Momenteel heerst er veel negativiteit over social media bedrijven. Zo zou Facebook haar gebruikers afluisteren. Over FaceApp wordt gezegd dat het bedrijf foto’s opslaat in een database en zelfs verkoopt aan derde partijen. We weten allemaal dat als we foto’s en berichten delen op social media, we een stukje van onze privacy weggeven. De grote social media magnaten doen er vervolgens mee wat ze willen. Zo hoort het natuurlijk niet. In deze blog ga ik in op de zes beginselen waaraan elke verwerking van persoonsgegevens moet voldoen.
Dit beginsel houdt in dat het voor een betrokkene (gebruiker van social media) duidelijk moet zijn wat er met zijn of haar persoonsgegevens gebeurt. Daarnaast moeten persoonsgegevens, zoals naam, e-mailadres en foto’s, in lijn met de Algemene Verordening Gegevensbescherming (AVG) worden verwerkt.
Bedrijven kunnen aan dit beginsel voldoen door onder andere in een privacyverklaring uit te leggen wat er gebeurt met de berichten en foto’s die gebruikers plaatsen op social media, en door alleen persoonsgegevens te verwerken wanneer zij hiervoor een rechtmatige grondslag hebben.
Verwerking van persoonsgegevens is alleen toegestaan voor specifieke en gerechtvaardigde doeleinden. Bedrijven moeten die doelen vastleggen voordat ze beginnen met het verwerken van persoonsgegevens. Het is van belang dat het doel specifiek is omschreven. Een omschrijving als “wij verwerken persoonsgegevens voor marketingdoeleinden” is te vaag. Wat houdt het namelijk in “marketingdoeleinden”? Dat moet dus concreter zoals “het tonen van interessante advertenties op basis van klikgedrag”. Daarnaast mag je gegevens die je hebt, alleen maar voor verenigbare doeleinden inzetten. Foto’s die je bijvoorbeeld hebt verzameld doordat mensen ze uploaden op je platform, mag je niet zomaar gebruiken voor advertenties ter promotie van je platform. Dat laatste is een ander doel, en dus heb je daarvoor een aparte grondslag nodig.
Dataminimalisatie houdt in dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk. Voor social media bedrijven zou ik zeggen dat een naam, e-mailadres en foto’s prima verwerkt mogen worden. Net als een geboortedatum, want we willen wel graag onze “vrienden” feliciteren als ze jarig zijn, ook al heb je ze in geen jaren meer gezien. Maar ik heb zo mijn twijfels over informatie over je werk en studie, of zelfs geloofsovertuiging of politieke voorkeur. Waarom is het nodig om dergelijke (bijzondere) persoonsgegevens te verwerken? Dit soort velden moet je dan ook niet verplicht maken, als je niet kunt onderbouwen dat je platform zonder deze informatie niet functioneert.
Het ligt voor de hand dat het juistheidsbeginsel betekent dat gegevens juist en actueel moeten zijn. Zijn er gegevens verspreid die onjuist zijn, dan heeft een gebruiker het recht om de gegevens te laten rectificeren of wissen. Daarnaast moet je als organisatie zelf ook actief zorgen dat je data up-to-date blijft. Neem bijvoorbeeld bij ‘bouncende’ e-mails contact op met de gebruiker om te checken of zijn/haar e-mailadres nog wel correct staat opgeslagen.
Een interessant beginsel, waar social media bedrijven vaak lak aan hebben of wellicht mee worstelen, is het beginsel van opslagbeperking. Dit principe houdt in dat bedrijven persoonsgegevens niet langer mogen bewaren dan noodzakelijk. Hoe kun je voor social media de bewaartermijn bepalen? Gebruikers vinden het maar al te leuk om te zien op welke feestje ze 5 jaar geleden zijn geweest, of waar ze 10 jaar geleden op vakantie waren. Ik kan me daarom ook voorstellen dat het voor social media bedrijven lastig is om te bepalen wanneer ze persoonsgegevens verwijderen. De AVG eist echter wel dat een concrete termijn wordt vastgelegd. Een oplossing is bijvoorbeeld dat persoonsgegevens worden gewist als een gebruiker zijn account opzegt, of als een gebruiker een jaar lang geen gebruik meer heeft gemaakt van social media. Informeer bij dat laatste voorbeeld de gebruiker dat hij of zij alle berichten en foto’s van social media kan afhalen, en als daar geen gehoor aan wordt gegeven dan wordt het account automatisch verwijderd.
Het laatste beginsel ziet op beveiliging. Betrokkenen moeten erop kunnen vertrouwen dat hun persoonsgegevens voldoende worden beveiligd en niet op straat komen te liggen.
Sinds de komst van social media delen we ons privéleven met de rest van de wereld. We kiezen er zelf voor om grip op onze berichten en foto’s uit handen te geven. Maar dit is nog geen vrijbrief voor bedrijven om maar alles te doen met onze persoonsgegevens. Bedrijven moeten rekening houden met de privacy van de gebruikers. Dat begint bij het naleven van de zes beginselen om persoonsgegevens te mogen verwerken.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.