Facebook wordt al aan banden gelegd

Werkgevers, scholen, universiteiten en verzekeraars speuren Facebook af om op ongewenst gedrag te controleren. Er zijn geen nieuwe wetten nodig om dat te verbieden, schrijft Lokke Moerel.

Er is weinig privé meer aan persoonlijke Facebook pagina’s. Werkgevers doorzoeken Facebook van hun sollicitanten, verzekeraars sporen fraude op via sociale media. Scholen en universiteiten monitoren het gedrag van hun scholieren en studenten, onder het mom van het bestrijden van online pesten. Maar ze doen veel meer. Zo deelde Oxford University boetes uit aan studenten wegens overtreding van de gedragsregels tijdens examenfeesten, op grond van op Facebook aangetroffen foto’s van de festiviteiten. Het droge commentaar van de universiteit was: „De perceptie is dat deze site privé is. Maar dat is het niet en iedereen in de moderne wereld moet zich aanpassen.”

Ook journalisten struinen Facebook af voor hun berichtgeving. Schrijnende voorbeelden zijn de publicatie van Facebookfoto’s van personen die overleden bij het drama tijdens de Love Parade in Duisburg, Duitsland (2010) en van de jonge Belgische slachtoffers van het busongeluk in Sierre, Zwitserland. De Nederlandse privacywaakhond, het College Bescherming Persoonsgegevens (CBP) lijkt hier niets verkeerds in te zien. Het verbod om op internet geplaatste gegevens te verwerken, vervalt volgens het CPB als een volwassene op de eigen homepage of weblog met opzet en onder eigen naam gevoelige informatie over zichzelf publiceert, zoals verslagen van medische perikelen.

De directeur van Facebook Benelux, Arno Lubrun, zei gisteren in deze krant dat Facebook een semipublieke omgeving is waar de wetgever nog niet over heeft nagedacht en dat het bedrijf daarom vier lobbyisten in Brussel heeft.

Blijkbaar acht hij nieuwe wettelijke maatregelen nodig. Is dat inderdaad zo? Volgens Facebook beschermt de privacywetgeving alleen burgers van wie de gegevens door bedrijven en de overheid zijn verwerkt. Maar bij sociale media geven de burgers zelf hun persoonsgegevens prijs. Daarom zouden de privacyregels niet op Facebook van toepassing zijn. Dit is niet terecht. De Europese privacywaakhond heeft met dit standpunt van Facebook korte metten gemaakt. Deze oordeelde dat de Europese privacyregels wel degelijk van toepassing zijn op sociale media. Bovendien oordeelde ze dat de standaard privacy instelling van Facebook dient te staan op ‘alleen delen met vrienden’ en niet op ‘delen met iedereen op Facebook’. Facebook kreeg een aanmaningsbrief, waarna de instellingen zijn aangepast.

Ook in de Verenigde Staten is Facebook op de vingers getikt omdat het zich volgens de Federal Trade Commission niet hield aan de eigen privacybeloftes. Facebook trof een schikking, op basis waarvan Facebook de komende twintig jaar verplicht is zich jaarlijks door een onafhankelijke partij te laten auditen en vooraf toestemming moet vragen van gebruikers voordat zij maar iets wijzigt in de privacy settings. Vandaar dat de directeur van Facebook gisteren zo open was over de gevolgen voor de privacy van de nieuwe zoekmachine Graph Search waarmee persoonlijke informatie beter vindbaar is. Facebook houdt niet uit menslievendheid een privacycampagne maar wil nieuwe klachten voorkomen.

Ook op andere fronten is er een tegenbeweging die getuigt van het ongemak dat wordt gevoeld bij het gebruiken van informatie op persoonlijke Facebookpagina's voor andere doeleinden. Verschillende Amerikaanse wetten verbieden inmiddels scholen, universiteiten en werkgevers om aan hun leerlingen, studenten of werknemers afgifte te vragen van de wachtwoorden van hun sociale media accounts.

Ook voor de Nederlandse media komen er nieuwe gedragsregels. Naar aanleiding van de publicatie van op Facebook aangetroffen foto’s van de Belgische slachtoffers van het busongeluk vaardigde de Belgische Raad voor de Journalistiek de richtlijn uit dat journalisten bij nieuwsfeiten geen informatie of beeldmateriaal dienen te publiceren dat in een totaal andere context op het net werd geplaatst dan die van het gebrachte nieuws. Tot eenzelfde oordeel kwam de Nederlandse Raad voor de Journalistiek naar aanleiding van publicatie van foto’s van onder meer het jongetje Ruben als enig overlevende van de vliegramp in Tripoli. De Raad oordeelde dat de betreffende beelden kennelijk vrijelijk te vinden waren op Hyves, maar dat de betrokken personen hierdoor nog geen ‘bekende Nederlander’ zijn geworden, zodat de journalist terughoudend moet zijn met het zonder toestemming publiceren daarvan in een ander medium en voor een ander doel.

Deze uitspraak komt neer op wat we noemen ‘relationele privacy’ of ‘contextuele privacy’: iets dat is gepubliceerd in de ene context (op bijvoorbeeld een website zoals Hyves) is nog niet publiek in een andere context. Dat wordt in de rechtliteratuur van groot belang geacht, omdat je identiteit nu eenmaal wordt bepaald door de context waarin je je beweegt. Met andere woorden: je mag je anders gedragen (en zo een eigen identiteit creëren) onder je vrienden, je voetbalclub, je jaarclub. Ging dat in de offline wereld min of meer vanzelf, dit is lastig in de online wereld waar als je niet oplet alles door Google kan worden gevonden. Privacy is niet alleen een fundamenteel recht maar ook een fundamentele vrijheid, het recht om in vrijheid je persoonlijkheid in verschillende omgevingen te ontwikkelen.

Onlangs is ook de Sollicitatiecode van de Vereniging voor Personeelsmanagement & Organisatieontwikkeling aangepast. Nu hebben werkgevers de toestemming van sollicitanten nodig om hun persoonlijke pagina’s te controleren. En vindt de werkgever iets, dan moet hij de sollicitant informeren met bronvermelding en moet hij de sollicitant gelegenheid geven hierop te reageren.

Het verleden laat zien dat telkens wanneer nieuwe technologie wordt ingevoerd, de roep om nieuwe wetgeving ontstaat. De oude wet zou niet meer toereikend zijn. Uit de opinie van de Europese waakhond blijkt dat het bestaande recht op bescherming van persoonsgegevens flexibel genoeg is om toe te passen op sociale media. De ervaring leert wel dat bij introductie van nieuwe technologie, de samenleving even tijd nodig heeft zich daarop aan te passen. Gevolg is dat op dit moment nog de technologie bepaalt wat mogelijk is op het internet in plaats van sociale normen, en dat dit tot onacceptabele gevolgen leidt.

Een sprekend voorbeeld is de privacy in bibliotheken. Democratische samenlevingen zorgen er traditioneel voor dat bibliotheken mensen de vrijheid geven om onbespied informatie op te zoeken over onderwerpen als politiek en religie. Het zoekgedrag via Google levert net als het opvragen van boeken in een bibliotheek een indringend beeld van iemand op. Google searches worden echter tot in detail opgeslagen en moet op verzoek van opsporingsautoriteiten ook door Google worden afgegeven.

Nog indringender is dat bezoekers die websites zoals Dictionairy.com raadplegen, trackers van adverteerders krijgen, die het clickgedrag nauwkeurig vastleggen. Hier zouden normen voor het zoeken op internet vergelijkbaar moeten zijn aan die voor bibliotheken, hetgeen meebrengt dat zoekgedrag niet zou moeten worden bewaard en ook niet door de overheid zou moeten kunnen worden opgevraagd. De zelfde vraagtekens kunnen worden geplaatst bij het recente voorstel van Opstelten dat de politie moet kunnen inbreken op computers van burgers om daar software te installeren waarmee het zoekgedrag kan worden afgetapt. Dat door nieuwe technieken mogelijkheden ontstaan, betekent nog niet dat je ze ook moet willen. De bestaande Europese en Nederlandse privacy regels bieden daarbij een voldoende flexibel beoordelingskader om uitwassen te voorkomen.

Lokke Moerel, Partner ICT De Brauw Blackstone Westbroek en hoogleraar Global ICT Law aan de universiteit van Tilburg.