FACEBOOK PRIVACY EEN(PARADOX… · 2014-12-17 ·...
Transcript of FACEBOOK PRIVACY EEN(PARADOX… · 2014-12-17 ·...
___________________________________________
Faculteit Rechtsgeleerdheid Universiteit Gent
Academiejaar 2013-‐2014
FACEBOOK & PRIVACY: EEN PARADOX VANUIT JURIDISCH PERSPECTIEF?
Masterproef van de opleiding
‘Master in de rechten’
Ingediend door
Ennio Di Rosa (Studentennr. 00700711)
Promotor: Eva Lievens Commissaris: Yves Haeck
I
WOORD VOORAF
Deze masterproef is geschreven ter afsluiting van de opleiding ‘Master in de rechten’ aan de
Universiteit Gent.
Graag maak ik van de gelegenheid gebruik om een aantal mensen te bedanken die mij bij het
schrijven van deze masterproef met raad en daad hebben bijgestaan.
Bovenal gaat mijn oprechte dank uit naar mijn promotor, Prof. Dr. Eva Lievens.
Haar opbouwende kritiek zorgde ervoor dat een vage impressie evolueerde tot een
gedetailleerd, afgebakend en uiterst boeiend onderwerp. Ook voor haar begeleiding en
waardevolle feedback, ben ik haar zeer dankbaar.
Een speciale vermelding verdienen ook de personen die deze masterproef kritisch hebben
doorgelezen, in het bijzonder Julie Latomme en mijn zus Fiorina.
Tot slot wil ik ook mijn ouders, familie en vrienden bedanken voor de onvoorwaardelijke morele
steun gedurende het voorbije jaar.
Gent, december 2013
Ennio Di Rosa
II
INHOUDSOPGAVE
INLEIDING ........................................................................................................................................................ 1
HOOFDSTUK 1: BEGRIPPEN EN SITUERING ........................................................................................ 7
1. SOCIALE NETWERKSITES .............................................................................................................................................. 7
1.1 Een korte geschiedenis .................................................................................................................................. 7
1.2 Web 2.0. ................................................................................................................................................................ 8
1.3 Kenmerken en functies .................................................................................................................................. 9
1.3.1 Kenmerken van sociale netwerksites .......................................................................................... 11
1.3.2 Functies ..................................................................................................................................................... 11
1.4 Facebook ........................................................................................................................................................... 13
2.4.1 Korte Geschiedenis .............................................................................................................................. 13
1.4.2 Motieven voor gebruik van Facebook ......................................................................................... 14
2. HET PRIVACY-‐BEGRIP ................................................................................................................................................. 16
2.1 Geschiedenis .................................................................................................................................................... 16
2.2 Wat is privacy? ................................................................................................................................................ 16
2.3 Privacy, waardevol? .................................................................................................................................... 18
2.4 Privacy in een digitale omgeving ........................................................................................................... 20
2.5 Het Privacy-‐paradox .................................................................................................................................... 21
2.6 Kritische reflectie .......................................................................................................................................... 23
3. BESLUIT BIJ HOOFDSTUK 1 ........................................................................................................................................ 24
HOOFDSTUK 2: JURIDISCH KADER ...................................................................................................... 26
1. EUROPESE WETGEVING .............................................................................................................................................. 26
1.1 Ontwikkelingen .............................................................................................................................................. 26
1.2 Raad Van Europa ........................................................................................................................................... 27
1.2.1 VERDRAG 108, een eerste internationaal bindend instrument ....................................... 27
1.2.2 AANBEVELING van de Raad ............................................................................................................ 28
1.3 De Richtlijn Bescherming Persoonsgegevens (Europese Unie) ............................................... 30
1.3.1 Werkingssfeer ........................................................................................................................................ 31
1.3.2 Algemene voorwaarden betreffende de legitimiteit van de gegevensverwerking. .. 32
1.3.3 RBP en minderjarigen ........................................................................................................................ 33
1.4 EVRM .................................................................................................................................................................. 34
III
1.4.1 Artikel 8 EVRM ...................................................................................................................................... 34
1.4.2 Relatief recht .......................................................................................................................................... 35
1.4.3 De notie ‘privéleven’ ........................................................................................................................... 35
1.4.4 Verplichtingen ....................................................................................................................................... 36
1.4.5 Positieve verplichtingen voortvloeiend uit het EVRM ......................................................... 37
1.4.5.1 K.U. tegen Finland ....................................................................................................................... 37
1.4.5.2 Positieve Verplichting ............................................................................................................... 38
1.4.5.3 Anonimiteit .................................................................................................................................... 38
1.4.5.1 Besluit bij Artikel 8 EVRM ....................................................................................................... 39
1.5 De E-‐Privacy Richtlijn .................................................................................................................................. 40
1.5.1 Achtergrond en werkingssfeer ....................................................................................................... 40
1.5.2 ‘Cookies’ en ‘opt-‐in’-‐regeling ........................................................................................................... 40
1.6 Voorstel voor een Algemene Verordening Gegevensbescherming .......................................... 43
1.6.1 Achtergrond van de Ontwerptekst ............................................................................................... 43
1.6.2 Belangrijkste wijzigingen in de nieuwe Verordening .......................................................... 45
1.6.2.1 Territoriaal toepassingsgebied ............................................................................................. 45
1.6.2.2 Scherpere definitie van ‘Persoonsgegevens’ & ‘Measures based on Profiling’. 45
1.6.2.3 Verlichting van de plichten tegenover een verhoogde aansprakelijkheid ......... 46
2. BELGISCHE WETGEVING ............................................................................................................................................. 48
2.1 De Grondwet ..................................................................................................................................................... 48
2.2 De Privacywet ................................................................................................................................................. 49
2.2.1 Persoonsgegevens ................................................................................................................................ 49
2.2.2 Gegevensverwerking .......................................................................................................................... 50
2.3 De Strafwet ........................................................................................................................................................ 51
2.4 De Telecommunicatiewet .......................................................................................................................... 52
2.4.1 Cookies in de Belgische Wet ............................................................................................................ 52
2.4.2 Facebook .................................................................................................................................................. 54
2.5 De Auteurswet en het recht op afbeelding ......................................................................................... 54
2.5.1 Achtergrond ............................................................................................................................................. 54
2.5.2 Foto’s van anderen publiceren, kan dat wel? ........................................................................... 55
3. BESLUIT BIJ HOOFDSTUK 2 ........................................................................................................................................ 57
HOOFDSTUK 3: DE SOCIALE NETWERKSITE FACEBOOK IN HET LICHT VAN DE EUROPESE
GEGEVENSBESCHERMINGSREGELS ........................................................................................................ 59
1. DE PRIVACYRICHTLIJN EN FACEBOOK ..................................................................................................................... 59
1.1 Toepasselijkheid van de Richtlijn ............................................................................................................ 59
1.1.1 . Toepassingsgebied .............................................................................................................................. 59
IV
1.1.2 Verantwoordelijke voor de verwerking ..................................................................................... 59
1.1.3 De gebruiker zelf ................................................................................................................................... 60
1.1.4 Gevoelige persoonsgegevens .......................................................................................................... 61
1.2 De werkgroep Artikel 29 ............................................................................................................................ 62
2. DE RELATIE MET DE E-‐PRIVACY RICHTLIJN ........................................................................................................... 63
2.1 De ‘Like-‐Button’ ............................................................................................................................................... 63
2.2. De digitale voetafdruk ................................................................................................................................. 64
2.3 De digitale schaduw ....................................................................................................................................... 65
3. AVG EN DE TOEKOMST VAN SOCIALE NETWERKSITES ......................................................................................... 67
3.1 The ‘Right to be forgotten” & the ‘Right to erasure’ ........................................................................ 67
3.2 The ‘Right to data portability’ ................................................................................................................... 69
3.3 Voorwaarden voor de toestemming ....................................................................................................... 70
3.4 ‘Privacy by design’ & ‘Privacy by default’ ............................................................................................. 71
3.5 Specifieke bepaling inzake minderjarigen .......................................................................................... 72
4. WAT NU? ...................................................................................................................................................................... 73
HOOFDSTUK 4: VAN THEORIE NAAR REALITEIT ............................................................................ 75
1. FACEBOOK PRIVACY-‐POLICY ...................................................................................................................................... 75
1.1 Evolutie ............................................................................................................................................................... 76
1.1.1 Van bescherming naar vrijgeven van gegevens, een overzicht. ....................................... 76
1.1.2 Facebook’s privacy-‐policy anno 2013 & Graph search ........................................................ 79
1.2 ‘Default Privacy Settings’ ............................................................................................................................. 81
1.2.1 Advies van De werkgroep Artikel 29. ........................................................................................... 81
1.2.2 Standaardinstellingen concreet ...................................................................................................... 82
1.2.3 Belang van privacy-‐bevorderende standaardinstellingen. ................................................. 84
1.2.4 Richtlijnen van het ICRI ...................................................................................................................... 87
1.2.4.1 ‘Wired-‐in’ ......................................................................................................................................... 87
1.2.4.2 De ‘would-‐have-‐wanted’-‐invulling van ‘adjustable settings’ ..................................... 87
1.2.4.3 Instellingen op maat .................................................................................................................. 88
1.2.4.4. De aard van de Verwerking ..................................................................................................... 88
1.2.5 Besluit bij ‘Default Privacy Settings’ .............................................................................................. 88
1.3 Het gebruik van pseudoniemen, een recht? ........................................................................................ 89
1.3.1 Pseudoniem of vals profiel? .............................................................................................................. 90
1.3.2 Facebook-‐beleid inzake namen ....................................................................................................... 90
2. GEGEVENS ..................................................................................................................................................................... 92
2.1 Welke gegevens worden verzameld en waarom. ............................................................................. 92
2.1.1 Gedeelde informatie ............................................................................................................................. 93
V
2.1.2 Andere informatie ................................................................................................................................. 93
2.1.3 Openbare gegevens ............................................................................................................................... 94
2.1.4 Vertrouwelijkheidsovereenkomst, een toepassingsgeval ................................................... 94
2.2 Gebruikt voor commerciële doeleinden ............................................................................................... 97
2.2.1 Sociale Advertenties ............................................................................................................................. 97
2.2.2 De zaak ‘Fraley et al. versus Facebook ........................................................................................ 98
2.2.3 Facebook ‘Beacon’ Case ...................................................................................................................... 99
2.2.4 Sociale advertenties in het licht van de Belgische wetgeving ......................................... 100
2.3 Facebook, een publieke of gesloten omgeving? ............................................................................. 102
2.3.1 De mening van het Franse Hof van Cassatie ........................................................................... 102
2.3.2 Openbaarheid, Stand van zaken in België ................................................................................ 103
2.3.3 Vergelijking met Drukpersmisdrijven ....................................................................................... 105
3. BESLUIT BIJ HOOFDSTUK 4 ..................................................................................................................................... 107
HOOFDSTUK 5: ALGEMEEN BESLUIT ................................................................................................ 108
BIBLIOGRAFIE ............................................................................................................................................ 110
BIJLAGE........................................................................................................................................................ 127
VI
“The real danger is the gradual erosion of individual liberties through automation, integration, and
interconnection of many small, separate record-‐keeping systems,
each of which alone may seem innocuous, even benevolent, and wholly justifiable.”
-‐ U.S. PRIVACY PROTECTION STUDY COMMISSION.1
1 U.S. PRIVACY PROTECTION STUDY COMMISSION, "Personal Privacy in an Information Society", PPSC Report, 1977, 615. 2 Zie grafiek bijlage 3. 3 N. BILTON, “Facebook Changes Privacy Settings Again”, The New York Times Bits, 12 december 2012, http://bits.blogs.nytimes.com/2012/12/12/facebook-‐changes-‐privacy-‐settings-‐again/.
VII
SPEAK NOW, OR FOREVER HOLD YOUR FACEBOOK-‐POSTS
Inleiding
1
INLEIDING
“Privacy is dead, get over it!”. Deze uitspraak van MARK ZUCKERBERG, oprichter en huidig CEO van
Facebook, was tevens de slogan van de ‘Big Brother-‐Awards’ 2013, waarin prijzen worden
uitgereikt aan de grootste privacy-‐schenders en zo het privacy-‐probleem op een ludieke wijze
weet aan te kaarten. In realiteit lijkt er echter minder reden tot lachen.
Sociale netwerksites schieten als paddenstoelen uit de grond en zijn de dag van vandaag niet
meer weg te denken. Facebook in het bijzonder lijkt wijd en zijd in de smaak te vallen. Dat
getuigen de bijna ongeloofwaardige ledencijfers waaruit blijkt dat de sociale netwerksite begin
2013 maar liefst 1.2 miljard gebruikers telde.2 Het voelt haast ‘not done’ om ervoor te kiezen
geen Facebook-‐profiel aan te maken. Maar zoals in de meeste gevallen snijdt ook dit mes aan
twee kanten.
We kunnen terecht stellen dat de sociale netwerksite Facebook doorheen de jaren zijn
gebruikers steeds meer noopte persoonlijke informatie publiek toegankelijk te maken. Van tijd
tot tijd kwam de aanbieder van het sociale netwerk op de proppen met nieuwe privacy-‐opties en
–regels. In december 2012 voerden ze bijvoorbeeld veranderingen door die een aantal functies,
naar hun zeggen, toegankelijker maken, zoals het ‘privacy-‐menu’ dat vanaf nu op elke pagina
terug te vinden is. Leden krijgen hiermee de mogelijkheid te bepalen wie welke inhoud van hun
profiel kan zien, wie contact met hen kan opnemen, etc. “But when Facebook giveth, Facebook
taketh away.”3 Wanneer de sociale netwerksite een nieuwe regeling of optie invoert, schaft ze
jammer genoeg meestal ook iets af. In dit geval verdwenen een aantal belangrijke opties,
waaronder de (privacybeschermende) mogelijkheid voor gebruikers om niet teruggevonden te
worden via de zoekfunctie. 4
Aanvankelijk, in 2005, wanneer de website nog “The Facebook” heette 5 , was ze enkel
toegankelijk voor studenten van de Universiteit van ‘Harvard’. Destijds was bescherming van 2 Zie grafiek bijlage 3. 3 N. BILTON, “Facebook Changes Privacy Settings Again”, The New York Times Bits, 12 december 2012, http://bits.blogs.nytimes.com/2012/12/12/facebook-‐changes-‐privacy-‐settings-‐again/. 4 V. GOEL, "Facebook Delays New Privacy Policy", The New York Times Bits, 5 september 2013, http://bits.blogs.nytimes.com/2013/09/05/facebook-‐delays-‐new-‐privacy-‐policy/. Op 28 augustus kondigde Facebook aan dat op 5 september 2013 de nieuwe Privacy-‐regeling van toepassing zou worden. Dit werd echter uitgesteld op dezelfde gronden dan een minnelijke schikking die ze in 2011 gesloten hebben met de gereguleerde agentschappen en de vele negatieve reacties van Facebook gebruikers. 5 X.,“What happened to Facebook?”, Rixtip, 2013, http://rixstep.com/2/1/20100505,00.shtml .
Inleiding
2
hun persoonlijke informatie een prioriteit.6 “We understand you may not want everyone in the
world to have the information you share on Facebook; that is why we give you control of your
information”, bevestigde de privacy policy van 2006.7 De basisgedachte die de exclusiviteit van
deze informatie voorop stelde, was net één van de hoofdredenen waarom Facebook zich van
vergelijkbare websites als ‘MySpace’ distantieerde.8
Hoe populairder Facebook werd, hoe meer de commerciële doelstellingen van het bedrijf zich
lieten merken door gaandeweg steeds meer afstand te nemen van de bescherming van
persoonlijke gegevens. Enkele jaren nadat de website toegankelijk was geworden voor iedereen
met een geldig e-‐mailadres (omstreeks 2009), haalde de openbaarheid echter de bovenhand en
werden de privacy-‐instellingen vaak zeer ingrijpend gewijzigd. Dit stond voor het eerst
geschreven in de privacy policy van 2009 waar men kon lezen “Facebook is designed to make it
easy for you to share information with anyone you want.”, maar op dat moment was de bal reeds
aan het rollen, en is deze uitspraak tegelijk een verbloeming en slechts een deel van de echte
waarheid. 9
MARK ZUCKERBERG gaf in 2010 aan dat er een nieuwe ‘social norm’ zou ontstaan zijn. “People have
gotten really comfortable not only sharing more information and different kinds, but more openly
and with more people. (...) That social norm is just something that has evolved over time.” 10 Hij
meent dat er zich een bepaalde evolutie heeft voorgedaan op het gebied van de privacy-‐
perceptie, waardoor de nadruk niet meer ligt op de sociale norm ‘privacy’, maar eerder op deze
van het ‘delen van informatie’.11 Deze visie veruitwendigde zich dan ook duidelijk in de
doorgevoerde beleidswijzigingen. Desalniettemin vormt de steeds verder evoluerende graad
van openbaarheid een heikel punt, en is dit in tegenstelling tot wat meeste Facebook-‐gebruikers
denken, een uiterst delicate situatie.
Staan Facebook en het recht op Privacy werkelijk tegenover elkaar? Hoe wordt privacy vandaag
gewaardeerd en welke betekenis heeft de notie nog in onze hedendaagse maatschappij? Deze
6 R. FOREMAN, “Facebook History 2005 -‐2007”, http://empoweryou.ca/facebook-‐history-‐2005-‐2007/ . 7 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”, EEF, https://www.eff.org/deeplinks/2010/04/facebook-‐timeline . 8 P. CHINOWSKY, J DIEKMANN en J. O’BRIEN, ”Project Organizations as Social Networks.”, J. Constr. Eng. Manage, p. 136; L. ROEDER, "What is Myspace", About.com, Social Media, 2013, http://personalweb.about.com/od/myspacecom/a/whatismyspace.htm. 9 K. OPSAHL, “Facebook's Eroding Privacy Policy: A Timeline”, EEF, 28 april 2010, https://www.eff.org/deeplinks/2010/04/facebook-‐timeline . 10 G. WARREN, “Is privacy dead?”, Times Newspapers, 2010, http://erasingdavid.com/categories/issues-‐in-‐the-‐news/facebook’s-‐mark-‐zuckerberg-‐says-‐privacy-‐is-‐dead-‐so-‐why-‐does-‐he-‐want-‐to-‐keeps-‐this-‐picture-‐hidden/ . (Hierna: G. WARREN, “Is privacy dead?”, Times Newspapers, 2010.) 11 B. JOHNSON, “Privacy no longer a social norm, says Facebook founder”, The Guardian, 11 januari 2010, http://www.theguardian.com/technology/2010/jan/11/facebook-‐privacy .
Inleiding
3
vraagstelling situeert huidig masteronderzoek. We dienen ons daarbij ook de vraag te stellen of
ZUCKERBERG‘s stelling wel klopt. Is er echt een nieuwe sociale norm ‘delen van informatie’ die de
norm ‘privacy’ in de schaduw plaatst? Voor de generatie “Digital Natives”, die met het internet en
sociale media opgegroeid zijn en van wie het als het ware in hun DNA is ingeprent, kan dit kan
mogelijks wel kloppen12 Onder het motto ‘ik heb toch niets te verbergen’ ontstaat snel een
onverschillige houding tegenover de bescherming van hun privacy.13 Een relevant voorbeeld om
deze problematiek toe te lichten is de casus van een tiener uit Oregon in de Verenigde Staten, die
zijn status updatete met de volgende zin: “Drivin drunk... classic ;) but to whoever’s vehicle I hit I
am sorry. :P”.14 Naar aanleiding van deze zin werd hij door de politie aangehouden en werden
zijn naam en foto’s overal op het internet verspreid.15
Uit een onderzoek van BRANDIMARTE, doctor in de Filosofie en mede-‐oprichtster van de “Privacy
Economics Experiments Lab”, bleek dat mensen van een bepaalde ‘illusion of control’ uitgaan
wanneer ze privé-‐informatie op het internet delen.16 Naar aanleiding van deze stelling zouden
gebruikers van sociale netwerken dus soepeler met hun privacy omspringen. Onbewust
verwachten ze dat hen een bepaalde ‘permission’, toestemming, zal gevraagd worden vooraleer
de door hen gedeelde gegevens verder verwerkt zouden worden. Kortom, we zien een kloof
tussen wat men als privacy percipieert en de realiteit.
De privacy perceptie die hier onderzocht zal worden kent meerdere schijnt zich op te splitsen in
meerdere aspecten, afhankelijk van het standpunt waaruit het wordt bekeken (dat van de
provider, de gebruiker of de maatschappij). Zo merken we dat door een te vage verwoording van
heel wat privacy-‐instellingen op Facebook veel gebruikers niet precies lijken te weten wie welke
informatie van hun account te zien krijgt. Echter, door de inburgering van Facebook plaatsten
deze laatsten ook veel sneller iets op de sociale netwerksite, zonder zich de kwalijke gevolgen
voor hun privacy te realiseren. Enkele jaren geleden was de verspreiding van sommige van die
gegevens zelfs niet eens mogelijk, maar met de maatschappelijke inburgering en snelheid van
het internet is de openbaarheid ervan opmerkelijk toegenomen. Een vierde aspect kan gevonden
12 X., “Special Eurobarometer 359/Wave 74.3”, TNS Opinion & Social, 2011, 7; http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. “A digital native can be defined as a young person who was born during or after the general introduction of digital technology, and through interacting with digital technology from an early age, has a greater understanding of its concepts.”; 13 G. WARREN, “Is privacy dead?”, Times Newspapers, 2010. 14 Zie foto bijlage 1 15 C. LOPEZ, “Oregon teen Arrested After Posting ‘Drivin Drunk’ Facebook Status”, ABC News, 4 januari 2013, http://abcnews.go.com/blogs/headlines/2013/01/oregon-‐teen-‐arrested-‐after-‐posting-‐drivin-‐drunk-‐facebook-‐status/ . 16 L. BRANDIMARTRE, “Privacy concerns and information disclosure: An illusion of control hypothesis”, iConference ’09 Posters, 8 februari 2009,https://www.ideals.illinois.edu/bitstream/handle/2142/153 44/Poster.ppt.pdf?sequence=4 .
Inleiding
4
worden in het feit dat internationale bedrijven en zelfs de overheid het recht op privacy lijken
uit te hollen. Steeds meer verzamelen zij persoonlijke informatie, zonder dat de betrokken
personen daarvan op de hoogte zijn, laat staan hun toestemming gegeven hebben. 17
Concluderend, het is dan ook niet verwonderlijk dat bij het grote publiek de bezorgdheid, over
de bescherming van hun privacy en de privacy-‐perceptie, in stijgende mate groeit.
We kunnen ons afvragen ‘Is Facebook really designed to share information with anyone you
want?’ Beslissen we écht nog zelf wie onze informatie ziet? Want zoals hierboven reeds
aangehaald, besloot de aanbieder van het sociale netwerk bijvoorbeeld onlangs nog de om
mogelijkheid om niet opgezocht te kunnen worden met behulp van de zoekfunctie te elimineren,
zodat iedereen nu vindbaar is aan de hand van de geïntegreerde zoekfunctie.18 Is dit geen
inbreuk op de privacy? Om dergelijke vragen te kunnen beantwoorden dient eerst en vooral een
antwoord gegeven te worden op de vraag wat dit ‘privacy-‐begrip’ precies inhoudt. Uit tal van
onderzoeken kan bovendien besloten worden dat het nagenoeg onmogelijk is om een algemene
en afgelijnde definitie van de notie ‘privacy’ te vormen. We moeten vaststellen dat het om een
uiterst persoonsgebonden en contextueel begrip gaat.19 Desalniettemin is het een zeer belangrijk
begrip in onze huidige maatschappij. Zo stelt RÖSSLER, professor in de ethiek aan de Universiteit
van Amsterdam, in “The Value of Privacy” dat het privacy-‐begrip een essentiële voorwaarde
vormt om in een samenleving als autonoom subject gewaardeerd te kunnen worden.20 En het is
net deze privacy die op het spel lijkt te staan. Er kan en mag bijgevolg niet zomaar voorbijgaan
worden aan de ingrijpende gevolgen die sociale netwerken voor het recht op privacy impliceren.
Door middel van een kritische kijk op deze problemen, doen we een poging een antwoord te
bieden op een aantal vragen die hieromtrent kunnen rijzen.
ONDERZOEKSVRAGEN
Bij de aanvang van voorliggende masterproef stellen we ons de vraag wat sociale netwerksites
nu werkelijk zijn. Een onderzoek naar hun belang en functies in onze huidige maatschappij kan
hierbij zeker niet ontbreken. Meer specifiek nemen we de sociale netwerksite Facebook onder
de loep, en overlopen we de mogelijke redenen waaraan die zijn populariteit te danken heeft.
Daarnaast wordt onderzocht welke invulling kan gegeven worden aan het privacy-‐begrip. In 17 S. SAKUMA, “VS verzamelen online privégegevens van gebruikers”, NRC, 7 januari 2013, http://www.nrc.nl/nieuws/2013/06/07/vs-‐verzamelen-‐online-‐privegegevens-‐van-‐gebruikers/. 18 V. WOOLLASTON, “Now ANYONE can find you on Facebook: Outrage as site removes privacy option for users to hide their profile in search results”, Daily Mail, 11 Oktober 2013. 19 D. BOYD en A.E. MARWICK ,“Social Privacy in Networked Publics: Teens’ Attitudes, Practices, and Strategies”, A Decade in Internet Time: Symposium on the Dynamics of the Internet and Society, September 2011, 12. 20 B. RÖSSLER, The Value of Privacy, Cambridge, Polity Press, 2005, 2-‐19.
Inleiding
5
functie van het beantwoorden van de onderzoeksvraag gaan we terug in de tijd om de evolutie
van deze notie te onderzoeken en de waarde ervan de dag van vandaag te kunnen bepalen.
In het kader van dit werk is een uiteenzetting van voorgaande begrippen noodzakelijk teneinde
naderhand een duidelijk antwoord te bieden op verdere onderzoeksvragen.
In het tweede deel van dit werk analyseren we zowel de bestaande Europese als Belgische
wetgeving die op beide niveaus het recht op privacy zo goed en zo kwaad als mogelijk trachten
te beschermen. Het accent ligt echter bij de Europese regels gezien deze vaak rechtstreeks of
onrechtstreeks de standaarden bepalen die door de verschillende lidstaten in acht genomen
moeten worden. Op dit moment is de Privacyrichtlijn van 1995 nog steeds van toepassing voor
de bescherming van persoonlijke gegevens op het internet.21 Deze richtlijn blijkt achterhaald te
zijn en niet meer in staat het hoofd te bieden aan de huidige problemen inzake
gegevensbescherming op het internet. Op 25 januari 2012 werd daarom een voorstel gedaan
voor een Algemene Verordening inzake Gegevensbescherming. 22 Het lijkt daarom ook
interessant om Facebook in het licht te plaatsen van deze Europese
gegevensbeschermingsregels. Dit zal dan ook gedaan worden in het kader van het derde luik van
deze masterproef. We zullen nagaan in welke mate deze juridische teksten de persoonlijke
levenssfeer van gebruikers effectief beschermen en wat zowel de huidige als toekomstige
bepalingen concreet betekenen voor de sociale netwerksite. Hierbij zal de ontwerptekst van de
nieuwe verordening zonder twijfel het belangrijkste instrument zijn.
In het vierde en tevens laatste gedeelte toetsen we de theorie aan de realiteit. We evalueren in
hoeverre de geschetste regelgeving uit het tweede en derde luik kunnen volstaan om in een
adequaat beschermingsniveau te voorzien. Een eerste bijvraag situeert zich rond de Facebook
Privacy-‐Policy en de wijze waarop zij persoonlijke gegevens verwerken. Facebook houdt privacy
hoog in het vaandel, in elk geval beweren ze dat toch te doen. We verdiepen ons in de huidige
‘privacy policy’ en onderzoeken of deze voldoet aan de vereisten van de huidige Europese en
nationale maatstaven. Zo proberen we ook antwoorden te geven op de vragen wie feitelijk
eigenaar is van gedeelde gegevens, en of deze gegevens zonder meer gebruikt mogen worden in
het kader van gepersonaliseerde advertenties.
21 De Richtlijn Bescherming Persoonsgegevens, RBP of Privacyrichtlijn is te raadplegen op Eur-‐Lex: http://eur-‐lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:NL:NOT. 22 Het voorstel van 25 januari 2012 tot verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(algemene verordening gegevensbescherming), COM(2012) 11 definitief. Te raadplegen op: http://eur-‐lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM :2012:0011:FIN:NL:PDF. (Hierna: Algemene Verordening Gegevensbescherming of AVG.)
Inleiding
6
Om te besluiten keren we op het einde van deze masterproef terug naar de hoofdvraag. “Staan
Facebook en het recht op Privacy nu daadwerkelijk paradoxaal tegenover elkaar?” Of moet deze
zienswijze evenwel genuanceerd worden? Aan de hand van een literatuuronderzoek pogen we
een zo gefundeerd mogelijk antwoord te bieden op deze onderzoeksvragen.
Begrippen en situering
7
HOOFDSTUK 1: BEGRIPPEN EN SITUERING
1. SOCIALE NETWERKSITES
1.1 EEN KORTE GESCHIEDENIS
1. We kunnen ons vandaag de dag geen leven meer inbeelden zonder het internet en de sociale
media, maar dit is zeker niet altijd zo geweest. Hoe zijn we op dit punt gekomen? Vanwaar kwam
de gedachte om dit genre sociale netwerken op te starten? Wanneer sprak men voor het eerst
van een echt sociaal netwerk? Dit zijn vragen die we ons kunnen stellen in de zoektocht naar de
oorsprong van sociale netwerken.
2. Het begon allemaal met het voor iedereen bekende internetfenomeen: ‘het forum', wat kan
beschreven worden als een webpagina die bestaat uit verschillende publieke discussiepagina’s
over allerhande onderwerpen. Deze fora kunnen over zeer uiteenlopende onderwerpen gaan.
Het belangrijkste kenmerk is echter het feit dat internetgebruikers interactief kunnen
deelnemen aan een ‘online gesprek’. In hun meest fundamentele vorm bestaan fora al sinds
1970, maar deze waren helemaal nog niet te vergelijken met de publieke internetforums zoals
we ze vandaag kennen. Alles veranderde wanneer in 1994 ‘Geocities’ zijn intrede deed. De
onderneming bood een online platform aan waar men een website kon aanmaken die samen
met andere gecreëerde een soort virtuele stad vormde. 23
3. Het volgende jaar startten twee studenten van Cornell University een onderneming,
“TheGlobe” genaamd, die individuele internetgebruikers de mogelijkheid gaf om een eigen
‘homepage’ aan te maken. Ze kenden een enorme populariteit die gepaard ging met de snelle
vooruitgang van het internet. Ze profileerden zichzelf als “A Social Networking Service”. 24 25 In
datzelfde jaar werd de website ‘Classmates.com’ opgericht. Het was de eerste webpagina waar
men online een profiel kon opmaken en ‘bevriend’ kon worden met kennissen.
23 Later evolueerde Geocities tot een webhostingbedrijf. In 2001 werd het bedrijf door Yahoo overgenomen. 24 Het bedrijf heeft noodgedwongen de deuren moeten sluiten ten gevolge van de ‘dot-‐com bubble’. 25 R. SHIM, “TheGlobe.com to cut staff, fold sites”, CNET News, 3 augustus 2001, http://archive.is/20130119134602/http://news.com.com/TheGlobe.com+to+cut+staff,+fold+sites/2100-‐1023_3-‐271110.html.
Begrippen en situering
8
Naast de opkomst van de ‘instant messaging services’ startte ‘Sixdegrees.com’ in 1997 met het
aanbieden van zijn diensten. Op deze website werd het mogelijk om aan de hand van een online
profiel informatie en kennis te delen met zowel bekende als onbekende mensen, die een
soortgelijk profiel hadden aangemaakt. Deze sociale netwerksite, want zo kunnen we die wel
degelijk noemen, was het voorbeeld voor vele sociale netwerksites die later opgericht werden
zoals Friendster, MySpace, LinkedIn en Facebook. 26
4. Van al deze sociale netwerksites brak Facebook, opgericht in 2004, alle records. Door zijn
duidelijke gebruikersinterface en het gemak om ‘vrienden’ toe te voegen en zo met elkaar in
contact te komen, tekenden miljoenen mensen in en maakten ze een profiel aan.27 Sociale media
is niet meer ‘een webpagina op het net’ of iets triviaal waar we ons in onze vrije tijd mee bezig
houden, maar eerder een zelfstandig medium dat men door de enorme ontwikkeling van de
technologie altijd en overal kan raadplegen en updaten. De opkomst van de smartphones speelt
hier ongetwijfeld een grote rol in. Zo zien we bijvoorbeeld dat wanneer in 2009 een vliegtuig
crashte in New York, dit nieuws op Facebook al te lezen was vooraleer de grote nieuwszenders
hiervan op de hoogte waren.28
1.2 WEB 2.0.
5. Het begrip Web 2.0 werd bedacht door TIM O’REILLY, CEO van zijn eigen mediaonderneming
en een voorstander van ‘open-‐source’ software. 29 Hij legt in meerdere van zijn publicaties uit dat
er geen eensgezindheid bestaat over de exacte lading en betekenis van het begrip. Sommigen
noemen het een modeverschijnsel, terwijl anderen het beschrijven als een nieuwe ‘conventional
wisdom’.30
6. Web 2.0 wordt gebruikt als term om als het ware de nieuwe generatie van het internet mee
aan te duiden. In beginsel komt het er op neer dat het internet geëvolueerd is van een quasi
26 D. BOYD, N. ELLISON, "Social Network Sites: Definition, History, and Scholarship", JCMC, 2012, 210-‐230. 27 J.W. VAN CAPELLEVEEN, "Ontwikkeling van de sociale media", Jeeweeweb, Sociale Media, 2013, http://www.jeeweeweb.com/socialemedia/ontwikkeling_van_sociale_media.html ; (De geschiedenis van Facebook wordt later verder besproken). 28 X., “Social Media Geschiedenis – Hoe is het begonnen”, Social Media Blog, 2013, http://socialmediablog.nl/social-‐media-‐geschiedenis/. 29 De term 'open source' betekent dat die bepaalde software door de ontwikkelaar zo ter beschikking is gesteld zodat ze voor iedereen toegankelijk is en gemodificeerd kan worden en in deze gewijzigde vorm versprijd kan worden. Dit in tegenstelling tot de 'property software' of 'closed source' (de meeste software), waarvan de 'source code' niet publiekelijk toegankelijk is en dus niet aangepast kan worden. ; A. ENGELFRIET, “De wet op internet”, Eindhoven, Ius Mentis , 2010, 111-‐124. 30 T. O'REILLY, "What is Web 2.0: Design patterns and business models for the next generation of software", Communications & Strategies, 2007, 17.
Begrippen en situering
9
eenrichtingsverkeer naar een wisselwerking tussen servers en gebruikers. Waar het vroeger
eerder ging om het raadplegen van informatie, is de internetgebruiker nu mee een bron
geworden van de gegevens die op het net te vinden zijn, en dit door het zelf uploaden van
teksten, muziek of beeldmateriaal. Dergelijke inhoud heet men ‘User Generated Content’, in het
Nederlands: ‘gebruikers gegenereerde inhoud’. Het aantal websites dat mensen aanspoort om
informatie op deze manier te delen stijgt zienderogen.31 Dit soort diensten heet men ook wel
Web 2.0 diensten, die onderscheiden kunnen worden van de eerste generatie diensten gezien zij
de gebruikers centraal stellen.32
7. Wanneer internetgebruikers inhoud delen doen ze dit onder andere in een groep vrienden,
mensen met eenzelfde interesse of collega’s van op het werk. Dit zijn sociale netwerken. Het
steeds goedkoper en meestal zelf gratis worden van deze diensten is mede verantwoordelijk
voor hun grote populariteit en gebruik, en het is net dat ‘gratis’ worden dat een groot gevaar
inhoudt voor de bescherming van onze privacy. In hoofdstuk 4 zullen we zien waarom dit zo is
en waarom het voorstel tot een nieuwe Europese gegevensbeschermingswetgeving het
voortbestaan van (gratis) sociale netwerksites mogelijks in het gedrang zal brengen.
8. Eerder werd de evolutie van communicatietechnologieën zoals de smartphone reeds
aangehaald als belangrijke factor voor het succes van sociale netwerksites. Deze ‘intelligente
mobiele telefoon’ biedt heel wat mogelijkheden om nieuwe Web 2.0 toepassingen te
ontwikkelen. Zo zien we steeds meer dat locatie-‐gebonden applicaties als Foursquare grote
spelers worden. De belangrijkste aspecten die deze toepassingen steeds hebben is het feit dat ze
sociaal zijn, simpel in gebruik, altijd online, vaak locatiegegevens gebruiken en bovenal
interactief zijn. 33
1.3 KENMERKEN EN FUNCTIES
9. In 2008 definieerden BOYD EN ELLISON sociale netwerksites als volgt:
“We define social network sites as web-‐based services that allow individuals to (1) construct a
public or semi-‐public profile within a bounded system, (2) articulate a list of other users with whom
they share a connection, and (3) view and traverse their list of connections and those made by 31 Het is belangrijk dit begrip toe te lichten omdat net door deze evolutie de vooruitgang van sociale netwerken als Facebook enorm vergemakkelijkt werd. 32 K. SEGERS, Maak mij wat wijs, Amsterdam, Lannoo Meulenhoff, 2010, 240. 33 D. VAN BERLO, Ambtenaar 2.0: Nieuwe ideeën en praktische tips om te werken in overheid 2.0, David van Berlo, 2008, 21-‐27.
Begrippen en situering
10
others within the system. The nature and nomenclature of these connections may vary from site to
site.” 34
10. Door deze netwerken wordt met andere woorden aan internetgebruikers de mogelijkheid
gegeven om een (semi-‐)openbaar profiel aan te maken binnen een begrensd systeem waar men
in contact kan komen met andere gebruikers die dergelijk profiel hebben aangemaakt. Hoe deze
‘connecties’ tussen gebruikers genoemd worden verschilt van aanbieder tot aanbieder. Ze
worden vaak ‘vrienden’ genoemd, bijvoorbeeld op Facebook, en heten dan weer ‘Volgers’ op
‘Twitter’. 35 Dit betekent niet dat deze personen in het echte leven ook daadwerkelijk vrienden
zijn. Het zijn eerder een soort kennissen die men ofwel in het echt ook kent (dan kunnen het
inderdaad vrienden zijn in de normale betekenis van het woord) of die men niet kent maar toch
virtueel als ‘vriend’ wil hebben omdat ze bijvoorbeeld dezelfde interesses hebben, voor
professionele doeleinden interessant kunnen zijn, etc. Het is dus ook perfect mogelijk om
contact te leggen met ‘vrienden’ van ‘vrienden’.36 Wat deze contacten typeert is het feit dat ze
kunnen ontstaan en onderhouden worden zonder dat deze individuen elkaar face-‐to-‐face
moeten ontmoeten. 37 Net omdat ze zich onderscheiden van reële vrienden, beschrijft BOYD ze als
een imaginair publiek.38
11. BOYD EN ELLISON poneren in hun werk ook dat er een onderscheid is tussen de termen
‘sociale netwerk-‐sites’ en ‘sociale netwerking-‐sites’. Ze merken op dat de twee begrippen vaak
door elkaar gebruikt worden, terwijl ze niet volledig dezelfde lading dekken. Niettegenstaande
dat ‘netwerking’ zeker mogelijk is op dit soort websites, geven ze de voorkeur aan de term
‘sociale netwerksite’ omdat het begrip ‘netwerking’ volgens hen eerder het aangaan van
connecties tussen onbekenden betekent en dit niet hun belangrijkste functie is. Sociale
netwerksites doelen vooral op het in contact brengen van mensen die reeds deel uitmaken van
bepaalde sociale netwerken. 39
34 D.BOYD, N. ELLISON, “Social Network Sites: Definition, History, and Scholarship.”, Journal of computer-‐Mediated Communication, 2008, 2. 35 Wikipedia omschrijft Twitter als: “een gratis internetdienst waarmee gebruikers korte berichtjes van maximaal 140 tekens publiceren. Het is een sociaalnetwerksite waarbij mensen op elkaar kunnen reageren en elkaar kunnen volgen.”; http://nl.wikipedia.org/wiki/Twitter . 36 D.BOYD, N. ELLISON, “Social Network Sites: Definition, History, and Scholarship.”, Journal of computer-‐Mediated Communication, 2008, 3. 37 K. CURRAN, S. GRAHAM, C. TEMPLE, “Advertising on Facebook.”, IJED, 2011, 27. 38 D. BOYD, “Social Network Sites: Public, Private, or what?”, Knowledge Tree, 2007, 2.; http://www.danah.org/papers/KnowledgeTree.pdf 39 D.BOYD, N. ELLISON, “Social Network Sites: Definition, History, and Scholarship.”, Journal of computer-‐Mediated Communication, 2008, p. 2-‐3.
Begrippen en situering
11
1.3.1 Kenmerken van sociale netwerksites
12. Volgens een onderzoek dat besproken werd op de Internationale Conventie over het World
Wide Web in 2009, of WWW’09, zijn er vijf kernelementen die sociale netwerksites typeren.40
Bovendien stemmen deze vijf kenmerken ook overeen met de hierboven gegeven definitie.
-‐ Een eerste eigenschap van sociale netwerksites is de profielpagina van de gebruiker waar we
gewoonlijk een lijst terugvinden van de bestaande ‘vrienden’ en waar de gebruiker
informatie op kan delen. Andere -‐ meestal bestaande -‐ connecties kunnen ook gegevens
plaatsen op deze pagina.
-‐ Een tweede kenmerk zijn de gebruikers van de sociale netwerksite, die individueel
identificeerbaar zijn aan de hand van bovengenoemde profielpagina.
-‐ Als derde eigenschap kunnen we het functionele relatieaspect tussen deze verschillende
gebruikers noemen. De verhoudingen kunnen eenzijdig zijn, maar zijn meestal wederzijds.
In het eerste geval spreekt men bijvoorbeeld over de ‘like button’ op Facebook(zie verder),
of wanneer men fan wordt van een bepaalde pagina. In het tweede geval ziet men de
normale Facebook-‐vriend-‐relatie.
-‐ De verschillende soorten relaties die de gebruikers onderling met elkaar liëren zoals
professionele relaties, normale vriendschapsrelaties, academische relaties, is een vierde
kernelement.
-‐ Tot slot kan gesteld worden dat de massa aan uiteenlopende soorten bestanden als
videobeelden, muziekbestanden, tekstdocumenten, multimedia, status-‐updates, een vijfde
karakteristiek is van sociale netwerksites.
1.3.2 Functies
13. In een werkstuk hebben RICHTER EN KOCH, onderzoekers aan het Cooperation Systems Center
Munich (CSCM), een onderzoek gevoerd naar de functies van sociale netwerksites. Ze
analyseerden verschillende open en gesloten sociale netwerksites om zo hieruit de
gemeenschappelijke functies te destilleren. Als resultaat van hun onderzoek kwamen ze uit op
een lijst met zes functies die de nagenoeg alle sociale netwerken met elkaar gemeen hebben.41
40 A.C. SQUICCIARINI, M. SHEHAB, P. PACI, “Collective privacy management in social networks”, PROC WWW09, 2009, 521-‐530. 41 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, COOP’08, 2008, 87-‐98; http://www.kooperationssysteme.de/wp-‐content/uploads/coop08_richterkoch_functions_of_social_networking_services_final.pdf (Hierna: A. RICHTER, M. KOCH, “Functions of Social Networking Services”).
Begrippen en situering
12
1.3.2.1 Identity Management
14. Gedrag als gevolg van sociale interactie wordt door GOFFMAN, Canadese socioloog en ex-‐
voorzitter van de American Sociological Association, vergeleken met een opvoering van een
theaterstuk dat geschreven en geregisseerd is in functie en naar de noden van het publiek en de
omgeving. 42 Mensen beseffen dat ze via hun profiel op deze websites voortdurend door anderen
geanalyseerd worden, en construeren op basis daarvan een sociale identiteit. De gebruiker kan
dit met andere woorden doen door te beslissen welke informatie ingevuld wordt en welke niet,
door te bepalen welke zaken er op het profiel komen, door in te stellen wie welke informatie te
zien krijgt.43
1.3.2.2 Expert Search
15. In de context van sociale netwerksites kan men kiezen welke connecties men aangaat en
welke niet. Men kan aan de hand van ‘zoekformulieren’ doelgericht bepaalde personen
opzoeken op basis van verschillende criteria (zoals naam, interesses, bedrijf). Er moet
anderzijds ook gewezen worden dat het netwerk zelf mogelijks aanbevelingen kan doen op basis
van de informatie van de gebruiker.44
1.3.2.3 Context Awareness
16. ‘Context awareness’ kan omschreven worden als het bewustzijn van een gebruiker van het
bestaan van een gemeenschappelijke ‘context’ met anderen. Dit kan informatie zijn over
gemeenschappelijke contacten of interesses, over het frequenteren van dezelfde universiteit of
hetzelfde bedrijf waar men gewerkt heeft. Dit bewustzijn draagt bij aan het creëren van een
gemeenschappelijk vertrouwen tussen gebruikers, wat essentieel is voor een ‘online
vriendschap’. Een voorbeeld hiervan is het onderdeel “Hoe u met elkaar bent verbonden” dat
men vaak op sociale netwerksites terug kan vinden.45
1.3.2.4 Contact Management
17. De gebruiker van sociale netwerksites heeft de mogelijkheid om zijn ‘vriendenlijst’ te
beheren en digitale vriendschappen te onderhouden. Zo kan hij bepaalde informatie voor
42 E. GOFFMAN, “The Presentation of Self in Everyday Life.”, New York, Doubleday: Garden City, 1959, 259p. 43 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, 90. 44 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, 91. 45 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, 91.
Begrippen en situering
13
bepaalde personen ontoegankelijk maken, kan hij vrienden ‘taggen’ in een foto, iets op het
prikbord van een vriend plaatsen, etc. 46 47
1.3.2.5 Network Awareness
18. Door een vorm van indirecte communicatie is de gebruiker op de hoogte van het doen en
laten van de personen in zijn online-‐netwerk. Dit wordt mogelijk gemaakt door een
nieuwsoverzicht waar men bijvoorbeeld kan zien dat een Facebook vriend nieuwe foto’s op zijn
profielpagina gezet heeft, of door de mogelijkheid te zien dat iemand een bepaalde dag jarig is.
1.3.2.6 Exchange
19. De exchange-‐functie bestaat uit alle mogelijkheden die sociale netwerksites bieden om direct
informatie met elkaar uit te wisselen. Dit kan door een chat-‐functie, de mogelijkheid om een
berichtje op iemands prikbord te plaatsen, een nieuw fotoalbum te uploaden, enzovoort.48 Uit
onderzoek bleek dat het wegvallen van communicatie-‐barrières bevorderlijk is voor het
succesvol delen van informatie. 49
1.4 FACEBOOK
2.4.1 Korte Geschiedenis
20. Oorspronkelijk was Facebook een sociaal netwerk dat in 2004 door enkele Harvard
studenten -‐ waaronder de befaamde CEO van het bedrijf MARC ZUCKERBERG -‐ werd opgericht. Wat
begon als een soort grap evolueerde tot één van de meest succesvolle sociale netwerksites aller
tijden. Bij de start was het netwerk enkel toegankelijk voor Harvard studenten, maar het duurde
niet lang (2006) eer het netwerk door het enorme succes volledig openbaar werd zodat iedereen
ouder dan dertien zich kon registreren.50
Facebook kende sinds 2007 een enorme groei van zijn aantal leden en tot op heden komen er
elke dag honderden nieuwe gebruikers bij. In maart 2013 telde de sociale netwerksite maar
46 ‘Taggen’ of het plaatsen van een tag betekent letterlijk een label of etiket aan een bestand toevoegen. Deze tag geeft bijkomende informatie over desbetreffend bestand. Een van de bekendste voorbeelden is de ‘tag’ op Facebook, wanneer een bepaald persoon op een foto wordt aangeduid. X., “Taggen”, Wikipedia, 2013, http://nl.wikipedia.org/wiki/Tag_(metadata). 47 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, 91. 48 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, 91. 49 P. MARONE, R. TAYLOR, “Knowlegde diffusion dynamics and netword properties of face-‐to-‐face interactions”, Journal of Evolutionary Economics, 1999, 327-‐351. 50 S. PHILLIPS, “A brief history on Facebook”, The Guardian, 25 Juli 2007.
Begrippen en situering
14
liefst 1,11 miljard leden. 51 We kunnen ons afvragen waarom Facebook zo succesvol is. Biedt dit
sociale netwerk dan zoveel meerwaarde, of is het gewoon een modetrend? In een onderzoek
naar de beweegredenen van personen om lid te worden van Facebook werd vastgesteld dat de
voornaamste reden simpelweg de ‘groepsdruk’ was, men wilde ‘erbij horen’. Secundair bleek
Facebook handig te zijn. Het creëerde de mogelijkheid om bestaande vriendschappen
gemakkelijker te onderhouden en bleek bovendien ook een forum te bieden om nieuwe
contacten te leggen.52
1.4.2 Motieven voor gebruik van Facebook
21. Er kan niet omheen gegaan worden dat Facebook ongetwijfeld de meest populaire sociale
netwerksite is. We kunnen ons afvragen waarom dit sociale netwerk in het bijzonder zo populair
is en wat de beweegredenen zijn van gebruikers om er lid van te worden.
22. Volgens een onderzoek van KHE FOON HEW, assistent-‐professor aan de ‘National Institute of
Education’ in Singapore, zijn er negen algemene drijfveren voor het Facebook-‐gebruik. 53 In
eerste instantie wil de Facebook-‐gebruiker de bestaande contacten onderhouden. Dit kan zowel
gaan over vage kennissen als over goede vrienden. Facebook biedt de mogelijkheid om
informatie als foto’s, berichten, etc. met hen te delen, waardoor ze het gevoel hebben steeds op
de hoogte te zijn (1). Naast bestaande vrienden kunnen ook nieuwe contacten gelegd worden via
Facebook (2). Deze elementen zag men ook terugkomen in de functies die sociale netwerksites
bieden van Richter en Koch. 54 Veel jongeren willen de dag van vandaag ‘hip zijn’ en ‘mee zijn
met de mode’. Facebook heeft het geluk van deze connotatie te kunnen genieten waardoor
jongeren er graag deel van willen uitmaken (3). In dezelfde sfeer kan gesteld worden dat
Facebook gebruikt wordt om de graad van populariteit te profileren tegenover anderen.
Wanneer men iemands profielpagina bezoekt kan men (in de meeste gevallen) het aantal online
vriendschappen zien aan de hand van de vriendenlijst (4). Een vijfde argument voor het gebruik
van de website is dat Facebook ongetwijfeld ook een platform voor ontspanning en plezier biedt
(5). Een van de belangrijkste motieven voor het gebruik van Facebook is en blijft ‘het delen van 51 B. VINGERLING, “Social media gebruikers statistieken maart 2013”, Afix Internetbureau, 17 april 2013, http://www.afix.nl/blog/2013/04/statistieken-‐gebruikers-‐facebook-‐twitter-‐en-‐linkedin-‐maart-‐2013/ . 52 T. GIOVANI, H. PASHLEY, “Student Awareness of the Privacy Implications When Using Facebook”, 3 december 2005, 5; http://lorrie.cranor.org/courses/fa05/tubzhlp.pdf . 53 K.F. HEW, "Reviex: Studens' and techers' use of Facebook", Computers in Human Behavior 2011, 662-‐676. Deze bevindingen deed hij op grond van een zestal andere onderzoeken waaruit hij deze beweegredenen destilleerde. Deze onderzoeken worden tegenover elkaar geplaatst. Hier merkt Hew dat elk onderzoek de motieven voor Facebook gebruik anders benadert maar dat ze bij nader inzien steeds neerkomen op dezelfde negen beweegredenen. 54 A. RICHTER, M. KOCH, “Functions of Social Networking Services”, 91.
Begrippen en situering
15
informatie’. Hierboven werd reeds uiteengezet dat mensen allerhande informatie delen, en dit
voor uiteenlopende redenen (6). Een andere reden waarom mensen Facebook gebruiken is de
mogelijkheid om ‘groepen’ of ‘fan-‐pagina’s’ op te richten. Dit vergemakkelijkt het om mensen te
vinden met gelijkaardige interesses. Op deze manier kunnen ze gemakkelijker met elkaar in
contact komen zonder daarom elkaar in het echte leven op te zoeken. ADAM JOINSON, professor
aan de University of the West of England en deskundige op het gebied van cyberpsychologie,
heeft het in zijn onderzoek over gemeenschappelijke identiteiten om dit fenomeen uit te leggen:
“These activities are akin to ‘social browsing’ (...) although there is no reason to assume that they
are necessarily motivated by a desire to meet offline eventually. It also contains related to the
discovery of new music and new groups via friends. As such, it seems to represent a ‘shared
identities’ function” (7). Daarenboven kan Facebook ook nog op een educatieve manier gebruikt
worden. Het kan door studenten gebruikt worden als communicatiemiddel voor schoolwerk (8).
Tot slot is de sociale netwerksite zeer praktisch gebleken voor het bijhouden van informatie
over zijn/haar vrienden. Het is als het ware een ‘managementinstrument’ (9).55
23. We kunnen besluiten dat in de huidige internetomgeving de sociale netwerksites een hele
grote rol spelen. In tegenstelling met vroeger zien we nu dat een groot deel van de sociale
interacties zich verplaatst van de fysieke wereld naar de digitale wereld. Deze websites bieden
tal van mogelijkheden die gebruikers ten goede komen.56
24. Helaas is er ook een keerzijde aan de medaille en vormen sociale netwerken in sommige
gevallen een gevaar voor de privacy van hun gebruikers. Om te kunnen onderzoeke hoe sociale
netwerken de eerbiediging van het privéleven in het gedrang kunnen brengen is het elementair
een goede notie te vormen van het begrip ‘privacy’.
Aan de hand van het volgende onderdeel trachten we door middel van een grondige bespreking
de invulling van dit begrip te duiden.
55N.B. ELLISON, C. STEINFIELD, C LAMPE, “The benefits of Facebook ―friends. Social capital and college students‘ use of online social network sites”, Journal of computer –mediated communication 2007, 1143-‐1168. ; A. JOINSON, ̳”Looking at’, Looking up‘ or Keeping up with‘ people? Motives and uses of facebook”, CHI’08 2008, 1027-‐1036; T. PEMPEK, S. CALVERT, Y. YERMOLAYEVA, “College‘s students‘ social networking experiences on Facebook”, Journal of applied developmental psychology 2009, 227-‐238; M.A. URISTA, Q. DONG, K. DAY, “Explaining why young adults use MySpace and Facebook through uses and gratifications theory”, Human Communication 2009, 215-‐229; A. YOUNG, A. QUAN-‐HAASE, “Information revelation and internet privacy concerns on social network sites: A case study of Facebook.”, C&T '09 2009, 265-‐274 en T.E. BOSCH, “Using online social networking for teaching and learning: Facebook use at the university of Cape Town”, South African Journal for Communication Theory and Research 2009, 185-‐200. 56 Een voorbeeld is het delen van foto’s, waardoor het gevoel kan hebben dat vrienden en kennissen helemaal niet ver weg zijn, terwijl ze op een ander continent verblijven.
Begrippen en situering
16
2. HET PRIVACY-‐BEGRIP
2.1 GESCHIEDENIS 25. In de klassieke oudheid was het privéleven minder belangrijk dan het publieke leven,
privacy had zelf een negatieve bijklank. Men zou het vreemd gevonden hebben dat iemand uit
vrije wil meer privacy zou wensen. Wanneer men geen deel uitmaakte van het publieke
gebeuren, schoot men tekort om te voldoen aan de vereisten van een waardig menselijk
bestaan.57 Dit wordt bijvoorbeeld duidelijk door ons woord ‘idioot’, afgeleid van de Griekse term
‘idios’, letterlijk vertaald is dit: een eigen privé eigendom. Het stond voor de persoon die zich
buiten de publieke samenleving bevond.58 In 1980 lijkt het tij volledig gekeerd. Zo zien we hoe
de advocaten WARREN EN BRANDEIS reeds in 1890 oproepen tot een betere bescherming van de
persoonlijke levenssfeer.59
2.2 WAT IS PRIVACY? 26. Om goed de relatie tussen Facebook en Privacy te kunnen onderzoeken moeten we eerst een
goede notie vormen van het begrip ‘privacy’. Wat is privacy eigenlijk? En wat houdt ‘het recht op
privacy’ nu net in? Waarom is dit nu juist zo een hot topic?
28. De VAN DALE omschrijft privacy als ”de persoonlijke vrijheid, het ongehinderd, alleen, in eigen
kring of met een partner ergens kunnen vertoeven; gelegenheid om zich af te zonderen, om
storende invloeden van de buitenwereld te ontgaan, een toestand waarin een mens er zeker van is
dat zonder zijn toestemming zo weinig mogelijk andere mensen zich op zijn terrein zullen
begeven.”.60 Met andere woorden het leiden van een onbewaakt en onbespied leven en zelf
kunnen bepalen wie welke informatie over ons krijgt.
29. In 1950 werd door de Raad van Europa ‘de Conventie ter bescherming van de
57 H. ARENDT, The Human Condition, Chicago, University of Chicago Press, 1958, 332; H. BELIEN EN F. MEIJER, Een kleine geschiedenis van de klassieke oudheid, Amsterdam, Bert Bakker, 2010. 58 P. DE HERT EN S. GUTWIRTH, “Over privacy: filosofische reflecties”, CBPL, 2013, http://www.anthologieprivacy.be/sites/anthology/files/documents/Over-‐privacy-‐filosofischereflecties.pdf . 59 S. WARREN en D. BRANDEIS, “The Right To Privacy”, Harvard Law Review 1890, Vol. IX; http://faculty.uml.edu/sgallagher/Brandeisprivacy.htm. 60 X., Van Dale Groot woordenboek van de Nederlandse taal, Antwerpen, Van Dale Lexicografie bv, 2005, 4464p.
Begrippen en situering
17
Mensenrechten’ voorgesteld aan de toenmalige lidstaten61. Dit was de eerste maal dat het begrip
privacy op Europees niveau werd aangehaald. Artikel 8 van het ‘Verdrag tot Bescherming van de
rechten van de Mens en de fundamentele vrijheden’ spreekt over het ‘Recht op eerbiediging van
privé, familie en gezinsleven’ 62. Eenieder dient dus elkaars woning, gezinsleven, briefwisseling en
in het bijzonder privéleven te respecteren. Ten gevolge van dit verdrag ontstond in België de
wet van 8 december 1992 betreffende ‘de bescherming van de persoonlijke levenssfeer ten
opzichte van de verwerking van persoonsgegevens’ of met andere woorden ‘de privacywet’.63 Ze
zet nauwgezet uit op welke wijze en onder welke voorwaarden de persoonlijke gegevens
verwerkt of doorgegeven mogen worden. Deze wet beschermt niet enkel om de rechten en
plichten van de persoon wiens gegevens worden verwerkt maar ook de rechten en plichten van
de persoon die de gegevens verwerkt 64.
30. In 1995 kwam er dan de Richtlijn inzake betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer
van die gegevens . 65 Op Europees niveau is dit de voornaamste tekst op vlak van
persoonsgegevensbescherming. Ze voorziet in een regeling die zware restricties oplegt aan het
verzamelen en gebruik van persoonlijke gegevens en legt aan elke lidstaat op om een
onafhankelijk controle orgaan op te richten dat bevoegd is voor de bescherming van deze
gegevens. In België werd naar aanleiding van die Richtlijn de Commissie voor de bescherming
van de persoonlijke levenssfeer in het leven geroepen. De richtlijn tracht een evenwicht te
creëren tussen het vrij verkeer van persoonsgegevens en de bescherming van de persoonlijke
levenssfeer in de Europese Unie 66.
31. Het concept privacy heeft doorheen de tijd een lange weg afgelegd die wordt gekenmerkt
door ettelijke pogingen tot definiëren en herdefiniëren. Een duidelijke en algemene definitie
vormen uit de massa aan literatuur over het onderwerp lijkt niet eenvoudig. Een van de
61 X., “Raad van Europa”, Diplomatie België, 2013, http://diplomatie.belgium.be/nl/Beleid/beleidsthemas/ mensenrechten/belangrijkste_instellingen/raad_van_europa/ . 62 Het Europees Verdrag voor de Rechten van de Mens is te raadplegen op: http://www.echr.coe.int/Documents/Convention_NLD.pdf . 63 De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993; http://www.privacycommission.be/sites/privacycommission/files/documents/CONS_wet_privacy_08_12_1992_0.pdf. 64 Commissie voor de bescherming van de persoonlijke levenssfeer, De Privacywet, 2013, http://www.privacycommission.be/nl/node/3908 . 65 Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb.L. 23november 1995, afl. 281, 31-‐50. (Verder: Richtlijn Bescherming Persoonsgegevens.) 66 De verdere evolutie van Europese richtlijnen en verdragen komt later aan bod.
Begrippen en situering
18
hoofdredenen hiervoor is het feit dat wat mensen als ‘privé’ aanzien cultureel, sociaal en
tijdsgebonden voortdurend in verandering is.
32. Concluderend, zowel wijzigende omstandigheden op persoonlijk vlak, als evoluties in
communicatietechnieken, als de steeds groter wordende hoeveelheid aan beschikbare
informatie leiden allen tot de noodzaak naar een nieuwe, verruimende afbakening van het
begrip 67.
2.3 PRIVACY, WAARDEVOL? 33. Niet onbelangrijk is de waarde die onze samenleving geeft aan privacy. Volgens professor
ADAM MOORE, information ethics specialist aan de universiteit van Washinton, is een stevig
fundament te vinden in de menselijke natuur. Privacy is volgens hem, zoals onderwijs en
gezondheid, een noodzakelijke factor voor het menselijk welzijn, een kernwaarde dus. Hij stelt
bijvoorbeeld vast dat een mate overbevolking kan leiden tot stress en agressiviteit. Wanneer we
ons na een zekere tijd zouden beginnen ergeren aan elkaar, stelt privacy ons in staat om ons
even af te zonderen. De belangrijke waarde van privacy is volgens hem ook te verklaren door het
feit dat men in alle culturen privacy-‐ elementen terug kan vinden.68
34. JAMES RACHELS, een Amerikaans moraalfilosoof, volgt echter een andere visie, volgens
dewelke de waarde van-‐ en het recht op privacy gevonden kunnen worden in de menselijke
behoefte om gedifferentieerde sociale relaties aan te gaan. Wanneer onze privacy in gedrang zou
komen, dan komt een belangrijk element van dat sociale karakter van de mens in gevaar
waardoor de keuze om zelf te beslissen wat met wie wordt gedeeld zou verdwijnen en onze
sociale wereld enorm beperkt zou worden69.
35. Enige tijd geleden ontstond er bijvoorbeeld heel wat commotie omtrent de zaak van de
Amerikaanse klokkenluider Edward Snowden. Hij lekte heel wat ‘top secret’ informatie van de
Amerikaanse geheime dienst NSA 70 . Hij onthulde dat deze dienst op enorme schaal de
internationale communicatie van op het internet aftapt met als opzet terrorisme een stap voor te
zijn. Dit deed hij aan de hand van een programma gekend onder de naam ‘PRISM’, Planning tool 67J.DE MUL en Y.H. VAN DER PLOEG, “Internet & Privacy” in Onderzoeksprogramma 'Internet en Openbaar Bestuur' 1999-‐2001, Rotterdam, Center for Public Innovation, 2003, 8. 68 A. MOORE, “Privacy Rights, Moral and Legal Foundations”, Verenigde Staten, Pennsylvania State University Press, 2010, 3.
69 J. RACHELS, “Why Privacy is Important”, Philosophy and Public Affairs, 1975, 323-‐333. 70 Afkorting voor “The National Security Agency”.
Begrippen en situering
19
for Resource Integration, Synchronization and Management. De vraag is natuurlijk of er enkel
informatie wordt verzameld relevant voor de terrorismebestrijding. Snowden,
systeembeheerder bij de dienst, vond dit ontoelaatbaar en stapte met zijn verhaal naar de pers.71
36. Wat vreemd genoeg opvalt is dat er beduidend veel positieve reacties zijn op PRISM.
Sommige individuen hebben er klaarblijkelijk geen probleem mee dat ze onder een constant
toezicht zouden kunnen staan, wat duidelijk een inbreuk op hun persoonlijke levenssfeer is. Met
als redenering “ik heb toch niets te verbergen” accepteren ze blindelings de uitholling van hun
recht op privacy. Dit is echter niet zo onschuldig als men denkt. DANIEL SOLOVE, professor en
privacywetgeving specialist aan de George Washington University, waarschuwt voor een te lakse
houding tegenover deze ‘niets te verbergen-‐visie’. Bij een gevat antwoord als "If you have
nothing to hide, then that quite literally means you are willing to let me photograph you naked?
And I get full rights to that photograph—so I can show it to your neighbors?” lijken mensen
wakker te schieten. In zijn boek weerlegt professor Soleve de ‘niets te verbergen-‐redenering’
zeer simpel; Everybody probably has something to hide from somebody. Iedereen heeft
waarschijnlijk wel iets voor iemand anders te verbergen72.
37. Het belang van het privacy begrip is de afgelopen jaren fors toegenomen. Het steeds
populairder worden van nieuwe technologieën als internet, digitale camera’s, elektronische
betaalsystemen, smartphones, ... liggen hier zeker mee aan de oorzaak van. We kunnen spreken
van een soort ‘digitalisering’ van het dagelijkse doen en laten van mensen. Door deze
digitalisering ontstaat er een massa aan gegevens die via ‘datamining-‐processen’ omgezet
kunnen worden in informatie die kan gebruikt worden door bedrijven voor bijvoorbeeld het
maken van individueel aangepaste reclamecampagnes 73. Wordt hierdoor onze persoonlijke
levenssfeer niet bedreigd?
38. Er moet in elk geval met een zekere alertheid gehandeld worden, gezien eenmaal deze
rechten uit handen gegeven zijn, ze niet zomaar teruggewonnen kunnen worden. Dit doet
denken aan het thema van het bekende boek ‘1984’ van GEORGE ORWELL dat spreekt over een Big
71 Uit vrees voor de Amerikaanse overheid vluchtte hij naar China, waar hij ondertussen ook al niet meer verblijft gezien er inmiddels een strafrechtelijke vervolging te wachten staat. 72 D. SOLOVE, Nothing to Hide: The False Tradeoff Between Privacy and Security, Verenigde Staten, Yale University Press, 2011, 21-‐33. 73 P. DE HERT EN S. GUTWIRTH, “Over privacy: filosofische reflecties”, CBPL, 2013, http://www.anthologieprivacy.be/sites/anthology/files/documents/Over-‐privacy-‐filosofische-‐reflecties.pdf.
Begrippen en situering
20
Brother-‐maatschappij. Wordt dit dan het resultaat van onze steeds laksere houding tegenover
onze privacy-‐rechten?
2.4 PRIVACY IN EEN DIGITALE OMGEVING 39. Hierboven werd verwezen naar Orwell ’s boek dat een samenleving creëert waarin de
overheid van alles op de hoogte is, elke beweging, elke handeling van elk individu wordt
voortdurend gecheckt door “het “Telescreen”. Dit is een speciaal scherm dat bij elke burger in
zijn woning aanwezig is. Het is een scherm dat zowel als televisietoestel functie doet maar
waarlangs de overheid rechtstreeks binnen kan kijken in de woonkamer van de burger om zo
elk doen en laten te registreren, ze staan onder constante ‘surveillance’74. Het Telescreen kan
vergeleken worden met ons huidige internet.75 Telkens we onze browser aanklikken en op het
net navigeren worden onze acties geobserveerd, persoonlijke informatie wordt opgeslagen en
dit zonder dat we ons ervan bewust zijn. Professor SOLOVE is echter van mening dat er niet meer
over ‘surveillance’ kan gesproken worden en merkt op dat het tegenwoordig eerder over
‘dataveillance’ gaat, een evolutie van het oude ‘surveillance’ begrip en als het ware een
surveillance 2.0. Het is een samenvoegsel van de termen ‘data’, onze gegevens en handelingen
op het internet, en ‘surveillance’, het toezicht en de controle van deze verzamelde gegevens.
ROGER CLARKE, professor en expert in privacy zaken, lanceerde het begrip in 1986 waarna het in
2009 zelf in de ‘Webster's New Millennium™ Dictionary of English’ werd opgenomen.76 Hij
definieert ‘dataveillance’ als: “the systematic use of personal data systems in the investigation or
monitoring of the actions or communications of one or more persons”; terwijl hij ‘surveillance’
eerder als: “the systematic investigation or monitoring of the actions or communications of one or
more persons. Its primary purpose is generally to collect information about them, their activities, or
their associates. There may be a secondary intention to deter a whole population from undertaking
some kinds of activity” omschrijft. 77
40. Gezien de mogelijkheid om informatie toch nog te verbergen kan men bij dataveillance niet
spreken over Orwells Big-‐Brother metafoor redeneert professor SOLOVE, niettegenstaande hij
74 G. ORWELL, Nineteen Eighty-‐four, Toronto, HarperCollins Canada, 2013, 335 p. 75 D.J. SOLOVE, The digital person, Technology and Privacy in the Information Age, New York en London, NYU Press, 2004, 29-‐35. 76 R. CLARKE, “Dataveillance and Information Privacy Home-‐Page”, 2013, http://www.rogerclarke.com/DV/ . 77 R. CLARKE, “Information technology and dataveillance” in: C. DUNLOP en R. KLING (eds.), Controversies in Computing, New York, Academic Press, 1991, 498-‐512.
Begrippen en situering
21
van mening is dat men die mogelijkheid nauwelijks nog heeft omwille van het feit dat personen
niet op de hoogte zijn van welke informatie door wie en met welk doel verzameld wordt.
2.5 HET PRIVACY-‐PARADOX
41. In het kader van deze masterproef is het belangrijk om het privacy-‐paradox meer in detail te
bespreken. In het vorige onderdeel werd duidelijk dat het vormen van een universele notie van
privacy geen peulenschil is, wat het ontwikkelen van een adequaat juridisch
beschermingssysteem ongetwijfeld bemoeilijkt.
42. We wezen in de inleiding al op het bestaan van een ‘illusion of control’ bij Facebook-‐
gebruikers. Deze laatsten gaan uit van een bepaalde impliciet afgesloten
zorgvuldigheidsovereenkomst met hun connecties op het sociale netwerk inzake de wijze
waarop met hun gegevens omgegaan wordt, en als het ware toestemming zou moeten gevraagd
worden wanneer ze deze gegevens willen gebruiken. Niets is echter minder waar gezien de
controle over vrijgegeven informatie door de aanbieder van de sociale netwerksite continu
wordt uitgehold. Dientengevolge spreekt men eerder over een privacy-‐illusie, dan over het
bestaan van een online-‐privésfeer.78 We kunnen bij wijze van spreken stellen dat Facebook een
informele online-‐omgeving is dat door gebruikers ervaren wordt als een verlenging van hun
persoonlijke levenssfeer in de digitale wereld, en bijgevolg een platform biedt voor de online
verderzetting van hun ‘offline’ sociale leven. In tegenstelling tot de vroegere trend die
anonimiteit op het internet promootte, ebt door dit vals veiligheid de belangstelling ervoor
langzaamaan weg.79
43. In dit hoofdstuk werd reeds uiteengezet hoe Facebook haar policy aanpaste en eerder het
‘publieke’ dan het ‘private’ stimuleert, en eigenlijk afdwingt door het continu aanpassen van de
privacy-‐instellingen. Ten eerste wezen we op het feit dat door middel van hun default
instellingen almaar meer inhoud standaard openbaar wordt gezet en bijgevolg zichtbaar is voor
iedereen op het internet (zelf niet-‐Facebook-‐gebruikers). Ten tweede toonden we aan dat
gebruikers de facto gebonden zijn aan de faciliteiten die de sociale netwerksite hen aanbiedt
voor het beschermen van hun persoonlijke gegevens, en op die manier dus onderworpen zijn
aan hun invulling van het privacy-‐concept. (Een voorbeeld hiervan was de schrapping in 2012 78 L. BRANDIMARTRE, “Privacy concerns and information disclosure: An illusion of control hypothesis”, iConference ’09 Posters, 8 februari 2009, https://www.ideals.illinois.edu/bitstream/handle/2142/15344/Poster.ppt.pdf?sequence=4 . 79 H. KENNEDY, "Beyond anonymity, or future directions for internet identity research", New Media & Society 2006, 861.
Begrippen en situering
22
van de mogelijkheid om niet gevonden te worden in de Facebook zoekfunctie.)
44. Daarnaast moeten we ons ook even stilstaan bij wat BARNES, professor aan het Rochester
Institute of Technology, het ‘privacy paradox’ noemt. In haar onderzoek constateerde ze dat er
een discrepantie was tussen het gemak waarmee tieners zich op exuberante wijze online
profileren, en de daar op volgende verontwaardiging wanneer bleek dat ook hun ouders op de
hoogte waren van hun handelingen op sociale netwerksites. BARNES definieert dit paradox als
“de ophef over het gevolg van online gegevens die de desbetreffende personen er zelf hadden
opgezet.” 80 Daarenboven stelt ze zelfs dat wanneer bepaalde informatie enkel zichtbaar zou zijn
voor onszelf, deze echter toch bewaard worden op de Facebook-‐server en bijgevolg zowel
geraadpleegd kan worden door de aanbieder van de sociale netwerksite zelf, als door derden ter
kwader trouw.81
45. Het voorgaande in beschouwing nemend kunnen we concluderen dat de gesupponeerde
mate van bescherming van de persoonlijke levenssfeer op sociale netwerken jammer genoeg een
illusie is. Dit vormt ongetwijfeld een aanzienlijke bedreiging voor de privacy van Facebook
gebruikers, daar zij, omwille van het feit dat zij hier geen zicht op hebben, zich de mate van
openbaarheid van hun informatie onvoldoende realiseren.82
46. Tot slot reikt BARNES in haar conclusie nog een mogelijks plausibele oplossing aan voor het
Privacy paradox. Ze legt de verantwoordelijkheid bij de ouders om hun kinderen te informeren
over de gevaren van online profilering en de eventuele gevolgen dat dit bijvoorbeeld met zich
mee kan brengen tijdens sollicitaties en toelatingen tot universiteiten in hun latere leven. De
oplossing ligt volgens haar in de eerste plaats bij individuen zelf die zich bewust moeten worden
van het aandeel dat ze hebben in de schending van hun eigen privacy. Pas daarna kan bepaald
worden in welke mate sociale netwerksites, die kennelijk steeds vaker geneigd zijn persoonlijke
informatie van hun leden publiekelijk beschikbaar te stellen, hiervoor verantwoordelijk zijn.83
80 S.B. BARNES, "A privacy paradox: Social networking in the United States", First Monday 2006; http://www.firstmonday.org/article/view/1394/1312. (Hierna: S.B. BARNES, "A privacy paradox: Social networking in the United States"). 81 S.B. BARNES, "A privacy paradox: Social networking in the United States", hfd. 2. 82 S.B. BARNES, "A privacy paradox: Social networking in the United States". 83 P. Speets, "Het privacy paradox", Meta Reporter, 27 januari 2012, http://www.metareporter.nl/2011/2012/01/27/het-‐privacy-‐paradox/.
Begrippen en situering
23
2.6 KRITISCHE REFLECTIE 47. Uit bovenstaande beschouwing is gebleken dat meermaals gepoogd is om een duidelijk
afgelijnde invulling te geven van het privacy-‐begrip. Over welke definitie nu als de enige juiste
wordt aanzien bestaat geen zekerheid.
48. De vraag kan echter gesteld worden of definiëring überhaupt wel aangewezen is. Volgens
SERGE GUTWIRTH, professor in de Mensenrechten aan de Vrije Universiteit Brussel, is dit bij de
notie ‘privacy’ geenszins aan de orde. Voordien werd reeds aangehaald hoe complex en
fluctuerend het begrip is, en eveneens talrijke dimensies van het menselijke leven en de
innerlijke vrijheid omvat. Een te strikte afbakening van het begrip zou kunnen leiden tot een
beperking van onze privacy. ‘Vrijheid’ valt tenslotte niet te definiëren en moet onbepaald blijven,
wil men niet verzaken aan de individuele vrijheid van individuen. Op grond van deze redenering
meent de professor dan ook dat er geen ‘juiste’ definitie bestaat van ‘privacy’. 84
49. Als de bewering van GUTWIRTH klopt, waarom trachtte menig jurist dan alsnog een parafrase
van het begrip vast te leggen? Een antwoord kan gevonden worden bij rechtskundige
stellingname dat het recht op de eerbiediging van het privéleven een subjectief recht, en bovenal
een persoonlijkheidsrecht is. Als we meegaan in dit betoog wordt snel duidelijk dat een
afgebakende definitie primordiaal is bij de bescherming van dit soort specifieke
persoonlijkheidsrechten. Deze categorisering van het recht op privacy binnen zuiver de
subjectieve rechten dreigt echter de persoonlijke vrijheid van rechtssubjecten nagenoeg volledig
uit te hollen, waardoor de uitoefening van het recht veeleer gelimiteerd wordt dan gevrijwaard.
50. Desalniettemin kan een deviatie het privacy-‐recht enkel verschoond worden als deze zich
voordeed in het kader van een legitieme doelstelling. Bij wijze van voorbeeld zou hier kunnen
verwezen worden naar de recentelijke afluisterpraktijken vanwege de Amerikaanse overheid,
met het oog op de strijd tegen het terrorisme. Dergelijke opvatting van de notie ‘privacy’ zou
leiden tot een degeneratie ervan tot een bekrompen recht dat enkel beschutting biedt aan strikte
en welomschreven aspecten, waardoor aan de werkelijke objectieven van de bescherming
voorbijgegaan wordt. 85
84 S. GUTWIRTH, “Privacyvrijheid: geen recht, maar de individuele zelfbepalingsvrijheid” in L. BOEYKENS, P. LAMBERT, P. THOMAS, P.J. HUSTINX (eds.), Privacy: Séminaire, Brussel, Ministerie van binnenlandse zaken, 1998, 93. 85 S. GUTWIRTH, “Privacyvrijheid: geen recht, maar de individuele zelfbepalingsvrijheid” in L. BOEYKENS, P. LAMBERT, P. THOMAS, P.J. HUSTINX (eds.), Privacy: Séminaire, Brussel, Ministerie van binnenlandse zaken, 1998, 96-‐97.
Begrippen en situering
24
3. BESLUIT BIJ HOOFDSTUK 1
51. Na bovenstaande uiteenzetting kunnen we besluiten een goed beeld te hebben geschetst van
de rol en functies van sociale netwerksites in onze huidige samenleving. We zagen hoe de snelle
vooruitgang van communicatietechnologieën ons in staat stelt een deel van het werkelijke leven
voort te zetten op een digitaal niveau. Deze verplaatsing bleek echter ook gewichtige risico’s in
te houden voor de veiligheid van de persoonlijke levenssfeer van individuen op het internet. Uit
onderzoek kwam zelfs naar voor dat deze laatsten, in tegenstelling tot de waarde die zij aan hun
privacy hechtten en de wens naar een adequate bescherming ervan, vaak tegenstrijdig gedrag
vertonen door het onbezonnen vrijgeven van persoonlijke informatie op sociale netwerksites.
Desalniettemin is, teneinde dit recht optimaal te beschermen, een precieze afbakening van
privacy-‐begrip primordiaal. We kunnen er echter, ondanks de vele fanatieke pogingen doorheen
de jaren, van uitgaan dat het juridisch definiëren van het privacy-‐begrip allesbehalve kinderspel
is. Daarbij is de notie onderhevig aan diverse maatschappelijke factoren en dient de complexiteit
en het abstract karakter ervan benadrukt te worden.
52. Vooreerst constateerden we de beïnvloeding door continue evolutie van politieke,
economische, sociale en politieke waarden, en merkten we op dat de invulling van het privacy-‐
recht vrij situatiegevoelig is. We zagen evenzeer dat het om een relatief begrip gaat, gezien de
individuele belangen van personen de duiding ervan mee gaan bepalen. Tot slot dient het
belang van de wettelijke waarde die aan het recht op privacy gegeven wordt, geaccentueerd te
worden, gezien zij de intensiteit en degelijkheid ervan vastlegt. In onze westerse maatschappij
vormt dit nagenoeg geen probleem, daar de eerbiediging van het privéleven een fundamenteel
mensenrecht is dat door verschillende wetgevende instrumenten gevrijwaard wordt.
53. Teneinde dergelijke grondrechten van burgers, waaronder het recht op privacy, effectief te
beschermen, dient de verzameling van persoonlijke informatie op het internet onderworpen te
worden aan concrete en goed gefundeerde regels. Op Europees niveau wordt de bescherming
van persoonsgegevens geregeld door de Richtlijn 95/46/EG betreffende de Bescherming van
Natuurlijk Personen in verband met de Verwerking van Persoonsgegevens en betreffende het
Vrije verkeer van die Gegevens. Deze supranationale wetgeving bepaalt voor het grootste deel
de onderscheiden nationale wetgevingen met betrekking tot gegevensbescherming.
Gezien de veranderde omstandigheden diende het Europees Parlement in 2012 een voorstel in
tot een nieuwe verordening inzake gegevensbescherming. Het ziet ernaar uit dat deze regels
Begrippen en situering
25
ingrijpende veranderingen teweeg zullen brengen voor het verzamelen en verwerken van
persoonlijke gegevens. In het volgende hoofdstuk wordt een schets gemaakt van zowel de
huidige Europese als Belgische geldende wetgeving en worden de relevante nieuwe bepalingen
van de ontwerptekst van het voorstel tot Algemene Verordening Gegevensbescherming
toegelicht.
Juridisch kader
26
HOOFDSTUK 2: JURIDISCH KADER
1. EUROPESE WETGEVING
1.1 ONTWIKKELINGEN
54. De eerbiediging van het privéleven wordt in Europa gewaarborgd sinds 1950 wanneer de
Raad van Europa het Europees Verdrag voor de Rechten van de Mens (EVRM) goedkeurde.86 In
de loop van de jaren 1960 en 1970 werd duidelijk dat de snelle evolutie van
communicatietechnologieën, waaronder bijvoorbeeld het internet en de toenemende toezicht
mogelijkheden, serieuze gevolgen kon inhouden voor zowel de private als de publieke sector.
De toenmalige wetgeving ter bescherming van de privacy van persoonlijke informatie bood het
hoofd niet meer aan de nieuwe problemen die rezen ten gevolge van deze evolutie. Zo zag men
dat de invulling in het EVRM van het begrip van ‘privéleven’ onderhevig was aan een aantal
beperkingen waardoor de draagwijdte ervan onzeker bleek en de toepassing vooral gericht was
op het beschermen van onderdanen tegen het ongeoorloofd ingrijpen van overheden en niet
tegen inmengingen van private organisaties. De nood naar een nieuw Europees juridisch kader
was hoog. Daarom keurde de Raad van Europa in 1981 het Verdrag inzake
Gegevensbescherming (Verdrag 108) goed en werd het door de meeste landen van de Europese
Unie bekrachtigd. 87 Tegelijkertijd stelde de Organisatie voor Economische Samenwerking en
Ontwikkeling (OESO) richtlijnen op om haar leden aan te sporen maatregelen te nemen om de
persoonlijke informatie veilig te stellen.88
55. De eerbiediging van het privéleven en het recht op privacy liggen ongetwijfeld zeer dicht bij
elkaar maar zijn toch elk op zich individuele en fundamentele rechten in het Europees Handvest 86 Het EVRM of Europees Verdrag voor de rechten van de Mens komt later aan bod. 87 Verdrag 108 van 28 januari 1981 tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens van de Raad van Europa, http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm . (Hierna: Verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens.) 88 Deze richtlijnen zijn te raadplegen op de website van het OECD: http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm . In 2013 werden deze echter bijgewerkt om beter het hoofd te bieden aan hedendaagse problemen: http://www.oecd.org/sti/ieconomy/privacy.htm .
Juridisch kader
27
van de Grondrechten.89 Dit was de eerste maal dat de bescherming van persoonlijke gegevens
als een afzonderlijk recht voor onderdanen werd omschreven.
56. Er moet evenwel een duidelijk onderscheid gemaakt worden tussen het initiatief van de
Raad van Europa enerzijds en deze op het niveau van de Europese Unie. Dit in de volgende
paragrafen wordt toegelicht.
1.2 RAAD VAN EUROPA
1.2.1 VERDRAG 108, een eerste internationaal bindend instrument
57. Zoals eerder vermeld nam de Raad van Europa in 1981 het Verdrag 108 tot bescherming van
personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens aan.90 Het is
het eerste internationaal bindend instrument dat de juridische omkadering biedt voor de
overdracht van persoonsgegevens tussen landen die het verdrag hebben geratificeerd.91 Elke
nationale wetgeving dient volgens artikel 4 van het verdrag aan deze grondbeginselen
uitvoering gegeven hebben vooraleer een staat kan toetreden. In het verdrag vindt men
definities van bepaalde algemeen erkende beginselen en juridisch bindende normen en heeft tot
doel om: “op het grondgebied van elke Partij aan iedere natuurlijke persoon, ongeacht zijn
nationaliteit of verblijfplaats, de eerbiediging van zijn rechten en fundamentele vrijheden te
waarborgen en met name zijn recht op persoonlijke levenssfeer ten opzichte van de
geautomatiseerde verwerking van persoonsgegevens hem betreffend (« databescherming »).” 92
58. Deze beginselen vormen vandaag nog steeds de essentie van iedere nationale
gegevensbeschermingswetgeving. Het verdrag bepaalt dat persoonlijke gegevens op een
“eerlijke en rechtmatige wijze verkregen en verwerkt” moeten worden en dat ze slechts “mogen
worden bewaard in een zodanige vorm dat de betrokkene hierdoor niet langer te identificeren is
dan strikt noodzakelijk voor het doel waarvoor de gegevens zijn opgeslagen.” De technologisch-‐ 89 Het Handvest van de Grondrechten van de Europese Unie werd goedgekeurd in het jaar 2000 en opnieuw bevestigd in 2007. 90 Het Verdrag werd in 2001 aangevuld met een nieuw protocol inzake grensoverschrijdend verkeer van gegevens en bepalingen inzake de toezichthoudende autoriteiten. Ook in 2012 werd het verdrag ingrijpend vernieuwd. De huidige tekst is te raadplegen op: http://www.coe.int/ t/dghl/standardsetting/dataprotection/TPD_documents/T-‐PD_2012_04_rev2_En.pdf. In 2013 werden opnieuw voorstellen ingediend ter modernisering van het Verdrag. Zie G. GREENLEAF, "Modernising' Data Protection Convention 108: A Safe Basis for a Global Privacy Treaty?", Computer Law & Security Review 2013, 4. 91 Tot op heden hebben 43 Europese staten het verdrag geratificeerd. 92 Artikel 1 van het Verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens.
Juridisch kader
28
neutrale bepalingen van het Verdrag legt een minimumbescherming vast inzake de bescherming
van individuen tegen de aantasting van hun privacy door particulieren of openbare instellingen
bij het verzamelen en verwerken van persoonlijke informatie. 93 94
59. Het recht op bescherming van persoonlijke informatie omvat ongetwijfeld de bescherming
van de privacy maar reikt de facto veel verder dan dat. Uit het verklarend rapport over het
verdrag leiden we af dat met de term ‘gegevensbescherming’ niet enkel het waarborgen het
privacy-‐recht van de betrokken persoon bedoeld wordt maar ook de bescherming van
fundamentele rechten en vrijheden. Zo leest men dat: “De preambule de verplichting inhoudt van
de ondertekenende lidstaten tot bescherming van de mensenrechten en fundamentele vrijheden.
Bovendien bevestigt het dat de onbelemmerde uitoefening van de vrijheid om informatie te
verwerken, onder bepaalde voorwaarden, de uitoefening van andere fundamentele rechten (als
bijvoorbeeld werkgelegenheid en koopdracht) nadelig kan beïnvloeden. Om een degelijk evenwicht
tussen de verschillende rechten en individuele belangen te bewaren schrijft het verdrag bepaalde
voorwaarden of beperkingen voor met betrekking tot het verwerken van informatie. Geen enkel
ander motief kan de maatregelen die de contracterende staten ondernemen op dit gebied
verantwoorden.” 95
60. De doelstelling van het verdrag is zeker niet om elke verwerking van persoonlijke gegevens
vanzelfsprekend te kwalificeren als een inbreuk op het privéleven, maar dat, gelet op de
bescherming van de fundamentele rechten en vrijheden (waaronder de persoonlijke
levenssfeer), bij iedere verwerking rekening moet worden houden met welbepaalde
voorwaarden en grenzen door de wet opgelegd.96
1.2.2 AANBEVELING van de Raad
61. De impact van sociale netwerksites op het dagelijkse leven van individuen bleef ook de Raad
van Europa niet onopgemerkt. In 2012 gaf het Comité van Ministers enkele aanbevelingen
93 X., “Dag van de gegevensbescherming: waarborging van het recht op privacy”, Press releases database, Europese Commissie, 2011, http://europa.eu/rapid/press-‐release_IP-‐11-‐102_nl.htm. 94 Artikel 3 van het Verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens. 95 Explanatory Report on the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Strasbourg, Council of Europe, 1981, 13, nr. 25. 96 P.J. HUSTINX, “Gegevensbescherming in de informatiemaatschappij” In E.J. NUMANN (ed.), Massificatie in het privaatrecht. Opstellen ter gelegenheid van het 200-‐jarige bestaan van het genootschap Iustitia et Amicitia, Deventer, Kluwer, 2010, 77.
Juridisch kader
29
inzake de bescherming van de fundamentele mensenrechten in het kader van sociale
netwerkdiensten.97 De aanbeveling is onderverdeeld in drie delen.
62. Vooreerst benadrukt het Comité de positieve en bevorderende functie van sociale
netwerksites op het vlak van de democratie en de beleving van de fundamentele mensenrechten.
Zo wordt gesteld dat deze netwerken tegenwoordig de toegankelijkheid en mogelijkheid tot
participatie van personen in het politieke, sociale en culturele leven versterken. Bovendien
bieden ze een effectief platform aan individuen voor het uitoefenen van hun basisrechten zoals
‘het recht op vrije meningsuiting’, ‘de vrijheid van gedachte en geweten’ en de ‘vrijheid van
informatie’.98
63. In het tweede onderdeel van de aanbeveling waarschuwt de Raad voor mogelijke risico’s die
het gebruik van sociale netwerken met zich kunnen meebrengen voor datzelfde recht op vrije
meningsuiting , de eerbiediging van het privéleven en wordt gewezen op de mogelijke uitsluiting
van gebruikers. Deze risico’s zijn vooral te wijten aan: een gebrek aan legale en procedurele
beschermingsmaatregelen om kinderen af te schermen van schadelijke inhoud of gedragingen
en tegen de miskenning van andermans rechten, het ontbreken van privacy-‐vriendelijke
standaardinstellingen en een duidelijke kennisgeving van de beweegredenen voor de
verzameling van informatie. 99 Daarnaast wijst het Comité op de het belang van
mediageletterdheid in het kader van sociale netwerken om de hiervoor genoemde gevaren af te
wenden, bij het bewustmaken van gebruikers inzake de rechten waarover ze beschikken en op
welke manier ze die van anderen optimaal eerbiedigen.100
64. Het laatste onderdeel worden aanbieders van sociale netwerkdiensten aangemaand om de
algemene procedurele rechten van onderdanen te respecteren. Ook lidstaten worden
aangespoord om in overleg met deze aanbieders een samenhangend beleid te ontwikkelen
inzake de bescherming van de mensenrechten op sociale netwerksites in overeenstemming met
de doelstellingen opgenomen in de appendix.101
97 Aanbeveling CM/Rec(2012)4 van 4 april 2012 van het Comité van Ministers inzake de bescherming van mensenrechten met betrekking tot sociale netwerkdiensten, https://wcd.coe.int/ViewDoc.jsp?Ref=CM/Rec(2012)4&Language=lanFrench&Ver=original&Site=CM&BackColorInternet=DBDCF2&BackColorIntranet=FDC864&BackColorLogged=FDC864. (Hierna: Aanbeveling van het Comité van Ministers inzake sociale netwerksites). 98 Overweging 1 en 2 Aanbeveling van het Comité van Ministers inzake sociale netwerksites, 1. 99 Overweging 3 Aanbeveling van het Comité van Ministers inzake sociale netwerksites, 1. 100 Overweging 4 Aanbeveling van het Comité van Ministers inzake sociale netwerksites, 1. 101 Overweging 5 en 6 Aanbeveling van het Comité van Ministers inzake sociale netwerksites, 1-‐2; Appendix bij de Aanbeveling van het Comité van Ministers inzake sociale netwerksites, 2-‐6. De doelstellingen van deze appendix zijn op hun beurt eveneens onderverdeeld in drie thema’s. Een eerste
Juridisch kader
30
65. Over de draagwijdte en gevolgen van de aanbevelingen van de Raad van Europa kan nog niet
veel gezegd worden. Wat wel vaststaat is dat het hier gaat om loutere ‘aanbevelingen’, en deze
zijn bijgevolg niet bindend voor de Lidstaten van de Raad. Daarentegen hebben ze wel een
belangrijke morele waarde.102
1.3 DE RICHTLIJN BESCHERMING PERSOONSGEGEVENS (EUROPESE UNIE)
66. Sinds het jaar 2000 vindt de bescherming van deze persoonsgegevens haar grondslag in
artikel 8 van het Handvest van de grondrechten van de Europese Unie, gezien ze een zeer
essentieel element is om het recht op privacy te waarborgen. 103 Het verdrag stond echter de
ontwikkeling van de interne markt en de economische voordelen die ervan verwacht werden in
de weg. Op vraag van het Europese Parlement diende de Europese Commissie een voorstel in bij
het Europese Parlement en de Raad van Ministers van de Europese Unie, met als doelstelling ‘het
vrije verkeer van persoonlijke gegevens binnen de Europese Unie te garanderen’. 104
67. Op 24 oktober 1995 werd de ‘Richtlijn betreffende de verwerking en bescherming van
persoonsgegevens’ (of korter RBP) goedgekeurd. Deze richtlijn staat ook gekend als de
‘Privacyrichtlijn’. 105 In 2008 vulde de Raad deze richtlijn aan met een Kaderbesluit. 106 De
richtlijn tracht in haar eerste artikel te voorzien in een algemeen juridische omkadering voor de
verwerking en bescherming van persoonsgegevens en in het waarborgen van het ‘vrije verkeer’
van deze gegevens tussen alle lidstaten van de Europese Unie.107 Uit de overwegingen van de
richtlijn wordt al snel duidelijk wat de uiteindelijke beweegredenen waren voor het tot stand
thema gaat over welke informatie essentieel is voor gebruikers om op een goede manier met sociale netwerken om te gaan(overwegingen 1 tot 4), In het tweede onderdeel worden richtlijnen gegeven aan lidstaten voor het nemen van maatregelen inzake de bescherming van kinderen en jongeren tegen schadelijke inhoud(overwegingen 5 tot 11), en in het laatste actiegebied bevinden zich de voorschriften met betrekking tot het verwerking van persoonsgegevens(overwegingen 12 tot 15). 102 E. WOUTERS, "Mensenrechten en sociale media', EMSOC, 18 april 2012; http://www.emsoc.be/3298-‐mensenrechten-‐en-‐sociale-‐media/. 103 Het Handvest betreffende de Grondrechten van de Europese Unie, Pb.L. 18 december 2000, afl. 364, 1-‐22. Te raadplegen op: http://www.europarl.europa.eu/charter/pdf/text_nl.pdf . 104 T.F.M. HOOGHIEMSTRA en S. NOUWT, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag, Sdu Uitgevers, 2007, 15. 105 Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb.L. 23november 1995, afl. 281, 31-‐50. (Hierna: Richtlijn Bescherming Persoonsgegevens.) 106Kaderbesluit 2008/977/JBZ van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, Pb.L. 30 december 2008, afl. 350, 60 e.v. 107 Artikel 1 Richtlijn Bescherming Persoonsgegevens.
Juridisch kader
31
komen van deze richtlijn. Overweging 4 en 5 verklaren dat deze richtlijn er moest komen omdat
in die periode steeds meer persoonsgegevens verwerkt werden en ondernemingen, die zich
bovendien in verschillende lidstaten gevestigd hadden, vaker deze informatie onderling gingen
uitwisselen. Het bewustzijn van de steeds belangrijkere rol van elektronische communicatie en
technologische evoluties in de informatiemaatschappij wordt door overweging 6 in de verf
gezet. Naast de bescherming legt de richtlijn terzelfdertijd ook strikte grenzen op aan het
vergaren en verwerken van persoonlijke gegevens. Persoonlijke gegevens worden door
aanbieders van diensten op het internet op allerlei manieren verzameld en opgeslagen in
allerhande databanken. Wanneer deze opgeslagen gegevens misbruikt worden, houdt dit een
inbreuk in op het recht op privacy.108
1.3.1 Werkingssfeer
68. De richtlijn bepaalt in artikel 3 dat ze van toepassing is “op de geheel of gedeeltelijk
geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-‐geautomatiseerde
verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin
te worden opgenomen.” 109 Met andere woorden is de bescherming zowel van kracht wanneer de
verwerking gebeurt met behulp van communicatietechnologieën, alsook wanneer er geen
geautomatiseerde verwerking plaatsvond. Hieruit kunnen we afleiden dat de verwerking van
persoonsgegevens door sociale netwerksites onder het toepassingsgebied valt.
69. De wet geeft ook een invulling aan bepaalde belangrijke en relevante begrippen als
persoonsgegevens, verwerking van persoonsgegevens, verwerker, toestemming van de
betrokkene,... 110 Zo worden ‘persoonsgegevens’ bijvoorbeeld omschreven als: “iedere informatie
betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te
noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden
geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke
108 J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐Deel 2: Artikelsgewijze commentaar -‐ Volume I, Antwerpen, Intersentia, 2004, 735, nr. 34. “Onder auspiciën van de Raad van Europa werd in 1981 een aanvullend verdrag gesloten: het zgn. Dataprotectie-‐verdrag. Dit verdrag is een uitwerking van het recht op eerbiediging van het privéleven van artikel 8 EVRM voor de bescherming van persoonsgegevens bij geautomatiseerde verwerking en is de aanzet geweest tot het uitvaardigen van de Belgische Wet Bescherming Persoonsgegevens van 1992.“ (Hierna: J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐Deel 2: Artikelsgewijze commentaar -‐ Volume I.) 109 Artikel 3, 1 Richtlijn Bescherming Persoonsgegevens. 110 Artikel 2, a) – h) Richtlijn Bescherming Persoonsgegevens.
Juridisch kader
32
elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische,
culturele of sociale identiteit.”
1.3.2 Algemene voorwaarden betreffende de legitimiteit van de gegevensverwerking.
70. In het tweede hoofdstuk van de richtlijn worden een aantal beginselen uiteengezet waaraan
bij de verwerking van persoonsgegevens voldaan moet worden. Zo komen de kwaliteit, de
toelaatbaarheid, uitzonderingen en enkele bijzondere categorieën aan bod.
71. Artikel 6 RBP legt de lidstaten op om te bepalen dat persoonsgegevens eerlijk en rechtmatig,
voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden
verkregen en niet verwerkt mogen worden op een manier die onverenigbaar zou zijn met deze
doelstellingen. Zij dienen, uitgaande van die doeleinden, toereikend, ter zake dienend en niet
overmatig te zijn. 111 De gegevens moeten ook nauwkeurig zijn en indien nodig worden
bijgewerkt. Ze moeten verwerkt worden in een vorm die het mogelijk maakt de betrokkene te
identificeren en mogen slechts voor de tijd die noodzakelijk is om de doelstellingen te bereiken
worden bewaard. De verantwoordelijke voor de verwerking heeft dan ook de plicht toe te zien
op de naleving van deze vereisten. Hier wordt later dieper op ingegaan.
De toelaatbaarheid van de verwerking wordt besproken in artikel 7 van de richtlijn. Het artikel
beschrijft de verschillende modaliteiten waarin het toegelaten is om persoonsgegevens te
verwerken. Gegevens mogen enkel verwerkt worden wanneer dit noodzakelijk is om de
doelstellingen te bereiken. 112 Dit is de veruitwendiging van het ‘proportionaliteitsbeginsel’. 113
72. Vervolgens worden enkele bijzondere categorieën voor de verwerking uiteengezet.
Lidstaten worden verplicht te bepalen dat het verwerken van gegevens waaruit raciale of
etnische afkomst, godsdienstige of levensbeschouwelijke overtuiging, politieke opvattingen of
lidmaatschap van een vakvereniging blijkt, verboden is. Verder is ook de verwerking van
gegevens die de gezondheid of het seksuele betreffen uit den boze. 114
111 Dit noemt men ook wel het ‘Finaliteitsbeginsel of het beginsel van het gerechtvaardigd doeleinde is de basis van de privacybescherming in vele landen; K. VAN RAEMDONCK, De verwerking van persoonsgegevens in de banksector. De invloed van de Wet van 8 december 1992, Jura Falc. 1996, 649-‐690. 112 Artikel 7 Richtlijn Bescherming Persoonsgegevens. 113 Dit is een juridisch beginsel dat inhoudt dat een sanctie in verhouding dient te zijn met de zwaarte van de fout, overtreding. Dit om willekeur in strafmaten te voorkomen. 114 Artikel 8 Richtlijn Bescherming Persoonsgegevens.
Juridisch kader
33
73. Echter, om het recht op privacy te harmoniseren met het recht op vrije meningsuiting wordt,
uitsluitend voor journalistieke, artistieke of literaire doeleinden, in een uitzondering voorzien.115
De lidstaten dienen daarom, enkel voor zover nodig, een afwijking op de gedragscodes en regels
in verband met de doorgifte van gegevens naar derde landen toe te staan. 116
74. De artikelen 10 en 11 zijn de uitwerking van het ‘transparantiebeginsel’. Ze bepalen welke
informatie minimaal dient gegeven te worden aan de persoon wiens gegevens verwerkt worden.
Betrokkenen beschikken bovendien over een ‘recht van toegang’, dat is het recht om de
gegevens te raadplegen, maar ook over een ‘recht van rectificatie en uitwisseling of afscherming
van gegevens waarvan de verwerking niet overeenstemt met de bepalingen van de richtlijn’.117
In artikel 13 komen de uitzonderingen en beperkingen op de voorgaande artikels aan bod.
Lidstaten hebben de mogelijkheid om wettelijke beperkingen op te leggen aan de toepassing van
artikelen 6, 10, 11, 12 en 21; respectievelijk aan de kwaliteit van gegevens, de
informatieverstrekking, het recht van toegang en de openbaarheid van de verwerking.
75. De Richtlijn legt daarenboven aan lidstaten de verplicht op om de betrokkene een recht van
verzet toe te kennen in de vermelde omstandigheden118, en artikel 15 beschermt elk individu
tegen beslissingen die louter gebaseerd zijn op geautomatiseerde systemen van
gegevensverwerking. Het vertrouwelijkheidsbeginsel de beveiliging van de verwerking vinden
hun grondslag in artikel 16 en 17. Voorts legt het tweede hoofdstuk een verplichting tot melding
bij de toezichthoudende overheid op aan de verantwoordelijke voor de verwerking (artikel
18).119 De regelen in verband met deze toezichthoudende autoriteit liggen vast in artikel 20 en
21.
1.3.3 Geen specifieke bescherming voor minderjarigen
76. Hoewel de bepalingen van de RBP natuurlijk ook van toepassing zijn op minderjarigen, zijn
er geen bepalingen die de situatie van minderjarigen in het bijzonder regelen. Men kon echter
115 Artikel 9 Richtlijn Bescherming Persoonsgegevens. 116 Hoofdstukken IV en V Richtlijn Bescherming Persoonsgegevens. 117 Artikel 12, c) Richtlijn Bescherming Persoonsgegevens: Betrokkenen hebben ook het recht van kennisgeving aan derden van elk van de handelingen in a) en b). 118 Artikel 14 Richtlijn Bescherming Persoonsgegevens 119 De inhoud van de melding wordt bepaald in artikel 19. Zoals eerder vermeld legt Artikel 28 van de Richtlijn Bescherming Persoonsgegevens aan elke lidstaat op om een autoriteit op te richten die wordt belast met het toezicht op de toepassing van de geïmplementeerde bepalingen van de richtlijn op zijn grondgebied. In België werd de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (of het CBPL) opgericht om aan de toezichtplicht op de toepassing van de privacywet van 8 december 1992 te voldoen.
Juridisch kader
34
ten tijde van de redactie van de Richtlijn in ‘95 nog niet weten welke enorm belangrijke rol het
internet en sociale netwerken in ons leven zouden innemen, waardoor er geen specifieke
bepalingen met betrekking tot minderjarigen of jongeren werden voorzien.
In tegenstelling tot de huidige richtlijn zien we dat er in het voorstel van Europees Commissaris
Viviane Reding tot het Algemene verordening inzake Gegevensbescherming dat er wel in het
bijzonder aandacht wordt besteed aan de bescherming van de persoonlijke informatie van
minderjarigen.120 (Het voorstel wordt later toegelicht.)
1.4 EVRM
1.4.1 Artikel 8 EVRM
77. Bij de schetsing van het huidig juridisch kader kunnen de bepalingen van het Europees
Verdrag voor de Rechten van de Mens (EVRM) zeker niet buiten schot blijven. Het is één van de
voornaamste Europese verdragen inzake het recht op privacy. De bescherming van dat recht en
van het communicatiegeheim vinden hun grondslag in artikel 8 van het EVRM.121 Het artikel
luidt als volgt:
“Lid 1
Een ieder heeft recht op respect voor zijn privéleven, zijn familie-‐ en gezinsleven, zijn woning en
zijn correspondentie.
Lid 2
Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor
zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van
de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het
voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de
goede zeden of voor de bescherming van de rechten en vrijheden van anderen;” 122
78. Hoewel het artikel zowel spreekt over de eerbiediging van de woning, het gezinsleven, de
correspondentie als over de eerbiediging van het ‘privéleven’, vervult deze laatste in het
120 Hier moet de vergelijking gemaakt worden met de Amerikaanse COPPA, waarop de regels in de Ontwerptekst gebaseerd zijn. 121 Het Verdrag 4 november 1950 tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: EVRM) is te raadplegen op: http://www.echr.coe.int/Documents/Convention_NLD.pdf . 122 Artikel 8 EVRM.
Juridisch kader
35
algemeen de rol van overkoepelend begrip dat de andere elementen uit het eerste lid omvat. 123
In de Belgische rechtspraak wordt de directe werking van de meeste artikels van het EVRM
aanvaard waardoor particulieren zich ten overstaan van nationale of Europese rechterlijke
instanties rechtstreeks op de bepalingen ervan kunnen beroepen.124
1.4.2 Relatief recht
79. Er moet echter wel gewezen worden op het feit dat artikel 8 een relatief recht is 125, gezien
de artikels 8 tot en met 11 van het EVRM bepalen in hun tweede lid bepalen onder welke
omstandigheden afgeweken kan worden. Deze bepalingen worden ’escape-‐clausules
genoemd.126 Dit betekent dat, hoewel het recht zowel inhoudelijk als in reikwijdte duidelijk
wordt omschreven, de mogelijkheid bestaat dat het onderworpen wordt aan inmengingen of
beperkingen waardoor in specifieke omstandigheden de toepassing ervan belet wordt door de
bescherming van een ander, hoger recht (bijvoorbeeld het recht op vrije meningsuiting).127 In
paragraaf 2 van artikel 8 EVRM lezen we de voorwaarden aan welke moet voldaan zijn zodat een
inmenging toegelaten is, namelijk wanneer ze “noodzakelijk is voor de democratische
samenleving”, “ze bij wet is voorzien” en gebeurt “in het belang van een legitieme
doelstelling”. 128
1.4.3 De notie ‘privéleven’
80. Om een duidelijk beeld te vormen van de draagwijdte van de bescherming van het
privéleven die het EVRM biedt is het noodzakelijk dit begrip duidelijk af te bakenen. Het
Europese Hof voor de Rechten van de Mens (Hierna: EHRM) gaf het door middel van haar
rechtspraak een concrete invulling.129 Het recht op eerbiediging van het privéleven omvat het
recht op autonomie om zelf te bepalen op welke manier men zijn leven leidt, om beschermd te
worden tegen de nieuwsgierigheid van anderen en om te beslissen over welke zaken van zijn
privéleven hij openbaar maakt. De persoonlijke autonomie die ons in staat stelt beslissingen te
123 P. DE HERT, “Recht op privacy” in J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐Deel 2: Artikelsgewijze commentaar -‐ Volume I, 711-‐713. 124 J.S. VANWIJNGAERDEN, “De werking van grondrechten tussen particulieren, geïllustreerd met voorbeelden”, Jura Falc. 2007, 217-‐248. 125 J. VANDE LANOTTE, Handboek EVRM -‐ Deel 1: Algemene Beginselen, Antwerpen, Intersentia, 2004, 94. (Hierna: J. VANDE LANOTTE, Handboek EVRM -‐ Deel 1: Algemene Beginselen,.) 126 J. VANDE LANOTTE, Handboek EVRM -‐ Deel 1: Algemene Beginselen, 123. 127 J. VANDE LANOTTE, Handboek EVRM -‐ Deel 1: Algemene Beginselen, 92. 128 P. DE HERT, “Recht op privacy” in J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐Deel 2: Artikelsgewijze commentaar -‐ Volume I, 711-‐712. 129 P. LEMMENS (ed.), Uitdagingen door en voor het E.V.R.M., Mechelen, Kluwer, 2005, 3-‐14.
Juridisch kader
36
maken betreffende ons eigen leven is een kernelement van het recht op eerbiediging van het
privéleven. 130 Een ander onderdeel is het recht op een persoonlijke identiteit, waaronder ook
het recht op naam en het recht om informatie over zijn identiteit te krijgen.131 Ook de morele,
fysieke en psychische integriteit132, de levenskwaliteit133 en de seksuele oriëntatie van personen
worden door dit recht beschermd.134
81. Het wordt duidelijk dat, gezien de grote hoeveelheid rechtspraak hieromtrent, het concept
‘privéleven’ een enorme lading dekt en dat het Hof op deze manier de invulling van het begrip
tracht af te bakenen.
1.4.4 Verplichtingen
82. Het recht op eerbiediging van het privéleven van artikel 8 EVRM legt aan staten de negatieve
verplichting op om geen inmengingen te doen in het privéleven van burgers, tenzij dit bij wijze
van uitzondering door §2 van het artikel toegelaten wordt.135 Naast de negatieve verplichting
legt het recht ook positieve verplichtingen op.136 De staat moet het eerst en vooral mogelijk
maken het recht op eerbiediging van het privé-‐en gezinsleven uit te oefenen maar moet
anderzijds handelingen van particulieren die een inbreuk uitmaken op het recht voorkomen en
zo nodig sanctioneren.137 Het opleggen van deze verplichtingen is een middel om het stilzitten
van de interne overheid tegen te gaan. In de praktijk hebben de positieve verplichtingen tot een
verruiming van de werkingssfeer en de draagwijdte van de artikelen geleid waardoor deze nu
ook toepasselijk zijn op aspecten waarop het verdrag voorheen amper een invloed had.138
130 B. DOCQUIR, Le droit de la vie privée, Brussel, Larcier, 2008, 65-‐73. 131 EHRM 13 februari 2003, nr. 42326/98, Odièvre v. France, E.H.R.R. 2003, § 29; EHRM 22 februari 1994, nr. 16213/90, Burghartz v. Switzerland, Publ.Hof, Vol. 280-‐B, § 24. 132 B. DOCQUIR, Le droit de la vie privée, Brussel, Larcier, 2008, 65-‐73. 133 P. DE HERT, “Recht op privacy” in J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐Deel 2: Artikelsgewijze commentaar -‐ Volume I, 731-‐732. 134 P. DE HERT, “Recht op privacy” in J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐Deel 2: Artikelsgewijze commentaar -‐ Volume I, 732-‐735. 135 C. RUSSO, “Article 8, § 1” in L.-‐E. PETTITI, E. DECAUX en P.-‐H. IMBERT (eds.), La Convention Européenne des Droits de l’Homme. Article par article, Parijs, Economica, 1995, 306-‐307. 136 C.W. VAN DER POT, D.J. ELZINGA en R. DE LANGE (eds.), Handboek van het Nederlandse staatsrecht, Deventer, Kluwer, 2006, 391; EHRM 31 januari 2006, nr. 50435/99, Rodrigues da Silva v. Nederland. 137 P. DE HERT, “Recht op privacy” in J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐Deel 2: Artikelsgewijze commentaar -‐ Volume I, 740-‐741. 138 J. VANDE LANOTTE, Handboek EVRM -‐ Deel 1: Algemene Beginselen, 99-‐100.
Juridisch kader
37
1.4.5 Positieve verplichtingen voortvloeiend uit het EVRM
83. Het wordt algemeen aanvaard dat minderjarigen ook onder het toepassingsgebied vallen
van de bepalingen omtrent de eerbiediging van het privéleven van artikel 8 EVRM.139 Bijgevolg
gelden voor verdragstaten dezelfde positieve verplichtingen tegenover kinderen. Zo bevestigde
het EHRM in haar uitspraak van 2 december 2008 in de zaak K.U. tegen Finland de positieve
verplichtingen van verdragstaten bij de bescherming van de privacy van minderjarigen, meer
bepaald op het internet.140
1.4.5.1 K.U. tegen Finland
84. De zaak werd ingeleid in 1999 door een klacht van een twaalfjarig Fins kind (K.U.) dat het
slachtoffer was geworden van online pedofiele praktijken. Een onbekende persoon had in de
naam van K.U. een advertentie op een online datingsite geplaatst waarin hij te kennen gaf op
zoek te zijn naar een intieme relatie. De advertentie vermeldde daarenboven ook zijn
geboortejaar, leeftijd, een nauwkeurige beschrijving van zijn fysieke kenmerken en een directe
link naar zijn persoonlijke webpagina waarop zijn foto en telefoonnummer te zien waren. De
betrokkene (K.U.) was hiervan niet op de hoogte tot op het moment dat hij een e-‐mail kreeg van
een geïnteresseerde man. De vader contacteerde de politiediensten met de vraag om de
identiteitsgegevens van de betrokken man op te sporen teneinde hem strafrechtelijk te
vervolgen. Hierop diende de politie een verzoek in bij de Rechtbank te Helsinki om de internet
service provider, bij wie de advertentie geplaatst was, op te dragen de identiteit van de dader
kenbaar te maken. Dit verzoek werd echter afgewezen, waarop hoger beroep werd aangetekend.
Toch werd zowel door het Hof van Beroep als in cassatie (bij de Hoge Raad van Finland) het
eerste vonnis aangehouden. K.U. zag zich genoodzaakt zich te wenden tot het Europees Hof voor
de Rechten van de Mens in Straatsburg.141
85. Een substantiële vraag die het Hof diende te beantwoorden was of van de Finse staat kon
verwacht worden dat ze, op het moment van de feiten, reeds in een wettelijke regeling voor
misbruiken door pedofielen op het internet te voorzien. Finland verweerde zich door te wijzen
op het feit dat het fenomeen van online misbruik door pedofielen in die tijd nog betrekkelijk
onbekend was.
139 E. LIEVENS, Protecting Children in the Digital Era. The Use of Alternative Regulatory Instruments, Boston, Martinus Nijhoff Publishers, 2010, 316. 140 EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, NJCM-‐Bulletin 2009, 282-‐285. 141 M. GROOTHUIS, noot onder EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, NJCM-‐Bulletin 2009, 281; M. GROOTHUIS , ”Uitspraak EHRM over bescherming van minderjarigen op internet”, Computerr. 2009, 91.
Juridisch kader
38
In haar uitspraak haalde het Hof echter aan dat het ten tijde van de feiten in 1999 reeds
algemeen geweten was dat het internet, door haar anonieme karakter, een middel kon zijn voor
plegen van criminele feiten en dat de problematiek omtrent pedofilie de maatschappij zeker niet
onbekend was. Het Hof van dus van mening dat de Finse overheid zich niet kon verschuilen
achter haar verwering en dat ze reeds vroeger in maatregelen had moeten voorzien. Bijkomend
stelt het Hof dat de Finse wetgever hierbij een evenwicht had moeten vinden tussen enerzijds de
vertrouwelijkheid van dienstverlening op het internet en het recht op expressievrijheid van
artikel 10 EVRM, en anderzijds dergelijke misdrijven te voorkomen en het waarborgen van het
recht eerbiediging van het privéleven van anderen, in het bijzonder van dat van kinderen.142
1.4.5.2 Positieve Verplichting
86. Bij de beoordeling en afweging van de verplichtingen van de staat om zowel de belangen van
internetgebruikers als deze van kinderen te beschermen overweegt het Hof dat de Finse
regering op grond van artikel 8 EVRM de positieve verplichtingen had om het privéleven van
minderjarigen effectief te waarborgen door het voorzien van passende procedurele
mogelijkheden binnen het strafrecht.143 Het Hof stelde vast dat hoewel de Finse Wetgever in
haar Wet op de Vrijheid van Meningsuiting in de Massamedia had voorzien in dergelijke regeling,
deze ten tijde van de feiten nog niet in werking was getreden waardoor K.U. niet van deze
bescherming kon genieten en de Finse regering haar positieve verplichtingen niet nagekomen
was.144
1.4.5.3 Anonimiteit
89. Een ander belangrijk aspect in deze zaak was de anonimiteit van personen op het internet.
Anonimiteit is nu eenmaal een gevolg van de techniciteit van het internet en kan ongetwijfeld
ook een positief gevolg hebben voor het recht op vrije meningsuiting.145 De hoofdaanleiding van
142 M. GROOTHUIS, noot onder EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, NJCM-‐Bulletin 2009, 281. 143 Niettegenstaande het feit dat het doel van artikel 8 EVRM in essentie is burgers te beschermen tegen een willekeurige inmenging van de overheid. ; M. GROOTHUIS, noot onder EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, NJCM-‐Bulletin 2009, 287. 144 Het Europees Hof legt in deze uitspraak de lidstaat duidelijk de positieve verplichting op om in strafrechtelijke procedure te voorzien voor strafbare feiten op het internet. Eerder had het EHRM in de zaken X en Y v. Nederland (dat een toonaangevend arrest was inzake de positieve verplichtingen voor staten inzake de persoonlijke integriteit van onderdanen) en M.C. v. Bulgarije onder artikel 8 EVRM lidstaten opgelegd effectieve straffen op te leggen bij het dwingen van kinderen tot ontuchtige handelingen. L. STEVENS, noot onder EHRM 4 december 2003, No. 39272/98, M.C. v. Bulgarije, RW 2005, 1235; EHRM 26 maart 1985, No. 8978/80, X en Y v. Nederland. T. DECAIGNY, “Positieve mensenrechtenverplichtingen met betrekking tot politie en justitie. Verduidelijking aan de hand van Europese rechtspraak over intrafamiliaal geweld en seksueel misbruik”, T.Strafr. 2012, 7-‐15. 145 M. GROOTHUIS, noot onder EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, NJCM-‐Bulletin 2009, 288.
Juridisch kader
39
zaak tegen Finland was de onmogelijkheid tot achterhalen van de identiteit van de persoon die
de rechten van K.U. met de voeten getreden had, waardoor deze laatste geen vervolging kon
instellen.
90. Principle 7 van de ‘Declaration on freedom of communication on the Internet’ van de Raad van
Europa bevestigt het bestaan van een recht op anonimiteit op het internet, maar bepaalt
terzelfdertijd ook dat dit lidstaten niet belet om maatregelen te nemen om daders van criminele
feiten op te sporen in overeenstemming met de nationale wetgeving, het EVRM of andere
internationale overeenkomsten.146 Met de bewoording: “Although freedom of expression and
confidentiality of communications are primary considerations and users of telecommunications
and Internet services must have a guarantee that their own privacy and freedom of expression will
be respected, such guarantee cannot be absolute and must yield on occasion to other legitimate
imperatives, such as the prevention of disorder or crime or the protection of the rights and
freedoms of others.” 147, stelt het Hof dat het uitoefenen van dat recht op anonimiteit onder geen
enkel beding een ‘free pass’ is om bepaalde verplichtingen te omzeilen.148
1.4.5.1 Besluit bij Artikel 8 EVRM
91. Door de algemene bewoording van artikel 8 EVRM is de bepaling beter opgewassen tegen
nieuwe problemen en evoluties op het internet dan de Privacyrichtlijn en dekt zij een bredere
lading.149 Het blijft met andere woorden een duurzame rechtsfundering voor de bescherming
van de privacy online. Desalniettemin valt het te betreuren dat het EVRM steeds beoordeeld
dient te worden navenant de zich voordoende situatie waardoor artikel 8 moeilijker in te zetten
is.150 Daarenboven wordt aan artikel 8 EVRM slechts een verticale werking gegeven en is het
bijgevolg enkel tegen overheden inroepbaar. Men moet bovendien ook steeds rekening houden
met de vereiste van het uitputten van alle interne rechtsmiddelen (wat ettelijk aantal jaren in
beslag kan nemen151) alvorens men zich tot het Europees Hof Voor de Rechten van de Mens kan
wenden.152
146 De Declaration on freedom of communication on the Internet is te raadplegen op: https://wcd.coe.int/ViewDoc.jsp?id=37031 . 147 EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, §49. 148 D. VOORHOOF, “Recht op anonimiteit op internet brokkelt af”, Juristenkrant 14 januari 2009, 5. 149 Het EHRM bevestigde de ruime bewoording van het artikel in diverse arresten. E.J. DOMMERING, noot onder EHRM 15 januari 2009, Nr. 1234/05, Reklos en Davourlis v. Griekenland, AMI 2009, 188-‐198; E.J. DOMMERING, noot onder EHRM 7 februari 2012, Nr. 40660/08, Von Hannover v. Duitsland II, NJ 2013, nr. 250 en EHRM 7 februari 2012, Nr. 39954/08, Springer v. Duitsland, NJ 2013, nr. 251; E.J. DOMMERING, noot onder EHRM 5 oktober 2010, Nr. 420/07, Köpke v. Duitsland, NJ 2011, 566. 150 J. VANDE LANOTTE, Handboek EVRM -‐ Deel 1: Algemene Beginselen, 207-‐216. 151 Bij het overlopen van de procedure valt op dat de definitieve uitspraak door het Hof slecht in 2008 gedaan werd. Het lijkt merkwaardig dat dan pas een eerste uitspraak omtrent de bescherming van
Juridisch kader
40
1.5 DE E-‐PRIVACY RICHTLIJN
1.5.1 Achtergrond en werkingssfeer
92. Het spreekt voor zich dat de regeling van de RBP ook toepasselijk is op de verwerking van
gegevens op het internet. De nood aan een specifieke bescherming van de persoonlijke
levenssfeer in de sector van de elektronische communicatie is een gevolg van de eerder
aangehaalde ontwikkeling van nieuwe communicatie-‐ en informatietechnologieën, de
zogenaamde ICT. Bijvoorbeeld het internet, sociale netwerksites en e-‐mail adressen dienen
onderworpen te worden aan maatstaven die de bescherming van de privacy garanderen. Om
hieraan tegemoet te komen hebben het Europese Parlement en de Raad van Europa de ‘Richtlijn
betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke
levenssfeer in de sector elektronische communicatie’ in het leven geroepen.153 De richtlijn
bepaalt de elementaire regelgeving die het vertrouwen in deze technologieën en diensten
moeten versterken. 154 Zo wordt een regeling gestipuleerd omtrent de voorafgaande
toestemming van gebruikers (‘opt in’), de ongewenste reclameboodschappen (‘spam’) en zo
worden ook de afspraken in verband met ‘cookies’ vastgelegd. 155
1.5.2 ‘Cookies’ en ‘opt-‐in’-‐regeling
93. Hierboven werden enkele begrippen aangehaald die in de Richtlijn worden geregeld. Deze
moeten worden toegelicht gezien ze nauw verbonden en zeer belangrijk zijn voor de werking
van sociale netwerksites.
kinderen tegen pedofiele praktijken op het internet gepubliceerd werd. Dit toont de ‘juridische vertraging’ des te meer aan. 152 A.R. LODDER, A. ENGELFRIET, D. MEKIC, R. VAN DEN HOVEN VAN GENDEREN e.a., “Recht en Web 2.0 – Bewerkte bloemlezing uit www.internetrecht20.nl”, Publicatiereeks NVvIR, Nr.27, 2010, 121; http://da.nny.nl/wp-‐content/uploads/2008/05/rechtenweb20.pdf (Hierna: A.R. LODDER, A. ENGELFRIET, D. MEKIC, R. VAN DEN HOVEN VAN GENDEREN e.a., “Recht en Web 2.0”) ; Artikel 35, lid 1 EVRM. 153 Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn “privacy en elektronische communicatie”), Pb.L. 31 juli 2002, afl. 201, 37-‐47; Te raadplegen op: http://eur-‐lex.europa.eu/LexUriServ/LexUriServ. do?uri=CELEX:32002L0058:nl:HTML . 154 Artikel 1 E-‐Privacyrichtlijn 155 X., “Samenvattingen van de EU wetgeving”, 2013, http://europa.eu/legislation_summaries/ information_society/legislative_framework/l24120_nl.htm.
Juridisch kader
41
94. De E-‐Privacyrichtlijn regelt de bepalingen in verband met ‘cookies’.156 “Een ‘cookie’ is een
hoeveelheid data die een server naar de browser stuurt met de bedoeling dat deze opgeslagen
wordt en bij een volgend bezoek weer naar de server teruggestuurd wordt. Zo kan de server de
browser opnieuw herkennen en bijhouden wat de gebruiker, c.q. de webbrowser, in het verleden
heeft gedaan.” 157 Het is een klein tekstbestand dat, op verzoek van een webserver, kortstondig
wordt opgeslagen op een webbrowser van een internetgebruiker (zoals Safari of Internet
Explorer). Een cookie laat een website toe een bepaalde browser te herkennen en
gebruikersvoorkeuren bij te houden. Dit zal gebeuren tot wanneer de cookie verwijderd wordt
of wanneer hij vervalt. De cookie bestaat uit een naam en de inhoud, slaat enkel bruikbare
informatie op maar bevat geen software, virussen of ‘spyware’ (dit laatste is software door
fabrikanten gebruikt om zaken te bespioneren op een pc). Wat bijvoorbeeld wel bijgehouden
wordt is de duur van het bezoek aan een bepaalde pagina, het aantal websites dat bezocht
worden, welke hyperlinks men aanklikt en dergelijke. In principe kan de cookie enkel
geraadpleegd worden door de server die de cookie verstuurde en dit enkel wanneer de
gebruiker desbetreffende website opnieuw bezoekt.158
95. Er bestaan verschillende soorten cookies. Ze worden ingedeeld naargelang hun functie,
oorsprong en levensduur. Wanneer ze geplaatst worden op het ogenblik dat de gebruiker de
webpagina bezoekt, spreekt men van First-‐Party Cookies. Bij Third-‐Party Cookies is het anders.
Deze cookies worden geplaatst door een andere website dan diegene die door de
internetgebruiker bezocht word. Dit gebeurt meestal door websites zoals Google en Facebook
die door een overeenkomst af te sluiten met een andere website een cookie bij de bezoeker
weten te plaatsen.
Daarnaast bestaat er nog zoiets als ‘Functionele Cookies’ en ‘Niet-‐Functionele Cookies. De eerste
dienen voor de goede werking van een website, en zijn in de meeste gevallen First-‐party cookies.
De tweede soort biedt geen meerwaarde voor het goed functioneren van een website maar
wordt geplaatst met statistisch of commercieel oogmerk. Dit onderscheid moet noodzakelijk
gemaakt worden aangezien het bepaalt of er toestemming aan de gebruiker moet worden
gevraagd voor het gebruik ervan. Dit betekent dat in tegenstelling tot Functionele Cookies die
automatisch opgeslagen worden, bij niet-‐Functionele toelating aan de betrokkene moet worden
156 In België wordt dit geregeld door de Wet van 13 juni 2005 betreffende de Elektronische Communicatie, korter: de “Telecommunicatiewet”, deze wordt later besproken . Ze is te raadplegen op: http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&cn=2005061332&table_name=wet . 157 B. PRONK, "Wat te doen met de nieuwe cookiewetgeving?", Bartonline, 11 juni 2012, www.bart-‐online.nl/blog/item/wat-‐te-‐doen-‐met-‐de-‐nieuwe-‐cookiewetgeving. 158 X., “Wat is een cookie, hoe werken ze?”, Cookie Demo Site, Cookies FAQ, 2013, http://cookiedemosite.eu/about_nl.html
Juridisch kader
42
gevraagd. Een andere vorm van cookies zijn ‘sessie cookies’ (meestal zijn dit functionele
cookies). Deze worden tijdelijk geplaatst en worden bij het afsluiten van de internetbrowser
verwijderd. Tot slot bestaan er ook ‘permanente cookies’, die voor een onbepaalde (lange)
periode op de harde schijf van de gebruiker bewaard blijven en telkens de gebruiker de
webpagina die de cookies plaatste bezoekt, geactiveerd worden. Het merendeel van de
permanente cookies zijn dan ook niet-‐functioneel waardoor er gretig gebruikt van wordt
gemaakt door sociale netwerksites en dit voor commerciële doeleinden.159
Cookies worden door bijna elk website op het internet gebruikt en Facebook is daar zeker geen
uitzondering op. Bij wijze van voorbeeld vermelden we één toepassing waar cookies worden
gebruikt: men bezoekt de homepagina van Facebook en stelt enkele voorkeuren in, waaronder
taal en lay-‐out. Bij een volgend bezoek aan dezelfde pagina zullen deze instellingen automatisch
opnieuw van toepassing zijn, zonder dat men de instelling telkens opnieuw hoeft aan te passen.
96. In 2009 werd artikel 5, punt 3 van de Richtlijn gewijzigd en bepaalt nu dat gebruikers
voorafgaandelijk hun toestemming moeten geven alvorens cookies op hun eindapparatuur
mogen opgeslagen worden.160 Er dient een duidelijke en precieze informatie worden verstrekt
over het oogmerk van de opslag of de toegang ertoe.
De oorspronkelijke doelstelling van cookies is dus het vergemakkelijken van het
internetgebeuren en is in principe in het voordeel van de gebruikers. Helaas kunnen ze ook een
hulpmiddel zijn voor malafide praktijken waardoor de internetgebruiker bespioneerd kan
worden.161 Het verontrustende aan de zaak is dat de meerderheid van de internetgebruikers
zich helemaal niet bewust is van het feit dat er bij het bezoeken van een ‘onschuldige’ webpagina
een cookie op hun harde schijf kan opgeslagen worden.
159 X., “Welke soorten van cookies vallen onder de cookiewet?”, European Institute for Privacy Protection, 2013, http://cookiemanager.eu/nl/faq/welke-‐cookies-‐vallen-‐onder-‐cookiewet/# . 160 De Richtlijn 2009/136/EG van 25 november 2009 vervangt het artikel 5,3 in de volgende tekst: “De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrok ken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig Richtlijn 95/46/EG, onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.”. 161X., “Bescherming van de persoonlijke levenssfeer in de sector van de elektronische communicatie”, 2013, http://europa.eu/legislation_summaries/information_society/legislative_framework/l24120_nl.htm#amendingact.
Juridisch kader
43
97. De Belgische wetgever bepaalt dat websites hun bezoekers duidelijk moeten informeren
over hun cookie-‐policy. Gebruikers dienen ook een duidelijke uitleg te krijgen over hoe ze de
instellingen van hun internet-‐browser kunnen aanpassen om cookies van desbetreffende
website al dan niet op hun harde schijf toe te laten. De Belgische wetgever koos dus, in
tegenstelling tot bij onze Noorderburen, voor een ‘opt-‐out’-‐systeem. Dit betekent dat cookies
automatisch toegelaten worden, maar dat internet gebruikers zelf kunnen bepalen welke
websites ze als het ware ‘uitvinken’, om zo geen cookies op hun systeem toe te laten. 162 Het
tegenovergestelde van ‘opt-‐out’ is een ‘opt-‐in’ systeem (zoals in Nederland). 163 Bij dit soort
benadering worden standaard géén cookies toegelaten en moeten gebruikers ermee instemmen
om dit toch te doen.164
98. De omzetting van de richtlijn gebeurde in België met de Wet van 10 juli 2012 houdende
diverse bepalingen inzake elektronische communicatie. De wet voert enkele nieuwe bepalingen
in, waaronder een toestemmingsvereiste. De Telecommunicatiewet komt in afdeling 2.4
uitgebreid aan bod.
1.6 VOORSTEL VOOR EEN ALGEMENE VERORDENING GEGEVENSBESCHERMING
1.6.1 Achtergrond van de Ontwerptekst
99. Zoals voordien duidelijk werd geldt inzake gegevensbescherming op Europees niveau de
Richtlijn Bescherming Persoonsgegevens (Privacyrichtlijn). Een van de grootste verdiensten van
de huidige Richtlijn is ongetwijfeld de realisatie van een minimumbeschermingsniveau voor de
bescherming van persoonsgegevens in de Europese Unie. Helaas creëerde ze vanwege de
uiteenlopende wijzen van implementatie en interpretatie door de verschillende Europese
lidstaten ook een grote versnippering. Een uniform beleid was ver te zoeken. 165 Daarenboven
beweerden in 2011 heel wat Europeanen te ervaren dat ze de controle over hun persoonlijke
162 O. VAN MILTENBURG, “België kiest voor opt-‐out met nieuwe cookieregels”, Tweakers, 2012, http://tweakers.net/nieuws/82709/belgie-‐kiest-‐voor-‐opt-‐out-‐met-‐nieuwe-‐cookieregels.html. 163 De Nederlandse wetgever koos voor een ‘opt-‐in’ systeem, waardoor ze kozen voor een zeer strenge implementatie. Hierdoor ontstond heel wat onduidelijkheid. Wanneer men naar een Nederlandse website surft ziet men een soort ‘pop-‐up’ verschijnen die ons de toestemming vraagt om cookies toe te laten. 164 A. BURNS, R. BUSH, I. SMEETS, Principes van marktonderzoek, Amsterdam, Pearson Education Benelux, 2006, 51-‐52. 165 S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012, http://siriuslegal.wordpress.com/2012/02/06/het-‐voorstel-‐voor-‐een-‐europese-‐privacy-‐verordening-‐doorgelicht/.
Juridisch kader
44
informatie verloren waren.166Er moet uiteraard ook rekening gehouden worden met het feit dat
de Privacyrichtlijn dateert uit een periode waarin het internet nog in haar kinderschoenen stond
en dus onmogelijk de enorme snelheid van technologische en informationele ontwikkelingen
kon bijhouden. Hierdoor was de nood hoog aan een nieuw uniform beleid inzake
gegevensbescherming.167
100. Op grond van deze bevindingen diende Europees Commissaris VIVIANE REDING begin 2012
een voorstel in tot een Algemene Verordening Gegevensbescherming.168 Anders dan bij de
huidige Richtlijn werd hier gekozen om de regels op te nemen in een verordening.169 Dit
betekent dat de bepalingen zonder verdere implementatie rechtstreeks toepasselijk worden in
elke Europese lidstaat.170 De doelstellingen van de nieuwe verordening zijn het vereenvoudigen
en vastleggen van een betere en coherente bescherming van persoonsgegevens die de Europese
consument meer rechtszekerheid, een verhoogd vertrouwen en meer controle over zijn
gegevens geeft.171 Op 21 oktober van dit jaar keurde de Europese Commissie, ondanks de bijna
vierduizend amendementen op de originele ontwerptekst, met een overweldigende
meerderheid het voorstel goed.
166 “A majority of the interviewees who had disclosed information on the Internet feel partly or completely in control of their personal data; just over a quarter of social network users and even fewer online shoppers feel in complete control.”; X., “Special Eurobarometer 359/Wave 74.3”, TNS Opinion & Social, 2011, 205. 167 H. HIJMANS, "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het informatietijdperk te beschermen", NtEr 2012, 132. 168 Het voorstel van 25 januari 2012 tot verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), COM(2012) 11 definitief. Te raadplegen op: http://eur-‐lex.europa.eu/LexUriServ/LexUriServ.do? uri=COM:2012:0011:FIN:NL:PDF . (Hierna: Algemene Verordening Gegevensbescherming of AVG.). Het voorstel van Reding omvat daarenboven ook een voorstel tot richtlijn in de sfeer van de voormalige derde pijler van de Europese Unie (politionele en justitiële samenwerking in strafzaken): Het voorstel tot Richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en betreffende het vrije verkeer van die gegevens, COM(2012) 10 definitief. Te raadplegen op: http://eur-‐lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:001:FIN:NL:HTML. 169 Algemene Verordening gegevensbescherming, 6. 170 Artikel 288 Verdrag betreffende de Werking van de Europese Unie. Te raadplegen op: http://eur-‐lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2008:115:0047:0199:nl:PDF. 171 Algemene Verordening gegevensbescherming, 1-‐2; H. HIJMANS, "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het informatietijdperk te beschermen", NtEr 2012, 132. Het voorstel geeft uitvoering aan art. 16 VWEU dat aan de wetgever van de Europese Unie oplegt een regeling uit te werken op het gebied van een moderne, integrale benadering van gegevensbescherming en het vrij verkeer van persoonsgegevens en daarenboven sinds de inwerkingtreding van het Verdrag van Lissabon hiervoor een nieuwe rechtsgrondslag biedt.
Juridisch kader
45
1.6.2 Belangrijkste wijzigingen in de nieuwe Verordening
1.6.2.1 Territoriaal toepassingsgebied
101. De ontwerptekst voert enkele grondige veranderingen door. Zo merken we dat het
territoriale toepassingsgebied van de verordening aanzienlijk uitgebreid werd tegenover deze
van de voormalige richtlijn.172 Vanaf het moment dat de nieuwe regeling van kracht is, zal ze
gelden voor elke verantwoordelijke voor de verwerking van gegevens alsook voor de
verwerkers met een vestiging binnen de Europese Unie, los van het feit dat de gegevens al dan
niet binnen de Unie verwerkt werden. Dit betekent dat wanneer de verwerker een vestiging
heeft binnen de EU maar de door hem voor de verwerking gebruikte servers zich hierbuiten
bevinden, de verordening nog steeds van toepassing zal zijn (artikel 3, lid 1 AVG).173 Het vorige
geldt ook wanneer gegevens verwerkt worden door ondernemingen zonder vestiging binnen de
Unie maar wel goederen en diensten aanbieden aan EU-‐onderdanen of het surfgedrag van deze
laatsten observeren (artikel 3, lid 2 AVG).174 Om deze bepaling adequaat toe te passen legt de
nieuwe verordening in artikel 25 deze bedrijven uit derde landen de verplichting op om binnen
de Europese Unie een vertegenwoordiger aan te wijzen.175
1.6.2.2 Scherpere definitie van ‘Persoonsgegevens’ & ‘Measures based on Profiling’.
102. De ontwerptekst geeft een ‘update’ van de invulling van het begrip ‘persoonsgegeven’.
Iedere informatie betreffende een betrokkene wordt aanzien als een persoonsgegeven.176 Dit
betekent dat wanneer “gegevens betrekking hebben op de geïdentificeerde natuurlijke persoon die
direct of indirect, met behulp van middelen waarvan mag worden aangenomen dat zij
redelijkerwijs door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke
of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een
identificatienummer, gegevens over de verblijfplaats, een online-‐identificatiemiddel of een of meer
specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale,
economische, culturele of sociale identiteit”, zo zullen gekwalificeerd worden. Het verschil met de
definitie uit de richtlijn zit hem in de bewoording: artikel 2 van de Richtlijn spreekt immers over
172 Artikel 3 Algemene Verordening gegevensbescherming. 173 S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012, http://siriuslegal.wordpress.com/2012/02/06/het-‐voorstel-‐voor-‐een-‐europese-‐privacy-‐verordening-‐doorgelicht/. 174 Met het ‘observeren van surfgedrag’ verwijzen we naar de problematiek omtrent sociale advertenties en het plaatsen van cookies die doorheen deze masterproef uitvoerig besproken worden. 175 H. HIJMANS, "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het informatietijdperk te beschermen", NtEr 2012, 136; Artikel 25 Algemene Verordening gegevensbescherming. 176 Artikel 4, punt (2) AVG verwijst naar punt (1).
Juridisch kader
46
‘een geïdentificeerde of identificeerbare natuurlijke persoon’ terwijl het in de verordening gaat
over ‘de geïdentificeerde natuurlijke persoon’.177
103. Opmerkelijk is ook dat de ontwerptekst een specifiek artikel invoert inzake ‘online
profilering’. Waar een ‘online profielen‘ vroeger ook al onder de definitie van ‘persoonsgegevens’
vielen, wordt dit door de definitie van de ontwerptekst nog meer benadrukt.178 Het werd eerder
duidelijk dat internetgebruikers door hun online handelingen en surfgedrag in het algemeen
heel wat gegevens achterlaten. Aan de hand van deze gegevens kan van de betrokkene een
‘profiel’ worden aangemaakt. Hier dreigt het gevaar dat gegevens in dergelijke mate zodanig
specifiek worden, dat ze de internetgebruiker rechtstreeks van anderen kunnen
onderscheiden.179 De bepaling in artikel 20 AVG schrijft voor dat individuen het recht hebben
om niet onderworpen te worden aan maatregelen, die hen in een buitengewone mate zouden
raken en rechtsgevolgen voor hen teweeg kunnen brengen, die zuiver genomen worden op
grond van een geautomatiseerde verwerking met als doel om bepaalde persoonlijke kenmerken
te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats,
gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te
voorspellen.180
104. Het voorstel geeft tevens een bredere invulling van wat moet worden verstaan onder
'gevoelige gegevens’. Zo wordt naast het verwerken van persoonsgegevens in verband met
politieke opvattingen, raciale kenmerken, etnische afkomst, geloofsovertuiging, gezondheid en
seksueel gedrag, ook het verwerken van genetische gegevens of informatie aangaande
strafrechtelijke veroordelingen verboden.181
1.6.2.3 Verlichting van de plichten tegenover een verhoogde aansprakelijkheid
105. Zoals aangegeven beoogt de ontwerptekst de vereenvoudiging van de huidige regeling. Dit
doet ze onder meer door minder administratieve verplichtingen op te leggen aan
ondernemingen. Zo zijn ze in de toekomst niet meer verplicht om in elke lidstaat telkens een
aanmelding te doen bij de bevoegde toezichthoudende autoriteit vooraleer gegevens 177 Artikel 4, punt (1) AVG. 178 De Richtlijn bescherming persoonsgegevens voorziet in artikel 15 in een soortgelijke regeling voor “geautomatiseerde individuele besluiten”. Het artikel was echter ruimer en bakende niet precies af welke persoonlijkheidsaspecten bedoeld worden. 179 M. RIEWALD, “Nieuwe Europese privacyregels relevant voor sociale netwerken”, Wisemen, 9 maart 2012, http://www.wisemen.nl/weblog/weblogs/nieuwe-‐europese-‐privacyregels-‐relevant-‐voor-‐sociale-‐netwerken/. 180 Artikel 20 Algemene Verordening Gegevensbescherming. 181 Artikel 9, lid 1 Algemene Verordening Gegevensbescherming.
Juridisch kader
47
automatisch mogen worden verwerkt.182 Onder de huidige Richtlijn zijn bedrijven die zich op
het grondgebied van meerdere lidstaten gevestigd hebben, onderworpen aan de controle van
verschillende toezichthoudende overheden. Op grond van artikel 51, lid 2 juncto artikel 4, punt
13 van het voorstel zal vanaf de inwerkingtreding enkel de autoriteit van het land van de
‘belangrijkste vestiging’ hiervoor bevoegd zijn.183 Dit is doorgaans het land waar de belangrijkste
beslissingen inzake gegevensbescherming worden genomen. Gezien ondernemingen nu slechts
met één in plaats van met verscheidene toezichthouders te maken hadden zal deze ‘one-‐stop-‐
shop’ voor een grote verlichting zorgen van de lasten.184 Overigens versoepelt de verordening de
administratieve verplichtingen van een onderneming bij het uitwisselen van gegevens met diens
niet-‐Europese vestigingen.185
106. Om het evenwicht echter te bewaren wordt de aansprakelijkheid van ondernemingen
aanzienlijk opgevoerd. Artikel 30 van het voorstel verplicht de verwerker en de voor de
verwerking verantwoordelijke om, rekening houdend met de risico’s van de verwerking en de
aard van de gegevens, adequate technische en organisatorische maatregelen te nemen om een
passend beveiligingsniveau te waarborgen.186 In het geval dat er zich toch een inbreuk op de
bescherming persoonsgegevens zou voordoen, zal de verantwoordelijke voor de verwerking de
bevoegde toezichthoudende overheid hiervan ‘zonder onnodige vertraging’ en ten laatste 24 uur
nadat hij van de inbreuk kennis nam, op de hoogte moeten brengen.187 Ook de betrokkene wiens
gegevens het voorwerp van een inbreuk uitmaken heeft er alle belang bij zo snel mogelijk
geïnformeerd te worden. De verantwoordelijke voor de verwerking dient dan ook, na de
melding aan de toezichthoudende autoriteit, het slachtoffer van de vermeende inbreuk ‘without
undue delay’ in kennis te stellen.188 Bovendien legt de nieuwe verordening in artikel 73 tot en
met 77 een reeks rechtsmiddelen voor de burger vast. Het feit dat onder deze regelingen ook
belangengroepen rechtsingang zullen hebben en dat betrokkenen de mogelijkheid zullen hebben
een klacht in te dienen (bij de toezichthoudende overheid) in elke lidstaat van de EU, zijn
opmerkelijke vernieuwingen. Daarenboven voeren de artikels 78 en 79 van de verordening een
182 Hierdoor vervalt de algemene aanmeldingsverplichting van artikel 18 RBP. 183 De artikelen 46 tot en met 50 van het voorstel omvatten de overige bepalingen in verband met de toezichthoudende overheid. 184H. HIJMANS, "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het informatietijdperk te beschermen", NtEr 2012, 138. 185 E. WIERTZ, “De nieuwe Europese regels rond gegevensbescherming: toelichting bij het voorstel van de Europese Commissie”, CBPL 31 januari 2012, http://www.privacycommission.be/nl/nieuws/de-‐nieuwe-‐europese-‐regels-‐rond-‐gegevensbescherming-‐toelichting-‐bij-‐het-‐voorstel-‐van-‐de. 186 Artikel 30 van het Voorstel tot Algemene Verordening Gegevensbescherming. 187 Artikel 31 van het Voorstel tot Algemene Verordening Gegevensbescherming. 188 ‘Zonder onnodige vertraging’, Artikel 32 van het Voorstel tot Algemene Verordening Gegevensbescherming.
Juridisch kader
48
efficiënter sanctiemechanisme in. Bij het bepalen van de administratieve sancties bij
overtredingen zal in de toekomst bijvoorbeeld rekening worden gehouden met onder andere de
ernst, de aard en de duur van de inbreuk. 189
107. Voorts voert de nieuwe verordening ook enkele geheel nieuwe concepten in. Bijvoorbeeld
zullen individuen voortaan de mogelijkheid hebben om zijn verzamelde “gegevens over te
dragen”. Andere nieuwigheden zijn “the Right to be Forgotten”, “Privacy by Design” en “Privacy
by Default”.
108. Omwille van hun relevantie en de impact die ze zullen hebben op sociale netwerksites,
worden deze begrippen in Hoofdstuk 3, dat sociale netwerksites in het licht plaatst van het
Europees wetgevend kader, besproken.
2. BELGISCHE WETGEVING
2.1 DE GRONDWET
109. Ook onze Grondwet (hierna: GW) voorziet sinds 1994 in een bescherming van de
persoonlijke levenssfeer. Artikel 22 GW waarborgt ‘het recht op privacy’. Het eerste lid van het
artikel voorziet erin, behoudens bepaalde voorwaarden en gevallen in de wet bepaald, dat elk
individu het recht heeft op eerbiediging van zijn gezinsleven en privéleven. Dit artikel leunt
opvallend dicht aan bij artikel 8 van het Europees Verdrag voor de Rechten van de Mens
(EVRM).190 Bij de redactie ervan heeft de grondwetgever zich dan ook dan ook duidelijk op
artikel 8 EVRM gebaseerd.191Wat opvalt is dat slechts enkele vernoemde beperkingsgronden
worden overgenomen. Zo ziet men bijvoorbeeld dat het recht op de bescherming van de
briefwisseling wordt weggelaten aangezien deze reeds door artikel 29 van onze Grondwet
gewaarborgd worden.
110. Het tweede lid van artikel 22 GW, dat verwijst naar artikel 134 en op zijn beurt verwijst
189 H. HIJMANS, "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het informatietijdperk te beschermen", NtEr 2012, 138-‐139. 190 Het Verdrag 4 november 1950 tot bescherming van de rechten van de mens en de fundamentele vrijheden is te raadplegen op: http://www.echr.coe.int/Documents/Convention_NLD.pdf . 191 Herziening van titel II van de Grondwet, om een artikel24 quater in te voegen betreffende de eerbiediging van het privé-‐leven (1), Parl. St. Kamer 1992-‐1993, nr. 997/5, 12.
Juridisch kader
49
naar artikel 34, bepaalt dat een formele wet nodig is voor een inmenging. De Grondwet eist
echter niet dat die wet ‘noodzakelijk is voor de democratie’ of ‘ nodig is om aan bepaalde
legitieme doelstellingen te voldoen’. Zo lijkt het dat wetgever redelijk wat ruimte heeft om
desbetreffende grondrechten te beperken. Niets is minder waar daar de bepalingen van het
EVRM directe werking hebben en haar artikel 8 zo een bijkomende en duidelijke
beschermingsgrond is voor ‘het recht op privacy’.192
2.2 DE PRIVACYWET
111. Zoals reeds eerder vermeld creëerde de Europese Richtlijn van ’95 een juridisch kader
waarbinnen de lidstaten hun nationale wetgeving dienden uit te werken. Bijgevolg kwam in
België op 8 december 1992 de Wet tot Bescherming van de Persoonlijke Levenssfeer ten
opzichte van de Verwerking van Persoonsgegevens tot stand 193. Deze werd in 2001 aangepast
d.m.v. het uitvoeringsbesluit van 13 februari.194 In 2003 legde een tweede uitvoeringsbesluit de
manier waarop de sectorale comités werken vast.195 Binnen dit wettelijk kader vormt privacy
een fundamentele rechtvaardigheidsgrond voor de bescherming van persoonsgegevens.
2.2.1 Persoonsgegevens
112. De Privacywet omschrijft persoonlijke gegevens als de gegevens aan de hand van welke
een individu rechtstreeks of onrechtstreeks wordt geïdentificeerd of geïdentificeerd kan
worden. Hiermee wordt onder meer namen van personen, adressen, e-‐mailadressen,
telefoonnummers, vingerafdrukken en dergelijke bedoeld. Enkel gegevens van natuurlijke,
fysieke, personen en niet van verenigingen of rechtspersonen worden in aanmerking
genomen.196 Niet enkel gegevens in verband met de persoonlijke levenssfeer van personen
worden beschermd, ook relevante gegevens uit het openbare en professionele leven worden als
192 E. BREMS, “De nieuwe grondrechten in de Belgische Grondwet en hun verhouding tot het Internationale, ingezonderd het Europese Recht”, T.B.P. 1995, 625. 193 De Wet van 8 december 1992 tot Bescherming van de Persoonlijke Levenssfeer ten opzichte van de Verwerking van Persoonsgegevens, BS 18 maart 1993. 194 Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 13 maart 2001. 195 Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, BS 30 december 2003. 196 Commissie voor de bescherming van de persoonlijke levenssfeer, lexicon, 2013 http://www.privacycommission.be/nl/lexicon/p/Persoonsgegevens .
Juridisch kader
50
persoonsgegevens aanzien. Wanneer deze gegevens worden verstrekt, dan zijn de
beschermingsregels van de Privacywet van toepassing 197.
2.2.2 Gegevensverwerking
113. Elke mogelijke bewerking of elk geheel van bewerkingen, zoals meedelen, gebruiken,
verzamelen, beheren, die op persoonsgegevens worden uitgevoerd wordt als
gegevensverwerking aanzien. Zoals eerder vermeld zijn informatie-‐ en
communicatietechnologieën met een enorme snelheid geëvolueerd. Hierdoor kunnen bedrijven
maar ook overheden een betere dienstverlening garanderen. Jammer genoeg kunnen het
gebruik van deze nieuwe technologieën ook een groot gevaar zijn voor onze persoonlijke
levenssfeer. Onze gegevens worden opgeslagen in databanken om ze daarna te gebruiken, mee
te delen of te verkopen. Het wordt dan ook zeer moeilijk om hier enige controle over te hebben
gezien we niet weten wie over deze gegevens beschikt, op welk moment en waarvoor ze zullen
gebruikt worden.198 De bescherming tegen misbruik komt zo in het gedrang. Een voorbeeld
hiervan is het online reserveren van een vlucht. Hier wordt gevraagd naar de naam, het adres, de
kredietkaartgegevens, etc. waardoor de luchtvaartmaatschappij strikt persoonlijke gegevens van
personen verzameld.
Vanaf het moment dat de verwerking van persoonlijke gegevens, zelfs gedeeltelijk, gebeurt aan
de hand van een geautomatiseerd systeem is de wet van toepassing. Met dergelijke systemen
wordt elke informatietechnologie bedoeld, zijnde informatica, telematica en het internet . Indien
er geen sprake is van een geautomatiseerde verwerking van gegevens, bijvoorbeeld op papier, is
de wet toch toepasselijk op deze handeling wanneer de gegevens zijn opgenomen of naderhand
opgenomen zullen worden in een manueel bestand dat aan de hand van specifieke criteria
geraadpleegd kan worden.199
197 X.,“Wat zijn persoonsgegevens”, Commissie voor de bescherming van de persoonlijke levenssfeer, 2013, http://www.privacycommission.be/nl/wat-‐zijn-‐persoonsgegevens . 198 X., “Wat is een gegevensverwerking”, Commissie voor de bescherming van de persoonlijke levenssfeer, 2013, http://www.privacycommission.be/nl/wat-‐is-‐een-‐gegevensverwerking . 199 Commissie voor de bescherming van de persoonlijke levenssfeer, lexicon, 2013, http://www.privacycommission.be/nl/lexicon#letter_v .
Juridisch kader
51
2.3 DE STRAFWET
114. Voorheen werd reeds gewezen op het recht op privacy dat vervat ligt in artikel 8 van het
Europees Verdrag voor de Rechten van de Mens (EVRM). “Een ieder heeft recht op respect voor
zijn privé leven, zijn familie-‐ en gezinsleven, zijn woning en zijn correspondentie". Dit artikel
verwijst duidelijk ook naar de bescherming van de elektronische communicatie.
115. In België is de bescherming van het telecommunicatiegeheim opgenomen in het
Strafwetboek.200 Het is niet toegelaten om tijdens de overbrenging van gegevens opzettelijk
kennis te nemen van privé-‐telecommunicatie zonder de toestemming van elke persoon die
eraan deelneemt. Het begrip telecommunicatie moet ruim geïnterpreteerd worden. Zo vallen
zowel telefonie, faxen, e-‐mail-‐ en chatberichten , online bankieren hier bijvoorbeeld onder. De
voorwaarde is echter dat ze niet bestemd mogen zijn voor ‘iedereen’, ze dienen dus privé te zijn.
Er is geen twijfel over het feit dat berichten en dergelijke op een openbare website, een forum of
blog niet privé zijn. Deze worden bijgevolg niet door de Strafwet beschermd. Over dezelfde
acties binnen een duidelijk afgebakende groep bestemmelingen, zoals sociale netwerken en
meer bepaald Facebook, heerst onduidelijkheid. Zo werd in de rechtsspraak reeds geoordeeld
dat berichten niet privé zijn wanneer de optie ‘vrienden van vrienden’ aangevinkt is. In deze
omstandigheid dient geval per geval onderzocht te worden welke privacy-‐instellingen de
betrokken gebruiker heeft gekozen.201
116. Dergelijke problematiek zien we ook opduiken bij onze Noorderburen. In Nederland
oordeelde het Gerechtshof in Arnhem dat het ontslag van een Blokker-‐medewerker terecht
ontslagen werd na meerdere negatieve uitlatingen over zijn werkgever op Facebook. De man
uitte zijn ongenoegen als volgt: "blokker wat een hoerebedrjf spijt dak er ben gaan werken en die
mensen ook d er werken vooral me teamleider wat een gore achter de ellebogen nijmegseple nep
wout je ken aan die kkstreken van hem wel merken dat hij uit nijmegen ko en wout uis geweest de
hoerestumperd ooit komt mijn dag en geloof me dan st ze te janken kkhomo,s". Een letterlijke
vertaling van deze boodschap is niet nodig om aan te tonen dat deze persoon het imago van de
onderneming door het slijk haalde. 202 Met de argumentatie van de man dat Facebook een
afgesloten omgeving was en dus niet publiek toegankelijk was voor iedereen, hield de rechter
200 Artikel 314 van het Belgisch Strafwetboek, BS 27 september 2013. 201 Y. VAN DEN BRANDE, “Hoe privé zijn mails, Facebookposts, chatsessies...?”, De Tijd, 10 februari 2012. 202 X., “Ontslag na negatieve uitlatingen Blokker-‐medewerker op Facebook”, Aantjes Advocaten, 2012, http://www.aantjesadvocaten.nl/index.php/blog/49-‐social-‐media/156-‐ontslag-‐na-‐negatieve-‐uitlatingen-‐blokker-‐medewerker-‐op-‐facebook#sthash.AC1XyoZX.dpuf .
Juridisch kader
52
echter geen rekening. Volgens de rechter behoort Facebook in dit geval niet tot het privédomein
van werknemer omdat zijn uitlatingen ook door anderen, waaronder zijn collega’s
waargenomen konden worden. De rechter wees ook op het gevaar dat door de ‘share-‐button’,
een optie die gemakkelijk gebruikt wordt, ook personen waarmee de werknemer niet bevriend
was op de sociale netwerksite het bericht mogelijks hebben kunnen lezen. In het arrest kunnen
we lezen hoe de rechter zijn standpunt onderbouwt: "Zo hebben ook anderen van de uitlating van
[werknemer] kennis kunnen nemen. [werknemer] miskent bovendien dat met het plaatsen van het
bericht op Facebook er het risico van re-‐tweten is, welk risico met zich meebrengt dat ook anderen
dan de 'vrienden' van [werknemer] kennis kunnen nemen van het bericht in kwestie."203
117. ARNOUD ENGELFRIET, een ICT-‐jurist gespecialiseerd in internetrecht, merkt op dat dit een
uitzonderlijk vonnis is, maar kan niet voorspellen welke precedentenwaarde deze uitspraak zal
hebben. Hij is het ongetwijfeld eens met de rechter die wijst op de betrekkelijkheid van het
privékarakter van Facebook. Volgens Engelfriet was er geen probleem geweest moest de
werknemer zijn uitspraken op papiertjes in het fietsenhok hebben opgehangen of het in een
chat-‐ of e-‐mailbericht zou verstuurd hebben. Want als deze personen dit zouden doorspelen
naar de zijn werkgever zitten we in een volledig andere situatie. 204
2.4 DE TELECOMMUNICATIEWET
2.4.1 Cookies in de Belgische Wet
118. Oorspronkelijk was het mogelijk dat een websitebeheerder onbeperkt cookies plaatste bij
een internetgebruiker die zijn website bezocht, tenzij deze laatste dit verhinderde door de
relevante browser-‐instellingen aan te passen. Dergelijke praktijken zijn nu niet meer
mogelijk.205
119. Digitale marketting kende een enorme opmars de laatste jaren. Logischerwijs was het
gevolg hiervan dat bedrijven niet meer enkel belang hechten aan het bereiken van de juiste
doelgroep (publiciteit en dergelijke), maar ook op de hoogte willen zijn de eisen en interesses
van hun klanten. De zoekgeschiedenis en het surfgedrag van internetgebruikers is gemakkelijk
203 Arnhem, 19 maart 2012, JAR 2012, 97. De rechter maakte hier een schrijffout en bedoelde onwaarschijnlijk ‘re-‐tweeten’. 204 A. ENGELFRIET, “Ontslag vanwege Facebookposting”, Ius Mentis, 2012, AE 2957, http://blog.iusmentis.com/2012/03/22/ontslag-‐vanwege-‐facebookposting/ . 205 X., “Ondubbelzinnige toestemming nodig voor plaatsen cookies”, NJB 2011, 1234.
Juridisch kader
53
na te gaan aan de hand van cookies. Dit brengt echter ongetwijfeld zware gevolgen mee voor de
privacy van de gebruiker. Zoals hierboven uiteengezet reageerde de Europese wetgever hierop
met de e-‐Privacy Richtlijn. Deze richtlijn verplicht alle lidstaten om de Europese regeling in hun
nationale wetgeving te implementeren. In België gebeurde dit met de Wet van 13 juni 2005
betreffende de elektronische communicatie, korter: “de Telecommunicatiewet”, die niet enkel
het gebruik van cookies beheerst maar tevens van toepassing is op “elke opslag van informatie of
het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een
abonnee of een gebruiker”.206 Artikel 129 van de Telecommunicatiewet bepaalt dat Belgische
website beheerders vanaf augustus 2012 toestemming aan internetgebruikers dienen te vragen
voor het plaatsen van cookies. Helaas wordt in de wet niet verduidelijkt op welke manier die
toestemming gegeven moet worden. Hoe de wet geïnterpreteerd dient te worden kunnen we
enkel opmaken uit de het standpunt van de Europese Unie en het standpunt van de
Werkgroep 29.207
120. De werkgroep, die hierboven reeds werd aangehaald en toch een zekere autoriteit bezit op
Europees niveau, bracht op 2 oktober van dit jaar een werkdocument uit waarin ze te kennen
geeft welke invulling aan de vereiste toestemming voor het gebruik van cookies gegeven moet
worden.208 Dit deed ze omdat ze vaststelde dat de regeling omtrent cookies in de verschillende
lidstaten zeer verschillend was. 209 Volgens hen moet de toestemming:
“ -‐ Ondubbelzinnig zijn;
-‐ Vrijelijk gegeven moet zijn op basis van een vrije echte keuze.
-‐ Gebaseerd zijn op voorafgaande specifieke informatie;
-‐ Blijken uit een positieve actie of andere actieve gedraging van de consument;
-‐ Verkregen worden vóór het plaatsen of lezen van de cookies voordat het proces
start. “
121. Volstaat een impliciete toestemming dan? De Telecommunicatiewet stelt dat een
internetgebruiker zijn toestemming moet geven. Zolang dat er geen Koninklijk Besluit wordt
afgekondigd waarin “toestemming geven” geconcretiseerd wordt moet men ervan uitgaan dat
dit begrip in zijn meest gebruikelijke betekenis aangenomen moet worden. Het geven van een
206 Wet van 13 juni 2005 betreffende de elektronische communicatie, BS 20 juni 2005. 207 B. VAN DEN BRANDE, "Wat is een Cookie?", Sirius Legal, 2013, http://www.siriuslegaladvocaten.be/wordpress/cookie-‐informatiepagina/# . 208 X., “Privacybescherming”, Computerr. 2012, 315-‐317; http://ec.europa.eu/justice/data-‐protection/ article-‐29/press-‐material/press-‐release/art29_press_material/20131008_pr_oct_plenary_en.pdf . 209 X., "Privacywaakhonden stellen onjuiste eisen aan cookies", Thuiswinkel Waarborg, 2013, www.thuiswinkel.org/cms/showpage.aspx?id=12795 .
Juridisch kader
54
toestemming impliceert meestal een bewuste, actieve en duidelijke handeling waaruit de wil van
de berokken gebruiker blijkt, zodat men er bijgevolg moet van uitgaan dat een impliciete
toestemming niet volstaat. 210
2.4.2 Facebook
122. In het geval van Facebook zou men er kunnen van uitgaan dat de gebruiker door het
accepteren van algemene voorwaarden zijn uitdrukkelijke toestemming gegeven heeft voor het
plaatsen van cookies. Op het moment dat Facebook-‐gebruikers persoonlijke berichten of andere
gegevens achterlaten op de sociale netwerksite kan geargumenteerd worden dat zij ingestemd
hebben met de verwerking van deze gegevens op de wijze beschreven in de Privacy-‐policy.
Wanneer echter gegevens en informatie over anderen vrijgegeven wordt, onder meer door de
persoon te vermelden of te taggen, begint het schoentje te wringen.211 Niettegenstaande het
aannemelijk is dat personen die de voorwaarden accepteren hiermee instemmen, bevinden we
ons hier meer en meer in een grijze zone van de wetgeving.212
2.5 DE AUTEURSWET EN HET RECHT OP AFBEELDING
2.5.1 Achtergrond
123. Auteursrechten vinden hun oorsprong bij het ontstaan van de boekdrukkunst. Voordien
was de noodzaak voor een bescherming van de rechten van auteurs nagenoeg onbestaand. Maar
met de automatisering van de boekdrukkunst en de komst van het kopieerapparaat in de 18e
eeuw nam het belang van het auteursrecht aanzienlijk toe. Aan het feit dat dit recht, door de
komst van het internet, een nog grotere vlucht heeft genomen, valt zeker niet te twijfelen. Wie
gebruikt vandaag geen informatie die men online kan vinden? Bovendien leidde de evolutie naar
een ‘Web 2.0’ ertoe dat auteursrechtelijk relevante inhoud op grote schaal geproduceerd en/of
van anderen gebruikt wordt.213
210 B. VAN DEN BRANDE, "Wat is een Cookie?", Sirius Legal, 2013, http://www.siriuslegaladvocaten.be/wordpress/cookie-‐informatiepagina/# . 211 Wanneer een persoon vermeld of getagged wordt kunnen andere gebruikers naar zijn/haar profiel geleid worden door simpelweg op de naam te klikken. 212 P. VAN EECKE EN A. DIERICK, “EU-‐regelgeving en de informatiemaatschappij: naar een wetgeving 2.0?” in I. GOVAERE (ed.), Europees recht: Moderne interne markt voor de praktijkjurist, Mechelen, Kluwer, 2012, 201-‐244. 213 A.R. LODDER, A. ENGELFRIET, D. MEKIC, R. VAN DEN HOVEN VAN GENDEREN e.a., “Recht en Web 2.0”, 71.
Juridisch kader
55
124. Wie deelneemt aan Web 2.0 toepassingen dient zich een goed beeld te vormen van het
juridisch kader omtrent het verspreiden van door de auteurswet beschermde informatie. In dit
geval is de bescherming van het Portretrecht relevant. Zo worden op sociale netwerksites foto’s
van gebruikers zelf, maar ook van anderen gestaag uitgewisseld. We kunnen ons de vraag stellen
of het delen van foto’s van anderen op sociale netwerken eigenlijk zomaar kan. Iedereen bezit
volgens de Belgische Auteurswet het recht op eigen afbeelding (en op het gebruik ervan), waar
verder niemand over mag beschikken zonder diens toestemming.214
125. In de rechtsleer bestaat hier echter discussie over. Zo beweren sommigen dat het recht op
de bescherming van de persoonlijke levenssfeer en het recht op afbeelding als los zand aan
elkaar hangen. Deze redenering staven ze door aan te tonen dat het laatstgenoemde recht
namelijk ook bescherming biedt aan zaken die volledig los van het privéleven staan.215 Anderen
lijken het met deze stelling eens te zijn, maar wijzen toch op het feit dat afbeeldingen van
natuurlijke personen anderen in staat stelt hen te identificeren, zodat men handelingen vrij snel
als een verwerking van persoonlijke gegevens kan kwalificeren, dat de facto wel deel uitmaakt
van het recht op privacy. Deze redenering in acht nemend moet de zienswijze dat deze twee
rechten onderling volledig losstaan van elkaar toch genuanceerd worden.216
Afgezien van het bestaan van dit dispuut menen we toch een onlosmakelijk verband te zien
tussen het recht op afbeelding en het privacy-‐recht waardoor dit in de volgende paragraaf
besproken wordt.
2.5.2 Foto’s van anderen publiceren, kan dat wel?
126. Het antwoord op bovenstaande vraag kan gevonden worden in het portretrecht. Het
portretrecht is een explicitering van het ‘Recht op Afbeelding’. In tegenstelling tot wat de
integratie ervan in de Auteurswet doet vermoeden, gaat het hier om een persoonlijkheidsrecht,
en niet om een auteursrecht.217 Artikel 10 van deze wet zegt dat "de auteur of de eigenaar van
een portret dan wel enige andere persoon die een portret bezit of voorhanden heeft, heeft niet het
recht het te reproduceren of aan het publiek mede te delen zonder toestemming van de
214 Wet van 30 juni 1994 betreffende het Auteursrecht en Naburige rechten, BS 27 juli 1994. (Hierna: Wet betreffende het Auteursrecht.) 215 L. Dierickx, Het recht op afbeelding, Antwerpen, Intersentia, 2005, 18. 216 P. DE HERT en R. SAELENS, “Het recht op afbeelding”, TPR 2009, 870-‐871; B. DE GROOTE en R. DE CORTE, Overzicht van het burgerlijk recht, Mechelen, Kluwer, 2005, 371. 217 D. VOORHOOF, “Facebook en de Raad voor Journalistiek”, NjW 2011, 39.
Juridisch kader
56
geportretteerde of, gedurende twintig jaar na diens overlijden, zonder toestemming van zijn
rechtverkrijgenden".218
127. Met andere woorden wordt met dit recht het gebruik van afbeeldingen waarop
betrokkenen herkenbaar zijn voor derden ingeperkt en dient hiervoor steeds de toestemming
van de geportretteerde te worden gevraagd.219 In de rechtspraak wordt evenwel gepreciseerd
dat de toestemming voor het maken van een foto niet impliceert dat deze ook automatisch
gegeven wordt voor de verspreiding ervan.220 Op dit principe maakt ze echter ook een aantal
uitzonderingen. Dit is bijvoorbeeld het geval voor publicatie van afbeeldingen van personen
tijdens de uitoefening van een publieke functie. In deze gevallen wordt de vereiste toestemming
gezien als impliciet gegeven te zijn, voor zover de afbeeldingen gepubliceerd worden in het
kader van actuele gebeurtenissen en het openbare leven van de betrokkene. Verdere
uitzonderingen situeren zich hoofdzakelijk op het vlak van de bevordering van de
expressievrijheid en het recht op informatie van het publiek.221 Er moet daarenboven ook
gewezen worden op het feit dat de jurisprudentie in het kader van het recht op privacy, de
laatste decennia, ook buiten artikel 10 van de Auteurswet, een ruimer recht op afbeelding als
persoonlijkheidsrecht aanvaardt.222
128. Toegepast op Facebook zou dit betekenen dat telkens een gebruiker een foto van een ander
op zijn pagina plaatst, hij van de betrokken persoon de uitdrukkelijke toestemming moet
verkrijgen, tenzij in de hierboven vernoemde uitzonderingen. Omgezet naar de praktijk zou dit
voor de Facebook-‐gebruiker echter een buitengewone last betekenen. In dit opzicht biedt de
Privacywet een oplossing. Op grond van die wet heeft de persoon wiens afbeelding gebruikt
wordt, bij redelijk belang, het recht zich te verzetten tegen de publicatie ervan (zie infra). Wat
opvalt is dat er als het ware omgekeerd te werk gegaan wordt (en men dus eerst zonder
voorafgaande toestemming de afbeelding publiceert, en slechts bij verzet de foto dient weg te
halen).223 Voor de toepassing van dit verzetsrecht maakt het overigens een aanzienlijk verschil
uit of iemands foto op een publiek toegankelijk of op een besloten gebruikersprofiel geplaatst
werd (zie infra) en is het voorts zo dat de betrokkene geïdentificeerd, of tenminste
218 Artikel 10 Wet betreffende het Auteursrecht. 219 E. BREWAEYS, “Recht op afbeelding”, NJW 2010, 206. 220 J. DEENE, noot bij Antwerpen 5 mei 2003, NJW 2003, 1193. 221 D. VOORHOOF en P. VALCKE, Handboek Mediarecht, Brussel, Larcier, 2007, 145-‐151. 222 D. VOORHOOF, “Facebook en de Raad voor Journalistiek”, NjW 2011, 39. Dit doet ze bijvoorbeeld op grond van de Privacywet. 223 De afbeelding wordt namelijk eerst op het sociale netwerk geplaatst (zonder voorafgaandelijke toestemming), waarna de gebruiker zich er tegen verzet. Terwijl volgens artikel 10 Auteurswet in beginsel eerst toestemming dient gevraagd te worden vooraleer er tot publicatie overgegaan kan worden.
Juridisch kader
57
identificeerbaar, moet zijn om het recht op afbeelding in te kunnen roepen. Dit zou bijvoorbeeld
niet het geval zijn indien men enkel zijn/haar silhouet op een foto kan waarnemen.224
129. Bovendien biedt Facebook ook intern mogelijkheden om dit verzetsrecht uit te oefenen. Zo
kan men bijvoorbeeld zelf aan de persoon in kwestie via een standaardbericht vragen om een
bezwarende foto van zijn profiel te halen. Wanneer deze laatste niet wenst in te gaan op dit
verzoek, kan de betrokken foto gerapporteerd worden bij Facebook zelf, die dan verdere
stappen onderneemt.
130. Hierboven werd duidelijk dat het recht op afbeelding enkele zaken impliceert. Dat het
persoonlijkheidsrecht op afbeelding op sociale netwerksites, in het licht van de eerbiediging van
het privéleven, beschermd dient te worden spreekt uiteraard voor zich. Duidelijk is althans dat
het recht geldt ten aanzien van iedereen. We merkten evenwel op dat de grenzen van dit recht
vervagen onder invloed van het ‘deel-‐karakter’ dat Facebook lijkt te typeren. Een van de
grondvereisten voor het publiceren van foto’s van anderen is namelijk het verkrijgen van hun
uitdrukkelijke toestemming, tenzij in enkele gevallen door de rechtsspraak bepaald. Toch valt op
dat de sociale netwerksite, onder invloed van de Privacywet, weliswaar een omgekeerde
redenering toepast. Derhalve dienen de regelgevende instanties een zekere mate van
waakzaamheid aan de dag te leggen om de verwatering van dit persoonlijkheidsrecht zo goed
als mogelijk tegen te gaan.
3. BESLUIT BIJ HOOFDSTUK 2
131. We kunnen aldus besluiten dat zowel de geldende Europese als nationale wetgeving, die in
voorgaande uiteenzetting uitvoerig uit de doeken werd gedaan, het zeil in top zetten om de
persoonlijke levenssfeer van individuen zo goed als mogelijk te beschermen. Aanvaard moet
worden dat, omwille van het feit dat er hoogstwaarschijnlijk nooit een waterdichte definitie van
het privacy-‐begrip zal bestaan, er nimmer zal kunnen gesproken worden van een integrale
bescherming die alle deelaspecten van het privacy-‐concept zal omhelzen.
132. Op supranationaal niveau merkten we dat zowel de Raad van Europa als de Europese
Commissie de handen uit de mouwen steken om het privacy-‐recht vrijwaren, en bevat de
224 L. Dierickx, Het recht op afbeelding, Antwerpen en Oxford, Intersentia, 2005, 66-‐67;
Juridisch kader
58
Richtlijn Bescherming Persoonsgegevens in dat kader ongetwijfeld de belangrijkste bepalingen.
Desalniettemin mag de aanzienlijke waarde van artikel 8 EVRM en de daaruit voortvloeiende
positieve verplichtingen niet verloochend worden. Toch is gebleken dat de huidige regels niet
meer volstonden om een adequate bescherming te garanderen in onze immer evoluerende
digitale maatschappij. Om het hoofd te bieden aan de uitdagingen inzake de bescherming van
persoonlijke gegevens op het internet, die de afgelopen decennia ontstonden, keurde de
Europese Commissie in oktober het voorstel voor een nieuwe Algemene Verordening
Gegevensbescherming (met de daarin onder meer het ‘recht om vergeten te worden’ en het
‘recht van gegevensoverdraagbaarheid’) eerder dit jaar goed.
133. Nationaal is artikel 22 van de Belgische Grondwet de grondslag voor de bescherming van
de persoonlijke levenssfeer. Gezien de enge bewoording van het privacy-‐begrip laat de
grondwetgever de invulling ervan echter hoofdzakelijk over aan de bevoegde wetgevende
instellingen. Zo bepalen verscheidene afzonderlijke wetten zoals de Privacywet, de Strafwet en
de Telecommunicatiewet de Belgische regels inzake de bescherming van de persoonsgegevens
in de digitale omgeving. Hoewel het op het eerste zicht vreemd leek, aangezien het om een
persoonlijkheidsrecht ging, merkten we op dat de regels inzake het recht op afbeelding te
vinden zijn in de Auteurswet. Desalniettemin werd ook het belang van de bescherming van dit
recht, in het kader van de privacybescherming, aangetoond.
134. Maar waar God een kerk sticht, bouwt de duivel een kapel. Zo zagen we bijvoorbeeld dat de
verschillende implementatie van de Richtlijn Bescherming Persoonsgegevens in de
onderscheiden lidstaten, een uniform beleid binnen de Europese Unie in de weg stond. Wanneer
het juridisch kader echter in zijn totaliteit bekeken wordt, valt de grote verscheidenheid aan
regels en de onderling variërende invullingen van het recht duidelijk op. Daarenboven is het
voorgaande ongetwijfeld nadelig voor de rechtszekerheid van de burger.
Dientengevolge is alle hoop gevestigd op de nieuwe Algemene Verordening
Gegevensbescherming, die een uniforme en adequate beschermingsregeling moet invoeren in
alle lidstaten van de Europese Unie.
Facebook & Europese gegevensbescherming
59
HOOFDSTUK 3: DE SOCIALE NETWERKSITE FACEBOOK IN HET
LICHT VAN DE EUROPESE GEGEVENSBESCHERMINGSREGELS
1. DE PRIVACYRICHTLIJN EN FACEBOOK
1.1 TOEPASSELIJKHEID VAN DE RICHTLIJN
1.1.1 . Toepassingsgebied
135. In de meeste gevallen is de Richtlijn bescherming Persoonsgegevens van toepassing, ook
wanneer de hoofdkantoren van aanbieders van sociale netwerksites zich buiten de Europese
Economische Ruimte bevinden. Dit zegt de Groep van Artikel 29 (zie infra) in haar ‘Advies over
Online Sociale Netwerken’.225 Ze stellen dat het gebruik van ‘cookies’ en dergelijke software door
sociale netwerksites gezien kan worden als het gebruik van middelen aan de hand van welke
persoonlijke gegevens verwerkt worden. Deze verwerking vindt dan plaats op het grondgebied
van een Lidstaat, waardoor de nationale wetgeving van desbetreffende Lidstaat dan ook van
toepassing is. Dit doet de Groep op basis van artikel 4 van de Richtlijn Bescherming
Persoonsgegevens dat poneert dat wanneer de gebruikte apparatuur zich op het grondgebied
van een Lidstaat bevindt, de gegevensbeschermingswetgeving van dat land van toepassing is.
Wanneer deze situatie zich voordoet is de aanbieder van het sociale netwerk gehouden een
vertegenwoordiger aan te stellen op datzelfde grondgebied. 226
1.1.2 Verantwoordelijke voor de verwerking
136. De Richtlijn spreekt over de ‘verantwoordelijke van de verwerking’. In artikel 6 bepaalt ze
dat deze verantwoordelijke instaat voor de eerlijkheid en rechtmatigheid van de verwerking van
persoonsgegevens en staat voor de nakoming van de plichten die uit de Richtlijn voorkomen. 227
225 Advies 5/2009 van de Groep gegevensbescherming artikel 29 over online sociale netwerken, 12 juni 2009. Te raadplegen op: http://www.privacycommission.be/sites/privacycommission/files/documents/01.02.04.02.01-‐wp163_nl.pdf . 226 Artikel 4, lid 2, c) Richtlijn Bescherming Persoonsgegevens. 227 Commissie voor de bescherming van de persoonlijke levenssfeer, lexicon, 2013, http://www.privacycommission.be/nl/lexicon/verantwoordelijke-‐voor-‐de-‐verwerking .
Facebook & Europese gegevensbescherming
60
Bij sociale netwerken zijn het de aanbieders van de diensten die aangeduid worden als
verantwoordelijke voor de verwerking van gegevens net omdat zij beslissen welke gegevens
voor publiciteit en marketing gebruikt kunnen worden en ze ook de middelen voor de
verwerking ter beschikking stellen. Wat ook niet vergeten mag worden is dat ontwikkelaars van
derde applicaties, die in verband staan met de sociale netwerken, ook gehouden kunnen worden
als verantwoordelijke voor de verwerking. Dit is enkel het geval wanneer de gebruikers van het
Sociale netwerk een toepassing gebruiken die de ontwikkelaar ontwierp in het verlengde, als
aanvulling op de bestaande aangeboden service. 228 Betrokkenen dienen wel eerst hun
uitdrukkelijke toestemming te geven aan de applicatie vooraleer deze toegang krijgt tot de
nodige Facebook-‐gegevens (bijvoorbeeld bij het koppelen van een Instagram-‐account aan een
Facebook account “geef je Instagram toegang tot je persoonlijke gegevens, vriendenlijst en
bovendien ook om namens jou bepaalde zaken op je prikbord te plaatsen”).229
1.1.3 De gebruiker zelf
137. Elke gebruiker van een sociale netwerksite kan worden aanzien als een ‘betrokken
persoon’ in de zin van de Richtlijn Bescherming Persoonsgegevens. Hij is diegene die zijn
gegevens vrijgeeft en de persoonsgegevens van anderen ook kan verwerken. Enkel wanneer hij
dit laatste doet “in het kader van activiteiten met uitsluitend persoonlijke of huishoudelijke
doeleinden” is hij niet gehouden tot dezelfde plichten als de verantwoordelijke voor de
verwerking.230 Zowel de aanbieder als de gebruiker kunnen bijgevolg aangemerkt worden als
verantwoordelijke voor de verwerking. 231Dit bevestigt de Werkgroep artikel 29 in haar
advies.232 Een toepassingsgeval hiervan zou zijn dat de sociale netwerkgebruiker handelt voor
een onderneming of wanneer zijn acties politiek of commercieel ingegeven waren.233
228 X., “Toepasselijkheid van de Europese Privacyrichtlijn”, Commissie voor de bescherming van de persoonlijke levenssfeer, 2013, http://www.pr.ivacycommission.be/nl/toepasselijkheid-‐van-‐de-‐europese-‐privacyrichtlijn 229 Deze standaardvermelding zien we terugkomen in bij nagenoeg alle applicaties die aan een Facebook-‐account gekoppeld worden. 230 Artikel 3, §2, 2e streep spreekt over de “vrijstelling voor huishoudelijke activiteiten”. In de uitzondering werd voorzien om bepaalde handelingen in het dagelijkse leven (bijvoorbeeld een telefoonboekje maken met nummers van vrienden) niet onder de beperking te laten vallen. Wanneer hij dit buiten de huishoudelijke sfeer zou doen zal hij wel als verantwoordelijke voor de verwerking aanzien worden en bijgevolg wel onder de toepassing van de Richtlijn vallen. 231 P. VAN EECKE en M. TRUYENS, “Privacy en sociale netwerken”, Computerr. 2010, 117. 232 Advies 5/2009 van de Groep gegevensbescherming artikel 29 over online sociale netwerken, 12 juni 2009. Te raadplegen op: http://www.privacycommission.be/sites/privacycommission/files/documents/01.02.04.02.01-‐wp163_nl.pdf . 233 P. VAN EECKE en M. TRUYENS, “Privacy en sociale netwerken”, Computerr. 2010, 117-‐118.
Facebook & Europese gegevensbescherming
61
1.1.4 Gevoelige persoonsgegevens
138. In de Privacyrichtlijn worden “gevoelige persoonsgegevens” omschreven als: “persoonlijke
gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of
levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de
verwerking van gegevens die de gezondheid of het seksuele leven betreffen.”234 De bepalingen
leggen ook bijzondere voorwaarden wanneer deze gevoelige informatie verwerkt zou worden.
138. Bij het bekijken van veel Facebook-‐profielen merken we op dat zij bijna elke categorie van
informatie, in artikel 8 omschreven, bevatten of lijken te bevatten. Gebruikers hebben de
mogelijkheid hun seksuele voorkeur, politieke opvattingen of geloofsovertuiging op hun
profielpagina mee te delen. Daarenboven kan men door lid te worden van een bepaalde groep of
door deel te nemen aan een bepaalde activiteit ook heel wat persoonlijke informatie
vrijgeven. 235 De bepalingen van de Privacyrichtlijn bepalen dat voor het verwerken van
‘gevoelige’ informatie de uitdrukkelijke toestemming van de betrokken gebruiker vereist is,
terwijl voor het verwerken van andere informatie een impliciete toestemming volstaat. Gezien
Facebook-‐profielen beide soorten informatie bevat zou er in principe aan de twee vereiste
toestemmingen voldaan dien te worden. Vreemd genoeg voorziet de Richtlijn in een
uitzondering die de bijzondere regels inzake gevoelige gegevens in het kader van sociale
netwerksites teniet doen door te stellen dat ze niet gelden wanneer de “verwerking betrekking
heeft op gegevens die duidelijk door de betrokkene openbaar gemaakt zijn.”236 Moeten gebruikers
er dan vrede mee nemen dat hun gevoelige gegevens minder beschermd worden louter omwille
van het feit dat sociale netwerksites in beginsel openbaar zijn?237 Of zijn ze hiervoor zelf
verantwoordelijk, gezien ze per slot van rekening toch zelf beslissen of ze die gevoelige
informatie over zichzelf al dan niet vrijgeven?
Dit is relevant in het kader van sociale netwerksites waar privacy-‐onvriendelijke ‘default-‐
instellingen’ de veiligheid van persoonlijke gegevens in gevaar brengen en dit net omdat de
leden van de netwerksites niet weten of er niet om geven dat deze instellingen aangepast
234 Artikel 8, lid 1 RBP. 235 Bijvoorbeeld een deelnemen aan een evenement van een kiescampagne van een bepaalde politieke partij, lid worden van een groep in verband met gelijke rechten voor holebi ’s kan politieke of seksuele voorkeuren kenbaar maken. 236 Artikel 8, lid 2, e) Richtlijn Bescherming Persoonsgegevens. 237 L. EDWARDS EN I. BROWN, “Data Control and Social Networking: Irreconcilable Ideas?” in A. MATWYSHYN (ed.), Harbouring Data: Information security, Law and the corporation , Palo Alto, Stanford University Press, 2009, 205.
Facebook & Europese gegevensbescherming
62
kunnen worden. Het opleggen van een algemene regeling met bepaalde minimumvoorschriften
aan alle sociale netwerksites zou mogelijks een oplossing bieden voor dit probleem.238
1.2 DE WERKGROEP ARTIKEL 29
139. In het eerste lid van artikel 28 van de Privacyrichtlijn legt ze aan elke Lidstaat op om één of
meer toezichthoudende autoriteiten op te richten die belast worden met het toezicht op de
toepassing van de uitvoering die door desbetreffende Lidstaat ter uitvoering van de RBP op zijn
grondgebied werden ingevoerd.239
140. Vervolgens bepaalt artikel 29 dat er een onafhankelijke Europese werkgroep dient
opgericht te worden die bevoegd is voor zaken in verband met de bescherming van persoonlijke
gegevens en privacy. 240 In deze ‘Groep’ met raadgevingsfunctie wordt elke toezichthoudende
autoriteit van elk van de 27 Lidstaten van de Europese Unie vertegenwoordigd. Ze bestaat niet
enkel uit de vertegenwoordigers van de verschillende privacy-‐commissies maar ook uit de
Europese toezichthouder voor gegevensbescherming en vertegenwoordigers van de Europese
Commissie. 241 242 De afdeling Gegevensbescherming van het Directoraat-‐generaal Justitie,
Vrijheid en Veiligheid van de Europese Commissie neemt het secretariaat voor haar rekening.243
In beginsel is haar functie het bevorderen van een uniforme toepassing van de Privacyrichtlijn in
alle 27 Lidstaten. Ze let tevens ook op de goede toepassing van de Richtlijn inzake privacy en
Elektronische Communicatie. Dit doet ze aan de hand van adviezen, aanbevelingen betreffende
uiteenlopende onderwerpen inzake de bescherming van het recht op privacy (waaronder de
persoonsgegevensbescherming) en het ontwerpen van werkdocumenten.244 Deze documenten
en adviezen vindt men ter raadpleging terug op de webpagina van de Groep. De plenaire
238 De problematiek omtrent de Standaard Privacy Instellingen wordt later besproken.; L. EDWARDS EN I. BROWN, “Data Control and Social Networking: Irreconcilable Ideas?” in A. MATWYSHYN (ed.), Harbouring Data: Information security, Law and the corporation , Palo Alto, Stanford University Press, 2009, 222. 239 Artikel 28, lid 1 Richtlijn Bescherming Persoonsgegevens. 240 Verder de ‘Groep’. 241 Artikel 29 Richtlijn Bescherming Persoonsgegevens. 242 Een aantal kandidaat-‐lidstaten (Kroatië en de Voormalige Joegoslavische Republiek Macedonië) en IJsland, Liechtenstein en Noorwegen, de lidstaten van de EER (Europese Economische Ruimte), vervullen in de ‘Groep’ een waarnemende rol. 243 Artikel 29, 5 Richtlijn Bescherming Persoonsgegevens. 244 Commissie voor de bescherming van de persoonlijke levenssfeer, lexicon, 2013, http://www.privacycommission.be/nl/lexicon/groep-‐artikel-‐29.
Facebook & Europese gegevensbescherming
63
zittingen van de Groep worden vijf maal per jaar gehouden in de Brusselse gebouwen van de
Europese Unie.245
141. Onder de nieuwe voorgestelde Algemene Verordening Gegevensbescherming wordt de
Werkgroep 29 vervangen door een Europees Comité voor gegevensbescherming, dat zal bestaan
uit de voorzitters van de toezichthoudende overheid van elke lidstaat en van de Europese
Toezichthouder voor gegevensbescherming.246 Het wordt een onafhankelijk comité waarvan de
Europese Commissie geen deel uitmaakt. De ontwerptekst voorziet ook in aanvullende
elementen tegenover de huidige Richtlijn gezien de grotere spanwijdte van het comité. Ze geeft
bijvoorbeeld de mogelijkheid aan de Commissie om binnen een bepaalde (korte) termijn
adviezen te vragen aan het nieuwe toezichthoudend orgaan, om zo beter in staat te zijn te
reageren op dringende situaties. De voornaamste taak van het nieuwe Comité zal ervoor zorgen
zijn dat de Algemene Verordening consequent toegepast wordt in alle Lidstaten van de Europese
Unie door onder andere het verrichten van onderzoeken, het uitbrengen van adviezen, de
samenwerking te bevorderen tussen de verschillende toezichthoudende overheden. 247
2. DE RELATIE MET DE E-‐PRIVACY RICHTLIJN
2.1 DE ‘LIKE-‐BUTTON’
142. Relevant voor het cookie-‐discours inzake Facebook is het fenomeen van de ‘Like-‐Button’.
Vroeger bestond de mogelijkheid binnen Facebook zelf reeds om foto’s, statussen en dergelijke
te ‘liken’. Facebook ging in april 2010 echter nog een stapje verder met de introductie van de
Like-‐button op andere websites. Dit deed Facebook wanneer ze een reeks sociale ‘plug-‐ins’
invoerde, waarmee men ook op derde websites desbetreffende ‘button’ kon terugvinden (“like
this on Facebook”). De Like-‐button stelt in principe niets meer voor dan een knop waarop men
kan klikken om weer te geven dat men iets ‘leuk’ vindt. Vervolgens wordt hetgeen ‘geliked’ werd
ook zichtbaar voor de ‘vrienden’ van de betrokkene. Op deze manier wordt een klein stukje
Facebook naar een andere webpagina gehaald. Alle wegen leiden naar Facebook? Zo lijkt het
245X., “Werkgroep Artikel 29 voor de bescherming van persoonsgegevens”, Commissie voor de bescherming van de persoonlijke levenssfeer, 2013, http://www.privacycommission.be/nl/groep-‐29. 246 Artikel 64 Algemene Verordening Gegevensbescherming. 247 Artikel 66 Algemene Verordening Gegevensbescherming.
Facebook & Europese gegevensbescherming
64
inderdaad. Overal op het internet kunnen we de like-‐button terugvinden, hij is niet meer weg te
denken uit het dagelijkse internetgebeuren.248
143. Het succes van deze functie is dus op twee elementen gebaseerd: de kwantiteit en de
kwaliteit van de ‘likes’. Hoe meer een bepaalde status, afbeelding, artikel of eender welke post
‘geliked’ wordt, hoe groter de kans dat een andere persoon deze post zelf bekijkt en liked. Op
deze manier gaat de bal aan het rollen en wordt het duidelijk dat het ‘delen van informatie’ nooit
sneller en efficiënter gebeurde. Verder is ook de kwaliteit van de like belangrijk. Er kunnen
bijvoorbeeld 200 mensen een bepaalde post liken, maar wanneer niemand daarvan een
connectie van de betrokkene is, is de kans op onverschilligheid bij deze laatste groot. Wanneer
er daarentegen twintig ‘goede vrienden’ eenzelfde iets liken, of een persoon wiens mening of
stijl men apprecieert, wordt de kans aanzienlijk verhoogd dat de gebruiker geneigd zal zijn
desbetreffende informatie ook te raadplegen.
144. Naast de voordelen van deze optie dient hierbij toch ook de bescherming van de privacy
onder de loep genomen te worden. Uit een onderzoek in 2013 blijkt dat met de likes van een
persoon heel wat persoonlijke informatie kan verzameld worden. Het onderzoek spreekt over
seksuele voorkeur, religieuze en politieke standpunten, middelengebruik van personen, raciale
informatie, persoonlijkheid en intelligentie. Facebook-‐vrienden, websites met toegang tot het
Facebook-‐profiel, overheidsinstellingen of iedereen die toegang heeft tot de ‘likes’ van
gebruikers, kan aan de hand van software deze persoonlijke informatie verzamelen, die bij het
samenvoegen ervan een bepaald profiel van de betrokkene creëren, terwijl dit mogelijks zijn
intentie niet was bij het uitbrengen van de ‘like’.249
2.2. DE DIGITALE VOETAFDRUK
145. Door het gebruik van cookies en met behulp van gespecialiseerde software wordt elke
activiteit op internet, en dus ook op Facebook, geregistreerd en omgezet tot bruikbare data.
Iedereen die op het internet surft laat een spoor achter bij elke handeling die hij uitvoert. Het
klikken op een link, het veranderen van een webpagina, iets liken, etc. vormen samen een bron
248 ‘Twitter’, een andere grote speler onder de sociale media, was eigenlijk de voorloper hiervan. Men kon reeds vanop verschillende websites iets ‘doortweeten’ waardoor het artikel of wat men wou tweeten rechtstreeks te zien was op de persoon zijn Twitter-‐pagina. 249 M. KOSINSKY, D. STILWELL, T. GREAPEL, “Private traits and attributes are predictable from digital records of human behavior”, PNAS 2013, 5802–5805.
Facebook & Europese gegevensbescherming
65
van informatie waardoor ons pad op het net ‘Hans-‐en-‐Grietje-‐gewijs’ gevolgd kan worden. Deze
informatie wordt ook wel ‘clickstream-‐data’ genoemd.250
146. Wat is een ‘digitale voetafdruk’ nu? Zoals eerder aangehaald wordt door het gebruik van
cookies heel wat persoonlijke informatie verspreid op het internet. In beginsel is dit niet steeds
de intentie van de internetgebruiker, waardoor we kunnen spreken van een vorm van impliciete
verspreiding van deze gegevens. Wanneer we een foto op het internet plaatsen is dit meestal wel
met de bedoeling deze zichtbaar te maken voor anderen. In dat geval spreken we van een
expliciete gegevensverspreiding.
Onze digitale voetafdruk kan het best omschreven worden als alles dat we zelf aan informatie
aanmaken. Telkens een persoon nieuwe informatie verspreid vergroot dit zijn digitale
voetafdruk. Dit kan zodoende zowel impliciet als expliciet. Dit wordt ook de ‘actieve’ en
‘passieve’ digitale voetafdruk genoemd.251 Eenmaal de informatie vrijgegeven is deze moeilijk
tot nagenoeg nooit meer volledig te verwijderen, ook niet wanneer men bijvoorbeeld de
bewuste foto, status-‐update of het volledige Facebook-‐profiel zou verwijderen. De vraag is
natuurlijk in hoeverre we controle hebben over onze eigen gegevens op het internet. Als we zelf
naderhand niet meer kunnen bepalen welke gegevens beschikbaar zijn, is dit dat niet in strijd
met ons recht op privacy? Zijn de regelen omtrent het gebruik van deze persoonsgegevens wel
aangepast aan onze snel evoluerende ‘digitale maatschappij’? Hier zal de nieuwe Algemene
Richtlijn Gegevensbescherming in de toekomst een oplossing bieden door de invoering van ‘het
recht om vergeten te worden’ (zie infra).
2.3 DE DIGITALE SCHADUW
147. Zoals hierboven duidelijk werd, wordt heel wat informatie over ons verspreid zonder dat
we hiervan op de hoogte zijn. Wanneer anderen data over ons creëren maakt dit ook deel uit van
onze passieve digitale voetafdruk. We noemen dit ook wel onze digitale schaduw. Deze
informatie kan bestaan uit openbare gegevens waarvan u het bestaan kent maar tevens ook uit
informatie waarvan men niet eens weet dat ze bestaat. Videobeelden gemaakt in een
parkeergarage, bancontact gegevens verzameld wanneer u uw kerstaankopen deed, een foto van 250 J. WOO, "The right not to be identified: privacy and anonymity in the ineractive media environment", New Media & Soc. 2006, 949 – 967. 251 B. BAGGIO, Y. BELDARRAIN, Anonymity and Learning in Digitally Mediated Communications: Authenticity and Trust in Cyber Education, Verenigde Staten, Idea Group Inc, 2011, 91-‐103.
Facebook & Europese gegevensbescherming
66
u die iemand plaatste op een sociale netwerksite zonder dat u hiervan op de hoogte bent, zijn
hier voorbeelden van.
148. De problematiek bij dit soort informatie is dat men er vrijwel nooit toegang tot kan krijgen
en men er bijgevolg geen vat op heeft. Mensen zullen moeten aanvaarden dat steeds meer
elementen uit hun dagelijkse leven een massa informatie creëert die ‘ergens’ verzameld kan en
bekendgemaakt kan worden. Dit kan doen terugdenken aan ORWELL’S ‘Big Brother-‐maatschappij’
die voordien reeds werd aangehaald.
Uit een onderzoek in opdracht van ‘EMC’, wereldwijd leider in het ondersteunen van bedrijven
en service providers bij de transformatie van hun IT(Information Technologie)-‐activiteiten,
blijkt dat onze digitale schaduw veel verder reikt dan onze digitale voetafdruk. Het ‘digitale
universum’, zoals zij de verzameling van wereldwijde opgeslagen informatie noemen, groeit
jaarlijks zienderogen met een enorme snelheid. Het onderzoek toont aan dat 75% van de
gegevens voortkomt uit het internetgedrag van particulieren en dat zakelijke ondernemingen,
vaak zonder hun medeweten, beschikken over 80% van deze gegevens.252 Net omdat er een
enorme diversiteit is aan netwerken wordt de kans op informatielekken, zonder medeweten van
deze ondernemingen, vergroot en wat bijgevolg een bedreiging vormt voor de eerbiediging van
het privéleven.253
149. De rechtspraak in België hanteert het complexe fenomeen van de verjaring waardoor na
het verstrijken van een bepaalde termijn zaken en informatie hun relevantie verliezen. Oude
gegevens dienen met verloop van tijd ook vernietigd te worden. De wet is op dit vlak duidelijk
milder dan het internet, van een ‘verjaring’ is hier alvast zeker geen sprake.254 In het volgende
onderdeel zullen we zien hoe het voorstel van van Europees Commissaris Viviane Reding tot een
algemene verordening inzake gegevensbescherming hier verandering in zal brengen.
252 Deze ondernemingen kunnen een internetprovider zijn waarlangs deze gegevens zich verplaatsen, een verlener van digitale diensten. Aangezien persoonlijke gegevens en deze van ondernemingen steeds meer met elkaar verwoven zijn kan dit zelf een werkgever zijn. 253 J. GANTZ, D. REINSEL, “Extracting Value from Chaos”, IDC iView, 2011, http://netherlands.emc.com/collateral/analyst-‐reports/idc-‐extracting-‐value-‐from-‐chaos-‐ar.pdf. 254 H. TIMMERMAN, “Uw digitale schaduw”, Data Centered, 2011, http://www.datacentered.nl/2011/07/uw-‐digitale-‐schaduw/.
Facebook & Europese gegevensbescherming
67
3. AVG EN DE TOEKOMST VAN SOCIALE NETWERKSITES
150. In Hoofdstuk 3 was te lezen hoe de bedreigingen voor de privacy in de digitale context
geleid heeft tot het indienen van een voorstel voor een algemene verordening inzake
Gegevensbescherming. Om het vertrouwen van individuen in onlinediensten te stimuleren is
een hoge beschermingsgraad inzake persoonlijke gegevens noodzakelijk. We wezen eerder op
de vrees van particulieren voor het verliezen van de controle over hun gegevens op het internet.
Deze nieuwe verordening beoogt dan ook het vertrouwen in de sociale media en communicatie
in het algemeen aan te wakkeren, alsook het herstellen van de controle over de eigen online
persoonsgegevens.255 De klemtoon ligt duidelijk op het bevorderen van de transparantie voor
de betrokkenen. Er moet in de eerste plaats in detail geïnformeerd worden welke gegevens
precies worden verwerkt, met welk oogmerk, voor welke termijn ze bewaard blijven en aan
welke derden de gegevens worden doorgegeven indien dit het geval zou zijn. Daarnaast dienen
ze te beschikken over de informatie die hen in eenvoudige bewoording duidelijk maakt tot
welke autoriteiten ze zich dienen te wenden bij misbruik van hun persoonsgegevens.256
Het voorstel voert heel wat wijzigingen door op het vlak van de verwerking van gegevens en
introduceert bovendien ook enkele opmerkelijke nieuwe begrippen die de huidige regeling voor
sociale netwerksites grondig aanpast. 257
3.1 THE ‘RIGHT TO BE FORGOTTEN” & THE ‘RIGHT TO ERASURE’
151. De Europese Commissie voorziet in artikel 17 van de verordening in het recht ‘om vergeten
te worden’ en ‘op uitwissing van gegevens’. Op basis van dit recht moet de betrokkene in
bepaalde omstandigheden op elk ogenblik de mogelijkheid hebben zijn toestemming voor de
verwerking van persoonlijke gegevens in te trekken, met als logisch gevolg dat deze door de
verantwoordelijke voor de verwerking verwijderd worden. Hij kan dit recht uitoefenen op basis
van één van de in het eerste lid omschreven gronden, namelijk: wanneer het bewaren van de
gegevens niet langer nodig is in verband met de doeleinden waarvoor ze verzameld of
255 X., “Wat betekenen de nieuwe gegevensbeschermingsregels voor sociale netwerken?”, Europese Commissie, 2012, http://ec.europa.eu/justice/data-‐protection/document/review2012/factsheets/3_nl.pdf. 256 S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012, http://siriuslegal.wordpress.com/2012/02/06/het-‐voorstel-‐voor-‐een-‐europese-‐privacy-‐verordening-‐doorgelicht/. (Hierna: S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012.) 257 Zie bijlage 4.
Facebook & Europese gegevensbescherming
68
anderszins verwerkt werden, na het aflopen van de tussen de partijen gesloten overeenkomst of
wanneer de gegevens verwerkt werken in strijd met de bepalingen van de verordening.
Het artikel specifieert dat het mogelijk is dat een individu persoonlijke informatie ‘als kind
beschikbaar heeft gesteld’ die later nadelige gevolgen voor hem blijkt te hebben. De betrokken
persoon moet, ongeacht zijn leeftijd, dergelijke ‘oude informatie’ volledig kunnen verwijderen.258
152. Het is van belang dat bij de uitoefening van dit recht de verantwoordelijke voor de
verwerking van de persoonlijke gegevens dadelijk alle redelijke, waaronder ook technische,
maatregelen neemt teneinde deze gegevens te verwijderen. In het geval hij ze zelf verder aan
derden verstrekt heeft is hij daarenboven ook verantwoordelijk om deze derden op de hoogte te
brengen over het feit dat de betrokkene hun verzoekt iedere koppeling naar, kopie of
reproductie ervan te wissen.259 Op de vraag van de betrokkene kan echter niet ingegaan worden
in het geval dat de persoonsgegevens bewaard moeten blijven in het kader van de persvrijheid
en het recht op vrije meningsuiting of wanneer ze noodzakelijk zijn voor historische, statistische
of wetenschappelijke onderzoeksdoeleinden.260
153. In tegenstelling tot het nieuwe voorstel voorziet de huidige Richtlijn Bescherming
persoonsgegevens niet in een afzonderlijk ‘recht om vergeten te worden’. We mogen echter niet
stellen dat de Richtlijn geen enkele vergelijkbare vorm van bescherming biedt. Sommige
bepalingen kunnen geïnterpreteerd worden als een ‘verdund’ ‘right to be forgotten’. Zo is het
volgens de Richtlijn verboden om persoonlijke gegevens langer dan noodzakelijk te bewaren en
hebben betrokkenen in geval van onjuiste of onvolledige gegevens het recht op rechtzetting,
uitwissing of afscherming ervan. Artikel 14 van de Richtlijn bepaalt dat de betrokkene een
algemeen verzetsrecht heeft tegen de verwerking van gegevens. Jammer genoeg heeft dit artikel
een beperkt toepassingsgebied waardoor er niet van een effectief ‘recht om vergeten te worden’
gesproken kan worden. 261
154. Welke gevolgen heeft dit recht nu op sociale netwerksites? Vanaf de inwerkingtreding van
de verordening zal de aanbieder van de sociale netwerksite telkens wanneer één van hun
gebruikers dit vraagt, tenzij ze bewijs kunnen voorleggen voor het bestaan van legitieme
258 Artikel 17 Algemene verordening gegevensbescherming. 259 Artikel 17, lid 2 Algemene verordening gegevensbescherming. 260 Artikel 17, lid 3 Algemene verordening gegevensbescherming; S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012. 261 J. AUSLOOS, “The ‘Right to be Forgotten’ – Worth remembering?”, ICRI Research Paper 2011, 13; http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1970392. Deze bepalingen zijn terug te vinden in de artikelen 6 en 12 van de Richtlijn Bescherming Persoonsgegevens.
Facebook & Europese gegevensbescherming
69
gronden voor het bewaren ervan, diens persoonlijke gegevens uit hun databanken moeten
wissen.262
3.2 THE ‘RIGHT TO DATA PORTABILITY’
155. De verhoogde transparantie die het voorstel beoogt uit zich onder meer in het ‘recht van
gegevensoverdraagbaarheid’ dat wordt vastgelegd in artikel 18 van de verordening.263 Op basis
van het eerste lid van het artikel heeft de internetgebruiker het recht om van de
verantwoordelijke voor de verwerking een kopie te krijgen van de verzamelde en verwerkte
persoonlijke gegevens, wat onder EU recht zeer ruim gedefinieerd wordt als: “any information
relating to the data subject”, en dat in een elektronisch en gestructureerd formaat dat door de
betrokkene verder kan gebruikt worden. Een Facebook-‐gebruiker zal bijvoorbeeld zelf kunnen
bepalen om de verkregen gegevens aan een andere sociale netwerksite aan te bieden.264
Het tweede lid van artikel 18 AVG bepaalt dat betrokkenen het recht hebben om
persoonsgegevens en ‘alle andere informatie’, die hij vrijgaf en dat bewaard worden op een
geautomatiseerd systeem voor verwerking, in een algemeen gebruikt formaat over te dragen
naar een ander soortgelijk systeem, zonder dat de verantwoordelijke voor de verwerking zich
hiertegen verzet.265 Al lijkt deze bepaling op het eerste zicht niet veel te verschillen van het
eerste lid, onderscheidt ze zich ervan op drie belangrijke punten. Eerst en vooral worden de
gegevens zonder tussenkomst van de betrokkene door de huidige verantwoordelijke voor de
verwerking rechtstreeks overgedragen aan een andere. In dit geval zou bijvoorbeeld Facebook
zélf de verzamelde gegevens van de betrokken gebruiker, op zijn verzoek, moeten overdragen
aan een andere website. Ten tweede moeten desbetreffende gegevens ‘onbelemmerd’
overgedragen worden in een algemeen gebruikt formaat. Ook al bepaalt het voorstel niet nader
wat onder een belemmering moet verstaan worden, uit de redactie van de bepaling kan afgeleid
worden dat de overdracht vlot moet verlopen. Als derde en laatste onderscheidend element wordt
een ruimere bewoording dan het eerste lid gehanteerd. Lid twee spreekt niet enkel over
‘persoonlijke gegevens’ die reeds opgeslagen zijn in een algemeen gehanteerd formaat, maar ook
262 Artikel 17 Algemene verordening gegevensbescherming. 263 Artikel 18 Algemene verordening Gegevensbescherming. 264 P. SWIRE EN Y. LAGOS, "Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique", Mayerland Law Review 2013, 341-‐342. (Hierna: P. SWIRE EN Y. LAGOS, "Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique", Mayerland Law Review 2013.) De letterlijke tekst van artikel 18 AVG spreek over: “persoonsgegevens die elektronisch en in een gestructureerd en algemeen gebuikt formaat worden verwerkt”. 265 Artikel 18, lid 2 Algemene verordening Gegevensbescherming.
Facebook & Europese gegevensbescherming
70
over ‘alle andere informatie’ door de gebruiker vrijgegeven. 266 Voor Facebook-‐gebruikers
betekent dit concreet dat wanneer zij dit wensen, op grond van dit recht, gemakkelijker hun
persoonlijke gegevens zullen kunnen overdragen naar bijvoorbeeld een andere sociale
netwerksite, zonder hiervoor door Facebook belemmerd te worden.267
3.3 VOORWAARDEN VOOR DE TOESTEMMING
156. Ten aanzien van individuen die persoonlijke gegevens voor verwerking vrijgeven, biedt de
voorgestelde verordening enkele additionele garanties die gegevens in de toekomst veiliger
zullen moeten stellen. De belangrijkste verandering het opleggen van de vereiste voor een
‘explicit consent’ of een uitdrukkelijke toestemming vanwege de betrokkene alvorens zijn/haar
gegevens verwerkt zullen mogen worden.268
157. Artikel 7 van de huidige Richtlijn Bescherming Persoonsgegevens bepaalt dat persoonlijk
gegevens slechts mogen verwerkt worden “wanneer de betrokkene daarvoor zijn
ondubbelzinnige toestemming verleend heeft”.269 Deze bewoording, die de Europese wetgever
hanteerde, creëerde heel wat rechtsonzekerheid, gezien ze geen duidelijke invulling gaf aan het
concept van de ‘ondubbelzinnige toestemming’. Vergt dergelijke toestemming steeds een actieve
toestemming van de betrokkene of is door het louter voorzien van ‘opt-‐out’ mogelijkheden (een
mogelijkheid waarbij de gebruiker de verwerking van gegevens kan verbieden) voldaan aan de
vereiste van een ondubbelzinnige toestemming? De ontwerptekst schept hier duidelijkheid over.
Zo dient de toestemming van de betrokkene in de toekomst ‘expliciet’ te zijn en mag stilte of
inactiviteit van zijn kant niet geïnterpreteerd worden als een geldige toestemming (overweging
25).270 We kunnen de eerder gestelde vraag te beantwoorden door te stellen dat, wanneer we
willen spreken van een uitdrukkelijke toestemming, inderdaad een actieve handeling van de
betrokkene vereist is. Dit kan zich veruiterlijken door het aanklikken van een selectievakje
wanneer men op het punt staat zijn persoonlijke gegevens voor verwerking vrij te geven.271
266 P. SWIRE EN Y. LAGOS, "Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique", Mayerland Law Review 2013, 343. 267 P. SWIRE EN Y. LAGOS, "Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique", Mayerland Law Review 2013, 341. 268 S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012. 269 Artikel 7, a) Richtlijn bescherming persoonsgegevens. 270 H. HIJMANS, "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het informatietijdperk te beschermen", NtEr 2012, 136. 271 S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012.
Facebook & Europese gegevensbescherming
71
158. Deze explicitering heeft belangrijke gevolgen voor sociale netwerksites. Bij het
registratieproces van sociale netwerksites als Facebook kan men zich, na het invullen van enkele
(persoonlijke) gegevens, eenvoudig akkoord verklaren met de algemene voorwaarden en de
privacy policy door op de ‘accept button’ te klikken. Deze pagina verwijst meestal door middel
van een ‘hyperlink’ naar desbetreffende voorwaarden.272 Het is algemeen geweten dat de
meerderheid van de internetgebruikers deze documenten niet doorneemt omwille van hun
volume, complexiteit en de grote hoeveelheid aan voor hen irrelevante informatie.273 Dergelijke
doorverwijzing zal in de toekomst niet meer volstaan om te kunnen spreken van een expliciete
toestemming voor het verwerken van gegevens. Daarenboven bepaalt artikel 7 van de
verordening dat de bewijslast voor het bestaan van de toestemming bij de verantwoordelijke
voor de verwerking ligt.274
3.4 ‘PRIVACY BY DESIGN’ & ‘PRIVACY BY DEFAULT’
159. Onder de nieuwe verordening zullen aanbieders van online diensten de beginselen van
‘privacy by default’ en ‘privacy by design’ in acht moeten nemen.275 Bijgevolg zullen de
bepalingen dus ook van toepassing zijn op aanbieders van sociale netwerksites.
Het eerste beginsel bepaalt dat de standaardinstellingen een maximaal niveau van privacy
moeten bieden aan de gebruikers.276 Aanbieders hebben hierbij ook de verplichting om deze
rigoureuze regels automatisch op elk gebruikersprofiel toe te passen, zonder dat dit enige
actieve handeling (zoals het aanpassen van de standaardinstellingen) van de betrokkenen
vereist.277
Om deze doelstelling efficiënt te bereiken moet volgens het principe van ‘privacy by design’ in
alle stadia, namelijk van de ontwikkeling tot de toepassing ervan, rekening gehouden worden
met de optimale bescherming van de persoonlijke levenssfeer van gebruikers en dit aan de hand
van privacy-‐bevorderende voorschriften, ook wel bekend als Privacy Enhancing Technologies
272 De Van Dale omschrijft een ‘hyperlink’ als: “(computer) verwijzing die de gebruiker bij aanklikken direct naar het document of de plaats brengt waarnaar verwezen wordt; koppeling”. 273 P. VAN EECKE en M. TRUYENS, “Privacy en sociale netwerken”, Computerr. 2010, 123. 274 Artikel 7 Algemene verordening gegevensbescherming. 275 Artikel 23 Algemene verordening gegevensbescherming. 276 X., “Wat betekenen de nieuwe gegevensbeschermingsregels voor sociale netwerken?”, Europese Commissie, 2012, http://ec.europa.eu/justice/data-‐protection/document/review2012/factsheets/3_nl.pdf. 277 S. VYNCKE, “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6 februari 2012.
Facebook & Europese gegevensbescherming
72
(PET).278 Het is dan ook niet verwonderlijk dat dit beginsel zich vooral richt tot de ‘system
engineers’, de ontwikkelaars, van bijvoorbeeld sociale netwerksites. Het hanteren van deze
werkwijze, waaronder het hanteren van PET, leidt tot standaardinstellingen die de persoonlijke
levenssfeer van gebruikers effectief kunnen beschermen. 279
160. Gezien hun relevantie kan het nodig zijn kort toe te lichten wat Privacy Enhancing
Technologies nu precies zijn. PET is een verzamelnaam voor de verschillende technieken die
gebruikt worden door informatiesystemen om de bescherming van persoonsgegevens te
ondersteunen en omvat alle technische maatregelen om de privacy te waarborgen.280 Deze PET
kunnen bijvoorbeeld gebruikt worden om identiteitsgegevens van een betrokkene los te
koppelen van de overige gegevens die over hem werden verzameld. Deze koppeling kan dan
enkel opnieuw worden hersteld aan de hand van bepaalde specifiek ontworpen hulpmiddelen.
Een andere toepassing zou kunnen zijn dat men tracht te voorkomen dat er überhaupt
persoonsgegevens vastgelegd worden eenmaal de identiteit is vastgesteld.281
3.5 SPECIFIEKE BEPALING INZAKE MINDERJARIGEN
161. In tegenstelling tot de Richtlijn van ’95 voorziet de ontwerptekst wel in specifieke
bepalingen voor de bescherming van minderjarigen in de digitale omgeving. De commissie
benadrukt dat minderjarigen en vooral jongere kinderen van een bijzondere bescherming
zouden moeten kunnen genieten omwille van het feit dat zij zich minder bewust zijn van de
risico’s, gevolgen, beschermingsmaatregelen en rechten bij de verwerking van persoonlijke
gegevens. Voor de invulling van het begrip ‘kind’ wordt daarenboven rechtsreeks verwezen naar
het VN-‐Verdrag inzake de rechten van het kind.282 Zo omschrijft artikel 4 AVG een kind als
“iedere persoon die jonger is dan achttien jaar”.283
278 A. CAVOUKIAN EN M. PROSCH, “The Roadmap for Privacy by Design in Mobile Communications: A Practical Tool for Developers”, Service Providers, and Users, Privacy by Design, 2010, 23; http://www.privacybydesign.ca/content/uploads/2011/02/pbd-‐asu-‐mobile.pdf. 279 L. MITROU EN M. KARYDA, "EU's Data Protection Reform and the Right to be Forgotten: A Legal Response to a Technological Challenge?", 5 februari 2012, 5th ICILE 2012. Te raadplegen op: http://ssrn.com/abstract=2165245. 280 R. KOORN, H. VAN GILS, J. TER HART, P. OVERBEEK EN R. TELLEGEN, Privacy Enhancing Technologies -‐ Witboek voor beslissers, Nederland, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (NL), 5; http://www.cbpweb.nl/downloads_technologie/witboek_pet.pdf. (Hierna: R. KOORN et al., Privacy Enhancing Technologies -‐ Witboek voor beslissers.) 281R. KOORN et al., Privacy Enhancing Technologies -‐ Witboek voor beslissers, 13. 282 Overweging 29 Algemene Verordening Gegevensbescherming, 24. 283 Artikel 4, puntje (18) Algemene Verordening Gegevensbescherming.
Facebook & Europese gegevensbescherming
73
162. De opmerkelijkste verandering is het invoeren van een geheel nieuw en specifiek artikel
die de regels vastlegt voor de verwerking van de persoonsgegevens van kinderen. Het artikel
bepaalt de omstandigheden waarin persoonsgegevens van kinderen, in het kader van diensten
van de informatiemaatschappij die hun rechtstreeks worden aangeboden, rechtmatig verwerkt
kunnen worden.284 Opvallend is dat het eerste lid voor het eerst de leeftijdsgrens van 13 jaar
aanvoert.285 Zo zal bij het aanbieden van dergelijke diensten aan kinderen onder die leeftijd,
enkel rechtmatig overgegaan kunnen worden tot het verzamelen en verwerken van diens
gegevens, nadat een ouder of voogd van het kind daarvoor zijn toestemming heeft verleend.286
4. WAT NU?
163. Voor de aanbieders van sociale netwerksites zijn dit enkele drastische wijzigingen in
vergelijking met hun huidige manier van werken. Ze zullen dan ook ongetwijfeld hun privacy
policy dienen aan te passen conform de bepalingen van de ontwerptekst. Sommigen vrezen zelf
dat sociale netwerksites als Facebook hierdoor in de toekomst hun diensten onmogelijk nog
gratis zullen kunnen aanbieden gezien ze hun structuur in zodanige wijze zouden moeten
aanpassen.287 Wanneer de nieuwe regels niet gerespecteerd zullen worden heeft de Belgische
Privacycommissie in de toekomst meer mogelijkheden. Tot op heden kan deze commissie bij
inbreuken enkel optreden als bemiddellaar. Onder de nieuwe verordening wordt haar
bevoegdheid opmerkelijk uitgebreid. Zo zal ze aan de hand van nieuwe middelen effectievere
controles kunnen uitvoeren en zal ze de mogelijkheid hebben om inbreuken met aanzienlijke
administratieve geldboetes te bestraffen.288
284 Artikel 8 Algemene Verordening Gegevensbescherming. 285 Deze leeftijd is geïnspireerd op deze van “part §312.2 van de Amerikaanse Children’s Online Privacy Protection Act (COPPA). Deze Amerikaanse wet bepaalt de specifieke regels inzake de bescherming van de persoonlijke levenssfeer van kinderen onder de leeftijd van 13 op het internet. De COPPA is te raadplegen op:http://www.ecfr.gov/cgibin/retrieveECFR?gp=&SID=97cc896fc6afbc34ac43f8abc971b9f2&n=16y1.0.1.3.36&r=PART&ty=HTML. 286 Artikel 8, lid 1 Algemene Verordening Gegevensbescherming. Het artikel legt de verantwoordelijke voor de verwerking op om ‘het nodige’ te doen voor het verkrijgen van deze verifieerbare toestemming en wordt hierbij rekening gehouden met de ‘beschikbare technologie’. 287 S. GEUKENS, "Gratis Facebook onmogelijk door nieuw wetsvoorstel EU”, De Morgen, 14 januari 2013. Hier kunnen we verwijzen naar het wegvallen van de grootste bron van inkomsten, verwezenlijkt door het verkopen van gegevens voor sociale advertenties. 288 X., “De nieuwe Europese regels rond gegevensbescherming: toelichting bij het voorstel van de Europese Commissie”, Commissie voor bescherming van de persoonlijke levenssfeer, 31 januari 2012, http://www.privacycommission.be/nl/nieuws/de-‐nieuwe-‐europese-‐regels-‐rond-‐gegevensbescherming-‐toelichting-‐bij-‐het-‐voorstel-‐van-‐de.
Facebook & Europese gegevensbescherming
74
Sociale netwerksites bleken in het verleden reeds experten te zijn in het naar hun hand zetten
van (standaard)instellingen met het oog op hun commerciële doelstellingen. Hoe ze de nieuwe
regeling echter zullen toepassen valt af te wachten.
Van theorie naar realiteit
75
HOOFDSTUK 4: VAN THEORIE NAAR REALITEIT
1. FACEBOOK PRIVACY-‐POLICY
164. Facebook is met haar 1.2 miljard gebruikers ongetwijfeld het bekendste en meest gebruikte
platform onder de sociale netwerksites.289 Wanneer we de website vandaag bekijken merken we
dat hij enkel al qua lay-‐out een enorme evolutie ondergaan heeft. Maar de lay-‐out is niet het
enige wat doorheen de jaren aangepast werd. Ook de houding van de aanbieder van de sociale
netwerksite tegenover het beschermen van persoonlijke gegevens onderging enkele grondige
wijzigingen.
Iedereen herinnert zicht beslist nog dat telkens wanneer Facebook met een nieuwe
lay-‐out op de proppen kwam, ‘de newsfeed’ (dat is de startpagina die gebruikers te zien krijgen
met een overzicht van alle recente ‘verhalen’) van het sociale netwerk woekerde
van misnoegde gebruikers die terug wilden keren naar “hoe het vroeger was”. 290
Waar het merendeel van de gebruikers zich echter niet van bewust was, was het feit dat
wanneer deze lay-‐outs veranderden, Facebook vaak ook haar privacy policy en standaard
privacy-‐instellingen wijzigde, en dit zonder dat de gebruikers hier duidelijk van op de hoogte
gebracht werden. Een afleidingsmanoeuvre? Het lijkt zo. Dergelijke werkwijze kan een probleem
vormen voor de privacy, gezien veel mensen op Facebook waarschijnlijk nooit hun instellingen
controleerden en gewoon de standaardinstellingen aanvaardden, welke deze ook mochten zijn.
In dit opzicht kan het interessant zijn de verschillende wijzigingen die de Facebook Privacy
Policy onderging eens te overlopen.
289 Zie grafiek in bijlage 3. 290 De Newsfeed of Het nieuwsoverzicht (de middelste kolom op je startpagina) is volgens de Facebook help-‐pagina een lijst met verslagen van personen en pagina's die je op Facebook volgt en die continu wordt bijgewerkt. Nieuwsoverzichtverslagen omvatten statusupdates, foto's, video's, links, app-‐activiteiten en vind-‐ik-‐leuks., te raadplegen op: https://www.facebook.com/help/210346402339221 .
Van theorie naar realiteit
76
1.1 EVOLUTIE
1.1.1 Van bescherming naar vrijgeven van gegevens, een overzicht.
165. In 2010 maakte KURT OPSAHL van de Electronic Frontier Foundation (EFF) een mooi
overzicht van hoe Facebook stilaan haar privacy beleid aanpaste.291 Wat opvalt is dat de sociale
netwerksite oorspronkelijk de mogelijkheid bood aan leden van een bepaalde groep om te
communiceren of enkel in contact te komen met de mensen die men zelf wou. Later veranderde
het tot een platform waar een groot deel van de persoonlijke informatie van gebruikers (door
standaardinstellingen) openbaar werd. Nu lijkt het echter eerder geëvolueerd te zijn tot een
sociale netwerksite waar leden bijna verplicht worden om bepaalde gegevens publiek
toegankelijk te maken, meer nog, waar Facebook deze informatie zelfs doorverkoopt aan
handelspartners om gepersonaliseerde advertenties per individuele gebruiker te maken.292 Aan
de hand van uittreksels uit hun policy van 2005 tot 2010 wordt deze evolutie toegelicht.
166. In 2005 stond het volgende in hun Privacy Policy: “No personal information that you submit
to Thefacebook will be available to any user of the Web Site who does not belong to at least one of
the groups specified by you in your privacy settings. We use the information about you that we have
collected from other sources to supplement your profile unless you specify in your privacy settings
that you do not want this to be done.” Informatie was dus enkel toegankelijk voor Facebook-‐
gebruikers die de betrokkene aan een groep, aan wie hij de toegang tot deze informatie reeds
had verleend, had toegevoegd. Wat Facebook wel deed was informatie die ze elders over een
gebruiker vergaard had, gebruiken om zijn/haar profiel aan te vullen, tenzij dit in de privacy-‐
instellingen werd uitgeschakeld. 293
In de Facebook Privacy Policy van 2006 merkt men dat Facebook vage temen hanteert en in
plaats van toegang te geven aan enkel de groepen die men specifiek instelt, zijn de
standaardinstellingen zo ingesteld dat informatie zichtbaar wordt voor personen die tot
eenzelfde ‘community’, zoals een school en de regio waarin men woont, behoren: “We
understand you may not want everyone in the world to have the information you share on
291 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”, EEF, https://www.eff.org/deeplinks/2010/04/facebook-‐timeline . (Hierna: K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”). 292 Deze gepersonaliseerde advertenties worden gemaakt door het verzamelen van cookies die via bepaalde datamining-‐processen omgevormd kunnen worden tot informatie die relevant is voor het maken van gepersonaliseerde advertenties (zowel te zien in de Facebook newsfeed, als in de rechter zij-‐kolom van de website. Dit wordt later toegelicht. 293 H. JONES en J. HIRAM SOLTREN, “Facebook: Threats to Privacy”, CSAIL, 2005, http://groups.csail.mit.edu/mac/classes/6.805/student-‐papers/fall05-‐papers/facebook.pdf .
Van theorie naar realiteit
77
Facebook; that is why we give you control of your information. Our default privacy settings limit
the information displayed in your profile to your school, your specified local area, and other
reasonable community limitations that we tell you about.” 294
In 2007 werd deze sectie nog verder uitgebreid. Nu kon informatie als Naam, naam van de
school waarop men zat en de profielfoto van de gebruiker door iedereen teruggevonden worden
in de Facebook zoekfunctie, tenzij men dit in de privacy instellingen aanpaste. Profiel-‐informatie
was niet meer enkel toegankelijk voor gebruikers binnen dezelfde ‘community’; deze term werd
echter vervangen door het ruimere ‘network’. Het aantal mensen die de informatie bereikte
werd op deze manier onopvallend enorm vergroot. Toch bestond de mogelijkheid nog steeds om
via de instellingen te bepalen welke netwerken er al dan niet toegang tot verkregen: “Profile
information you submit to Facebook will be available to users of Facebook who belong to at least
one of the networks you allow to access the information through your privacy settings (e.g., school,
geography, friends of friends). Your name, school name, and profile picture thumbnail will be
available in search results across the Facebook network unless you alter your privacy settings.” 295
De Facebook Privacy Policy werd in november 2009 opnieuw grondig aangepast. Nu
waarschuwde men gebruikers dat ze zelf dienden na te kijken of de standaard privacy-‐
instellingen conform hun wensen waren. Het zwaartepunt van de policy lag hem in de zinsnede
“with anyone you want”. Facebook was er zich dus van bewust dat gebruikers zelf moeten
kunnen bepalen wie welke informatie te zien kan krijgen. Toch werden de standaardinstellingen
nog steeds zodanig opgemaakt dat alle informatie voor iedereen te zien was, tot wanneer men
dit in de privacy-‐instellingen aanpaste. De grootste verandering echter was het feit dat door
deze ‘everyone’-‐instelling informatie ook zichtbaar werd voor personen die geen lid waren van
het sociale netwerk en bijgevolg door derde partijen gebruikt mocht worden: “Facebook is
designed to make it easy for you to share your information with anyone you want. You decide how
much information you feel comfortable sharing on Facebook and you control how it is distributed
through your privacy settings. You should review the default privacy settings and change them if
necessary to reflect your preferences. You should also consider your settings whenever you share
information. ... Information set to “everyone” is publicly available information, may be accessed by
everyone on the Internet (including people not logged into Facebook), is subject to indexing by
third party search engines, may be associated with you outside of Facebook (such as when you visit
other sites on the internet), and may be imported and exported by us and others without privacy
294 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”. 295 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”.
Van theorie naar realiteit
78
limitations. The default privacy setting for certain types of information you post on Facebook is set
to “everyone.” You can review and change the default settings in your privacy settings.” 296
Wie denkt dat het invoeren van vaag omschreven instellingen het toppunt was, heeft het mis. In
december 2009 werd deze alinea namelijk nog verder uitgebreid. Daarenboven heeft Facebook
voor sommige informatie van gebruikers zoals de naam, de profielfoto, de vriendenlijst, pagina’s
waar men ‘fan’ van is, geografische gegevens en netwerken waartoe hij behoort, de mogelijkheid
om de privacy–instellingen ervan te wijzigen verwijderd, aangezien ze beschouwd worden als
publiekelijk toegankelijk voor iedereen, zelfs voor derde-‐partij toepassingen: “Certain categories
of information such as your name, profile photo, list of friends and pages you are a fan of, gender,
geographic region, and networks you belong to are considered publicly available to everyone,
including Facebook-‐enhanced applications, and therefore do not have privacy settings. You can,
however, limit the ability of others to find this information through search using your search
privacy settings.” 297
Wanneer we in april 2010 de Policy raadpleegden zagen kon men het volgende lezen:
“When you connect with an application or website it will have access to General Information about
you. The term General Information includes your and your friends’ names, profile pictures, gender,
user IDs, connections, and any content shared using the Everyone privacy setting. ... The default
privacy setting for certain types of information you post on Facebook is set to “everyone.” ...
Because it takes two to connect, your privacy settings only control who can see the connection on
your profile page. If you are uncomfortable with the connection being publicly available, you should
consider removing (or not making) the connection.” Het komt er dus op neer dat ze de
persoonlijke informatie over gebruikers nu benoemen met de term ‘general information’, wat
een nog grotere lading leek te dekken dan voordien. Nog zegt de policy dat deze informatie
automatisch op ‘voor iedereen toegankelijk’ staat ingesteld. Wanneer men zich inlogt op een
website of op een applicatie via zijn Facebook-‐account zal deze informatie bijgevolg ook voor
hen toegankelijk zijn. De enige mogelijkheid die de policy biedt om dergelijke toegang tot
persoonlijke gegevens te voorkomen is het niet maken van de connectie. 298
296 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”. 297 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”. 298 K. OPSAHL, “Facebook’s Eroding Privacy Policy: A Timeline”.
Van theorie naar realiteit
79
1.1.2 Anno 2013, de Graph search
167. Zoals eerder vermeld elimineerde de sociale netwerksite in december van vorig jaar de
mogelijkheid om ‘onvindbaar’ te zijn op Facebook voor personen die nog geen gebruik gemaakt
hadden van de optie. Dit hield in dat gebruikers die dit wensten konden beletten voor te komen
in de resultaten van de Facebook-‐zoekfunctie en in deze van derde-‐partijen zoekmachines. 299 In
oktober van dit jaar kregen gebruikers die wel gebruik van deze mogelijkheid gebruik hadden
gemaakt de volgende melding: “X, we wanted to make sure you know we're removing the “Who
can look up your Timeline by name" setting. This setting controlled whether people could find your
name. We're removing the setting because it isn't as useful as it was before, and now there are
better ways to manage your privacy using your privacy shortcuts.” en werd bijgevolg ook voor hen
de mogelijkheid afgeschaft. 300 Facebook stelt dat de functie eigenlijk door velen verkeerd
begrepen werd. Op het eerste zicht leek het erop dat men door de optie aan te vinken
onvindbaar werd voor vreemden, maar niets is minder waar. Gebruikers die geen vriend waren
met deze personen konden op verschillende manieren toch toegang krijgen tot zijn/haar
profielgegevens. Dit kon onder meer door de naam aan te klikken op een foto waar deze persoon
op geïdentificeerd of ‘getagd’ werd, een ‘like’ van deze persoon of door de persoon op te zoeken
in iemands vriendenlijst.
168. Logischerwijs kwam Facebook met de afschaffing van deze functie met iets nieuws op de
proppen; ze voerde de nieuwe ‘Graph Search’ in. Op deze manier kan men aan de hand van een
minimum aan informatie zeer gemakkelijk iemands profiel terugvinden. Bovendien wordt vanaf
nu ook de informatie uit de gegevens die men zelf op Facebook plaats, zoals woonplaats, school
en dergelijke, gebruikt om de nieuwe zoekfunctie optimaal te laten functioneren. Een voorbeeld
hiervan zou kunnen zijn dat wanneer iemand in zijn algemene profielinformatie te kennen geeft
in Brussel te wonen, deze persoon teruggevonden kan worden door in de nieuwe
zoekmogelijkheden de optie “Personen wonend te Brussel” aan te klikken. Op deze manier
kunnen andere gebruikers zonder enig beletsel doorklikken naar uw profiel. 301
We kunnen stellen dat dit een grove inbreuk is op het recht op privacy gezien gebruikers
doodeenvoudig de keuze niet meer krijgen om ‘volledig onzichtbaar’ te zijn én te blijven.
299 B. MIKKELSON en D. MIKKELSON, “Facebook Privacy Removal”, Snopes, 17 oktober 2013, http://www.snopes.com/computer/facebook/privacyremoval.asp#9Q2UGZDHUbfbhzDH.99 . 300 J. CONSTINE, "Facebook Removing Option To Be Unsearchable By Name, Highlighting Lack Of Universal Privacy Controls" ,Techcrunch, 10 oktober2013, http://www.techcrunch.com/2013/10/10/facebook-‐search-‐privacy/ . 301 J. CONSTINE, "Facebook Removing Option To Be Unsearchable By Name, Highlighting Lack Of Universal Privacy Controls" ,Techcrunch, 10 oktober 2013, http://www.techcrunch.com/2013/10/10/facebook-‐search-‐privacy/ .
Van theorie naar realiteit
80
Wat gebruikers echter wel kunnen doen is manueel het doelpubliek van hun ‘Facebook-‐posts’
aanpassen. 302 Met andere woorden: een onbegonnen en extreme last, gezien de meeste
gebruikers toch heel wat op hun pagina zetten. Anderzijds lijkt de sociale netwerksite ook een
positief signaal uit te sturen aangezien ze het verwijderen van de optie verantwoordt door te
stellen dat ze een verkeerd en vals gevoel van privacy gaven waardoor gebruikers zich slechts
enkel onzichtbaar ‘voelden’. Desalniettemin was er beter een sterker alternatief voor de ‘opt-‐
out’ mogelijkheid gekomen in plaats van een hele resem afzonderlijke instellingen die het de
gebruiker nog moeilijker maken zijn voorkeuren in te stellen.
169. Natuurlijk dient men de commotie rond deze nieuwe optie ook te relativeren. Talloze
gebruikers raken in paniek bij het lezen van de vele artikels en ‘hoaxes’ die waarschuwen voor
de komst van de Graph Search.303 Indien deze functie plots alle informatie van gebruikers
raadpleegbaar zou maken voor de hele wereld, zou Facebook nog slechts een kort leven
beschoren zijn. Wie kan dan informatie opvragen? Simpel gezegd: alle personen die reeds
toegang hadden tot deze gegevens. Wanneer men een foto upload en met stelt te privacy-‐
instellingen zo in dat enkel vrienden of vrienden van vrienden deze mogen zien, dan zal de
Graph Search deze beperkingen respecteren. Het grote probleem zit hem echter in foto’s en
andere informatie die anderen over iemand op Facebook plaatsen. Desbetreffend persoon kan
enkel vragen aan de andere om deze foto of informatie van zijn pagina te halen en indien dit niet
lukt kan hij het probleem bij Facebook rapporteren (dit is de facto dezelfde regeling als
voordien). Enige alertheid is ongetwijfeld aangeraden.
170. Eerder werd gewezen op de standaard of ‘default’ privacy instellingen. Steeds meer blijkt
dat sociale netwerken dergelijke instellingen hanteren in het voordeel van hun bedrijfsbelangen,
bijvoorbeeld voor commerciële doeleinden. In het kader van deze masterproef is het bijgevolg
cruciaal deze instellingen toe te lichten teneinde de gewichtigheid en de consequenties die ze
hebben voor de privacy van sociale netwerkgebruikers te duiden.
302 Een ‘post’ is een gebruikelijke term voor iets wat men op Facebook plaatst. Bijvoorbeeld een berichtje op een prikbord, een foto uploaden, een commentaar op een foto,... 303 ‘To hoax’ wordt vertaald als een grap uithalen, beduvelen, voor de gek houden.
Van theorie naar realiteit
81
1.2 ‘DEFAULT PRIVACY SETTINGS’
171. Uit de voorgaande evolutie van de Facebook privacy policy wordt snel duidelijk hoe de
mentaliteit van de onderneming evolueerde van een eerder gesloten, beschermend beleid naar
één waar alle persoonlijke informatie standaard publiek toegankelijk is.
Daarom is het van belang dat privacy-‐instellingen de gepaste mogelijkheden bieden en zodanig
geconfigureerd kunnen worden dat de persoonlijke levenssfeer van de gebruiker in de gewenste
mate beschermd wordt. Gezien het feit dat dergelijke instellingen standaard ingesteld zijn
volgens de voorkeuren van de aanbieder van sociale netwerksite kan men zich afvragen of deze
instellingen wel degelijk de persoonlijke levenssfeer van hun leden optimaal beschermen.
Eerst worden enkele voorwaarden overlopen aan dewelke privacy-‐instellingen moeten voldoen
volgens de Werkgroep van artikel 29. Hierna worden de betekenis, doelstellingen en functies
van default privacy-‐instellingen toegelicht. Tenslotte trachten we een voorstelling te maken van
hoe deze instellingen idealiter vooraf door sociale netwerksites zouden moeten ingesteld
worden. Hiervoor baseren we ons op een werkstuk van het Interdisciplinary Centre for Law &
ICT (ICRI). In hun ‘Guidelines for Privacy-‐Friendly Default Settings’ doen onderzoekers van het
ICRI een bescheiden poging om richtlijnen uit te tekenen voor het degelijk opstellen van deze
standaardinstellingen.304
1.2.1 Advies van De werkgroep Artikel 29.
172. Wanneer sociale netwerksites de richtlijn niet respecteren kunnen ze op de vingers getikt
worden door de Werkgroep van artikel 29 van de Richtlijn Bescherming Persoonsgegevens.305
Zo berispte de Groep het sociale netwerk Facebook in een brief nadat ze in 2010 haar privacy
instellingen wijzigde en dit in het nadeel van de Facebook-‐gebruiker. Dit deed de aanbieder van
de site zelf na een hoorzitting hieromtrent, die ze samen met andere aanbieders van sociale
netwerksites bijwoonden, tijdens de Plenaire zitting van november 2009. De Groep stuurde de
brief naar twintig aanbieders van sociale netwerksites die elk van hen de “Safer Social
Networking Principles for the EU” ondertekend hadden.306 De brief benadrukte dat een sociale
304 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, ICRI Research Paper, 2013, http://ssrn.com/abstract=2220454 . (Hierna: J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings). 305 Hierna: de Groep. 306 X., “Safer Social Networking Principles fot he EU”, 2009, http://ec.europa.eu/digital-‐agenda/sites/digital-‐agenda/files/sn_principles.pdf; Mededeling van 19 mei 2010 van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's, “Een digitale agenda voor Europa”, COM(2010) 245 definitief, http://eur-‐lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0245:FIN:NL:HTML. In ‘Europa 2020‘ legde de
Van theorie naar realiteit
82
netwerksite ‘default’ privacy-‐instellingen zodanig moeten programmeren “dat de toegang tot de
informatie op het online profiel van gebruikers beperkt is tot contacten die door de gebruiker zelf
gekozen zijn. Elke andere toegang tot deze gegevens, zoals in zoekmachines, moet uitdrukkelijk
door de gebruiker toegestaan worden in de voorgenoemde instellingen”.307 In de brief worden ook
de applicaties en toepassingen gemaakt door derden aangehaald. Ook deze dienen een
maximum aan controle te bieden over de gegevens die op het profiel van gebruikers te vinden
zijn. Waar ook op gelet moet worden is de informatie over een derde (niet-‐gebruiker) die terug
te vinden is op het profiel van een gebruiker van de sociale netwerksite. Deze informatie mag
nooit gebruikt worden voor commerciële doeleinden dan met zijn ondubbelzinnige
toestemming.308
1.2.2 Standaardinstellingen concreet
173. In de context van sociale netwerken kunnen privacy instellingen omschreven worden als
“alle technische mogelijkheden en elementen die (kunnen) beslissen hoe gegevens door sociale
netwerken stromen.” 309 Er kan een onderscheid worden gemaakt tussen twee soorten privacy-‐
instellingen namelijk, de instellingen die men niet kan aanpassen (de zogenaamde ‘wired-‐in’
instellingen) en deze waarbij configuratie wel mogelijk is.
174. Bij ‘wired-‐in’ instellingen gaat het om bepaalde zaken die gebruikers van het sociale
netwerk niet persoonlijk kunnen aanpassen omdat ze bepaald worden door de ontwikkelaars
van het sociale platform. Deze ontwikkelaars hebben een visie over hoe gegevens door het
netwerk verwerkt zullen worden en bepalen zo mee de ervaring van gebruikers. Bij wijze van
voorbeeld kan de Facebook Tijdlijn aangehaald worden. Voordien kon men op iemands profiel
enkel recente verslagen bekijken, maar met de komst van de Tijdlijn werd het plots mogelijk om
terug te keren in de tijd en de activiteiten van een bepaalde gebruiker te bekijken, tot het Europese Commissie zeven beoogde doelstellingen/kerninitiatieven vast waaraan de Europese Unie tegen 2020 aan zou moeten voldoen. De ‘Digitale Agenda voor Europa’ is een van die zeven pijlers. Hierin werd de aandacht gevestigd op de privacy-‐problematiek omtrent sociale netwerksites. In het kader van deze ambitie sloten de Europese Commisie en de grote spelers onder de sociale netwerken een samenwerkingsovereenkomst inzake de beveiliging van deze websites. De zogenaamde “Safer Social Networking Principles for the EU”. In dit zelfregulerend document gaan beide partijen akkoord over het respecteren van bepaalde normen bij de bescherming van jongeren en kinderen in de sociale netwerkomgeving. 307 X., “European data protection group faults Facebook for privacy setting change”, EC Press Release, Brussels, 12 mei 2010, 1. Te raadplegen op:http://ec.europa.eu/justice/policies/privacy/news/docs/pr_12_05_10_en.pdf. 308 X., “European data protection group faults Facebook for privacy setting change”, Press Release, Brussels, 2010 1-‐2. 309 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 6.
Van theorie naar realiteit
83
moment dat deze persoon zich voor het eerste registreerde. Deze vernieuwing kwam er zonder
dat leden de mogelijkheid hadden om deze optie uit te schakelen.310
175. Daarnaast zijn er uiteraard ook de configureerbare (‘adjustable’) privacy-‐instellingen, die
gebruikers van de website kunnen aanpassen aan hun persoonlijke voorkeuren. Dit zijn de
instellingen waarnaar gebruikers gewoonlijk refereren met de term ‘privacy instellingen’ en die
de mogelijkheid bieden in te stellen op welke manier persoonlijke gegevens gebruikt en gedeeld
mogen worden. Men moet hier een bijkomend onderscheid maken tussen enerzijds de
instellingen die het mogelijk maken om te bepalen welke van onze connecties bepaalde
informatie te zien krijgen en anderzijds deze die de wil van de gebruiker uitdrukken tegenover
de aanbieder van de dienst en derde partijen, in verband met in welke mate zij over gegevens
mogen beschikken. Het spreekt voor zich dat de aanbieder van de sociale netwerksite bij deze
laatste soort instellingen belang heeft om deze zoveel mogelijk in haar voordeel te laten spelen
en de toestemming van de betrokken persoon verkrijgt om zijn/haar informatie te verwerken.311
176. Een groot ongemak dat bij dergelijke vooraf ingestelde opties ervaren kan worden is de
grote vaagheid ervan. Zo worden privacy-‐instellingen steeds gekenmerkt door een aantal
instellingen die vooraf door de aanbieder van de dienst geselecteerd werden. Dit noemt men de
standaard-‐ of default privacy-‐instellingen. Soms kan het zelf zijn dat de betrokken persoon als
het ware gedwongen wordt om een keuze te maken. Dit is het geval bij ‘meerkeuze-‐vakjes’.
Wanneer men verder wil gaan in bijvoorbeeld een registratieproces is men verplicht een keuze
(meestal aangaande persoonlijke informatie) te maken uit een van de vooraf ingestelde
opties.312 Facebook maakt bij haar standaardinstellingen gebruik van een ‘opt-‐out’ systeem. Alle
‘share-‐opties’ staan standaard aangevinkt zodat men ze manueel één voor één dient uit te
vinken of de doelgroep van online verslagen en posts van ‘openbaar’ naar de gewenste
doelgroep moet wijzigen. De gemiddelde gebruiker is hier echter niet van op de hoogte, wat een
bedreiging vormt voor de privacy aangezien het niet duidelijk is wie welke informatie te zien
krijgt.313
310 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 6. 311 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 6. 312 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 6-‐7. 313 D. BOYD, “Facebook’s ‘Opt-‐out’ Precedent, 12 december 2007, http://www.futurelab.net/blog/2007/12/facebooks-‐opt-‐out-‐precedent.
Van theorie naar realiteit
84
178. Waarom zou een sociale netwerksite in haar standaard privacy-‐instellingen een zodanige
regeling invoeren die haar leden een redelijke verwachting van de privacybescherming geeft?
Bestaat er een zekerheid dat dergelijke websites de privacy van hun leden als prioriteit hoog in
het vaandel dragen of zijn het eerder de commerciële belangen die de belangrijkste drijfveer
vormen? Eerder werd aangehaald hoe Facebook haar privacy-‐beleid geleidelijk aanpaste en de
standaardinstellingen met verloop van tijd de openbaarheid van het gebruikersprofiel in de
hand werkten.314 Hun leden hebben er bijgevolg alle belang bij attent te zijn bij de configuratie
ervan.
1.2.3 Belang van privacy-‐bevorderende standaardinstellingen.
179. De instellingen zijn volgens Facebook zodanig gemaakt om onze informatie optimaal te
kunnen beschermen. Zo kan men zelf bepalen welke informatie en gegevens bij welke doelgroep
terecht komt. Al wordt snel duidelijk dat deze instellingen niet zo eenvoudig te configureren zijn.
Om werkelijk alle instellingen naar onze wensen aan te passen zijn we genoodzaakt een
zoektocht te doen in alle afzonderlijke onderdelen van de privacy instellingen, of als het ware in
het “Facebook-‐labyrint”.
180. In ‘Guidelines for Privacy-‐Friendly Default Settings’ haalt het ICRI vijf hoofdredenen aan die
pleiten voor de nood aan privacy-‐vriendelijke default-‐instellingen. Ten eerste merken ze op dat
standaardinstellingen een belangrijke rol spelen bij de bescherming van persoonlijke gegevens
omdat gebruikers vaak ‘lui’ of ‘onwetend’ zijn. In het algemeen bieden sociale netwerken wel
degelijk de mogelijkheden aan leden om hun privacy instellingen uitgebreid te beheren. 315 Uit
verschillende onderzoeken wordt echter geconcludeerd dat er slechts een klein percentage
gebruikers de moeite doet en tijd neemt om deze instellingen te configureren en dit om
verschillende redenen.316 Bijgevolg is het bestaan van dergelijke instellingen noodzakelijk en is
314 L. EDWARDS EN I. BROWN, “Data Control and Social Networking: Irreconcilable Ideas?” in A. MATWYSHYN (ed.), Harbouring Data: Information security, Law and the corporation , Palo Alto, Stanford University Press, 2009, 209. 315 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 15-‐16. 316 A. KUCZERAWY EN F. COUDERT, “Privacy Settings in Social Networking Sites: Is It Fair?” in S. FISCHER-‐HÜBNER et al. (eds.), Privacy and Identity Management for Life, Heidelberg/Dordrecht/London/New York, Springer, 2011, 231-‐243; R. STROSS, “When Everyone’s a Friend, Is Anything Private?,” The New York Times, 8 maart 2009, http://www.nytimes.com/2009/03/08/business/08digi.html?_r=0; A. CAVOUKIAN EN M. PROSCH, “The Roadmap for Privacy by Design in Mobile Communications: A Practical Tool for Developers, Service Providers, and Users”, Privacy by Design, 2010, http://www.privacybydesign.ca /content/uploads/2011/02/pbd-‐asu-‐mobile.pdf.
Van theorie naar realiteit
85
het belangrijk dat deze de bescherming van de persoonlijke levenssfeer bevorderen.317 Een
tweede reden is het zogenaamde ‘privacy-‐paradox’. Het paradox verwijst naar de
tegenstrijdigheid tussen de vrees van particulieren voor inbreuken op hun privacy enerzijds en
hun uiteindelijke gedrag op het internet anderzijds.318 Bij het gebruik van sociale netwerksites
valt op hoe individuen laks omspringen met het vrijgeven van hun persoonlijke gegevens terwijl
ze wel verwachten dat hun privacy maximaal beschermd wordt. Het probleem ligt hem vaak in
het feit dat gebruikers sociale netwerken aanzien als een privaat en gesloten platform waar men
enkel met zijn/haar vrienden in contact staat. Hierdoor kan een vals privacy-‐gevoel, een ‘illusie
van privacy’, ervaren worden, gezien ook vage kennissen en zelfs vreemden deel uit kunnen
maken van de Facebook vriendenlijst.319 Mensen zijn sociale wezens en hebben bijgevolg een
drang naar spontane sociale interacties. Terzelfdertijd hebben we eveneens nood aan een
degelijke en betrouwbare manier om controle te hebben over wat we vrijgeven tijdens deze
interacties en wat we liever voor onszelf houden. Wanneer we vooraf echter instellen welke
informatie we met welke mensen delen, verdwijnt het ‘spontane’ karakter.320 Ook daarom
benadrukken de ‘Guidelines’ het belang voor adequate standaardinstellingen. 321 Als derde
argument worden de billijkheid en proportionaliteit aangehaald. Het verwerken van
persoonlijke gegevens moet steeds gebeuren in het kader van legitieme doelstellingen waarbij
een afweging tussen de onderscheiden belangen essentieel is. 322 Doorgaans zijn de
standaardinstellingen op sociale netwerksites redelijk inschikkelijk wanneer het aankomt op het
delen van informatie met vreemden.323 Vaak zijn privacy-‐instellingen zeer complex en kan dit bij
de gebruiker enige verwarring teweeg brengen, wat een eerder negatieve weerslag heeft op de
bescherming van gegevens. Daarom is er een behoefte aan billijke en proportionele
317 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 15-‐16. 318 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 16. 319 L. EDWARDS EN I. BROWN, “Data Control and Social Networking: Irreconcilable Ideas?” in A. MATWYSHYN (ed.), Harbouring Data: Information security, Law and the corporation , Palo Alto, Stanford University Press, 2009, 218. 320 J. Grimmelmann, "Saving Facebook", Iowa Law Review 2009, 1185; http://works.bepress.com/cgi/viewcontent.cgi?article=1019&context=james_grimmelmann. 321 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 16. 322 Artikel 5 van het Verdrag 108 van 28 januari 1981 tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens van de Raad van Europa. Het verdrag werd in 2012 gemoderniseerd. Onder meer artikel 5 werd aangepast in verband met de besproken propotionaliteit. Het definitieve verdrag is te raadplegen op: http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/T-‐PD_2012_04_rev2_En.pdf. 323 B. KRISHNAMURTHY EN C.E. WILLS, "Characterizing privacy in online social networks" in X., WOSN '08 Proceedings of the first workshop on Online social networks, New York, ACM, 2008, 37-‐42; http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.145.4305&rep=rep1&type=pdf.
Van theorie naar realiteit
86
standaardinstellingen die alle spelende belangen in aanmerking nemen. 324 Ten vierde spreken
ze over maatschappelijke waarde van het beschermen van gegevens. Dergelijke instellingen
hebben niet enkel betrekking op het veilig stellen van bepaalde soorten gevoelige informatie en
van zwakkere individuen in de sociale netwerkomgeving 325, maar ook op het tegengaan van de
verbrokkeling van fundamentele maatschappelijke waarden die nauw verbonden zijn met het
privacygegeven. 326 Mensen accepteren vaak zonder nadenken de standaardinstellingen van
gratis sociale netwerken.327 Dit betekent echter niet dat hun persoonlijke gegevens minder goed
beschermd zouden moeten worden.328 Tot slot beklemtoont het ICRI het belang van de principes
“privacy by design” en “privacy by default” als basis om dergelijke instellingen te ontwerpen.329
In de huidige EU wetgeving komen deze nog niet duidelijk aan bod. In het nieuwe voorstel tot de
Algemene Verordening Gegevensbescherming zullen ze daarentegen een prominente rol spelen.
Gezien deze principes in de ontwerptekst opgenomen zijn werden ze in desbetreffend onderdeel
uitvoerig besproken.
181. Bij wijze van opfrissing komen deze begrippen in het kort op het volgende neer. ‘Privacy by
default’ betekent dat de standaard privacy-‐instellingen een maximum aan bescherming moeten
bieden. Daarenboven dienen ze duidelijk en transparant mee te delen hoe en waarom gegevens
gebruikt zullen worden. Met ‘Privacy by design’ wordt benadrukt dat men, door reeds aandacht
te besteden aan privacy bevorderende voorschriften (Privacy Enhancing Technologies) tijdens
ontwikkeling van informatiesystemen, die verantwoorde en zorgvuldige verwerking van
persoonsgegevens doeltreffend kan afdwingen.330
324 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 16-‐17. 325 Met deze gevoelige informatie verwijzen we naar artikel 8 van de Richtlijn Bescherming Persoonsgegevens dat vroeger reeds besproken werd. 326 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 19. 327 Deze diensten worden aangeboden vrij van betaling, maar in principe geeft men zijn persoonlijke gegevens in ruil. Sociale netwerksites als Facebook kunnen aan de hand van de commerciële verwerking ervan heel wat opbrengsten maken. 328 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 18-‐19. 329 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 19-‐20. 330 A. CAVOUKIAN EN M. PROSCH, “The Roadmap for Privacy by Design in Mobile Communications: A Practical Tool for Developers, Service Providers, and Users”, Privacy by Design, 2010, 23; http://www.privacybydesign.ca/content/uploads/2011/02/pbd-‐asu-‐mobile.pdf.
Van theorie naar realiteit
87
1.2.4 Richtlijnen van het ICRI
182. Zoals bij de aanvang van dit onderdeel vermeld werd, heeft het ICRI een poging gedaan tot
het opstellen van vier algemene richtlijnen over hoe default privacy-‐instellingen er uit zouden
moeten zien. We overlopen ze even kort.
1.2.4.1 ‘Wired-‐in’
183. Hierboven werd gewezen op het onderscheid tussen ‘wired-‐in’ en ‘adjustable’ settings. Het
ICRI opteert voor een ‘wired-‐in’ beleid omwille van twee redenen: de complexiteit en de te
beschermen fundamentele waarden. Ten eerste werd er in verschillende onderzoeken
aangetoond dat een overdreven aanbod aan configureerbare instellingen leidt tot verwarring en
resulteert in een onverschilligheid van de gebruiker.331 Het tweede argument benadrukt dat
sociale netwerksites hun leden geen keuze zouden mogen laten wanneer fundamentele
(privacy-‐)waarden bedreigd kunnen worden. Het beheren van bepaalde rechten kan in sommige
omstandigheden niet aan een individu overgelaten worden (bijvoorbeeld bij sociaal kwetsbare
personen).332
De ‘Guidelines’ sommen 4 kernelementen op die de beleidsontwerpers in rekening zouden
moeten nemen bij de beslissing om ‘wired-‐in’ of al dan niet ‘adjustable’ settings te gebruiken:
eerst en vooral zou onderzocht moeten worden of er een draagvlak is voor ‘wired-‐in’
instellingen (1), vervolgens moet ook de voorkennis van gebruikers in gedachten gehouden
worden (2). Wanneer men kiest voor ‘adjustable-‐settings’ moet voldoende aandacht besteed
worden aan een gebruiksvriendelijke lay-‐out van privacy-‐menu’s, indien dit niet het geval is zijn
‘wired-‐in’ instellingen aan te raden (3). Tenslotte zou het instellen van algemene
beveiligingsopties die voor elke gebruiker gelden niet aanpasbaar mogen zijn door gebruikers
(4).333
1.2.4.2 De ‘would-‐have-‐wanted’-‐invulling van ‘adjustable settings’
184. Wanneer toch voor configureerbare (‘adjustable’) instellingen wordt gekozen zal een goede
invulling ervan primordiaal zijn. Deze invulling zou moeten voldoen aan de verwachting van de
gebruiker en daarenboven ingegeven zijn door proportionaliteit en billijkheid. De kans is groot
dat deze verwachtingen eerder neigen naar een standaardinstelling die volledige bescherming
331 M. MADEJSKI, M. JOHNSON EN S.M. BELLOVIN, "The Failure of Online Social Network Privacy Settings", CUCS Tech Reports 2011, 8; https://mice.cs.columbia.edu/getTechreport.php?techreportID=1459; J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 22-‐23. 332 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 23. 333 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 23.
Van theorie naar realiteit
88
biedt: “On the whole, the ‘would have wanted’ standard probably points to turning on the firewall
by default”. 334 Een gebruiker zou dus idealiter niets moeten ondernemen om zijn privacy te
beschermen. 335
1.2.4.3 Instellingen op maat
185. Een derde richtsnoer situeert zich op het vlak de individualisatie van instellingen. Deze
zouden zodanig moeten opgesteld moeten worden zodat de betrokken persoon ze naar
persoonlijke noden kan aanpassen, zonder dat dit ingewikkeld of langdradig wordt. Er wordt in
het bijzonder verwezen naar de kwetsbaarheid van minderjarigen op sociale netwerken. Wel
moet er op gelet worden dat deze configuratiemogelijkheden geen te groot onderscheid creëren
tussen verschillende gebruikers.
1.2.4.4. De aard van de Verwerking
186. Er mag volgens het ICRI ook zeker niet voorbijgegaan worden aan het feit dat default
settings zouden kunnen verschillen naargelang de aard van de gegevens of vorm van
informatieverwerking.336 De verwerking van gegevens door sociale netwerksites gebeurt op
twee manieren. Ten eerste verwerkt ze de gegevens om te voldoen aan de eisen van de
gebruikers (bijvoorbeeld het succesvol uploaden van foto’s op een persoonlijk profiel), en
anderzijds verwerkt de website ook gegevens vanuit een commercieel perspectief. Deze
tweeledige verwerking resulteert ook in een dubbel verwachtingspatroon bij hun leden.
Bijgevolg zouden instellingen niet standaard mogen toestaan om bepaalde gegevens te
verzamelen.337
1.2.5 Besluit bij ‘Default Privacy Settings’
187. Na het voorgaande bestaat er in elk geval geen twijfel meer over de fundamentele rol van
standaardinstellingen bij de bescherming van persoonlijke gegevens. Door het bestaan van een
discrepantie tussen de verwachtingen van sociale netwerkgebruikers en hun online gedrag is er
een nood aan een zekere basisbescherming die zich uit in bepaalde vooraf ingestelde privacy-‐
334 R.C. SHAH EN J.P. KESAN, “Setting Online Policy with Software Defaults", Information Communication, and Society 2008, 1002. 335 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 24. 336 Hier verwijst het ICRI naar het onderscheid van artikel 8 van de Richtlijn Bescherming Persoonsgegevens inzake de ‘gevoelige gegevens’. Deze zouden aan een strenger beleid onderworpen moeten worden. Aangaande de onderscheiden soorten van informatieverwerking geven we enkele voorbeelden: de openbaarheid van foto’s, de mogelijkheid om gecontacteerd te worden of de locatiegebonden verwerking van gegevens. 337 J. AUSLOOS, E. KINDT, E. LIEVENS, P. VALCKE EN J. DUMORTIER, Guidelines for Privacy-‐Friendly Default Settings, 26-‐27.
Van theorie naar realiteit
89
voorkeuren. Deze zouden in een ideale situatie een functie vervullen die de persoonlijke
levenssfeer van leden eerbiedigt wanneer deze laatsten geen aanpassingen aan dergelijke
instellingen aanbrengen.
Het huidige juridisch kader biedt reeds een basis voor de reglementering van
standaardinstellingen, desalniettemin wordt ze fundamenteel uitgebreid in het Voorstel tot een
Algemene Verordening Gegevensbescherming.
1.3 HET GEBRUIK VAN PSEUDONIEMEN, EEN RECHT?
188. We zien het steeds vaker; laatstejaarsstudenten naderen het einde van hun carrière als
student en bereiden zich stilaan voor op het werkende leven. CV ’s worden geschreven,
sollicitatiebrieven verstuurd, en merkwaardig genoeg merken we geregeld op hoe deze
individuen hun naam op hun persoonlijke Facebook-‐profielpagina wijzigen. Bij de vraag naar de
beweegredenen wordt al snel duidelijk dat bij deze doelgroep de vrees bestaat om door hun
potentiële werkgever gevonden te worden op het sociale netwerk en dit nefaste gevolgen zou
teweeg brengen. 338 Dit is niet geheel onterecht. Werkgevers willen bij een aanwerving namelijk
weten wie ze in huis halen en daarvoor grijpen ze tegenwoordig opmerkelijk sneller naar online
zoekmachines en sociale netwerksites. Als men op Facebook enkel onschuldige familiefoto’s
heeft staan, moet en niet vrezen. In het geval van foto’s en verhalen over buitensporig gedrag
kan je toekomst echter wel op het spel staan. 339 Zo wees een onderzoek van ‘CareerBuilder’ uit
dat 45% van de werkgevers sollicitanten meenden te screenen op sociale netwerken en 35%
van hen gaf toe kandidaten niet aangenomen te hebben omwille van de gevonden informatie.340
Maar is je naam veranderen hier dan de enige oplossing? Aansluitend is dit ook een bewijs voor
het feit dat leden geen raad weten met de mogelijke privacy-‐instellingen en daarom lijken te
kiezen voor de aanpassing van hun volledige ‘online-‐identiteit’. Maar je naam zomaar
veranderen op Facebook, mag dat wel?
338 E. THOLE EN F. VAN DER JAGT, “Foute foto’s op je Facebook, carrièrekansen verpest?”, Nota Bene 2011, afl. 23, 41. 339 P. PORSIUS-‐SAMAN, “Help, waarom word ik niet aangenomen?”, MSN CareerBuilder, 2012, afdeling 9; http://msn.careerbuilder.nl/Artikel/MSN-‐144-‐Een-‐baan-‐zoeken-‐Help-‐waarom-‐word-‐ik-‐niet-‐aangenomen/. 340 J. GRASZ, “Forty-‐five Percent of Employers Use Social Networking Sites to Research Job Candidates, CareerBuilder Survey Finds”, CareerBuilder, augustus 2009, http://www.careerbuilder.com/share/aboutus/pressreleasesdetail.aspx?id=pr519&sd=8%2f19%2f2009&ed=12%2f31%2f2009&siteid=cbpr&sc_cmp1=cb_pr519_.
Van theorie naar realiteit
90
1.3.1 Pseudoniem of vals profiel?
189. Eerst en vooral moet een duidelijk onderscheid gemaakt worden tussen een vals profiel en
een pseudoniem. Een pseudoniem, of valse naam, is een schuilnaam die een persoon kan
gebruiken op het internet om zo zijn/haar echte naam niet vrij te geven. De beweegredenen
voor het gebruik ervan zijn uiteenlopend. Zo kan het zijn dat iemand een politieke mening wil
uiten op een publiek forum maar bang is dat hiervan misbruik gemaakt zou worden, de
betrokkene kan ook angst hebben om gestalkt te worden of wil simpelweg niet gevonden
worden door potentiële werkgevers.341
Wanneer gesproken wordt over een vals profiel gaat het over geheel iets anders. Bij dit soort
profielen hebben de betrokkenen veeleer de bedoeling om ongestraft met bepaalde (strafbare)
handelingen weg te komen, zoals het plaatsen van lasterlijke uitlatingen. Ondanks dit op het
eerste zicht onschuldig kan lijken, begaan individuen die een vals profiel aanmaken met de
bedoeling lasterlijke uitspraken te doen, verschillende misdrijven. Zo maken ze zich onder meer
schuldig aan ‘laster en eerroof’, ‘valsheid in informatica’, ‘belaging of stalking’ (al dan niet via
telecommunicatie) en ‘aanmatiging van naam’. In dit onderdeel concentreren we ons op het al
dan niet toegestaan zijn van het gebruik van pseudoniemen. Op de gevaren en de strafrechtelijke
afwikkeling van de hierboven vermelde misdrijven wordt derhalve niet verder ingegaan. 342
1.3.2 Facebook-‐beleid inzake namen
190. De Facebook-‐voorwaarden bepalen dat “Facebook een community van mensen is die hun
ware identiteit gebruiken”. Bijgevolg zijn gebruikers in het kader van de veiligheid verplicht hun
echte namen en geboortedatums op te geven zodat anderen steeds weten met ze in contact
komen. Bijnamen mogen gebruikt worden, maar enkel als ze een variatie zijn op de echte voor-‐
of familienaam van de betrokkene (bijvoorbeeld Rob in plaats van Robert).343 Dit komt neer op
een verbod vanwege Facebook voor het gebruik van pseudoniemen. Het beleid wordt in
sommige gevallen zelfs vrij consequent toegepast gezien de website bij een vermoeden van het
gebruik van een valse naam, gebruikers (tijdelijk) blokkeert en deze pas opheft na het
doorsturen van een legitiem identificatiebewijs.344 We kunnen de bezorgdheid voor de veiligheid
van gebruikers enkel aanmoedigen. Maar in de situatie van de jonge werkzoekende lijkt dit de
341 J.W. VAN CAPELLEVEEN, “Waarom anoniem of onder pseudoniem bloggen?”, Jeeweeweb, 2013, http://www.jeeweeweb.com/bloggen/anoniem-‐of-‐pseudoniem.html. 342 Artikel 210 bis, 231, 442 bis, 443 van de Strafwet en onder andere artikel 145, §3bis van de Wet van 13 juni 2005 betreffende de elektronische communicatie. 343 X., “Beleid voor namen”, Facebook, 2013, https://www.facebook.com/help/249092175207621. 344 P. Van Leemputten, “Facebook bant valse namen”, ZDNet, 25 september 2008, http://www.zdnet.be/facebook/91918/facebook-‐bant-‐valse-‐namen/.
Van theorie naar realiteit
91
die veiligheid te verstoren. De vraag is natuurlijk of een sociale netwerksite dergelijk (absoluut)
verbod kan opleggen.
191. Over het gebruik van pseudoniemen is zo goed als niets wettelijk bepaald.345 De Werkgroep
artikel 29 meent echter dat gebruikers overeenkomstig artikel 6, lid 1, onder c) van de Richtlijn
Bescherming Persoonsgegevens in het algemeen de mogelijkheid moeten hebben om gebruik te
malen van een pseudoniem.346 Volgens datzelfde artikel moeten verzamelde persoonsgegevens
“toereikend, ter zake dienend en niet bovenmatig […] zijn, uitgaande van de doeleinden waarvoor
zij worden verzameld of waarvoor zij vervolgens worden verwerkt”. In deze context kan gesteld
worden dat sociale netwerkdiensten bepaalde identificatiegegevens over hun leden moeten
registreren, maar dat er geen enkele aanleiding is om hun werkelijke naam op internet te
publiceren. Aanbieders van sociale netwerksites moeten volgens de Werkgroep bijgevolg een
zorgvuldige overweging maken of zij het zich kunnen veroorloven om hun gebruikers te
verplichten om onder hun werkelijke naam actief te zijn in plaats van met een pseudoniem.347
Bovendien stelt de Groep ook dat het begrip ‘pseudonimisatie’ uitdrukkelijker in de
ontwerptekst van de Algemene Verordening Gegevensbescherming moet worden opgenomen
omdat deze pseudonimisatie kan bijdragen aan een betere gegevensbescherming, bijvoorbeeld
in de context van ‘privacy by design’ en ‘privacy by default’. Daarom beveelt de Groep aan om
het anonimiseren of pseudonimiseren van persoonlijke gegevens, als dit in het kader van de
doelstellingen van de verwerking haalbaar en proportioneel is, in desbetreffende artikelen
(inzake ‘privacy by design’ (artikel 5) en ‘privacy by default’ (artikel 23)) algemeen verplicht te
stellen. 348
192. Niettegenstaande het voorgaande besliste de Duitse rechter in februari van dit jaar dat
Facebook geen fout begaat door het opleggen van een ‘echtenaamsplicht’. Dit naar aanleiding
van een klacht van de Duitste toezichthouder die van mening was dat het verbod van Facebook
voor het gebruik van pseudoniemen op haar netwerk in strijd was met de Duitse
345 E. KINDT EN S. VAN DER HOF, “Identiteitsgegevens en –beheer in een digitale omgeving: een jurdische benadering”, Computerr. 2009, 51. 346 Advies 5/2009 van de Groep gegevensbescherming artikel 29 over online sociale netwerken, 12 juni 2009, 15. Te raadplegen op: http://www.privacycommission.be/sites/privacycommission/files/documents/01.02.04.02.01-‐wp163_nl.pdf . 347 Advies 5/2009 van de Groep gegevensbescherming artikel 29 over online sociale netwerken, 12 juni 2009, 12. 348 Advies 1/2012 van de Groep gegevensbescherming artikel 29 over de voorstellen voor hervorming van het gegevensbeschermingskader, 23 maart 2012, 12. Te raadplegen op: http://ec.europa.eu/justice/data-‐protection/article-‐29/documentation/opinion-‐recommendation/files/2012/wp191_nl.pdf. De groep stelt dat dit zou kunnen door bijvoorbeeld het opnemen van een definitie als "gepseudonimiseerde gegevens", overeenkomstig de definitie van "persoonsgegevens".
Van theorie naar realiteit
92
Telemediawet. 349 Volgens de rechter strekt de verantwoordelijkheid van de plaatselijke
dochteronderneming van het bedrijf zich enkel tot het beogen van marketting-‐ en
salesdoeleinden en kan ze bijgevolg niet aanzien worden als een verantwoordelijke voor de
verwerking. De rechter is ook van mening dat de soepelere Ierse wet van toepassing is, omwille
van het feit dat de Europese tak van Facebook vanuit Ierland opereert, en niet de Duitse, waarop
de toezichthouder zich baseerde. De Duitse toezichthouder heeft al laten weten dat hij in beroep
gaat tegen de uitspraak. Volgens hem kan het in geen geval de bedoeling zijn dat ondernemingen
aan bepaalde wetgeving kunnen ontsnappen door zich te verschuilen in een land waar de
privacywet minder streng is. 350
Er bestaat dus nog geen rechtszekerheid over het al dan niet toegelaten zijn van dergelijke
verplichtingen uit hoofde van aanbieders van sociale netwerksites. Het valt dus af te wachten in
hoeverre de Europese Commissie in haar definitieve verordening inzake Gegevensbescherming
gehoor zal geven aan het advies van de Werkgroep artikel 29.
2. GEGEVENS
2.1 WELKE GEGEVENS WORDEN VERZAMELD EN WAAROM.
193. Ondertussen is duidelijk geworden dat Facebook een massa aan informatie binnenhaalt.
We kunnen de vraag stellen welke gegevens dat nu precies zijn, wie deze informatie kan inkijken
en hoe ze verzameld worden. Om alle misverstanden de wereld uit te helpen kunnen we nu al
duidelijk maken dat niemand de gegevens rechtstreeks inkijkt; dat gebeurt door computers. Het
is dus niet zo dat Facebook een aparte dienst heeft waar mensen hun berichten gelezen worden.
Maar wat gebeurt er dan wel mee?
Hierbij nemen we even Facebook’s beleid inzake gegevensgebruik onder de loep, en bestuderen
we wat zeggen zij over de gegevens die ze ontvangen.
349 Sectie 13, punt (6) van de Duitse Telemediawet van 26 februari 2007. De wet is te raadplegen op: http://www.gesetze-‐im-‐internet.de/bundesrecht/tmg/gesamt.pdf. 350 J. CHINDAMO, "Facebook Wins Battle To Ban Pseudonyms; Apologies To Professor Otto von Schnitzelpusskrankengescheitmeyer", it-‐Lex, 27 februari 2013; http://it-‐lex.org/facebook-‐wins-‐battle-‐to-‐ban-‐pseudonyms-‐apologies-‐to-‐professor-‐otto-‐von-‐schnitzelpusskrankengescheitmeyer/#sthash.1FrgAk mA.dpuf. “European rules say German law doesn’t apply if the data is processed by a branch in another EU member state, the court said. Facebook’s German unit only works in marketing and sales and thus can’t trigger the application of German data protection law, the judges said.”.
Van theorie naar realiteit
93
2.1.1 Gedeelde informatie
194. Facebook krijgt verschillende soorten informatie over hun leden binnen. De meest
fundamentele informatie is de registratiegegevens van gebruikers, die verplicht mee te delen
zijn wanneer iemand zich lid maakt bij de sociale netwerksite. Het gaat hier over de naam, het e-‐
mailadres, de verjaardag en het geslacht van de betrokken persoon. Naast deze informatie delen
gebruikers zelf ook andere informatie, bijvoorbeeld in statusupdates, in geplaatste reacties op
iets wat door een vriend geplaatst is, of door het uploaden van foto’s. Maar, naast de informatie
die we zelf vrijgeven, delen ook anderen informatie over ons. Onze ‘vrienden’ versturen ook heel
wat gegevens naar de Facebook-‐servers door bijvoorbeeld onze contactgegevens te uploaden,
een foto van ons te plaatsen, ons aan een groep toe te voegen of ergens te vermelden. Het
probleem hierbij is, dat wanneer anderen informatie over jou delen, ze die ook openbaar kunnen
maken (bijvoorbeeld door het hebben van een openbaar profiel), ook al gaat dit in tegen de wil
van de gebruiker.351
2.1.2 Andere informatie
195. Naast de algemene informatie die Facebook verzamelt, ontvangen ze ook nog heel wat
andere informatie over hun gebruikers. Zo wordt alles wat men op Facebook doet nauwkeurig
bijgehouden. Wanneer men iemands tijdlijn bekijkt, een bericht stuurt of ontvangt (ook wanneer
men een privébericht verstuurt), een advertentie bekijkt of dergelijke handeling stelt wordt daar
steevast notie van genomen. Verder worden bij het uploaden van een foto ook de
locatiegegevens en het tijdstip (de zogenaamde metagegevens) verzameld. Meer nog, Facebook
ontvangt zelfs de gegevens van het toestel waarmee men zich inlogt (zowel van computers,
mobiele telefoons of andere toestellen) of waar meerdere gebruikers zich op aanmelden. Met
behulp van cookies kunnen ze nagaan welke webpagina’s leden raadplegen.352 Veel van deze
informatie is van belang voor commerciële doeleinden, zoals het maken van aangepaste
advertenties. Deze informatie wordt enkel doorgegeven aan advertentiepartners na het
verwijderen van de gegevens die de identiteit van de betrokken gebruiker bekend zouden
kunnen maken. 353
351 X. “Beleid inzake gegevensgebruik – Je gegevens”, Facebook, november 2013, https://www.facebook.com/about/privacy/your-‐info . 352 Dit is zo wanneer deze webpagina’s gebruik maken van een sociale Facebook plug-‐in. 353 X., “Beleid inzake gegevensgebruik – Andere gegevens die we over jou hebben ontvangen”, Facebook, november 2013, https://www.facebook.com/about/privacy/your-‐info .
Van theorie naar realiteit
94
Naast dit alles gebruikt Facebook onze informatie ook om onze gebruikservaring te verbeteren.
Zo leggen ze verbanden tussen de gegevens die ze over ons en onze vrienden registreren om te
bepalen wat we zien in het nieuwsoverzicht, en welke lokale evenementen worden weergegeven
(aan de hand van GPS gegevens).354
2.1.3 Openbare gegevens
196. Een deel van de verzamelde informatie wordt behandeld zoals informatie die de gebruiker
openbaar maakt, en is met andere woorden ‘publiek’ toegankelijk voor iedereen.
Iedereen, dus ook personen die geen lid zijn van Facebook, heeft toegang tot deze gegevens. In
beginsel zijn dit enkel de naam van de gebruiker, zijn gebruikers-‐ naam en ID, het geslacht, de
profielfoto en de omslagfoto’s.355 Er kan echter ook gekozen worden om andere gegevens
openbaar te maken. Dit kan men doen door middel van de privacy-‐shortcut die men nagenoeg
steeds kan terugvinden telkens men iets op Facebook wilt plaatsen. Belangrijk is dat het
openbaar maken van deze informatie verregaande gevolgen kan hebben. Ze kan namelijk met de
gebruiker geassocieerd worden en dit zelf buiten Facebook, gezien de informatie ook in een
openbare zoekmachine als Goolge gebruikt worden door Facebook API’s en toegankelijk
gemaakt worden voor geïntegreerde spellen, toepassingen en websites.356 Wat ook opvalt is dat
in sommige gevallen geen publiek geselecteerd kan worden. Facebook legt uit dat wanneer men
geen deelpictogram ziet, informatie openbaar is, bijvoorbeeld als men iets op het prikbord van
een fan-‐pagina plaatst, is deze inhoud hoe dan ook openbaar.357
2.1.4 Vertrouwelijkheidsovereenkomst, een toepassingsgeval
197. Indien men lid wil worden van Facebook moet men zich registreren op de website. Hierbij
is de gebruiker genoodzaakt zich uitdrukkelijke akkoord te verklaren met de 'verklaring van
rechten en verantwoordelijkheden’, wat de algemene voorwaarden van de sociale netwerksite
blijken te zijn. Zoals dit bij de meeste algemene voorwaarden het geval is, bevat deze ‘verklaring’
354 Deze GPS gegevens worden niet langer dan nuttig bewaard om relevante diensten aan te bieden. 355 Een omslagfoto is een foto die bovenaan het gebruikersprofiel te zien is. 356 API of Application Programming Interface “is een verzameling van definities op basis waarvan een computerprogramma de mogelijkheid heeft om te communiceren met een ander programma of onderdeel om zo hun functies aan te roepen. Een voorbeeld: Na het bewerken van een tekstdocument wenst men dit af te drukken. Het tekstverwerkingsprogramma zal de API van de printer aanspreken om zo het document af te drukken. 357 X., “Beleid inzake gegevensgebruik – Openbare gegevens”, Facebook, november 2013, https://www.facebook.com/about/privacy/your-‐info .
Van theorie naar realiteit
95
aardig wat juridische verbintenissen.358
198. Wanneer individuen in hun persoonlijkheidsrechten geschonden worden, zoals in het geval
van een inbreuk op het recht op privacy, is men vaak geneigd automatisch naar
het buitencontractuele aansprakelijkheidsrecht te grijpen voor het vinden van oplossingen. Bij
nader inzicht moet men misschien een stap terug nemen en is het aangeraden deze
vanzelfsprekendheid even aan de kant te schuiven. Bij het ontleden van Facebook’s algemene
voorwaarden kan echter gesteld worden dat op het moment dat de gebruiker zich hiermee
akkoord verklaard, een contractuele verbintenis ontstaat tussen deze laatste en de aanbieder
van de sociale netwerksite, waardoor men een contractuele afhandeling niet dadelijk uit hoeft te
sluiten.359
199. Zo was er eind 2012 heel wat opschudding bij de gebruikers van de sociale netwerksite
omdat bleek dat oude privé-‐berichten door een technische fout openbaar gemaakt werden en te
lezen waren op de tijdlijn van de betrokkene. Op Facebook kan men er inderdaad voor kiezen
om bepaalde informatie toegankelijk voor anderen, maar bij het versturen van private berichten
lijkt het ons vanzelfsprekend dat het naderhand publiceren van dergelijke berichten niet binnen
de redelijke verwachtingen van gebruikers ligt. Het Facebook-‐beleid inzake gegevensgebruik,
dat tevens deel uitmaakt van de algemene voorwaarden, lijkt deze redenering te bevestigen
aangezien ze bepaalt dat : “gegevens over de betrokkene niet met anderen gedeeld worden, tenzij:
- Ze de toestemming van de betrokkene daarvoor hebben;
- hij hiervan door Facebook op de hoogte werd gesteld door hem bijvoorbeeld te informeren via
hun beleid; of
- zijn naam en andere informatie die hem persoonlijk zou kunnen identificeren uit de gegevens
werden verwijderd.”360
200. Het lijkt erop dat Facebook haar eigen beleid hier met de voeten treedt daar het
openbaarmaken van privé-‐berichten niet onder een van deze drie uitzonderingen valt. Met deze
feiten in het achterhoofd lijkt het besluiten tot contractuele aansprakelijkheid meer dan logisch.
Jammer genoeg bevinden we ons door het gebruik van een vage bewoording bij de redactie van
358 X., “Verklaring van rechten en verantwoordelijkheden”, Facebook, 2013, https://www.facebook.com/legal/terms. 359 I. SAMOY, P. VALCKE, S. JANSEN, F. PEERAER, W. VANDENBUSSCHE, Y. VAN DER SYPE, S. VAN LOOCK, E. VERJANS, J. VERSCHAKELEN, “Facebook maakt privéberichten openbaar: een casus contractuele aansprakelijkheid?”, Juristenkrant 2012, afl. 259, 10-‐11. 360 X., “Verklaring van rechten en verantwoordelijkheden – Informatie die we over jou ontvangen”, Facebook, 2013, https://www.facebook.com/legal/terms.
Van theorie naar realiteit
96
de algemene voorwaarden enigszins in een ‘grijze zone’. De sociale netwerksite waarschuwt wel
dat de het gebruik ervan ‘op eigen risico’ is en garandeert bovendien niet dat de website steeds
‘veilig, beveiligd of fout-‐vrij zal zijn’. De aandachtige lezer merkt onmiddellijk dat het hier de
facto gaat over clausules de aansprakelijkheid van de aanbieder zoveel mogelijk exonereren. 361
201. Zoals algemeen geweten geldt er ten aanzien van contractuele en buitencontractuele
vorderingen een samenloopverbod. Dit verbod kan enkel omzeild worden wanneer de feiten een
strafrechtelijk misdrijf inhouden.362 We kunnen ons de vraag stellen of het samenloopverbod
hier al dan niet zou gelden. Vooreerst moet duidelijk zijn dat het recht op privacy zowel in het
Belgische strafwetboek als in de Privacywet strafrechtelijk wordt beschermd.363 Zoals voordien
reeds toegelicht beschermt laatstgenoemde wet de persoonlijke levenssfeer bij de verwerking
van persoonsgegevens. Hiervoor is van de betrokkene een ‘ondubbelzinnige toestemming’
vereist. In het kader van deze feiten gaven gebruikers Facebook inderdaad hun toestemming om
privé-‐berichten te verzenden en op te slaan, maar in geen geval voor de publicatie ervan. Hieruit
kunnen we besluiten dat de aanbieder van de sociale netwerksite zich schuldig maakte aan een
ongeoorloofde en dus strafbare verwerking van persoonlijke gegevens waardoor dat het
samenloopverbod niet zou spelen en slachtoffers bijgevolg zowel contractuele als extra-‐
contractuele vorderingsmogelijkheden hebben.
Er moet gewezen worden op de aanzienlijke schade dergelijke handelingen teweeg kunnen
brengen. We kunnen ons speculatief enkele ernstige omstandigheden inbeelden waarin het
vrijkomen van privé-‐berichten, naast louter morele schade, ook andere gevolgen kan hebben.
Hier denken we mogelijks aan ontslagen, echtscheidingen vriendenruzies en in het ergste geval
misschien zelf zelfmoord. Wel zou het in dergelijke situaties ongetwijfeld een enorme opgave
zijn om een onweerlegbaar bewijs te leveren van het bestaan van een oorzakelijk verband
tussen de geleden schade en de wanprestatie in hoofde van de sociale netwerksite.364
361 I. SAMOY, P. VALCKE, S. JANSEN, F. PEERAER, W. VANDENBUSSCHE, Y. VAN DER SYPE, S. VAN LOOCK, E. VERJANS, J. VERSCHAKELEN, “Facebook maakt privéberichten openbaar: een casus contractuele aansprakelijkheid?”, Juristenkrant 2012, afl. 259, 10. 362 S. GUILIAMS, “Bewijs van een fout vereist opdat het samenloopverbod tussen contractuele en buitencontractuele aansprakelijkheid ingevolge een misdrijf kan worden opgeheven”, NJW 2013, 78. 363 Zo zien we bijvoorbeeld dat artikel 39 van de Privacywet strafsancties oplegt voor inbreuken op de bepalingen wet. 364 I. SAMOY, P. VALCKE, S. JANSEN, F. PEERAER, W. VANDENBUSSCHE, Y. VAN DER SYPE, S. VAN LOOCK, E. VERJANS, J. VERSCHAKELEN, “Facebook maakt privéberichten openbaar: een casus contractuele aansprakelijkheid?”, Juristenkrant 2012, afl. 259, 11.
Van theorie naar realiteit
97
Bovenstaand voorbeeld toont aan dat een ongeoorloofde verwerking van gegevens drastische
gevolgen kan hebben voor de persoonlijke levenssfeer van gebruikers en dat het essentieel is om
in degelijke en effectieve afdwingingsmogelijkheden te voorzien.
2.2 GEBRUIKT VOOR COMMERCIËLE DOELEINDEN
202. In het land van de sociale netwerken wordt niet betaald met geld, ‘gegevens’ zijn hier de
gehanteerde munt. Een relevante vraag in deze masterproef is deze naar de legitimiteit van
gegevensgebruik in het kader van de commerciële belangen van sociale netwerksites. Eerst en
vooral moet voor ogen gehouden worden dat sociale netwerksites hun diensten meestal gratis
aanbieden. Bij nader inzicht komen we echter snel tot de conclusie dat men in onze huidige
samenleving “niets meer voor niets” krijgt. Dit veruiterlijkt zich bij sociale netwerken in het
verkopen van persoonlijke gegevens van leden aan externe adverteerders.
203. In het Facebook-‐beleid inzake gegevensgebruik lezen we duidelijk dat onze verzamelde
gegevens gebruikt worden voor de commerciële doeleinden van de onderneming.
Maar mag dit zomaar? Mag Facebook onze gegevens zomaar “verkopen”?
FRÉDÉRIC PAULUSSEN schetst in zijn artikel “Online Privacy: bestaat dat nog?” een zeer duidelijk
voorbeeld: “Ik bekijk het zo. Ik ben een boom, een mooie boom, en ik kan kiezen tussen 2
boomgaarden. Op één worden mijn vruchten geplukt en verkocht, maar kan ik makkelijk spreken
met andere bomen. Op de andere boomgaard blijven mijn vruchten liggen en krijg ik geen service,
ik kan nog wel met andere bomen communiceren maar alleen met degene in mijn directe
omgeving. De keuze ligt volledig bij mij, ruil ik mijn gegevens in of hou ik ze voor mezelf? Om nog
verder te gaan, op de Facebook-‐boomgaard kies ik zelf welke vruchten ik afgeef.“365
2.2.1 Sociale Advertenties
204. Wie een Facebook-‐profiel heeft, heeft ongetwijfeld al Gesponsorde verslagen in hun
nieuwsoverzicht zien staan.366 In januari 2011 werd het mogelijk voor bedrijven om ‘posts’
waarin hun naam vernoemd wordt, te gebruiken voor commerciële doeleinden. Ze kunnen
ervoor kiezen om tegen betaling een bericht door Facebook te laten sponsoren. Dit betekent dat
gebruikers een bepaalde advertentie in hun nieuwsoverzicht te zien krijgen wanneer een van 365 F. PAULUSSEN, “Online Privacy: bestaat dat nog?”, Social Mediwa, 2013, http://www.socialmediwa.be/socialmedida/online-‐privacy-‐bestaat-‐dat-‐nog/ . 366 Verder: Sociale Advertenties
Van theorie naar realiteit
98
hun vrienden bijvoorbeeld een pagina ‘leuk vindt’. Facebook vergroot de kans dat anderen dit
bericht in hun feed krijgen aanzienlijk. Een opt-‐out mogelijkheid om geen gesponsorde
verslagen meer weer te geven is er niet. De enige, nogal drastisch, optie is het verwijderen van
de betrokken vriend of de pagina te ‘un-‐liken’.367 Dergelijke commerciële berichten bevatten
vaak de naam en foto van gebruikers, waardoor ze toch voor heel wat commotie zorgen. Dit was
de aanleiding voor de zaak ‘Fraley et al v. Facebook’.
2.2.2 De zaak ‘Fraley et al. versus Facebook
205. Op 11 maart 2011 startten 614.000 Facebook gebruikers in California een ‘Class Action
Suit’ tegen Facebook voor het onwettig gebruik van hun namen, profielfoto’s en ‘vind-‐ik-‐leuks’
voor het maken van aangepaste advertenties voor de verkoop van producten of diensten in
gesponsorde verslagen, en dit zonder hun toestemming. Een ‘Class Action Suit’ is een zaak waar
meerdere eisers met eenzelfde belang opkomen tegen de onderneming waardoor ze schade
hebben geleden. In casu kon elke Facebook-‐gebruiker die in zijn rechten geschonden meende te
zijn zich, door het invullen van het nodige papierwerk voor de deadline van 2 mei 2013, bij de
zaak voegen.368
Na meer dan twee jaar van deliberaties keurde een Federale rechter op 26 augustus 2013 de
definitieve minnelijke schikking van 20 miljoen US Dollar goed. Elke gebruiker die zich bij de
groepsvordering gevoegd had heeft recht op 15 Dollar schadevergoeding van de sociale
netwerksite voor het onrechtmatige gebruik van hun foto’s en andere gegevens in ‘sponsored
stories’. Hier werd 9 miljoen van de schikking voor uitgetrokken? De overige 11 miljoen gaat
naar de advocaten, gerechtkosten en een tiental non-‐profit organisaties die onderzoek voeren
naar en zich inzetten voor een betere privacy op sociale netwerken.369 De zaak bracht naast een
financiële regeling ook nog heel wat andere gevolgen met zich mee. Zo moest Facebook beloven
hun gebruikers meer controle te geven over de manier waarop hun foto’s in advertenties
gebruikt kunnen worden.
De 5 aanklagers die de zaak inleidden meenden dat Facebook onterecht foto’s en namen van
leden gebruikt had in hun gesponsorde advertenties. Deze worden, zoals hierboven werd
367 X., “Info over gesponsorde verslagen”, Facebook Help, 2013, https://www.facebook.com/help/sponsored-‐stories . 368 X., “What is a Class Action Lawsuit”, Wisegeek, 2013, http://www.wisegeek.org/what-‐is-‐a-‐class-‐action-‐lawsuit.htm . 369 Twee grote orfanisaties die begunstigden waren van de minnelijke schikking zijn de ‘Electronic Frontier Foundation’ (EFF° en de ‘Harvard University’s Berkman Center for Internet and Society’.
Van theorie naar realiteit
99
uiteengezet, gecreëerd door het samenvoegen van informatie voortkomend uit ‘likes’. Facebook
zou volgens hen ook een Californische wet, die ondernemingen verbiedt namen van personen te
gebruiken in reclameboodschappen zonder hun uitdrukkelijke toestemming, overtreden
hebben. Daarenboven had de aanbieder van de sociale netwerksite de ouderlijke toestemming
moeten vragen voor het gebruik van gegevens van kinderen onder de wettelijke leeftijd van
achttien jaar.
Facebook argumenteerde dat leden automatisch hun toestemming geven om in gesponsorde
verslagen voor te komen wanneer ze zich akkoord verklaren met de ‘vind-‐ik-‐leuk’ knop
voorwaarden. Door deze voorwaarden te accepteren aanvaard men dat persoonlijke gegevens
(naam, foto’s, ...) te zien zijn in de newsfeed van Faceboook-‐vrienden en gesponsorde verslagen
zijn volgens de sociale netwerksite enkel informatie die de betrokken gebruikers reeds deelden
maar ‘her-‐verpakt’. De rechter oordeelde dat het bedrag dat aan de vermeende slachtoffers
uitgekeerd zal worden volstaat, daar er niet voldoende bewezen is dat ze daadwerkelijk zware
schade hadden geleden door het loutere feit dat ze verschenen in ‘sponsored stories’. Naast het
betalen van de som van 20 miljoen Dollar moest Facebook ook haar voorwaarden aanpassen.370
Zo beloofde de aanbieder van de sociale netwerksite om de instellingen en bepalingen over hoe
de namen, profielfoto’s en andere van hun leden verspreid worden overzichtelijker en
transparanter te maken. Daarenboven zijn gebruikers nu in de mogelijkheid om advertenties
met hun persoonlijke gegevens te verhinderen door de standaardinstellingen aan te passen en
kunnen minderjarigen zich ook volledig uit dit soort advertenties weren.371
Facebook werd eerder in 2009 reeds veroordeeld in naar aanleiding van een klacht over het
schenden van privacy-‐rechten met sociale advertenties.
2.2.3 Facebook ‘Beacon’ Case
207. De sociale netwerksite introduceerde in 2007 het sociale-‐advertentieprogramma “Beacon”.
Het gaf adverteerders de mogelijkheid om aan de hand van gegevens die voortkwamen uit het
online koopgedrag van gebruikers de vrienden van de betrokken persoon op de hoogte te stellen
van zijn online-‐aankopen.372 Deze manier van handelen zorgde voor heel wat commotie gezien
een groot aantal leden van de sociale netwerksite zich gekrenkt voelden in hun privacy-‐rechten,
370 M. KRUL, “Aanpassing privacyvoorwaarden Facebook”, Wisemen Advocaten, 2013, http://www.wisemen.nl/weblog/weblogs/aanpassing-‐privacyvoorwaarden-‐facebook/ . 371 US District Court California 26 augustus 2013, No. C11-‐1726RS, Fraley v. Facebook. Te raadplegen op: http://blogs.reuters.com/alison-‐frankel/files/2013/08/facebookfraley-‐approval.pdf . 372 A.R. LODDER, A. ENGELFRIET, D. MEKIC, R. VAN DEN HOVEN VAN GENDEREN e.a., “Recht en Web 2.0 – Bewerkte bloemlezing uit www.internetrecht20.nl”, Publicatiereeks NVvIR, Nr.27, 2010, 29-‐30.
Van theorie naar realiteit
100
wat resulteerde in de ‘class action suit ’Lane et al. v. Facebook’ in 2008, de zogenaamde ‘Beacon
Case’.373 Facebook werd vervolgd voor het schenden van de online privacy.
De vermeende slachtoffers voerden aan dat de website informatie over hun online acties
verzamelde en dat deze op hun beurt verspreid werden zonder de toestemming van de
betrokken gebruikers. Dit delen van online koopgedrag kon uitgeschakeld worden door telkens
op een bepaald ‘beacon’ te klikken. Vreemd genoeg verdween de toets in nagenoeg alle gevallen
met als gevolg er onzekerheid bestond over welke gegevens als dan niet vrijgegeven werden.374
Daarenboven verzamelde Beacon ook informatie wanneer de betrokken persoon niet meer was
ingelogd op zijn de Facebook-‐pagina. Wegens de enorme tegenkanting van zijn gebruikers pastte
de aanbieder van de sociale netwerk het Beacon-‐programma aan waardoor het permanent
uitgeschakeld kon worden. Dit heeft echter niet mogen baten gezien het bedrijf in 2008 toch
werd aangeklaagd. 375 In september 2009 werd de zaak geschikt. Facebook doekte het Beacon-‐
programma op en ging akkoord om 9,5 miljoen dollar te investeren in de oprichting van een
organisatie met als doel het beschermen van veiligheid en privacy op het internet.
2.2.4 Sociale advertenties in het licht van de Belgische wetgeving
208. Dergelijke zaken in verband met sociale advertenties brengen ook in België heel wat
vragen met zich mee. Mogen sociale netwerksites zomaar persoonlijke gegevens van hun leden
gebruiken in het kader van een doel waar ze deze laatsten niet op voorhand van op de hoogte
brachten?
Volgens de Belgische wet mogen persoonsgegevens enkel “eerlijk en rechtmatig verwerk worden
voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen ze
daarenboven niet verder verwerkt worden op een wijze die, rekening houdend met alle relevante
factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke
wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden.”376 Daarbij bepaalt
artikel 5 van de Wet Bescherming persoonsgegevens dat telkens wanneer persoonlijke gegevens 373 N. GOHRING, “Facebook Faces Class-‐action Suit over Beacon”, IDG News, 13 augustus 2008, http://www.pcworld.com/article/149787/article.html. 374 P. WILLIAMS EN H.A.S. POPKIN, “Supreme Court won't review Facebook's notorious 'Beacon' case”, NBC News, 4 november 2013, http://www.nbcnews.com/technology/supreme-‐court-‐wont-‐review-‐facebooks-‐notorious-‐beacon-‐case-‐8C11522153. 375 J.C. PEREZ, “Facebook’s Beacon more Intrusive Than Previously Thought”, IDG News, 30 november 2007, http://www.pcworld.com/article/140182/article.html. 376 Artikel 4 van de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 3 februari 1999. (Hierna Wet Verwerking Persoonsgegevens/Privacywet.)
Van theorie naar realiteit
101
worden verwerkt minstens aan één van zes limitatief opgesomde rechtvaardigingsgronden moet
voldaan zijn. In punt a) van het artikel leest men de vereiste van een ondubbelzinnige
toestemming van de betrokkene voor het verwerken van persoonsgegevens..377 We kunnen
redelijk aannemen dat wanneer men bij het afronden van het registratieproces op Facebook de
toets ‘registreren’ aanklikt, zich akkoord verklaard en bijgevolg aan de vereiste toestemming
voldaan is. De Privacywet bepaalt daarenboven nog dat men steeds moet handelen volgens de
beginselen van proportionaliteit en subsidiariteit.378 Het proportionaliteitsbeginsel bepaalt dat
het belang bij het verwerken van gegevens dus steeds moet afgewogen worden tegenover de
belangen van de betrokken persoon, terwijl het subsidiariteitsprincipe oplegt om de
doelstellingen na te streven op een manier die voor de gebruiker het minst nadelig is.
Rekening houdend met het vorige kunnen we ons de vraag stellen of het gratis aanbieden van
een online sociaal platform de verspreiding van onze persoonlijke informatie rechtvaardigt. Met
andere woorden: mag Facebook zonder meer gebruik maken van onze gegevens om via
commerciële advertenties opbrengsten te creëren? We kunnen stellen dat dit
hoogstwaarschijnlijk niet zomaar kan en dat de privacybelangen van gebruikers primeren op de
financiële belangen van de aanbieder van de sociale netwerksite.
209. Bovenal legt Privacywet aan de verantwoordelijke voor de verwerking of diens
vertegenwoordiger een zware informatieplicht op. Zo is hij gehouden de betrokkene, uiterlijk op
het moment dat de gegevens verkregen worden, in te lichten over de doelstellingen van de
verwerking en hem te wijzen op het bestaan van een kosteloos recht om zich te verzetten tegen
de verwerking met het oog op directe marketing.379Dit komt erop neer dat Facebook verplicht is
zijn gebruikers telkens mee te delen wanneer zijn gegevens voor commerciële doeleinden
worden gebruikt.380
Het is in elk geval duidelijk dat de wereld van de advertising en sociale netwerksites ‘goede
vrienden’ zijn. Een goed uitgewerkt juridisch kader blijkt echter noodzakelijk om individuen te
beschermen tegen een overmatige vooropstelling van commerciële belangen door de aanbieders
377 Artikel 5, a) Wet Bescherming Persoonsgegevens. 378Ministeriële omzendbrief van 10 december 2009 Betreffende de wet van 21 maart 2007 tot regeling van de plaatsing en het gebruik van bewakingscamera's, zoals gewijzigd door de wet van 12 november 2009, 7. 379 Artikel 9, §1, b) en c) Wet Bescherming Persoonsgegevens. 380 M. RIEWALD, “Aanpassing privacyvoorwaarden Facebook”, Wisemen, 5 november 2013, http://www.wisemen.nl/weblog/weblogs/aanpassing-‐privacyvoorwaarden-‐facebook/.
Van theorie naar realiteit
102
van deze diensten. Alertheid is geboden: “Marketing is no longer about the stuff that you make,
but about the stories you tell”.381
2.3 FACEBOOK, EEN PUBLIEKE OF GESLOTEN OMGEVING?
210. Kwaadwillige uitspraken en beledigingen, de sociale netwerksite staan er vaak vol van.
Eerder werd de Nederlandse zaak over de ontslagen Blokker-‐medewerker behandeld waar de
bevoegde rechter besliste dat Facebook een publieke omgeving was en dit door te wijzen op het
gevaar van de mogelijkheid om bepaalde berichten te ‘sharen’.382 Bij het onderzoeken van
rechtspraak over soortgelijke casussen, merken we duidelijk dat niet iedere rechter dezelfde
mening deelt.
2.3.1 De mening van het Franse Hof van Cassatie
211. Zo besliste het Franse Hof van Cassatie in april van dit jaar nog, naar aanleiding van een
procedure ingeleid door een onderneming, dat de aard van een beledigende uitspraak door ex-‐
werkneemster over haar werkgever niet publiekelijk was.383 Waarom verschilt deze uitspraak
nu van die van de Nederlandse rechter? In het Franse recht wordt een onderscheid gehanteerd
tussen ‘publieke’ en ‘private’ beledigingen. ‘L’injure Publique’ of de publieke belediging kan
bestraft worden met een geldboete die gemakkelijk tot 12 000 Euro kan oplopen en wordt door
de Franse wetgever als volgt omschreven: “Iedere kwetsende uitlating, affronterende bewoording
of scheldwoorden die geen enkele verklaring van de werkelijke feiten inhoudt , wordt als een
belediging aanzien.”384 De Franse strafwet beheerst daarentegen de beledigingen die niet in de
publieke sfeer gedaan wordt of ‘Injures Privées’ en bepaalt dat wanneer ze niet uitgelokt worden
beboet worden met een geldboete van de “eerste klasse”385: “L’injure non publique envers une
personne, lorsqu’elle n’a pas été précédée de provocation, est punie de l’amende prévue pour les
381 S. GODIN 382 Arnhem, 19 maart 2012, JAR 2012, 97. 383 CCass. 10 april 2013 (FR), Nr.: C100344. Te raadplegen op: http://www.courdecassation.fr/jurisprudence_2/premiere_chambre_civile_568/344_10_26000.html . 384 Artikel 29, 2e alinea van de Franse Wet van 29 juli 1881 betreffende de Persvrijheid schrijft voor dat: “Toute expression outrageante, termes de mépris ou invective qui ne renferme l’imputation d’aucun fait est une injure “. 385 Boetes voor overtredingen worden in Frankrijk ingedeeld in vijf verschillende klassen. In artikel 131-‐13 van de Code Pénal zien we dat deze bedragen oplopend variëren voor elke klasse van 38 Euro tot 1500 Euro. Het relevante artikel is te raadplegen op: http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006417259&cidTexte=LEGITEXT000006070719 .
Van theorie naar realiteit
103
contraventions de la 1re classe.”386 Het Franse Hof van Cassatie diende zich dus te buigen over de
vraag of beledigingen op Facebook nu privé of openbaar zijn. Om dit te bepalen hanteert de
Franse rechtspraak het concept van de ‘communauté d’interêts’ of de ‘gemeenschap van
belangen’. Ze bekijken de feiten vanuit het oogpunt van de ontvangers van de beweringen en kan
men enkel spreken van een ‘injure privée’ wanneer al deze ontvangers samen door een
gemeenschap van belangen gebonden zijn.387 Het Hof was hier van mening dat wanneer
gebruikers van een sociale netwerksite verbonden zijn door een gemeenschappelijk
lidmaatschap en de doelgroep van de berichten zelf door de gebruiker van de dienst wordt
samengesteld (de vriendenlijst bestaat uit personen die de gebruiker uitdrukkelijk zelf de
toegang verschaft tot persoonlijke inhoud), er sprake is van een ‘gemeenschap van belangen’.388
Bijgevolg diende de werkneemster slechts het schamele bedrag van 38 Euro te betalen wegens
haar uitlatingen tegenover de werkgever in de privésfeer, tevens het bedrag van een klasse 1-‐
overtreding.389
2.3.2 Openbaarheid, Stand van zaken in België
212. In de Belgische rechtsleer wordt dergelijk onderscheid evenwel niet gemaakt. Het
Strafwetboek bepaalt in artikel 448 dat:” Hij die hetzij door daden, hetzij door geschriften, prenten
of zinnebeelden iemand beledigt in een van de omstandigheden in artikel 444 bepaald, wordt
gestraft met(...).”390 Door te verwijzen naar artikel 444 Sw. wordt duidelijk dat het voor de
wetgever reeds volstond dat een bepaalde mate van openbaarheid was.391 Gelet op het feit dat
ons Stafwetboek in 1867 werd opgesteld wordt in de Belgische rechtspraak op frequente basis
386 Artikel R621-‐2 van de Franse Code Pénal. Te raadplegen op: http://www.legifrance.gouv.fr/affichCode.do?cidTexte=LEGITEXT000006070719. 387 J.M. MIGLIETTI, “Diffamation privée et diffamation publique: distincion.”, Cabinet d’avocat Miglietti, 2013, http://www.miglietti-‐avocat.com/communication-‐presse-‐media/diffamation-‐privee-‐et-‐diffamation-‐publique-‐-‐distinction-‐352.html . 388 CCass. 10 april 2013 (FR), Nr.: C100344,. Te raadplegen op: http://www.courdecassation.fr/jurisprudence_2/premiere_chambre_civile_568/344_10_26000.html . 389 E. WOUTERS, “Beledigingen op Facebook zijn privé”, EMSOC, 2013, http://emsoc.be/4864-‐beledigingen-‐op-‐facebook-‐zijn-‐prive/#_ftn2 . 390 Artikels 444 en 448 van het Belgische Strafwetboek, BS 9 juni 1867. Te raadplegen op: http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&cn=1867060801&table_name=wet . 391 Er wordt in artikel 444 Sw. wel een onderscheid gemaakt tussen schriftelijke en mondelinge beledigingen: “De schuldige wordt gestraft met gevangenisstraf van acht dagen tot een jaar en met geldboete van zesentwintig [euro] tot tweehonderd [euro], wanneer de tenlasteleggingen geschieden: Hetzij in openbare bijeenkomsten of plaatsen; Hetzij in tegenwoordigheid van verscheidene personen, in een plaats die niet openbaar is, maar toegankelijk voor een aantal personen die het recht hebben er te vergaderen of ze te bezoeken; Hetzij om het even welke plaats, in tegenwoordigheid van de beledigde en voor getuigen; Hetzij door geschriften, al dan niet gedrukt, door prenten of zinnebeelden, die aangeplakt, verspreid of verkocht, te koop geboden of openlijk tentoongesteld worden; Hetzij ten slotte door geschriften, die niet openbaar gemaakt, maar aan verscheidene personen toegestuurd of meegedeeld worden.”
Van theorie naar realiteit
104
een evolutieve interpretatie van de Strafwet gehanteerd. De wetgever had ongetwijfeld niet de
bedoeling om beledigingen die via multimediakanalen (radio, televisie of het internet) geuit
worden onbestraft te laten louter omwille van het feit dat ze niet letterlijk in de wettekst werden
opgenomen. De nadruk ligt hier op de inhoud en hoofdzakelijk op het openbare karakter van de
beledigingen en niet op de aard van de drager.392
Bij verder onderzoek blijkt dat er in feite nog geen soortgelijke precedenten geweest zijn die de
openbaarheid of het privékarakter van uitlatingen op sociale netwerksites bevestigd hebben.
Daarentegen besliste de Arbeidsrechtbank in Leuven dat het ontslag om dringende redenen van
een belangrijke manager van een beursgenoteerd bedrijf terecht was naar aanleiding van zijn
grove uitspraken op Facebook. 393 De rechterbank oordeelde dat dergelijke uitlatingen
onverenigbaar waren met de functie van de manager in de onderneming. Volgens de rechter
wordt het recht op privacy niet geschonden wanneer de werkgever kennis neemt van berichten
op de openbare profielpagina van de werknemer. Wanneer het profiel van de werknemer echter
niet volledig publiekelijk toegankelijk was, maar slecht voor zijn ‘vrienden’ en ‘vrienden van
vrienden’ geldt evenwel hetzelfde.394 Bij het gebruik van een sociale netwerksite moet de
werknemer van een onderneming zich onthouden van acties of uitlatingen die deloyaal zijn of
die onderneming in een slecht daglicht zouden plaatsen.395
Hoewel de uitspraak niet over sociale netwerken in het bijzonder gaat, is het vonnis van 22
december 1999 van de Correctionele Rechtbank te Brussel ter zake vrij belangrijk. De rechter
oordeelde in een Racismekwestie dat uitdrukkingen op internetfora en nieuwsgroepen
zichtbaar zijn voor een aanzienlijke groep personen en hoewel deze platformen gekwalificeerd
worden als niet-‐publieke plaatsen, zo toch aan het openbaarheidscriterium van de wet
voldoen.396 Naar aanleiding van een soortgelijke zaak was de Rechtbank van oordeel dat
berichten die niet openbaar toegankelijk zijn, toch gericht zijn tot meerdere personen en dat de
belediging meegedeeld wordt aan elke persoon die het internetforum consulteert.397
392 I. DELBROUCK, “Aanranding van de eer of goede naam van personen” in X., Postal Memorialis. Lexicon strafrecht, strafvordering en bijzondere wetten, A15/23. 393 Op 3 september 2013 werd het Hoger beroep (aangetekend bij het Arbeidshof te Brussel) ontvankelijk doch ongegrond verklaard: Arbeidshof Brussel 3 september 2013, Bijlage 2. 394 K. ROSIER, noot onder Arb.Rb. Leuven (1e b k.) 17 november 2011, RDTI 2012, afl. 46, 79,. 395 CAO nummer 81, Collectieve arbeidsovereenkomst van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische on-‐linecommunicatiegegevens, B.S., 29 juni 2002. 396 D. VOORHOOF, “Racisme op internet: de correctionele rechtbank is voortaan bevoegd”, noot onder Corr. Brussel 22 december 1999, A.M. 2000, 134. 397 E. WOUTERS, “Beledigingen op Facebook”, noot onder Brussel 27 juni 2000, Juristenkrant 2013, afl. 269, 16.
Van theorie naar realiteit
105
213. Wat we met redelijke zekerheid kunnen stellen is dat wanneer sociale netwerken volledig
publiek zijn, dat wil zeggen dat gebruikersprofielen volkomen openbaar zijn, aan het criterium
van de openbaarheid ongetwijfeld voldaan zal zijn. In de meeste gevallen heeft men bij
dergelijke websites de mogelijkheid om zijn/haar profiel integraal privé te maken waardoor de
bewijslast significant eenvoudiger is. Bij wijze van voorbeeld kunnen we hier het sociale
netwerk ‘Twitter’ aanhalen. Wanneer iemands Twitterpagina volledig privaat is, zal er geen
twijfel zijn over het privatieve karakter van de ‘Tweets’.398 In het andere geval, bij een openbare
pagina, zal het staven van de afgeschermde aard van uitspraken behoorlijk moeizaam verlopen
of nagenoeg onmogelijk zijn.399
214. Het is gissen naar hoe de Belgische rechter zou oordelen. Toch kan uit voorgaande
rechtspraak een bepaalde tendens gezien worden waardoor rechters zouden oordelen dat aan
de openbaarheidsvereiste voldaan zou zijn bij het plaatsen van berichten op Facebook, ook
wanneer ze slechts voor een selectief publiek zichtbaar zouden zijn. Dit betekent dat de Franse
werkneemster door de Belgische rechtbanken strafrechtelijk veroordeeld zou worden.
2.3.3 Vergelijking met Drukpersmisdrijven
215. Wanneer iemand door middel van een openbare publicatie een ander schade berokkent of
daarmee de wet overtreedt is er sprake van een drukpersmisdrijf. Gezien deze misdrijven
gebeuren ‘tegen het geweten’ van het volk is het logisch dat ze door gelijken beoordeeld
worden.400 In artikel 150 van de Grondwet staat dat voor alle criminele zaken, politieke en
drukpersmisdrijven inbegrepen, de volksjury wordt ingesteld, in casu het Hof van Assisen.401 Dit
speciale regime dat de Grondwet voorziet komt de facto neer op een strafrechtelijke immuniteit
voor de persoon die een drukpersmisdrijf pleegt. Door de gewichtige en moeilijke procedure
voor Assisen en gezien de geruime tijd die dergelijk proces inneemt verwijst het openbaar
ministerie nagenoeg nooit naar het Hof van Assisen.402
398 G. SOMERS, “Geen laster en eerroof binnen besloten Facebook groep”, Timelex, 2013, http://www.timelex.eu/nl/blog/detail/geen-‐laster-‐en-‐eerroof-‐binnen-‐besloten-‐facebook-‐groep . 399 Bijvoorbeeld in het geval waar de verdediging aanhaalt geen of bijna geen volgers te hebben op Twitter, zal met dit argument geen rekening worden gehouden daar het openbaar karakter van dergelijke ‘Tweets’ onbetwist is. 400 E. DE NEVE, “Drukpersmisdrijf”, 2013, http://www.elfri.be/juridische-‐informatie/drukpersmisdrijf . 401 Niet voor alle drukpersmisdrijven wordt de volksjury ingesteld. Zo bepaalt artikel 150 GW dat drukpersmisdrijven die door racisme of xenofobie zijn ingegeven hiervan uitgesloten zijn. 402 G. VERMEULEN, Privacy en strafrecht: nieuwe en grensoverschrijdende verkenningen, Antwerpen, Maklu, 2007, 287.
Van theorie naar realiteit
106
216. De wet geeft bovendien geen concrete definitie van het begrip ‘drukpersmisdrijf’. In
beginsel moet het misdrijf gepleegd worden met behulp van een drukpers. Het Hof van Cassatie
oordeelt in verscheidene arresten rechtlijnig en bepaalt dat er gebruik moet gemaakt zijn van
“gedrukte geschriften” om te kunnen spreken van een drukpersmisdrijf. Desalniettemin zouden
in België, door een verdere verduidelijking in de rechtspraak en rechtsleer en een evolutieve
interpretatie van het begrip, misdrijven door middel van audiovisuele media hier ook onder
vallen.403
217. We kunnen ons afvragen of de verspreiding via het internet ook een drukpersmisdrijf kan
uitmaken. Een voorwaarde voor deze strafbare uitlating is dat ze door een drukpers of een
gelijkaardig procédé vermenigvuldigd dient te worden.404 Kunnen we digitale verspreiding
aanmerken als ‘gelijkaardig’? Op 6 maart 2012 velde het Hof van Cassatie een princiepsarrest
waarin het aanvaard dat een strafbare meningsuiting die via het internet wordt verspreid ook
een drukpersmisdrijf kan uitmaken. Met andere woorden wordt de quasi-‐immuniteit uitgebreid
naar ‘bloggers’ en gebruikers van sociale netwerksites.405 Bijgevolg kan hieruit afgeleid worden
dat het Hof dit misdrijf gedepenaliseerd heeft. Voorheen kon een slachtoffer van dergelijke
praktijk een procedure starten voor de Correctionele Rechtbank wegens laster en eerroof. Dit is
na de twee bovenstaande arresten niet meer mogelijk gezien de Correctionele Rechtbank geen
bevoegdheid meer heeft om hiervan kennis te nemen.406 Het slachtoffer wordt echter niet
zonder rechtsmiddelen gelaten daar hij nog steeds de mogelijkheid heeft om een burgerlijke
vordering (tot schadevergoeding) in te stellen op grond van de buitencontractuele
aansprakelijkheidsregels vervat in de artikelen 1382 en 1383 van het Burgerlijke Wetboek en
bijgevolg niet meer op grond van het Strafwetboek.407 Derhalve dient aan de drie welgekende
grondvoorwaarden van deze artikels voldaan te zijn om aansprakelijk gesteld te kunnen
worden, namelijk: het voorkomen van een fout, schade en het oorzakelijk verband. 408
Desalniettemin is, gelet op de formulering van Cassatie en de uiteenlopende interpretaties van
403 M. VERROKEN en F. WESTERLINCK, “Het drukpersmisdrijf: update door het Hof van Cassatie”, LexGo, 2013, http://www.lexgo.be/nl/artikels/2013/09/Het%20drukpersmisdrijf%3A%20Update%20door%20het%20Hof%20van%20Cassatie,82163.html . 404 E. DE NEVE, “Drukpersmisdrijf”, 2013, http://www.elfri.be/juridische-‐informatie/drukpersmisdrijf . 405 Cass. 6 maart 2012, P.11.1374.N, onuitg.; Cass. 6 maart 2012, P.11.0855, onuitg. . 406 D. VOORHOOF, “Weblogs en websites zijn voortaan ook ‘drukpers’.”, Juristenkrant, afl. 246, 21 maart 2012, 4. 407 Artikel 1382 en 1383 BW zijn de sleutelartikelen die de burgerlijke aansprakelijkheid vastleggen en leggen de burger een zorgvuldigheidsplicht op. In artikel 1382 BW staat dat: “Elke daad van de mens, waardoor aan een ander schade wordt veroorzaakt, verplicht degene door wiens schuld de schade is ontstaan, deze te vergoeden”, terwijl artikel 1383 BW verder gaat en bepaalt dat “Ieder aansprakelijk is, niet alleen voor de schade die hij door zijn daad, maar ook voor die welke hij door zijn nalatigheid of door zijn onvoorzichtigheid heeft veroorzaakt.” 408 D. VOORHOOF en P. VALCKE, Handboek Mediarecht, Brussel, Larcier, 2012,184.
Van theorie naar realiteit
107
het begrip ‘drukpersmisdrijf’, dit hoofdstuk nog lang niet afgesloten en zal er in de nabije
toekomst nog geen rechtszekerheid over zijn.409
3. BESLUIT BIJ HOOFDSTUK 4
218. Om dit hoofdstuk af te sluiten kunnen we stellen dat Facebook het slachtoffer is van zijn
eigen succes, door de steeds verdere vooropstelling van de commerciële doelstellingen in haar
privacy policy. Best van al slaagt de sociale netwerksite er nog in voorgenoemde doeleinden bij
wijze van spreken te ‘vermommen’ door te pretenderen dat gegevens delen
‘goed is’. Facebook gedraagt zich hier als het ware als een wolf verkleed in schapenkleren.410
Door dergelijke beleidswijzigingen, die het recht op privacy lijken teniet te doen, blijkt de nood
aan goed opgestelde standaardinstellingen die gebruikers een degelijke basis-‐set aan
gegevensbescherming bieden. Om het voor ontwikkelaars van sociale netwerkplatformen
gemakkelijker te maken, poogde het ICRI om algemene richtlijnen op te stellen voor het
opmaken van ‘privacy-‐friendly default settings’.
219. Bij het analyseren van de Facebook-‐policy merkten we op dat het gebruik van
pseudoniemen niet toegelaten is, terwijl daar toch een maatschappelijk draagvlak voor lijkt te
bestaan. Op dit punt is het voor de sociale netwerksite misschien aangeraden om in een
versoepeling te voorzien en dit onder bepaalde voorwaarden toch toe te laten.
220. Zich ongegeneerd uitlaten over bepaalde topics of het vrijgeven van informatie op sociale
netwerksites blijft een delicate zaak, niettegenstaande wat de beleidsteksten menen te
verkondigen. Tenslotte is het simpel: “If you want something to remain totally private and unseen,
don’t post it on Facebook”.411
409 M. VERROKEN en F. WESTERLINCK, “Het drukpersmisdrijf: update door het Hof van Cassatie”, LexGo, 2013, http://www.lexgo.be/nl/artikels/2013/09/Het%20drukpersmisdrijf%3A%20Update%20door%20het%20Hof%20van%20Cassatie,82163.html . 410 P. OLSTHOORN, De macht van Facebook: Theo, ben je dood ofzo?, Leeuwarden, Elikser, 2012, 94. 411 D. WINDER, “Facebook Graph Search: don’t panic”, PCPRO, 2013, http://www.pcpro.co.uk/realworld/385276/facebook-‐graph-‐search-‐dont-‐panic .
Besluit
108
HOOFDSTUK 5: ALGEMEEN BESLUIT 221. Deze masterproef concentreerde zich op de volgende vraag: “Staan Facebook en het Recht
op Privacy werkelijk paradoxaal tegenover elkaar, of kan deze stelling genuanceerd worden?” Met
andere woorden spitste dit onderzoek zich toe op de vraag of het Recht op privacy al dan niet
wordt uitgehold door de sociale netwerksite Facebook, en dit zowel vanuit Belgisch als vanuit
Europees juridisch perspectief.
222. Concluderend moeten we stellen dat het nog maar de vraag is hoe het Recht op Privacy in
een gedigitaliseerde samenleving, waar de technologische vooruitgang nooit stilstaat, overeind
kan blijven. Met de komst van sociale netwerksites zoals Facebook werd de deugdzaamheid van
de bestaande beschermingsmogelijkheden aanzienlijk beproefd.
223. De essentie van het probleem is gelegen in feit dat er een massa aan persoonlijk informatie
op het internet verzameld kan worden, waardoor het risico op misbruik ervan beduidend
toeneemt. Hiervoor wordt al te snel met de vinger gewezen naar sociale netwerken, die hun
leden in beginsel slechts een platform bieden om dergelijke informatie te verspreiden.
Gebruikers van deze netwerken dienen echter te beseffen dat de eerste stap in de richting van
een mogelijke schending van hun privacy-‐rechten, door hen zelf gezet wordt. We zagen echter
dat deze laatsten vaak uitgaan van een ‘illusion of control,’ en er zich bijgevolg vaak niet van
bewust zijn dat de informatie die ze delen op Facebook een ruimer publiek bereikt dan
oorspronkelijk werd beoogd.
224. Toch mag niet te snel besloten worden dat Facebook zijn handen hierdoor in onschuld
wast. Zo vertoont hun privacy-‐beleid nog heel wat gebreken, bijvoorbeeld door het hanteren van
een minimum beschermingsniveau in hun ‘default settings’. Bovendien bieden de privacy-‐
instellingen in het algemeen niet voldoende transparantie en dienen gebruikers bij het
configureren ervan een bovenmatige inspanning te leveren om zich als het ware een weg te
banen door het ‘Facebook labyrint’.
225. Maar, naast de gebruiker en de provider, moet ook de huidige maatschappij zichzelf durven
in vraag stellen. Kunnen we zomaar toelaten dat de verwerking en opslag van gegevens gebeurt
in het kader van commerciële doeleinden? Daarenboven kan dit ook teruggekoppeld worden
aan het discours over de Privacy Paradox dat ons attent maakt op het feit dat Facebook alle
mogelijke gegevens van gebruikers verzamelt en op haar servers stockeert, waardoor deze
zowel door haar, maar ook door derden ter kwader trouw geraadpleegd kunnen worden.
Besluit
109
Dit is alarmerend in een immer evoluerende gedigitaliseerde wereld waar op basis van
profilering ook heel wat gevoelige gegevens over betrokkenen verzameld kunnen worden.
226. Waar de huidige Richtlijn Bescherming Persoonsgegevens poogt een degelijke rechtsbasis
te bieden voor de bescherming van de persoonlijke levenssfeer, merken we echter dat ze niet
meer opgewassen is tegen de perikelen te wijten aan de steeds evoluerende
communicatietechnologieën. Het ontstaan van sociale netwerksites als Facebook openden als
het ware een nieuw luik binnen de bescherming van het privacy-‐recht, dat nog niet werd
beantwoord met een adequate regelgeving. In dat opzicht komt het voorstel voor een Algemene
Verordening Gegevensbescherming tegemoet door het invoeren van enkele cruciale
vernieuwende artikelen, waaronder het ‘Recht om vergeten te worden en de regeling omtrent
‘Privacy by default’, en het vestigen van een transparante en uniforme regeling binnen de
Europese Unie. De belangrijkste wijziging tegenover de oude regeling is ongetwijfeld de nieuwe
toestemmingsvereiste voor het verzamelen van gegevens, die het toekomstperspectief van een
(gratis) Facebook ernstig lijken te bedreigen.
227. Dienen we nu te concluderen tot het bestaan van een paradox tussen Facebook en Privacy?
Deze vraag kan eerder negatief beantwoord worden. We doen er overigens beter aan dit te
nuanceren door er op te wijzen dat duidelijke juridische regels net primordiaal zijn voor een
degelijke en effectieve bescherming van de privacy van individuen op sociale netwerksites,
zodat privacy niet ‘dood’ hoeft te zijn. Mijns inziens, zijn we nog lang niet op het eindpunt van
deze kroniek. De vraag blijft of de nieuwe Europese Verordening zal voldoen aan de hoge
verwachtingen. Hoe dan ook zal ze in de nabije toekomst individuen meer rechtszekerheid
bieden en is dit best wel een stap in de goede richting.
228. Hoe dan ook, het blijft nog steeds de beslissing van de betrokkene om bepaalde informatie
op het sociale netwerk vrij te geven. We bepalen namelijk autonoom wat we denken en welke
informatie we de wereld insturen. Scherper gesteld, voorlopig lijkt het erop dat de enige plaats
waar we in elk geval nog over privacy in haar zuiverste vorm beschikken, in onze eigen
gedachten is. TONY FISH, een expert in het vakgebied, is hier vrij duidelijk over,
“Somewhere out there, there is a copy of your data. Once created and you have shared it publicly it
will be there -‐ somewhere outside of your control. Just because you have removed it from your
places, it doesn't mean that it has been removed from everywhere… The only truly private place is
what happens in your mind and never shared. Everything else is based on trust... ” 412
412 T. FISH, “Why do you think deleting an account reduces your digital footprint?”, My Digital footprint, 2013, http://www.mydigitalfootprint.com/2013/07/why-‐do-‐you-‐think-‐deleting-‐account.html.
Bibliografie
110
BIBLIOGRAFIE EUROPESE (CONCEPT)REGELGEVING EN EUROPEES BELEID
-‐ Verdrag 108 tot bescherming van personen ten opzichte van de geautomatiseerde
verwerking van persoonsgegevens van de Raad van Europa, ETS 108, 28 januari 1981.
-‐ Verdrag 4 november 1950 tot bescherming van de rechten van de mens en de
fundamentele vrijheden, BS 19 augustus 1955.
-‐ Handvest betreffende de Grondrechten van de Europese Unie, Pb.L. 18 december 2000, afl. 364,
1-‐22.
-‐ Verklaring betreffende de expressievrijheid, Raad van Europa, 28 mei 2003.
-‐ Verdrag betreffende de werking van de Europese Unie (geconsolideerde versie), Pb.L. 9
mei 2008, afl. 115, 47-‐199.
-‐ Verdrag tot modernisering van verdrag 108 tot bescherming van personen ten opzichte
van de geautomatiseerde verwerking van persoonsgegevens van de Raad van Europa, T-‐
PD(2012)04 rev2, 16 oktober 2012.
-‐ Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en
betreffende het vrije verkeer van die gegevens(algemene verordening gegevensbescherming),
COM(2012)11 definitief, 25 januari 2012.
-‐ Voorstel voor een Richtlijn van het Europees parlement en de Raad betreffende de
bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het
onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging
van straffen, en betreffende het vrije verkeer van die gegevens, COM(2012) 10 definitief,
25 januari 2012.
-‐ Richtlijn 95/46/EG van het Europese Parlement en de Raad betreffende de bescherming van
natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het
vrije verkeer van die gegevens, Pb.L. 23 november 1995; afl. 281, 31-‐50.
-‐ Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002
betreffende de verwerking van persoonsgegevens en de bescherming van de
Bibliografie
111
persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn “privacy en
elektronische communicatie”), Pb.L. 31 juli 2002, afl. 201, 37-‐47.
-‐ Richtlijn 2009/136/EG van het Eurpese Parlement en de Raad van 25 november 2009
tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en
gebruikersrechten met betrekking tot elektronischecommunicatienetwerken en -‐
diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de
bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie
en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale
instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake
consumentenbescherming, Pb.L. 18 december 2009, afl. 337, 11-‐36. -‐ Kaderbesluit 2008/977/JBZ van 27 november 2008 over de bescherming van
persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële
samenwerking in strafzaken, Pb.L. 30 december 2008, afl. 350, 60 e.v.
-‐ Advies 5/2009 van de Groep gegevensbescherming artikel 29 over online sociale
netwerken, WP 163, 12 juni 2009.
-‐ Advies 1/2012 van de Groep gegevensbescherming artikel 29 over de voorstellen voor
hervorming van het gegevensbeschermingskader, WP 191, 23 maart 2012.
-‐ Aanbeveling CM/Rec(2012)4 van het Comité van Ministers inzake de bescherming van
mensenrechten met betrekking tot sociale netwerkdiensten, 4 april 2012.
-‐ Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch
en Sociaal Comité en het Comité van de Regio's, “Een digitale agenda voor Europa”, COM(2010)
245 definitief, 19 mei 2010.
BELGISCHE WETGEVING
-‐ Belgisch Strafwetboek van 8 juni 1867, BS 9 juni 1867.
-‐ De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten
opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993.
-‐ Wet van 30 juni 1994 betreffende het Auteursrecht en Naburige rechten, BS 27 juli 1994.
-‐ Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992
tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van
persoonsgegevens, BS 13 maart 2001.
Bibliografie
112
-‐ Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met
betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht
binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, BS 30
december 2003.
-‐ Wet van 13 juni 2005 betreffende de elektronische communicatie, BS 20 juni 2005.
-‐ Wet van 30 juli 2013 tot wijziging van het Belgisch Strafwetboek 27 september 2013.
-‐ Ministeriële omzendbrief van 10 december 2009 Betreffende de wet van 21 maart 2007
tot regeling van de plaatsing en het gebruik van bewakingscamera's, zoals gewijzigd door
de wet van 12 november 2009.
-‐ Collectieve arbeidsovereenkomst van 26 april 2002 tot bescherming van de persoonlijke
levenssfeer van de werknemers ten opzichte van de controle op de elektronische on-‐
linecommunicatiegegevens (CAO 81), BS 29 juni 2002.
VOORBEREIDING VAN BELGISCHE WETGEVING
-‐ Herziening van titel II van de Grondwet, om een artikel24 quater in te voegen
betreffende de eerbiediging van het privé-‐leven (1), Parl. St. Kamer 1992-‐ 1993, nr.
997/5, 12.
BUITENLANDSE WETGEVING
-‐ Duitse Telemediawet van 26 februari 2007,
http://www.gesetze-‐im-‐internet.de/bundesrecht/tmg/gesamt.pdf.
-‐ Franse Strafwet,
http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006417259
&cidTexte=LEGITEXT000006070719.
-‐ Franse Wet van 29 juli 1881 betreffende de Persvrijheid,
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006070722&date
Texte=20100812.
Bibliografie
113
-‐ Amerikaanse Children’s Online Privacy Protection Act (COPPA),
http://www.ecfr.gov/cgi-‐
bin/retrieveECFR?gp=&SID=97cc896fc6afbc34ac43f8abc971b9f2&n=16y1.0.1.3.36&r=
PART&ty=HTML .
RECHTSPRAAK Europees Hof voor de Rechten van de Mens
-‐ EHRM 8978/80, X en Y v. Nederland, 1985.
-‐ EHRM 16213/90, Burghartz v. Switzerland, Publ.Hof, 1994, vol. 280-‐B, § 24.
-‐ EHRM 39272/98, M.C. v. Bulgarije, 2003.
-‐ EHRM 42326/98, Odièvre v. France, E.H.R.R. 2003, 29.
-‐ EHRM 50435/99, Rodrigues da Silva v. Nederland, E.H.R.R 2006, 729.
-‐ EHRM 2872/02, K.U. v. Finland, 2008.
-‐ EHRM 1234/05, Reklos en Davourlis v. Griekenland, 2009.
-‐ EHRM 420/07, Köpke v. Duitsland, 2010.
-‐ EHRM 39954/08, Springer v. Duitsland, 2012.
-‐ EHRM 40660/08, Von Hannover v. Duitsland II, 2012.
Belgische rechtspraak
-‐ Cass. 6 maart 2012, P.11.1374.N, onuitg.
-‐ Cass. 6 maart 2012, P.11.0855, onuitg.
-‐ Brussel 27 juni 2000, Juristenkrant 2013, afl. 269, 16.
-‐ Antwerpen 5 mei 2003, NJW 2003, 1193.
-‐ Corr. Brussel 22 december 1999, A.M. 2000, 134.
-‐ Arb.Rb. Leuven (1e b k.) 17 november 2011, RDTI 2012, afl. 46, 79.
Buitenlandse rechtspraak:
-‐ U.S. District Court CV-‐11-‐01726 RS, Fraley v. Facebook, Inc., et al. 2011.
-‐ Arnhem, 19 maart 2012 (NL), JAR 2012, 97.
Bibliografie
114
-‐ U.S. Supreme Court 13-‐136, Marek v. Lane, 2013.
-‐ CCass. 10 april 2013 (FR), Nr.: C100344,
http://www.courdecassation.fr/jurisprudence_2/premiere_chambre_civile_568/344_10
_26000.html.
RECHTSLEER Boeken
-‐ ARENDT, H. , The Human Condition, Chicago, University of Chicago Press, 1958, 370p.
-‐ BELIEN, H. EN MEIJER, F. , Een kleine geschiedenis van de klassieke oudheid, Amsterdam, Bert
Bakker, 2010.
-‐ BURNS, A. , BUSH, R. , SMEETS, I. , Principes van marktonderzoek, Amsterdam, Pearson Education
Benelux, 2006, 542p.
-‐ DE GROOTE, B. en DE CORTE, R. , Overzicht van het burgerlijk recht, Mechelen, Kluwer, 2005, 746p.
-‐ Dierickx, L. , Het recht op afbeelding, Antwerpen, Intersentia, 2005, 345p.
-‐ DOCQUIR, B. , Le droit de la vie privée, Brussel, Larcier, 2008, 358p.
-‐ KOORN, R. et al., Privacy Enhancing Technologies -‐ Witboek voor beslissers, 91p.
-‐ LEMMENS, P. (ed.), Uitdagingen door en voor het E.V.R.M., Mechelen, Kluwer, 2005, 233p.
-‐ LIEVENS, E. , Protecting Children in the Digital Era. The Use of Alternative Regulatory,
Instruments, Boston, Martinus Nijhoff Publishers, 2010, 584p.
-‐ OLSTHOORN, P. , De macht van Facebook: Theo, ben je dood ofzo?, Leeuwarden, Elikser, 2012, 245p.
-‐ ORWELL, G. , Nineteen Eighty-‐four, Toronto, HarperCollins Canada, 2013, 335p.
-‐ RAAD VAN EUROPA, Explanatory Report on the Convention for the Protection of Individuals with
Regard to Automatic Processing of Personal Data, Straatsburg, Raad van Europa, 1981, 13, nr. 25,
41p.
-‐ RÖSSLER, B. , The Value of Privacy, Cambridge, Polity Press, 2005, 272p.
-‐ SEGERS, K. , Maak mij wat wijs, Amsterdam, Lannoo Meulenhoff, 2010, 240p.
-‐ SOLOVE, D. J. , Nothing to Hide: The False Tradeoff Between Privacy and Security, Verenigde Staten,
Yale University Press, 2011, 245p.
-‐ SOLOVE, D.J. ,The digital person, Technology and Privacy in the Information Age, New York en
London, NYU Press, 2004, 283p.
-‐ VAN BERLO, D. , Ambtenaar 2.0: Nieuwe ideeën en praktische tips om te werken in overheid 2.0,
David van Berlo, 2008, 90p.
Bibliografie
115
-‐ VANDE LANOTTE, J. , Handboek EVRM -‐ Deel 1: Algemene Beginselen, Antwerpen, Intersentia, 2004,
949p.
-‐ VANDE LANOTTE, J. EN HAECK, Y. (eds.), Handboek EVRM -‐Deel 2: Artikelsgewijze commentaar -‐
Volume I, Antwerpen, Intersentia, 2004, 1066p.
-‐ VAN DER POT, C.W., ELZINGA, D.J. en DE LANGE, R. (eds.), Handboek van het Nederlandse staatsrecht,
Deventer, Kluwer, 2006, 1073p.
-‐ VERMEULEN, G. , Privacy en strafrecht: nieuwe en grensoverschrijdende verkenningen, Antwerpen,
Maklu, 2007, 627p.
-‐ VOORHOOF, D. en VALCKE, P. , Handboek Mediarecht, Brussel, Larcier, 2007, 478p.
-‐ X., Van Dale Groot woordenboek van de Nederlandse taal, Antwerpen, Van Dale Lexicografie bv,
2005, 4464p.
Bijdragen in Verzamelwerken
-‐ CLARKE, R. , “Information technology and dataveillance” in: C. DUNLOP en R. KLING (eds.),
Controversies in Computing, New York, Academic Press, 1991, 498-‐512.
-‐ DE HERT, P. , “Recht op privacy” in J. VANDE LANOTTE EN Y. HAECK (eds.), Handboek EVRM -‐
Deel 2: Artikelsgewijze commentaar -‐ Volume I, 711-‐713.
-‐ DELBROUCK, I. , “Aanranding van de eer of goede naam van personen” in X., Postal Memorialis.
Lexicon strafrecht, strafvordering en bijzondere wetten, A15/23.
-‐ EDWARDS, L. EN BROWN, I. , “Data Control and Social Networking: Irreconcilable Ideas?” in A.
MATWYSHYN (ed.), Harbouring Data: Information security, Law and the corporation , Palo Alto,
Stanford University Press, 2009, 205.
-‐ GUTWIRTH, S. , “Privacyvrijheid: geen recht, maar de individuele zelfbepalingsvrijheid” in L.
BOEYKENS, P. LAMBERT, P. THOMAS, P.J. HUSTINX (eds.), Privacy: Séminaire, Brussel, Ministerie van
binnenlandse zaken, 1998, 93.
-‐ HUSTINX, P.J. , “Gegevensbescherming in de informatiemaatschappij” In E.J.
-‐ KUCZERAWY, A. EN COUDERT, F. , “Privacy Settings in Social Networking Sites: Is It Fair?” in S.
FISCHER-‐HÜBNER et al. (eds.), Privacy and Identity Management for Life,
Heidelberg/Dordrecht/London/New York, Springer, 2011, 231-‐243.
-‐ NUMANN (ed.), Massificatie in het privaatrecht. Opstellen ter gelegenheid van het 200-‐jarige
bestaan van het genootschap Iustitia et Amicitia, Deventer, Kluwer, 2010, 77.
-‐ VAN EECKE, P. EN DIERICK, A. , “EU-‐regelgeving en de informatiemaatschappij: naar een wetgeving
2.0?” in I. GOVAERE (ed.), Europees recht: Moderne interne markt voor de praktijkjurist, Mechelen,
Kluwer, 2012, 201-‐244.
Bibliografie
116
-‐ WOUTERS, E. , “Beledigingen op Facebook”, noot onder Brussel 27 juni 2000, Juristenkrant 2013,
afl. 269, 16.
Bijdragen in Tijdschriften
-‐ AUSLOOS, J. , KINDT, E. , LIEVENS, E. , VALCKE, P. EN DUMORTIER, J. , Guidelines for Privacy-‐Friendly
Default Settings, ICRI Research Paper, 2013, http://ssrn.com/abstract=2220454.
-‐ BAGGIO, B. , BELDARRAIN, Y. , Anonymity and Learning in Digitally Mediated Communications:
Authenticity and Trust in Cyber Education, Verenigde Staten, Idea Group Inc, 2011, 91-‐103.
-‐ BARNES, S.B. , "A privacy paradox: Social networking in the United States", hfd. 2.
-‐ BOSCH, T.E. , “Using online social networking for teaching and learning: Facebook use at the
university of Cape Town”, South African Journal for Communication Theory and Research 2009,
185-‐200.
-‐ BOYD, D., ELLISON, N. , “Social Network Sites: Definition, History, and Scholarship.”, Journal of
computer-‐Mediated Communication, 2008, 2.
-‐ BOYD, D. en MARWICK, A.E.,“Social Privacy in Networked Publics: Teens’ Attitudes, Practices, and
Strategies”, A Decade in Internet Time: Symposium on the Dynamics of the Internet and Society,
September 2011, 12.
-‐ BREMS, E. , “De nieuwe grondrechten in de Belgische Grondwet en hun verhouding tot het
Internationale, ingezonderd het Europese Recht”, T.B.P. 1995, 625.
-‐ BREWAEYS, E. , “Recht op afbeelding”, NJW 2010, 206.
-‐ CURRAN, K., GRAHAM, S., TEMPLE, C. , “Advertising on Facebook.”, IJED, 2011, 27.
-‐ SQUICCIARINI, A.C. , SHEHAB, M. , PACI, P. , “Collective privacy management in social networks”,
PROC WWW09, 2009, 521-‐530.
-‐ DECAIGNY, T. , “Positieve mensenrechtenverplichtingen met betrekking tot politie en justitie.
Verduidelijking aan de hand van Europese rechtspraak over intrafamiliaal geweld en seksueel
misbruik”, T.Strafr. 2012, 7-‐15.
-‐ DEENE, J. , noot bij Antwerpen 5 mei 2003, NJW 2003, 1193.
-‐ DE HERT, P. en SAELENS, R. , “Het recht op afbeelding”, TPR 2009, 870-‐871.
-‐ DE MUL J. en VAN DER PLOEG, Y.H. , “Internet & Privacy” in Onderzoeksprogramma 'Internet en
Openbaar Bestuur' 1999-‐2001, Rotterdam, Center for Public Innovation, 2003, 8.
-‐ DOMMERING, E.J. , noot onder EHRM 15 januari 2009, Nr. 1234/05, Reklos en Davourlis v.
Griekenland, AMI 2009, 188-‐198.
-‐ DOMMERING, E.J. , noot onder EHRM 7 februari 2012, Nr. 40660/08, Von Hannover v. Duitsland II,
NJ 2013, nr. 250 en EHRM 7 februari 2012, Nr. 39954/08, Springer v. Duitsland, NJ 2013, nr. 251.
-‐ DOMMERING, E.J. , noot onder EHRM 5 oktober 2010, Nr. 420/07, Köpke v. Duitsland, NJ 2011, 566.
Bibliografie
117
-‐ ELLISON, N.B. , STEINFIELD, C. , LAMPE, C. , “The benefits of Facebook-‐friends. Social capital and
college students‘ use of online social network sites”, Journal of computer –mediated
communication 2007, 1143-‐1168.
-‐ ENGELFRIET, A. ,“De wet op internet”, Eindhoven, Ius Mentis , 2010, 111-‐124.
-‐ GEUKENS, S. , "Gratis Facebook onmogelijk door nieuw wetsvoorstel EU”, De Morgen, 14 januari
2013.
-‐ GOFFMAN, E. , “The Presentation of Self in Everyday Life.”, New York, Doubleday: Garden City,
1959, 259p.
-‐ GROOTHUIS, M. , noot onder EHRM 2 december 2008, no. 2872/02, K.U. v. Finland, NJCM-‐Bulletin
2009, 281; M. GROOTHUIS , ”Uitspraak EHRM over bescherming van minderjarigen op internet”,
Computerr. 2009, 91.
-‐ GUILIAMS, S. , “Bewijs van een fout vereist opdat het samenloopverbod tussen contractuele en
buitencontractuele aansprakelijkheid ingevolge een misdrijf kan worden opgeheven”, NJW 2013,
78.
-‐ HIJMANS, H. , "Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens
ook in het informatietijdperk te beschermen", NtEr 2012, 132.
-‐ JOINSON, A. , ”Looking at’, Looking up‘ or Keeping up with‘ people? Motives and uses of facebook”,
CHI’08 2008, 1027-‐1036.
-‐ KENNEDY, H. , "Beyond anonymity, or future directions for internet identity research", New Media
& Society 2006, 861.
-‐ KINDT, E. EN VAN DER HOF, S. , “Identiteitsgegevens en –beheer in een digitale omgeving: een
jurdische benadering”, Computerr. 2009, 51.
-‐ KOSINSKY, M. , STILWELL, D. , GREAPEL, T. , “Private traits and attributes are predictable from digital
records of human behavior”, PNAS 2013, 5802–5805.
-‐ LODDER, A.R. , ENGELFRIET, A. , MEKIC, D. , VAN DEN HOVEN VAN GENDEREN R. , e.a., “Recht en
Web 2.0”, 71.
-‐ MARONE, P. & TAYLOR, R. , “Knowlegde diffusion dynamics and netword properties of face-‐to-‐face
interactions”, Journal of Evolutionary Economics, 1999, 327-‐351.
-‐ MOORE, A. , “Privacy Rights, Moral and Legal Foundations”, Verenigde Staten, Pennsylvania State
University Press, 2010, 3.
-‐ O'REILLY, T. , "What is Web 2.0: Design patterns and business models for the next generation of
software", Communications & Strategies, 2007, 17.
-‐ PEMPEK, T. , CALVERT, S. , YERMOLAYEVA, Y. , “College‘s students‘ social networking experiences on
Facebook”, Journal of applied developmental psychology 2009, 227-‐238.
-‐ PHILLIPS, S. , “A brief history on Facebook”, The Guardian, 25 Juli 2007.
Bibliografie
118
-‐ HEW, K.F. , "Reviex: Studens' and techers' use of Facebook", Computers in Human Behavior 2011,
662-‐676.
-‐ RACHELS, J. , “Why Privacy is Important”, Philosophy and Public Affairs, 1975, 323-‐333.
-‐ RICHTER, A. & KOCH, M. , “Functions of Social Networking Services”, 90.
-‐ RUSSO, C. , “Article 8, § 1” in L.-‐E. PETTITI, E. DECAUX en P.-‐H. IMBERT (eds.), La Convention
Européenne des Droits de l’Homme. Article par article, Parijs, Economica, 1995, 306-‐307.
-‐ SAMOY, I. , VALCKE, P. , JANSEN, S. , PEERAER, F. , VANDENBUSSCHE, W. , VAN DER SYPE, Y. , VAN LOOCK, S. ,
VERJANS, E. , VERSCHAKELEN, J. , “Facebook maakt privéberichten openbaar: een casus contractuele
aansprakelijkheid?”, Juristenkrant 2012, afl. 259, 10-‐11.
-‐ SHAH, R.C. EN KESAN, J.P. , “Setting Online Policy with Software Defaults", Information
Communication, and Society 2008, 1002.
-‐ STEVENS, L. , noot onder EHRM 4 december 2003, No. 39272/98, M.C. v. Bulgarije, RW 2005,
1235; EHRM 26 maart 1985, No. 8978/80, X en Y v. Nederland.
-‐ SWIRE, P. EN LAGOS, Y. , "Why the Right to Data Portability Likely Reduces Consumer Welfare:
Antitrust and Privacy Critique", Mayerland Law Review 2013, 341-‐342.
-‐ THOLE, E. EN VAN DER JAGT, F. , “Foute foto’s op je Facebook, carrièrekansen verpest?”, Nota Bene
2011, afl. 23, 41.
-‐ URISTA, M.A. , DONG, Q. , DAY, K. , “Explaining why young adults use MySpace and Facebook
through uses and gratifications theory”, Human Communication 2009, 215-‐229.
-‐ U.S. PRIVACY PROTECTION STUDY COMMISSION, "Personal Privacy in an Information Society", PPSC
Report, 1977, 615.
-‐ VAN DEN BRANDE, Y. , “Hoe privé zijn mails, Facebookposts, chatsessies...?”, De Tijd, 10 februari
2012.
-‐ VAN EECKE, P. en TRUYENS, M. , “Privacy en sociale netwerken”, Computerr. 2010, 117.
-‐ VANWIJNGAERDEN, J.S. , “De werking van grondrechten tussen particulieren, geïllustreerd met
voorbeelden”, Jura Falc. 2007, 217-‐248.
-‐ VOORHOOF, D. , “Facebook en de Raad voor Journalistiek”, NjW 2011, 39.
-‐ VOORHOOF, D. , “Recht op anonimiteit op internet brokkelt af”, Juristenkrant 14 januari 2009, 5.
-‐ VYNCKE, S. , “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius Legal, 6
februari 2012.
-‐ WARREN, G., “Is privacy dead?”, Times Newspapers, 2010.
-‐ WARREN S. en BRANDEIS, D. , “The Right To Privacy”, Harvard Law Review 1890, Vol. IX.
-‐ WOO, J. , "The right not to be identified: privacy and anonymity in the ineractive media
environment", New Media & Soc. 2006, 949 – 967.
-‐ WOOLLASTON, V., “Now ANYONE can find you on Facebook: Outrage as site removes privacy
option for users to hide their profile in search results”, Daily Mail, 11 Oktober 2013.
Bibliografie
119
-‐ YOUNG, A. , QUAN-‐HAASE, A. , “Information revelation and internet privacy concerns on social
network sites: A case study of Facebook.”, C&T '09 2009, 265-‐274.
-‐ X., “Special Eurobarometer 359/Wave 74.3”, TNS Opinion & Social, 2011, 205.
-‐ X., “Ondubbelzinnige toestemming nodig voor plaatsen cookies”, NJB 2011, 1234.
-‐ X., “Privacybescherming”, Computerr. 2012, 315-‐317;
Online Bronnen
-‐ AUSLOOS, J. , “The ‘Right to be Forgotten’ – Worth remembering?”, ICRI Research Paper
2011, 13; http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1970392.
-‐ BARNES, S.B. , "A privacy paradox: Social networking in the United States", First Monday
2006; http://www.firstmonday.org/article/view/1394/1312.
-‐ BILTON, N. , “Facebook Changes Privacy Settings Again”, The New York Times Bits, 12
december 2012, http://bits.blogs.nytimes.com/2012/12/12/facebook-‐changes-‐privacy-‐
settings-‐again/.
-‐ BOYD, D. , “Facebook’s ‘Opt-‐out’ Precedent, 12 december 2007,
http://www.futurelab.net/blog/2007/12/facebooks-‐opt-‐out-‐precedent.
-‐ BOYD, D. , “Social Network Sites: Public, Private, or what?”, Knowledge Tree, 2007, 2.;
http://www.danah.org/papers/KnowledgeTree.pdf.
-‐ BRANDIMARTRE, L. , “Privacy concerns and information disclosure: An illusion of control
hypothesis”, iConference ’09 Posters, 8 februari 2009,
https://www.ideals.illinois.edu/bitstream/handle/2142/153
44/Poster.ppt.pdf?sequence=4 .
-‐ CAVOUKIAN, A. EN PROSCH, M. , “The Roadmap for Privacy by Design in Mobile
Communications: A Practical Tool for Developers, Service Providers, and Users”, Privacy
by Design, 2010, 23; http://www.privacybydesign.ca/content/uploads/2011/02/pbd-‐
asu-‐mobile.pdf.
-‐ CHINDAMO, J. , "Facebook Wins Battle To Ban Pseudonyms; Apologies To Professor Otto
von Schnitzelpusskrankengescheitmeyer", it-‐Lex, 27 februari 2013; http://it-‐
lex.org/facebook-‐wins-‐battle-‐to-‐ban-‐pseudonyms-‐apologies-‐to-‐professor-‐otto-‐von-‐
schnitzelpusskrankengescheitmeyer/#sthash.1FrgAk
mA.dpuf.
Bibliografie
120
-‐ CHINOWSKY, P. , DIEKMANN, J. en O’BRIEN, J. , ”Project Organizations as Social Networks.”, J.
Constr. Eng. Manage, p. 136; L. ROEDER, "What is Myspace", About.com, Social Media,
2013, http://personalweb.about.com/od/myspacecom/a/whatismyspace.htm.
-‐ CLARKE, R. , “Dataveillance and Information Privacy Home-‐Page”, 2013,
http://www.rogerclarke.com/DV/ .
-‐ CONSTINE, J. , "Facebook Removing Option To Be Unsearchable By Name, Highlighting
Lack Of Universal Privacy Controls" ,Techcrunch, 10 oktober2013,
http://www.techcrunch.com/2013/10/10/facebook-‐search-‐privacy/ .
-‐ DE HERT, P. en GUTWIRTH, S. , “Over privacy: filosofische reflecties”, CBPL, 2013,
http://www.anthologieprivacy.be/sites/anthology/files/documents/Over-‐privacy-‐
filosofischereflecties.pdf .
-‐ DE NEVE, E. , “Drukpersmisdrijf”, 2013,
http://www.elfri.be/juridische-‐informatie/drukpersmisdrijf .
-‐ FISH, T. , “Why do you think deleting an account reduces your digital footprint?”, My
Digital footprint, 2013, http://www.mydigitalfootprint.com/2013/07/why-‐do-‐you-‐
think-‐deleting-‐account.html.
-‐ FOREMAN, R. , “Facebook History 2005 -‐2007”, http://empoweryou.ca/facebook-‐history-‐
2005-‐2007/ .
-‐ GANTZ, J. , REINSEL, D. , “Extracting Value from Chaos”, IDC iView, 2011,
http://netherlands.emc.com/collateral/analyst-‐reports/idc-‐extracting-‐value-‐from-‐
chaos-‐ar.pdf.
-‐ GIOVANI, T. & PASHLEY, H. , “Student Awareness of the Privacy Implications When Using
Facebook”, 3 december 2005, 5; http://lorrie.cranor.org/courses/fa05/tubzhlp.pdf .
-‐ GOEL, V. , "Facebook Delays New Privacy Policy", The New York Times Bits, 5 september
2013, http://bits.blogs.nytimes.com/2013/09/05/facebook-‐delays-‐new-‐privacy-‐
policy/.
-‐ GOHRING, N. , “Facebook Faces Class-‐action Suit over Beacon”, IDG News, 13 augustus
2008, http://www.pcworld.com/article/149787/article.html.
-‐ GRASZ, J. , “Forty-‐five Percent of Employers Use Social Networking Sites to Research Job
Candidates, CareerBuilder Survey Finds”, CareerBuilder, augustus 2009,
-‐ http://www.careerbuilder.com/share/aboutus/pressreleasesdetail.aspx?id=pr519&sd=
8%2f19%2f2009&ed=12%2f31%2f2009&siteid=cbpr&sc_cmp1=cb_pr519_.
Bibliografie
121
-‐ Grimmelmann, J. , "Saving Facebook", Iowa Law Review 2009, 1185,
http://works.bepress.com/cgi/viewcontent.cgi?article=1019&context=james_grimmel
mann.
-‐ JOHNSON, B. , “Privacy no longer a social norm, says Facebook founder”, The Guardian, 11
januari 2010, http://www.theguardian.com/technology/2010/jan/11/facebook-‐
privacy .
-‐ JONES, H. en HIRAM SOLTREN, J. , “Facebook: Threats to Privacy”, CSAIL, 2005,
http://groups.csail.mit.edu/mac/classes/6.805/student-‐papers/fall05-‐
papers/facebook.pdf .
-‐ KRISHNAMURTHY, B. EN WILLS, C.E. , "Characterizing privacy in online social networks" in X.,
WOSN '08 Proceedings of the first workshop on Online social networks, New York, ACM,
2008, 37-‐42,
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.145.4305&rep=rep1&type=
pdf.
-‐ KRUL, M. , “Aanpassing privacyvoorwaarden Facebook”, Wisemen Advocaten, 2013,
http://www.wisemen.nl/weblog/weblogs/aanpassing-‐privacyvoorwaarden-‐facebook/ .
-‐ LODDER, A.R. , ENGELFRIET, A. , MEKIC, D. , VAN DEN HOVEN VAN GENDEREN, R. , e.a., “Recht
en Web 2.0 – Bewerkte bloemlezing uit www.internetrecht20.nl”, Publicatiereeks
NVvIR, Nr.27, 2010, 121;
http://da.nny.nl/wp-‐content/uploads/2008/05/rechtenweb20.pdf.
-‐ LOPEZ, C. , “Oregon teen Arrested After Posting ‘Drivin Drunk’ Facebook Status”, ABC
News, 4 januari 2013, http://abcnews.go.com/blogs/headlines/2013/01/oregon-‐teen-‐
arrested-‐after-‐posting-‐drivin-‐drunk-‐facebook-‐status/.
-‐ Madejski, M. , Johnson, M. en Bellovin, S.M. , "The Failure of Online Social Network
Privacy Settings", CUCS Tech Reports 2011, 8,
https://mice.cs.columbia.edu/getTechreport.php?techreportID=1459 .
-‐ MIGLIETTI, J.M. , “Diffamation privée et diffamation publique: distincion.”, Cabinet d’avocat
Miglietti, 2013, http://www.miglietti-‐avocat.com/communication-‐presse-‐
media/diffamation-‐privee-‐et-‐diffamation-‐publique-‐-‐distinction-‐352.html .
-‐ MIKKELSON, B. en MIKKELSON, D. ,“Facebook Privacy Removal”, Snopes, 17 oktober 2013,
http://www.snopes.com/computer/facebook/privacyremoval.asp#9Q2UGZDHUbfbhzD
H.99 .
Bibliografie
122
-‐ MITROU, L. EN KARYDA, M. , "EU's Data Protection Reform and the Right to be Forgotten: A
Legal Response to a Technological Challenge?", 5 februari 2012, 5th ICILE 2012. Te
raadplegen op: http://ssrn.com/abstract=2165245.
-‐ OPSAHL, K. , “Facebook's Eroding Privacy Policy: A Timeline”, EEF, 28 april 2010,
https://www.eff.org/deeplinks/2010/04/facebook-‐timeline .
-‐ PAULUSSEN, F. , “Online Privacy: bestaat dat nog?”, Social Mediwa, 2013,
http://www.socialmediwa.be/socialmedida/online-‐privacy-‐bestaat-‐dat-‐nog/ .
-‐ PEREZ, J.C. , “Facebook’s Beacon more Intrusive Than Previously Thought”, IDG News, 30
november 2007, http://www.pcworld.com/article/140182/article.html.
-‐ PORSIUS-‐SAMAN, P. , “Help, waarom word ik niet aangenomen?”, MSN CareerBuilder, 2012,
afdeling 9; http://msn.careerbuilder.nl/Artikel/MSN-‐144-‐Een-‐baan-‐zoeken-‐Help-‐
waarom-‐word-‐ik-‐niet-‐aangenomen/.
-‐ PRONK, B. , "Wat te doen met de nieuwe cookiewetgeving?", Bartonline, 11 juni 2012,
www.bart-‐online.nl/blog/item/wat-‐te-‐doen-‐met-‐de-‐nieuwe-‐cookiewetgeving.
-‐ RICHTER, A. & KOCH, M. , “Functions of Social Networking Services”, COOP’08, 2008, 87-‐98;
http://www.kooperationssysteme.de/wp-‐
content/uploads/coop08_richterkoch_functions_of_social_networking_services_final.pdf.
-‐ RIEWALD, M. , “Aanpassing privacyvoorwaarden Facebook”, Wisemen, 5 november 2013,
http://www.wisemen.nl/weblog/weblogs/aanpassing-‐privacyvoorwaarden-‐facebook/.
-‐ RIEWALD, M. , “Nieuwe Europese privacyregels relevant voor sociale netwerken”,
Wisemen, 9 maart 2012, http://www.wisemen.nl/weblog/weblogs/nieuwe-‐europese-‐
privacyregels-‐relevant-‐voor-‐sociale-‐netwerken/.
-‐ SAKUMA, S. , “VS verzamelen online privégegevens van gebruikers”, NRC, 7 januari 2013,
http://www.nrc.nl/nieuws/2013/06/07/vs-‐verzamelen-‐online-‐privegegevens-‐van-‐
gebruikers/.
-‐ SHIM, R. , “TheGlobe.com to cut staff, fold sites”, CNET News, 3 augustus 2001,
http://archive.is/20130119134602/http://news.com.com/TheGlobe.com+to+cut+staff,
+fold+sites/2100-‐1023_3-‐271110.html.
-‐ SOMERS, G., “Geen laster en eerroof binnen besloten Facebook groep”, Timelex, 2013,
http://www.timelex.eu/nl/blog/detail/geen-‐laster-‐en-‐eerroof-‐binnen-‐besloten-‐
facebook-‐groep .
-‐ Speets, P. , "Het privacy paradox", Meta Reporter, 27 januari 2012,
http://www.metareporter.nl/2011/2012/01/27/het-‐privacy-‐paradox/.
Bibliografie
123
-‐ STROSS, R. , “When Everyone’s a Friend, Is Anything Private?,” The New York Times, 8
maart 2009, http://www.nytimes.com/2009/03/08/business/08digi.html?_r=0 .
-‐ TIMMERMAN, H. , “Uw digitale schaduw”, Data Centered, 2011,
http://www.datacentered.nl/2011/07/uw-‐digitale-‐schaduw/.
-‐ US District Court California 26 augustus 2013, No. C11-‐1726RS, Fraley v. Facebook. Te
raadplegen op: http://blogs.reuters.com/alison-‐frankel/files/2013/08/facebookfraley-‐
approval.pdf .
-‐ VAN CAPELLEVEEN, J.W. , "Ontwikkeling van de sociale media", Jeeweeweb, Sociale Media,
2013,
http://www.jeeweeweb.com/socialemedia/ontwikkeling_van_sociale_media.html.
-‐ VAN CAPELLEVEEN, J.W. , “Waarom anoniem of onder pseudoniem bloggen?”, Jeeweeweb,
2013, http://www.jeeweeweb.com/bloggen/anoniem-‐of-‐pseudoniem.html.
-‐ VAN DEN BRANDE, B. , "Wat is een Cookie?", Sirius Legal, 2013,
http://www.siriuslegaladvocaten.be/wordpress/cookie-‐informatiepagina/# .
-‐ Van Leemputten, P. , “Facebook bant valse namen”, ZDNet, 25 september 2008,
http://www.zdnet.be/facebook/91918/facebook-‐bant-‐valse-‐namen/.
-‐ VAN MILTENBURG, O. , “België kiest voor opt-‐out met nieuwe cookieregels”, Tweakers,
2012, http://tweakers.net/nieuws/82709/belgie-‐kiest-‐voor-‐opt-‐out-‐met-‐nieuwe-‐
cookieregels.html.
-‐ VERROKEN, M. en WESTERLINCK, F. , “Het drukpersmisdrijf: update door het Hof van
Cassatie”, LexGo, 2013,
http://www.lexgo.be/nl/artikels/2013/09/Het%20drukpersmisdrijf%3A%20Update%
20door%20het%20Hof%20van%20Cassatie,82163.html .
-‐ VINGERLING, B. , “Social media gebruikers statistieken maart 2013”, Afix Internetbureau,
17 april 2013, http://www.afix.nl/blog/2013/04/statistieken-‐gebruikers-‐facebook-‐
twitter-‐en-‐linkedin-‐maart-‐2013/ .
-‐ VYNCKE, S. , “Het voorstel voor een Europese Privacy Verordening doorgelicht”, Sirius
Legal, 6 februari 2012, http://siriuslegal.wordpress.com/2012/02/06/het-‐voorstel-‐
voor-‐een-‐europese-‐privacy-‐verordening-‐doorgelicht/.
-‐ WIERTZ, E. , “De nieuwe Europese regels rond gegevensbescherming: toelichting bij het
voorstel van de Europese Commissie”, CBPL 31 januari 2012,
http://www.privacycommission.be/nl/nieuws/de-‐nieuwe-‐europese-‐regels-‐rond-‐
gegevensbescherming-‐toelichting-‐bij-‐het-‐voorstel-‐van-‐de.
Bibliografie
124
-‐ WILLIAMS, P. EN POPKIN, H.A.S. , “Supreme Court won't review Facebook's notorious
'Beacon' case”, NBC News, 4 november 2013,
-‐ http://www.nbcnews.com/technology/supreme-‐court-‐wont-‐review-‐facebooks-‐
notorious-‐beacon-‐case-‐8C11522153.
-‐ WINDER, D. , “Facebook Graph Search: don’t panic”, PCPRO, 2013,
http://www.pcpro.co.uk/realworld/385276/facebook-‐graph-‐search-‐dont-‐panic .
-‐ WOUTERS, E. , “Beledigingen op Facebook zijn privé”, EMSOC, 2013,
http://emsoc.be/4864-‐beledigingen-‐op-‐facebook-‐zijn-‐prive/#_ftn2 .
-‐ WOUTERS, E. , "Mensenrechten en sociale media', EMSOC, 18 april 2012;
http://www.emsoc.be/3298-‐mensenrechten-‐en-‐sociale-‐media/.
-‐ X., “Beleid voor namen”, Facebook, laatst geraadpleegd op 15 december 2013,
https://www.facebook.com/help/249092175207621.
-‐ X., “Beleid inzake gegevensgebruik – Andere gegevens die we over jou hebben
ontvangen”, Facebook, november 2013,
https://www.facebook.com/about/privacy/your-‐info .
-‐ X., “Beleid inzake gegevensgebruik – Openbare gegevens”, Facebook, november 2013,
https://www.facebook.com/about/privacy/your-‐info .
-‐ X., “Bescherming van de persoonlijke levenssfeer in de sector van de elektronische
communicatie”, laatst geraadpleegd op 15 december 2013,
http://europa.eu/legislation_summaries/information_society/legislative_framework/l2
4120_nl.htm#amendingact.
-‐ X., “Dag van de gegevensbescherming: waarborging van het recht op privacy”, Press
releases database, Europese Commissie, 2011, http://europa.eu/rapid/press-‐release_IP-‐
11-‐102_nl.htm.
-‐ X., “De nieuwe Europese regels rond gegevensbescherming: toelichting bij het voorstel
van de Europese Commissie”, Commissie voor bescherming van de persoonlijke
levenssfeer, 31 januari 2012, http://www.privacycommission.be/nl/nieuws/de-‐nieuwe-‐
europese-‐regels-‐rond-‐gegevensbescherming-‐toelichting-‐bij-‐het-‐voorstel-‐van-‐de.
-‐ X., “European data protection group faults Facebook for privacy setting change”, EC Press
Release, Brussel, 12 mei 2010, 1,
http://ec.europa.eu/justice/policies/privacy/news/docs/pr_12_05_10_en.pdf.
Bibliografie
125
-‐ X., “Info over gesponsorde verslagen”, Facebook Help, laatst geraadpleegd op 15
december 2013, https://www.facebook.com/help/sponsored-‐stories .
-‐ X., “Ontslag na negatieve uitlatingen Blokker-‐medewerker op Facebook”, Aantjes
Advocaten, 2012, http://www.aantjesadvocaten.nl/index.php/blog/49-‐social-‐
media/156-‐ontslag-‐na-‐negatieve-‐uitlatingen-‐blokker-‐medewerker-‐op-‐
facebook#sthash.AC1XyoZX.dpuf .
-‐ X., http://ec.europa.eu/justice/data-‐protection/article-‐29/press-‐material/press-‐
release/art29_press_material/20131008_pr_oct_plenary_en.pdf.
-‐ X., "Privacywaakhonden stellen onjuiste eisen aan cookies", Thuiswinkel Waarborg,
2013, www.thuiswinkel.org/cms/showpage.aspx?id=12795 .
-‐ X., “Raad van Europa”, Diplomatie België, laatst geraadpleegd op 15 december 2013,
http://diplomatie.belgium.be/nl/Beleid/beleidsthemas/
mensenrechten/belangrijkste_instellingen/raad_van_europa/ .
-‐ X., “Safer Social Networking Principles fot he EU”, 2009, http://ec.europa.eu/digital-‐
agenda/sites/digital-‐agenda/files/sn_principles.pdf.
-‐ X., “Samenvattingen van de EU wetgeving”, laatst geraadpleegd op 15 december 2013,
http://europa.eu/legislation_summaries/
information_society/legislative_framework/l24120_nl.htm.
-‐ X., “Social Media Geschiedenis – Hoe is het begonnen”, Social Media Blog, laatst
geraadpleegd op 15 december 2013, http://socialmediablog.nl/social-‐media-‐
geschiedenis/.
-‐ X., “Special Eurobarometer 359/Wave 74.3”, TNS Opinion & Social, 2011, 7,
http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.
-‐ X., “Toepasselijkheid van de Europese Privacyrichtlijn”,
Commissie voor de bescherming van de persoonlijke levenssfeer, laatst geraadpleegd op
15 december 2013, http://www.pr.ivacycommission.be/nl/toepasselijkheid-‐van-‐de-‐
europese-‐privacyrichtlijn .
-‐ X., “Verklaring van rechten en verantwoordelijkheden”, Facebook, laatst geraadpleegd
op 15 december 2013, https://www.facebook.com/legal/terms.
-‐ X., “Wat betekenen de nieuwe gegevensbeschermingsregels voor sociale
netwerken?”, Europese Commissie, 2012, http://ec.europa.eu/justice/data-‐
protection/document/review2012/factsheets/3_nl.pdf.
Bibliografie
126
-‐ X., “Wat is een cookie, hoe werken ze?”, Cookie Demo Site, Cookies FAQ, laatst
geraadpleegd op 15 december 2013, http://cookiedemosite.eu/about_nl.html .
-‐ X., “Wat is een gegevensverwerking”, Commissie voor de bescherming van de
persoonlijke levenssfeer, laatst geraadpleegd op 15 december 2013,
http://www.privacycommission.be/nl/wat-‐is-‐een-‐gegevensverwerking .
-‐ X.,“Wat zijn persoonsgegevens”, Commissie voor de bescherming van de
persoonlijke levenssfeer, 2013, http://www.privacycommission.be/nl/wat-‐zijn-‐
persoonsgegevens .
-‐ X., “Welke soorten van cookies vallen onder de cookiewet?”, European Institute for
Privacy Protection, laatst geraadpleegd op 15 december 2013,
http://cookiemanager.eu/nl/faq/welke-‐cookies-‐vallen-‐onder-‐cookiewet/# .
-‐ X., “Werkgroep Artikel 29 voor de bescherming van persoonsgegevens”,
Commissie voor de bescherming van de persoonlijke levenssfeer, laatst geraadpleegd op
15 december 2013, http://www.privacycommission.be/nl/groep-‐29.
-‐ X., “What happened to Facebook?”, Rixtip, laatst geraadpleegd op 15 december 2013,
http://rixstep.com/2/1/20100505,00.shtml .
-‐ X., “What is a Class Action Lawsuit”, Wisegeek, laatst geraadpleegd op 15 december
2013, http://www.wisegeek.org/what-‐is-‐a-‐class-‐action-‐lawsuit.htm .
Bijlage
127
BIJLAGE
Bijlage
128
BIJLAGE 1
Bijlage
129
BIJLAGE 2
Bijlage
130
Bijlage
131
Bijlage
132
Bijlage
133
Bijlage
134
Bijlage
135
Bijlage
136
Bijlage
137
Bijlage
138
Bijlage
139
Bijlage
140
Bijlage
141
Bijlage
142
BIJLAGE 3
Bijlage
143
BIJLAGE 4
Bijlage
144
Bijlage
145
Bijlage
146
Bijlage
147
Bijlage
148
Bijlage
149
150