Via een Israëlisch bedrijf genaamd Lusha worden telefoonnummers van BN’ers en politici publiek aangeboden, zo meldde dagblad Trouw deze week. Het bedrijf biedt een browser-extensie waarmee LinkedIn-pagina’s kunnen worden ‘geschraapt’: alle nuttige informatie over de eigenaar wordt met een druk op de knop verrijkt met allerlei gegevens uit ‘andere openbare bronnen’. Journalisten konden na wat onderzoek privénummers achterhalen, onder meer van ministers en kunstenaars, en stelden aan de kaak of dat wel mag. Waarschijnlijk niet, concludeerde Gert-Jan Zwenne in het artikel in Trouw. Hoe wordt dit dan toch juridisch rechtgebreid? En is het wenselijk en mogelijk om dit soort diensten aan banden te leggen?
Lusha blijkt te werken in twee stappen: eerst wordt nagegaan over wie er informatie doorgegeven dient te worden aan de hand van gegevens op het LinkedIn profiel, vervolgens wordt via aanvullende bronnen nog veel meer informatie over deze persoon opgezocht. Zo krijgt de verzoeker alle beschikbare informatie, een ‘business profile’ genoemd, met één druk op de knop aangeleverd.
Op de speciale pagina gewijd aan de AVG op de Lusha-website staat in vette letters: “Lusha services comply with the GDPR”. Geruststellende gedachte, maar hoe dan? Het bedrijf zegt geen toestemming nodig te hebben omdat het een gerechtvaardigd belang heeft bij het verzamelen van de informatie. Wat dat belang dan is, wordt samengevat als: het bestrijden van fraude en zorgen dat online identiteiten geverifieerd kunnen worden. Niet helemaal overtuigend: hoe is het publiekelijk verspreiden van iemands telefoonnummer een geschikt middel om fraude te bestrijden?
Een minder vergezochte overweging bij zulke dienstverlening zou kunnen zijn: wij verdienen geld en dat is een zwaarwegend belang. De betrokkene heeft de informatie zelf gedeeld (bijvoorbeeld op LinkedIn). Daarbij is het zakelijke informatie en dus is het handig als die zoveel mogelijk verspreid wordt. Daarom weegt het belang om die gegevens openbaar aan te bieden zwaarder dan het privacybelang van de betrokkenen. Moet je maar beter uitkijken wat je op internet gooit, toch?
Die vlieger gaat natuurlijk niet zomaar op. Zakelijke informatie die herleidbaar is tot een persoon heeft precies dezelfde bescherming als privé-informatie. Een zuiver commercieel belang kwalificeert bovendien niet als gerechtvaardigd belang, daar is de Autoriteit Persoonsgegevens (AP) duidelijk in. Wat de wettelijke grondslag betreft is het dus nog geen zekerheid, dat voldoen aan de AVG.
Een andere uitdaging voor Lusha is de plicht om betrokkenen direct te informeren zodra je persoonsgegevens van ze verwerkt. Hoe je aan persoonsgegevens komt maakt onder de AVG, plat gezegd, niet uit voor de vraag of je ze mag verwerken (voor de verstrekkende partij is het natuurlijk wél relevant of die verstrekking legaal is). Er dient echter wel op het moment van verkrijgen een bericht, bijvoorbeeld een mailtje, naar de betrokkene uit te gaan met de strekking: “Goedemiddag, u kent ons niet maar FYI: wij hebben uw gegevens verzameld en doorgegeven aan een andere partij omdat die ons dat heeft gevraagd. Laat het ons even weten als u dit niet op prijs stelt.” Dat gebeurt hoogstwaarschijnlijk niet, omdat de database dan snel leegloopt door alle verwijderverzoeken en ook het aantal klachten bij de toezichthouder snel zal toenemen. Die rechten hebben betrokkenen immers natuurlijk ook altijd.
Waarschijnlijk weten aanbieders als Lusha heel goed dat deze handelswijze juridisch op of over het randje is. Een goede privacy-expert die een sluitend GDPR-verhaal kan opstellen met de tekst “Wij voldoen aan de AVG!” zal tussen neus en lippen door ook laten vallen dat er wat bochten worden afgesneden. Tegelijk is het scrapen van openbare databases een veel voorkomende praktijk waarbij de grenzen nog niet glashelder zijn. Kort gezegd: iedereen weet dat het gebeurt, niemand weet wat mag en wat niet. LinkedIn zelf verbiedt overigens in haar eigen voorwaarden wel het scrapen met behulp van software. Dit lijkt daar, in ieder geval deels, onder te vallen. Het is de vraag of dit soort relletjes ertoe leiden dat daar strenger tegen wordt opgetreden.
Een bedrijf als Lusha zal een risicoafweging maken: zolang er niet wordt gehandhaafd is het een verdienmodel. De Autoriteit Persoonsgegevens geeft aan bekend te zijn met dit soort diensten, maar er nog geen onderzoek naar te doen. Of deze houding op de lange termijn loont, met het oog op mogelijke sancties die (ook zonder eerst te waarschuwen) opgelegd kunnen worden, valt te bezien.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.