De vierde privacytrend van 2014: het CBP pakt nieuwe ontwikkelingen aan

Het privacyrecht is inmiddels een serieus specialisme met jaarlijks tientallen beschikkingen, vonnissen en richtsnoeren. Een overzicht daarvan is nuttig, maar kan je daarin ook bredere ontwikkelingen ontdekken? In deze blogserie worden tien privacytrends van 2014 besproken. Dit is de vierde trend: het CBP schrikt niet terug voor nieuwe, maatschappelijk relevante ontwikkelingen.

Deze serie van privacytrends is eerder gepubliceerd in Mediaforum 2015/2, p. 50-54. Zie hier, hier en hier de vorige trends.

In mijn vorige blog besprak ik hoe de Europese koepelorganisatie van nationale toezichthouders zich waagt aan de beoordeling van nieuwe technologische ontwikkelingen. Ook de Nederlandse toezichthouder schrikt er niet voor terug om nieuwe, maatschappelijk relevante ontwikkelingen aan te snijden. De beschikking over de tablets van Snappet is hiervan een mooi voorbeeld. Snappet levert tablets met onderwijssoftware aan meer dan 400 scholen in Nederland. Via die software verzamelt het bedrijf gedetailleerde gegevens over de vorderingen van leerlingen tussen de 7 en 9 jaar. Die gebruikt zij voor de scholen (zodat docenten bijvoorbeeld de resultaten van leerlingen ten opzichte van de klas kunnen volgen). Zij gebruikt die informatie ook voor doeleinden die anderen dan de school ten goede komen: zo hoopt Snappet in de toekomst dyslexie vroegtijdig te kunnen signaleren.

De belangrijkste vraag in deze beschikking was in hoeverre Snappet zelf verantwoordelijke in de zin van de Wbp was (en zich dus aan de belangrijkste regels van de Wbp moest houden). Volgens het CBP is dat het geval. Hoewel de scholen op papier wellicht verantwoordelijke leken, waren ze dat in de praktijk niet. Daarbij staat centraal dat, willen de scholen hun rol als verantwoordelijke kunnen uitoefenen, zij hiervoor voldoende informatie van Snappet moeten krijgen. Die informatie kregen ze nu niet.

De situatie die het CBP in de beschikking bespreekt is niet beperkt tot het onderwijs. Waar verschillende schakels in de waardeketen de beschikking hebben over gegevens die binnen de keten worden verwerkt – iets dat je vaak in cloudomgevingen ziet – zal al snel de vraag rijzen in hoeverre die schakels ook verantwoordelijke zijn. De beschikking geeft een begin van een antwoord op de vraag waar de scheidslijn tussen de verantwoordelijke en de bewerker in zo’n geval moet worden getrokken.

Een ander voorbeeld van een onderzoek naar een actueel onderwerp, is de beschikking over de Okki-Gekke bekkenclub. Kinderen konden met een tandenpoets-app foto’s van hun tanden uploaden naar www.gekkebekkenclub.nl. Soms waren foto’s gepubliceerd van deels herkenbare kinderen, met naam, leeftijd en woonplaats. De beschikking voelt als prijsschieten voor het CBP, alleen al omdat de website op basale punten niet compliant was (er was geen privacybeleid, er werd geen versleuteling toegepast en er werd geen toestemming van de wettelijk vertegenwoordiger gevraagd). De beschikking is daarom inhoudelijk niet zo interessant. Het is wel aardig om te zien dat het onderzoek is gestart naar aanleiding van een rapport van Mijn Kind Online, een kenniscentrum voor jeugd en digitale media. Het bevestigt dat, als een belangrijk deel van het feitenonderzoek al is gedaan, het CBP een onderzoek eerder oppakt.

De meest gewaagde acties van het CBP kwamen echter op de valreep van 2014. In november legde het Google een last onder dwangsom op, als follow up van het eerdere onderzoek naar het privacybeleid van Google. Google moet voor het combineren van persoonsgegevens uit haar verschillende diensten (zoals YouTube en Search) ondubbelzinnige toestemming krijgen. Daarnaast moet zij gebruikers beter informeren. Als Google niet vóor 27 februari 2015 voldeed aan deze last verbeurt ze een dwangsom van EUR 20k per dag, met een maximum van EUR 5 miljoen. Het is niet bekend wat de status van dit onderzoek nu is.

Daarnaast stelde het CBP een onderzoek in naar het nieuwe privacybeleid van Facebook. Omdat Facebook van plan was gegevens en foto’s uit Facebook-profielen per 1 januari 2015 voor commerciële doeleinden te gebruiken, heeft het CBP gevraagd te wachten met de uitrol tot de resultaten van haar onderzoek bekend zijn. Opmerkelijk is dat Facebook al vóór implementatie had besloten andere voorwaarden toe te passen voor Duitse Facebook-gebruikers. Facebook heeft overigens op eerste kerstdag de inwerkingtreding van de voorwaarden uitgesteld tot 30 januari 2015, omdat volgens de woordvoerder nog niet alle gebruikers één maand van tevoren waren geïnformeerd. Het CBP hoopte voor die termijn de eerste conclusies van haar onderzoek met Facebook te kunnen delen, maar hierover is op dit moment nog niets bekend,

Die Amerikaanse internetreuzen zullen zich afgelopen kerst dus ongetwijfeld achter hun oren hebben gekrabt. Maar een échte verrassing kan het niet zijn. Nederland heeft zich de afgelopen jaren ontpopt tot één van de Europese landen waar het debat over privacy en communicatievrijheid op het scherpst van de snede wordt gevoerd. Bovendien geeft de Google/Spanje-uitspraak van het Europese Hof van Justitie, waarin een brede toepassing van de territoriale reikwijdte van de nationale privacywetten wordt omarmd, nationale toezichthouders een steun in de rug. Die komt morgen aan bod.