Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Gegevensbeschermingsautoriteit geeft AVG-boete aan ngo die tweets analyseerde

De Belgische Gegevensbeschermingsautoriteit heeft een boete opgelegd aan een stichting die onderzoek deed naar desinformatie. Naast de stichting zelf kreeg ook een onderzoeker persoonlijk een boete. Tijdens het onderzoek werden openbare tweets geanalyseerd.

De boete komt voor rekening van EU Disinfo, een ngo die onderzoek doet naar nepnieuws binnen Europa. De Gegevensbeschermingsautoriteit geeft de stichting een boete van 2700 euro voor het overtreden van de AVG. Ook krijgt een van de onderzoekers persoonlijk een boete van 1200 euro. Bij de hoogte van het bedrag zegt de GBA rekening te hebben gehouden met proportionaliteit; de stichting had geen winstoogmerk en dus weinig geld.

Disinfo deed onderzoek naar een Franse nieuwsgebeurtenis rondom een ambtenaar die in verschillende schandalen betrokken was. Disinfo verzamelde tweets om het nieuwsnarratief rondom de zaak-Benalla te onderzoeken. In totaal werden 55.000 Twitter-accounts geanalyseerd. Daarnaast werden ruwe gegevens over die accounts online gezet als onderdeel van het onderzoek.

De GBA concludeert dat dat in strijd is met de AVG, ook al gaat het om openbare tweets. "Het feit dat persoonsgegevens openbaar beschikbaar zijn op sociale netwerken betekent niet dat zij de bescherming van de AVG verliezen", schrijft de privacytoezichthouder. De stichting mocht de gegevens wel verzamelen zonder de betrokken personen achter de tweets in te lichten dat dat gebeurde. Daarvoor voerde Disinfo aan dat de studie een journalistiek karakter had. Onder de AVG geldt er dan een uitzonderingsregel voor die toestemmingsvraag, onder bepaalde voorwaarden.

De stichting had echter de gegevens niet zomaar mogen publiceren. De data was niet voldoende gepseudonimiseerd en er was geen rechtsgrond om de gegevens te publiceren. "De toestemming [van betrokkenen] was ook vereist voor de publicatie van dergelijke niet-gepseudonimiseerde gevoelige gegevens", schrijft de GBA. Naast het gebrek aan pseudonimisering, hekelt de GBA ook het feit dat er geen andere beveiligingsmaatregelen werden genomen, zoals toegangscontrole voor de bestanden.

Bij zeker 3300 van de geanalyseerde accounts was er sprake van extra gevoelige gegevens. Het ging om accounts waarvan de politieke voorkeur van de zenders mee was te achterhalen. Dat zijn onder de AVG 'bijzondere persoonsgegevens' waarvoor extra strenge regels gelden. Ook was informatie over religieuze overtuigingen, etnische afkomst en seksuele geaardheid af te leiden uit de data.

De uitspraak is om twee redenen opvallend. Aan de ene kant omdat de GBA daarmee extra benadrukt dat ook openbare bronnen vallen onder de bescherming van de AVG, en aan de andere kant omdat een van de onderzoekers persoonlijk aansprakelijk wordt gesteld. Dat kan onder de AVG, maar in Nederland wordt dat meestal niet gedaan en wordt alleen een organisatie of bedrijf een boete opgelegd. In België zijn er wel eerder boetes opgelegd aan particulieren.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur

27-01-2022 • 11:19

101 Linkedin

Reacties (101)

Wijzig sortering
Ben het er niet mee eens. Als het om Facebook zou gaan, of een forum a la Tweakers forum, kan ik er nog enigszins in mee gaan. Maar Twitter is van andere aard. Bij Twitter wil je dat je tweets over de hele wereld gelezen worden. Het is niet een discussieplatform van groepen waarbij je kunt mee kijken.

Ik zou dan ook in beroep gaan, tot aan het Europese Hof.

[Reactie gewijzigd door lkruijsw op 27 januari 2022 11:35]

Meelezen op Twitter, zeker. Maar hergebruik voor iets volledig anders, buiten de context van Twitter, dat voelt voor mij een stap verder. En de AVG zegt nu eenmaal, als je die stap verder doet moet je zélf daar een rechtvaardiging voor hebben. Data is niet vogelvrij omdat het ergens vrij te lezen is.
De gegevens zijn niet gebruikt voor publicatie van het onderzoek, maar voor de verantwoording / integriteit.

Ze hebben dus conclusies getrokken aan de hand van gegevens. En ze wilden verantwoorden dat dit juiste conclusies of een juist onderzoek is geweest. Als verantwoording hebben ze dan ook de ruwe versies beschikbaar gesteld.
Dat was hun rechtvaardiging:
In het kader van de betwisting van de integriteit van hun werk, hebben de onderzoeker die de studie heeft uitgevoerd en de ngo, bestanden met ruwe gegevens online beschikbaar gesteld, zonder minimale beveiligingsmaatregelen te treffen zoals bijvoorbeeld het pseudonimiseren van de gegevens of het beperken van de toegang tot de bestanden.
De mensen hoefden ook geen toestemming te geven voor het onderzoek. Het onderzoek had een journalistiek karakter, en toestemming bracht de studie in gevaar:
De GBA is van mening dat de ngo vrijgesteld was van haar verplichting om de personen individueel in te lichten over de voor de studie verwerkte persoonsgegevens, omdat dit de studie en de publicatie ervan achteraf in gevaar had kunnen brengen,
Als ze dus de namen van de accounts hadden aangepast van nummer 1 tot en met 55000, was het geen probleem geweest. Dat vervolgens anderen dan de exacte namen konden achterhalen door te zoeken op de inhoud van een tweet, is een andere reikwijdte.

Mijn Frans is niet goed genoeg, maar ik ben wel benieuwd waarom een verkeerde motivatie (Ik wil een integer onderzoek doen, en publiceer daarom alle ruwe brondata zodat mijn conclusies te herleiden zijn) leidt tot een persoonlijke aansprakelijkheid van een onderzoeker, en niet alleen van de organisatie die de overtreding maakt.

[Reactie gewijzigd door gorgi_19 op 27 januari 2022 12:27]

Over het algemeen bewaar je ruwe brondata voor eventuele herhalingen van het onderzoek of nieuwe onderzoeken met dezelfde data, maar publiceer je alleen je afleidingen. Net voldoende om te zien dat je methode klopt.
Dit werkt hetzelfde bij medische onderzoeken waarbij de gegevens voor een bepaalde tijd opgeslagen blijven maar niet volledig alle beschikbare persoonlijke data in de publicatie terecht komt.

Bij veel onderzoeken kun je overigens volstaan met het opslaan van gepseudonimiseerde data. Hier ging het om een specifieke set gebruikers, geloof ik, dus dan is het misschien wel gerechtvaardigd om die data te bewaren. Maar niet om te publiceren, dus.
Als ze dus de namen van de accounts hadden aangepast van nummer 1 tot en met 55000, was het geen probleem geweest. Dat vervolgens anderen dan de exacte namen konden achterhalen door te zoeken op de inhoud van een tweet, is een andere reikwijdte.
Nee. Dat zou een zeer ineffectieve vorm van pseudonimiseren zijn. Ook als anderen de gegevens kunnen herleiden, bijvoorbeeld door op Twitter te zoeken op de exacte inhoud van de gepseudonimiseerde berichten, zijn het persoonsgegevens. Daarnaast heb je niet alleen een grondslag nodig voor publicatie, maar ook voor het verzamelen en analyseren. En in ieder geval het verzamelen kan niet in gepseudonimiseerde vorm.
Wat noem je een zoekmachine zoals google dan?
Dan zijn ze ook in strijd met het avg aangezien ze ook al die gegevens verzamelen en je via keywords er gemakkelijk naartoe zoekt ...

Onzin, als je iets openbaar zet dan wil je dat iedereen dat wil zien, om een onderzoek te staven dan moet dit dan ook ten alle tijde naar de originele publieke bron kunnen lijden, zeker als dit publiek staat. Publiek == toestemming geven punt uit!
Lijkt me eerder meer bescherming voor criminelen dan voor de meeste gewone mensen...

Als iemand een ander aanrijdt en jij zag het, de politie vraagt om te zeggen wat je zag, moet je dan ook eerst toestemming gaan vragen aan degene die het ongeluk veroorzaakt heeft en het slachtoffer ...
Dit begint gewoon de spuitgaten uit te lopen.

Dat is voor mij ook de reden dat ik niet helemaal achter de AVG toepassing sta, wordt nu veel te rap gebruikt voor zulke dingen en het zal alleen maar erger worden ...

[Reactie gewijzigd door Sandertr op 28 januari 2022 20:32]

Ik kom vrij vaak mensen tegen die denken dat als gegevens persoonsgegevens zijn dat verwerking ervan onrechtmatig is. Ik weet niet waar die misvatting vandaan komt. Er zijn zes verschillende grondslagen waaronder persoonsgegevens verwerkt mogen worden onder de AVG afhankelijk van de omstandigheden en een aantal manieren waarop de AVG niet eens van toepassing hoeft te zijn. Er mag best veel met persoonsgegevens.
Probleem hier is dat die "ruwe brondate" informatie staat die tot natuurlijke personen te herleiden is.
Aangezien de brongegevens al op twiter openbaar zijn was er voor deze ngo geen reden om deze opnieuw (nu gebundeld naar 1 onderwerp) te publiceren. Iedereen kon namelijk hetzelfde doen om te verifieren of het goed gedaan was.

Hetzelfde geld b.v. verificatie van wetenschappelijk onderzoek. Alleen het proces en de uitkomst worden gepubliceerd. (iedereen kan op elk moment de lichtsnelheid meten, je hoeft het in het vroeger onderzoek gebruikte licht niet beschikbaar te maken).
Een Tweet staat bij mij gelijk aan een nieuwspublicatie. Met deze uitspraak blokkeer je onderzoek naar Twitter trollen en de groeperingen die Twitter misbruiken zullen zich niks aantrekken van deze uitspraak want die zitten in landen buiten de EU.
Er is nochtans een heel andere conclusie getrokken en duidelijk vermeld in het artikel:
De stichting mocht de gegevens wel verzamelen zonder de betrokken personen achter de tweets in te lichten dat dat gebeurde.
Stel nu dat ik een algoritme maak die op basis van tweets de politieke voorkeur of de geaardheid van mensen in kaart breng (volgens mij een haalbaar iets). En dat dan gewoon achteraf in een lijst online gooi met naam erbij. Dit kan toch evident niet door de beugel? Dit is een heel andere zaak dan dat iemand de tweets van een individu leest en een eigen conclusie maakt over die persoon.

Als ik deze data niet naar buiten breng, maar gepseudonimiseerd claim dat zoveel procent van de mensen op twitter rechts/links is dan is dat een ander verhaal natuurlijk.
Er staat niet dat je geen onderzoek mag doen naar Twittergebruikers, maar als je de bevindingen gaat publiceren moet je zorgen dat de data goed gepseudosiniseerd of geanonimiseerd is en dat je beveiligingsmaatregelen treft om te voorkomen dat iedereen zomaar toegang heeft tot je data.

Dat lijkt me niet onredelijk toch? Zeker als je data bijzondere persoonsgegevens bevat.

[Reactie gewijzigd door Vizzie op 27 januari 2022 11:53]

Als je openbare bronnen niet eens mag hergebruiken in onderzoekspublicaties dan wordt het wel erg lastig om onderzoek te doen. Plus dat het erg krom is. De onderzoekers mogen de tweet van @russiantroll dus niet met naam en toenaam citeren in het onderzoek. Maar ze mogen dus wel de tweet van @russiantroll retweeten, wat feitelijk ook herpublicatie/openbaarmaking is?
Een belangrijk verschil is natuurlijk dat wanneer @russiantroll de tweet verwijdert de retweet ook verdwenen is. Bij het op een andere manier publiceren verliest de auteur van de Tweet de controle.
Dus in de toekomst zou de onderzoeker in plaats van de tweet, de referentie naar die tweet kunnen publiceren, dan heeft de gene die de informatie op internet de mogelijkheid om op elk gewenst moment d ze te wijzigen of te verwijderen.

In deze context vraag ik me af hoe de AVG tegen archieven.org aankijkt. Deze kopieert (alle) websites en versies daarvan door de tijd heen, zonder vooraf toestemming te vragen én verwijderd (uiteraard, gezien het doel) de gegevens niet automatisch als die veranderen in de bron.

Een stap verder zijn website die zelfs de historie van whois gegevens (van domeinnamen) opslaan en verkopen voor ander gebruik dan waarvoor de gegevens in het whois register zij gezet.
Deze partijen claimen GDPR compliant te zijn doordat áls je weet dat ze bestaan én je ontdekt dat ze jouw gegevens (adres, telefoonnummer, naam, email, etc) verkopen dat je een verzoek tot verwijdering mag doen.
Dat ze daarnaast nog x andere websites hebben met dezelfde data ... vertellen ze niet en op verzoeken om alle gegevens van alle Nederlanders waarvan ze geen expliciete toestemming hebben vooraf voor de verkoop van hun persoonsgegevens, reageren z dat dat niet hoeft van GDPR, en dat als ik expliciet vermeld welke gegevens van mij zij bij welke domeinnamen én aan toon dat ik het ben dat ze het dan wel willen verwijderen van die ene website. Voor elk van hun sites (en hun vriendjes) zou ik dat apart moeten doen .. nou lijkt mij verre van GDPR compliant.

[Reactie gewijzigd door djwice op 27 januari 2022 13:10]

Tja, als alles zo makkelijk was en simpel hadden we geen wetten nodig, rechters, juristen, IT'ers, ...
Plus dat het erg krom is.
Een Tweet staat bij mij gelijk aan een nieuwspublicatie. Met deze uitspraak blokkeer je onderzoek naar Twitter trollen en de groeperingen die Twitter misbruiken zullen zich niks aantrekken van deze uitspraak want die zitten in landen buiten de EU.
Lees het artikel nog eens aandachtig. Onderzoek mag, publicatie niet. :Y)
Ja, maar de titel doet anders vermoeden. Ja de NGO analyseerde de tweets, waarschijnlijk dronken ze ook koffie en moesten ze af en toe poepen. De boete ging over het publiceren, dus dat zou in de titel moeten staan.
Een titel kan nooit een volledig artikel bevatten. Daarvoor dient het artikel en moet je verder lezen.
Als het kan ook even de bron :Y) (want u weet wat ze zeggen over vermoedens = mother of all fuck-ups
Ja, maar de titel doet anders vermoeden.

[Reactie gewijzigd door OxWax op 27 januari 2022 12:53]

De titel moet wel de essentie van het artikel bevatten en niet een of ander willekeurig detail. Door dat wel te doen impliceer je dat het relevant is.
Het gaat dan ook niet om het onderzoek an-sich of het lezen van de tweets, maar over het (her)publiceren van onvoldoende gepseudonimiseerde persoonsgegevens die uit de tweets/Twitter-accounts gehaald waren, zonder dat daar toestemming of een goede reden voor was.
Dat anderen zich niet aan de wet houden wil niet zeggen dat de rest dat dan ook maar niet hoeft. Daarbij is onderzoeken of iemand mogelijk wetten aan het overtreden is dus niet zomaar een recht en duidelijk al helemaal niet om daar zomaar publiek door te delen.

De vraag is wat de betekenis is van die grenzen, en welke gevolgen dat heeft. De betekenis is waarschijnlijk dat er ook wetten zijn die anderen mogelijk verplichten iets te doen wat een ander niet mag.

[Reactie gewijzigd door kodak op 27 januari 2022 13:15]

Dat zeg ik niet. Er is dan een rechtvaardiging: binnen gebruikelijke wetenschappelijke praktijken en gewoontes de persoonsgegevens noemen die nodig zijn om een bron te identificeren.

Die rechtvaardiging is er niet bij "hier is mijn ruwe dataset als zip". Er is geen enkele reden om zo'n dataset te publiceren zonder ook maar de minste aandacht voor de privacy van de mensen in die dataset.
Dat zeggen ze toch ook? Het verzamelen was geen enkel probleem, het ging mis bij het publiceren van de data. Dat jij op Twitter je politieke mening, je seksuele voorkeur, je religieuze overtuiging en je medische gegevens de wereld inslingert betekent niet dat iedereen dan maar met die data aan de haal kan gaan en mag publiceren. Dat is het mooie aan de AVG dat ook al is de eigenaar onzorgvuldig, dan nog moet je volgens de regels met de data omgaan. Dus anonimiseren of pseudonimiseren zodat de personen niet te herleiden zijn door middel van jouw publicatie.
Dit is een moeilijke vind ik. Ja, de tweets zijn openbaar maar je zou kunnen argumenteren dat je niet jouw toestemming hebt gegeven om deze door externe onderzoekers te laten analyseren én te gebruiken in een rapport. Jouw gegevens worden dan op een manier gebruikt die je zelf niet had voorzien, waar je geen toestemming voor had gegeven en die vallen buiten redelijk gebruik.
Naar mijn mening als je Twitter gebruikt, dan geef je die toestemming, het is publiceren. Als je iets tussen vrienden wilt delen, dan gebruik je Facebook, een Whatsapp groep of een forum.

Als ik brieven van George Orwell onderzoek die hij naar kranten schreef, verzamel ik dan persoonlijke informatie van George Orwell? Nee, het is publiceren, het was bedoelt voor iedereen om te lezen. Hetzelfde geldt voor tweets.
Ik ging eerst ook mee in de argumenten dat Twitter publiek is en dus voor iedereen toegankelijk is, maar ik vind de zin "Jouw gegevens worden dan op een manier gebruikt die je zelf niet had voorzien, waar je geen toestemming voor had gegeven en die vallen buiten redelijk gebruik" een heel goed tegen-argument:

Als jij op Youtube een publieke video plaatst en iemand anders gaat ermee aan de haal om eigen video's met jouw content te vullen dan zou je dat ook niet waarderen. Komt op hetzelfde neer. Dat zou niet mogen. Waarom zou dat met geschreven tekst dan anders zijn, vraag ik me nu af.
Maar als iemand een onderzoekje doet op youtube, en een rapportje schrijft waarin staat:

"We hebben geteld; en er blijken meer dan 100 videos over uitsluitend rode katten te zijn.
Waaronder bijvoorbeeld deze: <linkje>"

Is dat dan echt problematisch?

[Reactie gewijzigd door Zynth op 27 januari 2022 12:15]

Om in je parallel te blijven:

Er wordt beweerd dat er minder dan 100 video's over rode katten zijn.
Dat is onterecht; ik kom al op minimaal 150 video's over rode katten uit.

Ter verantwoording geef je een lijst van alle users die een video over een rode kat maakt.
Je noemt dus niet eens een individuele gebruiker in je onderzoek, maar alleen in de ruwe data van de onderzoeksverantwoording.
Als jij op Youtube een publieke video plaatst en iemand anders gaat ermee aan de haal om eigen video's met jouw content te vullen dan zou je dat ook niet waarderen. Komt op hetzelfde neer.
Dat komt neer op schending van het auteursrecht, dat gaat over iets helemaal anders en daar gaat de AVG niet over
Eensch. Sorry, dat had ik moeten weten xD
Wat is het verschil tussen een bericht op Twitter zetten en een bericht hier als reactie plaatsen? Beiden zijn publiekelijk beschikbaar. Het zou pas een verschil zijn als je ook privegroepen hebt die niet voor iedereen toegankelijk zijn (zoals soms op Facebook of Instagram).

En volgens mij is Twitter juist HET discussieplatform. Iedereen kan meediscussieren over alle mogelijke onderwerpen zonder eerst een specifiek account te maken voor een forum.
Ik snap het niet helemaal.. Waarom precies zou ik willen dat mijn tweets over de hele wereld gelezen worden? Ik zit wel eens op Twitter en reageer op iets van vrienden, maar dat hoeft echt niet van mij de hele wereld over hoor.. Ik zie daarin dan ook geen verschil of het nou Facebook of Twitter is.

[Reactie gewijzigd door Lagonas op 27 januari 2022 13:46]

Omgekeerde wereld, Facebook?

Het platform voor desinformatie bij uitstek, en wat hun trackers uitvreten en persoonlijk informatie opsnorren valt dat niet onder kritieke "gegevens"?
Okee, ik snap de reden achter de boete en ben het er op zich mee eens dat dit in de buurt van doxxing zou kunnen komen en de privacy in het geding kan komen van specifieke gebruikers die toevallig in dit onderzoek zijn meegenomen.

Desondanks vind ik zelf dat tweets persoonlijke publicaties zijn; als iemand zijn of haar politieke voorkeur uitdrukkelijk publiekelijk kenbaar maakt, zie ik niet waarom die niet verzameld kan worden; in mijn ogen geef je toestemming zodra je kiest om over te gaan op publicatie. Dingen op internet gooien is eenmaal niet zonder consequenties.

Dat vind ik helemaal zo vanwege het journalistieke karakter van dit onderzoek: bronvermelding is wel zo netjes. Worden onderzoeken van bijvoorbeeld het Kieskompas nu ook meteen illegaal? Hoe hoog zal die boete wel niet worden? Ze hebben tenslotte je e-mailadres en verzamelen je politieke voorkeur over tijd!

Ik ben blij dat de Belgische autoriteit ook de mankracht heeft om kleinere zaken aan te pakken, maar ik vind het raar dat deze partij specifiek gekozen is om te beboeten. Ik vind het zaakje wat stinken omdat de Franse collega's hebben samengewerkt met de Belgische na een Frans overheidsschandaal.
Natuurlijk wordt een onderzoek van kieskompas niet illegaal, tenzij ze de gegevens niet goed pseudonimiseren en beveiligen bij publicatie.

Er staat niet dat je niets met die data mag als je een goede reden hebt die te gebruiken, er staat dat je er zorgvuldig mee moet omgaan als je overgaat tot publicatie.
Verzamelen is het probleem ook niet, het publiceren van bijzondere persoonsgegevens door derden zonder voldoende anonimiseren of zonder toestemming mag gewoon niet. En dat lijkt me niet meer dan logisch.
Onderzoek van kieskompas mag uiteraard wel, maar met gepseudonimiseerde gegevens en moet dat ook in de privacyverklaring staan dat je die gegevens ook gaat verwerken met dat doel.
Heel bizar dit. Benieuwd wat Engelfriet hiervan vindt. Toen ik mij CIPP/e certificeerde is mij altijd duidelijk gemaakt, en heb dit ook altijd zo geïnterpreteerd, dat je nooit persoonlijk een boete kunt krijgen. Maar ken de details van deze casus niet, zal me er eens in verdiepen. In elk geval komt het in eerste instantie bizar over: openbare data, persoonlijke boete, etc.
Ik heb juist begrepen uit trainingen, uitleg van specialisten en wat ik er zelf over gelezen heb, dat je de vernieuwde privacywetgeving er juist voor zorgde dat als directeur/bestuurder hoofdelijk verantwoordelijk zou worden gehouden bij (grove) inbreuk op de privacy. Juist om niet het probleem bij een organisatie maar bij een persoon neer te leeggen. En als er een Privacy Officer is aangesteld, wordt die hoofdelijk verantwoordelijk (mits aangetoond kan worden dat de overtreding niet door hem/haar is aangepakt/gesignaleerd is).
Helemaal eens, maar dat is hier dus niet het geval.
Een FG wordt ook nooit hoofdelijk aansprakelijk gesteld, dat kan alleen de rechtsvertegenwoordiger zijn (lees directeur/bestuurder), maar dus niet een onderzoeker zoals in dit geval.
Tja, ondanks dat ik zelden ergens een comment plaats waar ik later niet achter kan staan, zou ik het toch niet waarderen als er iemand mijn comments gaat verzamelen om die ergens anders weer te publiceren als "kijk eens wat deze meneer hier allemaal gezegd heeft". Wat mij betreft dus terechte boetes.
Dat begrijp ik niet helemaal, in feite bent u als persoon verantwoordelijk voor uw uitspraken, en dat is op internet niet anders. Als ik publiek een speech geef en een journalist/bedrijf quote mij daarop dan lijkt me dat gerechtvaardigd.

Een openbare tweet voor de wereld zie ik als een speech, openbaar en degene die het zegt / typt is daar verantwoordelijk voor.
Op internet kun je ook n.a.w gegevens vinden van veel mensen.
Toch komt er in Nederland een wet waarmee het strafbaar is die zo maar te plaatsen als het doel is zwartmaken of stalken van mensen.

Denk dus als je iets van iemand openbaar maakt je naar de context moet kijken. Schrijf ik over jou een artikel en quote ik daar een twitter uitspraak zal dat kunnen. Hiergaat het om een onderzoek/analyse en dat is een hele andere context.
NAW is in heel veel gevallen ook zonder internet openbaar. Vrijwel iedereen heeft immers een naamplaatje op de deur. Het is wat lastiger, maar als je echt zou willen zou je daar een database van kunnen maken. Geef een hoop scholieren een paar euro en ze schrijven alles op.
Tja en dat laatste zo maar database maken en openbaar maken mag dus niet zo maar.
En als jij daarna bij de borrel iets aan een goede bekende vertelt en die journalist hoort dat. Mag die dat dan ook breed uitmeten? Het is allemaal wel wat complexer en genuanceerder dan openbaar=openbaar.

Ik reageer ook hier, maar dat betekent niet automatisch dat ik er dan van gediend ben dat iemand al mijn posts gaat verzamelen en elders publiceert, al dan niet in een bepaald frame of juist zonder context.

[Reactie gewijzigd door Wouterkaas op 27 januari 2022 11:53]

Maar als ik het goed begrijp wordt het niet zomaar elders gepubliceerd, het wordt gebruikt voor onderzoek. En daar kan op zich best een anonieme conclusie uitkomen.

Echter om fakenews tegen te gaan moet je wel ergens een verantwoording hebben en die is dan dus niet anoniem.

Het is wmb een complex probleem, want in wezen kan je dan een heleboel dingen niet meer fatsoenlijk onderzoeken.
Dan kan je dus rustig publiceren dat 99% van de Nederlanders stiekem voor Wilders wil kiezen, bij vragen naar de verantwoording... Tja, die heb ik wel maar die mag ik niet geven vanwege de AVG.
De vraag is dan of je het onderzoek ook uit kunt voeren zonder 'ruwe gegevens van accounts' te publiceren. Dat je ze gebruikt in het onderzoek is niet problematisch, maar het publiceren van in dit geval 'ruwe gegevens' blijkbaar wel.
En daar kan op zich best een anonieme conclusie uitkomen.
Maar er werd door de ngo niet geanonimiseerd en dat word ze dan ook terecht kwalijk genomen.
En als jij daarna bij de borrel iets aan een goede bekende vertelt en die journalist hoort dat. Mag die dat dan ook breed uitmeten? Het is allemaal wel wat complexer en genuanceerder dan openbaar=openbaar.
Als die journalist dat hoorde zonder dat hij daarvoor illegale dingen moest doen dan mag dat. Denk maar aan die uitspraak over k******** in het gesprek tussen Rob Oudkerk en Job Cohen van een aantal jaren terug.
Maar dan ligt daar wel een journalistieke afweging aan ten grondslag over het publiek/maatschappelijke belang hiervan. Dat neemt een toezichthouder ook mee in haar oordeel.
De definitie van "publiekelijk" is dan waar we het over moeten hebben: ik geef mijn comments hier aan het Tweakers publiek omdat ik hier verstandige mensen verwacht die mijn comments op waarde kunnen schatten, of ze het er mee eens zijn of niet. Er is voldoende publiek buiten Tweakers waar ik mijn twijfels bij heb en het is niet aan iemand anders om dan die grens op te rekken.
Maar jouw reactie is hier gewoon publiekelijk. Of begrijp ik niet wat je met dit bericht probeert te zeggen?
Maar publiekelijk betekent niet dat een willekeurig iemand die data zomaar mag verzamelen voor andere doeleinden dan waar deze publiekelijke reactie voor bedoeld was.
De reactie hier is alleen zichtbaar voor bezoekers van Tweakers, met wie ik dit wel wil delen. En tenzij iemand gaat googlen op "tweakers comments jeroen_loeffen" of tenzij iemand anders dit gaat delen blijft het ook binnen dit publiek.
Dat is denk ik een goede discussie, ik zie bijv. Twitter echt als een open podium en 100% openbaar want je slingert alles wereld is wat je daar typt. De inhoud van de tweet kan discutabel zijn natuurlijk maar de tweet/bericht an sich is openbaar.

Ik zie dat anders dan dat je een "private" chat hebt met andere gebruikers, dat is niet openbaar / publiekelijk. Net als dat je een privé gesprek hebt in de kroeg dan is dat ook niet openbaar, hoewel het wel in een openbare gelegenheid is. Ga je in diezelfde kroeg staan en pak je de microfoon is dat wél weer openbaar.
daarbij gaat het niet om de tweets ansich maar om de andere gegevens die mee genomen zijn in het onderzoek, o.a dus relegie en afkomst, als ze dat dus niet hadden gedaan was er niks aan de hand geweest.
Volgens mij is het wel wat anders dan: "kijk wat meneer heeft gezegd " ik kan het oorspronkelijke rapport van de stichting niet vinden dus lastig beoordelen.

Het interessante aan deze uitspraak lijkt mij de combinatie van "openbare bronnen wel beschermd door AVG" en "Politieke voorkeur is bijzonder persoonsgegeven" (wat al zo was natuurlijk).

Is het retweeten (herpubliceren) van een tweet waarin iemand tweet: "Ik ben voor de politieke partij van Jantje" nu dus strafbaar?
Daarmee komt dat bericht in een andere context. Dus wie weet.
Eerst had je een discussieforum, nu heb je een verzamelalbum van alle regime-tegenstanders?
Dat verzamelalbum van regime-tegenstanders heet "twitter".
Je hebt alleen nogal veel rommel in je verzamelalbum. Gebeurt thuis ook wel eens, toch?

Je zou dus ook kunnen beweren dat er alleen tweets geschrapt zijn uit de dataset, niet specifiek tweets zijn uitgezocht.

De discussie zou dan kunnen gaan over "zijn die tweets wel rechtmatig geschrapt, en mag dat wel".
Dat kan toch net een andere connotatie geven.

[Reactie gewijzigd door Zynth op 27 januari 2022 12:15]

Twitter is ungestructureerde data. Die ngo heeft er gestructureerde data van gemaakt.
Dat is cruciaal waar het om persoonsgegegevens gaat.
Tweets hebben een titel, en een inhoud.
En wel of niet een reply of retweet van een andere tweet.
Een tweet is van een account.
Dat account heeft connecties met andere accounts.

Twitter is gestructureerde data.

[Reactie gewijzigd door Zynth op 27 januari 2022 15:16]

Die titel en inhoud zijn per definitie ongestructureerde data.
En vanwege dit soort redeneringen is dus het advies om een advocaat in de arm te nemen als je beschuldigd wordt van het breken van een wet. Rechters krijgen nogal jeuk van dit soort onzin-argumenten.
Volgens mij is het wel wat anders dan: "kijk wat meneer heeft gezegd " ik kan het oorspronkelijke rapport van de stichting niet vinden dus lastig beoordelen.
S'il vous plait ;)
https://spark.adobe.com/page/Sa85zpU5Chi1a/
Merci beaucoup!

Aangezien twitter gebruikers bij hun username genoemd worden kan ik me wel vinden in de boete, het onderzoek is overigens best interessant om te lezen. (1% van de gebruikers is verantwoordelijk voor 47% van de 4,567,426 tweets.)
Hopelijk heeft deze boete als effect dat de usernames van twitter (of andere social media/forum oid) gepseudonimiseerd worden in toekomstige rapportages en niet dat dit soort onderzoeken niet meer worden uitgevoerd.

[Reactie gewijzigd door surfin op 27 januari 2022 13:22]

Ik vind het toch wel een beetje vreemd hoor. Het is allemaal openbare informatie die vrijwillig door mensen gepubliceerd is.

Zolang je daar niet zelfverzonnen informatie tussen stopt of het bewust in een dubieuze context plaatst vind ik een boete toch wel ver gaan.
Je mag niet zomaar zonder toestemming persoonsgegevens delen, punt.

Jij bepaald waar jouw data gedeelt wordt of niet. Niet één of andere stichting.
Jij bepaald waar jouw data gedeelt wordt of niet. Niet één of andere stichting.
Die bepaling heb je gedaan door het op twitter te zetten en daarmee het dus met alles en iedereen te delen.
[...]
Die bepaling heb je gedaan door het op twitter te zetten en daarmee het dus met alles en iedereen te delen.
Les van vandaag : Zelfs Twitter is niet 'met alles en iedereen' (volgens AVG)
Nee, die bepaling heb je niet gedaan door het op twitter te zetten.
Net zoals je ook niet alle data van linked-in mag verzamelen en in een aparte database mag zetten.

Dat jij iets publiek gemaakt heeft, betekent niet dat jan en alleman er alles mee mag doen was ze leuk vinden.
Daar is al de nodige jurisprudentie over.
[...]

Die bepaling heb je gedaan door het op twitter te zetten en daarmee het dus met alles en iedereen te delen.
Jij hebt niet bepaald dat die stichting het ook op internet mag delen. Jij hebt de regie over je persoonsgegevens. Die regie verlies je niet omdat je een keer besloten hebt het via twitter te delen. Het is aan jou om te bepalen waar en met wie je het deelt. En waar je het niet deelt.

Als jij een afbeelding maakt en die zet je op je website, wil het nog niet zeggen dat iedereen die afbeelding mag gebruiken en of publiceren, omdat jij die afbeelding een keer op een site gezet hebt.

Iets wordt niet publiek eigendom omdat je het een keer ergens gedeeld hebt.

[Reactie gewijzigd door Seth_Chaos op 27 januari 2022 17:17]

Buiten alle andere discussies: er zit ook nog altijd auteursrecht op die informatie. Alleen daarom zou je het niet zomaar mogen gebruiken.
Auteursrecht is vrij moeilijk naleefbaar op twitter, het moet wel enigszins uniek zijn om voor auteursrecht in aanmerking te komen en het is vrij moeilijk om in 140 tekens (of was het nou 280?) uniek te zijn en geen sprake te hebben van prior art.
Er is jurisprudentie dat één zin al beschermd kan zijn. Toegegeven, bewijs het maar. Maar in deze specifieke situatie is het bewijs een stuk makkelijker; de bron is grofweg bekend (egens op Twitter).
Kijk eens in uw profielpagina. Het wordt al verzameld.
Als je niet afgeschermd opmerkingen maakt kun je niet verwachten dat enkel eensgezinden daarmee aan de haal gaan. Je kunt er alsnog voor kiezen onder n alias te posten.
Ik vind het wel een beetje krom. Je zet het zelf openbaar op twitter, dan weet je dus dat wat jij op dat moment typt openbaar is voor de hele wereld. Ik vind dat je zelf verantwoordelijk bent voor je uitspraken en wat je openbaar op internet zet. Daar moet een AVG zich niet mee bemoeien.

Het is natuurlijk anders zodra je deze dingen afgeschermd op internet zet en iemand maakt er gebruik van..
Het is het verschil tussen niets te verbergen hebben maar toch niet 24 uur per dag een politieman die met je meekijkt willen hebben.
Het verschil tussen de straat waar je woont en diezelfde straat volgehangen met camera's en microfoons.

Zelfs in het openbaar heb je een bepaalde mate van privacy. Ja, je weet dat elk moment iemand toevallig zou kunnen meeluisteren met een gesprek in het openbaar, maar dat is toch heel anders dan wanneer een organisatie alle gesprekken gaat vastleggen en analyseren om daar weet-ik-veel-wat mee te doen.

Het feit dat iemand zich in het opnebaar begeeft, maakt hem niet voegelvrij voor iedereen om daar maar mee te doen wat ze willen onder het motto "als je dat niet wilt moet je maar thuis blijven".
"De stichting had echter de gegevens niet zomaar mogen publiceren. De data was niet voldoende gepseudonimiseerd en er was geen rechtsgrond om de gegevens te publiceren. "De toestemming [van betrokkenen] was ook vereist voor de publicatie van dergelijke niet-gepseudonimiseerde gevoelige gegevens", schrijft de GBA. Naast het gebrek aan pseudonimisering, hekelt de GBA ook het feit dat er geen andere beveiligingsmaatregelen werden genomen, zoals toegangscontrole voor de bestanden.

Bij zeker 3300 van de geanalyseerde accounts was er sprake van extra gevoelige gegevens. Het ging om accounts waarvan de politieke voorkeur van de zenders mee waren te achterhalen. Dat zijn onder de AVG 'bijzondere persoonsgegevens' waarvoor extra strenge regels gelden. Ook was informatie over religieuze overtuigingen, etnische afkomst en seksuele geaardheid af te leiden uit de data.


Verder wat @Arnoud Engelfriet zegt 8-)
Bij zeker 3300 van de geanalyseerde accounts was er sprake van extra gevoelige gegevens. Het ging om accounts waarvan de politieke voorkeur van de zenders mee waren te achterhalen.
Dus omdat Henk-en-Ingrid het allemaal niet snappen, (of er geen drol om geven) dat ze prive gegevens online zetten, mag je dit als onderzoeker niet gebruiken.

De crux zet hem in dat de wetgeving niet weerspiegelt wat er leeft onder de bevolking. Als de EU ipv deze wetgeving er door duwen, eens gaan investeren in een gezonde online omgeving, dan is er misschien nog hoop.

Nu wordt door big-tech de online wereld vergiftigd met commecriele tracking en profilering. En de gemiddelde burger vindt het allemaal, ongehinderd door enige vorm van kennis, wel best.

Ik wijs nog maar eens op de Netflix docu 'The Social Dilemma' en het boek van prof Soshana Zuboff, 'The Age of Surveillance Capitalism'
Als de EU ipv deze wetgeving er door duwen, eens gaan investeren in een gezonde online omgeving, dan is er misschien nog hoop.
Dat gebeurt natuurlijk ook maar dat gebeurt gelijktijdig met compleet andere wetgeving. Onder andere met de Digital Services Act (DSA) die net afgelopen dinsdag door het Europees Parlement is aangenomen.

The Digital Services Act: ensuring a safe and accountable online environment
Europe reins in Big Tech: What you need to know
Tougher rules on targeted ads, deepfakes, crafty web design, and more? Euro lawmakers give a thumbs up
MEPs adopt Digital Services Act with significant last-minute changes
The Digital Services Act (DSA) Observatory

[Reactie gewijzigd door Maurits van Baerle op 27 januari 2022 15:27]

Tja, met goede analyse kan iemand wel vaststellen welke peudoniemen op tweakers overeenkomt met een pseudoniem op FTM. Door spelfouten, woord- en onderwerpkeuze, activiteitstijden en dergelijke te vergelijken.
Allemaal uit publieke bronnen, maar of de daarmee verkrijgen lijsten acceptabel zijn? Ik betwijfel het.
Ik vind dit een bijzondere. Als je niet wilt dat je gegevens geanalyseerd worden, moet je ook iets niet publiekelijk posten, dat lijkt me vanzelfsprekend. Stel er zou een analyse van frontpage reacties op Tweakers gemaakt worden, tja. Dat kan. Ondertussen verkopen bedrijven (Meta etc.) de politieke voorkeur van haar gebruikers voor reclame-doeleinden en dat is dan wel oke.

[Reactie gewijzigd door Valandin op 27 januari 2022 11:58]

Het is bij wet niet toegestaan om publieke informatie te gebruiken voor het achterhalen van al dan niet persoonlijke informatie of opsporen van natuurlijke personen.

Facebook mag dat wel omdat je daar toestemming voor hebt gegeven.
Stom voorbeeld om een punt te maken : maisbrood zonder maïs.
hoe kan dit? Om dat er geen wet is die dat verplicht. Wat u en ik 'vanzelfsprekend' vinden, is het niet altijd.

https://www.foodwatch.org...l-wint-het-gouden-windei/

[Reactie gewijzigd door OxWax op 27 januari 2022 12:01]

De opvolging van de avg draait echt vierkant in België. Mensen en bedrijven die echt geen foute bedoeling hebben en in eer en geweten handelen krijgen boetes. Maar een niet nader genoemde krant die ongevraagd een reclamemail stuurt naar zijn ex-klanten wordt niet aangepakt. Ik heb al twee keer een mail gestuurd voor advies ivm de avg wetgeving en ik krijg enkel een automatisch bericht terug.
Wat heb je juist ingediend? Klacht, informatieverzoek of bemiddelingsverzoek?
Een informatieverzoek dien je best in wanneer je een antwoord wil op een specifieke vraag inzake gegevensbescherming. De GBA zal je binnen de maand een antwoord verstrekken. Bijkomend – en enkel in de gevallen waarin er sprake is van een ernstige aanwijzing van een schending van de regels inzake gegevensbescherming – kan de GBA ook een onderzoek instellen, dat kan resulteren in het opleggen van sancties. Dit betreft een interne procedure waarbij je als informatieverzoeker in principe niet wordt betrokken en waarover je ook geen communicatie ontvangt
https://www.gegevensbesch...er/acties/klacht-indienen
Informatieverzoek, nooit iets terug gehoord. Daarna gewone mail gestuurd voor een status update met referentie. Ook nooit iets meer gehoord. Zelfs geen: "uw aanvraag werd niet aanvaarden wegens reden x of y".

Dat schept niet meteen vertrouwen.
Ik vind het wel wat jammer dat ze achter dit soort projecten aangaan, maar niet achter datagraaiende bedrijven als focum of andere handelsinformatiebureaus die blijkbaar ineens wel informatie uit openbare bronnen mogen collecteren om vervolgens algoritmisch vergaande beslissingen te nemen over personen en/of adressen.
frons mijn wenkbrauwen.
- boete aan prive persoon
dat is nieuw voor mij.

boete voor publiceren van publiek beschikbare data die door de prive persoon zelf conform de voorwaarden van twitter in dit geval zijn gepubliceerd. volgens mij was het zo dat zolang je geen niet publiek beschikbare data zonder toestemming publiceert je redelijk veilig zou moeten zijn. aan de andere kant het aan elkaar knopen van beschikbare data tot informatie en dat dat niet zou mogen kan ik me ook iets bij voorstellen.
Dat laatste klopt en mag bij wet niet zomaar.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True