Meer dan een jaar geleden heb ik een blogpost geschreven over twee bedrijven die veel gebruikt worden voor het monitoren van sociale media. Daarin heb ik beschreven dat het gebrek aan transparantie een probleem is. Ik wil meer schrijven over het monitoren van mensen op het internet, maar mede vanwege het gebrek aan transparantie heeft het zo lang geduurt om met een update te komen. Hieronder wil ik het hebben over OBI4wan (tegenwoordig Spotler Engage), de Belgische en Nederlandse Politie.
Aan wie verstrekt Spotler Engage?
In vorige blogpost heb ik geconcludeert dat Spotler Engage mij weigerde te informeren over de ontvangers van mijn persoonsgegevens. Sjoerd Hartholt heeft ook een artikel geschreven over dit onderwerp waarin ook wordt benoemd dat betrokkenen moeten worden geïnformeerd hierover:
Volgens de AP moeten organisaties bij monitoring van sociale media betrokkenen daarover duidelijk informeren. Dat gebeurt nu in de gebruikersovereenkomst van X (Twitter), maar “Bij monitoring van sociale media zijn soms andere organisaties betrokken dan alleen het platform. Deze andere organisaties zijn vaak bij betrokkenen niet bekend. Juist daarom is het noodzakelijk dat er goed wordt geïnformeerd richting betrokkenen, onder andere omdat een betrokkene niet zelf weet wie er verwerkt en dus ook niet weet op welke website die zou moeten kijken.”
Een bedrijf dat tweets verzamelt voor monitoring van sociale media mag volgens de woordvoerder niet weigeren om een betrokken persoon weigeren te vertellen wie gebruik maken van de dienst. “Bedrijven moeten de betrokkenen laten weten dat ze gebruikmaken van deze monitoring.”
Meer dan tien maanden na mijn inzageverzoek en pas nadat de AP zich hier direct over uitgesproken heeft, heeft de FG/CISO van Spotler Engage mij inzage gegeven in de ontvangers van mijn persoonsgegevens die ze van X hebben verzameld. Spotler Engage heeft mij een lijst gegeven van 104 organisaties aan wie ze mijn persoonsgegevens hebben verstrekt. Dit zijn vermoedelijk allemaal klanten van Spotler Engage die ofwel direct mijn gegevens hebben opgevraagd of die informatie willen verzamelen over mensen die bepaalde woorden gebruiken die voor die organisaties interessant zijn. Ik zou er graag over schrijven over wie dat zoal zijn, maar de FG/CISO van Spotler Engage heeft mij uitgelegd waarom ik met niemand zou mogen delen wie mijn persoonsgegevens hebben ontvangen:
De gegevens zijn aan u verstrekt in het kader van de AVG, in het bijzonder de rechten die u als betrokkene in dat verband heeft. De gegevens dienen dan ook alleen in het kader van die rechten (van betrokkene) worden gebruikt. Anders zou er immers sprake zijn van misbruik van recht. Bovendien is de Wet bescherming bedrijfsgeheimen op de verstrekte gegevens van toepassing zodat het gebruik of openbaarmaking buiten het strikte kader van de rechten van een betrokkene als onrechtmatig zal worden aangemerkt.
Ik lees hier een verkapt dreigement in waarbij Spotler Engage eventuele schade op mij kan verhalen als ik aan anderen bekend maak wie mijn persoonsgegevens verwerken. Ik ga niet proberen om uit te leggen waarom ik denk dat dit onzin is. Omdat ik toch minimaal één ontvanger noem aan wie Spotler Engage mijn persoonsgegevens heeft verstrekt heb ik deze blogpost voor publicatie aan Spotler Engage voorgelegd. De reactie van Spotler Engage is:
Dank u dat u ons de mogelijkheid heeft gegeven om u publicatie intern te bespreken en om te overleggen met onze juridische adviseur.
Spotler doet niet anders dan berichten van social media verzamelen en daarin bevinden zich ook persoonsgegevens. Ook uw naam komt daarin voor maar dat komt doordat u zelf die berichten op social media heeft geplaatst. Ons doel is niet persoonsgegevens verzamelen maar publiekelijk beschikbare informatie van social media halen ten behoeve van onze klanten.
Wij zijn echter gevoelig voor uw beroep op transparantie. Spotler heeft de gegevens verstrekt waarom u gevraagd heeft en is daarin ook transparant geweest. Ik het kader van deze transparantie zullen wij geen bezwaar maken tegen de publicatie, maar wij blijven wel van mening dat u hiermee oneigenlijk gebruik maakt van het inzagerecht onder de AVG.
Het is al vervelend genoeg om onder juridische dreiging terughoudend te moeten zijn met het schrijven over wie mijn persoonsgegevens verwerkt en of daarbij de wettelijke transparantie-eisen worden nageleefd. Dat heb ik opgelost door Spotler mijn publicatie ter inzage te geven en expliciet te verzoeken of ze naar de rechter willen stappen onder artikel 5 van de Wet bescherming bedrijfsgeheimen als ze mijn publicatie tegen willen houden, of door aan te geven op wat voor manier ik rekening kan houden met het belang van Spotler door een inhoudelijke aanpassing te doen. Maar dit zou eigenlijk helemaal niet moeten gebeuren. De AVG heeft beperkte ruimte om transparantie te beperken waar het een conflict kan veroorzaken met het bedrijfsgeheim, maar de AP heeft hier duidelijk gemaakt dat daar geen sprake van is als het gaat om de identiteit van verwerkingsverantwoordelijken.
Federale Politie Belgie
De Belgische Federale Politie gebruikt Spotler Engage om sociale media te monitoren. Dat heeft de FG van de Federale Politie aan mij aangegeven zonder mij geheimhouding op te leggen. Dit hoofdstuk is volledig gebaseerd op wat de Federale Politie mij heeft verteld. Spotler Engage heette op dit moment nog OBI4wan.
De Directie van de communicatie (CGC) gebruikt de tool Obi4wan om alle berichten die binnenlopen op onze corporate social media accounts te groeperen en te beantwoorden en om aan de hand van trefwoorden aan het zogeheten social listening te doen. Daarbij gaan ze alle open bronnen consulteren om te kijken wat er over onze organisatie gezegd wordt zoals zovele organisaties dat doen om onze e-reputatie te optimaliseren en hierop eventueel te kunnen inspelen in onze communicatie.
Dit schrijft de FG van de Federale Politie als antwoord op mijn inzageverzoek. Inzage krijg ik niet omdat de Federale Politie mijn persoonsgegevens niet kan terugvinden. Ik moet volgens de FG maar bewijzen dat de Federale Politie mijn persoonsgegevens wel verwerkt. Dat gaat lastig gaat omdat de verzameling heimelijk is omdat ik er niet over ben geïnformeerd en de Federale Politie zelfs niet in haar privacy statement uitlegt dat deze verwerking bestaat. Mijn verzoek lijkt voor mij vrij definitief afgesloten met de mededeling ‘CGC verzekert jou dat wij niets te verbergen hebben en dus ook niet in zie op welk vlak wij ons zouden moeten verantwoorden.’. Ik besluit een klacht in te dienen bij het Controleorgaan. In België is dit de speciale privacy-toezichthouder voor de Politie. Deze toezichthouder lijkt niet gewend te zijn om klachten van een betrokkene te ontvangen, maar grijpt uiteindelijk redelijk snel informeel in waarop de Federale Politie haar privacy statement aanpast. Daarin staat nu het volgende over de verwerking:
Daarnaast verzamelen en verwerken we publiekelijk beschikbare informatie uit marketing en communicatiedoeleinden. Via een monitoring tool trachten wij door middel van zoekopdrachten en webcrawling informatie over onze organisatie te verkrijgen om op die manier onze e-reputatie te kunnen beoordelen en hierop in te spelen.
Publieke beschikbare informatie, is informatie die niet direct van de betrokkene is verkregen maar door de betrokkene uitdrukkelijk openbaar is gemaakt op het Internet door deze te publiceren op openbare websites, internet fora en sociale media platformen. Deze publiekelijk beschikbare informatie kan de persoonsgegevens bevatten zoals naam, gebruikersnaam, avatar, …
Maar bevat de nieuwe uitleg de informatie die aan betrokkenen verstrekt moet worden onder artikel 14 AVG?
| Artikel | Omschrijving | Voldoende |
|---|---|---|
| 14(1)(a) | Identiteit verantwoordelijke | Ja |
| 14(1)(b) | Contactgegevens FG | Ja |
| 14(1)(c) | Doel en grondslag | Doel wel, maar geen grondslag |
| 14(1)(d) | Categorien persoonsgegevens | Ja |
| 14(1)(e) | Ontvangers | Nee, Spotler Engage ontvangt persoonsgegevens over het gebruik. Bijvoorbeeld naar wie er gezocht wordt. |
| 14(1)(f) | Doorgifte | Nee, Spotler Engage maakt gebruik van hosting partijen waar niet-Europese wetgeving op van toepassing is. |
| 14(2)(a) | Bewaartermijn | Nee |
| 14(2)(b) | Gerechtvaardigd belang | Onduidelijk omdat er niet wordt geïnformeerd over de grondslag. |
| 14(2)(c) | Rechten van betrokkenen | Ja |
| 14(2)(d) | Toestemming intrekken | Niet van toepassing |
| 14(2)(e) | Klacht bij de toezichthouder | Nee |
| 14(2)(f) | Bron van persoonsgegevens | Nee, Spotler Engage wordt niet genoemd. |
| 14(2)(g) | Geautomatiseerde besluitvorming | Ik heb niet gezien dat dat van toepassing is. |
Als de Federale Politie gebruik wil maken van uitzondering 14(5)(b) AVG om betrokkenen niet proactief te hoeven benaderen om ze te informeren over deze verwerking moet deze informatie publiek beschikbaar gemaakt worden. Het is niet aannemelijk dat de Federale Politie een andere uitzonderingsgrond gebruikt om betrokkenen niet direct te informeren omdat de FG schrijft: ‘Ik hoop dat u inziet dat het niet werkbaar is voor ons om bij elke zoekopdracht alle betrokken profielen op de hoogte te brengen dat wij hun openbare berichten hebben doorgekregen en al dan niet hebben geconsulteerd.’.
Nationale Politie Nederland
Ook in Nederland houdt de politie sociale media in de gaten. In plaats van een inzageverzoek in te dienen heb ik de Nationale politie gevraagd waarom ik niet onder artikel 14 AVG geïnformeerd ben over de verwerking en als de politie dat niet doet omdat dat teveel werk zou zijn (uitzondering onder 14(5)(g) AVG), waar ik de informatie over de verwerking kan vinden. Het privacy statement van de politie bevat namelijk geen informatie over de verwerking.
Bij de Nationale politie heeft het ruim 7 maanden gekost om antwoord te krijgen op mijn vragen en dit proces verliep niet helemaal vlekkeloos. Tijdens de afhandeling van mijn verzoek ben ik gebeld door de politie met de mededeling dat de politie voor de afhandeling van mijn verzoekeen volledig archief van al mijn persoonsgegevens bij hun leverancier hebben gedownload en dat er een datalek(je) is geregistreerd omdat mijn verzoek aan een persoon is verstrekt die daar geen toegang toe zou mogen hebben. Dat zijn relatief kleine incidenten en voor mij was het voornamelijk erg fijn om er netjes over geïnformeerd te worden. Eigenlijk was dat in lijn met hoe de rest van de afhandeling is verlopen: niet zonder problemen, maar heel open over inhoudelijke en procesmatige problemen. Ondanks de problemen ben ik eigenlijk best positief over de afhandeling van mijn vraag. Het uiteindelijke antwoord viel echter wel een beetje tegen.
Om te beginnen kreeg ik het verzoek om voorzichtigheid te betrachten bij het benoemen waar de Nationale politie de gegevens inkoopt. Dit is vanwege veiligheidsoverwegingen ik heb besloten om daar ook voorzichtig mee om te gaan. Wel heb ik de politie gevraagd om uit te leggen waarom het nuttig en noodzakelijk is dat ik help geheim te houden waar de politie deze gegevens vandaan haalt als de politie tegelijkertijd verplicht is om deze informatie te publiceren. De reactie van de politie is dat er benadrukt wordt dat het niet bedoeld is om mij te beletten om te schrijven over sociale media monitoring of het noemen van de naam van de leverancier. Ook legt de medewerker uit intern te zullen adviseren om aandacht te besteden aan transparantie over de bronnen en ontvangers van persoonsgegevens. Maar er kan geen termijn gegeven worden waarbinnen de privacy statement aangepast zal worden.
Dat de verwerking niet aan de transparantie-verplichtingen onder artikel 14 voldoet is wel duidelijk. Een gedetailleerde controle zoals hierboven is echter niet mogelijk omdat de politie op dit moment nog niet transparant is over de verwerking en ook niet expliciet aangeeft op alle punten te zullen voldoen. Wachten tot de privacy statement is aangepast is onredelijk omdat er ook geen termijn wordt gegeven waarop ik een aanpassing kan verwachten.
Op dit moment is mijn conclusie dat ik ervoor kies om de veiligheidswens van de politie te respecteren, ondanks de verplichting voor de politie zelf om er wel transparant over te zijn. Ik hoop dat de politie in hun eigen update voor het privacy statement er niet voor kiest om hun eigen voorkeur het te laten winnen van de wettelijke transparantieverplichting. Op dit moment schiet de transparantie nog duidelijk te kort.