Onwetend getrouwd met Facebook

Lees verder

De moderne mens is erg sociaal. Misschien is de jongere generatie wel socialer dan ooit!  Toch zullen de meeste ouders regelmatig in de woonkamer het tegendeel bepleiten: ‘doe eens gezellig, leg die telefoon neer!’. Oke, wellicht moet je je ouders daarin gelijk geven dat de gesprekken tijdens het koffiemomentje in kwaliteit afnemen, omdat óók jij aan je telefoon gekluisterd zit. Maar maakt jou dat minder sociaal? Hoe dan ook, één ding is zeker: een groot deel van ons sociale leven is opgeslokt in een digitale wereld. Alleen Facebook heeft al zo’n 9,6 miljoen gebruikers in Nederland.1 Je bent digitaal sociaal. Welcome to social media!

Toch kan je er niet omheen dat een groot deel van de hedendaagse populatie participeert in social media. Met als gevolg dat deze grootschalige groep personen de social media voorziet van een zee van data.

Zo is de gemiddelde Facebookgebruiker zeer vrijgevig wat betreft het verstrekken zijn persoonlijke gegevens. En niet alleen op Facebook, maar ook op verschillende sociale media platformen geven gebruikers massaal hun persoonsgegevens af.2 Hechten wij dan geen waarde meer aan onze persoonlijke data? Gunnen wij onszelf geen privacy meer?

Weet de computer meer dan jijzelf?

In juli, afgelopen zomer, had ik het geluk om een dagje rond te lopen op Stanford University in Californië. Wat ik toentertijd niet wist, is dat deze universiteit op 12 januari 2015 een artikel had gepubliceerd dat mij een paar maanden later enorm zou verbazen. Uit onderzoek van Stanford blijkt dat computers door middel van kunstmatige intelligentie, onze personaliteit beter kunnen beoordelen dan onze vrienden en familie.

Dit klinkt nog vrij abstract, maar de realiteit is concreet. Het onderzoek laat zien dat met behulp van kunstmatige intelligentie een computer aan de hand van een analyse van Facebook ‘likes’ een zeer accuraat beeld kan geven van iemands persoonlijkheid. Met 10 Facebook likes kent de computer jou al beter dan je collega; met 70 likes wint de computer het van je vrienden; met 150 likes staat de computer gelijk aan een familielid en met 300 likes ben je met de computer getrouwd. Denk eens na over hoeveel likes jij tot nu toe al gegeven hebt. Van harte gefeliciteerd met jouw huwelijk met Facebook!3

Maar het gaat nog veel verder. Zo bestaat er kunstmatige intelligentie die tot 91% accuraat kan scannen of iemand homoseksueel is, puur op basis van iemands gezicht.4 Nu jij weet dat dergelijke technologieën daartoe in staat zijn, ben jij in de toekomst nog een fanatieke Snapchat gebruiker? En zie jij verder op social media veel advertenties van babyproducten voorbijkomen? Misschien ben je wel zwanger! De computer weet het; jij misschien nog niet.5

Persoonlijk vond ik het vrij schokkend om geconfronteerd te worden met deze informatie. Het feit dat een groot, commercieel social media bedrijf jou beter kent dan je familie of partner doet je afvragen wat er met deze hoogstpersoonlijke data gebeurt. Social media platformen gebruiken de persoonsgegevens van gebruikers voor gericht adverteren, in ruil voor hun gratis diensten. Je wordt door middel van cookies zelfs op de rest van het internet door ze gevolgd.6

Een hogere WA-premie?

Hoe zit het in de toekomst met mijn (bewaarde) gegevens? Worden deze slechts gebruikt voor gericht adverteren of staat er later bij mijn sollicitatiegesprek een grote social media database klaar, waarin mijn volledige bekwaamheidsprofiel al beschreven staat? Ook in die gegevens is Facebook namelijk geïnteresseerd. Zo test Facebook al de mogelijkheid om je CV toe te voegen aan je Facebookprofiel.7 Niet alleen sta ik stil bij mijn baankansen. Betaal ik later een hogere WA-verzekeringspremie, omdat ik toevallig filmpjes van straatraces ‘like’?

Door middel van datamining profileren bedrijven als Facebook tegenwoordig hun gebruikers. Daar schuilt een gevaar van discriminatie en stigmatisatie in, omdat ook computerprogramma’s kunnen handelen naar vooroordelen en kwetsbare groepen benadelen.

Ook kunnen in onze data foute correlaties ontstaan. De verwerking van onze ‘sociale persoonsgegevens’, blijkt niet zonder risico.

Facebook handelt in strijd met de Wet bescherming persoonsgegevens

Velen zullen bekend zijn met de Wet bescherming persoonsgegevens. Persoonsgegevens moeten in overeenstemming met de wet, op behoorlijke én zorgvuldige wijze worden verwerkt. Ook kunnen deze slechts voor gerechtvaardigde doeleinden worden verzameld (artikelen 6 & 7 WBP). Verder bepaalt Art. 8 WBP dat persoonsgegevens slechts mogen worden verwerkt op een van de gronden zoals opgesomd in dat artikel, bijvoorbeeld de ondubbelzinnige toestemming van de betrokkene.

De betrokkene is diegene op wie een persoonsgegeven betrekking heeft. Voor bijzondere persoonsgegevens is de wet strenger (art. 16 WBP). Deze mogen niet zomaar verwerkt worden. Bijzondere persoonsgegevens zijn bijvoorbeeld iemand zijn ras of zijn gezondheid. Art. 23 WBP zegt echter dat onder bepaalde voorwaarden ook bijzondere persoonsgegevens mogen worden verwerkt. Een van die uitzonderingen betreft de uitdrukkelijke toestemming van de betrokkene (lid 1 sub a).

Hebben wij toestemming gegeven?

Wetende dat de social media bedrijven vele bijzondere persoonsgegevens verwerken, rest de vraag of wij daar als gebruikers uitdrukkelijke toestemming voor hebben gegeven. En zij wij bij onze keuze wel volledig en goed geïnformeerd? Als we uitgaan van Facebook, vindt de Autoriteit Persoonsgegevens (AP) in ieder geval van niet.

In een rapport van 21 februari 2017 beschrijft de AP dat Facebook geen duidelijke informatie of begrijpelijke overzichten geeft waarmee duidelijk wordt wat Facebook met onze gegevens doet. Wij worden dus niet goed genoeg geïnformeerd. Ook voldoet Facebook niet aan de uitzonderingen van uitdrukkelijke toestemming of de openbaarmaking door de gebruikers zelf.9 Verdere schendingen door Facebook worden nog onderzocht.10

“Toch is het maar de vraag of een expliciete toestemmingsexceptie mogelijk is.”
De AVG als beschermheer?

Het moge dan duidelijk zijn dat Facebook in strijd met de WBP handelt. Echter zal de WBP per 25 mei 2018 niet meer gelden, omdat zij plaats moet maken voor de Algemene verordening gegevensbescherming (AVG). De AVG vervangt op haar beurt de Privacyrichtlijn 1995.11 Hoe zit het met de rechten van social media gebruikers onder de AVG?

De AVG, à la Jip en Janneke in een notendop, is ongeveer als volgt. Wij krijgen het recht op dataportabiliteit. Dit betreft overdraagbaarheid van persoonsgegevens. Het betekent dat wij recht hebben om onze persoonsgegevens op te vragen bij bedrijven, om deze vervolgens aan een ander bedrijf te overhandigen. Ook komt er het recht op vergetelheid, wat ervoor zorgt dat een bedrijf in bepaalde gevallen op jouw verzoek je persoonsgegevens moeten wissen. Dit is breder dan ons huidige recht op correctie en verwijdering. Verder zou de AVG de toestemming van betrokkenen beter regelen. Daarbij moet het bedrijf de betrokkene goed informeren. De betrokkenen kan zijn toestemming ook weer intrekken.12 13

De AVG beschrijft profilering door middel van onze persoonsgegevens in art. 4 lid 4 als; ‘elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen’.

“De uitkomst van de verwerkte persoonsgegevens zijn vaak lastig te voorspellen.”

Interessant zijn de artikelen 22 en 15 lid 1 sub h AVG. Art. 22 AVG bepaalt dat je het recht hebt om niet onder een uitsluitend geautomatiseerde besluitvorming – dus zonder menselijke tussenkomst –  te worden onderworpen, indien deze rechtsgevolgen/aanmerkelijke gevolgen voor de betrokkene heeft.

Art. 22 AVG kan in dat licht bescherming bieden tegen bepaalde profilering op social media. Denk bijvoorbeeld aan de situatie dat aan jou alleen bepaalde vacatures worden getoond door profilering op basis van persoonsgegevens. Dat kan in sommige gevallen op de grens van discriminatie liggen. Als op basis van bijzondere persoonsgegevens wordt geprofileerd, leidt dit al snel tot discriminatie. Art. 22 lid 4 AVG bevat dan ook een verbod op de verwerking van bijzondere persoonsgegevens als basis voor geautomatiseerde besluitvorming. Indien dit verbod strikt wordt uitgelegd, is dit te zien als een verbetering. Wel gelden er uitzonderingen. De eerste ziet op bescherming van het publieke domein. De tweede ziet op expliciete toestemming door de betrokkene.14

Toch is het maar de vraag of een expliciete toestemmingsexceptie mogelijk is. De algoritmes bij de datamining zijn, zelfs bij volledige transparantie, niet makkelijk te doorgronden. De uitkomst van de verwerkte persoonsgegevens zijn vaak lastig te voorspellen.15 Kan de betrokkene dan wel een specifieke en geïnformeerde toestemming geven?

Bij geautomatiseerde besluitvorming op basis van bijzondere persoonsgegevens, zijn striktere uitzonderingen. Ook hier geldt de expliciete toestemmingsuitzondering. Een tweede exceptie is gelegen in zwaarwegende algemene belangen die evenredig zijn met het nagestreefde doel. Er moeten dan wel passende en specifieke maatregelen worden getroffen ter bescherming van de betrokkene.

Het recht op inzage

Naast art. 22 AVG, is ook art. 15 AVG van groot belang. Dit betreft het recht op inzage. Het gaat dan om inzage in bijvoorbeeld de verwerkingsdoelen, de betrokken categorieën persoonsgegevens, de ontvangers, de periode van opslag, het recht om te wissen, enzovoort. Art. 15 lid 1 sub h ziet specifiek op de inzage in de profilering uit art. 22 lid 1 en 4 AVG. Het gaat dan vooral over de onderliggende logica, onder andere voor wat betreft de werking van de datamining. Vooral gaat het om de categorieën van verwerking en de rol daarvan op het besluit. Verder spelen de verwachte gevolgen van de verwerking voor de betrokkene een grote rol.

Een uitzondering op art. 15 lid 1 sub h is dat het inzagerecht geen afbreuk mag doen aan zakengeheimen of intellectuele eigendomsrechten (met name auteursrechten op software).16

Al met al valt te concluderen dat met de AVG onze persoonsgegevens meer beschermd lijken te worden. Dit zou dan ook gelden voor onze persoonsgegevens die verwerkt worden op social media platvormen. Kunnen wij ons dan weer zonder zorgen bewegen op Facebook? Dat is nog lastig te zeggen. Ik ben benieuwd in hoeverre de uitzonderingen in de AVG weer af kunnen doen aan onze bescherming.

Moet het beschermingsregime op de schop?

Een andere vraag is of de problematiek van persoonsgegevens en profilering op social media met de huidige manier van regulering überhaupt te tackelen is. Moerel en Prins zijn van mening dat het juridische systeem van gegevensbescherming niet meer werkt. De AVG biedt volgens hen geen oplossing, omdat deze materieel weinig nieuws is ten opzichte van de Privacyrichtlijn 1995.

Binnen de regulerende kaders is een nieuwe aanpak nodig. Het huidig beschermingsregime – waaronder de AVG valt – zou ervan uitgaan dat als burgers goed geïnformeerd zijn, zij hun rechten voldoende kunnen uitoefenen. Dit zou echter een illusie zijn.17

Informed consent?

Moerel en Prins betogen dat er zoveel  personele data wordt verwerkt, dat wij zelf geen idee meer hebben wat wordt verwerkt én door wie wordt verwerkt. Daarmee weet de betrokkene ook de gevolgen niet. De genoemde onderliggende logica omtrent de gegevensverwerking en haar doeleinden kan je wel transparant maken, maar dit zal voor de gemiddelde betrokkene alsnog erg ingewikkeld zijn. De privacyverklaringen worden niet meer gelezen en mensen klikken uit automatisme maar op akkoord. Met het beter informeren, creëer je dus niet per definitie rationelere keuzes wat betreft je rechten omtrent persoonsgegevens. Verder zou het zo zijn dat zolang je van bedrijven voor de verwerking van persoonsgegevens toestemming vraagt, de bedrijven de toestemming zo zullen inrichten dat iedereen gedwongen maar op akkoord klikt.18

Ik vind de gedachtegang van Prins en Moerel sterk. Als ik naar mijzelf kijk, klik ook ik bij praktisch alle privacypolicies als een zombie op ‘Ok’. En dat nota bene als masterstudent in de rechten. Is er dan bij de gemiddelde social media gebruiker sprake van een geïnformeerde expliciete toestemming?

Van een homo centric world naar een data centric world?

Moerel zegt in haar TedX-presentatie nog dat onze regulering, onder andere voor wat betreft verwerking van persoonsgegevens, gebaseerd is op de gedachte van een homo centric world. De realiteit zou echter zijn dat we ons verplaatsen in een data centric world. Dit is bijvoorbeeld te zien aan de algoritmes die ons zouden moeten vertellen wie wij zijn en wat wij het beste doen. Hebben wij dan nog een eigen wil? En krijg je nog de kans om te bewijzen dat jij niet bent wat het algoritme zegt dat jij bent? In feite is hier al een omkering van de bewijslast. De gedachte dat wij met de verschaffing conform onze wil instemmen, is een gedachte uit de homo centric world. Al met al zou onze huidige regulering dus niet geschikt zijn en dient er nieuwe regulering te komen die ziet op de data centric world.19 20

Excuses voor mijn digitale onsociale gedrag

Het is dus nog maar de vraag wat de consequenties van ons social media gedrag zullen zijn. Vast staat dat door middel van algoritmes en kunstmatige intelligentie bijzonder veel met onze data gedaan kan worden. Met de AVG lijkt er in ieder geval oog te zijn voor massale gegevensverwerking van onder andere social media gebruikers. Of de AVG ons, als social media gebruikers, daadwerkelijk gaat beschermen tegen ongewenste consequenties is nog even afwachten. Onze data zwemt in ieder geval al rond in de vijvers van het internet. Tot die tijd probeer ik de sociale datasluis iets meer dicht te draaien. Bij deze bied ik dan ook alvast mijn excuses aan voor mijn eventueel digitaal onsociale gedrag. Het is niet persoonlijk. Of toch wel?

Leon Benjamins

Voetnoten

1. Rapport definitieve bevindingen Onderzoek naar het verwerken van persoonsgegevens van betrokkenen in Nederland door het Facebook-concern, p.5
2. Volkskrant 2015
3. Stanford 2015
4. The Guardian 2017
5. Forbes 2012
6. Rapport definitieve bevindingen Onderzoek naar het verwerken van persoonsgegevens van betrokkenen in Nederland door het Facebook-concern, p.5
7. Engadget 2017

8. Van Breda, ‘Profilering in de AVG: nieuwe regels, voldoende bescherming?’, Computerrecht 2017/154.
9. Rapport definitieve bevindingen Onderzoek naar het verwerken van persoonsgegevens van betrokkenen in Nederland door het Facebook-concern, p.6.
10. Van Breda, ‘Profilering in de AVG: nieuwe regels, voldoende bescherming?’, Computerrecht 2017/154.
11. www.autoriteitpersoonsgegevens.nl, zoek op ‘Algemene informatie AVG’.
12. www.autoriteitpersoonsgegevens.nl, zoek op ‘Rechten van betrokkenen’.
13. Graef, ‘Het misbruikverbod op het internet: onlineplatforms als poortwachters van persoonsgegevens’, Computerrecht 2014/38.
14. Graef, ‘Het misbruikverbod op het internet: onlineplatforms als poortwachters van persoonsgegevens’, Computerrecht 2014/38.

15. Van Breda, ‘Profilering in de AVG: nieuwe regels, voldoende bescherming?’, Computerrecht 2017/154.
16. Moerel & Prins, ‘Discussie over gegevensbescherming en de ‘homo digitalis’, Repliek van Lokke Moerel en Corien Prins, NTM/NJCM-bull. 2017/11.
17. Moerel & Prins, ‘Discussie over gegevensbescherming en de ‘homo digitalis’, Repliek van Lokke Moerel en Corien Prins, NTM/NJCM-bull. 2017/11.
18. Moerel & Prins, ‘Discussie over gegevensbescherming en de ‘homo digitalis’, Repliek van Lokke Moerel en Corien Prins, NTM/NJCM-bull. 2017/11.
19. Moerel & Prins, ‘Discussie over gegevensbescherming en de ‘homo digitalis’, Repliek van Lokke Moerel en Corien Prins, NTM/NJCM-bull. 2017/11.
20. Moerel & Prins, ‘Discussie over gegevensbescherming en de ‘homo digitalis’, Repliek van Lokke Moerel en Corien Prins, NTM/NJCM-bull. 2017/11.

Video
Delen

Uw naam

E-mail

Naam ontvanger

E-mail adres ontvanger

Uw bericht

Verstuur

Share

E-mail

Facebook

Twitter

LinkedIn

Contact

Verstuur

Aanmelden

Meld aan