheid gekomen in plaats van een hele resem afzonderlijke instellingen die het de gebruiker nog moeilijker maken zijn voorkeuren in te stellen. 169. Natuurlijk dient men de commotie rond deze nieuwe optie ook te relativeren. Talloze gebruikers raken in paniek bij het lezen van de vele artikels en ‘hoaxes’ die waarschuwen voor de komst van de Graph Search.303 Indien deze functie plots alle informatie van gebruikers raadpleegbaar zou maken voor de hele wereld, zou Facebook nog slechts een kort leven beschoren zijn. Wie kan dan informatie opvragen? Simpel gezegd: alle personen die reeds toegang hadden tot deze gegevens. Wanneer men een foto upload en met stelt te privacy-‐ instellingen zo in dat enkel vrienden of vrienden van vrienden deze mogen zien, dan zal de Graph Search deze beperkingen respecteren. Het grote probleem zit hem echter in foto’s en andere informatie die anderen over iemand op Facebook plaatsen. Desbetreffend persoon kan enkel vragen aan de andere om deze foto of informatie van zijn pagina te halen en indien dit niet lukt kan hij het probleem bij Facebook rapporteren (dit is de facto dezelfde regeling als voordien). Enige alertheid is ongetwijfeld aangeraden. 170. Eerder werd gewezen op de standaard of ‘default’ privacy instellingen. Steeds meer blijkt dat sociale netwerken dergelijke instellingen hanteren in het voordeel van hun bedrijfsbelangen, bijvoorbeeld voor commerciële doeleinden. In het kader van deze masterproef is het bijgevolg cruciaal deze instellingen toe te lichten teneinde de gewichtigheid en de consequenties die ze hebben voor de privacy van sociale netwerkgebruikers te duiden. 302 Een ‘post’ is een gebruikelijke term voor iets wat men op Facebook plaatst. Bijvoorbeeld een berichtje

op een prikbord, een foto uploaden, een commentaar op een foto,... 303 ‘To hoax’ wordt vertaald als een grap uithalen, beduvelen, voor de gek houden.

80


1.2 ‘DEFAULT PRIVACY SETTINGS’ 171. Uit de voorgaande evolutie van de Facebook privacy policy wordt snel duidelijk hoe de mentaliteit van de onderneming evolueerde van een eerder gesloten, beschermend beleid naar één

waar

alle

persoonlijke

informatie

standaard

publiek

toegankelijk

is.

Daarom is het van belang dat privacy-‐instellingen de gepaste mogelijkheden bieden en zodanig geconfigureerd kunnen worden dat de persoonlijke levenssfeer van de gebruiker in de gewenste mate beschermd wordt. Gezien het feit dat dergelijke instellingen standaard ingesteld zijn volgens de voorkeuren van de aanbieder van sociale netwerksite kan men zich afvragen of deze instellingen wel degelijk de persoonlijke levenssfeer van hun leden optimaal beschermen. Eerst worden enkele voorwaarden overlopen aan dewelke privacy-‐instellingen moeten voldoen volgens de Werkgroep van artikel 29. Hierna worden de betekenis, doelstellingen en functies van default privacy-‐instellingen toegelicht. Tenslotte trachten we een voorstelling te maken van hoe deze instellingen idealiter vooraf door sociale netwerksites zouden moeten ingesteld worden. Hiervoor baseren we ons op een werkstuk van het Interdisciplinary Centre for Law & ICT (ICRI). In hun ‘Guidelines for Privacy-‐Friendly Default Settings’ doen onderzoekers van het ICRI een bescheiden poging om richtlijnen uit te tekenen voor het degelijk opstellen van deze standaardinstellingen.304 1.2.1 Advies van De werkgroep Artikel 29. 172. Wanneer sociale netwerksites de richtlijn niet respecteren kunnen ze op de vingers getikt worden door de Werkgroep van artikel 29 van de Richtlijn Bescherming Persoonsgegevens.305 Zo berispte de Groep het sociale netwerk Facebook in een brief nadat ze in 2010 haar privacy instellingen wijzigde en dit in het nadeel van de Facebook-‐gebruiker. Dit deed de aanbieder van de site zelf na een hoorzitting hieromtrent, die ze samen met andere aanbieders van sociale netwerksites bijwoonden, tijdens de Plenaire zitting van november 2009. De Groep stuurde de brief naar twintig aanbieders van sociale netwerksites die elk van hen de “Safer Social Networking Principles for the EU” ondertekend hadden.306 De brief benadrukte dat een sociale 304 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings,

ICRI Research Paper, 2013, http://ssrn.com/abstract=2220454 . (Hierna: J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings). 305 Hierna: de Groep. 306 X., “Safer Social Networking Principles fot he EU”, 2009, http://ec.europa.eu/digital-‐ agenda/sites/digital-‐agenda/files/sn_principles.pdf; Mededeling van 19 mei 2010 van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's, “Een digitale agenda voor Europa”, COM(2010) 245 definitief, http://eur-‐ lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0245:FIN:NL:HTML. In ‘Europa 2020‘ legde de

81


netwerksite ‘default’ privacy-‐instellingen zodanig moeten programmeren “dat de toegang tot de informatie op het online profiel van gebruikers beperkt is tot contacten die door de gebruiker zelf gekozen zijn. Elke andere toegang tot deze gegevens, zoals in zoekmachines, moet uitdrukkelijk door de gebruiker toegestaan worden in de voorgenoemde instellingen”.307 In de brief worden ook de applicaties en toepassingen gemaakt door derden aangehaald. Ook deze dienen een maximum aan controle te bieden over de gegevens die op het profiel van gebruikers te vinden zijn. Waar ook op gelet moet worden is de informatie over een derde (niet-‐gebruiker) die terug te vinden is op het profiel van een gebruiker van de sociale netwerksite. Deze informatie mag nooit gebruikt worden voor commerciële doeleinden dan met zijn ondubbelzinnige toestemming.308 1.2.2 Standaardinstellingen concreet 173. In de context van sociale netwerken kunnen privacy instellingen omschreven worden als “alle technische mogelijkheden en elementen die (kunnen) beslissen hoe gegevens door sociale netwerken stromen.” 309 Er kan een onderscheid worden gemaakt tussen twee soorten privacy-‐ instellingen namelijk, de instellingen die men niet kan aanpassen (de zogenaamde ‘wired-‐in’ instellingen) en deze waarbij configuratie wel mogelijk is. 174. Bij ‘wired-‐in’ instellingen gaat het om bepaalde zaken die gebruikers van het sociale netwerk niet persoonlijk kunnen aanpassen omdat ze bepaald worden door de ontwikkelaars van het sociale platform. Deze ontwikkelaars hebben een visie over hoe gegevens door het netwerk verwerkt zullen worden en bepalen zo mee de ervaring van gebruikers. Bij wijze van voorbeeld kan de Facebook Tijdlijn aangehaald worden. Voordien kon men op iemands profiel enkel recente verslagen bekijken, maar met de komst van de Tijdlijn werd het plots mogelijk om terug te keren in de tijd en de activiteiten van een bepaalde gebruiker te bekijken, tot het Europese Commissie zeven beoogde doelstellingen/kerninitiatieven vast waaraan de Europese Unie tegen 2020 aan zou moeten voldoen. De ‘Digitale Agenda voor Europa’ is een van die zeven pijlers. Hierin werd de aandacht gevestigd op de privacy-‐problematiek omtrent sociale netwerksites. In het kader van deze ambitie sloten de Europese Commisie en de grote spelers onder de sociale netwerken een samenwerkingsovereenkomst inzake de beveiliging van deze websites. De zogenaamde “Safer Social Networking Principles for the EU”. In dit zelfregulerend document gaan beide partijen akkoord over het respecteren van bepaalde normen bij de bescherming van jongeren en kinderen in de sociale netwerkomgeving. 307 X., “European data protection group faults Facebook for privacy setting change”, EC Press Release, Brussels, 12 mei 2010, 1. Te raadplegen op:http://ec.europa.eu/justice/policies/privacy/news/docs/pr_12_05_10_en.pdf. 308 X., “European data protection group faults Facebook for privacy setting change”, Press Release, Brussels, 2010 1-‐2. 309 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 6.

82


moment dat deze persoon zich voor het eerste registreerde. Deze vernieuwing kwam er zonder dat leden de mogelijkheid hadden om deze optie uit te schakelen.310 175. Daarnaast zijn er uiteraard ook de configureerbare (‘adjustable’) privacy-‐instellingen, die gebruikers van de website kunnen aanpassen aan hun persoonlijke voorkeuren. Dit zijn de instellingen waarnaar gebruikers gewoonlijk refereren met de term ‘privacy instellingen’ en die de mogelijkheid bieden in te stellen op welke manier persoonlijke gegevens gebruikt en gedeeld mogen worden. Men moet hier een bijkomend onderscheid maken tussen enerzijds de instellingen die het mogelijk maken om te bepalen welke van onze connecties bepaalde informatie te zien krijgen en anderzijds deze die de wil van de gebruiker uitdrukken tegenover de aanbieder van de dienst en derde partijen, in verband met in welke mate zij over gegevens mogen beschikken. Het spreekt voor zich dat de aanbieder van de sociale netwerksite bij deze laatste soort instellingen belang heeft om deze zoveel mogelijk in haar voordeel te laten spelen en de toestemming van de betrokken persoon verkrijgt om zijn/haar informatie te verwerken.311 176. Een groot ongemak dat bij dergelijke vooraf ingestelde opties ervaren kan worden is de grote vaagheid ervan. Zo worden privacy-‐instellingen steeds gekenmerkt door een aantal instellingen die vooraf door de aanbieder van de dienst geselecteerd werden. Dit noemt men de standaard-‐ of default privacy-‐instellingen. Soms kan het zelf zijn dat de betrokken persoon als het ware gedwongen wordt om een keuze te maken. Dit is het geval bij ‘meerkeuze-‐vakjes’. Wanneer men verder wil gaan in bijvoorbeeld een registratieproces is men verplicht een keuze (meestal aangaande persoonlijke informatie) te maken uit een van de vooraf ingestelde opties.312 Facebook maakt bij haar standaardinstellingen gebruik van een ‘opt-‐out’ systeem. Alle ‘share-‐opties’ staan standaard aangevinkt zodat men ze manueel één voor één dient uit te vinken of de doelgroep van online verslagen en posts van ‘openbaar’ naar de gewenste doelgroep moet wijzigen. De gemiddelde gebruiker is hier echter niet van op de hoogte, wat een bedreiging vormt voor de privacy aangezien het niet duidelijk is wie welke informatie te zien krijgt.313 310 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings,

6.

311 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings,

6. 312 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings,

6-‐7. D. BOYD, “Facebook’s ‘Opt-‐out’ Precedent, http://www.futurelab.net/blog/2007/12/facebooks-‐opt-‐out-‐precedent.

313

12

december

2007,

83


178. Waarom zou een sociale netwerksite in haar standaard privacy-‐instellingen een zodanige regeling invoeren die haar leden een redelijke verwachting van de privacybescherming geeft? Bestaat er een zekerheid dat dergelijke websites de privacy van hun leden als prioriteit hoog in het vaandel dragen of zijn het eerder de commerciële belangen die de belangrijkste drijfveer vormen? Eerder werd aangehaald hoe Facebook haar privacy-‐beleid geleidelijk aanpaste en de standaardinstellingen met verloop van tijd de openbaarheid van het gebruikersprofiel in de hand werkten.314 Hun leden hebben er bijgevolg alle belang bij attent te zijn bij de configuratie ervan. 1.2.3 Belang van privacy-‐bevorderende standaardinstellingen. 179. De instellingen zijn volgens Facebook zodanig gemaakt om onze informatie optimaal te kunnen beschermen. Zo kan men zelf bepalen welke informatie en gegevens bij welke doelgroep terecht komt. Al wordt snel duidelijk dat deze instellingen niet zo eenvoudig te configureren zijn. Om werkelijk alle instellingen naar onze wensen aan te passen zijn we genoodzaakt een zoektocht te doen in alle afzonderlijke onderdelen van de privacy instellingen, of als het ware in het “Facebook-‐labyrint”. 180. In ‘Guidelines for Privacy-‐Friendly Default Settings’ haalt het ICRI vijf hoofdredenen aan die pleiten voor de nood aan privacy-‐vriendelijke default-‐instellingen. Ten eerste merken ze op dat standaardinstellingen een belangrijke rol spelen bij de bescherming van persoonlijke gegevens omdat gebruikers vaak ‘lui’ of ‘onwetend’ zijn. In het algemeen bieden sociale netwerken wel degelijk de mogelijkheden aan leden om hun privacy instellingen uitgebreid te beheren. 315 Uit verschillende onderzoeken wordt echter geconcludeerd dat er slechts een klein percentage gebruikers de moeite doet en tijd neemt om deze instellingen te configureren en dit om verschillende redenen.316 Bijgevolg is het bestaan van dergelijke instellingen noodzakelijk en is

314 L. EDWARDS EN I. BROWN, “Data Control and Social Networking: Irreconcilable Ideas?” in A. MATWYSHYN

(ed.), Harbouring Data: Information security, Law and the corporation , Palo Alto, Stanford University Press, 2009, 209. 315 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 15-‐16. 316 A. KUCZERAWY EN F. COUDERT, “Privacy Settings in Social Networking Sites: Is It Fair?” in S. FISCHER-‐ HÜBNER et al. (eds.), Privacy and Identity Management for Life, Heidelberg/Dordrecht/London/New York, Springer, 2011, 231-‐243; R. STROSS, “When Everyone’s a Friend, Is Anything Private?,” The New York Times, 8 maart 2009, http://www.nytimes.com/2009/03/08/business/08digi.html?_r=0; A. CAVOUKIAN EN M. PROSCH, “The Roadmap for Privacy by Design in Mobile Communications: A Practical Tool for Developers, Service Providers, and Users”, Privacy by Design, 2010, http://www.privacybydesign.ca /content/uploads/2011/02/pbd-‐asu-‐mobile.pdf.

84


het belangrijk dat deze de bescherming van de persoonlijke levenssfeer bevorderen.317 Een tweede reden is het zogenaamde ‘privacy-‐paradox’. Het paradox verwijst naar de tegenstrijdigheid tussen de vrees van particulieren voor inbreuken op hun privacy enerzijds en hun uiteindelijke gedrag op het internet anderzijds.318 Bij het gebruik van sociale netwerksites valt op hoe individuen laks omspringen met het vrijgeven van hun persoonlijke gegevens terwijl ze wel verwachten dat hun privacy maximaal beschermd wordt. Het probleem ligt hem vaak in het feit dat gebruikers sociale netwerken aanzien als een privaat en gesloten platform waar men enkel met zijn/haar vrienden in contact staat. Hierdoor kan een vals privacy-‐gevoel, een ‘illusie van privacy’, ervaren worden, gezien ook vage kennissen en zelfs vreemden deel uit kunnen maken van de Facebook vriendenlijst.319 Mensen zijn sociale wezens en hebben bijgevolg een drang naar spontane sociale interacties. Terzelfdertijd hebben we eveneens nood aan een degelijke en betrouwbare manier om controle te hebben over wat we vrijgeven tijdens deze interacties en wat we liever voor onszelf houden. Wanneer we vooraf echter instellen welke informatie we met welke mensen delen, verdwijnt het ‘spontane’ karakter.320 Ook daarom benadrukken de ‘Guidelines’ het belang voor adequate standaardinstellingen. 321 Als derde argument worden de billijkheid en proportionaliteit aangehaald. Het verwerken van persoonlijke gegevens moet steeds gebeuren in het kader van legitieme doelstellingen waarbij een afweging tussen de onderscheiden belangen essentieel is.

322

Doorgaans zijn de

standaardinstellingen op sociale netwerksites redelijk inschikkelijk wanneer het aankomt op het delen van informatie met vreemden.323 Vaak zijn privacy-‐instellingen zeer complex en kan dit bij de gebruiker enige verwarring teweeg brengen, wat een eerder negatieve weerslag heeft op de bescherming van gegevens. Daarom is er een behoefte aan billijke en proportionele 317 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings,

15-‐16. 318 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings,

16. 319 L. EDWARDS EN I. BROWN, “Data Control and Social Networking: Irreconcilable Ideas?” in A. MATWYSHYN

(ed.), Harbouring Data: Information security, Law and the corporation , Palo Alto, Stanford University Press, 2009, 218. 320 J. Grimmelmann, "Saving Facebook", Iowa Law Review 2009, 1185; http://works.bepress.com/cgi/viewcontent.cgi?article=1019&context=james_grimmelmann. 321 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 16. 322 Artikel 5 van het Verdrag 108 van 28 januari 1981 tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens van de Raad van Europa. Het verdrag werd in 2012 gemoderniseerd. Onder meer artikel 5 werd aangepast in verband met de besproken propotionaliteit. Het definitieve verdrag is te raadplegen op: http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/T-‐ PD_2012_04_rev2_En.pdf. 323 B. KRISHNAMURTHY EN C.E. WILLS, "Characterizing privacy in online social networks" in X., WOSN '08 Proceedings of the first workshop on Online social networks, New York, ACM, 2008, 37-‐42; http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.145.4305&rep=rep1&type=pdf.

85


standaardinstellingen die alle spelende belangen in aanmerking nemen. 324 Ten vierde spreken ze over maatschappelijke waarde van het beschermen van gegevens. Dergelijke instellingen hebben niet enkel betrekking op het veilig stellen van bepaalde soorten gevoelige informatie en van zwakkere individuen in de sociale netwerkomgeving 325, maar ook op het tegengaan van de verbrokkeling van fundamentele maatschappelijke waarden die nauw verbonden zijn met het privacygegeven. 326 Mensen accepteren vaak zonder nadenken de standaardinstellingen van gratis sociale netwerken.327 Dit betekent echter niet dat hun persoonlijke gegevens minder goed beschermd zouden moeten worden.328 Tot slot beklemtoont het ICRI het belang van de principes “privacy by design” en “privacy by default” als basis om dergelijke instellingen te ontwerpen.329 In de huidige EU wetgeving komen deze nog niet duidelijk aan bod. In het nieuwe voorstel tot de Algemene Verordening Gegevensbescherming zullen ze daarentegen een prominente rol spelen. Gezien deze principes in de ontwerptekst opgenomen zijn werden ze in desbetreffend onderdeel uitvoerig besproken. 181. Bij wijze van opfrissing komen deze begrippen in het kort op het volgende neer. ‘Privacy by default’ betekent dat de standaard privacy-‐instellingen een maximum aan bescherming moeten bieden. Daarenboven dienen ze duidelijk en transparant mee te delen hoe en waarom gegevens gebruikt zullen worden. Met ‘Privacy by design’ wordt benadrukt dat men, door reeds aandacht te besteden aan privacy bevorderende voorschriften (Privacy Enhancing Technologies) tijdens ontwikkeling van informatiesystemen, die verantwoorde en zorgvuldige verwerking van persoonsgegevens doeltreffend kan afdwingen.330

324 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings,

16-‐17. Met deze gevoelige informatie verwijzen we naar artikel 8 van de Richtlijn Bescherming Persoonsgegevens dat vroeger reeds besproken werd. 326 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 19. 327 Deze diensten worden aangeboden vrij van betaling, maar in principe geeft men zijn persoonlijke gegevens in ruil. Sociale netwerksites als Facebook kunnen aan de hand van de commerciële verwerking ervan heel wat opbrengsten maken. 328 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 18-‐19. 329 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 19-‐20. 330 A. CAVOUKIAN EN M. PROSCH, “The Roadmap for Privacy by Design in Mobile Communications: A Practical Tool for Developers, Service Providers, and Users”, Privacy by Design, 2010, 23; http://www.privacybydesign.ca/content/uploads/2011/02/pbd-‐asu-‐mobile.pdf. 325

86


1.2.4 Richtlijnen van het ICRI 182. Zoals bij de aanvang van dit onderdeel vermeld werd, heeft het ICRI een poging gedaan tot het opstellen van vier algemene richtlijnen over hoe default privacy-‐instellingen er uit zouden moeten zien. We overlopen ze even kort. 1.2.4.1 ‘Wired-‐in’ 183. Hierboven werd gewezen op het onderscheid tussen ‘wired-‐in’ en ‘adjustable’ settings. Het ICRI opteert voor een ‘wired-‐in’ beleid omwille van twee redenen: de complexiteit en de te beschermen fundamentele waarden. Ten eerste werd er in verschillende onderzoeken aangetoond dat een overdreven aanbod aan configureerbare instellingen leidt tot verwarring en resulteert in een onverschilligheid van de gebruiker.331 Het tweede argument benadrukt dat sociale netwerksites hun leden geen keuze zouden mogen laten wanneer fundamentele (privacy-‐)waarden bedreigd kunnen worden. Het beheren van bepaalde rechten kan in sommige omstandigheden niet aan een individu overgelaten worden (bijvoorbeeld bij sociaal kwetsbare personen).332 De ‘Guidelines’ sommen 4 kernelementen op die de beleidsontwerpers in rekening zouden moeten nemen bij de beslissing om ‘wired-‐in’ of al dan niet ‘adjustable’ settings te gebruiken: eerst en vooral zou onderzocht moeten worden of er een draagvlak is voor ‘wired-‐in’ instellingen (1), vervolgens moet ook de voorkennis van gebruikers in gedachten gehouden worden (2). Wanneer men kiest voor ‘adjustable-‐settings’ moet voldoende aandacht besteed worden aan een gebruiksvriendelijke lay-‐out van privacy-‐menu’s, indien dit niet het geval is zijn ‘wired-‐in’ instellingen aan te raden (3). Tenslotte zou het instellen van algemene beveiligingsopties die voor elke gebruiker gelden niet aanpasbaar mogen zijn door gebruikers (4).333 1.2.4.2 De ‘would-‐have-‐wanted’-‐invulling van ‘adjustable settings’ 184. Wanneer toch voor configureerbare (‘adjustable’) instellingen wordt gekozen zal een goede invulling ervan primordiaal zijn. Deze invulling zou moeten voldoen aan de verwachting van de gebruiker en daarenboven ingegeven zijn door proportionaliteit en billijkheid. De kans is groot dat deze verwachtingen eerder neigen naar een standaardinstelling die volledige bescherming 331 M. MADEJSKI, M. JOHNSON EN S.M. BELLOVIN, "The Failure of Online Social Network Privacy Settings", CUCS

Tech Reports 2011, 8; https://mice.cs.columbia.edu/getTechreport.php?techreportID=1459; J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 22-‐23. 332 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 23. 333 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 23.

87


biedt: “On the whole, the ‘would have wanted’ standard probably points to turning on the firewall by default”. 334 Een gebruiker zou dus idealiter niets moeten ondernemen om zijn privacy te beschermen. 335 1.2.4.3 Instellingen op maat 185. Een derde richtsnoer situeert zich op het vlak de individualisatie van instellingen. Deze zouden zodanig moeten opgesteld moeten worden zodat de betrokken persoon ze naar persoonlijke noden kan aanpassen, zonder dat dit ingewikkeld of langdradig wordt. Er wordt in het bijzonder verwezen naar de kwetsbaarheid van minderjarigen op sociale netwerken. Wel moet er op gelet worden dat deze configuratiemogelijkheden geen te groot onderscheid creëren tussen verschillende gebruikers. 1.2.4.4. De aard van de Verwerking 186. Er mag volgens het ICRI ook zeker niet voorbijgegaan worden aan het feit dat default settings zouden kunnen verschillen naargelang de aard van de gegevens of vorm van informatieverwerking.336 De verwerking van gegevens door sociale netwerksites gebeurt op twee manieren. Ten eerste verwerkt ze de gegevens om te voldoen aan de eisen van de gebruikers (bijvoorbeeld het succesvol uploaden van foto’s op een persoonlijk profiel), en anderzijds verwerkt de website ook gegevens vanuit een commercieel perspectief. Deze tweeledige verwerking resulteert ook in een dubbel verwachtingspatroon bij hun leden. Bijgevolg zouden instellingen niet standaard mogen toestaan om bepaalde gegevens te verzamelen.337 1.2.5 Besluit bij ‘Default Privacy Settings’ 187. Na het voorgaande bestaat er in elk geval geen twijfel meer over de fundamentele rol van standaardinstellingen bij de bescherming van persoonlijke gegevens. Door het bestaan van een discrepantie tussen de verwachtingen van sociale netwerkgebruikers en hun online gedrag is er een nood aan een zekere basisbescherming die zich uit in bepaalde vooraf ingestelde privacy-‐ 334 R.C. SHAH EN J.P. KESAN, “Setting Online Policy with Software Defaults", Information Communication, and

Society 2008, 1002. 335 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings,

24. Hier verwijst het ICRI naar het onderscheid van artikel 8 van de Richtlijn Bescherming Persoonsgegevens inzake de ‘gevoelige gegevens’. Deze zouden aan een strenger beleid onderworpen moeten worden. Aangaande de onderscheiden soorten van informatieverwerking geven we enkele voorbeelden: de openbaarheid van foto’s, de mogelijkheid om gecontacteerd te worden of de locatiegebonden verwerking van gegevens. 337 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 26-‐27. 336

88


voorkeuren. Deze zouden in een ideale situatie een functie vervullen die de persoonlijke levenssfeer van leden eerbiedigt wanneer deze laatsten geen aanpassingen aan dergelijke instellingen aanbrengen. Het huidige juridisch kader biedt reeds een basis voor de reglementering van standaardinstellingen, desalniettemin wordt ze fundamenteel uitgebreid in het Voorstel tot een Algemene Verordening Gegevensbescherming.

1.3 HET GEBRUIK VAN PSEUDONIEMEN, EEN RECHT? 188. We zien het steeds vaker; laatstejaarsstudenten naderen het einde van hun carrière als student en bereiden zich stilaan voor op het werkende leven. CV ’s worden geschreven, sollicitatiebrieven verstuurd, en merkwaardig genoeg merken we geregeld op hoe deze individuen hun naam op hun persoonlijke Facebook-‐profielpagina wijzigen. Bij de vraag naar de beweegredenen wordt al snel duidelijk dat bij deze doelgroep de vrees bestaat om door hun potentiële werkgever gevonden te worden op het sociale netwerk en dit nefaste gevolgen zou teweeg brengen. 338 Dit is niet geheel onterecht. Werkgevers willen bij een aanwerving namelijk weten wie ze in huis halen en daarvoor grijpen ze tegenwoordig opmerkelijk sneller naar online zoekmachines en sociale netwerksites. Als men op Facebook enkel onschuldige familiefoto’s heeft staan, moet en niet vrezen. In het geval van foto’s en verhalen over buitensporig gedrag kan je toekomst echter wel op het spel staan. 339 Zo wees een onderzoek van ‘CareerBuilder’ uit dat 45% van de werkgevers sollicitanten meenden te screenen op sociale netwerken en 35% van hen gaf toe kandidaten niet aangenomen te hebben omwille van de gevonden informatie.340 Maar is je naam veranderen hier dan de enige oplossing? Aansluitend is dit ook een bewijs voor het feit dat leden geen raad weten met de mogelijke privacy-‐instellingen en daarom lijken te kiezen voor de aanpassing van hun volledige ‘online-‐identiteit’. Maar je naam zomaar veranderen op Facebook, mag dat wel?

338 E. THOLE EN F. VAN DER JAGT, “Foute foto’s op je Facebook, carrièrekansen verpest?”, Nota Bene 2011, afl.

23, 41.

339 P. PORSIUS-‐SAMAN,

“Help, waarom word ik niet aangenomen?”, MSN CareerBuilder, 2012, afdeling 9; http://msn.careerbuilder.nl/Artikel/MSN-‐144-‐Een-‐baan-‐zoeken-‐Help-‐waarom-‐word-‐ik-‐niet-‐ aangenomen/. 340 J. GRASZ, “Forty-‐five Percent of Employers Use Social Networking Sites to Research Job Candidates, CareerBuilder Survey Finds”, CareerBuilder, augustus 2009, http://www.careerbuilder.com/share/aboutus/pressreleasesdetail.aspx?id=pr519&sd=8%2f19%2f2009 &ed=12%2f31%2f2009&siteid=cbpr&sc_cmp1=cb_pr519_.

89


1.3.1 Pseudoniem of vals profiel? 189. Eerst en vooral moet een duidelijk onderscheid gemaakt worden tussen een vals profiel en een pseudoniem. Een pseudoniem, of valse naam, is een schuilnaam die een persoon kan gebruiken op het internet om zo zijn/haar echte naam niet vrij te geven. De beweegredenen voor het gebruik ervan zijn uiteenlopend. Zo kan het zijn dat iemand een politieke mening wil uiten op een publiek forum maar bang is dat hiervan misbruik gemaakt zou worden, de betrokkene kan ook angst hebben om gestalkt te worden of wil simpelweg niet gevonden worden door potentiële werkgevers.341 Wanneer gesproken wordt over een vals profiel gaat het over geheel iets anders. Bij dit soort profielen hebben de betrokkenen veeleer de bedoeling om ongestraft met bepaalde (strafbare) handelingen weg te komen, zoals het plaatsen van lasterlijke uitlatingen. Ondanks dit op het eerste zicht onschuldig kan lijken, begaan individuen die een vals profiel aanmaken met de bedoeling lasterlijke uitspraken te doen, verschillende misdrijven. Zo maken ze zich onder meer schuldig aan ‘laster en eerroof’, ‘valsheid in informatica’, ‘belaging of stalking’ (al dan niet via telecommunicatie) en ‘aanmatiging van naam’. In dit onderdeel concentreren we ons op het al dan niet toegestaan zijn van het gebruik van pseudoniemen. Op de gevaren en de strafrechtelijke afwikkeling van de hierboven vermelde misdrijven wordt derhalve niet verder ingegaan. 342 1.3.2 Facebook-‐beleid inzake namen 190. De Facebook-‐voorwaarden bepalen dat “Facebook een community van mensen is die hun ware identiteit gebruiken”. Bijgevolg zijn gebruikers in het kader van de veiligheid verplicht hun echte namen en geboortedatums op te geven zodat anderen steeds weten met ze in contact komen. Bijnamen mogen gebruikt worden, maar enkel als ze een variatie zijn op de echte voor-‐ of familienaam van de betrokkene (bijvoorbeeld Rob in plaats van Robert).343 Dit komt neer op een verbod vanwege Facebook voor het gebruik van pseudoniemen. Het beleid wordt in sommige gevallen zelfs vrij consequent toegepast gezien de website bij een vermoeden van het gebruik van een valse naam, gebruikers (tijdelijk) blokkeert en deze pas opheft na het doorsturen van een legitiem identificatiebewijs.344 We kunnen de bezorgdheid voor de veiligheid van gebruikers enkel aanmoedigen. Maar in de situatie van de jonge werkzoekende lijkt dit de J.W. VAN CAPELLEVEEN, “Waarom anoniem of onder pseudoniem bloggen?”, Jeeweeweb, 2013, http://www.jeeweeweb.com/bloggen/anoniem-‐of-‐pseudoniem.html. 342 Artikel 210 bis, 231, 442 bis, 443 van de Strafwet en onder andere artikel 145, §3bis van de Wet van 13 juni 2005 betreffende de elektronische communicatie. 343 X., “Beleid voor namen”, Facebook, 2013, https://www.facebook.com/help/249092175207621. 344 P. Van Leemputten, “Facebook bant valse namen”, ZDNet, 25 september 2008, http://www.zdnet.be/facebook/91918/facebook-‐bant-‐valse-‐namen/. 341

90


die veiligheid te verstoren. De vraag is natuurlijk of een sociale netwerksite dergelijk (absoluut) verbod kan opleggen. 191. Over het gebruik van pseudoniemen is zo goed als niets wettelijk bepaald.345 De Werkgroep artikel 29 meent echter dat gebruikers overeenkomstig artikel 6, lid 1, onder c) van de Richtlijn Bescherming Persoonsgegevens in het algemeen de mogelijkheid moeten hebben om gebruik te malen van een pseudoniem.346 Volgens datzelfde artikel moeten verzamelde persoonsgegevens “toereikend, ter zake dienend en niet bovenmatig […] zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt”. In deze context kan gesteld worden dat sociale netwerkdiensten bepaalde identificatiegegevens over hun leden moeten registreren, maar dat er geen enkele aanleiding is om hun werkelijke naam op internet te publiceren. Aanbieders van sociale netwerksites moeten volgens de Werkgroep bijgevolg een zorgvuldige overweging maken of zij het zich kunnen veroorloven om hun gebruikers te verplichten om onder hun werkelijke naam actief te zijn in plaats van met een pseudoniem.347 Bovendien stelt de Groep ook dat het begrip ‘pseudonimisatie’ uitdrukkelijker in de ontwerptekst van de Algemene Verordening Gegevensbescherming moet worden opgenomen omdat deze pseudonimisatie kan bijdragen aan een betere gegevensbescherming, bijvoorbeeld in de context van ‘privacy by design’ en ‘privacy by default’. Daarom beveelt de Groep aan om het anonimiseren of pseudonimiseren van persoonlijke gegevens, als dit in het kader van de doelstellingen van de verwerking haalbaar en proportioneel is, in desbetreffende artikelen (inzake ‘privacy by design’ (artikel 5) en ‘privacy by default’ (artikel 23)) algemeen verplicht te stellen. 348 192. Niettegenstaande het voorgaande besliste de Duitse rechter in februari van dit jaar dat Facebook geen fout begaat door het opleggen van een ‘echtenaamsplicht’. Dit naar aanleiding van een klacht van de Duitste toezichthouder die van mening was dat het verbod van Facebook voor het gebruik van pseudoniemen op haar netwerk in strijd was met de Duitse 345 E. KINDT EN S. VAN DER HOF, “Identiteitsgegevens en –beheer in een digitale omgeving: een jurdische

benadering”, Computerr. 2009, 51. 346 Advies 5/2009 van de Groep gegevensbescherming artikel 29 over online sociale netwerken, 12 juni

2009, 15. Te raadplegen op: http://www.privacycommission.be/sites/privacycommission/files/documents/01.02.04.02.01-‐ wp163_nl.pdf . 347 Advies 5/2009 van de Groep gegevensbescherming artikel 29 over online sociale netwerken, 12 juni 2009, 12. 348 Advies 1/2012 van de Groep gegevensbescherming artikel 29 over de voorstellen voor hervorming van het gegevensbeschermingskader, 23 maart 2012, 12. Te raadplegen op: http://ec.europa.eu/justice/data-‐ protection/article-‐29/documentation/opinion-‐recommendation/files/2012/wp191_nl.pdf. De groep stelt dat dit zou kunnen door bijvoorbeeld het opnemen van een definitie als "gepseudonimiseerde gegevens", overeenkomstig de definitie van "persoonsgegevens".

91


Telemediawet. 349 Volgens de rechter strekt de verantwoordelijkheid van de plaatselijke dochteronderneming van het bedrijf zich enkel tot het beogen van marketting-‐ en salesdoeleinden en kan ze bijgevolg niet aanzien worden als een verantwoordelijke voor de verwerking. De rechter is ook van mening dat de soepelere Ierse wet van toepassing is, omwille van het feit dat de Europese tak van Facebook vanuit Ierland opereert, en niet de Duitse, waarop de toezichthouder zich baseerde. De Duitse toezichthouder heeft al laten weten dat hij in beroep gaat tegen de uitspraak. Volgens hem kan het in geen geval de bedoeling zijn dat ondernemingen aan bepaalde wetgeving kunnen ontsnappen door zich te verschuilen in een land waar de privacywet minder streng is. 350 Er bestaat dus nog geen rechtszekerheid over het al dan niet toegelaten zijn van dergelijke verplichtingen uit hoofde van aanbieders van sociale netwerksites. Het valt dus af te wachten in hoeverre de Europese Commissie in haar definitieve verordening inzake Gegevensbescherming gehoor zal geven aan het advies van de Werkgroep artikel 29.

2. GEGEVENS 2.1 WELKE GEGEVENS WORDEN VERZAMELD EN WAAROM. 193. Ondertussen is duidelijk geworden dat Facebook een massa aan informatie binnenhaalt. We kunnen de vraag stellen welke gegevens dat nu precies zijn, wie deze informatie kan inkijken en hoe ze verzameld worden. Om alle misverstanden de wereld uit te helpen kunnen we nu al duidelijk maken dat niemand de gegevens rechtstreeks inkijkt; dat gebeurt door computers. Het is dus niet zo dat Facebook een aparte dienst heeft waar mensen hun berichten gelezen worden. Maar wat gebeurt er dan wel mee? Hierbij nemen we even Facebook’s beleid inzake gegevensgebruik onder de loep, en bestuderen we wat zeggen zij over de gegevens die ze ontvangen. 349 Sectie 13, punt (6) van de Duitse Telemediawet van 26 februari 2007. De wet is te raadplegen op:

http://www.gesetze-‐im-‐internet.de/bundesrecht/tmg/gesamt.pdf. J. CHINDAMO, "Facebook Wins Battle To Ban Pseudonyms; Apologies To Professor Otto von Schnitzelpusskrankengescheitmeyer", it-‐Lex, 27 februari 2013; http://it-‐lex.org/facebook-‐wins-‐battle-‐to-‐ ban-‐pseudonyms-‐apologies-‐to-‐professor-‐otto-‐von-‐schnitzelpusskrankengescheitmeyer/#sthash.1FrgAk mA.dpuf. “European rules say German law doesn’t apply if the data is processed by a branch in another EU member state, the court said. Facebook’s German unit only works in marketing and sales and thus can’t trigger the application of German data protection law, the judges said.”.

350

92


2.1.1 Gedeelde informatie 194. Facebook krijgt verschillende soorten informatie over hun leden binnen. De meest fundamentele informatie is de registratiegegevens van gebruikers, die verplicht mee te delen zijn wanneer iemand zich lid maakt bij de sociale netwerksite. Het gaat hier over de naam, het e-‐ mailadres, de verjaardag en het geslacht van de betrokken persoon. Naast deze informatie delen gebruikers zelf ook andere informatie, bijvoorbeeld in statusupdates, in geplaatste reacties op iets wat door een vriend geplaatst is, of door het uploaden van foto’s. Maar, naast de informatie die we zelf vrijgeven, delen ook anderen informatie over ons. Onze ‘vrienden’ versturen ook heel wat gegevens naar de Facebook-‐servers door bijvoorbeeld onze contactgegevens te uploaden, een foto van ons te plaatsen, ons aan een groep toe te voegen of ergens te vermelden. Het probleem hierbij is, dat wanneer anderen informatie over jou delen, ze die ook openbaar kunnen maken (bijvoorbeeld door het hebben van een openbaar profiel), ook al gaat dit in tegen de wil van de gebruiker.351 2.1.2 Andere informatie 195. Naast de algemene informatie die Facebook verzamelt, ontvangen ze ook nog heel wat andere informatie over hun gebruikers. Zo wordt alles wat men op Facebook doet nauwkeurig bijgehouden. Wanneer men iemands tijdlijn bekijkt, een bericht stuurt of ontvangt (ook wanneer men een privébericht verstuurt), een advertentie bekijkt of dergelijke handeling stelt wordt daar steevast notie van genomen. Verder worden bij het uploaden van een foto ook de locatiegegevens en het tijdstip (de zogenaamde metagegevens) verzameld. Meer nog, Facebook ontvangt zelfs de gegevens van het toestel waarmee men zich inlogt (zowel van computers, mobiele telefoons of andere toestellen) of waar meerdere gebruikers zich op aanmelden. Met behulp van cookies kunnen ze nagaan welke webpagina’s leden raadplegen.352 Veel van deze informatie is van belang voor commerciële doeleinden, zoals het maken van aangepaste advertenties. Deze informatie wordt enkel doorgegeven aan advertentiepartners na het verwijderen van de gegevens die de identiteit van de betrokken gebruiker bekend zouden kunnen maken. 353

X. “Beleid inzake gegevensgebruik – Je gegevens”, Facebook, november 2013, https://www.facebook.com/about/privacy/your-‐info . 352 Dit is zo wanneer deze webpagina’s gebruik maken van een sociale Facebook plug-‐in. 353 X., “Beleid inzake gegevensgebruik – Andere gegevens die we over jou hebben ontvangen”, Facebook, november 2013, https://www.facebook.com/about/privacy/your-‐info . 351

93


Naast dit alles gebruikt Facebook onze informatie ook om onze gebruikservaring te verbeteren. Zo leggen ze verbanden tussen de gegevens die ze over ons en onze vrienden registreren om te bepalen wat we zien in het nieuwsoverzicht, en welke lokale evenementen worden weergegeven (aan de hand van GPS gegevens).354 2.1.3 Openbare gegevens 196. Een deel van de verzamelde informatie wordt behandeld zoals informatie die de gebruiker openbaar maakt, en is met andere woorden ‘publiek’ toegankelijk voor iedereen. Iedereen, dus ook personen die geen lid zijn van Facebook, heeft toegang tot deze gegevens. In beginsel zijn dit enkel de naam van de gebruiker, zijn gebruikers-‐ naam en ID, het geslacht, de profielfoto en de omslagfoto’s.355 Er kan echter ook gekozen worden om andere gegevens openbaar te maken. Dit kan men doen door middel van de privacy-‐shortcut die men nagenoeg steeds kan terugvinden telkens men iets op Facebook wilt plaatsen. Belangrijk is dat het openbaar maken van deze informatie verregaande gevolgen kan hebben. Ze kan namelijk met de gebruiker geassocieerd worden en dit zelf buiten Facebook, gezien de informatie ook in een openbare zoekmachine als Goolge gebruikt worden door Facebook API’s en toegankelijk gemaakt worden voor geïntegreerde spellen, toepassingen en websites.356 Wat ook opvalt is dat in sommige gevallen geen publiek geselecteerd kan worden. Facebook legt uit dat wanneer men geen deelpictogram ziet, informatie openbaar is, bijvoorbeeld als men iets op het prikbord van een fan-‐pagina plaatst, is deze inhoud hoe dan ook openbaar.357 2.1.4 Vertrouwelijkheidsovereenkomst, een toepassingsgeval 197. Indien men lid wil worden van Facebook moet men zich registreren op de website. Hierbij is de gebruiker genoodzaakt zich uitdrukkelijke akkoord te verklaren met de 'verklaring van rechten en verantwoordelijkheden’, wat de algemene voorwaarden van de sociale netwerksite blijken te zijn. Zoals dit bij de meeste algemene voorwaarden het geval is, bevat deze ‘verklaring’

354 Deze GPS gegevens worden niet langer dan nuttig bewaard om relevante diensten aan te bieden. 355 Een omslagfoto is een foto die bovenaan het gebruikersprofiel te zien is.

356 API of Application Programming Interface “is een verzameling van definities op basis waarvan een

computerprogramma de mogelijkheid heeft om te communiceren met een ander programma of onderdeel om zo hun functies aan te roepen. Een voorbeeld: Na het bewerken van een tekstdocument wenst men dit af te drukken. Het tekstverwerkingsprogramma zal de API van de printer aanspreken om zo het document af te drukken. 357 X., “Beleid inzake gegevensgebruik – Openbare gegevens”, Facebook, november 2013, https://www.facebook.com/about/privacy/your-‐info .

94


aardig wat juridische verbintenissen.358 198. Wanneer individuen in hun persoonlijkheidsrechten geschonden worden, zoals in het geval van een inbreuk op het recht op privacy, is men vaak geneigd automatisch naar het buitencontractuele aansprakelijkheidsrecht te grijpen voor het vinden van oplossingen. Bij nader inzicht moet men misschien een stap terug nemen en is het aangeraden deze vanzelfsprekendheid even aan de kant te schuiven. Bij het ontleden van Facebook’s algemene voorwaarden kan echter gesteld worden dat op het moment dat de gebruiker zich hiermee akkoord verklaard, een contractuele verbintenis ontstaat tussen deze laatste en de aanbieder van de sociale netwerksite, waardoor men een contractuele afhandeling niet dadelijk uit hoeft te sluiten.359 199. Zo was er eind 2012 heel wat opschudding bij de gebruikers van de sociale netwerksite omdat bleek dat oude privé-‐berichten door een technische fout openbaar gemaakt werden en te lezen waren op de tijdlijn van de betrokkene. Op Facebook kan men er inderdaad voor kiezen om bepaalde informatie toegankelijk voor anderen, maar bij het versturen van private berichten lijkt het ons vanzelfsprekend dat het naderhand publiceren van dergelijke berichten niet binnen de redelijke verwachtingen van gebruikers ligt. Het Facebook-‐beleid inzake gegevensgebruik, dat tevens deel uitmaakt van de algemene voorwaarden, lijkt deze redenering te bevestigen aangezien ze bepaalt dat : “gegevens over de betrokkene niet met anderen gedeeld worden, tenzij: - Ze de toestemming van de betrokkene daarvoor hebben; - hij hiervan door Facebook op de hoogte werd gesteld door hem bijvoorbeeld te informeren via hun beleid; of - zijn naam en andere informatie die hem persoonlijk zou kunnen identificeren uit de gegevens werden verwijderd.”360 200. Het lijkt erop dat Facebook haar eigen beleid hier met de voeten treedt daar het openbaarmaken van privé-‐berichten niet onder een van deze drie uitzonderingen valt. Met deze feiten in het achterhoofd lijkt het besluiten tot contractuele aansprakelijkheid meer dan logisch. Jammer genoeg bevinden we ons door het gebruik van een vage bewoording bij de redactie van X., “Verklaring van rechten en verantwoordelijkheden”, Facebook, 2013, https://www.facebook.com/legal/terms. 359 I. SAMOY, P. VALCKE, S. JANSEN, F. PEERAER, W. VANDENBUSSCHE, Y. VAN DER SYPE, S. VAN LOOCK, E. VERJANS, J. VERSCHAKELEN, “Facebook maakt privéberichten openbaar: een casus contractuele aansprakelijkheid?”, Juristenkrant 2012, afl. 259, 10-‐11. 360 X., “Verklaring van rechten en verantwoordelijkheden – Informatie die we over jou ontvangen”, Facebook, 2013, https://www.facebook.com/legal/terms. 358

95


de algemene voorwaarden enigszins in een ‘grijze zone’. De sociale netwerksite waarschuwt wel dat de het gebruik ervan ‘op eigen risico’ is en garandeert bovendien niet dat de website steeds ‘veilig, beveiligd of fout-‐vrij zal zijn’. De aandachtige lezer merkt onmiddellijk dat het hier de facto gaat over clausules de aansprakelijkheid van de aanbieder zoveel mogelijk exonereren. 361 201. Zoals algemeen geweten geldt er ten aanzien van contractuele en buitencontractuele vorderingen een samenloopverbod. Dit verbod kan enkel omzeild worden wanneer de feiten een strafrechtelijk misdrijf inhouden.362 We kunnen ons de vraag stellen of het samenloopverbod hier al dan niet zou gelden. Vooreerst moet duidelijk zijn dat het recht op privacy zowel in het Belgische strafwetboek als in de Privacywet strafrechtelijk wordt beschermd.363 Zoals voordien reeds toegelicht beschermt laatstgenoemde wet de persoonlijke levenssfeer bij de verwerking van persoonsgegevens. Hiervoor is van de betrokkene een ‘ondubbelzinnige toestemming’ vereist. In het kader van deze feiten gaven gebruikers Facebook inderdaad hun toestemming om privé-‐berichten te verzenden en op te slaan, maar in geen geval voor de publicatie ervan. Hieruit kunnen we besluiten dat de aanbieder van de sociale netwerksite zich schuldig maakte aan een ongeoorloofde en dus strafbare verwerking van persoonlijke gegevens waardoor dat het samenloopverbod niet zou spelen en slachtoffers bijgevolg zowel contractuele als extra-‐ contractuele vorderingsmogelijkheden hebben. Er moet gewezen worden op de aanzienlijke schade dergelijke handelingen teweeg kunnen brengen. We kunnen ons speculatief enkele ernstige omstandigheden inbeelden waarin het vrijkomen van privé-‐berichten, naast louter morele schade, ook andere gevolgen kan hebben. Hier denken we mogelijks aan ontslagen, echtscheidingen vriendenruzies en in het ergste geval misschien zelf zelfmoord. Wel zou het in dergelijke situaties ongetwijfeld een enorme opgave zijn om een onweerlegbaar bewijs te leveren van het bestaan van een oorzakelijk verband tussen de geleden schade en de wanprestatie in hoofde van de sociale netwerksite.364

361 I. SAMOY, P. VALCKE, S. JANSEN, F. PEERAER, W. VANDENBUSSCHE, Y. VAN DER SYPE, S. VAN LOOCK, E. VERJANS, J.

VERSCHAKELEN, “Facebook maakt privéberichten openbaar: een casus contractuele aansprakelijkheid?”, Juristenkrant 2012, afl. 259, 10. 362 S. GUILIAMS, “Bewijs van een fout vereist opdat het samenloopverbod tussen contractuele en buitencontractuele aansprakelijkheid ingevolge een misdrijf kan worden opgeheven”, NJW 2013, 78. 363 Zo zien we bijvoorbeeld dat artikel 39 van de Privacywet strafsancties oplegt voor inbreuken op de bepalingen wet. 364 I. SAMOY, P. VALCKE, S. JANSEN, F. PEERAER, W. VANDENBUSSCHE, Y. VAN DER SYPE, S. VAN LOOCK, E. VERJANS, J. VERSCHAKELEN, “Facebook maakt privéberichten openbaar: een casus contractuele aansprakelijkheid?”, Juristenkrant 2012, afl. 259, 11.

96


Bovenstaand voorbeeld toont aan dat een ongeoorloofde verwerking van gegevens drastische gevolgen kan hebben voor de persoonlijke levenssfeer van gebruikers en dat het essentieel is om in degelijke en effectieve afdwingingsmogelijkheden te voorzien.

2.2 GEBRUIKT VOOR COMMERCIËLE DOELEINDEN 202. In het land van de sociale netwerken wordt niet betaald met geld, ‘gegevens’ zijn hier de gehanteerde munt. Een relevante vraag in deze masterproef is deze naar de legitimiteit van gegevensgebruik in het kader van de commerciële belangen van sociale netwerksites. Eerst en vooral moet voor ogen gehouden worden dat sociale netwerksites hun diensten meestal gratis aanbieden. Bij nader inzicht komen we echter snel tot de conclusie dat men in onze huidige samenleving “niets meer voor niets” krijgt. Dit veruiterlijkt zich bij sociale netwerken in het verkopen van persoonlijke gegevens van leden aan externe adverteerders. 203. In het Facebook-‐beleid inzake gegevensgebruik lezen we duidelijk dat onze verzamelde gegevens gebruikt worden voor de commerciële doeleinden van de onderneming. Maar

mag

dit

zomaar?

Mag

Facebook

onze

gegevens

zomaar

“verkopen”?

FRÉDÉRIC PAULUSSEN schetst in zijn artikel “Online Privacy: bestaat dat nog?” een zeer duidelijk voorbeeld: “Ik bekijk het zo. Ik ben een boom, een mooie boom, en ik kan kiezen tussen 2 boomgaarden. Op één worden mijn vruchten geplukt en verkocht, maar kan ik makkelijk spreken met andere bomen. Op de andere boomgaard blijven mijn vruchten liggen en krijg ik geen service, ik kan nog wel met andere bomen communiceren maar alleen met degene in mijn directe omgeving. De keuze ligt volledig bij mij, ruil ik mijn gegevens in of hou ik ze voor mezelf? Om nog verder te gaan, op de Facebook-‐boomgaard kies ik zelf welke vruchten ik afgeef.“365 2.2.1 Sociale Advertenties 204. Wie een Facebook-‐profiel heeft, heeft ongetwijfeld al Gesponsorde verslagen in hun nieuwsoverzicht zien staan.366 In januari 2011 werd het mogelijk voor bedrijven om ‘posts’ waarin hun naam vernoemd wordt, te gebruiken voor commerciële doeleinden. Ze kunnen ervoor kiezen om tegen betaling een bericht door Facebook te laten sponsoren. Dit betekent dat gebruikers een bepaalde advertentie in hun nieuwsoverzicht te zien krijgen wanneer een van F. PAULUSSEN, “Online Privacy: bestaat dat nog?”, Social http://www.socialmediwa.be/socialmedida/online-‐privacy-‐bestaat-‐dat-‐nog/ . 366 Verder: Sociale Advertenties 365

Mediwa,

2013,

97


hun vrienden bijvoorbeeld een pagina ‘leuk vindt’. Facebook vergroot de kans dat anderen dit bericht in hun feed krijgen aanzienlijk. Een opt-‐out mogelijkheid om geen gesponsorde verslagen meer weer te geven is er niet. De enige, nogal drastisch, optie is het verwijderen van de betrokken vriend of de pagina te ‘un-‐liken’.367 Dergelijke commerciële berichten bevatten vaak de naam en foto van gebruikers, waardoor ze toch voor heel wat commotie zorgen. Dit was de aanleiding voor de zaak ‘Fraley et al v. Facebook’. 2.2.2 De zaak ‘Fraley et al. versus Facebook 205. Op 11 maart 2011 startten 614.000 Facebook gebruikers in California een ‘Class Action Suit’ tegen Facebook voor het onwettig gebruik van hun namen, profielfoto’s en ‘vind-‐ik-‐leuks’ voor het maken van aangepaste advertenties voor de verkoop van producten of diensten in gesponsorde verslagen, en dit zonder hun toestemming. Een ‘Class Action Suit’ is een zaak waar meerdere eisers met eenzelfde belang opkomen tegen de onderneming waardoor ze schade hebben geleden. In casu kon elke Facebook-‐gebruiker die in zijn rechten geschonden meende te zijn zich, door het invullen van het nodige papierwerk voor de deadline van 2 mei 2013, bij de zaak voegen.368 Na meer dan twee jaar van deliberaties keurde een Federale rechter op 26 augustus 2013 de definitieve minnelijke schikking van 20 miljoen US Dollar goed. Elke gebruiker die zich bij de groepsvordering gevoegd had heeft recht op 15 Dollar schadevergoeding van de sociale netwerksite voor het onrechtmatige gebruik van hun foto’s en andere gegevens in ‘sponsored stories’. Hier werd 9 miljoen van de schikking voor uitgetrokken? De overige 11 miljoen gaat naar de advocaten, gerechtkosten en een tiental non-‐profit organisaties die onderzoek voeren naar en zich inzetten voor een betere privacy op sociale netwerken.369 De zaak bracht naast een financiële regeling ook nog heel wat andere gevolgen met zich mee. Zo moest Facebook beloven hun gebruikers meer controle te geven over de manier waarop hun foto’s in advertenties gebruikt kunnen worden. De 5 aanklagers die de zaak inleidden meenden dat Facebook onterecht foto’s en namen van leden gebruikt had in hun gesponsorde advertenties. Deze worden, zoals hierboven werd X., “Info over gesponsorde verslagen”, Facebook Help, 2013, https://www.facebook.com/help/sponsored-‐stories . 368 X., “What is a Class Action Lawsuit”, Wisegeek, 2013, http://www.wisegeek.org/what-‐is-‐a-‐class-‐action-‐ lawsuit.htm . 369 Twee grote orfanisaties die begunstigden waren van de minnelijke schikking zijn de ‘Electronic Frontier Foundation’ (EFF° en de ‘Harvard University’s Berkman Center for Internet and Society’. 367

98


uiteengezet, gecreëerd door het samenvoegen van informatie voortkomend uit ‘likes’. Facebook zou volgens hen ook een Californische wet, die ondernemingen verbiedt namen van personen te gebruiken in reclameboodschappen zonder hun uitdrukkelijke toestemming, overtreden hebben. Daarenboven had de aanbieder van de sociale netwerksite de ouderlijke toestemming moeten vragen voor het gebruik van gegevens van kinderen onder de wettelijke leeftijd van achttien jaar. Facebook argumenteerde dat leden automatisch hun toestemming geven om in gesponsorde verslagen voor te komen wanneer ze zich akkoord verklaren met de ‘vind-‐ik-‐leuk’ knop voorwaarden. Door deze voorwaarden te accepteren aanvaard men dat persoonlijke gegevens (naam, foto’s, ...) te zien zijn in de newsfeed van Faceboook-‐vrienden en gesponsorde verslagen zijn volgens de sociale netwerksite enkel informatie die de betrokken gebruikers reeds deelden maar ‘her-‐verpakt’. De rechter oordeelde dat het bedrag dat aan de vermeende slachtoffers uitgekeerd zal worden volstaat, daar er niet voldoende bewezen is dat ze daadwerkelijk zware schade hadden geleden door het loutere feit dat ze verschenen in ‘sponsored stories’. Naast het betalen van de som van 20 miljoen Dollar moest Facebook ook haar voorwaarden aanpassen.370 Zo beloofde de aanbieder van de sociale netwerksite om de instellingen en bepalingen over hoe de namen, profielfoto’s en andere van hun leden verspreid worden overzichtelijker en transparanter te maken. Daarenboven zijn gebruikers nu in de mogelijkheid om advertenties met hun persoonlijke gegevens te verhinderen door de standaardinstellingen aan te passen en kunnen minderjarigen zich ook volledig uit dit soort advertenties weren.371 Facebook werd eerder in 2009 reeds veroordeeld in naar aanleiding van een klacht over het schenden van privacy-‐rechten met sociale advertenties. 2.2.3 Facebook ‘Beacon’ Case 207. De sociale netwerksite introduceerde in 2007 het sociale-‐advertentieprogramma “Beacon”. Het gaf adverteerders de mogelijkheid om aan de hand van gegevens die voortkwamen uit het online koopgedrag van gebruikers de vrienden van de betrokken persoon op de hoogte te stellen van zijn online-‐aankopen.372 Deze manier van handelen zorgde voor heel wat commotie gezien een groot aantal leden van de sociale netwerksite zich gekrenkt voelden in hun privacy-‐rechten,

M. KRUL, “Aanpassing privacyvoorwaarden Facebook”, Wisemen Advocaten, 2013, http://www.wisemen.nl/weblog/weblogs/aanpassing-‐privacyvoorwaarden-‐facebook/ . 371 US District Court California 26 augustus 2013, No. C11-‐1726RS, Fraley v. Facebook. Te raadplegen op: http://blogs.reuters.com/alison-‐frankel/files/2013/08/facebookfraley-‐approval.pdf . 372 A.R. LODDER, A. ENGELFRIET, D. MEKIC, R. VAN DEN HOVEN VAN GENDEREN e.a., “Recht en Web 2.0 – Bewerkte bloemlezing uit www.internetrecht20.nl”, Publicatiereeks NVvIR, Nr.27, 2010, 29-‐30. 370

99


wat resulteerde in de ‘class action suit ’Lane et al. v. Facebook’ in 2008, de zogenaamde ‘Beacon Case’.373 Facebook werd vervolgd voor het schenden van de online privacy. De vermeende slachtoffers voerden aan dat de website informatie over hun online acties verzamelde en dat deze op hun beurt verspreid werden zonder de toestemming van de betrokken gebruikers. Dit delen van online koopgedrag kon uitgeschakeld worden door telkens op een bepaald ‘beacon’ te klikken. Vreemd genoeg verdween de toets in nagenoeg alle gevallen met als gevolg er onzekerheid bestond over welke gegevens als dan niet vrijgegeven werden.374 Daarenboven verzamelde Beacon ook informatie wanneer de betrokken persoon niet meer was ingelogd op zijn de Facebook-‐pagina. Wegens de enorme tegenkanting van zijn gebruikers pastte de aanbieder van de sociale netwerk het Beacon-‐programma aan waardoor het permanent uitgeschakeld kon worden. Dit heeft echter niet mogen baten gezien het bedrijf in 2008 toch werd aangeklaagd. 375 In september 2009 werd de zaak geschikt. Facebook doekte het Beacon-‐ programma op en ging akkoord om 9,5 miljoen dollar te investeren in de oprichting van een organisatie met als doel het beschermen van veiligheid en privacy op het internet. 2.2.4 Sociale advertenties in het licht van de Belgische wetgeving 208. Dergelijke zaken in verband met sociale advertenties brengen ook in België heel wat vragen met zich mee. Mogen sociale netwerksites zomaar persoonlijke gegevens van hun leden gebruiken in het kader van een doel waar ze deze laatsten niet op voorhand van op de hoogte brachten? Volgens de Belgische wet mogen persoonsgegevens enkel “eerlijk en rechtmatig verwerk worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen ze daarenboven niet verder verwerkt worden op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden.”376 Daarbij bepaalt artikel 5 van de Wet Bescherming persoonsgegevens dat telkens wanneer persoonlijke gegevens N. GOHRING, “Facebook Faces Class-‐action Suit over Beacon”, IDG News, 13 augustus 2008, http://www.pcworld.com/article/149787/article.html. 374 P. WILLIAMS EN H.A.S. POPKIN, “Supreme Court won't review Facebook's notorious 'Beacon' case”, NBC News, 4 november 2013, http://www.nbcnews.com/technology/supreme-‐court-‐wont-‐review-‐facebooks-‐ notorious-‐beacon-‐case-‐8C11522153. 375 J.C. PEREZ, “Facebook’s Beacon more Intrusive Than Previously Thought”, IDG News, 30 november 2007, http://www.pcworld.com/article/140182/article.html. 376 Artikel 4 van de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 3 februari 1999. (Hierna Wet Verwerking Persoonsgegevens/Privacywet.) 373

100


worden verwerkt minstens aan één van zes limitatief opgesomde rechtvaardigingsgronden moet voldaan zijn. In punt a) van het artikel leest men de vereiste van een ondubbelzinnige toestemming van de betrokkene voor het verwerken van persoonsgegevens..377 We kunnen redelijk aannemen dat wanneer men bij het afronden van het registratieproces op Facebook de toets ‘registreren’ aanklikt, zich akkoord verklaard en bijgevolg aan de vereiste toestemming voldaan is. De Privacywet bepaalt daarenboven nog dat men steeds moet handelen volgens de beginselen van proportionaliteit en subsidiariteit.378 Het proportionaliteitsbeginsel bepaalt dat het belang bij het verwerken van gegevens dus steeds moet afgewogen worden tegenover de belangen van de betrokken persoon, terwijl het subsidiariteitsprincipe oplegt om de doelstellingen na te streven op een manier die voor de gebruiker het minst nadelig is. Rekening houdend met het vorige kunnen we ons de vraag stellen of het gratis aanbieden van een online sociaal platform de verspreiding van onze persoonlijke informatie rechtvaardigt. Met andere woorden: mag Facebook zonder meer gebruik maken van onze gegevens om via commerciële advertenties opbrengsten te creëren? We kunnen stellen dat dit hoogstwaarschijnlijk niet zomaar kan en dat de privacybelangen van gebruikers primeren op de financiële belangen van de aanbieder van de sociale netwerksite. 209. Bovenal legt Privacywet aan de verantwoordelijke voor de verwerking of diens vertegenwoordiger een zware informatieplicht op. Zo is hij gehouden de betrokkene, uiterlijk op het moment dat de gegevens verkregen worden, in te lichten over de doelstellingen van de verwerking en hem te wijzen op het bestaan van een kosteloos recht om zich te verzetten tegen de verwerking met het oog op directe marketing.379Dit komt erop neer dat Facebook verplicht is zijn gebruikers telkens mee te delen wanneer zijn gegevens voor commerciële doeleinden worden gebruikt.380 Het is in elk geval duidelijk dat de wereld van de advertising en sociale netwerksites ‘goede vrienden’ zijn. Een goed uitgewerkt juridisch kader blijkt echter noodzakelijk om individuen te beschermen tegen een overmatige vooropstelling van commerciële belangen door de aanbieders

377 Artikel 5, a) Wet Bescherming Persoonsgegevens. 378Ministeriële omzendbrief van 10 december 2009 Betreffende de wet van 21 maart 2007 tot regeling

van de plaatsing en het gebruik van bewakingscamera's, zoals gewijzigd door de wet van 12 november 2009, 7. 379 Artikel 9, §1, b) en c) Wet Bescherming Persoonsgegevens. 380 M. RIEWALD, “Aanpassing privacyvoorwaarden Facebook”, Wisemen, 5 november 2013, http://www.wisemen.nl/weblog/weblogs/aanpassing-‐privacyvoorwaarden-‐facebook/.

101


van deze diensten. Alertheid is geboden: “Marketing is no longer about the stuff that you make, but about the stories you tell”.381

2.3 FACEBOOK, EEN PUBLIEKE OF GESLOTEN OMGEVING? 210. Kwaadwillige uitspraken en beledigingen, de sociale netwerksite staan er vaak vol van. Eerder werd de Nederlandse zaak over de ontslagen Blokker-‐medewerker behandeld waar de bevoegde rechter besliste dat Facebook een publieke omgeving was en dit door te wijzen op het gevaar van de mogelijkheid om bepaalde berichten te ‘sharen’.382 Bij het onderzoeken van rechtspraak over soortgelijke casussen, merken we duidelijk dat niet iedere rechter dezelfde mening deelt. 2.3.1 De mening van het Franse Hof van Cassatie 211. Zo besliste het Franse Hof van Cassatie in april van dit jaar nog, naar aanleiding van een procedure ingeleid door een onderneming, dat de aard van een beledigende uitspraak door ex-‐ werkneemster over haar werkgever niet publiekelijk was.383 Waarom verschilt deze uitspraak nu van die van de Nederlandse rechter? In het Franse recht wordt een onderscheid gehanteerd tussen ‘publieke’ en ‘private’ beledigingen. ‘L’injure Publique’ of de publieke belediging kan bestraft worden met een geldboete die gemakkelijk tot 12 000 Euro kan oplopen en wordt door de Franse wetgever als volgt omschreven: “Iedere kwetsende uitlating, affronterende bewoording of scheldwoorden die geen enkele verklaring van de werkelijke feiten inhoudt , wordt als een belediging aanzien.”384 De Franse strafwet beheerst daarentegen de beledigingen die niet in de publieke sfeer gedaan wordt of ‘Injures Privées’ en bepaalt dat wanneer ze niet uitgelokt worden beboet worden met een geldboete van de “eerste klasse”385: “L’injure non publique envers une personne, lorsqu’elle n’a pas été précédée de provocation, est punie de l’amende prévue pour les 381 S. GODIN 382 Arnhem, 19 maart 2012, JAR 2012, 97.

CCass. 10 april 2013 (FR), Nr.: C100344. Te raadplegen op: http://www.courdecassation.fr/jurisprudence_2/premiere_chambre_civile_568/344_10_26000.html . 384 Artikel 29, 2e alinea van de Franse Wet van 29 juli 1881 betreffende de Persvrijheid schrijft voor dat: “Toute expression outrageante, termes de mépris ou invective qui ne renferme l’imputation d’aucun fait est une injure “. 385 Boetes voor overtredingen worden in Frankrijk ingedeeld in vijf verschillende klassen. In artikel 131-‐ 13 van de Code Pénal zien we dat deze bedragen oplopend variëren voor elke klasse van 38 Euro tot 1500 Euro. Het relevante artikel is te raadplegen op: http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006417259&cidTexte=LEGIT EXT000006070719 . 383

102


contraventions de la 1re classe.”386 Het Franse Hof van Cassatie diende zich dus te buigen over de vraag of beledigingen op Facebook nu privé of openbaar zijn. Om dit te bepalen hanteert de Franse rechtspraak het concept van de ‘communauté d’interêts’ of de ‘gemeenschap van belangen’. Ze bekijken de feiten vanuit het oogpunt van de ontvangers van de beweringen en kan men enkel spreken van een ‘injure privée’ wanneer al deze ontvangers samen door een gemeenschap van belangen gebonden zijn. 387 Het Hof was hier van mening dat wanneer gebruikers van een sociale netwerksite verbonden zijn door een gemeenschappelijk lidmaatschap en de doelgroep van de berichten zelf door de gebruiker van de dienst wordt samengesteld (de vriendenlijst bestaat uit personen die de gebruiker uitdrukkelijk zelf de toegang verschaft tot persoonlijke inhoud), er sprake is van een ‘gemeenschap van belangen’.388 Bijgevolg diende de werkneemster slechts het schamele bedrag van 38 Euro te betalen wegens haar uitlatingen tegenover de werkgever in de privésfeer, tevens het bedrag van een klasse 1-‐ overtreding.389 2.3.2 Openbaarheid, Stand van zaken in België 212. In de Belgische rechtsleer wordt dergelijk onderscheid evenwel niet gemaakt. Het Strafwetboek bepaalt in artikel 448 dat:” Hij die hetzij door daden, hetzij door geschriften, prenten of zinnebeelden iemand beledigt in een van de omstandigheden in artikel 444 bepaald, wordt gestraft met(...).”390 Door te verwijzen naar artikel 444 Sw. wordt duidelijk dat het voor de wetgever reeds volstond dat een bepaalde mate van openbaarheid was.391 Gelet op het feit dat ons Stafwetboek in 1867 werd opgesteld wordt in de Belgische rechtspraak op frequente basis Artikel R621-‐2 van de Franse Code Pénal. Te raadplegen op: http://www.legifrance.gouv.fr/affichCode.do?cidTexte=LEGITEXT000006070719. 387 J.M. MIGLIETTI, “Diffamation privée et diffamation publique: distincion.”, Cabinet d’avocat Miglietti, 2013, http://www.miglietti-‐avocat.com/communication-‐presse-‐media/diffamation-‐privee-‐et-‐diffamation-‐ publique-‐-‐distinction-‐352.html . 388 CCass. 10 april 2013 (FR), Nr.: C100344,. Te raadplegen op: http://www.courdecassation.fr/jurisprudence_2/premiere_chambre_civile_568/344_10_26000.html . 389 E. WOUTERS, “Beledigingen op Facebook zijn privé”, EMSOC, 2013, http://emsoc.be/4864-‐beledigingen-‐ op-‐facebook-‐zijn-‐prive/#_ftn2 . 390 Artikels 444 en 448 van het Belgische Strafwetboek, BS 9 juni 1867. Te raadplegen op: http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&cn=1867060801&table_name= wet . 391 Er wordt in artikel 444 Sw. wel een onderscheid gemaakt tussen schriftelijke en mondelinge beledigingen: “De schuldige wordt gestraft met gevangenisstraf van acht dagen tot een jaar en met geldboete van zesentwintig [euro] tot tweehonderd [euro], wanneer de tenlasteleggingen geschieden: Hetzij in openbare bijeenkomsten of plaatsen; Hetzij in tegenwoordigheid van verscheidene personen, in een plaats die niet openbaar is, maar toegankelijk voor een aantal personen die het recht hebben er te vergaderen of ze te bezoeken; Hetzij om het even welke plaats, in tegenwoordigheid van de beledigde en voor getuigen; Hetzij door geschriften, al dan niet gedrukt, door prenten of zinnebeelden, die aangeplakt, verspreid of verkocht, te koop geboden of openlijk tentoongesteld worden; Hetzij ten slotte door geschriften, die niet openbaar gemaakt, maar aan verscheidene personen toegestuurd of meegedeeld worden.” 386

103


een evolutieve interpretatie van de Strafwet gehanteerd. De wetgever had ongetwijfeld niet de bedoeling om beledigingen die via multimediakanalen (radio, televisie of het internet) geuit worden onbestraft te laten louter omwille van het feit dat ze niet letterlijk in de wettekst werden opgenomen. De nadruk ligt hier op de inhoud en hoofdzakelijk op het openbare karakter van de beledigingen en niet op de aard van de drager.392 Bij verder onderzoek blijkt dat er in feite nog geen soortgelijke precedenten geweest zijn die de openbaarheid of het privékarakter van uitlatingen op sociale netwerksites bevestigd hebben. Daarentegen besliste de Arbeidsrechtbank in Leuven dat het ontslag om dringende redenen van een belangrijke manager van een beursgenoteerd bedrijf terecht was naar aanleiding van zijn grove uitspraken op Facebook. 393 De rechterbank oordeelde dat dergelijke uitlatingen onverenigbaar waren met de functie van de manager in de onderneming. Volgens de rechter wordt het recht op privacy niet geschonden wanneer de werkgever kennis neemt van berichten op de openbare profielpagina van de werknemer. Wanneer het profiel van de werknemer echter niet volledig publiekelijk toegankelijk was, maar slecht voor zijn ‘vrienden’ en ‘vrienden van vrienden’ geldt evenwel hetzelfde. 394 Bij het gebruik van een sociale netwerksite moet de werknemer van een onderneming zich onthouden van acties of uitlatingen die deloyaal zijn of die onderneming in een slecht daglicht zouden plaatsen.395 Hoewel de uitspraak niet over sociale netwerken in het bijzonder gaat, is het vonnis van 22 december 1999 van de Correctionele Rechtbank te Brussel ter zake vrij belangrijk. De rechter oordeelde in een Racismekwestie dat uitdrukkingen op internetfora en nieuwsgroepen zichtbaar zijn voor een aanzienlijke groep personen en hoewel deze platformen gekwalificeerd worden als niet-‐publieke plaatsen, zo toch aan het openbaarheidscriterium van de wet voldoen. 396 Naar aanleiding van een soortgelijke zaak was de Rechtbank van oordeel dat berichten die niet openbaar toegankelijk zijn, toch gericht zijn tot meerdere personen en dat de belediging meegedeeld wordt aan elke persoon die het internetforum consulteert.397 392 I. DELBROUCK, “Aanranding van de eer of goede naam van personen” in X., Postal Memorialis. Lexicon

strafrecht, strafvordering en bijzondere wetten, A15/23. 393 Op 3 september 2013 werd het Hoger beroep (aangetekend bij het Arbeidshof te Brussel) ontvankelijk

doch ongegrond verklaard: Arbeidshof Brussel 3 september 2013, Bijlage 2. 394 K. ROSIER, noot onder Arb.Rb. Leuven (1e b k.) 17 november 2011, RDTI 2012, afl. 46, 79,. 395 CAO

nummer 81, Collectieve arbeidsovereenkomst van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische on-‐ linecommunicatiegegevens, B.S., 29 juni 2002. 396 D. VOORHOOF, “Racisme op internet: de correctionele rechtbank is voortaan bevoegd”, noot onder Corr. Brussel 22 december 1999, A.M. 2000, 134. 397 E. WOUTERS, “Beledigingen op Facebook”, noot onder Brussel 27 juni 2000, Juristenkrant 2013, afl. 269, 16.

104


213. Wat we met redelijke zekerheid kunnen stellen is dat wanneer sociale netwerken volledig publiek zijn, dat wil zeggen dat gebruikersprofielen volkomen openbaar zijn, aan het criterium van de openbaarheid ongetwijfeld voldaan zal zijn. In de meeste gevallen heeft men bij dergelijke websites de mogelijkheid om zijn/haar profiel integraal privé te maken waardoor de bewijslast significant eenvoudiger is. Bij wijze van voorbeeld kunnen we hier het sociale netwerk ‘Twitter’ aanhalen. Wanneer iemands Twitterpagina volledig privaat is, zal er geen twijfel zijn over het privatieve karakter van de ‘Tweets’.398 In het andere geval, bij een openbare pagina, zal het staven van de afgeschermde aard van uitspraken behoorlijk moeizaam verlopen of nagenoeg onmogelijk zijn.399 214. Het is gissen naar hoe de Belgische rechter zou oordelen. Toch kan uit voorgaande rechtspraak een bepaalde tendens gezien worden waardoor rechters zouden oordelen dat aan de openbaarheidsvereiste voldaan zou zijn bij het plaatsen van berichten op Facebook, ook wanneer ze slechts voor een selectief publiek zichtbaar zouden zijn. Dit betekent dat de Franse werkneemster door de Belgische rechtbanken strafrechtelijk veroordeeld zou worden. 2.3.3 Vergelijking met Drukpersmisdrijven 215. Wanneer iemand door middel van een openbare publicatie een ander schade berokkent of daarmee de wet overtreedt is er sprake van een drukpersmisdrijf. Gezien deze misdrijven gebeuren ‘tegen het geweten’ van het volk is het logisch dat ze door gelijken beoordeeld worden.400 In artikel 150 van de Grondwet staat dat voor alle criminele zaken, politieke en drukpersmisdrijven inbegrepen, de volksjury wordt ingesteld, in casu het Hof van Assisen.401 Dit speciale regime dat de Grondwet voorziet komt de facto neer op een strafrechtelijke immuniteit voor de persoon die een drukpersmisdrijf pleegt. Door de gewichtige en moeilijke procedure voor Assisen en gezien de geruime tijd die dergelijk proces inneemt verwijst het openbaar ministerie nagenoeg nooit naar het Hof van Assisen.402 G. SOMERS, “Geen laster en eerroof binnen besloten Facebook groep”, Timelex, 2013, http://www.timelex.eu/nl/blog/detail/geen-‐laster-‐en-‐eerroof-‐binnen-‐besloten-‐facebook-‐groep . 399 Bijvoorbeeld in het geval waar de verdediging aanhaalt geen of bijna geen volgers te hebben op Twitter, zal met dit argument geen rekening worden gehouden daar het openbaar karakter van dergelijke ‘Tweets’ onbetwist is. 400 E. DE NEVE, “Drukpersmisdrijf”, 2013, http://www.elfri.be/juridische-‐informatie/drukpersmisdrijf . 401 Niet voor alle drukpersmisdrijven wordt de volksjury ingesteld. Zo bepaalt artikel 150 GW dat drukpersmisdrijven die door racisme of xenofobie zijn ingegeven hiervan uitgesloten zijn. 402 G. VERMEULEN, Privacy en strafrecht: nieuwe en grensoverschrijdende verkenningen, Antwerpen, Maklu, 2007, 287. 398

105


216. De wet geeft bovendien geen concrete definitie van het begrip ‘drukpersmisdrijf’. In beginsel moet het misdrijf gepleegd worden met behulp van een drukpers. Het Hof van Cassatie oordeelt in verscheidene arresten rechtlijnig en bepaalt dat er gebruik moet gemaakt zijn van “gedrukte geschriften” om te kunnen spreken van een drukpersmisdrijf. Desalniettemin zouden in België, door een verdere verduidelijking in de rechtspraak en rechtsleer en een evolutieve interpretatie van het begrip, misdrijven door middel van audiovisuele media hier ook onder vallen.403 217. We kunnen ons afvragen of de verspreiding via het internet ook een drukpersmisdrijf kan uitmaken. Een voorwaarde voor deze strafbare uitlating is dat ze door een drukpers of een gelijkaardig procédé vermenigvuldigd dient te worden. 404 Kunnen we digitale verspreiding aanmerken als ‘gelijkaardig’? Op 6 maart 2012 velde het Hof van Cassatie een princiepsarrest waarin het aanvaard dat een strafbare meningsuiting die via het internet wordt verspreid ook een drukpersmisdrijf kan uitmaken. Met andere woorden wordt de quasi-‐immuniteit uitgebreid naar ‘bloggers’ en gebruikers van sociale netwerksites.405 Bijgevolg kan hieruit afgeleid worden dat het Hof dit misdrijf gedepenaliseerd heeft. Voorheen kon een slachtoffer van dergelijke praktijk een procedure starten voor de Correctionele Rechtbank wegens laster en eerroof. Dit is na de twee bovenstaande arresten niet meer mogelijk gezien de Correctionele Rechtbank geen bevoegdheid meer heeft om hiervan kennis te nemen.406 Het slachtoffer wordt echter niet zonder rechtsmiddelen gelaten daar hij nog steeds de mogelijkheid heeft om een burgerlijke vordering (tot schadevergoeding) in te stellen op grond van de buitencontractuele aansprakelijkheidsregels vervat in de artikelen 1382 en 1383 van het Burgerlijke Wetboek en bijgevolg niet meer op grond van het Strafwetboek.407 Derhalve dient aan de drie welgekende grondvoorwaarden van deze artikels voldaan te zijn om aansprakelijk gesteld te kunnen worden, namelijk: het voorkomen van een fout, schade en het oorzakelijk verband. 408 Desalniettemin is, gelet op de formulering van Cassatie en de uiteenlopende interpretaties van 403 M. VERROKEN en F. WESTERLINCK, “Het drukpersmisdrijf: update door het Hof van Cassatie”, LexGo, 2013,

http://www.lexgo.be/nl/artikels/2013/09/Het%20drukpersmisdrijf%3A%20Update%20door%20het% 20Hof%20van%20Cassatie,82163.html . 404 E. DE NEVE, “Drukpersmisdrijf”, 2013, http://www.elfri.be/juridische-‐informatie/drukpersmisdrijf . 405 Cass. 6 maart 2012, P.11.1374.N, onuitg.; Cass. 6 maart 2012, P.11.0855, onuitg. . 406 D. VOORHOOF, “Weblogs en websites zijn voortaan ook ‘drukpers’.”, Juristenkrant, afl. 246, 21 maart 2012, 4. 407 Artikel 1382 en 1383 BW zijn de sleutelartikelen die de burgerlijke aansprakelijkheid vastleggen en leggen de burger een zorgvuldigheidsplicht op. In artikel 1382 BW staat dat: “Elke daad van de mens, waardoor aan een ander schade wordt veroorzaakt, verplicht degene door wiens schuld de schade is ontstaan, deze te vergoeden”, terwijl artikel 1383 BW verder gaat en bepaalt dat “Ieder aansprakelijk is, niet alleen voor de schade die hij door zijn daad, maar ook voor die welke hij door zijn nalatigheid of door zijn onvoorzichtigheid heeft veroorzaakt.” 408 D. VOORHOOF en P. VALCKE, Handboek Mediarecht, Brussel, Larcier, 2012,184.

106


het begrip ‘drukpersmisdrijf’, dit hoofdstuk nog lang niet afgesloten en zal er in de nabije toekomst nog geen rechtszekerheid over zijn.409

3. BESLUIT BIJ HOOFDSTUK 4 218. Om dit hoofdstuk af te sluiten kunnen we stellen dat Facebook het slachtoffer is van zijn eigen succes, door de steeds verdere vooropstelling van de commerciële doelstellingen in haar privacy policy. Best van al slaagt de sociale netwerksite er nog in voorgenoemde doeleinden bij wijze van spreken te ‘vermommen’ door te pretenderen dat gegevens delen ‘goed is’. Facebook gedraagt zich hier als het ware als een wolf verkleed in schapenkleren.410 Door dergelijke beleidswijzigingen, die het recht op privacy lijken teniet te doen, blijkt de nood aan goed opgestelde standaardinstellingen die gebruikers een degelijke basis-‐set aan gegevensbescherming bieden. Om het voor ontwikkelaars van sociale netwerkplatformen gemakkelijker te maken, poogde het ICRI om algemene richtlijnen op te stellen voor het opmaken van ‘privacy-‐friendly default settings’. 219. Bij het analyseren van de Facebook-‐policy merkten we op dat het gebruik van pseudoniemen niet toegelaten is, terwijl daar toch een maatschappelijk draagvlak voor lijkt te bestaan. Op dit punt is het voor de sociale netwerksite misschien aangeraden om in een versoepeling te voorzien en dit onder bepaalde voorwaarden toch toe te laten. 220. Zich ongegeneerd uitlaten over bepaalde topics of het vrijgeven van informatie op sociale netwerksites blijft een delicate zaak, niettegenstaande wat de beleidsteksten menen te verkondigen. Tenslotte is het simpel: “If you want something to remain totally private and unseen, don’t post it on Facebook”.411

409 M. VERROKEN en F. WESTERLINCK, “Het drukpersmisdrijf: update door het Hof van Cassatie”, LexGo, 2013,

http://www.lexgo.be/nl/artikels/2013/09/Het%20drukpersmisdrijf%3A%20Update%20door%20het% 20Hof%20van%20Cassatie,82163.html . 410 P. OLSTHOORN, De macht van Facebook: Theo, ben je dood ofzo?, Leeuwarden, Elikser, 2012, 94. 411 D. WINDER, “Facebook Graph Search: don’t panic”, PCPRO, 2013, http://www.pcpro.co.uk/realworld/385276/facebook-‐graph-‐search-‐dont-‐panic .

107

Besluit

HOOFDSTUK 5: ALGEMEEN BESLUIT 221. Deze masterproef concentreerde zich op de volgende vraag: “Staan Facebook en het Recht op Privacy werkelijk paradoxaal tegenover elkaar, of kan deze stelling genuanceerd worden?” Met andere woorden spitste dit onderzoek zich toe op de vraag of het Recht op privacy al dan niet wordt uitgehold door de sociale netwerksite Facebook, en dit zowel vanuit Belgisch als vanuit Europees juridisch perspectief. 222. Concluderend moeten we stellen dat het nog maar de vraag is hoe het Recht op Privacy in een gedigitaliseerde samenleving, waar de technologische vooruitgang nooit stilstaat, overeind kan blijven. Met de komst van sociale netwerksites zoals Facebook werd de deugdzaamheid van de bestaande beschermingsmogelijkheden aanzienlijk beproefd. 223. De essentie van het probleem is gelegen in feit dat er een massa aan persoonlijk informatie op het internet verzameld kan worden, waardoor het risico op misbruik ervan beduidend toeneemt. Hiervoor wordt al te snel met de vinger gewezen naar sociale netwerken, die hun leden in beginsel slechts een platform bieden om dergelijke informatie te verspreiden. Gebruikers van deze netwerken dienen echter te beseffen dat de eerste stap in de richting van een mogelijke schending van hun privacy-‐rechten, door hen zelf gezet wordt. We zagen echter dat deze laatsten vaak uitgaan van een ‘illusion of control,’ en er zich bijgevolg vaak niet van bewust zijn dat de informatie die ze delen op Facebook een ruimer publiek bereikt dan oorspronkelijk werd beoogd. 224. Toch mag niet te snel besloten worden dat Facebook zijn handen hierdoor in onschuld wast. Zo vertoont hun privacy-‐beleid nog heel wat gebreken, bijvoorbeeld door het hanteren van een minimum beschermingsniveau in hun ‘default settings’. Bovendien bieden de privacy-‐ instellingen in het algemeen niet voldoende transparantie en dienen gebruikers bij het configureren ervan een bovenmatige inspanning te leveren om zich als het ware een weg te banen door het ‘Facebook labyrint’. 225. Maar, naast de gebruiker en de provider, moet ook de huidige maatschappij zichzelf durven in vraag stellen. Kunnen we zomaar toelaten dat de verwerking en opslag van gegevens gebeurt in het kader van commerciële doeleinden? Daarenboven kan dit ook teruggekoppeld worden aan het discours over de Privacy Paradox dat ons attent maakt op het feit dat Facebook alle mogelijke gegevens van gebruikers verzamelt en op haar servers stockeert, waardoor deze zowel door haar, maar ook door derden ter kwader trouw geraadpleegd kunnen worden. 108

Besluit Dit is alarmerend in een immer evoluerende gedigitaliseerde wereld waar op basis van profilering ook heel wat gevoelige gegevens over betrokkenen verzameld kunnen worden. 226. Waar de huidige Richtlijn Bescherming Persoonsgegevens poogt een degelijke rechtsbasis te bieden voor de bescherming van de persoonlijke levenssfeer, merken we echter dat ze niet meer opgewassen is tegen de perikelen te wijten aan de steeds evoluerende communicatietechnologieën. Het ontstaan van sociale netwerksites als Facebook openden als het ware een nieuw luik binnen de bescherming van het privacy-‐recht, dat nog niet werd beantwoord met een adequate regelgeving. In dat opzicht komt het voorstel voor een Algemene Verordening Gegevensbescherming tegemoet door het invoeren van enkele cruciale vernieuwende artikelen, waaronder het ‘Recht om vergeten te worden en de regeling omtrent ‘Privacy by default’, en het vestigen van een transparante en uniforme regeling binnen de Europese Unie. De belangrijkste wijziging tegenover de oude regeling is ongetwijfeld de nieuwe toestemmingsvereiste voor het verzamelen van gegevens, die het toekomstperspectief van een (gratis) Facebook ernstig lijken te bedreigen. 227. Dienen we nu te concluderen tot het bestaan van een paradox tussen Facebook en Privacy? Deze vraag kan eerder negatief beantwoord worden. We doen er overigens beter aan dit te nuanceren door er op te wijzen dat duidelijke juridische regels net primordiaal zijn voor een degelijke en effectieve bescherming van de privacy van individuen op sociale netwerksites, zodat privacy niet ‘dood’ hoeft te zijn. Mijns inziens, zijn we nog lang niet op het eindpunt van deze kroniek. De vraag blijft of de nieuwe Europese Verordening zal voldoen aan de hoge verwachtingen. Hoe dan ook zal ze in de nabije toekomst individuen meer rechtszekerheid bieden en is dit best wel een stap in de goede richting. 228. Hoe dan ook, het blijft nog steeds de beslissing van de betrokkene om bepaalde informatie op het sociale netwerk vrij te geven. We bepalen namelijk autonoom wat we denken en welke informatie we de wereld insturen. Scherper gesteld, voorlopig lijkt het erop dat de enige plaats waar we in elk geval nog over privacy in haar zuiverste vorm beschikken, in onze eigen gedachten is. TONY FISH, een expert in het vakgebied, is hier vrij duidelijk over, “Somewhere out there, there is a copy of your data. Once created and you have shared it publicly it will be there -‐ somewhere outside of your control. Just because you have removed it from your places, it doesn't mean that it has been removed from everywhere… The only truly private place is what happens in your mind and never shared. Everything else is based on trust... ” 412 412 T. FISH, “Why do you think deleting an account reduces your digital footprint?”, My Digital footprint,

2013, http://www.mydigitalfootprint.com/2013/07/why-‐do-‐you-‐think-‐deleting-‐account.html.

109

Bibliografie

BIBLIOGRAFIE

EUROPESE (CONCEPT)REGELGEVING EN EUROPEES BELEID

-‐

Verdrag 108 tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens van de Raad van Europa, ETS 108, 28 januari 1981.

-‐

Verdrag 4 november 1950 tot bescherming van de rechten van de mens en de fundamentele vrijheden, BS 19 augustus 1955.

-‐

Handvest betreffende de Grondrechten van de Europese Unie, Pb.L. 18 december 2000, afl. 364, 1-‐22.

-‐

Verklaring betreffende de expressievrijheid, Raad van Europa, 28 mei 2003.

-‐

Verdrag betreffende de werking van de Europese Unie (geconsolideerde versie), Pb.L. 9 mei 2008, afl. 115, 47-‐199.

-‐

Verdrag tot modernisering van verdrag 108 tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens van de Raad van Europa, T-‐ PD(2012)04 rev2, 16 oktober 2012.

-‐

Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(algemene verordening gegevensbescherming), COM(2012)11 definitief, 25 januari 2012.

-‐

Voorstel voor een Richtlijn van het Europees parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, COM(2012) 10 definitief, 25 januari 2012.

-‐

Richtlijn 95/46/EG van het Europese Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb.L. 23 november 1995; afl. 281, 31-‐50.

-‐

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de 110

Bibliografie

persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn “privacy en elektronische communicatie”), Pb.L. 31 juli 2002, afl. 201, 37-‐47. -‐

Richtlijn 2009/136/EG van het Eurpese Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronischecommunicatienetwerken en -‐ diensten, Richtlĳn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, Pb.L. 18 december 2009, afl. 337, 11-‐36.

-‐

Kaderbesluit 2008/977/JBZ van 27 november 2008 over de bescherming van persoonsgegevens die

worden verwerkt

in het kader van de politiële en

justitiële

samenwerking in strafzaken, Pb.L. 30 december 2008, afl. 350, 60 e.v.

-‐

Advies 5/2009 van de Groep gegevensbescherming artikel 29 over online sociale netwerken, WP 163, 12 juni 2009.

-‐

Advies 1/2012 van de Groep gegevensbescherming artikel 29 over de voorstellen voor hervorming van het gegevensbeschermingskader, WP 191, 23 maart 2012.

-‐

Aanbeveling CM/Rec(2012)4 van het Comité van Ministers inzake de bescherming van mensenrechten met betrekking tot sociale netwerkdiensten, 4 april 2012.

-‐

Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's, “Een digitale agenda voor Europa”, COM(2010) 245 definitief, 19 mei 2010.

BELGISCHE WETGEVING

-‐

Belgisch Strafwetboek van 8 juni 1867, BS 9 juni 1867.

-‐

De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993.

-‐

Wet van 30 juni 1994 betreffende het Auteursrecht en Naburige rechten, BS 27 juli 1994.

-‐

Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 13 maart 2001. 111

-‐

Bibliografie

Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, BS 30 december 2003.

-‐

Wet van 13 juni 2005 betreffende de elektronische communicatie, BS 20 juni 2005.

-‐

Wet van 30 juli 2013 tot wijziging van het Belgisch Strafwetboek 27 september 2013.

-‐

Ministeriële omzendbrief van 10 december 2009 Betreffende de wet van 21 maart 2007 tot regeling van de plaatsing en het gebruik van bewakingscamera's, zoals gewijzigd door de wet van 12 november 2009.

-‐

Collectieve arbeidsovereenkomst van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische on-‐ linecommunicatiegegevens (CAO 81), BS 29 juni 2002.

VOORBEREIDING VAN BELGISCHE WETGEVING -‐

Herziening van titel II van de Grondwet, om een artikel24 quater in te voegen betreffende de eerbiediging van het privé-‐leven (1), Parl. St. Kamer 1992-‐ 1993, nr. 997/5, 12.

BUITENLANDSE WETGEVING

-‐

Duitse Telemediawet van 26 februari 2007, http://www.gesetze-‐im-‐internet.de/bundesrecht/tmg/gesamt.pdf.

-‐

Franse Strafwet, http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006417259 &cidTexte=LEGITEXT000006070719.

-‐

Franse Wet van 29 juli 1881 betreffende de Persvrijheid, http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006070722&date Texte=20100812.

112

-‐

Amerikaanse

Children’s

Online

Privacy

Bibliografie

Protection

Act

(COPPA),

http://www.ecfr.gov/cgi-‐ bin/retrieveECFR?gp=&SID=97cc896fc6afbc34ac43f8abc971b9f2&n=16y1.0.1.3.36&r= PART&ty=HTML .

RECHTSPRAAK Europees Hof voor de Rechten van de Mens

-‐

EHRM 8978/80, X en Y v. Nederland, 1985.

-‐

EHRM 16213/90, Burghartz v. Switzerland, Publ.Hof, 1994, vol. 280-‐B, § 24.

-‐

EHRM 39272/98, M.C. v. Bulgarije, 2003.

-‐

EHRM 42326/98, Odièvre v. France, E.H.R.R. 2003, 29.

-‐

EHRM 50435/99, Rodrigues da Silva v. Nederland, E.H.R.R 2006, 729.

-‐

EHRM 2872/02, K.U. v. Finland, 2008.

-‐

EHRM 1234/05, Reklos en Davourlis v. Griekenland, 2009.

-‐

EHRM 420/07, Köpke v. Duitsland, 2010.

-‐

EHRM 39954/08, Springer v. Duitsland, 2012.

-‐

EHRM 40660/08, Von Hannover v. Duitsland II, 2012. Belgische rechtspraak

-‐

Cass. 6 maart 2012, P.11.1374.N, onuitg.

-‐

Cass. 6 maart 2012, P.11.0855, onuitg.

-‐

Brussel 27 juni 2000, Juristenkrant 2013, afl. 269, 16.

-‐

Antwerpen 5 mei 2003, NJW 2003, 1193.

-‐

Corr. Brussel 22 december 1999, A.M. 2000, 134.

-‐

Arb.Rb. Leuven (1e b k.) 17 november 2011, RDTI 2012, afl. 46, 79. Buitenlandse rechtspraak:

-‐

U.S. District Court CV-‐11-‐01726 RS, Fraley v. Facebook, Inc., et al. 2011.

-‐

Arnhem, 19 maart 2012 (NL), JAR 2012, 97. 113

-‐

U.S. Supreme Court 13-‐136, Marek v. Lane, 2013.

-‐

CCass. 10 april 2013 (FR), Nr.: C100344,

Bibliografie

http://www.courdecassation.fr/jurisprudence_2/premiere_chambre_civile_568/344_10 _26000.html.

RECHTSLEER Boeken -‐

ARENDT, H. , The Human Condition, Chicago, University of Chicago Press, 1958, 370p.

-‐

BELIEN, H. EN MEIJER, F. , Een kleine geschiedenis van de klassieke oudheid, Amsterdam, Bert Bakker, 2010.

-‐

BURNS, A. , BUSH, R. , SMEETS, I. , Principes van marktonderzoek, Amsterdam, Pearson Education Benelux, 2006, 542p.

-‐

DE GROOTE, B. en DE CORTE, R. , Overzicht van het burgerlijk recht, Mechelen, Kluwer, 2005, 746p.

-‐

Dierickx, L. , Het recht op afbeelding, Antwerpen, Intersentia, 2005, 345p.

-‐

DOCQUIR, B. , Le droit de la vie privée, Brussel, Larcier, 2008, 358p.

-‐

KOORN, R. et al., Privacy Enhancing Technologies -‐ Witboek voor beslissers, 91p.

-‐

LEMMENS, P. (ed.), Uitdagingen door en voor het E.V.R.M., Mechelen, Kluwer, 2005, 233p.

-‐

LIEVENS, E. , Protecting Children in the Digital Era. The Use of Alternative Regulatory, Instruments, Boston, Martinus Nijhoff Publishers, 2010, 584p.

-‐

OLSTHOORN, P. , De macht van Facebook: Theo, ben je dood ofzo?, Leeuwarden, Elikser, 2012, 245p.

-‐

ORWELL, G. , Nineteen Eighty-‐four, Toronto, HarperCollins Canada, 2013, 335p.

-‐

RAAD VAN EUROPA, Explanatory Report on the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Straatsburg, Raad van Europa, 1981, 13, nr. 25, 41p.

-‐

RÖSSLER, B. , The Value of Privacy, Cambridge, Polity Press, 2005, 272p.

-‐

SEGERS, K. , Maak mij wat wijs, Amsterdam, Lannoo Meulenhoff, 2010, 240p.

-‐

SOLOVE, D. J. , Nothing to Hide: The False Tradeoff Between Privacy and Security, Verenigde Staten, Yale University Press, 2011, 245p.

-‐

SOLOVE, D.J. ,The digital person, Technology and Privacy in the Information Age, New York en London, NYU Press, 2004, 283p.

-‐

VAN BERLO, D. , Ambtenaar 2.0: Nieuwe ideeën en praktische tips om te werken in overheid 2.0, David van Berlo, 2008, 90p.

114

-‐

Bibliografie

VANDE LANOTTE, J. , Handboek EVRM -‐ Deel 1: Algemene Beginselen, Antwerpen, Intersentia, 2004, 949p.

-‐

VANDE LANOTTE, J. EN HAECK, Y. (eds.), Handboek EVRM -‐Deel 2: Artikelsgewijze commentaar -‐ Volume I, Antwerpen, Intersentia, 2004, 1066p.

-‐

VAN DER POT, C.W., ELZINGA, D.J. en DE LANGE, R. (eds.), Handboek van het Nederlandse staatsrecht, Deventer, Kluwer, 2006, 1073p.

-‐

VERMEULEN, G. , Privacy en strafrecht: nieuwe en grensoverschrijdende verkenningen, Antwerpen, Maklu, 2007, 627p.

-‐

VOORHOOF, D. en VALCKE, P. , Handboek Mediarecht, Brussel, Larcier, 2007, 478p.

-‐

X., Van Dale Groot woordenboek van de Nederlandse taal, Antwerpen, Van Dale Lexicografie bv, 2005, 4464p. Bijdragen in Verzamelwerken

-‐

CLARKE, R. , “Information technology and dataveillance” in: C. DUNLOP en R. KLING (eds.), Controversies in Computing, New York, Academic Press, 1991, 498-‐512.

-‐

DE HERT, P. , “Recht op privacy” in J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐ Deel 2: Artikelsgewijze commentaar -‐ Volume I, 711-‐713.

-‐

DELBROUCK, I. , “Aanranding van de eer of goede naam van personen” in X., Postal Memorialis. Lexicon strafrecht, strafvordering en bijzondere wetten, A15/23.

-‐

EDWARDS, L. EN BROWN, I. , “Data Control and Social Networking: Irreconcilable Ideas?” in A. MATWYSHYN (ed.), Harbouring Data: Information security, Law and the corporation , Palo Alto, Stanford University Press, 2009, 205.

-‐

GUTWIRTH, S. , “Privacyvrijheid: geen recht, maar de individuele zelfbepalingsvrijheid” in L. BOEYKENS, P. LAMBERT, P. THOMAS, P.J. HUSTINX (eds.), Privacy: Séminaire, Brussel, Ministerie van binnenlandse zaken, 1998, 93.

-‐

HUSTINX, P.J. , “Gegevensbescherming in de informatiemaatschappij” In E.J.

-‐

KUCZERAWY, A. EN COUDERT, F. , “Privacy Settings in Social Networking Sites: Is It Fair?” in S. FISCHER-‐HÜBNER et al. (eds.), Privacy and Identity Management for Life, Heidelberg/Dordrecht/London/New York, Springer, 2011, 231-‐243.

-‐

NUMANN (ed.), Massificatie in het privaatrecht. Opstellen ter gelegenheid van het 200-‐jarige bestaan van het genootschap Iustitia et Amicitia, Deventer, Kluwer, 2010, 77.

-‐

VAN EECKE, P. EN DIERICK, A. , “EU-‐regelgeving en de informatiemaatschappij: naar een wetgeving 2.0?” in I. GOVAERE (ed.), Europees recht: Moderne interne markt voor de praktijkjurist, Mechelen, Kluwer, 2012, 201-‐244.

115

-‐

Bibliografie

WOUTERS, E. , “Beledigingen op Facebook”, noot onder Brussel 27 juni 2000, Juristenkrant 2013, afl. 269, 16. Bijdragen in Tijdschriften

-‐

AUSLOOS, J. , KINDT, E. , LIEVENS, E. , VALCKE, P. EN DUMORTIER, J. , Guidelines for Privacy-‐Friendly Default Settings, ICRI Research Paper, 2013, http://ssrn.com/abstract=2220454.

-‐

BAGGIO, B. , BELDARRAIN, Y. , Anonymity and Learning in Digitally Mediated Communications: Authenticity and Trust in Cyber Education, Verenigde Staten, Idea Group Inc, 2011, 91-‐103.

-‐

BARNES, S.B. , "A privacy paradox: Social networking in the United States", hfd. 2.

-‐

BOSCH, T.E. , “Using online social networking for teaching and learning: Facebook use at the university of Cape Town”, South African Journal for Communication Theory and Research 2009, 185-‐200.

-‐

BOYD, D., ELLISON, N. , “Social Network Sites: Definition, History, and Scholarship.”, Journal of computer-‐Mediated Communication, 2008, 2.

-‐

BOYD, D. en MARWICK, A.E.,“Social Privacy in Networked Publics: Teens’ Attitudes, Practices, and Strategies”, A Decade in Internet Time: Symposium on the Dynamics of the Internet and Society, September 2011, 12.

-‐

BREMS, E. , “De nieuwe grondrechten in de Belgische Grondwet en hun verhouding tot het Internationale, ingezonderd het Europese Recht”, T.B.P. 1995, 625.

-‐

BREWAEYS, E. , “Recht op afbeelding”, NJW 2010, 206.

-‐

CURRAN, K., GRAHAM, S., TEMPLE, C. , “Advertising on Facebook.”, IJED, 2011, 27.

-‐

SQUICCIARINI, A.C. , SHEHAB, M. , PACI, P. , “Collective privacy management in social networks”, PROC WWW09, 2009, 521-‐530.

-‐

DECAIGNY, T. , “Positieve mensenrechtenverplichtingen met betrekking tot politie en justitie. Verduidelijking aan de hand van Europese rechtspraak over intrafamiliaal geweld en seksueel misbruik”, T.Strafr. 2012, 7-‐15.

-‐

DEENE, J. , noot bij Antwerpen 5 mei 2003, NJW 2003, 1193.

-‐

DE HERT, P. en SAELENS, R. , “Het recht op afbeelding”, TPR 2009, 870-‐871.

-‐

DE MUL J. en VAN DER PLOEG, Y.H. , “Internet & Privacy” in Onderzoeksprogramma 'Internet en Openbaar Bestuur' 1999-‐2001, Rotterdam, Center for Public Innovation, 2003, 8.

-‐

DOMMERING, E.J. , noot onder EHRM 15 januari 2009, Nr. 1234/05, Reklos en Davourlis v. Griekenland, AMI 2009, 188-‐198.

-‐

DOMMERING, E.J. , noot onder EHRM 7 februari 2012, Nr. 40660/08, Von Hannover v. Duitsland II, NJ 2013, nr. 250 en EHRM 7 februari 2012, Nr. 39954/08, Springer v. Duitsland, NJ 2013, nr. 251.

-‐

DOMMERING, E.J. , noot onder EHRM 5 oktober 2010, Nr. 420/07, Köpke v. Duitsland, NJ 2011, 566. 116

-‐

Bibliografie

ELLISON, N.B. , STEINFIELD, C. , LAMPE, C. , “The benefits of Facebook-‐friends. Social capital and college students‘ use of online social network sites”, Journal of computer –mediated communication 2007, 1143-‐1168.

-‐

ENGELFRIET, A. ,“De wet op internet”, Eindhoven, Ius Mentis , 2010, 111-‐124.

-‐

GEUKENS, S. , "Gratis Facebook onmogelijk door nieuw wetsvoorstel EU”, De Morgen, 14 januari 2013.

-‐

GOFFMAN, E. , “The Presentation of Self in Everyday Life.”, New York, Doubleday: Garden City, 1959, 259p.

-‐

GROOTHUIS, M. , noot onder EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, NJCM-‐Bulletin 2009, 281; M. GROOTHUIS , ”Uitspraak EHRM over bescherming van minderjarigen op internet”, Computerr. 2009, 91.

-‐

GUILIAMS, S. , “Bewijs van een fout vereist opdat het samenloopverbod tussen contractuele en buitencontractuele aansprakelijkheid ingevolge een misdrijf kan worden opgeheven”, NJW 2013, 78.

-‐

HIJMANS, H. , "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het informatietijdperk te beschermen", NtEr 2012, 132.

-‐

JOINSON, A. , ”Looking at’, Looking up‘ or Keeping up with‘ people? Motives and uses of facebook”, CHI’08 2008, 1027-‐1036.

-‐

KENNEDY, H. , "Beyond anonymity, or future directions for internet identity research", New Media & Society 2006, 861.

-‐

KINDT, E. EN VAN DER HOF, S. , “Identiteitsgegevens en –beheer in een digitale omgeving: een jurdische benadering”, Computerr. 2009, 51.

-‐

KOSINSKY, M. , STILWELL, D. , GREAPEL, T. , “Private traits and attributes are predictable from digital records of human behavior”, PNAS 2013, 5802–5805.

-‐

LODDER, A.R. , ENGELFRIET, A. , MEKIC, D. , VAN DEN HOVEN VAN GENDEREN R. , e.a., “Recht en Web 2.0”, 71.

-‐

MARONE, P. & TAYLOR, R. , “Knowlegde diffusion dynamics and netword properties of face-‐to-‐face interactions”, Journal of Evolutionary Economics, 1999, 327-‐351.

-‐

MOORE, A. , “Privacy Rights, Moral and Legal Foundations”, Verenigde Staten, Pennsylvania State University Press, 2010, 3.

-‐

O'REILLY, T. , "What is Web 2.0: Design patterns and business models for the next generation of software", Communications & Strategies, 2007, 17.

-‐

PEMPEK, T. , CALVERT, S. , YERMOLAYEVA, Y. , “College‘s students‘ social networking experiences on Facebook”, Journal of applied developmental psychology 2009, 227-‐238.

-‐

PHILLIPS, S. , “A brief history on Facebook”, The Guardian, 25 Juli 2007.

117

-‐

Bibliografie

HEW, K.F. , "Reviex: Studens' and techers' use of Facebook", Computers in Human Behavior 2011, 662-‐676.

-‐

RACHELS, J. , “Why Privacy is Important”, Philosophy and Public Affairs, 1975, 323-‐333.

-‐

RICHTER, A. & KOCH, M. , “Functions of Social Networking Services”, 90.

-‐

RUSSO, C. , “Article 8, § 1” in L.-‐E. PETTITI, E. DECAUX en P.-‐H. IMBERT (eds.), La Convention Européenne des Droits de l’Homme. Article par article, Parijs, Economica, 1995, 306-‐307.

-‐

SAMOY, I. , VALCKE, P. , JANSEN, S. , PEERAER, F. , VANDENBUSSCHE, W. , VAN DER SYPE, Y. , VAN LOOCK, S. , VERJANS, E. , VERSCHAKELEN, J. , “Facebook maakt privéberichten openbaar: een casus contractuele aansprakelijkheid?”, Juristenkrant 2012, afl. 259, 10-‐11.

-‐

SHAH, R.C. EN KESAN, J.P. , “Setting Online Policy with Software Defaults", Information Communication, and Society 2008, 1002.

-‐

STEVENS, L. , noot onder EHRM 4 december 2003, No. 39272/98, M.C. v. Bulgarije, RW 2005, 1235; EHRM 26 maart 1985, No. 8978/80, X en Y v. Nederland.

-‐

SWIRE, P. EN LAGOS, Y. , "Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique", Mayerland Law Review 2013, 341-‐342.

-‐

THOLE, E. EN VAN DER JAGT, F. , “Foute foto’s op je Facebook, carrièrekansen verpest?”, Nota Bene 2011, afl. 23, 41.

-‐

URISTA, M.A. , DONG, Q. , DAY, K. , “Explaining why young adults use MySpace and Facebook through uses and gratifications theory”, Human Communication 2009, 215-‐229.

-‐

U.S. PRIVACY PROTECTION STUDY COMMISSION, "Personal Privacy in an Information Society", PPSC Report, 1977, 615.

-‐

VAN DEN BRANDE, Y. , “Hoe privé zijn mails, Facebookposts, chatsessies...?”, De Tijd, 10 februari 2012.

-‐

VAN EECKE, P. en TRUYENS, M. , “Privacy en sociale netwerken”, Computerr. 2010, 117.

-‐

VANWIJNGAERDEN, J.S. , “De werking van grondrechten tussen particulieren, geïllustreerd met voorbeelden”, Jura Falc. 2007, 217-‐248.

-‐

VOORHOOF, D. , “Facebook en de Raad voor Journalistiek”, NjW 2011, 39.

-‐

VOORHOOF, D. , “Recht op anonimiteit op internet brokkelt af”, Juristenkrant 14 januari 2009, 5.

-‐

VYNCKE, S. , “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012.

-‐

WARREN, G., “Is privacy dead?”, Times Newspapers, 2010.

-‐

WARREN S. en BRANDEIS, D. , “The Right To Privacy”, Harvard Law Review 1890, Vol. IX.

-‐

WOO, J. , "The right not to be identified: privacy and anonymity in the ineractive media environment", New Media & Soc. 2006, 949 – 967.

-‐

WOOLLASTON, V., “Now ANYONE can find you on Facebook: Outrage as site removes privacy option for users to hide their profile in search results”, Daily Mail, 11 Oktober 2013. 118

-‐

Bibliografie

YOUNG, A. , QUAN-‐HAASE, A. , “Information revelation and internet privacy concerns on social network sites: A case study of Facebook.”, C&T '09 2009, 265-‐274.

-‐

X., “Special Eurobarometer 359/Wave 74.3”, TNS Opinion & Social, 2011, 205.

-‐

X., “Ondubbelzinnige toestemming nodig voor plaatsen cookies”, NJB 2011, 1234.

-‐

X., “Privacybescherming”, Computerr. 2012, 315-‐317; Online Bronnen

-‐

AUSLOOS, J. , “The ‘Right to be Forgotten’ – Worth remembering?”, ICRI Research Paper 2011, 13; http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1970392.

-‐

BARNES, S.B. , "A privacy paradox: Social networking in the United States", First Monday 2006; http://www.firstmonday.org/article/view/1394/1312.

-‐

BILTON, N. , “Facebook Changes Privacy Settings Again”, The New York Times Bits, 12 december 2012, http://bits.blogs.nytimes.com/2012/12/12/facebook-‐changes-‐privacy-‐ settings-‐again/.

-‐

BOYD, D. , “Facebook’s ‘Opt-‐out’ Precedent, 12 december 2007, http://www.futurelab.net/blog/2007/12/facebooks-‐opt-‐out-‐precedent.

-‐

BOYD, D. , “Social Network Sites: Public, Private, or what?”, Knowledge Tree, 2007, 2.; http://www.danah.org/papers/KnowledgeTree.pdf.

-‐

BRANDIMARTRE, L. , “Privacy concerns and information disclosure: An illusion of control hypothesis”, iConference ’09 Posters, 8 februari 2009, https://www.ideals.illinois.edu/bitstream/handle/2142/153 44/Poster.ppt.pdf?sequence=4 .

-‐

CAVOUKIAN, A.

EN

PROSCH, M. , “The Roadmap for Privacy by Design in Mobile

Communications: A Practical Tool for Developers, Service Providers, and Users”, Privacy by Design, 2010, 23; http://www.privacybydesign.ca/content/uploads/2011/02/pbd-‐ asu-‐mobile.pdf. -‐

CHINDAMO, J. , "Facebook Wins Battle To Ban Pseudonyms; Apologies To Professor Otto von Schnitzelpusskrankengescheitmeyer", it-‐Lex, 27 februari 2013; http://it-‐ lex.org/facebook-‐wins-‐battle-‐to-‐ban-‐pseudonyms-‐apologies-‐to-‐professor-‐otto-‐von-‐ schnitzelpusskrankengescheitmeyer/#sthash.1FrgAk mA.dpuf. 119

-‐

Bibliografie

CHINOWSKY, P. , DIEKMANN, J. en O’BRIEN, J. , ”Project Organizations as Social Networks.”, J. Constr. Eng. Manage, p. 136; L. ROEDER, "What is Myspace", About.com, Social Media, 2013, http://personalweb.about.com/od/myspacecom/a/whatismyspace.htm.

-‐

CLARKE, R. , “Dataveillance and Information Privacy Home-‐Page”, 2013, http://www.rogerclarke.com/DV/ .

-‐

CONSTINE, J. , "Facebook Removing Option To Be Unsearchable By Name, Highlighting Lack Of Universal Privacy Controls" ,Techcrunch, 10 oktober2013, http://www.techcrunch.com/2013/10/10/facebook-‐search-‐privacy/ .

-‐

DE HERT, P. en GUTWIRTH, S. , “Over privacy: filosofische reflecties”, CBPL, 2013, http://www.anthologieprivacy.be/sites/anthology/files/documents/Over-‐privacy-‐ filosofischereflecties.pdf .

-‐

DE NEVE, E. , “Drukpersmisdrijf”, 2013, http://www.elfri.be/juridische-‐informatie/drukpersmisdrijf .

-‐

FISH, T. , “Why do you think deleting an account reduces your digital footprint?”, My Digital footprint, 2013, http://www.mydigitalfootprint.com/2013/07/why-‐do-‐you-‐ think-‐deleting-‐account.html.

-‐

FOREMAN, R. , “Facebook History 2005 -‐2007”, http://empoweryou.ca/facebook-‐history-‐ 2005-‐2007/ .

-‐

GANTZ, J. , REINSEL, D. , “Extracting Value from Chaos”, IDC iView, 2011, http://netherlands.emc.com/collateral/analyst-‐reports/idc-‐extracting-‐value-‐from-‐ chaos-‐ar.pdf.

-‐

GIOVANI, T. & PASHLEY, H. , “Student Awareness of the Privacy Implications When Using Facebook”, 3 december 2005, 5; http://lorrie.cranor.org/courses/fa05/tubzhlp.pdf .

-‐

GOEL, V. , "Facebook Delays New Privacy Policy", The New York Times Bits, 5 september 2013,

http://bits.blogs.nytimes.com/2013/09/05/facebook-‐delays-‐new-‐privacy-‐

policy/. -‐

GOHRING, N. , “Facebook Faces Class-‐action Suit over Beacon”, IDG News, 13 augustus 2008, http://www.pcworld.com/article/149787/article.html.

-‐

GRASZ, J. , “Forty-‐five Percent of Employers Use Social Networking Sites to Research Job Candidates, CareerBuilder Survey Finds”, CareerBuilder, augustus 2009,

-‐

http://www.careerbuilder.com/share/aboutus/pressreleasesdetail.aspx?id=pr519&sd= 8%2f19%2f2009&ed=12%2f31%2f2009&siteid=cbpr&sc_cmp1=cb_pr519_.

120

-‐

Grimmelmann,

J.

,

"Saving

Facebook",

Bibliografie

Iowa Law Review

2009,

1185,

http://works.bepress.com/cgi/viewcontent.cgi?article=1019&context=james_grimmel mann. -‐

JOHNSON, B. , “Privacy no longer a social norm, says Facebook founder”, The Guardian, 11 januari

2010,

http://www.theguardian.com/technology/2010/jan/11/facebook-‐

privacy . -‐

JONES, H. en HIRAM SOLTREN, J. , “Facebook: Threats to Privacy”, CSAIL, 2005, http://groups.csail.mit.edu/mac/classes/6.805/student-‐papers/fall05-‐ papers/facebook.pdf .

-‐

KRISHNAMURTHY, B. EN WILLS, C.E. , "Characterizing privacy in online social networks" in X., WOSN '08 Proceedings of the first workshop on Online social networks, New York, ACM, 2008, 37-‐42, http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.145.4305&rep=rep1&type= pdf.

-‐

KRUL, M. , “Aanpassing privacyvoorwaarden Facebook”, Wisemen Advocaten, 2013, http://www.wisemen.nl/weblog/weblogs/aanpassing-‐privacyvoorwaarden-‐facebook/ .

-‐

LODDER, A.R. , ENGELFRIET, A. , MEKIC, D. , VAN DEN HOVEN VAN GENDEREN, R. , e.a., “Recht en Web 2.0 – Bewerkte bloemlezing uit www.internetrecht20.nl”, Publicatiereeks NVvIR, Nr.27, 2010, 121; http://da.nny.nl/wp-‐content/uploads/2008/05/rechtenweb20.pdf.

-‐

LOPEZ, C. , “Oregon teen Arrested After Posting ‘Drivin Drunk’ Facebook Status”, ABC News, 4 januari 2013, http://abcnews.go.com/blogs/headlines/2013/01/oregon-‐teen-‐ arrested-‐after-‐posting-‐drivin-‐drunk-‐facebook-‐status/.

-‐

Madejski, M. , Johnson, M. en Bellovin, S.M. , "The Failure of Online Social Network Privacy Settings", CUCS Tech Reports 2011, 8, https://mice.cs.columbia.edu/getTechreport.php?techreportID=1459 .

-‐

MIGLIETTI, J.M. , “Diffamation privée et diffamation publique: distincion.”, Cabinet d’avocat Miglietti,

2013,

http://www.miglietti-‐avocat.com/communication-‐presse-‐

media/diffamation-‐privee-‐et-‐diffamation-‐publique-‐-‐distinction-‐352.html . -‐

MIKKELSON, B. en MIKKELSON, D. ,“Facebook Privacy Removal”, Snopes, 17 oktober 2013, http://www.snopes.com/computer/facebook/privacyremoval.asp#9Q2UGZDHUbfbhzD H.99 .

121

-‐

Bibliografie

MITROU, L. EN KARYDA, M. , "EU's Data Protection Reform and the Right to be Forgotten: A Legal Response to a Technological Challenge?", 5 februari 2012, 5th ICILE 2012. Te raadplegen op: http://ssrn.com/abstract=2165245.

-‐

OPSAHL, K. , “Facebook's Eroding Privacy Policy: A Timeline”, EEF, 28 april 2010, https://www.eff.org/deeplinks/2010/04/facebook-‐timeline .

-‐

PAULUSSEN, F. , “Online Privacy: bestaat dat nog?”, Social Mediwa, 2013, http://www.socialmediwa.be/socialmedida/online-‐privacy-‐bestaat-‐dat-‐nog/ .

-‐

PEREZ, J.C. , “Facebook’s Beacon more Intrusive Than Previously Thought”, IDG News, 30 november 2007, http://www.pcworld.com/article/140182/article.html.

-‐

PORSIUS-‐SAMAN, P. , “Help, waarom word ik niet aangenomen?”, MSN CareerBuilder, 2012, afdeling

9;

http://msn.careerbuilder.nl/Artikel/MSN-‐144-‐Een-‐baan-‐zoeken-‐Help-‐

waarom-‐word-‐ik-‐niet-‐aangenomen/. -‐

PRONK, B. , "Wat te doen met de nieuwe cookiewetgeving?", Bartonline, 11 juni 2012, www.bart-‐online.nl/blog/item/wat-‐te-‐doen-‐met-‐de-‐nieuwe-‐cookiewetgeving.

-‐

RICHTER, A. & KOCH, M. , “Functions of Social Networking Services”, COOP’08, 2008, 87-‐98; http://www.kooperationssysteme.de/wp-‐ content/uploads/coop08_richterkoch_functions_of_social_networking_services_final.pdf.

-‐

RIEWALD, M. , “Aanpassing privacyvoorwaarden Facebook”, Wisemen, 5 november 2013, http://www.wisemen.nl/weblog/weblogs/aanpassing-‐privacyvoorwaarden-‐facebook/.

-‐

RIEWALD, M. , “Nieuwe Europese privacyregels relevant voor sociale netwerken”, Wisemen, 9 maart 2012, http://www.wisemen.nl/weblog/weblogs/nieuwe-‐europese-‐ privacyregels-‐relevant-‐voor-‐sociale-‐netwerken/.

-‐

SAKUMA, S. , “VS verzamelen online privégegevens van gebruikers”, NRC, 7 januari 2013, http://www.nrc.nl/nieuws/2013/06/07/vs-‐verzamelen-‐online-‐privegegevens-‐van-‐ gebruikers/.

-‐

SHIM, R. , “TheGlobe.com to cut staff, fold sites”, CNET News, 3 augustus 2001, http://archive.is/20130119134602/http://news.com.com/TheGlobe.com+to+cut+staff, +fold+sites/2100-‐1023_3-‐271110.html.

-‐

SOMERS, G., “Geen laster en eerroof binnen besloten Facebook groep”, Timelex, 2013, http://www.timelex.eu/nl/blog/detail/geen-‐laster-‐en-‐eerroof-‐binnen-‐besloten-‐ facebook-‐groep .

-‐

Speets, P. , "Het privacy paradox", Meta Reporter, 27 januari 2012, http://www.metareporter.nl/2011/2012/01/27/het-‐privacy-‐paradox/. 122

-‐

Bibliografie

STROSS, R. , “When Everyone’s a Friend, Is Anything Private?,” The New York Times, 8 maart 2009, http://www.nytimes.com/2009/03/08/business/08digi.html?_r=0 .

-‐

TIMMERMAN, H. , “Uw digitale schaduw”, Data Centered, 2011, http://www.datacentered.nl/2011/07/uw-‐digitale-‐schaduw/.

-‐

US District Court California 26 augustus 2013, No. C11-‐1726RS, Fraley v. Facebook. Te raadplegen op: http://blogs.reuters.com/alison-‐frankel/files/2013/08/facebookfraley-‐ approval.pdf .

-‐

VAN CAPELLEVEEN, J.W. , "Ontwikkeling van de sociale media", Jeeweeweb, Sociale Media, 2013, http://www.jeeweeweb.com/socialemedia/ontwikkeling_van_sociale_media.html.

-‐

VAN CAPELLEVEEN, J.W. , “Waarom anoniem of onder pseudoniem bloggen?”, Jeeweeweb, 2013, http://www.jeeweeweb.com/bloggen/anoniem-‐of-‐pseudoniem.html.

-‐

VAN DEN BRANDE, B. , "Wat is een Cookie?", Sirius Legal, 2013, http://www.siriuslegaladvocaten.be/wordpress/cookie-‐informatiepagina/# .

-‐

Van Leemputten, P. , “Facebook bant valse namen”, ZDNet, 25 september 2008, http://www.zdnet.be/facebook/91918/facebook-‐bant-‐valse-‐namen/.

-‐

VAN MILTENBURG, O. , “België kiest voor opt-‐out met nieuwe cookieregels”, Tweakers, 2012,

http://tweakers.net/nieuws/82709/belgie-‐kiest-‐voor-‐opt-‐out-‐met-‐nieuwe-‐

cookieregels.html. -‐

VERROKEN, M. en WESTERLINCK, F. , “Het drukpersmisdrijf: update door het Hof van Cassatie”, LexGo, 2013, http://www.lexgo.be/nl/artikels/2013/09/Het%20drukpersmisdrijf%3A%20Update% 20door%20het%20Hof%20van%20Cassatie,82163.html .

-‐

VINGERLING, B. , “Social media gebruikers statistieken maart 2013”, Afix Internetbureau, 17 april 2013, http://www.afix.nl/blog/2013/04/statistieken-‐gebruikers-‐facebook-‐ twitter-‐en-‐linkedin-‐maart-‐2013/ .

-‐

VYNCKE, S. , “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012, http://siriuslegal.wordpress.com/2012/02/06/het-‐voorstel-‐ voor-‐een-‐europese-‐privacy-‐verordening-‐doorgelicht/.

-‐

WIERTZ, E. , “De nieuwe Europese regels rond gegevensbescherming: toelichting bij het voorstel van de Europese Commissie”, CBPL 31 januari 2012, http://www.privacycommission.be/nl/nieuws/de-‐nieuwe-‐europese-‐regels-‐rond-‐ gegevensbescherming-‐toelichting-‐bij-‐het-‐voorstel-‐van-‐de. 123

-‐

Bibliografie

WILLIAMS, P. EN POPKIN, H.A.S. , “Supreme Court won't review Facebook's notorious 'Beacon' case”, NBC News, 4 november 2013,

-‐

http://www.nbcnews.com/technology/supreme-‐court-‐wont-‐review-‐facebooks-‐ notorious-‐beacon-‐case-‐8C11522153.

-‐

WINDER,

D.

,

“Facebook

Graph

Search:

don’t

panic”,

PCPRO,

2013,

http://www.pcpro.co.uk/realworld/385276/facebook-‐graph-‐search-‐dont-‐panic . -‐

WOUTERS,

E.

,

“Beledigingen

op

Facebook

zijn

privé”,

EMSOC,

2013,

http://emsoc.be/4864-‐beledigingen-‐op-‐facebook-‐zijn-‐prive/#_ftn2 . -‐

WOUTERS, E. , "Mensenrechten en sociale media', EMSOC, 18 april 2012; http://www.emsoc.be/3298-‐mensenrechten-‐en-‐sociale-‐media/.

-‐

X., “Beleid voor namen”, Facebook, laatst geraadpleegd op 15 december 2013, https://www.facebook.com/help/249092175207621.

-‐

X., “Beleid inzake gegevensgebruik – Andere gegevens die we over jou hebben ontvangen”, Facebook, november 2013, https://www.facebook.com/about/privacy/your-‐info .

-‐

X., “Beleid inzake gegevensgebruik – Openbare gegevens”, Facebook, november 2013, https://www.facebook.com/about/privacy/your-‐info .

-‐

X., “Bescherming van de persoonlijke levenssfeer in de sector van de elektronische communicatie”, laatst geraadpleegd op 15 december 2013, http://europa.eu/legislation_summaries/information_society/legislative_framework/l2 4120_nl.htm#amendingact.

-‐

X., “Dag van de gegevensbescherming: waarborging van het recht op privacy”, Press releases database, Europese Commissie, 2011, http://europa.eu/rapid/press-‐release_IP-‐ 11-‐102_nl.htm.

-‐

X., “De nieuwe Europese regels rond gegevensbescherming: toelichting bij het voorstel van de Europese Commissie”, Commissie voor bescherming van de persoonlijke levenssfeer, 31 januari 2012, http://www.privacycommission.be/nl/nieuws/de-‐nieuwe-‐ europese-‐regels-‐rond-‐gegevensbescherming-‐toelichting-‐bij-‐het-‐voorstel-‐van-‐de.

-‐

X., “European data protection group faults Facebook for privacy setting change”, EC Press Release, Brussel, 12 mei 2010, 1, http://ec.europa.eu/justice/policies/privacy/news/docs/pr_12_05_10_en.pdf. 124

-‐

Bibliografie

X., “Info over gesponsorde verslagen”, Facebook Help, laatst geraadpleegd op 15 december 2013, https://www.facebook.com/help/sponsored-‐stories .

-‐

X., “Ontslag na negatieve uitlatingen Blokker-‐medewerker op Facebook”, Aantjes Advocaten,

2012,

http://www.aantjesadvocaten.nl/index.php/blog/49-‐social-‐

media/156-‐ontslag-‐na-‐negatieve-‐uitlatingen-‐blokker-‐medewerker-‐op-‐ facebook#sthash.AC1XyoZX.dpuf . -‐

X.,

http://ec.europa.eu/justice/data-‐protection/article-‐29/press-‐material/press-‐

release/art29_press_material/20131008_pr_oct_plenary_en.pdf. -‐

X., "Privacywaakhonden stellen onjuiste eisen aan cookies", Thuiswinkel Waarborg, 2013, www.thuiswinkel.org/cms/showpage.aspx?id=12795 .

-‐

X., “Raad van Europa”, Diplomatie België, laatst geraadpleegd op 15 december 2013, http://diplomatie.belgium.be/nl/Beleid/beleidsthemas/ mensenrechten/belangrijkste_instellingen/raad_van_europa/ .

-‐

X., “Safer Social Networking Principles fot he EU”, 2009, http://ec.europa.eu/digital-‐ agenda/sites/digital-‐agenda/files/sn_principles.pdf.

-‐

X., “Samenvattingen van de EU wetgeving”, laatst geraadpleegd op 15 december 2013, http://europa.eu/legislation_summaries/ information_society/legislative_framework/l24120_nl.htm.

-‐

X., “Social Media Geschiedenis – Hoe is het begonnen”, Social Media Blog, laatst geraadpleegd op 15 december 2013, http://socialmediablog.nl/social-‐media-‐ geschiedenis/.

-‐

X., “Special Eurobarometer 359/Wave 74.3”, TNS Opinion & Social, 2011, 7, http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

-‐

X.,

“Toepasselijkheid

van

de

Europese

Privacyrichtlijn”,

Commissie voor de bescherming van de persoonlijke levenssfeer, laatst geraadpleegd op 15 december 2013, http://www.pr.ivacycommission.be/nl/toepasselijkheid-‐van-‐de-‐ europese-‐privacyrichtlijn . -‐

X., “Verklaring van rechten en verantwoordelijkheden”, Facebook, laatst geraadpleegd op 15 december 2013, https://www.facebook.com/legal/terms.

-‐

X.,

“Wat

betekenen

netwerken?”,

de

Europese

nieuwe Commissie,

gegevensbeschermingsregels 2012,

voor

sociale

http://ec.europa.eu/justice/data-‐

protection/document/review2012/factsheets/3_nl.pdf.

125

-‐

Bibliografie

X., “Wat is een cookie, hoe werken ze?”, Cookie Demo Site, Cookies FAQ, laatst geraadpleegd op 15 december 2013, http://cookiedemosite.eu/about_nl.html .

-‐

X., “Wat

is

een

gegevensverwerking”,

persoonlijke levenssfeer,

laatst

Commissie voor de bescherming van de

geraadpleegd

op

15

december

2013,

http://www.privacycommission.be/nl/wat-‐is-‐een-‐gegevensverwerking . -‐

X.,“Wat

zijn

persoonsgegevens”,

persoonlijke levenssfeer,

2013,

Commissie voor de bescherming van de

http://www.privacycommission.be/nl/wat-‐zijn-‐

persoonsgegevens . -‐

X., “Welke soorten van cookies vallen onder de cookiewet?”, European Institute for Privacy

Protection,

laatst

geraadpleegd

op

15

december

2013,

http://cookiemanager.eu/nl/faq/welke-‐cookies-‐vallen-‐onder-‐cookiewet/# . -‐

X., “Werkgroep Artikel 29 voor de bescherming van persoonsgegevens”, Commissie voor de bescherming van de persoonlijke levenssfeer, laatst geraadpleegd op 15 december 2013, http://www.privacycommission.be/nl/groep-‐29.

-‐

X., “What happened to Facebook?”, Rixtip, laatst geraadpleegd op 15 december 2013, http://rixstep.com/2/1/20100505,00.shtml .

-‐

X., “What is a Class Action Lawsuit”, Wisegeek, laatst geraadpleegd op 15 december 2013, http://www.wisegeek.org/what-‐is-‐a-‐class-‐action-‐lawsuit.htm .

126

Bijlage

BIJLAGE

127

Bijlage

BIJLAGE 1

128

Bijlage

BIJLAGE 2

129

Bijlage

130

Bijlage

131

Bijlage

132

Bijlage

133

Bijlage

134

Bijlage

135

Bijlage

136

Bijlage

137

Bijlage

138

Bijlage

139

Bijlage

140

Bijlage

141

Bijlage

BIJLAGE 3

142

Bijlage

BIJLAGE 4

143

Bijlage

144

Bijlage

145

Bijlage

146

Bijlage

147

Bijlage

148

Bijlage

149

150

Faculteit Rechtsgeleerdheid Universiteit Gent. Academiejaar EEN PARADOX VANUIT JURIDISCH PERSPECTIEF? Ingediend door

Recommend Documents