Beste Google, vertel ons meer over wat je verwijdert

Een jaar geleden bepaalde het Europese Hof van Justitie in de Google Spain-uitspraak dat mensen het recht hebben om zoekresultaten te laten verwijderen voor zoekopdrachten waar hun naam in voorkomt. Vrij snel na de uitspraak van het Hof creëerde Google een online formulier waarmee mensen een verwijderverzoek kunnen indienen. Eén jaar later en ruim 250.000 verwijderverzoeken verder weten we nog altijd weinig over de uitwerking van de Google Spain-uitspraak. Een internationale groep van onderzoekers stuurt daarom vandaag een open brief aan Google met de vraag om meer informatie beschikbaar te maken over de beslissingen die het internetbedrijf neemt over deze verwijderverzoeken.

In de Google Spain-zaak moest het Hof zich buigen over de lastige vraag of mensen het recht hebben op verwijdering van zoekresultaten die op hen betrekking hebben. In deze zaak ging het om een oud krantenbericht over Mario Costeja Gonzáles in La Vanguardia dat eenvoudig was te vinden door in Google te zoeken op zijn naam. In het krantenbericht werd de veiling van onroerend goed wegens door Costeja Gonzáles gemaakte sociale zekerheidsschulden aangekondigd. Omdat het bericht al vijftien jaar oud was, meende de Spanjaard dat het krantenbericht in kwestie niet langer relevant was. Hij eiste daarom dat Google het bericht niet meer zou tonen in zijn zoekresultaten.

Het Hof oordeelde dat mensen het recht hebben om zoekresultaten voor zoekopdrachten op hun naam te laten verwijderen als die zoekresultaten “ontoereikend, niet of niet meer ter zake dienend of bovenmatig” zijn (Google Spain, par. 94). Met dit recht kan bijvoorbeeld Costeja Gonzáles voorkomen dat hij tot in lengte van jaren wordt geassocieerd met zijn vroegere schulden. Ook bijvoorbeeld een slachtoffer van een misdrijf kan door de uitspraak van het Hof voorkomen dat verouderde berichtgeving over dat misdrijf wordt weergegeven als mensen zoeken op zijn naam. Het is daarbij niet van belang dat de informatie rechtmatig op internet is gezet. Bovendien hoeft iemand die een website uit de zoekresultaten wil laten verwijderen niet eerst de websitehouder aan te spreken.

De uitspraak van het Hof is gebaseerd op de Richtlijn Bescherming Persoonsgegevens en het Handvest van de Grondrechten van de Europese Unie dat in artikel 7 en 8 het recht op privacy en bescherming van persoonsgegevens beschermt. Onder bijzondere omstandigheden kan het zo zijn dat een resultaat niet verwijderd hoeft te worden, bijvoorbeeld als de informatie betrekking heeft op een publiek persoon. Daarmee doet het Hof tot op zekere hoogte recht aan de vrijheid van meningsuiting, in het bijzonder het recht om informatie te ontvangen en te vergaren. Echter, het recht op vrije meningsuiting en informatievergaring wordt niet met zo veel woorden genoemd, noch in al zijn facetten door het Hof behandeld. Samen met Frederik Zuiderveen Borgesius schreef ik daarom eerder dat het Hof in zijn uitspraak onvoldoende aandacht heeft geschonken aan de vrijheid van meningsuiting.

De Google Spain-uitsprak gaf in Nederland aanleiding tot Kamervragen. Twee Nederlandse rechters hebben inmiddels uitspraak gedaan in twee concrete gevallen (Vzr. Rb. Amsterdam, 12 februari 2015, ECLI:NL:RBAMS:2015:716; en Hof Amsterdam, 31 maart 2015, ECLI:NL:GHAMS:2015:1123). Ook de Artikel 29 Werkgroep, een Europees adviesorgaan voor bescherming van persoonsgegevens en privacy, heeft richtsnoeren opgesteld voor nationale privacy-toezichthouders over hoe de Google Spain te interpreteren. Zelfs de Europese Commissie biedt in een factsheet een overzicht van de consequenties van de uitspraak van het Europese Hof van Justitie.

Echter, in de Google Spain-uitspraak wordt de beslissingsverantwoordelijkheid primair bij de zoekmachine exploitant neergelegd. Het is dus aan de zoekmachine om in eerste instantie een verwijderverzoek te beoordelen. Met name Google heeft er door zijn grote marktaandeel daarom een nieuwe en belangrijke verantwoordelijkheid bij. Sinds de uitspraak van het Hof heeft Google al meer dan 250.000 verwijderverzoeken ontvangen. Vanuit Nederland werden er ruim 15.000 verzoeken ingediend. Nederland is daarmee nummer twee op de ranglijst van verwijderverzoeken. In ongeveer 42% van de Nederlandse gevallen is Google daadwerkelijk overgegaan tot verwijdering voor zoekresultaten voor een naam.

Google geeft nauwelijks inhoudelijke informatie over zijn beslissingen op deze verzoeken. Het bedrijf geeft slechts enkele voorbeelden van beslissingen zonder al te diep in te gaan op specifieke omstandigheden. Google blijft ook op de vlakte over de criteria voor de beoordeling van verwijderverzoeken. Het is daarom moeilijk voor het publiek om te weten welke informatie, om welke reden onvindbaar wordt gemaakt. Ook het Nederlandse College Bescherming Persoonsgegevens heeft slechts zicht op het topje van de ijsberg. In november 2014, berichtte het Nederlandse College Bescherming Persoonsgegevens dat het door ongeveer 30 mensen om hulp was gevraagd. Dit gebrek aan informatie maakt het erg lastig om controle uit te oefenen op Google’s beslissingen.

Hoewel academici van mening verschillen over de Google Spain-uitspraak (zie dit overzicht), is de wenselijkheid van meer informatie over de afwegingen die zoekmachines maken onomstreden. Google stelde na de uitspraak een ‘Advisory Council in van onafhankelijke experts om het bedrijf te helpen een balans te vinden tussen het individuele recht om vergeten te worden en het recht van het publiek op toegang tot informatie. In het rapport van de adviesraad wordt gewezen op het belang van transparantie met betrekking tot de criteria voor de beoordeling van verwijderverzoeken.

Om onderzoek naar de uitwerking van de Google Spain-uitspraak mogelijk te maken is meer informatie van Google nodig. Ellen P. Goodman 
(Rutgers University School of Law) en Julia Powles (University of Cambridge en The Guardian) sturen daarom vandaag een open brief aan Google om het bedrijf te verzoeken meer informatie openbaar te maken. Een grote groep van internationale internetonderzoekers – waaronder ikzelf – heeft die open brief meeondertekend.

In de open brief vragen wij naar meer gedetailleerde informatie over de verwijderverzoeken die Google ontvangt en de beslissingen die het daarover neemt. Ons streven is niet dat ieder verzoek openbaar wordt gemaakt. Dat doet Google wel met zoekresultaten die worden verwijderd in verband met auteursrechtschendingen. Een vergelijkbare openbaarheid zou de privacybelangen kunnen schaden van personen die een verwijderverzoek indienen.

Wel vragen wij of er lijnen zijn te ontdekken in de verwijderverzoeken en Google’s beslissingen. Op basis van welke argumenten wordt een zoekresultaat gehandhaafd of verwijderd, en is daarvan een becijferd overzicht te geven? Wat voor soort webpagina’s worden er verwijderd uit de zoekresultaten: artikelen op nieuwswebsites, berichten op sociale media, pagina’s uit openbare registers? Met andere woorden: Beste Google, vertel ons meer over de implementatie van de Google Spain-uitspraak van het Europese Hof van Justitie.

Klik hier om de open brief te lezen.

Embedding Getty Images: Free or a Trojan Horse?

Getty Images, one of the big players in image licensing, recently announced that it allows free embedding of about 35 million pictures in its database. “Free” in the sense that you do not need to pay a licence-fee to Getty to use the images. But, really free? No. There are a few catches. But first, how does embedding a picture work?

How does it work?
It is really simple. You can search Getty’s database and click on the embed-button (“</>”) when you find a picture that you would like to use. You are then presented with a small piece of HTML-code that you can copy and paste into your website’s code. Below you find an example of an embedded picture. A nice pic of an early morning in the Italian Alps, made by Giorgio Fochesato, clearly sponsored by “gettyimages”:

In an article in the British Journal of Photography, Getty’s policy change towards free non-commercial use is explained by Craig Peters, senior vice president of business development:

“We’re really starting to see the extent of online infringement. […] In essence, everybody today is a publisher thanks to social media and self-publishing platforms. And it’s incredibly easy to find content online and simply right-click to utilise it.”

Getty’s solution is an embed-tool that enables to freely embed Getty images for non-commercial purposes. That of course seems like great news for bloggers and others that want to spice up their websites with nice pictures. Honestly, this blog looks a lot better with pictures on it, doesn’t it?

The conditions for use
The conditions for use of Getty’s images can be found in Getty’s terms. Images may only be used “for editorial purposes (meaning relating to events that are newsworthy or of public interest).”

Images may not be used “(a) for any commercial purpose (for example, in advertising, promotions or merchandising) or to suggest endorsement or sponsorship; (b) in violation of any stated restriction; (c) in a defamatory, pornographic or otherwise unlawful manner; or (d) outside of the context of the Embedded Viewer.”

What is commercial use?
Commercial use seems the be most important bar to use of Getty’s images. The difficulty is of course: how does one define commercial use in this context? Is use on a blog that generates some revenue through advertising commercial use? And what about a big news website? According to Getty Images, both parties would be allowed to freely embed pictures:

“Blogs that draw revenues from Google Ads will still be able to use the Getty Images embed player at no cost. “We would not consider this commercial use,” says Peters. “The fact today that a website is generating revenue would not limit the use of the embed. What would limit that use is if they used our imagery to promote a service, a product or their business. They would need to get a license.” A spokeswoman for Getty Images confirms to BJP that editorial websites, from The New York Times to Buzzfeed, will also be able to use the embed feature as long as images are used in an editorial context.”

Getty thus seems to allow everyone who writes in an “editorial context” to use the Getty images. That is quite revolutionary!

Where is the catch?
Well, there are a few catches. When you embed a picture, you literately import a webpage stored at Getty’s servers into your own webpage. In essence, this means that Getty stays in control over its content. If Getty changes anything to these picture-pages, your webpage automatically changes too. For instance, in its terms, Getty reserves the right to “in its sole discretion to remove Getty Images Content from the Embedded Viewer.” Getty may thus remove pictures from your webpage without you even noticing it.

Advertising
Getty does not only stay in control of its own content, it also gains control over the content on your webpage. From Getty’s terms:

“Getty Images (or third parties acting on its behalf) may collect data related to use of the Embedded Viewer and embedded Getty Images Content, and reserves the right to place advertisements in the Embedded Viewer or otherwise monetize its use without any compensation to you.”

By embedding Getty’s pictures, you allow Getty to display advertisements on the embedded part in your webpage. And worse, Getty may “monetize” use of the embed-tool, which of course predicts little about what Getty will actualy put on your site. While, as of now there may be no advertisements on top or around embedded pictures, there may be in the near future:

“Getty Images will also look to draw additional revenues from its player through advertising. “We reserve the right to monetise that footprint,” Peters explains. “YouTube implemented a very similar capability, which allows people to embed videos on a website, with the company generating revenue by serving advertising on that video.” And while Getty Images has yet to determine how these ads will appear, Peters is confident that this capability will be introduced in the near future.”

Privacy
But there is more. From the above outtake from Getty’s terms, it also becomes clear that Getty, or others on behalf of Getty, may collect data from your website. That points in the direction of a new business for Getty: with its embedding tool, Getty hopes to jump on the data collection train. With every embedded picture on a webpage, Getty has a beacon on that webpage that allows it to receive “data related to use of the Embedded Viewer and embedded Getty Images Content”, including data on visitors of your website. That is of course a vague description of the data that Getty could gather, which makes the privacy-implications of embedding Getty images hard to predict. Getty could collect only innocent data on for instant how many times an image is used, but it could also bring Getty closer to building a Googlesque database on internet use. Either way, one thus better updates his privacy policy to inform his vistors when allowing in this possible trojan horse.

Open Data and Privacy: Two Sides of the Same Coin

I’ve written on open data and privacy before here and here. The release of large amounts of public open data require a serious analysis of the privacy-risks. The more data that is out there, the easier it becomes to de-anonymize and de-aggregate the data. Think first, then act. In the Netherlands, a serious analysis of the impact of open data policy on privacy is still lacking.

In the UK, there seems to be a greater awareness of how the release of large amounts of public data could have a negative effect on privacy. Information commissioner Christopher Graham on the issue:

The Information Commissioner’s Office (ICO) has been closely engaged with the Cabinet Office in its work on this, Graham says. And he is glad that the ICO’s role is being recognised and some of the areas where it believes caution is required are being addressed.

They include the anonymisation of data where, Graham says, there is a lot of work still to be done. His office is currently consulting on a draft code of practice on anonymisation and it is tendering for a contract to set up a ‘good practice network’ for anonymisation, intended to develop expertise and spread good practice.

“It’s important to get this right, because there’s a view that anonymisation is a mirage, and that through two bits of information you can always work out who the individual is,” Graham says.

“We think that concern is overdone, in the sense that where things have gone wrong, research shows that it’s because a basic step hasn’t been taken.” (Source: The Guardian)

This greater awareness can be explained partly by the fact that in the UK, the promotion of access to official information and protection of personal information are both tasks of the Information Commissioner’s Office, whereas in the Netherlands, these tasks are separated. Freedom of information and open data are promoted by the the Ministry of the Interior, and data protection is a task of the Dutch Data Protection Agency.

Also in the UK Cabinet Office’s open data white paper, attention is paid to privacy:

We are announcing the appointment of a privacy expert to the Public Sector Transparency Board to make sure we bring in the latest expertise on privacy measures. More broadly, we’re making sure that privacy experts are brought into all sector panel discussions across Whitehall when data releases are being considered. […]

Therefore privacy is not to be considered as an afterthought. Privacy issues will be considered alongside transparency at the beginning of all discussions concerning the release of a new dataset, which is why we are appointing a privacy expert to the Public Sector Transparency Board. This appointment is one of the key recommendations of the O’Hara report.

Open data and privacy are two sides of the same coin. They need an integrated policy. I hope this gets through to the Dutch open data movement soon.