Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik ben een reviewer, want dat vind ik leuk. In de afgelopen jaren heb ik meer dan 140 online reviews geplaatst. … Nu heb ik afgelopen week een héééle nare ervaring gehad met een bedrijf, en voor het eerst een slechte review geschreven waarbij ik heb beschreven hoe mijn ervaring was en hoe ik naar mijn idee ben behandeld. Nu heeft dat bedrijf (een huidkliniek) mijn persoonlijke gegevens die ik in vertrouwen heb gegeven in hun systeem opgezocht en spreken zij me in hun review antwoord aan met mijn volledige paspoortnaam en zeggen ze dat ik lieg. … Mag dit zomaar? Wat zouden jullie daarmee doen?
Antwoord: De reviewer gebruikt (zoals velen) een bijnaam, wat online erg verstandig is. Maar bij het recenseren van producten of diensten kan de wederpartij natuurlijk vaak achterhalen om wie het gaat. Ook dat is verstandig: wie niets doet tegen neprecensies, kan zomaar onderuit gaan als bedrijf.
Dat het bedrijf opzoekt om wie het ging, vind ik dus logisch. Vervolgens intern nazoeken wat er is gebeurd en meneer benaderen lijkt mij ook geheel in orde (ook AVG-technisch, after sales service is gewoon toegestaan natuurlijk). Maar de naam online zetten in een reactie op de recensie?
Je zou dit kunnen zien als doxxing, het strafbare feit uit art. 285d Sr van het verspreiden van persoonsgegevens “met het oogmerk om die ander vrees aan te jagen”. Dat gaat me wat ver, maar ik zie hoe het intimiderend over kan komen. En het is denkbaar, dat je iemands echte naam gebruikt in de hoop dat die schrikt en de recensie weghaalt – dan gaat de reactie met echte naam ook weg.
Mag het van de AVG? Het is natuurlijk een verwerking van persoonsgegevens. Op het eerste gezicht: ja, je mag een klant met diens naam aanspreken (natuurlijk). Maar, dat gebeurt hier allereerst op een openbaar forum en niet in zeg een telefoongesprek of mailbericht. (Het is denkbaar dat de kliniek dacht een privébericht te sturen; in dat geval zou weghalen geen probleem moeten zijn.)
Ten tweede wordt hier die echte naam verbonden aan een gezondheidsgegeven, want we hebben hier te maken met een huidkliniek. En daarmee onthult de kliniek dus een medisch gegeven over een klant, wat zeer zeker niet recht te breien is onder de AVG. Je kunt dan zowel de kliniek als de reviewsite verzoeken deze informatie weg te halen.
Maar of je het nu onder het strafrecht of via de AVG wilt benaderen, het probleem blijft natuurlijk dat niemand je erbij gaat helpen. De meest aangewezen partij is de reviewsitebeheerders, die onder de DSA moeten handelen op je klacht dat er onrechtmatig persoonsgegevens (of je privacy) wordt geschonden. Aangifte lijkt me kansloos.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.