Het Facebookprofiel van de toekomst : Een onderzoek naar het profileren van de Facebookgebruiker onder de Algemene Verordening Gegevensbescherming

(1)

H

ET

F

ACEBOOKPROFIEL VAN DE

TOEKOMST

Een onderzoek naar het profileren van de Facebookgebruiker onder de Algemene Verordening Gegevensbescherming

Masterscriptie Informatierecht

Rosanna Funnekotter

10001481

Onder begeleiding van Mireille van Eechoud Universiteit van Amsterdam 31-07-2015

(2)

Inhoudsopgave

H 1 INTRODUCTIE EN ONDERZOEKSOPZET 3

1.1 INLEIDING 3

1.2 ONDERZOEKSVRAAG EN STRUCTUUR 4

1.3 METHODIEK 5

H 2 HET FENOMEEN PROFILEREN NADER BEKEKEN 6

2.1 INLEIDING 6

2.2 HET PROFILERINGSPROCES IN EEN NOTENDOP 6

2.2.1 BIG DATA 7

2.2.2 DATA MINING, PROFILERING EN PREDICTING 8

2.3 HET PROBLEEM VAN PROFILERING DOOR FACEBOOK IN DE NEDERLANDSE SAMENLEVING 10

2.3.1 PROFILERING EN HET RECHT OP PRIVACY 12

2.3.2 PROFILERING EN HET RECHT OP GEGEVENSBESCHERMING 14

2.4 CONCLUSIE 18

H 3 PROFILERING ONDER DE RICHTLIJN BESCHERMING PERSOONSGEGEVENS 19

3.1 INLEIDING 19

3.2 DE REIKWIJDTE VAN DE RICHTLIJN BESCHERMING PERSOONSGEGEVENS 20

3.2.1 HET BEGRIP ‘PERSOONSGEGEVEN’ ONDER DE RICHTLIJN 20

3.2.2 HET BEGRIP PERSOONSGEGEVEN IN EUROPESE JURISPRUDENTIE 21

3.2.3 DE ARTIKEL 29WERKGROEP OVER PERSONAL DATA 23

3.2.4 ANONIMISERING EN PSEUDONIMISERING 25

3.3 WAARDE VAN DEZE ANALYSE VOOR DE FACEBOOKGEBRUIKER 26

3.4 CONCLUSIE 27

H4 PROFILERING ONDER DE ALGEMENE VERORDENING GEGEVENSBESCHERMING 28 4.1 INLEIDING 28 4.2 VERSCHIL IN REIKWIJDTE 29 4.2.1 DEFINITIES 29 4.2.2 IDENTIFICEERBAAR 31 4.2.3 CONCLUSIE 33

4.3 VERSCHIL IN RECHTEN VOOR DE FACEBOOKGEBRUIKER 34

4.3.1 HET RECHT OP INZAGE, WIJZIGING EN VERWIJDERING 34

4.3.2 DATAPORTABILITEIT 35

4.3.3 HET RECHT OM VERGETEN TE WORDEN 36

4.3.4 HET RECHT OM NIET GEPROFILEERD TE WORDEN & VOORAFGAANDE TOESTEMMING 38

4.4 HANDHAVING 43

H5 CONCLUSIE 44

THE FINAL WEIGH IN 45

BIBLIOGRAFIE 48

VERKORT AANGEHAALDE LITERATUUR 48

VERKORT AANGEHAALDE OPINIES VAN DE ARTIKEL 29WERKGROEP 50

RECHTSPRAAK 50

RAPPORTEN 51

(3)

H 1 Introductie en Onderzoeksopzet

1.1 Inleiding

Het digitale tijdperk heeft het leven aanzienlijk vergemakkelijkt. Een routebeschrijving kan worden opgezocht op Google Maps, een leuk restaurant met terras is zo gevonden via Foursquare en binnen enkele minuten is de ideale partner via Tinder aan de haak geslagen. Naast het aantal online diensten is ook het aantal online devices toegenomen.

TV’s, horloges, telefoons, thermostaten, stofzuigers; alles is ‘smart’. De hoeveelheid gegevens dat via deze apparaten en diensten wordt verspreid, reikt tot aan de maan en terug. Al heeft niet iedereen een slimme wasmachine of een Tinderprofiel, is er één dienst waar bijna elke Nederlander gebruik van maakt en dat is Facebook. Wat ooit als een Harvard-only studentennetwerk in 2004 werd opgericht door computerprogrammeur

Mark Zuckerberg, groeide uit tot het grootste sociale netwerk van de wereld en telt anno 2015 bijna 1,5 miljard maandelijkse gebruikers. Ook in Nederland is het niet-hebben van een Facebookprofiel de uitzondering op de regel. De dienst is de laatste jaren echter veel negatief in het nieuws gekomen door vermeende privacy schendingen. De Snowden affaire bracht bijvoorbeeld aan het licht dat Facebookgebruikers zonder toestemming van de sociale netwerkingssite werden bespioneerd door de NSA. Maar, niet alleen op het gebied van inlichtingen heeft Facebook waardevolle data in handen, ook in economische zin betreffen gebruikersgegevens een soort online gold. Facebook is van alle

Internetdiensten degene die de meeste gegevens en de meest gevarieerde gegevens over haar gebruikers verzamelt. Doormiddel van data mining technieken weet Facebook een zeer gedetailleerd profiel van haar gebruikers op te stellen. Dit wordt profileren

genoemd. Hierdoor is Facebook onder andere in staat om de newsfeed die de gebruiker te

zien krijgt aanpassen op diens voorkeuren. Ook kunnen er met behulp van profilering suggesties worden gedaan voor vriendschappen en kunnen er advertenties worden getoond die bij de kenmerken van de gebruiker passen. De gevolgen van profileren hoeven echter niet louter positief uit te pakken voor de gebruiker. Zo kan er op basis van het opgestelde profiel niet alleen de advertentie voor een product, maar ook de prijs worden aangepast en kan de gebruiker het gevoel krijgen dat zij constant in de gaten gehouden wordt. Ook is de gebruiker er niet zeker van met welke partners haar profiel wordt gedeeld en welke conclusies er over haar getrokken worden. Wellicht weet Facebook wel veel meer dan dat de gebruiker lief is.

(4)

De Wet Bescherming Persoonsgegevens moet de Nederlander beschermen tegen

onzorgvuldige en onrechtmatige gegevensverwerking. Deze wet is een implementatie van de Richtlijn Bescherming Persoonsgegevens1_{die in 1995 in werking trad. In hoeverre de}

Facebookgebruiker onder de Richtlijn ook beschermd wordt tegen profilering, is niet duidelijk. Van veel van de verzamelde gegevens staat niet vast dat zij persoonsgegevens betreffen. De Richtlijn is veelal bekritiseerd omwille van haar onvermogen om de burger te beschermen tegen de huidige technologieën en de hoeveelheid gegevens. Het lijkt alsof Facebookgebruiker, wat profilering betreft, tussen wal en schip valt. In 2012 kondigde de Europese Commissie het Europese Dataprotectierecht te herzien middels een voorstel voor de Algemene Verordening Gegevensbescherming die de Richtlijn op den duur zou moeten vervangen. De Verordening zou Europese burgers meer controle over hun gegevens moeten bieden en het algehele beschermingsniveau moeten verhogen.

Aangezien Facebook beroemd en berucht is wat het profileren van gebruikers betreft, is het interessant om te bezien in hoeverre deze Verordening de gebruiker uit zijn benarde positie zal helpen. Welke gevolgen heeft de Verordening voor de Facebook gebruiker en zijn deze gevolgen wel positief?

1.2 Onderzoeksvraag en structuur

Om dit te onderzoeken staat de volgende vraag centraal: In hoeverre biedt de Algemene Verordening Gegevensbescherming in vergelijking met de Richtlijn Bescherming

Persoonsgegevens de Nederlandse Facebookgebruiker meer bescherming tegen de risico’s van online profilering?

Om deze vraag te beantwoorden zal er ondersteuning worden gezocht in de volgende deelvragen:

1. Welke gegevensbeschermingsprincipes van Facebookgebruikers komen door het profileren door Facebook in het geding?

2. In hoeverre biedt de Richtlijn Bescherming Persoonsgegevens de

Facebookgebruiker bescherming tegen de gegevensbeschermingsrisico’s van profilering?

1_{Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van}

(5)

3. In hoeverre biedt de Algemene Verordening Gegevensbescherming, de

Facebookgebruiker meer bescherming tegen gegevensbeschermingsrisico’s van profilering?

In hoofdstuk 2 ‘Het fenomeen profileren nader bekeken’ staat de vraag centraal hoe het profileringsproces van Facebook in zijn werk gaat en welke problemen zij veroorzaakt bij de Nederlandse samenleving. Dit hoofdstuk zal de vraag beantwoorden welke

gegevensbeschermingsbeginselen mogelijk in het geding komen bij online profilering door Facebook. In het derde hoofdstuk van dit onderzoek zal worden bezien in hoeverre de Nederlandse Facebookgebruiker wordt beschermd door de Richtlijn Bescherming Persoonsgegevens. De reikwijdte van de Richtlijn zal worden besproken door een analyse van het recht, de relevante jurisprudentie en de relevante opinies van de Artikel 29 Werkgroep. Het vierde hoofdstuk bestudeert het voorstel van de Algemene Verordening Gegevensbescherming van 11 juni 20152_{en zet uiteen op basis van welke relevante}

artikelen en overwegingen het beschermingsniveau van de Facebookgebruiker mogelijk wordt versterkt. Vervolgens zal een greep uit eerdere literatuur blijk moeten geven van de kritiek die kan worden geformuleerd met betrekking tot de effectiviteit van de

Verordening. Aan het einde van hoofdstuk 4 zal de balans worden opgemaakt en de vraag of de Algemene Verordening de Facebookgebruiker meer bescherming zal bieden tegen de gegevensbeschermingsrisico’s van profileren, worden beantwoord.

1.3 Methodiek

De eerste deelvraag – Welke gegevensbeschermingsprincipes er in het geding komen bij het profileren door Facebook – die in hoofdstuk 2 van dit onderzoek in bod zal komen, zal het recht op privacy en het recht op gegevensbescherming bekijken vanuit een deels extern perspectief. Allereerst wordt het profileringsproces vanuit een technisch-juridisch oogpunt beschreven. Hierbij zal zo veel mogelijk aansluiting worden gezocht bij

gezaghebbende auteurs op dit gebied zoals Hildebrandt, Zuiderveen Borgesius en van der Sloot. De geformuleerde gegevensbeschermingsrisico’s in paragraaf 2.3.2 van dit onderzoek, vormen de ijkpunten op basis waarvan de Richtlijn en de Verordening met elkaar zullen worden vergeleken.

2_{The proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with}

regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)’ Preparation of a general approach 11 juni 2015.

(6)

De tweede deelvraag – In hoeverre de Richtlijn Bescherming Persoonsgegevens de Facebookgebruiker bescherming biedt tegen gegevensbeschermingsrisico’s van profilering door Facebook – wordt in hoofdstuk 3 beantwoord vanuit een intern perspectief middels een analyse van de relevante artikelen en overwegingen uit de

Richtlijn Bescherming Persoonsgegevens en relevante Europese jurisprudentie. Paragraaf 3.3 en 3.4 geven echter een normatief antwoord op de vraag hoe de Richtlijn,

jurisprudentie en de opinies van de Artikel 29 Werkgroep moeten worden geïnterpreteerd in combinatie met profilering door Facebook.

Het vierde hoofdstuk zal de vraag in hoeverre de Verordening in vergelijking met de Richtlijn de Facebookgebruiker meer bescherming biedt tegen

gegevensbeschermingsrisico’s die kleven aan het profileren door Facebook,

beantwoorden doormiddel van een rechtsvergelijkende methode. Allereerst worden de belangrijkste verschillen tussen de twee beschermingsregimes ten aanzien van profilering uiteengezet op basis van de relevante overwegingen en artikelen. Dan volgt er een beschrijving van de handvatten die de gebruiker worden geboden onder de Verordening. Als laatste zullen de handhavingsmogelijkheden onder de Richtlijn en de Verordening worden besproken en worden beoordeeld ten aanzien van het beschermingsniveau van de Facebookgebruiker. Het onderzoek wordt afgesloten met een afweging van de verschillen- en overeenkomsten tussen de twee regimes en op basis daarvan zal de onderzoeksvraag – Of de Verordening de Facebookgebruiker meer bescherming biedt – worden beantwoord.

H 2 Het fenomeen profileren nader bekeken

Dit hoofdstuk zal zich richten op de vraag wat het fenomeen profileren precies inhoudt en welke privacy- en gegevensbeschermingsbeginselen hiermee op gespannen voet staan. Op beknopte wijze zal uiteen worden gezet wat er in de praktijk bedoeld wordt met termen als big data, data mining en profilering.

2.2 Het profileringsproces in een notendop

Door het gebruik van sociale netwerken en zoekmachines laten wij sporen achter die bedrijven als Facebook en Google gretig verzamelen. Niet alleen de gegevens die de gebruiker op eigen initiatief aan het bedrijf kenbaar heeft gemaakt, zoals zijn

(7)

eigen initiatief deelt. Of liever gezegd, waarvan de gebruiker doorgaans niet weet dat ze deze deelt. In een meer specifiek voorbeeld: Facebook verzamelt onder andere ook de ‘likes’, de locatiegegevens, de informatie die vrienden van de gebruiker bekend maken en de browserinstellingen van haar gebruikers.3_{In haar Data Policy geeft Facebook een}

aantal doeleinden voor de verwerking van de gegevens die kortweg neerkomen op het verbeteren van haar diensten, het communiceren met gebruikers, het verbeteren van de veiligheid en voor de aanbieding van gespecificeerde advertenties. Waarom het opslaan van de batterij status van een telefoon of laptop relevant is voor één van de zojuist genoemde doeleinden is wellicht voor de gebruiker niet direct begrijpelijk. Toch verzamelt Facebook zo veel mogelijk data over haar gebruikers. Het grootschalig verzamelen van gegevens is in feite de eerste stap in het profileringsproces. 4_{Hoe meer}

data er over een gebruiker verzameld wordt en hoe groter die groep gebruikers is, des te nauwkeuriger kan het profiel over een gebruiker of groep worden opgesteld.

2.2.1 Big Data

Het verzamelen van een zeer grote hoeveelheid verschillende gegevens, vanuit

verschillende bronnen waarvan de waarde afhangt van de kwantiteit en niet de kwaliteit, wordt big data genoemd. Het is een term die de afgelopen jaren veel aandacht heeft gekregen in de marketingbranche, de IT-sector en de wetenschap.5_{Hoewel de term}

veelvuldig gebruikt wordt, is het niet gemakkelijk om eenduidige definitie te formuleren.6

Big data wordt ook wel gedefinieerd aan de hand van de vijf V’s: volume, variaty, velocity, value en veracity, 7_{waarvan de eerste drie het meest belangrijk zijn. De hoeveelheid}

gegevens, de variatie van de gegevens en de snelheid waarmee de gegevens kunnen worden verwerkt maken de mogelijkheden groots.

Big data is ook een buzzword in combinatie met privacy vraagstukken, maar om van big

data te spreken, hoeven er geen persoonsgegevens verwerkt te worden. Het kan ook gaan om gegevens over planten, dieren of het weer.

Naast de informatie die de gebruiker op eigen initiatief verstrekt, zoals de statusupdates, het liken van een bepaalde pagina of de informatie die de gebruiker middels zijn profiel

deelt, verzamelt Facebook ook informatie over haar gebruikers doormiddel van cookies.8_.

3_{Data Policy van Facebook, geraadpleegd op 18 mei 2015, beschikbaar op:}_{https://www.facebook.com/policy.php}_. 4_{Schermer 2011, p. 45, zie ook Hildebrandt 2008 p. 58-59.}

5_{Gordon 2013, p. 12.} 6_{Gordon 2013, p. 12.} 7_{Gordon 2013, p. 12.} 8_{WP 171, p. 6.}

(8)

Een cookie is een tekstbestand dat op het randapparaat van de gebruiker wordt geplaats om vervolgens door de websitehouder te worden uitgelezen.9_{Ook krijgt de cookie een}

nummer waaraan deze voor de websitehouder te herkennen is. Zo wordt het mogelijk om te tracken wat gebruiker met het hypothetische cookie 123456789 doet. In de cookie

kan zeer gedetailleerde en veelzijdige informatie worden opgeslagen waaronder: wanneer de website voor het laatst geraadpleegd is, de preferenties van de gebruiker zoals de scherminstellingen, de browserinstellingen, de click tijden, de activiteiten die worden uitgevoerd op de website, de lengte van het gebruik van de pagina, de taalinstellingen10

enz. Op deze manier kan het surfgedrag van de gebruiker door de websitehouder in kaart worden gebracht.11_{Een belangrijk onderscheid moet worden gemaakt tussen de}

verschillende soorten cookies. Zo kan een geplaatste cookie afkomstig zijn van de websitehouder zelf, bijvoorbeeld wanneer een webshop een cookie plaats om het winkelmandje van de gebruiker te kunnen onthouden. Deze cookies worden first party cookies genoemd.12_{Dan kan er tevens op cookie op het randapparaat van de gebruiker}

worden geplaatst door een partij die niet de websitehouder betreft, maar een derde partij. Dit wordt een third party cookie genoemd.13_{Door deze}_{third party cookies is het mogelijk}

voor de externe partij om ook het gedrag van een gebruiker te volgen op een website van wie zij geen eigenaar is. Hiervan maakt Facebook grootschalig gebruik door bijvoorbeeld ‘like’ of ‘share’ tools aan te bieden op websites. Wanneer de gebruiker op een site een dergelijke tool tegenkomt (wat in de praktijk een zeer groot aantal websites blijkt te zijn) wordt ook het gedrag op die website door Facebook uitgelezen en opgeslagen.

De combinatie tussen de grote hoeveelheid informatie die de gebruiker zelf verstrekt op het Facebook platform, de informatie die de gebruiker verstrekt via diensten waar Facebook eigenaar van is zoals Instagram en WhatsApp en het grote aantal third party cookies op websites buiten diensten van Facebook maken dat dit bedrijf een ongekend

aantal gegevens over haar gebruikers ter beschikking heeft.

2.2.2 Data Mining, profilering en predicting

Als er eenmaal een big database tot stand is gekomen, kan deze geanalyseerd worden om vervolgens verbanden in de poel met gegevens te vinden.14_{De tweede fase uit het}

9_{Zuiderveen Borgesius 2015, p. 879 zie ook: Leenes & Kosta 2015, p. 318.} 10_{Leenes & Kosta 2015, p. 318.}

11_{Zuiderveen Borgesius 2015, p. 879.}

12_{WP 171, p. 6. Zie ook: Leenes & Kosta 2015, p. 319.} 13_{WP 171, p. 6. Zie ook: Leenes & Kosta 2015, p. 319.} 14_{Gordon 2013, p. 13.}

(9)

profileringsproces behelst het analyseren van de data doormiddel van statistische en

machine learning technieken en methodes om uit de berg met data bruikbare informatie te

vinden. Er zijn verschillende technieken zoals natural language processing, predictive modelling

en social network mapping om de data te verwerken.15_{De losse gegevens zijn op zich zelf}

staand van kleine waarde, maar kunnen in combinatie met veel van deze andere gegevens tot een zeer waardevolle conclusie leiden. Het zoeken naar bruikbare informatie in een big database wordt data mining genoemd. Facebook analyseert onder andere de

demografische gegevens van haar gebruikers, diens aankopen, locatiegegevens, interesses, sociale interacties, klik-gedrag etc.16_{Doormiddel van deze analyses kunnen patronen}

worden ontdekt en kunnen er verbanden worden aangetoond tussen zeer uiteenlopende feiten. Bijvoorbeeld: Mannen in te leeftijdscategorie 40+ die van auto’s houden, drinken het liefst Heineken bier. Nu is dit een vrij eenvoudig voorbeeld, maar de conclusies die uit de ruwe data getrokken kunnen worden, kunnen zeer specifiek zijn. Een voorbeeld hiervan is het meten van de hoeveelheid vrouwen uit een bepaalde leeftijdscategorie die het woord ‘koffie’ gebruiken in hun statusupdate op dezelfde dag dat zij een kopje koffie kochten.17_{Door het gebruik van computergestuurde analyses kunnen er verbanden aan}

het licht worden gebracht die nieuw of onverwacht zijn en die niet voortkomen uit een vooraf gestelde hypothese.18_{Er hoeft geen menselijke tussenkomst of interpretatie aan te}

pas te komen om de verbanden te ontdekken.

Op basis van de gevonden verbanden kunnen er vervolgens voorspellingen worden gedaan. Bijvoorbeeld: vrouwen in de leeftijdscategorie 20+ die van Lady Gaga houden, zullen ook van Katy Perry houden. Wederom een simpel voorbeeld, maar sommige voorspellingen die op basis van big data worden gedaan, kunnen zeer specifiek en accuraat zijn. Een veel aangehaald voorbeeld betreft het Target incident wat in een artikel

van Charles Duhigg in 2012 in de New York Times Magazine verscheen.19_{Hier werd op}

basis van het koopgedrag van een tienermeisje door de Amerikaanse winkelketen aangepaste reclame gestuurd voor toekomstige moeders. In dit geval kocht het meisje geen augurken of rolmopsen, maar minder voor de hand liggende producten zoals ongeparfumeerde make-up doekjes en magnesium supplementen. Doormiddel van een

15_{Gordon 2013, p. 13. Zie ook: Hildebrandt & Koops 2010, p. 429.} 16_{Newton Lee 2013, p. 140. Zie ook; Bechmann 2013, p. 75.} 17_{Newton Lee 2013, p. 141.}

18_{Hildebrandt 2008 p. 60.}

19_{Charles Duhigg 2012 ‘How Companies Learn Your Secrets’ geraadpleegd op 18 mei, beschikbaar op:} http://www.nytimes.com/2012/02/19/magazine/shopping-habits.html?_r=0

(10)

uniek predictive model kon worden voorspeld dat het meisje zwanger zou zijn.20_{Dat het}

jonge meisje uiteindelijk werkelijk in verwachting was, maar daar haar vader hierover nog niet had ingelicht, maakt dit geval extra precair. Een dergelijke voorspelling had niet kunnen plaatsvinden als Target niet op zeer grote schaal data had verzameld over het koopgedrag van het meisje en dat vervolgens had geanalyseerd en geïnterpreteerd. Er werd niet alleen bijgehouden welke producten ze afrekende, maar ook welke coupons er werden gebruikt, bij welke vestiging ze haar aankopen deed en op welk tijdstip, of ze gebruik maakte van bepaalde aanbiedingen enzovoorts.21_{Noodzakelijk voor het doen}

van voorspellingen is dus niet het type data dat verzameld wordt, maar hoe de omvangrijke data wordt geanalyseerd en geïnterpreteerd.22

Gezien de omvang van dit onderzoek, zal er niet verder per laag worden ingezoomd op de mogelijke privacy risico’s, maar zal het profileringsproces in twee fases worden opgedeeld: Fase 1 betreft het verzamelen van de gegevens en fase 2 het analyseren en gebruiken van de gegevens.

2.3 Het probleem van profilering door Facebook in de Nederlandse samenleving

Facebook heeft anno 2015 1,44 miljard wereldwijde maandelijkse gebruikers23_{en 8,9}

miljoen Nederlandse maandelijkse gebruikers (anno 201424_{). Daarmee is zij in Nederland}

het grootste sociale media platform25_{en is zij ook op mondiaal niveau marktleider in}

sociale mediadiensten.26_{Ook is zij wereldwijd de dienst die verreweg de meeste gegevens}

over haar gebruikers verzamelt en bestaan haar inkomsten voor 83% uit advertentie-inkomsten.27_{Het aanbieden van gepersonaliseerde advertenties, is derhalve van groot}

belang voor de winstmarge van Facebook. Zij is er bij gebaat om een zo gedetailleerd mogelijk profiel op te stellen van haar gebruikers zodat preferenties zo goed mogelijk in kaart worden gebracht. Hierdoor kunnen de advertenties zeer gericht getoond worden.

20_{Harford 2014, p. 4.} 21_{Duhigg 2012.}

22_{Hildebrandt 2008, p. 62.}

23_{RTL Nieuws, geraadpleegd op 17 mei 2015, beschikbaar op:} http://www.rtlnieuws.nl/economie/home/facebook-minder-winst-meer-gebruikers.

24_{Nationale Social Media Onderzoek van Newcom Research & Consultancy B.V. 2014, geraadpleegd op 17 mei 2015,}

beschikbaar op:

https://oost.deondernemer.nl/content/files/Files/Kennis__Trends/Newcom_Research__Consultancy_-_Nationale_Social_Media_Onderzoek_2014.pdf.

25_{Nationale Social Media Onderzoek van Newcom Research & Consultancy B.V. 2014, p. 7, geraadpleegd op 17 mei}

2015, beschikbaar op:

https://oost.deondernemer.nl/content/files/Files/Kennis__Trends/Newcom_Research__Consultancy_-_Nationale_Social_Media_Onderzoek_2014.pdf

26_{Bechmann 2013, p. 84.} 27_{Bechmann 2013, p. 72.}

(11)

Een jonge modeliefhebber krijgt dan bijvoorbeeld advertenties voor hippe webshops te zien en geen advertenties voor aanbiedingen van de C&A en Zeeman.28_{Door haar}

geavanceerde data mining technieken weet Facebook zelfs meer over haar gebruikers dan diens vrienden en familie.29_{Deze wetenschap wordt door veel van de Nederlandse}

Facebookgebruikers als problematisch ervaren; 60% van de Nederlanders maken zich zorgen over hun privacy op sociale media en bij 67% bestaat de angst dat gegevens worden doorverkocht.30_{Bovendien bestaat de mogelijkheid dat de opgestelde profielen}

worden verstrekt aan partijen die een ander oogmerk hebben dan het plaatsen van gepersonaliseerde advertenties. Een voorbeeld hiervan is de overheid, maar ook voor private partijen zoals zorgverzekeraars of potentiele werkgevers zijn de profielen en analyses van grote waarde.

Ook 54% van de Europeanen als ongemakkelijk bij profileringsactiviteiten en zou 74% graag haar expliciete toestemming geven of weigeren voor profilering.31_{Toch lijk deze}

zorg onvoldoende voor de gebruiker om zijn Facebookprofiel op te heffen. Na de aankondiging van de nieuwe algemene voorwaarden in december 2014, ontstond er weliswaar veel ophef binnen de Nederlandse samenleving, maar dit heeft niet tot een daling in de omzet, noch het aantal gebruikers van Facebook geleid.32

Een verklaring kan worden gezocht in het netwerkeffecten die de dienst veroorzaakt. Zo is immers meer dan de helft van de Nederlandse inwoners (met inbegrip van ouderen en kinderen) aangesloten op het netwerk. Door er geen gebruik van te maken, mist degene niet alleen een informatiemogelijkheid, maar ook een belangrijke

communicatiemogelijkheid. Door de opkomst van Facebook Messenger en WhatsApp,33

lijkt de klassieke telefonie en sms overbodige diensten te worden. WhatsApp telde in april 2015 800 miljoen actieve gebruikers.34_{Dit aantal wordt verwacht sterk toe te nemen}

nadat WhatsApp ook een belfunctie in haar dienst inbouwde. Bij het niet gebruiken van de dienst als WhatsApp of Facebook, kan diegene geconfronteerd worden met onbegrip

28_{van der Sloot 2012, p. 255.}

29_{New York Times 19 januari 2015, geraadpleegd op 17 mei 2015, beschikbaar op:}

http://www.nytimes.com/2015/01/20/science/facebook-knows-you-better-than-anyone-else.html?_r=0.

30_{Nationale Social Media Onderzoek van Newcom Research & Consultancy B.V. 2014, geraadpleegd op 17 mei 2015,}

beschikbaar op:

https://oost.deondernemer.nl/content/files/Files/Kennis__Trends/Newcom_Research__Consultancy_-_Nationale_Social_Media_Onderzoek_2014.pdf.

31_{Vermeulen 2013, p. 5.}

32_{RTL Nieuws, geraadpleegd op 17 mei 2015, beschikbaar op:} http://www.rtlnieuws.nl/economie/home/facebook-minder-winst-meer-gebruikers.

33_{Whats App is na een overname in februari 2014 volledig eigendom van Facebook.}

34_{Computer Idee, geraadpleegd op 24 juni 2015, beschikbaar op:} http://www.computeridee.nl/nieuws/whatsapp-heeft-nu-800-miljoen-gebruikers/.

(12)

en ergernis vanuit zijn omgeving. Het uitganspunt is dat iedereen te bereiken is via Facebook of WhatsApp. Door het grote aantal gebruikers van het netwerk, is het effect dat een niet-gebruiker er nadeel van ondervindt. Dit verhoogt de drempel voor de gebruiker om zijn privacy bezwaren de doorslag te laten geven bij de keuze om zijn profiel op te heffen.

Kortom, de vrees vanuit de samenleving voor het profileren door Facebook is een probleem dat niet op te lossen valt door de dienst niet meer te gebruiken. Maar, is de vrees voor de privacy van de Facebook gebruiker nu wel terecht vanuit een juridisch perspectief? Of bestaat er meer er meer een gevaar voor de gegevensbescherming van de Facebook gebruiker?

2.3.1 Profilering en het recht op privacy

Het recht op privacy of “het recht om met rust gelaten te worden”35_{is een relatief jong}

grondrecht wat onder zowel de Europese als de Nederlandse wetgeving geregeld is. Het recht op een privé leven is gedefinieerd in artikel 8 van het Europees Verdrag van de Rechten van de Mens (EVRM), artikel 7 van het Handvest van de Europese Unie

(Europees Handvest) en in artikel 10 van de Nederlandse Grondwet. Wat het begrip privacy nu precies dient te behelzen, is binnen de rechtstheorie en rechtsfilosofie een langdurig punt van discussie en kent felle voor- en tegenstanders.36_{Voor dit onderzoek}

wordt een drietal waarden van het recht op privacy verondersteld: Het recht op privacy dat op zichzelf staand van waarde is, de constructieve waarde van privacy in andere grondrechten als onder andere (grond)rechten als de uitingsvrijheid37_{en het verbod op}

discriminatie38_{en het recht op privacy als instrumentele functie zijn voor andere waarden}

als de vrijheid van gedachten, de menselijke autonomie, de zelfontplooiing en de democratie.39_{Het recht op privacy is een verticaal grondrecht dat burgers dient te}

beschermen tegen ongeoorloofde inmenging in het privéleven van individuen door de overheid.40_{Dit recht om zonder tussenkomst of surveillance van de overheid een eigen}

leven te leiden, is cruciaal voor de pluriformiteit en de ontwikkeling de samenleving als geheel.41

35_{Citaat: Thomas McIntyre Cooley 1824 - 1898.} 36_{Vedder 2009, p. 11.}

37_{Artikel 1 EVRM, artikel 11 Europees Handvest en artikel 7 Nederlandse Grondwet.} 38_{Artikel 14 EVRM, artikel 21 Europees Handvest en art 1 Nederlandse Grondwet.} 39_{Vedder 2009, p. 12. Zie ook: van der Sloot 2011, p. 64.}

40_{van der Sloot 2012, p. 251.} 41_{Vedder 2009, p. 12.}

(13)

De vraag rijst op welke terreinen het profileren door Facebook mogelijk in conflict komt met het recht op privacy. Zoals gezegd omvat het recht op privacy een breed recht wat primair de burger dient te beschermen tegen inmenging van de overheid in diens privéleven. Toch is het niet uitgesloten dat een private partij als Facebook doormiddel van profilering de privacy rechten van haar gebruikers schendt. Omdat deze scriptie zich richt tot het onderzoeken van dataprotectie van Facebookgebruikers onder de Algemene Verordening Gegevensbescherming, zal profileren in samenhang met het recht op privacy onder 8 EVRM en artikel 7 van het Europees Handvest, slechts kort worden besproken. Het zwaartepunt van dit hoofdstuk zal liggen op het profileren door Facebook onder het recht op gegevensbescherming, wat in artikel 8 van het Europees Handvest is neergelegd. Desalniettemin kan een analyse van profileren en het recht op privacy niet achterwegen blijven derhalve Nederland op grond van artikel 8 EVRM een positieve verplichting heeft om de privacy van haar burgers te beschermen.

Het eerste privacy probleem wat kan worden geformuleerd is dat door het tracken,

verzamelen en minen van Facebook, de gebruiker zich ‘bekeken’ voelt. Of anders gezegd:

onder surveillance staat. Wanner de gebruiker weet dat zijn surfgedrag wordt geanalyseerd en dat de analyse hem mogelijk affecteert (door gepersonaliseerde advertenties, prijsdiscriminatie of dat de informatie wordt verstrekt aan derden zoals zorgverzekeraars of werkgevers) maakt dat hij wellicht zijn online gedrag zal aanpassen.42

Hierdoor wordt hij beperkt in zijn autonomie komt mogelijk ook zijn ontwikkeling in gevaar.43_{Door de wetenschap dat hij in de gaten gehouden wordt, kan de gebruiker ook}

bepaald gedrag of bepaalde uitlatingen achterwege laten. Dit laatste vormt ook een chilling effect op het gedrag van de gebruiker.44

Vervolgens ligt het gevaar van discriminatie op de loer.45_{Het categoriseren van personen}

en deze indelen in targets and waste is per definitie een vorm van onderscheid maken.46_Het

maken van dit onderscheid, hoeft dit niet per definitie als negatief te worden bestempeld.47_{Wanneer discriminatie onwettig moet worden geacht, hangt af van de}

omstandigheden van het geval.48_{. Prijsdiscriminatie kan bijvoorbeeld ook positief}

42_{Mitrou, Lilian, e.a. 2014.} 43_{van der Sloot 2011, p. 66.} 44_{van der Sloot 2011, p. 69.}

45_{van der Sloot 2011, p. 67. Zie ook: Hildebrandt 2015.} 46_{Schermer 2011, p. 47.}

47_{Hildebrandt & Koops 2010, p. 436, zie ook: Schermer 2011, p. 47.} 48_{Hildebrandt & Koops 2010, p. 436-437.}

(14)

uitpakken voor het individu. Toch blijkt uit de literatuur het gevaar van discriminatie en stigmatisatie een ongewenst effect van profilering.49

Door de instrumentele waarde van het recht op privacy is het niet eenvoudig om onweerlegbare argumenten te formuleren voor de stelling dat profilering hierop een inbreuk vormt. Zoals van der Sloot terecht stelt,50_{kunnen verschillende, wellicht}

niet-zuivere privacy argumenten gemakkelijk worden weerlegd. De angst om in de gaten gehouden te worden, is echter niet makkelijk bij de gebruiker weg te nemen. Het is voor de gebruiker immers onduidelijk welke gegevens worden opgeslagen en hoe deze gegevens worden gebruikt. De mogelijkheid dat de privacy van gebruikers kan worden

geschonden, is genoeg om de angst dat er daadwerkelijk een inbreuk plaats vindt te laten ontstaan. Het is om die reden dat dit onderzoek richt tot het dataprotectierecht en niet privacy als zodanig.

2.3.2 Profilering en het recht op gegevensbescherming

Het recht op gegevensbescherming is verwant aan het recht op privacy, maar zal daar evenwel van moeten worden onderscheiden. Het recht op gegevensbescherming wordt uitdrukkelijk genoemd als op zichzelf staand grondrecht in artikel 8 van het Europees Handvest. Waar het recht op privacy zich als instrumenteel en verticaal laat typeren, treft het recht op gegevensbescherming juist een horizontale werking dat een zorgvuldige verwerking van persoonsgegevens moet waarborgen.51_{Het recht op}

gegevensbescherming is tevens onderworpen aan de Richtlijn Bescherming Persoonsgegevens52_{(Richtlijn). Wanneer er sprake is van een verwerking van}

‘persoonsgegevens’ is de Richtlijn erop van toepassing.53_{Daarnaast heeft het begrip}

dataprotectie een wezenlijk andere reikwijdte dan het begrip privacy of privé leven. Zo zijn NAW-gegevens persoonsgegevens, maar hoeven die niet tot een privacy inbreuk te leiden als zij bijvoorbeeld in een telefoonboek staan. Op elke verwerking van

persoonsgegevens zijn de Richtlijn en de Wet bescherming Persoonsgegevens (Wbp) van toepassing. In deze paragraaf zal worden besproken welke dataprotectieprincipes

mogelijk in conflict komen met het profileringsproces.

49_{Hildebrandt & Koops 2010 zie ook: Fuster, Gurtwich & Ellyne 2010, Schermer 2011, van der Sloot 2012, van der}

Sloot 2011, Borgesius 2015.

50_{van der Sloot 2011, p. 69.} 51_{van der Sloot 2012, p. 250-251.}

52_{Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van}

natuurlijke personen.

in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Richtlijn Bescherming Persoonsgegevens).

(15)

Zoals gesteld dient het Dataprotectierecht zorgvuldige gegevensbescherming te garanderen54_{. De door de Amerikaanse overheid geformuleerde Fair Information}

Practice Principles (FIPPs) vormen, net als in veel andere landen, de basis voor het Europese dataprotectieregime.55_{De principes, geformuleerd in de jaren ‘70 vormen ook}

in de Richtlijn Bescherming Persoonsgegevens de voorwaarden waaronder

persoonsgegevens rechtmatig mogen worden verwerkt. De principes kunnen als volgt worden omschreven: Het transparantie principe, data kwaliteit principe,

dataminimalisatie principe, doelbindingsprincipe en het principe van de gerechtvaardigde grondslag voor verwerking.56_{Deze principes dienen er toe om de controle en de}

autonomie van het datasubject te bewaken57_{binnen de horizontale relatie tussen}

datasubject en controller.58

Er zal nu kort worden besproken op welke wijze de FIPPs in het geding komen bij het profileren door Facebook. Er zal met name aandacht worden besteed aan de

transparantieprincipe, het doelbindingsprincipe en de geldige verwerkingsgrondslag.

Transparantieprincipe

Het eerste principe waar Facebook niet aan voldoet, is het transparantieprincipe. Het uitgangspunt van dit principe is dat het voor het datasubject duidelijk moet zijn welke gegevens over hem worden verzameld en op welke wijze dit gebeurt.59_{Zelfs een}

vluchtige lezing van de Data Policy60_{van Facebook, wijst uit dat dit principe momenteel}

niet wordt nageleefd. Hoewel er getracht is het document overzichtelijk te maken door het gebruik van vrolijke kleurtjes en icoontjes, dient de gebruiker verschillende malen door te klikken in een jungle van documenten om een volledig beeld te krijgen van de gegevensverzameling en verwerking door Facebook. Zo wordt de gebruiker

doorverwezen naar een apart document wanneer zij wil weten met welke partners haar gegevens gedeeld worden61_{, wanneer zij wil weten op basis van welke gegevens haar}

advertenties worden aangepast62_{en verwijzen veel van de doorverwezen pagina’s weer}

naar een andere pagina, of wordt de gebruiker weer terug geleid naar de Data Policy of het vorige document.

54_{van der Sloot 2011, p. 68.}

55_{Zuiderveen Borgesius 2013, p. 83. Zie ook: van der Sloot 2012 p. 257-258.} 56_{Zuiderveen Borgesius 2013, p. 83.}

57_{Hildebrandt 2011, p. 14.} 58_{van der Sloot 2012, p. 258.} 59_{Zuiderveen Borgesius 2013, p. 83.}

60_{Data Policy Facebook, geraadpleegd op 20 juni 2015, beschikbaar op:}_{https://www.facebook.com/policy.php}_. 61_{Lijst met partners van Facebook, geraadpleegd op 20 juni 2015, beschikbaar op:}

https://www.facebook.com/help/111814505650678.

(16)

Data kwaliteit en dataminimalisatie

Tevens komt het principe van data kwaliteit bij het profileren in het geding. Dit principe houdt in dat de gegevens die de verantwoordelijke over de betrokkene in handen heeft, juist en volledig moeten zijn. Zo mag het bijvoorbeeld niet zo zijn dat de

verantwoordelijke noteert dat de betrokkene een bedrag heeft geleend, maar de informatie dat de lening inmiddels is afbetaald, ontbreekt. Mede door de informatie asymmetrie tussen de gebruiker en het medium over de wijze waarop het profileren plaatsvindt, is de gebruiker niet in staat om de juistheid en de volledigheid van haar gegevens te controleren. Ook is het niet vanzelfsprekend dat de gevonden correlaties en conclusies een juist en volledig beeld van de gebruiker schetsen. Dit staat op gespannen voet met de eis van de zorgvuldigheid voor de kwaliteit van de gegevens.

Een volgend gegevensbeschermingsprincipe dat in de knel komt bij profilering is de norm van dataminimalisatie. Het principe dat partijen geen bovenmatige hoeveelheden gegevens mogen verzamelen en verwerken, staat haaks op wat er tijdens het

profileringsproces gebeurd. Hierbij wordt immers zo veel mogelijk data over de

gebruiker verzamelt. De vraag rijst in hoeverre deze grootschalige gegevensverzameling als proportioneel en toereikend kan worden gekwalificeerd. Ook is het onduidelijk hoe lang de verzamelde gegevens worden bewaard, al rijst het vermoeden dat dit van langere duur is dan noodzakelijk moet worden geacht.63

Doelbindingsprincipe

Facebook is zoals gezegd uniek in haar hoeveelheid gegevens die zij over haar gebruikers verzamelt. Het doelbindingsprincipe vereist echter dat gegevens slechts voor, specifieke, welbepaalde en gerechtvaardigde doeleinden mogen worden verzameld.64_{Tevens mogen}

de gegevens niet verder worden verwerkt voor doeleinden die onverenigbaar zijn met het oorspronkelijke doel.65_{Het doelbindingsprincipe is complex en hangt nauw samen met}

de overige dataprotectie principes. Wat profilering betreft, is het volgens de Artikel 29 Werkgroep66_{(Werkgroep) van belang dat alle omstandigheden van het geval worden}

meegewogen bij de beoordeling of een verwerking in overeenstemming met het doelbindingsprincipe kan worden geacht67_{. Voor zover het omschrijven van de}

verzamelingsdoeleinden kunnen deze niet als expliciet en welbepaald worden opgevat

63_{van der Sloot 2011, p. 69.} 64_{WP 203, p 4.}

65_{WP 203, p. 4.}

66_{De Artikel 29 Werkgroep is een samenwerkingsverband tussen alle Europese Dataprotectie toezichthouders en}

opinies en adviezen schrijft over de uitleg van het Europese Dataprotectierecht.

(17)

wanneer de algemene voorwaarden en de datapolicy worden gelezen68_{. In geen van}

beiden documenten kan worden gelezen dat gegevens worden verzameld ten behoeve van profileringsdoeleinden. Wel geeft Facebook in haar Algemene Voorwaarden het volgende aan: “Our goal is to deliver advertising and other commercial or sponsored content that is valuable to our users and advertisers.”69_{Er staat echter niet met zoveel woorden dat gegevens}

worden verzameld voor die specifieke doeleinden. De vraag is of dit specifiek genoeg kan worden geacht in het licht van het doelbindingsprincipe. Wat betreft de verdere

verwerking van gegevens voor profileringsdoeleinden, is het volgends de Werkgroep noodzakelijk dat de Facebookgebruiker daarvoor zijn ondubbelzinnige toestemming geeft70_{. Daar is momenteel geen sprake van. Door de dienst na 2015 te gebruiken, gaat de}

gebruiker automatisch akkoord met de door Facebook gehanteerde voorwaarden. Over de ‘take it, or leave it’ aanpak die Facebook hanteerde, ontstond veel ophef binnen de

Nederlandse samenleving.

Verwerkingsgrondslag

Als laatste kunnen er sterke vraagtekens worden geplaatst bij de verwerkingsgrond waarop Facebook gegevens verzamelt. Voor een rechtmatige gegevensverwerking dient er een geldige verwekingsgrondslag aanwezig te zijn. De Richtlijn geeft in artikel 7 een limitatieve lijst met gronden waarop de verantwoordelijke zich kan beroepen. Voor Facebook geven de toestemming71_{en de verwerking voor een gerechtvaardigd belang}

van de verantwoordelijke72_{de enige twee relevantie grondslagen. De laatstgenoemde}

grondslag is in te roepen indien na een belangenafweging blijkt dat de verwerking noodzakelijk is voor het te behartigen belang en de rechten of belangen van de

betrokkene niet onevenredig worden geschaad.73_{Ook deze toets is complex en moet in}

het licht van alle omstandigheden van het geval worden voltrokken. Hoe meer impact de verwerking voor de betrokkene heeft, hoe moeilijker het voor de verantwoordelijke wordt om zich succesvol op deze verwerkingsgrondslag te beroepen.74_{Aangezien er bij}

profilering een groot aantal gegevens door Facebook wordt verwerkt en de gevolgen voor de gebruiker aanzienlijk kunnen zijn, valt het niet te verwachten dat Facebook op basis van een gerechtvaardigd belang mag profileren.

68_{Algemene voorwaarden Facebook, geraadpleegd op 15 juni, beschikbaar op:} https://www.facebook.com/legal/terms waarin wordt verwezen naar de Data Policy.

69_{Artikel 9 van de Algemene voorwaarden Facebook, geraadpleegd op 15 juni, beschikbaar op:} https://www.facebook.com/legal/terms waarin wordt verwezen naar de Data Policy.

70_{WP 203, p. 46.}

71_{Artikel 7 sub a van de Richlijn Bescherming Persoonsgegevens.} 72_{Artikel 7 sub f van de Richlijn Bescherming Persoonsgegevens.} 73_{Zuiderveen Borgesius 2013, p. 5.}

(18)

Dan bestaat er zoals gezegd op basis van artikel 7 sub a van de Richtlijn de mogelijkheid om gegevens te verwerken na de toestemming van de betrokkene. De discussie rondom de waarde van de gegeven toestemming voor het verwerken van gegevens voor

behavioural targeting doeleinden is uitgebreid onderzocht door Zuiderveen Borgesius.75_De

conclusies van zijn onderzoek laten zien dat de verwerkingsgrond voor zulks

verwerkingen doorgaans slechts kan berusten op de toestemming van de betrokkene, maar dat de toestemming in de praktijk nauwelijks de eisen van een ‘op informatie berustende en in vrijheid gegeven wilsuiting’ bevat. Dit fenomeen is ook bij het

profileren door Facebook het geval. Ten eerste weet de gebruiker nauwelijks waarvoor hij of zij zijn toestemming verleend en ten tweede blijken de negatieve effecten te groot voor de gebruiker om zijn of haar profiel daadwerkelijk te verwijderen.76

Daarmee kan worden aangenomen dat Facebook zich slechts met grote moeite op één van de verwerkingsgronden uit artikel 7 van de Richtlijn zal kunnen beroepen.

2.4 Conclusie

Facebook is een dienst die op grootschalig niveau gegevens verzamelt over haar

gebruikers. Zo wordt niet alleen de informatie over de gebruiker en het online gedrag op de website zelf bijgehouden, maar Facebook brengt met behulp van third party cookies ook

het gedrag buiten het medium in kaart. Bovendien worden ook de gegevens uit diensten waar Facebook eigenaar van is, zoals WhatsApp en Instagram, verwerkt in het profiel van de gebruiker. Doormiddel van de zeer geavanceerde technieken die Facebook tot haar beschikking heeft, kan ze op zeer gedetailleerd niveau het gedag en voorkeuren van de gebruiker te analyseren, te categoriseren en te voorspellen. Dit leidt tot zorgen onder de Nederlandse Facebookgebruikers over haar privacy. De drempel om het profiel bij Facebook op te zeggen, blijkt voor de gebruiker erg hoog te liggen door de dominante positie die Facebook inmiddels binnen de samenleving inneemt op het gebied van communicatie en informatie.

Door het volgen en profileren voelt de gebruiker zich bekeken, en ligt het risico van discriminatie op de loer. Deze privacy-rechtelijke risico’s liggen parallel aan de gegevensbeschermingsprincipes die in het geding komen door de activiteiten van het sociaal netwerk. Hoewel Facebook zijn gebruikers wil doen geloven dat er op heldere en transparante wijze informatie wordt verstrekt ten behoeve van haar gegevensactiviteiten, wijst de praktijk het tegenovergestelde uit. Ook is het niet duidelijk in hoeverre de bij

75_{Zie bijvoorbeeld zijn proefschrift: ‘Improving Privacy Protection in the area of Behavioral Targeting’ uit 2014,}

inmiddels uitgegeven als boek.

(19)

Facebook berustende informatie over de gebruiker juist en volledig is. Daarnaast worden dusdanig veel gegevens verzameld dat er onmogelijk aan het principe van

dataminimalisatie kan worden voldaan. Als laatste kan worden opgemerkt dat ook de wijze waarop de grondslag voor de verwerking is verkregen, niet deugdelijk is aangezien een beroep op een gerechtvaardigd belang niet zal slagen en de verkregen toestemming zich niet baseert op een op informatie beruste vrije wilsuiting.

H 3 Profilering onder de Richtlijn Bescherming

Persoonsgegevens

Uit het vorige hoofdstuk kan worden geconcludeerd dat het profileringsproces op gespannen voet staat met verschillende dataprotectieprincipes. De vraag is echter of het profileringsproces als zodanig binnen de reikwijdte van de Richtlijn valt. Deze vraag zal in dit hoofdstuk aan de hand van een juridische analyse, de Europese jurisprudentie en de opinies van de Artikel 29 Werkgroep worden beantwoord. Het onderscheid tussen de twee fases in het profileringsproces zal hierbij in het achterhoofd worden gehouden. Ten slotte zal er een uitspraak worden gedaan over de mate van bescherming die de gebruiker geniet tegen de risico’s als omschreven in Hoofdstuk 2 onder de Richtlijn.

De Richtlijn Bescherming Persoonsgegevens uit 1995 strekt ertoe de rechten en vrijheden van natuurlijke personen, en dan met name het recht op persoonlijke levenssfeer te beschermen.77_{De Nederlandse implementatie is te vinden in de Wet}

Bescherming Persoonsgegevens uit 2001(Wbp). De Richtlijn zou voor een gelijk niveau van gegevensbescherming in alle EU lidstaten moeten garanderen.78_{Zij laat lidstaten}

echter vrij om strengere regels te stellen rondom de bescherming van persoonsgegevens en heeft derhalve het karakter van minimumharmonisatie.79_{De Richtlijn is echter niet}

van toepassing op alle gegevens, zij biedt slechts bescherming indien het om

persoonsgegevens gaan. Wil de Nederlandse Facebookgebruiker bescherming genieten onder de Richtlijn Bescherming Persoonsgegevens, dan moet eerst worden vastgesteld dat de verzamelde en verwerkte gegevens bij het profileringsproces persoonsgegevens betreffen. Het is dus van belang om allereerst de reikwijdte van de Richtlijn vast te stellen

77_{Overweging 9 van de Richtlijn Bescherming Persoonsgegevens.} 78_{Overweging 7 en 8 van de Richtlijn Bescherming Persoonsgegevens.} 79_{Overweging 9 en 10 van de Richtlijn Bescherming Persoonsgegevens.}

(20)

om alvorens te bezien of deze van toepassing is op de gegevensverwerking door Facebook.

3.2 De reikwijdte van de Richtlijn Bescherming Persoonsgegevens 3.2.1 Het begrip ‘persoonsgegeven’ onder de Richtlijn

Om de reikwijdte van de Richtlijn Bescherming Persoonsgegevens vast te stellen, moeten er zoals gezegd persoonsgegevens verwerkt worden. Artikel 2(a) definieert het begrip persoonsgegeven als volgt:

"persoonsgegevens, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit”. 80

Om te bepalen of er sprake is van een geïdentificeerde of identificeerbare persoon moet er worden gekeken naar “alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren…”.81_{Daarmee wordt echter geen eenduidig antwoord}

gegeven op de vraag hoe het criterium van ‘geïdentificeerd of identificeerbaar’ moet worden ingevuld. Er dient te worden beoordeeld of de middelen die de

verantwoordelijke redelijkerwijs in kan zetten, er toe leiden dat de persoon

geïdentificeerd wordt. Facebook heeft zoals gezegd, zeer geavanceerde data mining technieken ter beschikking om een zo nauwkeurig mogelijk profiel van de gebruiker op te stellen. Door het gebruik van deze technieken en het categoriseren van personen zou het mogelijk kunnen zijn dat Facebook er achter zou kunnen komen welk profiel bij welke gebruiker hoort.

Overweging 26 van de Richtlijn geeft echter ook dat: “de beschermingsbeginselen niet van toepassing zijn op gegevens die op zodanige wijze anoniem zijn gemaakt dat de persoon waarop ze betrekking hebben niet meer identificeerbaar is; dat de gedragscodes in de zin van artikel 27 een nuttig instrument kunnen zijn om een indicatie te geven omtrent de middelen waarmee de gegevens anoniem kunnen worden gemaakt en kunnen worden bewaard in een vorm die identificatie van de betrokkene niet

80_{Art. 2 sub a van de Richtlijn Bescherming Persoonsgegevens.} 81_{Overweging 26 van de Richtlijn Bescherming Persoonsgegevens.}

(21)

langer mogelijk maakt”.82_{Hieruit valt op te maken dat indien persoonsgegevens zijn}

geanonimiseerd of op dusdanige wijze worden verwerkt dat ze niet langer tot de

identificatie van een individu leiden, deze gegevens buiten de reikwijdte van de Richtlijn komen te vallen.83_{Facebook aggregeert de gegevens die zij over haar gebruikers}

verzamelt. Het is voor haar niet noodzakelijk om een naam aan het profiel te hangen. Het is onduidelijk of deze geaggregeerde vorm de identificatie van een individu uitsluit. De Richtlijn geeft de gebruiker derhalve geen zekerheid dat de verzamelde gegevens en haar opgestelde profiel binnen de werkingssfeer van de Richtlijn vallen.

3.2.2 Het begrip persoonsgegeven in Europese jurisprudentie

Nu de tekst van de Richtlijn weinig houvast biedt voor de bescherming van de Nederlandse Facebookgebruiker, kan er wellicht aanknoping worden gezocht bij de relevante jurisprudentie. In het Linqvist arrest wordt de Lidstaten de mogelijkheid

gegeven om te reikwijdte van de Richtlijn in nationale implementatie uit te breiden voor gevallen waar de Richtlijn geen terrein treft, mits het Gemeenschapsrecht hieraan niet in de weg staat.84_{De Nederlandse wetgever heeft echter gekozen voor een vrij letterlijke}

implementatie van de Richtlijn en spreekt van een persoonsgegeven als: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”.85_{Verder geeft}

de Wbp geen specifiekere invulling van het begrip ‘identificeerbaarheid’ dan de Richtlijn. Ook binnen de rest van Europa lijkt er geen consensus bereikt over of verschillende meta-data als browserinstellingen en IP-adressen een persoon identificeerbaar maken.86

Het Duitste Bundesgerichtshof heeft de vraag of een IP-adres onder de noemer persoonsgegeven te scharen valt, momenteel bij het Hof van Justitie van de Europese Unie (HvJEU) neergelegd.87_{Het Bundesgerichtshof is in deze zaak van mening dat een}

IP-adres in combinatie met een tijdstip van gebruik en in gevallen waarin de gebruiker zijn

echte naam meedeelt, als persoonsgegeven moet worden bestempeld. Hiertegen wordt het verweer gevoerd dat het begrip ‘identificeerbaarheid’ moet worden opgevat als een relatief criterium. Het zou voor verweerster een onevenredige investering van tijd, kosten en inspanningen opleveren om de gebruiker te identificeren en daarom zou een IP-adres geen persoonsgegeven betreffen.88_{Deze zaak geeft het spanningsveld rondom de}

82_{Overweging 26 van de Richtlijn Bescherming Persoonsgegevens.} 83_{van der Sloot 2014, p. 2.}

84_{HvJEU 6 november 2003, nr. C-101/01, (}_{Bodil Lindqvist), overweging 98.} 85_{Artikel 1 sub a Wbp.}

86_{Vermeulen 2013, p. 5, zie ook WP 136 2007, p. 3.} 87_{Bundesgerichtshof 27 januari 2015, nr. C-582/14: (}_Breyer).

(22)

reikwijdte van de Richtlijn goed weer. Het is wachten op de uitspraak van het Hof, maar al wordt de vraag of:

“Artikel 2a van de Richtlijn aldus dient te worden uitgelegd dat een IP-adres dat een aanbieder van diensten in verband met de toegang tot zijn internetsite opslaat, voor deze aanbieder reeds dan een persoonsgegeven vormt, wanneer een derde (in casu: de aanbieder van de toegang) beschikt over de bijkomende kennis die nodig is om de betrokken persoon te identificeren?”89_bevestigend

beantwoord, biedt dit slechts een kleine houvast voor de Nederlandse

Facebookgebruiker aangezien Facebook veel meer gegevens verzamelt waarvan de identificeerbaarheid nog minder voor de hand ligt. Daarnaast zijn de context en concrete omstandigheden van het geval bepalend bij een relatieve benadering van het begrip persoonsgegeven.90

Een volgende prejudiciële vraag over de reikwijdte van het begrip persoonsgegeven, is afkomstig van de Rechtbank Middelburg. In deze zaak91_{stond de vraag of de minuten}

(een soort dossier dat ten grondslag ligt aan een asielaanvraag) en de daarin opgenomen juridische analyse over de desbetreffende asielaanvraag van de persoon in kwestie, onder de reikwijdte van het begrip persoonsgegeven kan vallen.92_{Een minuut bevat zowel de}

gegevens dan de aanvrager, zijn historie en bijbehorende overlegde stukken als een voorlopig besluit dat op basis van een analyse van het recht door de beslismedewerker van het IND wordt gemaakt.93_{Op 17 juli 2014 oordeelde het Hof dat het tweede}

gedeelte van de minuut, de juridische analyse op zich zelf niet als een persoonsgegeven kan worden gekwalificeerd.94_{Advocaat-Generaal E. Sharpston geeft bij deze zaak in zijn}

conclusie een opvallende argumentatie:

“Ik ben er niet van overtuigd dat de zinsnede „iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon” in richtlijn 95/46 zo breed dient te worden opgevat, dat dit iedere overdraagbare inhoud omvat waarin feitelijke elementen inzake een betrokkene zijn besloten. Naar mijn mening kan enkel informatie die verband houdt met feiten betreffende een persoon, een persoonsgegeven zijn. Afgezien van het bestaan ervan, is een juridische analyse niet een zodanig feit. Zo is bijvoorbeeld het adres van een persoon een persoonsgegeven, maar een analyse van diens woonplaats voor juridische doeleinden niet. In dat verband acht ik het niet nuttig om onderscheid te maken tussen „objectieve” feiten

89_{Bundesgerichtshof 27 januari 2015, nr. C-582/14: (}_{Breyer) overweging 2.} 90_{Cuijpers & Marcelis 2012, p. 5. Zie ook: WP opinie 136, p. 27.}

91_{HvJEU 17 juli 2014, y.S. en M. en S. tegen Minister voor Immigratie, Integratie en Asiel, nr. C-141/12 en C-372/12.} 92_{Brouwer & Zuiderveen Borgesius 2014, p. 299.}

93_{Brouwer & Zuiderveen Borgesius 2014, p. 299.}

94_{HvJEU 17 juli 2014, y.S. en M. en S. tegen Minister voor Immigratie, Integratie en Asiel, nr. C-141/12 en C-372/12,}

(23)

en „subjectieve” analyse. Feiten kunnen in verschillende vormen worden weergegeven, waarvan sommige het resultaat zijn van een beoordeling van identificeerbare informatie. Zo kan het gewicht van een persoon op objectieve wijze worden uitgedrukt in kilo’s of in een subjectieve term als „ondergewicht” of

„overgewicht”. Ik kan derhalve niet uitsluiten dat beoordelingen en adviezen soms als gegevens kunnen worden aangemerkt. De redenering die leidt tot de conclusie dat een persoon „ondergewicht” of

„overgewicht” heeft, is echter net zo min een feit als een juridische analyse dat is.”.95

Het Hof gebruikt bij de beoordeling van de minuut als een persoonsgegeven in punt 40 de conclusie van AG ter ondersteuning van haar overwegingen. Daarmee lijkt het Hof de argumentatie van de AG te volgen. Brouwer & Zuiderveen Borgesius96_{stellen terecht dat}

het Hof in deze zaak een engere formulering van het begrip persoonsgegevens hanteert, dan dat de Artikel 29 Werkgroep97_{hanteert in haar opinies.}98_{Deze benadering van het}

begrip persoonsgegeven doet de positie Facebookgebruiker bovendien geen goed. Wanneer de analyse van gegevens en de wijze waarop de profielen worden samengesteld, conform deze uitspraak buiten de reikwijdte van het begrip persoonsgegevens vallen99_,

lijkt bescherming tegen profilering via de Richtlijn vrijwel uitgesloten.

3.2.3 De artikel 29 Werkgroep over personal data

Zoals hierboven kort aangestipt, is de Artikel 29 Werkgroep (Werkgroep) een adviesorgaan waarin alle Europese Dataprotectie toezichthouders zijn

vertegenwoordigd.100_{Haar opinies dienen bij te dragen aan een uniforme toepassing van}

het Dataprotectierecht en doet dit middels haar opinies. Deze zijn niet juridisch bindend, maar hebben evenwel een gezaghebbend karakter en spreekt zij zich uit over huidig en toekomstig beleid.101_{Daarmee is echter niet gegeven dat nationale rechters noch het Hof}

van Justitie gehouden zijn aan de lijnen die door de Werkgroep zijn uitgezet.

Nu volgt een samenvatting van Opinie 4/2007 ‘On the concept of personal data’ WP 136. Deze opinie spitst zich toe op de vraag hoe het begrip ‘persoonsgegeven’ moet worden ingevuld. Hierbij dient te worden opgemerkt dat deze samenvatting zich, gelet op de tijd en omvang van dit onderzoek, slechts zal beperken tot de kern en de relevantie

95_{Opinie bij zaak HvJEU 17 juli 2014, y.S. en M. en S. tegen Minister voor Immigratie, Integratie en Asiel, nr.}

C-141/12 en C-372/12, overwegingen 55 t/m 58.

96_{Brouwer & Zuiderveen Borgesius 2014, p. 300-301.}

97_{De Artikel 29 Werkgroep is een samenwerkingsverband tussen de nationale Euopese Dataprotectie-toezichthouders}

die gezaghebbende, doch niet juridisch bindende opinies schrijft die nadere invulling moeten geven aan het de toepassing van het Dataprotectierecht.

98_{Brouwer & Zuiderveen Borgesius 2014, p. 300-301.} 99_{Brouwer & Zuiderveen Borgesius 2014, p. 301.}

100_{College bescherming persoonsgegevens,} https://cbpweb.nl/nl/over-het-cbp/internationale-samenwerking/artikel-29-werkgroep geraadpleegd op 20 juni 2015.

(24)

conclusies die uit de opinie kan worden getrokken.

In de opinie uit 2007 on the concept of personal data102_{wordt door de Werkgroep de basis}

gelegd voor de definitie van het begrip persoonsgegeven dat tot op heden door de Werkgroep lijkt te worden aangehouden103_{en waarnaar in andere opinies veelvuldig}

wordt verwezen.104_{Een persoonsgegeven omvat zoals gezegd ‘iedere informatie}

betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Deze definitie valt in verschillende elementen uiteen. De elementen ‘iedere informatie’, ‘betreffende’, ‘geïdentificeerde of identificeerbare’ en ‘natuurlijke persoon’ worden in de Opinie per element worden toegelicht.105_{In het kader van het profileringsproces zouden twee}

elementen een onzekerheid kunnen vormen voor de kwalificatie van persoonsgegevens; namelijk het ‘betreffende’ –en het ‘identificeerbarheidscriterium’.

Betreffende

Voor het ‘betreffende’ criterium kan in verband met profilering door Facebook worden opgemerkt dat daarvoor de inhoud, het doel of het resultaat van de gegevens bepalend is.106_{Bijvoorbeeld wanneer de gegevensverzameling ten doel heeft}_{“een persoon te beoordelen,}

op een bepaalde wijze te behandelen of de status of het gedrag van die persoon te beïnvloeden” wordt er

aan het ‘betreffende’ criterium voldaan.107_{Het doel van profileren komt bij uitstek}

overeen met dit gegeven voorbeeld. Er kunnen verscheidene doelen kleven aan het gebruik van het opgestelde profiel, maar wanneer de gegevens worden gebruikt om advertenties aan te passen of om de kredietwaardigheid te beoordelen, wordt aan dit criterium voldaan.

Ook wanneer het doel afwijkt van het hierboven omschreven doel, kan ook het resultaat van de verwerking de doorslag geven “indien het gebruik ervan, rekening houdende met alle omstandigheden van het geval, naar verwachting gevolgen zal hebben voor iemands rechten of belangen.” 108_{Het is tevens niet vereist dat de gevolgen voor de betrokkene groot of}

ingrijpend zijn.

“Het is voldoende als de persoon als gevolg van de verwerking van de betrokken gegevens anders wordt behandeld dan anderen.” 109_{Dus ook wanneer de profielen slechts zouden worden gebruikt}

102_{Opinie 4/2007 ‘on the concept of personal data’ WP 136.} 103_{Cuijpers & Marcelis 2012, p. 4, p. 6.}

104_{Bijvoorbeeld: WP 148, WP 171 en WP 185.} 105_{WP 136, p. 6.}

106_{WP 136, p. 6. Zie ook: Brouwer & Borgesius 2014, p. 301.} 107_{WP 136, p. 11.}

108_{WP 136, p. 11.} 109_{WP 136, p. 11.}

(25)

door Facebook om de dienst te filteren zodat de gebruiker bijvoorbeeld geen gesuggereerde filmpjes over puppy’s te zien krijgt, betreft dit de gebruiker.

Identificeerbaar

Wanneer kan worden geconcludeerd dat er sprake is van gegevens, betreffende een persoon moet er tevens worden vast gesteld dat het gaat om een geïdentificeerd of identificeerbaar persoon.110_{De vraag of een persoon kan worden geïdentificeerd, hangt}

af van de omstandigheden van het geval.111_{Aangezien Facebook tijdens het}

profileringsproces een enorm aantal gegevens verzamelt en combineert, bestaat de kans dat personen binnen een groep of categorie kunnen worden onderscheiden.112_{Ook is het}

voor identificeerbaarheid niet noodzakelijk dat er een naam verbonden is aan de gegevens. Een uniek identificatienummer is tevens voldoende om iemand te kunnen onderscheiden.113_{Indien dit identificatienummer ontbreekt, zou het voor een welwillende}

mogelijk zijn om doormiddel van singling out een persoon te kunnen identificeren indien

het profiel veel unieke informatie bevat. De mogelijkheid tot singling out is eveneens

voldoende om aan de eis van identificeerbaarheid te kunnen voldoen.114_{De context en}

de specifieke omstandigheden van het geval zijn derhalve bepalend of een persoon wel of niet identificeerbaar kan worden geacht.115_{Er moet zoals overweging 26 van de Richtlijn}

stelt, gekeken worden naar alle middelen die redelijkerwijs kunnen worden ingezet door de verantwoordelijke, of door enig ander persoon.116

Deze omschrijving van identificeerbaarheid brengt met zich mee dat elk gegeven, dat door Facebook verzameld wordt, een persoonsgegeven betreft.117_{De combinatie met}

andere gegevens die Facebook in handen heeft en de geavanceerde data mining- en andere identificatietechnieken die Facebook redelijkerwijs ter identificatie kan inzetten, maken dat de gegevens altijd herleidbaar zijn tot een persoon.

3.2.4 Anonimisering en pseudonimisering

Overweging 26 lijkt voor de reikwijdte van het begrip persoonsgegeven behalve een ondergrens, ook een bovengrens te geven. Zo blijkt uit het tweede gedeelte van de overweging dat de Richtlijn niet van toepassing op “gegevens die op zodanige wijze anoniem zijn

110_{Berkvens & Prins 2014.} 111_{WP 136, p. 13.}

112_{WP 136, p. 14. Zie ook: Cuijpers & Marcelis 2012, p. 5.} 113_{WP 136, p. 14 t/m 18.}

114_{WP 136, p. 14 t/m 18.} 115_{WP 136, p. 27.} 116_{WP 136, p. 18, p. 27.}

(26)

gemaakt dat de persoon waarop ze betrekking hebben niet meer identificeerbaar is”. 118_{Over de vraag}

onder welke omstandigheden er sprake is van anonimisering of pseudonimisering, heeft de Werkroep zich tevens uitgesproken. In haar data policy geeft Facebook aan ‘geen identificerende’ data te delen met haar partners. Zo stelt zij:

“We do not share information that personally identifies you (personally identifiable information is information like name or email address that can by itself be used to contact you or identifies who you are) with advertising, measurement or analytics partners unless you give us permission. We may provide these partners with information about the reach and effectiveness of their advertising without providing information that personally identifies you, or if we have aggregated the information so that it does not personally identify you. For example, we may tell an advertiser how its ads performed, or how many people viewed their ads or installed an app after seeing an ad, or provide non-personally identifying demographic information (such as 25 year old female, in Madrid, who likes software engineering) to these partners to help them understand their audience or customers.” 119

Als Facebook het daadwerkelijk onmogelijk zou maken om de profielen of de gegevens in de profielen te herleiden naar een persoon, zou de Richtlijn op deze profielen niet van toepassing zijn.120_{Of de wijze waarop Facebook de profielen aggregeert, voldoende}

effectief is om aan de Richtlijn te kunnen ontsnappen, is wederom afhankelijk van de specifieke omstandigheden waaronder Facebook de gegevens verwerkt.121_Nader

onderzoek zal moeten uitwijzen of de wijze waarop Facebook profielen onherleidbaar maakt, daadwerkelijk effectief is. De praktijk leert echter dat het nagenoeg altijd mogelijk is om de gegevens weer terug te herleiden tot een persoon.122

3.3 Waarde van deze analyse voor de Facebookgebruiker

Als we de door Facebook verzamelde gegevens langs de definitie van het begrip

persoonsgegeven in opinie 4/2007 leggen, kan er worden geconcludeerd dat elk van die gegevens persoonsgegevens betreffen. Nu is in het kader van dit onderzoek bepalend wat de waarde van deze conclusie is voor het bescherming van de Nederlandse

Facebookgebruiker aangezien deze opinies geen juridisch bindende status genieten. Er

118_{Overweging 26 van de Richtlijn.}

119_{Datapolicy Facebook, geraadpleegd op 20 juni 2015, beschikbaar op:} https://www.facebook.com/about/privacy/advertising.

120_{WP 136, p. 18 t/m 22. Zie ook: Cuijpers & Marcelis 2012, p. 19 en Berkvens & Prins 2014.} 121_{WP 136, p. 19.}

(27)

kan echter wel worden gesteld dat profilering binnen de reikwijdte van de Richtlijn zou moeten vallen volgens de Werkgroep,123_{maar daaraan kunnen geen directe rechten}

worden ontleend door de gebruiker. De argumenten uit de opinie zouden wel ter ondersteuning kunnen dienen in een eventuele procedure.

3.4 Conclusie

De conclusie van deze paragraaf luidt dat er geen eenduidig antwoord te formuleren valt op de vraag of profileren van Facebookgebruikers binnen de reikwijdte van de Richtlijn valt. Omdat de Richtlijn noch de jurisprudentie enige zekerheid bieden, moeten de opinies van de Werkgroep worden geraadpleegd om een inzicht te krijgen in hoeverre er persoonsgegevens door Facebook worden verwerkt bij het samenstellen van

gebruikersprofielen. Dit leidt ertoe dat de Facebookgebruiker in een onzekere positie verkeerd. Hoewel de Werkgroep zich stellig uitspreekt over de verwerking van persoonsgegevens bij behavioural targeting124_{en daarmee ook bij profilering in het}

algemeen, kan de kanttekening worden geplaatst dat dit van kleine waarde is voor de rechtsbescherming van de gebruiker door het ontbreken van het juridisch bindende karakter van de opinies.

Ook maakt de Richtlijn de situatie mogelijk dat als er kan worden vastgesteld dat de

verzamelde gegevens in combinatie met elkaar een persoonsgegeven vormen er doormiddel van ‘anonimiseren’ en aggregatie de identificeerbaarheid van een persoon wordt uitgesloten. Door deze situatie wordt een legal loophole gecreëerd. De profielen

worden immers door Facebook gebruikt als ware zij persoonsgegevens betreffen.125_Het

is voor Facebook niet nodig om een naam of foto aan het profiel te koppelen om individuen te beoordelen en te categoriseren. Het probleem ontstaat dat de gebruiker (nadelige) effecten ondervindt van de profilering, zonder dat zij zich kan beroepen op bijvoorbeeld het recht tot inzage of verwijdering uit de Richtlijn. Dit brengt met zich mee dat de Facebookgebruiker onder de Richtlijn Bescherming Persoonsgegevens net zoveel bescherming geniet als onder een paraplu met gaten.

123_{Zie opinie 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’).} 124_{WP 148.}