Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Zes tips om rekening te houden met de privacy van social media gebruikers

28 augustus 2019 Door

Juridisch Product

De privacy juristen van adviesbureau ICTRecht helpen uw organisatie bij het in lijn handelen met de nieuwe privacywetgeving. Van het uitvoeren van een privacy audit tot het opstellen van diverse privacydocumenten; onze privacy juristen staan voor u klaar.

Momenteel heerst er veel negativiteit over social media bedrijven. Zo zou Facebook haar gebruikers afluisteren. Over FaceApp wordt gezegd dat het bedrijf foto’s opslaat in een database en zelfs verkoopt aan derde partijen. We weten allemaal dat als we foto’s en berichten delen op social media, we een stukje van onze privacy weggeven. De grote social media magnaten doen er vervolgens mee wat ze willen. Zo hoort het natuurlijk niet. In deze blog ga ik in op de zes beginselen waaraan elke verwerking van persoonsgegevens moet voldoen.

Beginsel 1: rechtmatigheid, behoorlijkheid en transparantie

Dit beginsel houdt in dat het voor een betrokkene (gebruiker van social media) duidelijk moet zijn wat er met zijn of haar persoonsgegevens gebeurt. Daarnaast moeten persoonsgegevens, zoals naam, e-mailadres en foto’s, in lijn met de Algemene Verordening Gegevensbescherming (AVG) worden verwerkt.

Bedrijven kunnen aan dit beginsel voldoen door onder andere in een privacyverklaring uit te leggen wat er gebeurt met de berichten en foto’s die gebruikers plaatsen op social media, en door alleen persoonsgegevens te verwerken wanneer zij hiervoor een rechtmatige grondslag hebben.

Beginsel 2: doelbinding

Verwerking van persoonsgegevens is alleen toegestaan voor specifieke en gerechtvaardigde doeleinden. Bedrijven moeten die doelen vastleggen voordat ze beginnen met het verwerken van persoonsgegevens. Het is van belang dat het doel specifiek is omschreven. Een omschrijving als “wij verwerken persoonsgegevens voor marketingdoeleinden” is te vaag. Wat houdt het namelijk in “marketingdoeleinden”? Dat moet dus concreter zoals “het tonen van interessante advertenties op basis van klikgedrag”. Daarnaast mag je gegevens die je hebt, alleen maar voor verenigbare doeleinden inzetten. Foto’s die je bijvoorbeeld hebt verzameld doordat mensen ze uploaden op je platform, mag je niet zomaar gebruiken voor advertenties ter promotie van je platform. Dat laatste is een ander doel, en dus heb je daarvoor een aparte grondslag nodig.

Beginsel 3: dataminimalisatie

Dataminimalisatie houdt in dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk. Voor social media bedrijven zou ik zeggen dat een naam, e-mailadres en foto’s prima verwerkt mogen worden. Net als een geboortedatum, want we willen wel graag onze “vrienden” feliciteren als ze jarig zijn, ook al heb je ze in geen jaren meer gezien. Maar ik heb zo mijn twijfels over informatie over je werk en studie, of zelfs geloofsovertuiging of politieke voorkeur. Waarom is het nodig om dergelijke (bijzondere) persoonsgegevens te verwerken? Dit soort velden moet je dan ook niet verplicht maken, als je niet kunt onderbouwen dat je platform zonder deze informatie niet functioneert.

Beginsel 4: juistheid

Het ligt voor de hand dat het juistheidsbeginsel betekent dat gegevens juist en actueel moeten zijn. Zijn er gegevens verspreid die onjuist zijn, dan heeft een gebruiker het recht om de gegevens te laten rectificeren of wissen. Daarnaast moet je als organisatie zelf ook actief zorgen dat je data up-to-date blijft. Neem bijvoorbeeld bij ‘bouncende’ e-mails contact op met de gebruiker om te checken of zijn/haar e-mailadres nog wel correct staat opgeslagen.

Beginsel 5: opslagbeperking

Een interessant beginsel, waar social media bedrijven vaak lak aan hebben of wellicht mee worstelen, is het beginsel van opslagbeperking. Dit principe houdt in dat bedrijven persoonsgegevens niet langer mogen bewaren dan noodzakelijk. Hoe kun je voor social media de bewaartermijn bepalen? Gebruikers vinden het maar al te leuk om te zien op welke feestje ze 5 jaar geleden zijn geweest, of waar ze 10 jaar geleden op vakantie waren. Ik kan me daarom ook voorstellen dat het voor social media bedrijven lastig is om te bepalen wanneer ze persoonsgegevens verwijderen. De AVG eist echter wel dat een concrete termijn wordt vastgelegd. Een oplossing is bijvoorbeeld dat persoonsgegevens worden gewist als een gebruiker zijn account opzegt, of als een gebruiker een jaar lang geen gebruik meer heeft gemaakt van social media. Informeer bij dat laatste voorbeeld de gebruiker dat hij of zij alle berichten en foto’s van social media kan afhalen, en als daar geen gehoor aan wordt gegeven dan wordt het account automatisch verwijderd.

Beginsel 6: passende beveiligingsmaatregelen

Het laatste beginsel ziet op beveiliging. Betrokkenen moeten erop kunnen vertrouwen dat hun persoonsgegevens voldoende worden beveiligd en niet op straat komen te liggen.

Conclusie: houd rekening met de privacy van anderen

Sinds de komst van social media delen we ons privéleven met de rest van de wereld. We kiezen er zelf voor om grip op onze berichten en foto’s uit handen te geven. Maar dit is nog geen vrijbrief voor bedrijven om maar alles te doen met onze persoonsgegevens. Bedrijven moeten rekening houden met de privacy van de gebruikers. Dat begint bij het naleven van de zes beginselen om persoonsgegevens te mogen verwerken.

Beryl Hetharia

Juridisch adviseur

Beryl Hetharia werkt als juridisch adviseur bij ICTRecht en maakt onderdeel uit van ons privacy team. Zij houdt zich bezig met alle juridische aspecten rondom privacy.


Er zijn 2 reacties

  1. Een zwaar spanningsveld, tussen commerciële belangen, waarbij data duurder is dan goud enerzijds en de vrijwillig afgestane privé gegevens in een digitale omgeving, die laagdrempelig en gratis wordt aangeboden anderzijds.
    Mensen worden meegenomen in een digitale wereld waarbij ze aan de ene kant het “collectieve” gevoel krijgen en daardoor veronderstellen dat hogere machten wel zullen waken over hun gevoelige gegevens en aan de andere kant er persoonlijk op worden afgerekend.
    Het is moeilijk om hierin principieel te kiezen voor je veiligheid. Kunnen mensen op social media nog wel bewuste keuzes maken, of worden die door ons collectieve gedrag opgedrongen.

    1. Beste Ben,
      Er is inderdaad een bepaalde spanning tussen het vrijwillig afstaan van gegevens op social media en de bedrijven die daar dan weer aan verdienen. Maar ondanks dat mensen zelfstandig gegevens op online platforms plaatsen zou dit niet ten koste mogen gaan van hun veiligheid. Social media bedrijven kunnen niet achteloos met deze gegevens omgaan en moeten zich ook gewoon aan regels (AVG) houden. De gegevens die je zelf op social media plaatst moeten goed beveiligd zijn en het moet duidelijk zijn wat er met die gegevens gebeuren.

      Er is dan nog wel een andere reden voor mensen om in de digitale wereld te blijven leven. Mensen vinden het vaak leuk om ‘de wereld’ te laten zien wat zij meemaken. Het belang van data en het afstaan van gegevens wordt door veel mensen nog altijd onderschat, omdat ‘data’ een abstract begrip is. Mensen denken: ‘ze weten toch al alles van mij’. Als mensen het risico niet inzien van alles maar op social media plaatsen, en daar misschien zelfs nog gelukkig van worden, is het moeilijk om ze te laten inzien dat het misschien niet altijd verstandig is.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie