Stelt u eens voor. U bent een gebruiker van de sociale netwerksite ‘Facebook’. Op een bepaald ogenblik stuit u op een advertentie voor ‘Hot singles’. Tot uw verrassing ziet u een foto van uw vrouw als ‘hot single’. Dit overkwam een man in Amerika. De vrouw heeft weliswaar een profiel op Facebook maar was zich er niet van bewust dat haar foto ook gebruikt kan worden voor dergelijke doeleinden. Kan dit zomaar?
Met de opkomst van de sociale netwerksites, heeft het gebruik (en eventueel misbruik) van persoonlijke informatie of persoonsgegevens via of door sociale netwerksites aandacht gekregen. Door het veelvuldig gebruik van de sociale netwerksites, in het bijzonder door minderjarigen, volgde er meteen een discussie over bescherming van persoonsgegevens en de bescherming van de privacy van gebruikers van deze sociale netwerksites.
In Nederland heeft het gebruik van persoonsgegevens door of via sociale netwerksites al meerdere keren tot Kamervragen geleid. Op Europees niveau heeft Artikel 29 Werkgroep recent een opinie aangenomen waarin zij richtlijnen geeft voor zowel de sociale netwerksites als de gebruikers daarvan voor wat betreft de bescherming van de persoonsgegevens. In dit artikel worden de kernpunten van deze opinie op een rij gezet.
Wat is een sociale netwerksite?
Sociale netwerksites kunnen worden omschreven als ‘online communicatieplatforms die het mogelijk maken voor individuen om een netwerk te creëren of deel te nemen aan een reeds bestaand netwerk’. Bekende voorbeelden zijn: Hyves, Facebook, Myspace. Om aan dergelijke netwerken deel te nemen dient de gebruiker een zogenaamd ‘profiel’ aan te maken, waarbij om persoonlijke informatie wordt gevraagd. Op de sociale netwerksites wordt ook vaak de mogelijkheid geboden om persoonlijke filmpjes of foto’s toe te voegen aan het profiel.
De sociale netwerksites en privacy?
a. De Privacyrichtlijn en de verwerking van persoonsgegevens
De gegevens die worden verzameld tijdens de registratie en de informatie die wordt vermeld in het profiel van de gebruikers zijn persoonsgegevens in de zin van de Richtlijn 95/46/EC (hierna de ‘Privacyrichtlijn’). Op de verwerkingen van deze persoonsgegevens door de houder van een sociale netwerksite zijn de beginselen van de Privacyrichtlijn van toepassing.
Maar gebruikers plaatsen niet alleen gegevens over zichzelf online maar ook van anderen (denk bijvoorbeeld aan foto’s van vrienden die online worden geplaatst). Dit zijn allen persoonsgegevens die worden verwerkt. Is op deze verwerkingen de Privacyrichtlijn van toepassing en is de gebruiker die de persoonsgegevens verstrekt ook onderworpen aan de verplichtingen? Waarschijnlijk is dat niet het geval. De Privacyrichtlijn kent namelijk een uitzondering. De Privacyrichtlijn is niet van toepassing op een verwerking van persoonsgegevens ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden. Als dit het geval is, en dat zal vaak zo zijn bij de verstrekking van persoonsgegevens van anderen door gebruikers, geldt de Privacyrichtlijn in zijn geheel niet voor die verwerking. Wanneer de activiteiten kwalificeren als activiteiten voor doeleinden met uitsluitend persoonlijk of huishoudelijk gebruik is niet eenduidig aan te geven. Het al dan niet openbare karakter van een profiel is een belangrijk aanknopingspunt om te bepalen of er wel of niet sprake is van persoonlijk en huishoudelijk gebruik. Indien het account enkel toegankelijk is voor een beperkte groep van personen (de ‘bekenden’) dan zal er sprake zijn van een dergelijk persoonlijk of huishoudelijk gebruik. Als het profiel toegankelijk is voor een onbeperkte of erg grote groep van personen dat zal er geen sprake zijn van persoonlijk of huishoudelijk gebruik. In dat geval is de Privacyrichtlijn wel van toepassing op de verwerking en moet de gebruiker zich aan (sommige) verplichtingen van de Privacyrichtlijn houden.
b. Verantwoordelijke
Als is vastgesteld dat de Privacyrichtlijn van toepassing is, is van belang te weten wie dan de ‘verantwoordelijke’ is voor de verwerking van persoonsgegevens. De verantwoordelijke in de zin van de Privacyrichtlijn is de natuurlijke persoon, rechtspersoon, overheidsinstantie, de dienst of enig ander lichaam die , alleen of tezamen met anderen, het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt. Dit zal in beginsel de houder van de sociale netwerksite zijn. Op de houder rust dan de verplichting om de verplichtingen die volgen uit de Privacyrichtlijn na te leven.
c. Opinie Artikel 29 Werkgroep
- In de onlangs openbaar gemaakt opinie van de Artikel 29 werkgroep zijn de verplichtingen die voorvloeien uit Privacyrichtlijn nader ingevuld en worden een aantal richtlijnen geboden aan de houders van de sociale netwerksites om het recht op privacy van hun gebruikers beter te waarborgen. Deze richtlijnen zijn:
- De houder van de sociale netwerksite dient de gebruikers te informeren over zijn identiteit en dient duidelijke informatie te verstrekken over de wijzen waarop en de doeleinden waarvoor de persoonsgegevens zullen worden gebruikt.
- De houder van de sociale netwerksite dient er voor te zorgen dat de standaardinstellingen van de site privacyvriendelijk zijn. De pagina’s moeten zijn afgeschermd voor zowel interne als externe zoekmachines (bijvoorbeeld Google). Daarnaast moet het voor gebruikers mogelijk zijn om onder een pseudoniem te kunnen publiceren. Het is ook van belang dat wanneer een account inactief wordt, het account na enige tijd onzichtbaar wordt gemaakt.
- De gebruikers moeten worden gewezen op de privacyrisico’s voor henzelf en derden wanneer zij informatie uploaden in hun profiel.
Gebruikers zou moeten worden aangeraden dat zij pas informatie over anderen en foto’s van anderen uploaden nadat zij de toestemming van die anderen hebben verkregen. - Er moet er een adequate klachten behandelingsprocedure voor zowel leden als niet-leden aanwezig zijn.
- Als een houder van een sociaal netwerk marketingactiviteiten onderneemt, dan moet dit gebeuren in overeenstemming met de toepasselijke wetgeving (in Nederland: de Wet bescherming persoonsgegevens en de Telecommunicatiewet).
Sociaal netwerksites in Nederland
In Nederland is de Privacyrichtlijn geïmplementeerd in de Wet bescherming persoonsgegevens. Als een houder van een sociale netwerksite ook in Nederland is gevestigd of als de servers van de houder van een sociale netwerksite zich in Nederland bevinden dan zal de Wbp op deze houder, in de hoedanigheid van ‘verantwoordelijke’, van toepassing zijn.
De Nederlandse privacy autoriteit, het College Bescherming Persoonsgegevens (hierna “CBP”), sluit zich aan bij de richtlijnen van de Artikel 29 Werkgroep. In Nederland zullen de houders van sociale netwerksites dus rekening moeten houden met richtlijnen van de Artikel 29 Werkgroep.
Daarbij wordt door het CBP nog opgemerkt dat het gebruik van sociale netwerksite door minderjarigen ook een aandachtspunt is. Zo moeten minderjarige gebruikers toestemming van hun ouders of voogd hebben voordat ze zich kunnen registreren. De vraag is echter of dit in de praktijk door sociale netwerksites ook daadwerkelijk gerealiseerd kan worden en op welke manier dit dan zou moeten gebeuren. Verder zou het privacybewustzijn op school kunnen worden onderwezen. Als ‘onderwijs in privacy’ een integraal onderdeel van het onderwijs gaat uitmaken zouden minderjarige gebruikers zich misschien meer bewust zijn van de ‘gevaren’ die schuilen in het bekendmaken van allerlei persoonlijke informatie op het internet. Maar moeten ook de ouders niet terug naar de klas?
