Maakt Facebook.com inbreuk op het recht op privacy van Nederlandse gebruikers?
Paperextensie Informatierecht Instituut voor Informatierecht Universiteit van Amsterdam
Naam: Bendert Zevenbergen Studentnummer: 5753473 Begeleider: prof. mr. N.A.N.M. van Eijk
Aantal woorden: 2882
Inhoudsopgave 1
Inleiding
2
Facebook Privacy Policy
3
Analyse: Maakt het Beacon-Programma van Facebook een inbreuk op de privacy van Nederlandse gebruikers?
3.1 3.2 3.3 3.4 3.5
Is de Wbp van toepassing? Inbreuk Grondrechten Classificatie Internetgedraggegevens Anonieme gegevens Is het verwerken van gegevens van Facebook rechtmatig?
4
Handhaving CBP
5
Conclusie
6
Literatuurlijst
1.
Inleiding
De oorsprong van het recht op privacy kwam vooral voort uit de noodzaak overheden en nieuwsgierige buren buiten iemands vier muren te houden of de integriteit van het lichaam te behouden. Het recht op privacy is dan ook uitdrukkelijk in artikel 10 van de Grondwet en artikel 8 van het EVRM gecodificeerd. Tegenwoordig is het, door het steeds intensievere gebruik van nieuwe digitale technologieën1, makkelijk om grote hoeveelheden informatie over individuen te verzamelen, te kopiëren, op te slaan en verder te verdelen. Ter bescherming van digitale massaverwerking van persoonsgegevens werd in 2000 aan de hand van de Europese Richtlijn 95/46/EG in Nederland de Wet bescherming persoonsgegevens (Wbp) verwezenlijkt. Onlangs heeft het College Bescherming Persoonsgegevens (CBP) richtsnoeren omtrent de publicatie van persoonsgegevens op het internet gepubliceerd. In deze paper zal ik het Beacon-programma van Facebook.com behandelen. Dit is een goed voorbeeld is van het transparanter worden van onze levens door technologie. Op de website van Facebook maken gebruikers een profiel van zichzelf aan en stellen zij vergaande persoonsgegevens over zichzelf ter beschikking, voornamelijk om met vrienden te communiceren die een zelfde profiel hebben. Het Beacon-programma registreert transacties, aangegane abonnementen en dergelijk internetgedrag van haar gebruikers en zelfs ex-gebruikers op 40 zogenaamde partnerwebsites. Dit gebeurt aan de hand van het IP-adres van de gebruikers. Deze partnerwebsites zijn populaire internetdiensten, bijvoorbeeld eBay (veilingen) en Epicourious (recepten). Deze activiteiten worden opgeslagen en met ‘vrienden’ gedeeld, zonder dat gebruikers op de hoogte worden gebracht van deze verwerking. Deactiveren van de dienst is sinds kort slechts mogelijk met betrekking tot publicatie aan vrienden. Het oorspronkelijke doel van het programma is ‘direct marketing’. Er worden gerichte advertenties op schermen van personen geplaatst op basis van hun profiel en recente transacties om zo efficiënter reclame te maken. De manier van dataverzameling is echter ongeëvenaard qua omvang en precisie. Dit leidt mogelijk tot een inbreuk op de privacy van de gebruikers. De zogenaamde ‘clickstream’registratie zou vroeger gekwalificeerd zijn als een vergaande privacyinbreuk. De toegepaste praktijken van dit programma zijn in de Verenigde Staten geen inbreuk op een bepaalde privacy wetgeving. Privacy is in de VS in de vorm van zelfregulatie2 aan de markt is overgelaten. In deze paper zal ik toetsen of Facebook met het Beacon-programma inbreuk maakt op het recht op privacy van een Nederlandse gebruiker die gebruik maakt van de dienst aan de hand van de richtsnoeren van het CBP, de Wbp, de horizontale werking van de Grondwet, het EVRM en jurisprudentie. Ook zal ik onderzoeken hoe het CBP een mogelijke inbreuk kan sanctioneren.
1
C. Cuijpers, “Privacy in Context”, Privacy Regulring in Theorie en Praktijk, Recht & Praktijk, (Kluwer, 2007), p. 22 2 J.R. Riedenberg, Resolving Conflicting International data Privacy Rules in Cyberspace, Stanford Law Review, Vol. 52 (5/2000) p. 1333
2.
Facebook Privacy Policy
Het relevante deel van de Privacy Policy van Facebook volgt hieronder: “Facebook may use information in your profile without identifying you as an individual to third parties. We do this for purposes [...] personalizing advertisements and promotions so that we can provide you Facebook. We believe this benefits you. [...] where there are advertisements, they're more likely to be interesting to you. For example, if you put a favorite movie in your profile, we might serve you an advertisement highlighting a screening of a similar one in your town. But we don't tell the movie company who you are. We may use information about you that we collect from other sources, including but not limited to newspapers and Internet sources such as blogs, instant messaging services, Facebook Platform developers and other users of Facebook, to supplement your profile. Where such information is used, we generally allow you to specify in your privacy settings […].3” 3
Analyse: Maakt het Beacon-Programma van Facebook een inbreuk op de privacy van Nederlandse gebruikers?
3.1
Is de Wbp van toepassing?
Op basis van art. 2 Wbp jo. art 4 lid 2 Wbp is bij de geautomatiseerde verwerking van persoonsgegevens door Facebook van Nederlandse gebruikers de wet van toepassing. Alhoewel Facebook in haar ‘Terms of Use’ bepaalt dat het recht van Californië en Delaware in de VS van toepassing is, bepaalt art. 4 lid 2 Wbp dat deze wet ook van toepassing is indien de verwerker (Facebook) niet in de EU zelf gevestigd is, maar wel gebruik maakt van geautomatiseerde middelen in Nederland. De bestanden (‘cookies’) die Facebook ter verwerking van gegevens op de computer van de gebruiker plaatst zijn volgens de Artikel 29 Werkgroep4 voldoende om aan deze eis te voldoen5. Aan een uitsluitingsgrond van art 2 lid 2 of lid 3 of lid 3 Wbp voldoet Facebook niet. Omdat vastgesteld is, dat de Wbp van toepassing is, kan Facebook als verantwoordelijke in de zin van art 1 sub d) Wbp worden aangemerkt, omdat zij het doel en de middelen voor verwerking vaststelt. Echter, de gebruikers van Facebook zijn medeverantwoordelijk voor de door hun gedeelde persoongegevens6.
3
Facebook Privacy Policy
Deze werkgroep bestaat uit de toezichthoudende autoriteiten op het gebied van bescherming van persoonsgegevens in de EU. Het ontleend de naam van het artikel 29 van de Europese Privacyrichtlijn 95/46/EG op basis waarvan deze autoriteiten zijn opgericht. De werkgroep heeft een onafhankelijk en raadgevend karakter. 5 R. Van Esch, P. Blok, “Privacy en Elektronische Handel via Internet”, Privacy Regulring in Theorie en Praktijk, Recht & Praktijk, (Kluwer, 2002), p. 210 6 CBP Richtsnoeren, Publicatie van Persoonsgegevens op het Internet, (2007), p. 8 4
3.2
Inbreuk Grondrechten
De Wbp is niet uitsluitend gericht op overheden, maar op eenieder die persoonsgegevens verwerkt. Hiermee bouwt de wet voort op de horizontale derdenwerking tussen burgers onderling of met inmenging van rechtspersonen van het grondrecht op privacy uit artikel 10 GW en artikel 8 EVRM. Het arrest Bespiede Bijstandsmoeder7 heeft de horizontale werking van deze grondrechten al eerder bevestigd. Indien Facebook een inbreuk maakt op de Wbp maakt zij tevens een inbreuk op door een Europees Verdrag en de Grondwet gewaarborgde fundamentele vrijheden van haar gebruikers. 3.3
Classificatie Internetgedraggegevens
De Wbp hanteert verschillende regels voor twee soorten persoongegevens. Voor deze paper is van belang de verzamelde gegevens over transacties en ander internetgedrag onder 1) normale of 2)bijzondere persoonsgegevens te kwalificeren. Normale persoonsgegevens zijn ex art. 1 sub a) Wbp ieder gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. De privacy-richtlijn bepaald onder art. 2: ‘als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer’. In de richtsnoeren van het CBP wordt aangegeven dat een IP-adres een voldoende persoonsgegevens is om iemand indirect te identificeren8. Facebook gebruikt deze IPadressen om transacties aan bepaalde profielen te koppelen. Volgens de Memorie van Toelichting hanteert de Wbp hetzelfde uitgangspunt ten aanzien van indirect identificeerbare gegevens9. Voorbeelden van persoonsgegevens zijn het adres, de leeftijd en de baan van een natuurlijke persoon. Voor het verwerken van normale persoongegevens gelden de voorwaarden van hoofdstuk 2 van de Wbp. Bijzondere persoonsgegevens ex art. 16 Wbp (of gevoelige persoongegevens ex art 8 van de richtlijn) zijn persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en persoonsgegevens betreffende het lidmaatschap van een vakvereniging. Voor deze gegevens geldt een zwaarder regime, omdat verwerking van deze gegevens slechts is toegestaan indien sprake is van een zwaarwegend algemeen belang of een wettelijk bepaalde verwerking10. De genoemde artikelen geven de hoofdregel van een verwerkingsverbod aan, maar artikelen 17 – 23 Wbp geven een ontheffing van het verbod. Artikel 16 Wbp toont een limitatieve lijst. Internetgedraggegevens, zoals de koop van een boek of een film via een internetwinkel, zijn dus geen bijzondere persoonsgegevens, tenzij deze uitdrukkelijk in artikel 16 Wbp worden genoemd. Het kopen van een Koran of abonneren op een website met pornografie moet niet gekwalificeerd worden als een gegeven betreffende levensovertuiging of het seksuele 7
HR 9 januari 1987 (Bespiede Bijstandsmoeder), NJ. 1987, 982, r.o. 4.4 CBP Richtsnoeren, Publicatie van Persoonsgegevens op het Internet, (2007), p. 10 9 Memorie van toelichting bij de Wbp, Kamerstukken II, nr 25 892, nr. 3, p. 48-49. 10 J.E.J. Prins en J.M.A. Berkvens, “De Wet Bescherming Persoonsgegevens” Recht & Praktijk, (Kluwer 2007), p. 36 8
leven. Men kan namelijk ook uit nieuwsgierigheid deze transacties aangaan11. Hieruit kan afgeleid worden dat de gegevens die Facebook verzameld, geen bijzondere persoongegevens zijn. 3.4
Anonieme gegevens
Geanonimiseerde gegevens zijn geen persoonsgegevens, als de betrokken personen redelijkerwijs niet identificeerbaar zijn. Dit vereiste is technologisch onafhankelijk gelaten door de wetgever, omdat het per technologie kan verschillen in hoeverre iemand identificeerbaar is. Zoals al is besproken is een IP-adres een voldoende persoonsgegeven om iemand op het Internet te identificeren. Bovendien stelt de Memorie van Toelichting dat indien opslag van gegevens plaatsvindt om individuele personen te benaderen met commerciële aanbiedingen, de Wbp van toepassing is12. Facebook zal niet aan het vereiste van anonieme gegevens kunnen voldoen om de Wbp te omzeilen. Om reclame te maken geeft zij immers het IP-adres in combinatie met een uitgebreid profiel (met of zonder naam van betrokkene) door aan adverteerders. Indien Facebook niet de IP-adressen niet zou doorgeven wordt omzeiling toch tegengehouden, gezien het doel van Facebook: het op basis van opgemaakte profielen aanbieden van commerciële aanbiedingen in de vorm van reclame. Navigatiebedrijf TomTom ontvangt rechtmatig van mobiele telecomaanbieder Vodafone geanonimiseerde gegevens betreffende locaties van mobiele telefoons voor het verbeteren van hun dienst: het aangeven van files en drukke wegen13. TomTom heeft geen behoefte om deze gegevens herleidbaar te maken aan een identificeerbare persoon, omdat zij er geen belang bij heeft om locaties te kennen van individuele personen. Het verschil in casu is, dat de adverteerders van Facebook juist wel baat hebben bij kennis van een uitgebreid profiel en IP-adres van individuele personen om gericht te kunnen adverteren. Bovendien is de verwerking niet meer anoniem als Facebook de gegevens van aangegane transacties aan de vrienden van de persoon toont. 3.5
Is het verwerken van gegevens van Facebook rechtmatig?
Artikel 7 Wbp bepaalt dat persoonsgegevens slechts voor welbepaalde en uitdrukkelijk omschreven doeleinden verzameld mogen worden. Artikel 9 lid 1 bepaalt dat deze gegevens slechts verenigbaar met het doel verwerkt mogen worden. Het doeleinde van Facebook is redelijk omschreven in haar Privacy Policy. Het doel van de verwerking van persoonsgegevens van Facebook is het maken van winst door ‘direct-marketing’14. Winst wordt behaald door het verwerken van de 11
R. Van Esch, P. Blok, “Privacy en Elektronische Handel via Internet”, Privacy Regulring in Theorie en Praktijk, Recht & Praktijk, (Kluwer, 2002), p. 216 12 Memorie van toelichting bij de Wbp, Kamerstukken II, nr 25 892, nr. 3, p. 72 13 “TomTom, Vodafone join to offer real-time traffic netwerk” < http://www.aboutelectronics.eu/2006/10/30/tomtom-vodafone-join-to-offer-real-time-traffic-network/> 14 “Facebook Case Study: Offline behavior drives online usage”
persoongegevens, die door gebruikers zelf worden gegeven, in combinatie met de gegevens uit het Beacon-programma om een profiel te maken en gericht advertenties te plaatsen, zoals blijkt uit de Privacy Policy. Gegevensverwerking is slechts toelaatbaar als het voldoet aan een van de (limitatieve) gronden in artikel 8 Wbp. Onder Sub b) wordt de eis gesteld dat persoonsgegevens slechts mogen worden verwerkt indien dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. Facebook verkoopt profielen van hun gebruikers aan adverteerders. Is de betrokkene partij bij de verkoop van zijn profiel aan adverteerders indien hij gebruik maakt van de (voor hem) gratis dienst van Facebook? Het is van belang, dat de betrokkene zich er van bewust is dat hij ex. artikel 8 sub a) Wbp ondubbelzinnig toestemming heeft gegeven voor de verwerking en dat bij de verantwoordelijke geen enkele twijfel hierover bestaat. Op de verwerker rust een dubbele bewijslast met betrekking tot een rechtvaardige toestemming van de betrokkene wiens persoonsgegevens worden verwerkt. De bewijslast houdt in, dat de verwerker dient aan te tonen, dat toestemming van de betrokkene voor verwerking van zijn gegevens is gegeven voor een specifiek doel. Daarnaast dient de verwerker te bewijzen dat de toestemming zowel aan deze eisen voldoet, als dat de verwerker aan de informatieverplicht van artikelen 33 en 34 Wbp heeft voldaan. Om te voldoen aan de eis van toestemming dient te worden voldaan aan art. 8 sub a) jo. art 1 sub i), welke gekoppeld is aan drie punten in de Memorie van Toelichting: 1. Betrokkene moet in vrijheid zijn wil kunnen uiten. 2. Wilsuiting moet betrekking hebben op een bepaalde gegevensverwerking of categorie van verwerkingen. 3. Voor een goede oordeelsvorming moet betrokkene over de noodzakelijk inlichtingen beschikken.15 Bij het creëren van een profiel op Facebook dient men aan te vinken dat men de Privacy Policy, welke de bovenstaande tekst bevat, heeft gelezen. Volgens de Memorie van Toelichting kan dit worden gezien als een expliciete verlening van toestemming16. Hiermee wordt echter niet duidelijk dat internetgedrag zoals aangegane transacties en abonnementen geregistreerd worden. Er is dus niet aan de derde eis van de wetgever voldaan. De Memorie van Toelichting bepaalt verder bij de definitie van toestemming van een betrokkene in artikel 1 sub i) Wbp, dat toestemming onvoldoende specifiek is als een betrokkene toestemming geeft voor de verstrekking van persoonsgegevens aan willekeurige derden voor het toezenden van reclame. De betrokkene moet weten om welke gegevensverwerking het gaat en daarvoor gerichte toestemming geven17. Uit de Privacy Policy van Facebook blijkt niet wie de derden zijn en bovendien worden de gegevens ook zonder de toestemming van de betrokkene verwerkt. De privacyverklaring van Facebook voldoet derhalve ook niet aan het tweede punt uit de Memorie van Toelichting.
15
Memorie van toelichting bij de Wbp, Kamerstukken II, nr 25 892, nr. 3, p. 65 Memorie van toelichting bij de Wbp, Kamerstukken II, nr 25 892, nr. 3, p. 67 17 Memorie van toelichting bij de Wbp, Kamerstukken II, nr 25 892, nr. 3, p. 65 16
Analoog toegepast betekent dit, dat door het niet uitdrukkelijk geven van toestemming voor verwerking van persoonsgegevens de betrokkene geen partij is bij de betaling voor persoonsgegevens door adverteerders. Op grond hiervan kan Facebook zich niet op artikel 8 sub b) Wbp beroepen. Een beroep op andere rechtvaardigingsgronden van artikel 8 zal niet slagen, omdat Facebook de persoonsgegevens ook niet uit noodzaak van het nakomen van een overeenkomst aan adverteerders mag leveren, zij geen publiekrechtelijke instelling is of er een vitaal belang van de reclame voor de gebruikers is. De fundamentele vrijheden, zoals bedoeld in sub f) prevaleren boven de belangen van Facebook, zoals al is vastgesteld bij het hoofdstuk over de grondrechtinbreuk. De vraag of Facebook aan de eis van informatieverstrekking aan betrokkenen van artikelen 33 en 34 Wbp voldoet doet dan niet meer ter zake. Facebook kan de dubbele bewijslast niet tegemoet komen. Facebook mag de gegevens die zij verzamelt via het Beacon-programma niet verwerken volgens de Wbp, omdat het doel onvoldoende duidelijk is en daarom voldoende toestemming van betrokkenen ontbreekt. Bovendien dient Facebook op grond van artikel 41 Wbp een optie aan gebruikers te bieden om tegen de direct marketing door haar of derden in verzet te komen. Indien iemand aangeeft geen reclames te willen ontvangen dient de verwerker op grond van het tweede lid zijn direct marketing praktijken richting deze gebruiker te staken. Op grond van het derde lid van artikel 41 Wbp dient Facebook jaarlijks aan haar gebruikers een mededeling te sturen over de verwerking van hun gegevens in verband met direct marketing. Op de website van Facebook is geen optie van verzet tegen direct marketing te vinden en een jaarlijkse mededeling heb ik, als gebruiker van Facebook, bij mijn weten nog nooit ontvangen. Facebook voldoet daarmee niet aan de eisen gesteld aan direct marketing in artikel 41 Wbp, terwijl deze praktijk haar voornaamste doeleinde is. 4.
Handhaving CBP
Verantwoordelijken kunnen door betrokkene zowel civiel-, bestuurs- als strafrechtelijk worden aangesproken, indien zij in strijd handelen met het bepaalde in de Wbp. Gezien de omvang van deze paper beperk ik mij hier tot de mogelijkheden van het College Bescherming Persoonsgegevens om tegen de inbreuk op de privacy van Nederlandse Facebook gebruikers op te treden. Het College kan op grond van artikel 60 Wbp op verzoek van een betrokkene of ambtshalve een onderzoek instellen naar de rechtmatigheid van de gegevensverwerking van Facebook. Uit de Wbp blijkt dat het CBP enkele bevoegdheden heeft, maar een bestuurlijke boete ex artikel 66 Wbp opleggen aan het in de Verenigde Staten gevestigde bedrijf lijkt de sterkste optie. Strafvervolging ex artikel 75 Wbp is niet mogelijk omdat uit de richtsnoeren van het CBP blijkt dat melding ex artikelen 27 en 28 Wbp, gezien de nieuwe omstandigheden van massale gegevensverwerking op het internet, slechts noodzakelijk is als bijzondere gegevens worden verwerkt. Het is echter de vraag of Facebook rechtens gebonden is aan een bestuursboete van de CBP.
Gezien de populariteit van sociale-netwerkwebsites en de groeiende trend van het wetens al dan onwetend transparant maken van diens persoonlijkheid op het internet kan het CBP een terughoudende rol spelen, om de technologie te laten ontwikkelen. Het recht op privacy kan in dit geval, zoals in de VS, aan de markt over worden gelaten. Meer voor de hand liggend is een samenwerkende actie van Europese collegatoezichthouders van de CBP in de vorm van de Artikel 29 Werkgroep. Omdat de Wbp voortvloeit uit de Privacyrichtlijn 95/46/EG maakt Facebook een inbreuk op het recht op privacy van alle Europese burgers. De Werkgroep kan druk op Facebook uit te voeren om de Richtlijn 95/46/EG na te leven. Zulks is al eens geslaagd tegen softwaregigant Microsoft met betrekking tot het dot-NET identiteitssysteem18. Facebook gebruikers geven aan in welk land zij wonen, dus Facebook kan ophouden met het verzamelen van gegevens van EU burgers en slechts algemene (niet gerichte) reclame aan deze personen vertonen. 5
Conclusie
Nederland heeft een vergaand recht op privacy ter bescherming van burgers tegen uitgebreide registratie praktijken uit binnen en buitenland. Het Beacon-programma van Facebook is een uitstekend voorbeeld van wat Nederlanders als inbreuk op hun recht op privacy ondervinden. In eerste plaats wordt door Facebook onvoldoende duidelijkheid geboden over het doeleinde van de verwerking van de gegevens die zij verzamelen over hun gebruikers. Toestemming voor het registreren van transacties op het internet dient voor Nederlanders te geschieden door een ondubbelzinnige en uitdrukkelijke uiting van onze wil. Bij het aangaan van een vaag geformuleerde algemene voorwaarde met betrekking tot gebruik van persoonsgegevens voldoet de toestemming van Nederlandse burgers, op grond van de Wbp, niet voor de registratie van elke transactie door Facebook. Bovendien is de belofte van Facebook gegevens anoniem aan derden te verstrekken niet verenigbaar met de eisen die de Wbp aan anonimiteit stelt. In tweede plaats voldoet Facebook niet aan de eis van de Wbp haar gebruikers te informeren over elke verwerking van persoonsgegevens. Facebook dient bovendien een optie aan gebruikers te bieden om in verzet te kunnen komen tegen verwerking van hun internetgedrag. Van rechtvaardigingsgronden en een zwaarwegend algemeen belang is met betrekking tot verwerking van internetgedraggegevens in casu geen sprake. Ik stel vast dat Facebook onrechtmatig handelt volgens de Wbp. Facebook schendt een grondrecht en tevens fundamentele vrijheid van Nederlandse burgers. Zonder wijziging van dienst of wetgeving worden Nederlandse Facebook gebruikers bij elke transactie of handeling op een van de Beacon-programma partnerwebsites masaal in hun recht op privacy geschaad.
18
J. Goldsmith, T. Wu, Who Controls the Internet?, (Oxford University Press, 2006), p. 175
6. Literatuurlijst Literatuur J.R. Riedenberg, Resolving Conflicting International data Privacy Rules in Cyberspace, Stanford Law Review, Vol. 52 (5/2000) R. Van Esch, P. Blok, “Privacy en Elektronische Handel via Internet”, Privacy Regulring in Theorie en Praktijk, Recht & Praktijk, (Kluwer, 2002) J. Goldsmith, T. Wu, Who Controls the Internet?, (Oxford University Press, 2006), p. 175 C. Cuijpers, “Privacy in Context”, Privacy Regulring in Theorie en Praktijk, Recht & Praktijk, (Kluwer, 2007) J.E.J. Prins en J.M.A. Berkvens, “De Wet Bescherming Persoonsgegevens” Recht & Praktijk, (Kluwer 2007) Memorie van toelichting bij de Wbp, Kamerstukken II, nr 25 892, nr. 3 CBP Richtsnoeren, Publicatie van Persoonsgegevens op het Internet, (2007) “TomTom, Vodafone join to offer real-time traffic netwerk” < http://www.about-electronics.eu/2006/10/30/tomtom-vodafone-join-to-offer-realtime-traffic-network/> “Facebook Case Study: Offline behavior drives online usage” Facebook Privacy Policy Jurisprudentie HR 9 januari 1987 (Bespiede Bijstandsmoeder), NJ. 1987, 982
