Niemand ontkomt er meer aan. Sociale netwerksites zijn steeds meer een bijna vanzelfsprekend onderdeel van het dagelijks leven geworden. Werkgevers en werknemers zien zich daarbij steeds vaker voor de vraag geplaatst wat de grenzen zijn van het gebruik van sociale netwerksites. Wat is toelaatbaar gebruik? Waar liggen de juridische risico’s? En hoe gaan we daarmee om?
Inleiding
‘Wie schrijft, die blijft’, zo luidt een bekend gezegde. Dit geldt des te meer voor alle informatie die wordt gepubliceerd op het internet. Controle over de boodschap vormt in toenemende mate een uitdaging. Het is door de persistentie van online informatie moeilijk deze te corrigeren of, in het meest verstrekkende geval, te trachten deze te wissen. De Facebooks en Hyves van deze wereld hebben zelfs hun businessmodel rondom het gebruik van persoonsgegevens opgezet. Zij bieden eindgebruikers een digitaal platform waarmee ze hun persoonlijke relaties, ervaringen en memento’s kunnen beheren, vastleggen en, belangrijker nog, delen met een groot publiek. Gebruikers geven hun mening, schrijven hun eigen recensies en houden het netwerk op de hoogte van vakanties, de opvoeding van de kinderen en het reilen en zeilen bij de werkgever.
Dit laatste vormt een risico voor zowel de gebruiker als het bedrijf waar deze werkzaam is. Het gebruik van sociale netwerksites binnen een bedrijfsomgeving of door werkgevers is ook niet zonder juridische implicaties. Wat echter die juridische implicaties zijn, is niet altijd even duidelijk. Mag social-mediagebruik worden gemonitord? Is het screenen van sollicitanten op basis van hun profielen juridisch toelaatbaar? En wat zijn de aandachtspunten indien een bedrijf zelf een social-mediaproduct op de markt zet? Op deze vragen wordt getracht in dit artikel een antwoord te geven.
Wat is een sociale netwerksite?
Wat verstaan wij onder het begrip ‘sociale netwerksite’? Wij hanteren hier de definitie van Boyd en Ellison, die sociale netwerksites als volgt omschrijven:
‘(…) web-based services that allow individuals to:
- Construct a public or semi-public profile within a bounded system,
- Articulate a list of other users with whom they share a connection, and
- View and traverse their list of connections and those made by others within the system’.[D.M. Boyd en N.B. Ellison, Social Network Sites: Definition, History, and Scholarship, Journal of Computer-Mediated Communication, 13(1), 2007, pp. 210-230.]
Ook ENISA heeft zich aan een definitie gewaagd. In haar onderzoek geeft ze een aantal karakteristieken van sociale netwerksites:
- Er kan persoonlijke informatie en door de gebruiker gemaakte ‘content’ worden geplaatst. Dit alles wordt gelinkt aan iemands interesses en persoonlijke leven.
- Er zijn middelen die sociale interactie mogelijk maken vanuit iemands profiel.
- Er zijn methoden om de sociale relaties die iemand onderhoudt binnen het netwerk te definiëren (door bijvoorbeeld een vriendenlijst aan te maken).[ENISA Position Paper No. 1, Security Issues and Recommendations for Online Social Networks, 2007, p. 6.]
Drie kenmerken lijken er wat betreft de definities uit te springen: er is altijd sprake van de mogelijkheid tot het presenteren van het zelf (het vormen van de identiteit), het leggen van een connectie met anderen, ook wel ‘vrienden’, en het sociaal interactief zijn met die anderen. De huidige sociale netwerksites lijken zich daarnaast te kenmerken door een totale convergentie van beschikbare middelen van communicatie. Afgezien van het feit dat de diverse netwerken zowel web-based als mobiel te benaderen zijn, kan vaak gebruik worden gemaakt van tekst, film, beeld en geluid en kunnen conversaties meestal zowel synchroon als asynchroon plaatsvinden. De meeste sociale netwerksites beschikken over chatfunctionaliteit en de mogelijkheid tot het versturen van privéberichten en kennen een bestendigheid wat betreft de informatie die daar door de gebruiker geplaatst wordt. Tevens bieden de meeste netwerksites de mogelijkheid (delen van) het profiel af te sluiten waardoor het te bereiken publiek beperkt kan worden.
Welke wetgeving is van toepassing bij sociale netwerksites?
In het navolgende wordt kort op een rijtje gezet wat volgens ons de meest in het oog springende toepasselijke wetgeving is rondom het gebruik van sociale netwerksites. Het betreft de wetgeving met de meeste impact en de wetgeving die mogelijk juridische risico’s inhoudt als het gaat om het gebruik van sociale netwerksites. Wij gaan daarbij uit van voor Nederland geldend recht en nemen waar toepasselijk het Europees rechtelijk kader mee in beschouwing.
Dataprotectiewetgeving
Op sociale netwerksites wordt enorm veel data verwerkt door gebruikers, maar ook door aanbieders en eventueel derde partijen (denk aan third-party apps die toegang krijgen tot het profiel van de gebruikers). In de Wet bescherming persoonsgegevens (Wbp) zijn verschillende normen opgenomen die de behoorlijke en zorgvuldige verwerking van persoonsgegevens moeten garanderen. Onder persoonsgegevens worden die gegevens verstaan waarmee een natuurlijk persoon kan worden geïdentificeerd. Rechtspersonen zoals een bv of nv kunnen geen aanspraak maken op bescherming vanuit de Wbp. Voor de hand liggende persoonsgegevens zijn bijvoorbeeld iemands naam, adres en woonplaats. Maar ook combinaties van andere persoonskenmerken, zoals uiterlijke kenmerken en eigenschappen die herleidbaar zijn tot een natuurlijk persoon, zoals een IP-adres, kunnen als persoonsgegeven worden gekenmerkt. Binnen de Nederlandse (maar ook de Europese) systematiek en uitleg van de wet wordt al vrij snel aangenomen dat gesproken kan worden van een persoonsgegeven, waardoor de wet in veel gevallen van toepassing kan worden geacht. Het begrip ‘verwerken’ moet daarbij ruim worden opgevat, want de Wbp schaart onder meer het verzamelen, vastleggen en ordenen van persoonsgegevens daaronder, waardoor de toepasselijkheid voor sociale netwerksites al snel mag worden aangenomen.
De cookiewet
In 2012 is een wijziging doorgevoerd in de Telecommunicatiewet. Deze wijziging omvat onder meer een bepaling die moet garanderen dat de privacy van personen wordt gewaarborgd indien een aanbieder van een dienst niet-functionele cookies gebruikt. Onder niet-functionele cookies worden onder meer verstaan cookies die het surfgedrag van gebruikers volgen voor advertentiedoeleinden. Als een dergelijk cookie wordt geplaatst, moet daarvoor van tevoren toestemming worden gevraagd.
De meldplicht datalekken
Nederland kende al enige tijd een tweetal smalle meldplichten die specifiek gericht zijn op de financiële sector en de telecomsector. Naar verwachting zal de Wbp binnen een jaar worden aangepast ter opneming van een brede meldplicht datalekken. Als zich een lek heeft voorgedaan waarbij persoonsgegevens in het geding zijn, dient dit onverwijld gemeld te worden aan de toezichthouder, het College Bescherming Persoonsgegevens. Als de gegevens niet goed beschermd waren (er was geen sprake van bijvoorbeeld versleuteling van de gegevens), dient het weglekken van de gegevens ook aan de betrokken personen gemeld te worden. Op het nalaten van de melding staat een boete van 200.000 euro.
Het intellectuele eigendomsrecht
Op sociale netwerksites wordt veel materiaal gedeeld waar mogelijk intellectuele eigendomsrechten op rusten, denk aan films en foto’s, maar ook bedrijfsgerelateerde informatie zoals logo’s en merken. Deze zaken worden beschermd onder het intellectuele eigendomsrecht, waarbij de maker en/of rechthebbende doorgaans het exclusieve recht heeft op het gebruik ervan. Op sociale netwerksites is het gebruikelijk dat de aanbieder van de site binnen de algemene voorwaarden een niet-exclusieve licentie krijgt voor gebruik van het materiaal waar deze rechten op rusten.
Goed werknemer- en werkgeverschap en privacy van de werknemer
Binnen het arbeidsrecht geldt het beginsel van goed werkgever- en werknemerschap, voor Nederland vastgelegd in het Burgerlijk Wetboek. Werkgever en werknemer horen zich te gedragen zoals zich dat in het maatschappelijk verkeer betaamt. Tussen de werkgever en werknemer bestaat daarnaast een gezagsrelatie. Binnen het arbeidsrecht bestaan daarom meerdere waarborgen om veilig te stellen dat die gezagsrelatie niet wordt misbruikt. Ten aanzien van de privacy van de werknemer kent de arbeidswet echter geen specifieke bepaling. Om te bepalen in hoeverre juridische aandachtspunten gelden binnen de arbeidsrelatie, zal dus een antwoord moeten worden gezocht in de wisselwerking tussen het arbeidsrecht en de privacywetgeving. Het Europees Verdrag voor de Rechten van de Mens (EVRM) speelt hierin ook een rol. Onder het grondrecht op privacy, zoals dat is vastgelegd in art. 8 EVRM, wordt ook de privacy van de werknemer op de werkvloer geschaard. Zo heeft een werknemer het recht in beperkte mate gebruik te maken van communicatiefaciliteiten op de werkplek in het kader van privécommunicatie en is monitoring van werknemers in bepaalde mate toegestaan mits de privacy van deze werknemers gewaarborgd wordt.
Social-mediatijdslijnen en een aantal actuele casussen
Het overgrote deel van de hiervoor beschreven wetgeving bestond al voordat social media in zwang raakten. Vaak echter leidt de voortschrijding der techniek tot een herinterpretatie van bestaande wetgeving en in een aantal gevallen tot een specifieke aanpassing, zoals in het geval van de zogeheten Cookiewet. Figuur 1 verschaft enig inzicht in hoe de ontwikkeling van de wetgeving en die van het internet en social media in verhouding staan tot elkaar.
Figuur 1. Ontwikkeling van wetgeving in verhouding tot ontwikkeling van internet en social media.
Om het samenspel tussen de nieuwe techniek en bestaande en nieuwe wet- en regelgeving tastbaar te maken voor de lezer, werken we een aantal door de werkelijkheid geïnspireerde casussen uit waarbij sprake is van het gebruik van sociale netwerksites en/of sociale media. Daarbij worden de hier benoemde wetten gebruikt om te tonen welke uitdagingen gelden en welke rechtsregimes hierbij worden geraakt.
Voor het behandelen van de juridische aandachtspunten wordt aansluiting gezocht bij de verschillende vormen waarin sociale netwerksites binnen een bedrijfsomgeving of door een bedrijf gebruikt kunnen worden. De eerste casus beschrijft het gebruik van social media op de werkvloer. Casus 2a en 2b beschrijven het gebruik van social media om bepaalde doelgroepen te bereiken. De laatste casus behandelt de ontwikkeling van social-mediaproducten door bedrijven.
Casus 1. Facebook, Hyves, Twitter en LinkedIn op de werkvloer
Tussen de bedrijven door even je Facebook-pagina bijwerken en recente foto’s uploaden. ‘Kennismaken’ met een nieuwe collega door zijn of haar LinkedIn-profiel door te nemen. Chatten met je vrouw en kinderen, die via hun mobieltjes laten weten dat ze vanavond wel erg zin hebben in chinees en of je even langs de afhaal wilt gaan na het werk. Dit is een normale gang van zaken geworden bij veel bedrijven. Gaat dit niet via het bedrijfsnetwerk, dan bezitten werknemers wel hun eigen mobieltjes waarmee ze contact houden met de buitenwereld. Het heeft daardoor steeds minder zin om een hardwarematige restrictie aan het internetgebruik op te leggen. Wel is er vaak een ‘beleid internetgebruik’ in werking, waarin onder meer een aantal gedragsregels is bepaald, bijvoorbeeld dat gebruikers geen websites mogen bezoeken waarop kansspelen worden aangeboden of die pornografisch materiaal bevatten. Specifieke bepalingen ten aanzien van het gebruik van sociale netwerksites ontbreken echter vaak nog in het beleid.
Juridische aandachtspunten
Binnen deze casus dienen twee zaken onderscheiden te worden. Ten eerste is er het gebruik van social media onder werktijd (al dan niet voor privédoeleinden) en ten tweede de content die werknemers op sociale netwerksites kunnen plaatsen. Beide worden vaak bij elkaar genomen wanneer er beleid voor het gebruik van social media geschreven wordt, maar juridisch gezien is het zinnig deze twee zaken uit elkaar te trekken. Zoals in het voorgaande bij de toepasselijke wetgeving al is aangehaald, heeft een werknemer het recht in beperkte mate gebruik te maken van social media op de werkplek. Dit lijkt ook in lijn met de tijdgeest waarin de scheiding tussen werk en privétijd vaak niet meer gemakkelijk te maken valt. Op basis van de gezagsrelatie die de werkgever heeft, mag hij echter wel regels stellen ten aanzien van het gebruik van ICT-middelen. Het verdient daarbij de voorkeur dat de werkgever heldere regels opstelt ten aanzien van het privégebruik van ICT-middelen zodat de werknemer weet wat er van hem verwacht wordt, wat niet toegestaan is en welke sanctie er op mogelijk overtreden van deze regels staat. Ook de ‘vuistregels internetgebruik’ van het College Bescherming Persoonsgegevens, hoewel geschreven in 2002 en dus van voor het tijdperk van sociale netwerksites stammend, kunnen handvatten bieden voor het gebruik van social media. Het lijkt niet voor de hand te liggen om het gebruik geheel te verbieden, één uitzondering daar gelaten: stel, uw medewerkers werken aan staatsgeheime zaken waarbij elke vorm van contact met de buitenwereld een risico kan opleveren. In een normaal scenario is verbieden ons inziens geen optie voor de werkgever; dit stuit namelijk op weerstand van werknemers, die zich gesterkt zien in de jurisprudentie van het Europees Hof voor de Rechten van de Mens omtrent het privégebruik van ICT-middelen.
Wat betreft de content die werknemers kunnen plaatsen op sociale netwerksites, dienen nog wel enkele opmerkingen gemaakt te worden. In principe kan worden geoordeeld dat het een persoon vrij staat om op zijn privéprofiel die informatie te plaatsen die hij zelf wenselijk acht. Niet voor niets kennen wij binnen onze rechtsstaat de vrijheid van meningsuiting en het grondrecht op privacy. Die vrijheid kent echter wel haar restricties. Het is niet toegestaan inbreuk te maken op een anders recht (vergelijk hierbij ook de in Nederland geldende leer van de onrechtmatige daad die vastgelegd is in art. 6:162 BW). Zo is het niet denkbeeldig dat werknemers inbreuk maken op het intellectuele eigendomsrecht van de werkgever als zij informatie (beeldmateriaal of anderszins) plaatsen op sociale netwerksites. Dit zou zelfs een grond voor ontslag kunnen zijn. Een werknemer die een screenshot van een 3D-ontwerp op Facebook plaatste, verloor daardoor zijn baan.[J. Custers, Ontslagen om Facebookfoto: geheime informatie onthuld, ZDNET, http://www.zdnet.nl/news/125139/ontslagen-om-facebookfoto, 15 februari 2011.] Maar ook het beledigen van de baas (smaad en laster) kan een reden zijn de werknemer te ontslaan, een beroep op de vrijheid van meningsuiting mag dan niet meer helpen. Zo ondervond de werknemer die zijn baas op Facebook een ‘achter de ellebogen nijmegseple nep wout’ noemde.[Mr. drs. T. Devens, Ontslag door Facebook, http://maastricht.dichtbij.nl/column/mr-drs-t-devens-ontslag-door-facebook, 12 juni 2012.] Overigens is het ook denkbaar dat een door de werknemer ondertekend NDA (Non Disclosure Agreement) geschonden wordt op het moment dat hij gebruikmaakt van de functie om bij de betreffende klant ‘in te checken’. Binnen de wereld van de informatiebeveiliging is het bijvoorbeeld zeer gebruikelijk dat een dergelijk NDA getekend wordt. Door in te checken op diensten als Foursquare of Google Latitude geeft de werknemer weg bij welke klant hij op dat moment werkzaam is, en indien daarnaast ook nog eens bekend is wat voor werkzaamheden deze werknemer doorgaans verricht, is het voor de buitenwereld niet erg moeilijk om daarover conclusies te trekken.
Casus 2a. Screening van sollicitanten met behulp van social media
Social media zijn een potentieel enorme bron van informatie over een persoon. Het is dan ook verleidelijk om een mogelijke kandidaat voor een functie eens even ‘te googelen’ om te zien wat er boven komt drijven. Stel nu dat de tekst op de website van organisatie X, waarop sollicitanten hun reactie op open vacatures kunnen plaatsen, als volgt luidt: ‘Sollicitanten kunnen onderworpen worden aan een social-mediascreening’. De organisatie laat een informele screening van sollicitanten uitvoeren door de medewerkers van HR. Zij maken geen rapport op van de screening, maar gebruiken de informatie van de openbare profielen van de kandidaten als input voor de beslissing om een kandidaat wel of niet uit te nodigen voor een sollicitatiegesprek. Is die enkele mededeling op de website voldoende? Of moeten kandidaten uitdrukkelijke toestemming geven alvorens screening mag worden toegepast? En mag dat eigenlijk wel, grasduinen in de privéprofielen van personen?
Juridische aandachtspunten
De Wet bescherming persoonsgegevens is onverkort van toepassing omdat het in het geval van een screening gewoon gaat om het verwerken van persoonsgegevens. Zelfs als geen rapport wordt opgesteld, dan nog is sprake van verwerken, de gegevens worden immers gebruikt als input voor de beslissing om iemand al dan niet uit te nodigen voor een gesprek. Dan nu een belangrijkere vraag: mag dat screenen van privéprofielen eigenlijk wel? De Wbp stelt dat gegevens mogen worden verwerkt voor het doeleinde waarvoor ze verzameld werden. Ervan uitgaande dat het doeleinde in dit geval ‘het selecteren van geschikte kandidaten voor het uitnodigen tot een sollicitatiegesprek’ is, kan worden betwijfeld of het screenen van privéprofielen daaronder te scharen valt. Alles staat en valt met de vraag of het vergaren van de gegevens noodzakelijk is om dat doel te bereiken. De vakantiefoto’s van een potentiële kandidaat op Facebook bekijken kan niet echt noodzakelijk genoemd worden, maar het bekijken van de referenties die iemand krijgt op LinkedIn, kan wel worden aangemerkt als iets wat het doel dient. Er moet wel altijd vooraf toestemming worden gevraagd aan de kandidaat. Daarnaast heeft een bedrijf altijd toestemming van de ondernemingsraad nodig in het geval zij procedures wil gaan instellen voor de screening van sollicitanten. Een en ander staat overigens nog los van de meer ethische vraag die werkgevers zich in dergelijke gevallen zouden moeten stellen: willen wij als bedrijf op een dergelijke manier meekijken in het privéleven van onze toekomstige medewerkers?
In het kader van sollicitaties geldt ten slotte de sollicitatiecode van de Nederlandse Vereniging voor Personeelsmanagement & Organisatieontwikkeling (NVP). Deze code is vrijwillig en organisaties zijn dus niet verplicht de sollicitatiecode toe te passen. Wel kan worden verwacht dat de concepten van de code mede in overweging worden genomen door een rechter indien een conflict ontstaat naar aanleiding van een sollicitatie. De code schrijft voor dat een werkgever toestemming behoort te vragen voordat hij informatie over een sollicitant inwint ‘bij derden en/of andere bronnen’. Verder bepaalt de code dat de bij derden en andere bronnen (waaronder websites) verkregen informatie, indien relevant, aan de sollicitant moet worden meegedeeld, met uitdrukkelijke vermelding van de bron, en met de sollicitant moet worden besproken.
Casus 2b. Communiceren met en betrokkenheid verwerven van klanten
Steeds meer bedrijven zijn aanwezig op sociale netwerksites waar zij zich kunnen profileren en gebruikers kunnen wijzen op het feit dat zij geweldige producten verkopen. Naamsbekendheid genereren is daar een essentieel onderdeel van. ‘Ga naar onze Facebook-pagina en klik op de Like-knop.’ In een poging om betrokkenheid van klanten te verwerven proberen bedrijven steeds vaker een positieve aanbeveling te bemachtigen op sociale netwerksites. Daarnaast worden op de bedrijfswebsite ook vaak verschillende knoppen geplaatst zodat de bezoeker door middel van zijn social-media-account aanbevelingen kan doen aan dan wel aanbiedingen kan delen met zijn vriendengroep. Wat dikwijls over het hoofd wordt gezien, is de achterliggende techniek die dit mogelijk maakt. In verreweg de meeste gevallen betekent het dat gebruikers via cookies gevolgd worden om zo de aansluiting te zoeken met een Facebook- of Twitter-account. Bedrijven zetten daarnaast ook steeds vaker social media in om gebruikers content te laten genereren. Zo mochten de liefhebbers van Moleskine (een bekende producent van notitieboekjes) via Facebook het nieuwe logo ontwerpen en mochten fans van de band Making April het nieuwe T-shirt ontwerpen.[Moleskine logo competition, http://www.designboom.com/weblog/cat/8/view/16682/moleskinerie-logo-competition.html; Making shirts for Making April, http://communityblog.brickfish.com/communityblog/?p=624.]
Juridische aandachtspunten
Het is in de casus al benoemd: voor al het verkeer dat via zogenaamde like-knoppen wordt gegenereerd, worden cookies gebruikt. Praktisch gezien betekent dit dat je als bedrijf op je eigen website kenbaar moet maken dat gebruik wordt gemaakt van dergelijke (niet-functionele) cookies en dat daarvoor dus ook toestemming moet worden gevraagd. Die toestemming mag niet impliciet worden aangenomen als personen klikken op die like-knop. De Nederlandse wetgever heeft de wet dermate streng vormgegeven dat impliciet toestemmen niet voldoende is voor wettelijke naleving. Er moet daarom zeer letterlijk en duidelijk om toestemming worden gevraagd, bijvoorbeeld door een pop-up te tonen met uitleg over het cookiegebruik en twee opties (‘Ja, dat wil ik’ en ‘Nee, dat wil ik niet’).
Binnen deze casus is het ook van belang te wijzen op de mogelijke implicaties voor het intellectuele eigendomsrecht. Wat veel gebruikers van sociale netwerksites zich niet realiseren is dat zij hun eigen intellectuele eigendomsrechten in niet-exclusieve licentie hebben overgedragen. Dit betekent dat de aanbieder van een sociale netwerksite alle content die op een profiel geplaatst wordt, mag gebruiken. Het feit dat het een niet-exclusieve licentie is, garandeert in ieder geval nog wel dat de maker van het profiel de content zelf ook nog mag gebruiken. De licenties zijn echter doorgaans dermate breed omschreven dat aanbieders van sociale netwerksites daar praktisch alles mee mogen doen, inclusief het gebruiken van naam, merk, logo en dergelijke, om reclame te maken voor de eigen sociale netwerksite. Het is dus denkbaar dat uw bedrijf ineens in de reclame-uitingen van Facebook, LinkedIn of andere sites te vinden is, en dit zou zelfs zover kunnen gaan dat u uw concurrent aanbeveelt …
Wanneer het gaat om het laten genereren van content door gebruikers, is het wederom zaak goed te bezien hoe een en ander geregeld is of dient te worden wat betreft de intellectuele eigendomsrechten. Ten eerste de positie van het bedrijf ten opzichte van de deelnemende gebruiker(s) – u wilt immers gebruikmaken van de door die gebruiker gegenereerde content. En ten tweede de positie van uw bedrijf ten opzichte van de aanbieder van de sociale netwerksite, wanneer u bijvoorbeeld van een bestaand platform gebruikmaakt om daar uw content te laten genereren.
Casus 3. Lancering van een nieuw social-mediaproduct door bedrijven
Gebruikmaken van social media lijkt bijna een must geworden binnen het bedrijfsleven. Gevestigde bedrijven zoeken de aandacht op Facebook en vergelijkbare platformen en bijna dagelijks worden initiatieven geboren van nieuwkomers op de social-mediamarkt. Een start-up kan het zich nog enigszins veroorloven fouten te maken in de bètafase (voor Google was dat zelfs het eindstation van veel van hun producten). Een slippertje wordt hen al gauw vergeven, de gebruikers zijn namelijk vaak ‘early adopters’ en zijn bereid wat experimenten tegemoet te zien om ‘on the cutting edge’ te blijven. Een bank, verzekeraar of overheidsinstantie daarentegen heeft vaak het duur gewonnen vertrouwen in stand te houden en moet de zorgvuldig opgebouwde reputatie beschermen. Voor die gevestigde bedrijven is het niet zo gemakkelijk een halffabricaat te lanceren dat tijdig inspeelt op de social-mediabehoefte van hun klanten. De afdelingen productontwikkeling en marketing stuiten dan gauw op een veto van de compliance- en de securityafdeling.
Een aantal gevestigde organisaties is de markt inmiddels wel aan het aftasten. Denk aan vliegtuigmaatschappij KLM, die het sinds kort mogelijk maakt voor passagiers om erachter te komen welke van hun Facebook- of Twitter-vrienden op dezelfde vlucht zitten en daarbij de optie verschaft om stoelen naast elkaar te reserveren.[http://www.bright.nl/vliegen-met-je-vrienden.] Wel zo prettig dat je van tevoren weet wie je gesprekspartner is op een lange vlucht. Een concurrent van KLM verkondigt dat zij met behulp van Google Images en gezichtsherkenning passagiers voortaan bij het instappen persoonlijk zal verwelkomen. Dit nieuws is niet overal even goed ontvangen.[http://www.theregister.co.uk/2012/07/05/british_airways_staff_google_images.] Zelfs de social-mediapioniers maken dus nog wel eens fouten. Facebook en LinkedIn hebben beide geëxperimenteerd met advertenties waarbij foto’s van hun gebruikers worden ingezet, wat tot veel kritiek van hun gebruikers en de publieke opinie heeft geleid.[http://nakedsecurity.sophos.com/2011/08/11/linkedin-copies-facebook-does-a-privacy-bait-and-switch.]
Juridische aandachtspunten
Gevestigde bedrijven zijn druk bezig met nadenken over hoe ze op een beheerste manier kunnen meedoen aan social media. Want inmiddels valt het gebruik hiervan niet meer weg te denken uit ons toekomstbeeld. Waar moeten zij aan denken voor zij een social-mediaproduct lanceren en wie zijn de beste gesprekspartners om dit mee te bespreken? Welke technologische aspecten spelen mee en welke wetten gelden? Hoe denkt de toezichthouder erover? Het hiervoor genoemde gebruik van gezichtsherkenning is bijvoorbeeld een heikel punt voor een Europese privacywaakhond.[http://tweakers.net/nieuws/83793/duitse-privacywaakhond-hekelt-gezichtsherkenning-facebook.html.]
Juridisch gezien zit er nog wel enig verschil in de situatie dat een volledig nieuw product in de markt wordt gezet of dat een gevestigd bedrijf gebruik wil gaan maken van bestaande sociale netwerksites (door bijvoorbeeld een eigen Facebook-pagina te openen). Om met het laatste te beginnen, indien je als bedrijf van bestaande netwerken gebruikmaakt, zul je akkoord moeten gaan met de voorwaarden die zij aan dat gebruik stellen. Het is daarom altijd zaak de algemene voorwaarden en het privacybeleid van deze sites goed te bestuderen. Is dit iets waar je als bedrijf mee uit de voeten kunt? Het nadeel van een dergelijke situatie is dat er praktisch gezien geen enkele onderhandelingsruimte bestaat over die voorwaarden. Het is een kwestie van slikken of stikken. Juist daarom is het raadzaam een jurist naar de voorwaarden te laten kijken om te bezien hoe die zich verhouden tot de bedrijfsvoering en te kijken waar mogelijke juridische risico’s liggen. Dat kan voor elk bedrijf weer anders zijn, vandaar dat wij hier niet specifiek op de details kunnen ingaan. Wel is het goed om in ieder geval de al eerder benoemde implicaties voor de intellectuele eigendom te bekijken. Dit hoeft voor een bedrijf geen showstopper te zijn, maar kan wel een reden zijn om niet alles te delen via social media.
Als een bedrijf zelf een nieuw social-mediaproduct in de markt zet, dient nog met een aantal extra zaken rekening te worden gehouden. Denk aan het hiervoor genoemde voorbeeld van de KLM-dienstverlening. In dat geval zal moeten worden bekeken welke eisen de privacywetgeving hieraan stelt. Mogen de gegevens voor dit doeleinde worden verwerkt? Hoe verkrijg ik toestemming en kan die ook weer worden ingetrokken? Moet dit gemeld worden aan het College Bescherming Persoonsgegevens? Worden er gevoelige gegevens verwerkt? Worden er koppelingen gelegd tussen het eigen klantenbestand (dat voor andere doeleinden is aangelegd) en de database van Facebook en hoe verloopt dit? Is de beveiliging van de app op orde? Dit zijn slechts enkele van de vragen die gesteld moeten worden. Ook iets om rekening mee te houden is de aanstaande meldplicht datalekken (de wijziging van de Wbp waarin deze zal worden opgenomen is inmiddels zeer ver gevorderd). Deze zal gelden voor alle verantwoordelijke verwerkers van persoonsgegevens, iets wat dus bij het nieuw in de markt zetten van een social-mediaproduct voor ogen gehouden moet worden. Het is daarbij van belang om niet alleen de beveiliging goed op orde te hebben, maar vooral ook te weten wanneer er een datalek heeft plaatsgevonden en wat voor acties in een dergelijk geval moeten worden ondernomen. Datalekken zullen onverwijld gemeld moeten worden, wat inhoudt dat u onder meer dient te weten wat voor gegevens gelekt zijn, hoeveel gegevens er gelekt zijn en welke maatregelen zullen worden ondernomen om de risico’s voor de privacy van personen in te dammen.
Conclusie
In de eerste casus is uiteengezet wat de aandachtspunten zijn bij het gebruik van social media in een werkgever-werknemerrelatie en in hoeverre een werkgever kan interveniëren in het social-mediagebruik van een werknemer. Hiermee is duidelijk geworden dat het gebruik van social media de nodige juridische implicaties met zich meebrengt. Het is daarom raadzaam een helder IT-beleid op te stellen dat duidelijke bepalingen omvat ten aanzien van het gebruik van social-mediaplatformen en deze al bij indiensttreding aan werknemers te communiceren.
Het is bij voorbaat echter moeilijk vast te stellen wat exact de juridische implicaties zijn bij het gebruik van social media in een werkgever-werknemerrelatie. Uit een verkenning van rechterlijke oordelen op dit terrein kan de conclusie worden getrokken dat ook de rechter zich sterk laat leiden door de concrete omstandigheden van het geval. Het verdient daarom aanbeveling om bij het opstellen van social-mediabeleid zorgvuldig te overwegen welke juridische aandachtspunten gelden, om zodoende toekomstige geschillen te voorkomen.
In dit artikel is ook het innovatief gebruik van social media door organisaties aangestipt. Veel toezichthouders raden als hulpmiddel een Privacy Impact Assessment aan alvorens wordt overgegaan tot het lanceren van een product waarmee persoonsgegevens zijn gemoeid.[http://www.ico.gov.uk/for_organisations/data_protection/topic_guides/privacy_impact_assessment.aspx.] Daarnaast is het concept van Privacy by Design van belang, dat inhoudt dat al vroeg in de ontwerpfase van een IT-oplossing rekening wordt gehouden met privacyverplichtingen. Dit geldt des te meer voor social-media-initiatieven. Het standpunt van de Europese toezichthouder is dat Privacy by Design onontbeerlijk is geworden in dit tijdperk.[http://www.cbpweb.nl/Pages/med_20101104_reactie_plan_reding.aspx.]
Ten slotte, als eenmaal een social-mediaproduct is gelanceerd, is het aan te bevelen om periodiek een privacy-audit te laten uitvoeren, om de continue compliance met de wetgeving te waarborgen. De beroepsgroep van IT-auditors beschikt hiervoor over NOREA-richtlijn 3600[https://www.privacy-audit-proof.nl.], ook bekend als het Privacy Audit Proof-keurmerk. Hiermee biedt deze richtlijn de beroepsgroep een middel om de grondslagen vast te stellen en aanwijzingen te geven voor de uitvoering van assuranceopdrachten op dit terrein.