Op sociale media zijn er allerlei partijen die meelezen. Dat is precies waar het voor bedoeld is. Maar wie er meelezen is vaak niet zichtbaar en dat levert soms onzekerheid en discussie op. Zo volgt de NCTV volgens de NRC verschillende mensen op Twitter. Maar ook overheidsinstellingen die niet direct aan het werk van inlichtingendiensten en Politie raken lezen mee blijkt uit een rapportage van AG Connect en Trouw.

Vanuit een AVG-perspectief is de maatschappelijke discussie erg ongemakkelijk. Een belangrijk uitgangspunt van de AVG is dat iedereen in principe kan weten wie hun persoonsgegevens verwerken en waarom. Bijvoorbeeld omdat het in de wet staat dat het gebeurt of omdat je zelfs de persoonsgegevens hebt afgegeven of omdat organisaties actief informeren over de persoonsgegevens die verzameld worden. Toch zou ik niet zo makkelijk kunnen vertellen welke organisaties bijvoorbeeld mijn Twitter-berichten verwerken. Ik grap wel eens dat de Politie mij stelselmatig volgt op Twitter. THTC is niet sneaky

Daarnaast kan ik mij voorstellen dat als ik verdacht wordt van strafbare feiten dat de Politie mij echt kan gaan volgen, of als men verwacht dat ik met hele gevaarlijke dingen bezig ben dat de AIVD misschien interesse toont. Daarnaast zijn er organisaties en medewerkers van organisaties die mij openlijk volgen omdat ik hopelijk wel eens dingen zeg die relevant/interessant voor ze zijn. Dan zijn er de organisaties die ik zelf actief benaderd heb via bijvoorbeeld hun webcare. Maar daarna houdt het een beetje op met vanzelfsprekende voorbeelden. Dus ik heb het maar geprobeerd om uit te zoeken en dit is wat ik heb gevonden.

Bevindingen

dataflow

De AVG heeft een aantal mechanismen waardoor betrokkenen moeten kunnen volgen wie hun persoonsgegevens verwerken. Om te beginnen verplicht artikel 14 verantwoordelijken om pro-actief betrokkenen te informeren als ze persoonsgegevens verzamelen die ze niet direct van de betrokkene zelf hebben gekregen. Daar gaat het al gelijk fout; niemand heeft mij ooit zo’n notificatie gestuurd m.b.t. mijn Twitter-data. Of eigenlijk weet ik nog niet of dat fout is voordat ik met dit onderzoekje ben begonnen. Misschien verwerkt geen enkele verantwoordelijke mijn Twitter-berichten. Bovenstaande afbeelding verraad al dat mijn vermoeden juist was en dit is hoe ik verder ben gaan graven.

OBI4wan (nu Spotler Engage)

OBI4wan is een Nederlands bedrijf dat allerlei websites en sociale media in de gaten houdt voor hun klanten. Ik kende ze niet goed en heb ze op de gok benaderd. Artikel 15 van de AVG geeft mij niet alleen het recht om te vragen of ze mijn persoonsgegevens verwerken en om daar een kopie van te mogen inzien, maar het geeft mij ook het recht om te vragen waar ze mijn persoonsgegevens vandaan hebben en aan wie ze die gegevens verstrekt hebben. En welke klanten ze mijn persoonsgegevens aan verkocht hebben is precies wat ik wil weten. Op 10 december 2022 stuur ik het verzoek aan OBI4wan en twee dagen later krijg ik een antwoord van de CISO en FG van OBI4wan. Hij stelt voor om een videobel-afspraak te maken waar ik mijn identiteitsbewijs kan tonen en legt uit dat OBI4wan voor sommige gegevens verwerker is en voor sommige verantwoordelijke en dat OBI4wan alleen inzage kan geven in de persoonsgegevens waar ze zelf verantwoordelijke voor zijn. De klanten waarvoor OBI4wan verwerker is leveren zelf de persoonsgegevens aan en ik ben toch specifiek geïnteresseerd in de gegevens die OBI4wan van publieke bronnen ophaalt dus dat is voor mij geen enkel probleem. Op 14 december heb ik een kort videogesprek met de CISO/FG.

In het gesprek toon ik mijn identiteitsbewijs. Hoewel ik dat normaalgesproken niet zo’n goed idee vindt bij een inzageverzoek, het het tonen in plaats van het toezenden van een kopie wel positief. Het is nergens voor nodig om een kopie te maken die nog kan rondslingeren. Ook krijg ik de opmerking dat ik bij Privacy Company werk en de vraag in welk kader ik het inzageverzoek doe. De CISO/FG heeft ter voorbereiding van mijn verzoek namelijk aanvullende informatie over mij lopen verzamelen. Daar ben ik zeer verbaasd over en als ik vraag naar het doel geeft de CISO/FG aan dat hij informatie verzamelde om mijn identiteit vast te kunnen stellen. Ik merk dat we er in het korte videogesprek niet uit gaan komen dus ik merk op dat ik verwacht dat die verzameling van mijn persoonsgegevens ook betrokken wordt in de beantwoording van mijn inzageverzoek. Daar krijg ik een weinig concrete reactie op. Als belangrijkste punt geef ik aan dat ik specifiek ook op zoek ben naar de ontvangers van mijn persoonsgegevens. De CISO/FG geeft aan dat hij geen gegevens over zijn klanten kan verstrekken omdat dat bedrijfsvertrouwelijke informatie is. Ik leg uit dat ik niet geïnteresseerd ben in alle klanten, maar slechts in de ontvangers van mijn persoonsgegevens. Ik bied aan dat ik een link naar jurisprudentie kan nasturen over de verplichting om dat te verstrekken en de CISO/FG geeft aan daar al mee bekend te zijn. We besluiten het antwoord op mij inzageverzoek af te wachten.

Op 23 december krijg ik een versleutelde zip met de afgelopen 3 jaar aan Twitter-berichten van mij, inclusief berichten die al verwijderd zijn. Op de vraag wie de ontvangers zijn van mijn persoonsgegevens krijg ik het volgende antwoord:

OBI4wan maakt zelf geen gebruik van uw gegevens, anders dan deze elektronisch aan te bieden in haar producten OBI Brand Monitor en OBI Engage. Beide zijn SaaS-applicaties voor respectievelijk Media Monitoring en Webcare.

De afnemers van deze applicaties bestaat uit o.a.: Bedrijven, instellingen, stichtingen overheden en semioverheden. Voor het gebruik door overheden vraagt OBI4wan vooraf toestemming aan Twitter op basis van de use-case.

OBI4wan wil dus niet de uitleg over het weigeren vanwege de bedrijfsvertrouwelijkheid op schrift zetten. En de gegevensverzameling over mijn werkgever en het vragen naar de reden van mijn inzageverzoek wordt niet genoemd.

Naar aanleiding van de de uitleg van OBI4wan stel ik een aantal verduidelijkende vragen, waaronder waarom ik nooit een artikel 14 notificatie van OBI4wan heb ontvangen. Tot op de dag van publiceren heeft de CISO/FG daar niet op gereageerd.

OBI4wan weigert dus informatie te verstrekken over de ontvangers van mijn persoonsgegevens en informeert zelf de betrokkenen niet over hun eigen gegevensverwerkingen. Vlak de laatste reactie van de CISO/FG van OBI4wan is er nog een glasheldere uitspraak gedaan waaruit blijkt dat niet zo geweigerd mag worden om de ontvangers van persoonsgegevens te noemen bij een inzageverzoek.

Coosto

Op 17 oktober 2022 dien ik een inzageverzoek bij Coosto en de ervaring is compleet anders dan bij OBI4wan. Ik krijg na twee dagen een reactie van de FG. Coosto blijkt hun dienstverlening anders te hebben gestructureerd. In ieder geval voor de dienstverlening waar mijn inzageverzoek op ziet is Coosto een verwerker. Dat betekent in dit geval dat Coosto niet zelf een grote database met gegevens verzameld en daar voor verschillende klanten hun diensten op baseert. Coosto heeft drie klanten die Coosto de opdracht hebben gegeven om mijn persoonsgegevens te verwerken. Maar Coosto zat met een dilemma:

Als verwerker kan Coosto mijn inzageverzoek niet beantwoorden, dat moeten de klanten van Coosto doen. Bovendien heeft Coosto een contract met hun klanten waardoor ze niet mogen vertellen wie hun klanten zijn. Aan de andere kant zit Coosto met drie klanten die mij niet hebben geïnformeerd over de verwerking van mijn persoonsgegevens. Een heimelijke verwerking van persoonsgegevens waardoor je betrokkenen de kans ontneemt om hun rechten uit te oefenen is over het algemeen een stevige indicatie van een onrechtmatige verwerking. En Coosto staat het ook niet toe in de contracten met hun klanten om hun diensten te gebruiken voor onrechtmatige verwerkingen:

Je mag de data die beschikbaar is via Coosto niet gebruiken voor doeleinden die niet stroken met de redelijkerwijs te verwachten veiligheids- en privacywaarborgen van Coosto. Het gebruik van Coosto mag personen op geen enkele wijze benadelen in hun fundamentele rechten en vrijheden. Bron

Bovendien heeft Coosto de verplichting als verwerker om hun klanten te informeren als ze de opdracht krijgen om gegevens te verwerken op een onrechtmatige manier (artikel 28 lid 3 van de AVG). Dat is natuurlijk ook geen fijn gesprek voor Coosto en hun klanten.

Op dit punt blijkt Coosto een hele goede FG te hebben en de AP te hebben benaderd om te vragen hoe ze met zo’n inzageverzoek om moeten gaan en van de AP te horen gekregen dat ze maar opnieuw contact moeten opnemen als het probleem zich echt voordoet. Met mijn verzoek doet het probleem zich praktisch voor en klopt de FG weer bij de AP aan en krijgt te horen dat het een maand kan duren voor ze een reactie kunnen geven. Drie maanden na het inzageverzoek heeft de AP nog geen reactie gegeven. Wat ook een zorgelijk signaal is over de FG-helpdesk. Als een FG geen vragen beantwoord kan krijgen ter voorbereiding op toekomstige problemen maar wanneer het probleem zich echt voordoet de uitleg te lang op zich laat wachten om aan mogelijke wettelijke verplichtingen te kunnen voldoen raken verantwoordelijken onnodig in de knel.

Dan is het tijd om naar een oplossing te zoeken waardoor Coosto, zonder hun contracten met hun klanten te verbreken hun klanten kan helpen om aan de transparantie-vereisten van de AVG te voldoen.

De eerste suggestie van Coosto is dat ze mijn verzoek doorzetten naar de betreffende klanten. Dat lijkt mij een slecht idee omdat ik niets kan doen als ik geen reactie krijg. Maar we komen op een (bijdehante) list: Als ik toestemming geef aan Coosto om mijn verzoek door te geven is Coosto verwerkingsverantwoordelijke voor het doorgeven van mijn inzageverzoek. Dan heb ik vervolgens onder precies dezelfde regels het recht om aan Coosto te vragen aan wie ze mijn inzageverzoek hebben doorgegeven. We komen uit op een tweede oplossing: Coosto vraagt (zonder mijn persoonsgegevens door te geven) toestemming aan hun klanten of ze mij mogen vertellen wie de klanten zijn die mijn persoonsgegevens verwerken via Coosto.

Daar is even tijd voor nodig en de eerdere afbeelding verraad het antwoord al: Ziggo, De Nederlandse Bank en de ING.

Dan rest mij nog een vervolgvraag: waarom ben ik niet geïnformeerd over deze verwerkingen? Ik heb daarom deze drie partijen een mail gestuurd met een korte uitleg over de informatie die ik heb en de vraag onder welke van de vier uitzonderingen ik niet ben geïnformeerd over de verwerking. Een multiple-choice vraag waarvoor ze hun huiswerk al voor mijn vraag gedaan zouden moeten hebben. Artikel 14 lid 5 van de AVG zegt dat de pro-actieve informatieplicht niet van toepassing is in alleen de volgende gevallen:

a) de betrokkene reeds over de informatie beschikt;

b) het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie;

c) het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of

d> de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of lidstatelijke recht, waaronder een statutaire geheimhoudingsplicht.

ING

De ING is niet ingegaan op de vraag onder welke uitzondering van artikel 14 ik niet ben geïnformeerd. Wel heeft de ING uitgelegd dat de ING geen expliciete zoekopdrachten uitvoert naar twitternamen of andere namen die niet gerelateerd zijn aan de ING. Maar de ING heeft specifieke verklaring is gegeven waarom ze Coosto de opdracht hebben gegeven om mijn persoonsgegevens te verzamelen. Wel verwijst de ING naar het algemene privacybeleid waarin staat genoemd dat de volgende gegevens worden verwerkt:

Uw interacties met ING op sociale media zoals Facebook, Twitter, Instagram, Google+ en YouTube. Wij volgen openbare berichten, posts, likes en reacties op en over ING op internet.

Het kan zijn dat de ING mijn persoonsgegevens heeft verzameld omdat ik het over de ING heb gehad, maar ik heb in ieder geval geen webcare-interacties met de ING gehad in het jaar waarop Coosto zicht had. Het is mij niet duidelijk dat bovenstaande melding in het privacybeleid voldoende is om aan artikel 14 AVG te voldoen.

Ziggo

Ziggo heeft gereageerd en de FG wilde zelfs bellen voor overleg. Ziggo verzameld persoonsgegvens van Twitter als mensen direct berichten naar Ziggo sturen, maar ook als mensen Ziggo-gerelateerde termen gebruiken. Waarschijnlijk zijn mijn gegevens verzameld omdat ik wel eens mijn mening heb gegeven over een aantal aspecten van de Ziggo-dienstverlening. Het privacybeleid van Ziggo noemt eigenlijk alleen maar het eerste doel: de verwerking om contact met mensen op te nemen voor webcare-doeleinden. Ook worden persoonsgegevens een jaar lang bewaard, lang nadat Ziggo heeft besloten om niet op mijn berichten te reageren. Het is daarom lastig om te beargumenteren dat een uitzondering van artikel 14 op deze verwerking van toepassing is. Ziggo heeft aangegeven in ieder geval te bekijken of de privacystatement verduidelijkt kan worden. Ik heb aangegeven dat als ze daarbij ook de bewaartermijnen willen noemen en die ook nog eens in te korten dat dat een hele mooie verbetering zou zijn en dat het dan een stuk minder redelijk is om nog te verwachten dat betrokkenen direct geinformeerd worden.

De Nederlandse Bank

De Nederlandse bank heeft wel een reactie gegeven. Maar voordat ik een reactie heb mogen ontvangen zag ik de volgende mededeling op Linkedin: DNB op LinkedIn

Op zich niet heel gek dat de PR-afdeling geïnteresseerd is als iemand een kritische vraag stelt over de organisatie. Maar vanuit een privacy perspectief is het heel vreemd. Wanneer een betrokkene een vraag stelt aan het adres van de FG verwacht ik niet dat dat wordt doorgespeeld aan de PR-afdeling en dat een medewerker van die afdeling vervolgens de persoonsgegevens verstrekt aan Microsoft’s sociale netwerk. Ik vraag daarom ook wat het doel was van deze verwerking. De privacyjurist antwoord het volgende:

De betreffende medewerker heeft uw profiel alleen bezocht om te bepalen of een reactie aan u kon worden gericht aan ‘de heer’ of aan ‘mevrouw’ Terra, wat de medewerker gelet op de beschikbare gegevens niet wist. Ik heb gereageerd dat ik heb moeten gniffelen om de situatie en dat ik de uitleg waardeer. Deze (voor mij) vermakelijke kronkel wilde ik niemand onthouden. Het antwoord op mijn eigenlijke vraag was als volgt: Op uw verzoek heeft Coosto u met toestemming van DNB geïnformeerd dat DNB uw persoonsgegevens via Coosto heeft verzameld. U vraagt naar de uitzondering onder artikel 14 AVG waarop DNB zich baseert om u over die verwerking niet pro-actief te informeren. Uw gegevens zijn via Coosto naar voren gekomen bij een onderzoek door DNB naar een algemeen beeld van de positie van DNB onder millennials op social media. Er is in het onderzoek gekeken naar het bereik van uitingen van DNB, niet naar inhoud van berichten. De rapportage van dit onderzoek is niet gearchiveerd en individuele berichten maakten geen deel uit van deze rapportage. Er is geen sprake geweest van een zoekopdracht die expliciet gericht was op uw persoon of uw Twitter-account. Gelet op het aantal betrokkenen en voormelde aard van de verwerking acht DNB het een onevenredige inspanning om alle betrokkenen rechtstreeks over die verwerking te informeren, als bedoeld in art. 14 lid 5 onder b AVG. In zo een geval dient DNB passende maatregelen te nemen, waaronder openbaarmaking van de te verstrekken informatie, zodat deze toch voor betrokkenen kenbaar is. Reeds naar aanleiding van uw verzoek aan Coosto en het daaropvolgende verzoek om toestemming van Coosto aan DNB, heeft DNB geconstateerd dat een dergelijke verwerking niet is opgenomen in haar Privacy Notice. Dit was aanleiding om aanpassing van de Privacy Notice in gang te zetten. Deze aanpassing heeft inmiddels plaatsgevonden. DNB biedt u haar excuses aan voor het feit dat het voor u eerder aan deze kenbaarheid van deze verwerking heeft ontbroken.

Voor zover ik heb kunnen achterhalen heeft DNB niet aan de voorwaarden voldaan om deze uitzondering te kunnen gebruiken. Artikel 89 van de AVG stelt namelijk als voorwaarde dat er als een van de voorgeschreven waarborgen aan dataminimalisatie wordt gedaan. Volgens DNB is het onderzoek niet gearchiveerd, maar toch zijn er voldoende persoonsgegevens bewaard om mij te kunnen vertellen dat mijn persoonsgegevens is dit onderzoek zijn verwerkt. Bovendien is het niet direct duidelijk dat het disproportioneel is geweest om mij te informeren. Inherent aan de verwerking heeft DNB contactgegevens van mij verwerkt waaraan geautomatiseerd een bericht gestuurd had kunnen worden. Ik denk dat het waardevol zou zijn als de EDPB normuitleg zou geven over dit soort proportionaliteit. Ik zeg niet dat het makkelijk is om betrokkenen te informeren, maar proportionaliteit impliceert ook dat bij een grotere verwerking meer inspanning mag worden verwacht. Bovendien krijg ik af en toe de indruk dat eventuele lastige vragen van betrokkenen ook worden meegewogen bij de inspanning die het kost om betrokkenen te informeren. Ik weet niet of het eerlijk is om daardoor betrokkenen minder snel te informeren over verwerkingen waar mogelijk meer ophef over zal ontstaan.

Conclusie

Genoeg compliance-vragen om je druk over te maken. Maar uiteindelijk wil ik DNB wel complimenten geven voor het feit dat ze überhaupt uitleg geven. En Coosto ook voor hun meer dan verlichte inspanning om een wat meer transparantie mogelijk te maken. Ik wil voornamelijk blijven pleiten voor de pro-actieve transparantie. Dit soort monitoring van sociale netwerken is volgens mij niet iets waar veel mensen zich zorgen over zullen maken. Misschien ook juist een reden om je nog wat meer zorgen te maken over de verwerkingen waar men niet transparant wil zijn. En als de AP meeleest vinden ze in dit stuk misschien nog wat inspiratie voor een punt uit de focus van de AP van 2021 tot en met 2023:

We maken duidelijk: de verantwoordelijkheid voor het rechtmatig, behoorlijk en transparant verzamelen en doorverkopen van gegevens ligt bij de datahandelaren. De aanpak van de AP omvat dat wij rechtmatig datamarktgedrag bevorderden en de eigen verantwoordelijkheid van bedrijven stimuleren. De AP treedt handhavend op tegen bedrijven die zich niet aan de wet houden.