Verschil in rechten voor de Facebookgebruiker

De Richtlijn Bescherming Persoonsgegevens richt zich hoofdzakelijk op het formuleren van zorgvuldigheidsverplichtingen voor de verantwoordelijke.142 _{Onder de Richtlijn}

kunnen voor de betrokkene 3 subjectieve rechten worden geformuleerd143_{: het recht op}

inzage in zijn gegevens,144 _{het recht op wijziging en verwijdering van de gegevens}145 _en

het recht om zich te verzetten tegen automatische besluiten.146 _{In deze paragraaf zal}

worden onderzocht in hoeverre de rechten onder de Verordening verschillen van die onder de Richtlijn en in hoeverre de Facebookgebruiker onder de Verordening meer handvatten aangereikt krijgt om zich te kunnen wapenen tegen profilering.

4.3.1 Het recht op inzage, wijziging en verwijdering

Wat betreft het recht op toegang tot de gegevens, breidt de Verordening de door de verantwoordelijke te verstrekken informatie uit met de mogelijkheid om inzage te krijgen in hoe lang de gegevens worden opgeslagen.147 _{Ook wordt artikel 15 van de Verordening}

uitgebreid met een klachtrecht voor de betrokkene.148 _{Hoewel onder de Richtlijn ook de}

mogelijkheid bestond om inzage in de logica achter geautomatiseerde besluitvorming te verkrijgen, moet de betrokkene onder de Verordening ook worden ingelicht over de betekenis en de consequenties van profilering.149 _{Daarnaast spreekt de Verordening over:}

“decisions based on automated processing including profiling”, waar de Richtlijn deze specificatie

achterwege laat. Het recht op wijziging en verwijdering wegens de onjuistheid van de gegevens blijft onder de Verordening hetzelfde als onder de Richtlijn,150 _alleen

142 _{van der Sloot 2012, p. 257.} 143 _{van der Sloot 2014, p. 8.}

144 _{Artikel 12 van de Richtlijn Bescherming Persoonsgegevens.}

145 _{Artikel 12 sub b en artikel 14 van de Richtlijn Bescherming Persoonsgegevens.} 146 _{Artikel 15 van de Richtlijn Bescherming Persoonsgegevens.}

147 _{Artikel 15 sub d Voorstel voor de Algemene Verordening Gegevensbescherming - Preparation of a general}

approach 11 juni 2015.

148 _{Artikel 15 sub f Voorstel voor de Algemene Verordening Gegevensbescherming - Preparation of a general}

approach 11 juni 2015.

149 _{Artikel 15 sub h Voorstel voor de Algemene Verordening Gegevensbescherming - Preparation of a general}

approach 11 juni 2015.

introduceert de Verordening in artikel 16 een specifiek artikel met betrekking tot het wijzigen of aanvullen van de gegevens:

“The data subject shall have the right to obtain from the controller without undue delay the rectification of personal data concerning him or her which are inaccurate. Having regard to the purposes for which data were processed, the data subject shall have the right to obtain completion of incomplete personal data, including by means of providing a supplementary statement.”151

Nu de gebruiker onder Verordening recht heeft op inzage in haar bij Facebook

berustende gegevens, wordt het vermogen om de juistheid en de volledigheid van haar gegevens te controleren vergroot. De mogelijkheid om naast de logica achter de profilering ook over de consequenties te worden ingelicht, wordt de informatie asymmetrie mogelijk verkleind. Daarnaast heeft de gebruiker de mogelijkheid om

onjuiste of onvolledige conclusies of classificaties te rectificeren via artikel 16. Opvallend is tevens dat op het recht tot rectificatie geen beperkingen rusten, daar dit onder de Richtlijn wel het geval is.152 _{Door deze mogelijkheden is de gebruiker in staat de kwaliteit}

van zijn profiel te controleren. Dit is een belangrijke stap in het proces naar meer controle en bescherming voor de Facebookgebruiker.

4.3.2 Dataportabiliteit

Hoofdstuk 2 van dit onderzoek concludeerde dat ondanks de bestaande zorg voor de privacy van de Facebookgebruiker, de drempel om haar profiel op te zeggen te hoog blijkt. Vanwege de dominantie van Facebook en haar diensten wordt het de Nederlander zeer bemoeilijkt een alternatief te vinden voor een sociaal netwerk wat tot minder privacy bezwaren leidt. De dominantie van Facebook is de Commissie echter niet onopgemerkt gebleven. In haar voorstel voor de Verordening presenteerde zij het recht op

dataportabiliteit.153 _{Dit artikel lijkt te worden opgenomen om de dominantie van sociale}

netwerken als Facebook tegen te gaan.154 _{Net als bij de doorbreking van consumer capturing}

door telefoonnetwerken, moet de gebruiker in staat zijn om haar ‘nummer’ (in dit geval in de vorm van haar profiel) zonder moeite te kunnen transporteren naar een andere aanbieder. Artikel 18 van de Verordening luidt:

151 _{Artikel 16 lid 1 Voorstel voor de Algemene Verordening Gegevensbescherming - Preparation of a general approach}

11 juni 2015.

152 _{Artikel 13 van de Richtlijn Bescherming Persoonsgegevens. Zie ook: van der Sloot 2014, p. 12.}

153 _{Artikel 18 Voorstel voor de Algemene Verordening Gegevensbescherming - Preparation of a general approach 11}

juni 2015.

“The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured and commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the data have been provided, where:

(a) the processing is based on consent or on a contract. (b) the processing carried out by automatic means.”155

Het beoogde effect van deze bepaling is de betrokkene meer controle over zijn gegevens te verschaffen en zo het niveau van bescherming te vergroten.156 _{Dit lijkt een van de}

meest ingrijpende tools die de Verordening de Facebookgebruiker zal bieden. Enerzijds

vergroot het recht op dataportabiliteit de vrijheid voor de gebruiker om over te stappen naar een ander sociaal netwerk aangezien zij haar gebruikersprofiel (niet bedoeld haar profileringsprofiel) gemakkelijk mee kan nemen naar een andere aanbieder waardoor moeite en kosten haar bespaard blijven.157 _{Anderzijds dient deze bepaling de opkomst}

voor concurrentie op de sociale media markt te stimuleren.158 _{In theorie zou het recht op}

dataportabiliteit indirect een positief effect kunnen hebben op het

gegevensbeschermingsniveau van de Facebookgebruiker. Wanneer het gemakkelijker wordt om gegevens mee te nemen naar een andere sociale mediadienst die bijvoorbeeld geen gebruik maakt van profileringstechnieken, wordt de drempel om over te stappen voor de gebruiker verlaagd. Wanneer een toenemend aantal gebruikers de overstap naar een ‘privacy vriendelijke’ netwerkdienst maakt, bestaat de kans dat de gebruiker niet langer gehinderd wordt in haar keuze door de nu bestaande netwerkeffecten.

4.3.3 Het recht om vergeten te worden

Naast het recht op dataportabiliteit is het recht om vergeten te worden de meest bediscussieerde bepaling uit de Verordening.159 _{Net als het recht op dataportabiliteit,}

moet het recht om vergeten te worden betrokkene meer controle over haar gegevens bieden. Onder de Richtlijn heeft de betrokkene de mogelijkheid een verzoek tot verwijdering van de gegevens te doen, maar dit kan slechts indien de juistheid van de

155 _{Artikel 18 sub a Voorstel voor de Algemene Verordening Gegevensbescherming - Preparation of a general}

approach 11 juni 2015.

156 _{van der Sloot 2014, p. 9.}

157 _{de Hert & Papakonstantinou 2012, p. 138.} 158 _{Costa & Poullet 2012, p. 257.}

gegevens ter discussie staat,160 _{of wanneer de verantwoordelijke niet compliant is.}161 _{Na de}

uitspraak van het Hof in de zaak Google Spain162 _{werd het recht om vergeten te worden}

geïntroduceerd. Het Hof gaf in deze zaak antwoord op de vragen die de Spaanse rechter stelde over de interpretatie van de Richtlijn met betrekking tot de verplichtingen van een zoekmachine. Het Hof oordeelde dat een zoekmachine onder bepaalde omstandigheden verplicht is de zoekresultaten van bepaalde persoonlijke informatie te verwijderen, ook

indien deze rechtmatig is gepubliceerd.163 _{Hoewel de fundamenten voor het recht om}

vergeten te worden door deze uitspraak zijn neergelegd, strekt dit arrest zich nog slechts uit tot zoekmachines. Voor de Facebookgebruiker betekent dit dat zij bij de verwijdering van haar gegevens dit arrest niet rechtstreeks kan inroepen aangezien Facebook geen zoekmachine is. Onder de Verordening komt daar verandering in. Hier wordt een algemeen recht om vergeten te worden geïntroduceerd wat zich uitstrekt tot alle verantwoordelijken voor de verwerking van persoonsgegevens. Artikel 17 van de Verordening luidt daarentegen als volgt:

“The (...) controller shall have the obligation to erase personal data without undue delay, especially in relation to personal data which are collected when the data subject was a child, and the data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay where one of the following grounds applies:

(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1) or point (a) of Article 9(2) and (...) there is no other legal ground for the processing of the data;

(c) the data subject objects to the processing of personal data pursuant to Article 19(1) and there are no overriding legitimate grounds for the processing or the data subject objects to the processing of personal data pursuant to Article 19(2);

(d) the data have been unlawfully processed;

(e) the data have to be erased for compliance with a legal obligation to which the controller is subject.”164

160 _{Artikel 12 sub a van de Richtlijn Bescherming Persoonsgegevens.} 161 _{Costa & Poullet 2012, p. 257.}

162 _{HvJEU 13 mei 2014, nr. C-131/12 (Google Spain).}

163_{HvJEU 13 mei 2014, nr. C-131/12 (Google Spain) overweging 82.}

164 _{Artikel 17 lid 1 Voorstel voor de Algemene Verordening Gegevensbescherming - Preparation of a general approach}

Deze bepaling kan worden gezien als een uitbreiding op het recht tot verwijdering van gegevens uit artikel 12 van de Richtlijn. Er zijn een aantal mogelijkheden voor de

gebruiker om Facebook te sommeren diens gegevens te doen verwijderen. In combinatie met de verruiming van het begrip persoonsgegeven, zou dit ook zijn door Facebook opgestelde profiel betreffen. Het recht op dataportabiliteit en het recht om vergeten te worden, hebben als het ware een complementaire werking; de gebruiker stapt

gemakkelijker over naar een andere sociale netwerkdienst en kan erna ook zijn

persoonsgegevens die Facebook in handen heeft laten wissen. Van wellicht nog grotere waarde is dat artikel 17a van de Verordening stelt dat Facebook in een dergelijk geval aan iedereen waarmee de gegevens zijn gedeeld, op de hoogte zal moeten stellen van het verzoek tot verwijdering.165

Het recht om vergeten te worden kan wellicht problematisch worden geacht indien de gebruiker helemaal niet meer op de dienst zelf te vinden wil zijn, aangezien veel van de betreffende persoonsgegevens bij anderen rusten (in de vorm van foto’s, tags, likes, etc.)166

maar het kan wellicht een handvat bieden tegen het profileren door Facebook. Wanneer een gebruiker haar profiel verwijderd, kan zij er middels dit recht zeker van zijn dat haar opgestelde profiel, zowel bij de dienst zelf alsmede haar partners, in vlammen op gaat en niet langer kan worden gebruikt voor welk doeleinde dan ook. Het inroepen van dit recht dient het principe van dataminimalisatie aangezien de gegevens niet langer dan

noodzakelijk worden opgeslagen. Daarbij is echter wel gesteld dat dit recht om vergeten te worden de gebruiker alleen soelaas biedt indien zij haar profiel verwijdert of wanneer blijkt dat Facebook haar data onrechtmatig heeft verwerkt.

4.3.4 Het recht om niet geprofileerd te worden & voorafgaande toestemming

Paragraaf 3.4 concludeerde dat de gebruiker niet met zekerheid bescherming kan genieten onder de Richtlijn tegen profilering aangezien noch de wet, noch de jurisprudentie van het Hof zich helder uitspreken over de reikwijdte van het begrip persoonsgeven. Sommige van de bij profilering gemoeide data, valt buiten dat begrip en tevens is het niet zeker of geanonimiseerde of geaggregeerde profielen als een

persoonsgegeven aan te merken zijn. Hoewel de Artikel 29 Werkgroep zich duidelijk uitspreekt over hoe de Richtlijn zou moeten worden geïnterpreteerd, zijn haar adviezen en

opinies niet juridisch bindend. Toch voorziet de Richtlijn in artikel 15 personen van een mogelijkheid om zich te verzetten tegen geautomatiseerde besluiten. Indien zou worden

165 _{Artikel 17a Voorstel voor de Algemene Verordening Gegevensbescherming - Preparation of a general approach 11}

juni 2015.

geconcludeerd Facebook bij het profileringsproces toch persoonsgegevens verwerkt, biedt dit artikel de gebruiker de theoretische mogelijkheid om zich te verzetten tegen de besluiten die op basis van de profielen worden genomen. Echter moet er op cumulatieve wijze aan een aantal criteria worden voldaan voordat dit artikel kan worden ingeroepen. Artikel 15 lid 1 luidt als volgt:

“De Lid-Staten kennen een ieder het recht toe niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft en dat louter wordt genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn

persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag, enz. te evalueren.”167

In eerste plaats moet er een besluit worden genomen, ten tweede moet dat besluit rechtsgevolgen voor de betrokkene met zich meebrengen of moet het besluit hem in aanmerkelijke mate treffen. Vervolgens moet het besluit louter op basis van automatische

verwerking worden gemaakt en moet het besluit er toe dienen om bepaalde persoonlijke aspecten van de betrokkene te beoordelen.168 _{De complexiteit van dit artikel maakt de}

toepassing ervan in de praktijk zeer problematisch. Wanneer er niet kan worden voldaan aan één van deze voorwaarden, kan dit artikel zoals gezegd niet worden ingeroepen. Daarnaast is er veel onduidelijkheid over wat precies een besluit betreft en hoe ernstig de rechtsgevolgen voor te betrokkene dienen te zijn.169 _{De besluiten die Facebook maakt}

naar aanleiding van het profileren zijn waarschijnlijk niet aan te merken als besluiten die de gebruiker in aanmerkelijke mate treffen. Het aanbieden van gepersonaliseerde reclame of het aanpassen van de newsfeed is voor de gebruiker wellicht merkbaar, maar de

gevolgen ervan zijn niet aanmerkelijk. Dit is anders indien hem op basis van zijn profiel geen lening wordt verstrekt of indien hij geen toegang zou krijgen tot bepaalde websites omdat hij op basis van zijn profiel als auteursrechtinbreker zou worden bestempeld. Tevens kan dit artikel gemakkelijk worden omzeild door op een enig moment menselijke tussenkomst te creëren. Ten slotte kan dit artikel niet worden opgevat als een algeheel verbod.170

De onduidelijkheid over de reikwijdte en de toepassing van artikel 15,171 _{maken het in}

feite een tandeloze haai.

167 _{Artikel 15 lid 1 van de Richtlijn Bescherming Persoonsgegevens.} 168 _{Bygrave 2001, p. 18.}

169 _{van der Sloot 2012, p. 265.} 170 _{Sloot van der 2012, p. 256.}

De Commissie heeft in haar voorstel een artikel opgenomen dat vergelijkbaar is met artikel 15 van de Richtlijn. Artikel 20 van het aangepaste voorstel voor de Verordening van 11 juni 2015 luidt als volgt:

“The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or significantly affects him or her.”172

Daarmee is het artikel uit het oorspronkelijke voorstel van 25 januari 2011 op een belangrijk punt aangepast. In de versie uit 2011 werd dit recht als volgt omschreven:

“Every natural person shall have the right not to be subject to a measure which produces legal effects concerning this natural person or significantly affects this natural person, and which is based solely on automated processing intended to evaluate certain personal aspects relating to this natural person or to analyse or predict in particular the natural person's performance at work, economic situation, location, health, personal preferences, reliability or behaviour.”173

Het woord ‘measure’ lijkt een ruimer toepassingsgebied te beslaan dan het woord ‘decision’. Waar een besluit een keuze of oordeel vereist, kan een maatregel elk type handeling omvatten.174 _{Hoewel artikel haar reikwijdte uitdrukkelijk uitbreid naar}

profilering, is het net als bij artikel 15 van de Richtlijn, de vraag hoe ruim het begrip ‘decision’ moet worden opgevat. Overweging 58 van de Verordening geeft een nadere uitleg aan artikel 20:

“The data subject should have the right not to be subject to a decision evaluating personal aspects relating to him or her (...) which is based solely on automated processing, which produces legal effects concerning him or her or significantly affects him or her, like automatic refusal of an on-line credit application or e- recruiting practices without any human intervention. Such processing includes also 'profiling' consisting in any form of automated processing of personal data evaluating personal aspects relating to a natural person, in particular to analyse or predict aspects concerning performance at work, economic situation,

171 _{Bygrave 2001, p. 18.}

172 _{Artikel 20 lid 1 van het Voorstel voor de Algemene Verordening Gegevensbescherming - Preparation of a general}

approach 11 juni 2015.

173 _{Proposal for a Regulation on the protection of individuals with regard to the processing of personal data and on the}

free movement of such data (General Data Protection Regulation) 25 januari 2011.

health, personal preferences or interests, reliability or behaviour, location or movements as long as it produces legal effects concerning him or her or significantly affects him or her.”175

Deze overweging lijkt de reikwijdte van artikel verder uit te breiden nu het ook van toepassing is op het analyseren en voorspellen van gedrag. Echter kan evengoed de vraag worden gesteld hoe significant de gevolgen van profilering voor de gebruiker moeten zijn om zich op dit artikel te kunnen beroepen. Is het aangeboden krijgen van

gepersonaliseerde advertenties of een gepersonaliseerde newsfeed daarvoor voldoende? Er

bestaat, net als onder de Richtlijn onduidelijkheid over de inhoud van dit recht op niet- profilering. Ook is het de vraag hoe effectief dit artikel de Facebookgebruiker zal beschermen, nu dit artikel de deur voor het nemen van besluiten aan de hand van profileren wagenwijd open zet wanneer de toestemming eenmaal verkregen is. Aan de betekenis van de toestemming kan worden getwijfeld nu het niet zeker is of de gebruiker begrijpt waarvoor hij zijn toestemming verleent, of überhaupt de tijd neemt om de informatie te lezen voordat hij op “profileer mij!” klikt.176

Toestemming

Artikel 20 lid 1 van de Verordening gaat niet op indien het besluit is genomen op basis van een overeenkomst of noodzakelijk is voor de uitvoering ervan, wanneer dit

toegestaan is op basis van de nationale wetgeving van de Lidstaat en wanneer de betrokkene hiervoor zijn uitdrukkelijke toestemming heeft gegeven.177 _{Deze laatst}

genoemde grond vormt een nieuwe rechtvaardigingsgrond ten opzichte van artikel 15 van de Richtlijn. Een a contrario redenering resulteert in de conclusie dat profilering

derhalve slechts is toegestaan indien aan één van de gronden is voldaan. Het is echter niet zeker of artikel 20 moet worden opgevat als algeheel verbod, of dat dit net als bij artikel 15 onder de Richtlijn slechts de schijn ervan omvat.

Wat tevens opvalt is het feit dat artikel 20 lid 1a onder c spreekt van uitdrukkelijke toestemming. Dit verschilt van de vereiste toestemming voor algemene

gegevensverwerking uit artikel 6 lid 1 onder a van de Verordening, wat ondubbelzinnige toestemming vereist. Uit overweging 58 blijkt nogmaals dat er slechts besluiten mogen worden genomen aan de hand van profilering op basis van toestemming indien deze

175 _{Overweging 58 van het Voorstel voor de Algemene Verordening Gegevensbescherming - Preparation of a general}

approach 11 juni 2015.

176 _{Zuiderveen Borgesius 2015, p. 881.}

177 _{Artikel 20 lid 1a van het Voorstel voor de Algemene Verordening Gegevensbescherming - Preparation of a general}

toestemming uitdrukkelijk gegeven is. Wat betreft de algemene toestemming hanteert de Verordening voor toestemming de volgende definitie: “any freely-given, specific and informed indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed,”178 _{Uitdrukkelijke}

toestemming gaat verder dan ondubbelzinnige toestemming, wat er toe zal leiden dat de toestemming van de Facebookgebruiker niet langer kan worden afgeleid van haar gedrag.179 _{Onder de Verordening zal de gebruiker op voorhand moet worden}

geïnformeerd over de doeleinden en de gevolgen van de profilering en zal de

toestemming moeten worden gegeven door bijvoorbeeld een digitale handtekening te zetten, door knop te drukken of door een bevestigingsemail te sturen.180 _{De last om te}

In document Het Facebookprofiel van de toekomst : Een onderzoek naar het profileren van de Facebookgebruiker onder de Algemene Verordening Gegevensbescherming (pagina 34-51)