Hierbij het tweede inhoudelijke artikel in de korte reeks “8vance en de AVG, geen match made in heaven”. Voor een inleiding van het onderwerp verwijs ik graag naar dit artikel. In het eerste inhoudelijke artikel ben ik in detail ingegaan op de privacyverklaring van 8vance om te onderzoeken of en zo ja in welke mate het bedrijf zich aan de Algemene verordening gegevensbescherming (AVG) houdt. In dit tweede artikel wordt ingegaan op het recht op inzage van de eigen gegevens (als onderdeel van de AVG, art. 15) om te onderzoeken welke persoonsgegevens 8vance opslaat en hoe dit zich verhoudt tot de AVG.

Introductie
Op 27 januari van dit jaar heb ik de functionaris gegevensbescherming van 8vance een verzoek gedaan om inzage te krijgen in mijn eigen gegevens die mogelijk binnen de database van 8vance aanwezig zouden zijn. Dit leidde op 26 februari (toevallig de dag dat 8vance een nieuwe privacyverklaring publiceerde) tot een onbevredigende reactie (er waren met mijn e-mail adres geen gegevens gevonden) maar in de rebound werd met mijn LinkedIn adres alsnog een enorme hoeveelheid persoonsgegevens aangetroffen. 8vance zegt hierover in haar reactie het volgende:

In this context, we confirm that 8vance also processed publicly available data from the LinkedIn profile that corresponds with the public link you provided us, namely your name and last name, your current and previous job details, education details, a limited number of publications that are shared within LinkedIn and your spoken languages.

Zoals zal blijken, is 8vance lang niet volledig in haar opsomming van persoonsgegevens die van mij worden gekopieerd. Zo vergeet de functionaris gegevensbescherming de LinkedIn link te vermelden; een persoonsgegeven maar ook een contactgegeven waarmee direct toegang kan worden gekregen tot mijn volledige publieke profiel. Maar er is meer, veel meer. Vergeef me in onderstaande opsomming de formattering van de gegevens, ik heb ze op deze manier van 8vance ontvangen en wilde ze onveranderd weergeven.

Persoonsgegevens van LinkedIn

8vance kopieert mijn naam (voor- en achternaam), functietitel, locatie (plaatsnaam), LinkedIn link, persoonsfoto en bio, naast provincie, landnaam en landcode, het aantal LinkedIn connecties (zonder LinkedIn links) en de achtergrond banner.  Hieronder is dat ook nog eens weergegeven, de gele markeringen tonen de onderdelen die als persoonsgegevens mogen worden gekwalificeerd:

8vance: gekopieerde gegevens van LinkedIn profiel Marc Drees, 1

Het volgende deel van de gegevensdump betreft de werkervaringen. Die zijn in mijn geval vrij talrijk, en 8vance heeft er 20 gekopieerd… En hiermee heeft het bedrijf al mijn werkervaringen vanaf 1990 die ik op LinkedIn heb gezet. 8vance toont zich extreem hongerig! En waartoe?

Hieronder een voorbeeld van zo’n werkervaring:

8vance: gekopieerde gegevens van LinkedIn profiel Marc Drees, 2

Werkgever, functie, startdatum, einddatum en omschrijving vormen bij elkaar een uiterst precieze vingerafdruk waarmee de achterliggende persoon in no-time mee kan worden geïdentificeerd. Deze gegevens zijn onderdeel van wat AVG als de economische identiteit en daarmee als persoonsgegeven(s) onderkent. Bij meerdere werkervaring wordt deze vingerafdruk alleen maar preciezer. De naam van de werkgevers is hierbij zelfs niet noodzakelijk.

Gaan we verder met het onderdeel opleidingen:

8vance: gekopieerde gegevens van LinkedIn profiel Marc Drees, 3

Ook opleidingen worden door 8vance overgenomen, waarbij de naam van het opleidingsinstituut, de opleiding, start- en einddatum en een beschrijving van de opleidingen worden opgeslagen. 8vance heeft van mij alle opleidingen overgenomen in het profiel. Het is niet zo dat opleidingsgegevens sec tot een identificatie van een persoon zullen leiden, maar wel in samenhang met andere gegevens.

Dan nu de talen:

8vance: gekopieerde gegevens van LinkedIn profiel Marc Drees, 4

Van talen wordt de taal en de proficiency opgeslagen. Dit zijn geen persoonsgegevens en voor zover ik kan bedenken zijn het ook geen gegevens die mee kunnen helpen met identificatie van een persoon.

En dan nu een zeer bijzondere groep aan gegevens, namelijk het onderdeel People also viewed:

8vance: gekopieerde gegevens van LinkedIn profiel Marc Drees, 5

Het gaat hier om gegevens van LinkedIn gebruikers die ook zijn bekeken door LinkedIn gebruikers die mijn profiel hebben bekeken (People also viewed). WTF?

8vance heeft de naam (voor- en achternaam), LinkedIn link en de pasfoto van maar liefst 20 personen  in mijn LinkedIn profiel opgeslagen als persoonsgegevens/contactgegevens (van anderen dan ikzelf). Waarom? Kan 8vance de doelbinding hier even komen uitleggen?

Voor lezers die niet precies weten wat ik bedoel, het gaat om de gegevens van LinkedIn gebruikers die je online kan zien als je naar iemands profiel kijkt:

Profielpagina N.N. met de sectie People also viewed in rood omkaderd

Is dit een vorm van profielfarming? Daar lijkt het wel op. Met deze LinkedIn urls kunnen weer nieuwe persoonsprofielen worden gemaakt.

En het wordt nog een stukje merkwaardiger, want LinkedIn verzameld ook nog de persoonsgegevens/contactgegevens van LinkedIn gebruikers die dezelfde naam hebben als ik:

8vance: gekopieerde gegevens van LinkedIn profiel Marc Drees, 6

In mijn geval heeft 8vance vier keer een LinkedIn profiel van Marc Drees opgeslagen; de naam (voor- en achternaam), LinkedIn link, pasfoto, locatie en functienaam. Waarom?? Deze naamgenoten zijn mij allemaal volledig onbekend. Waarom wordt dit in mijn 8vance profiel opgeslagen?

En dan zijn er nog de publicaties, waarvan ik er 4 in mijn LinkedIn profiel heb opgenomen; en ik heb ook 4 publicaties in mijn 8vance profiel aangetroffen:

8vance: gekopieerde gegevens van LinkedIn profiel Marc Drees, 7

Ook dit zijn persoonsgegevens; hiermee is de achterliggende auteur zeer simpel te achterhalen. Titel publicatie, publicatiedatum, samenvatting.

En dan zijn er ook nog de berichten die op LinkedIn zijn gepubliceerd, in mijn geval zijn het de 9 laatste berichten (van ongeveer een half jaar geleden):

8vance: gekopieerde gegevens van LinkedIn profiel Marc Drees, 8

Berichttitel, snippet bericht, bericht url, afbeelding. Inderdaad ook hier is de bron heel makkelijk te achterhalen en daarmee gaat het wederom om persoonsgegevens.

En dat was het. Dat is de berg aan gegevens die 8vance over mij van LinkedIn heeft verzameld. Zonder toestemming te vragen aan LinkedIn en wat mij betreft nog een stuk belangrijker, zonder toestemming aan mij te vragen!

Ik heb al deze informatie in LinkedIn gevoerd om mij moverende redenen. En daar is geen reden bij waar ik zonder mijn medeweten in een ‘match’database wordt geplaatst en in de trainingsdata voor een AI-model.

Begeleidende brief van 8vance

Naast deze XML-dump heb ik ook nog een schriftelijke reactie van 8vance gekregen. Deze geef ik hieronder weer, met annotaties van mijn hand (in schuinschrift, voorafgaand door MD:)

Dear Mr. Drees,
Thank you for your reply dated 28 February.

We hereby confirm that 8vance processes your personal data, based on the public link to your LinkedIn profile that you provided in your mail. In order to answer your questions and to satisfy your request under Article 15 GDPR, we kindly inform you as follows.

At 8vance we have 2 sets of data that involves data of individuals that can be searched:

1. Indexed public data of talent profiles for our search and match (set 1)
2. User data of our platform users for our search and match (set 2)

At 8vance we also have training data, but that does not contain data of individuals anymore. In training data, information like individual names and contact details, company names and detail and more, is deleted and cannot be retrieved anymore to ensure privacy and avoid bias.
MD: 8vance stelt dat ze een database heeft voor search & match en een database met trainingsdata waar persoonsgegevens verwijderd zijn. Er vanuit gaande dat de trainingsdata afkomstig is uit de search&match database kan een gebruiker die wil worden vergeten niet uit de trainingsdatabase worden verwijderd. Dit lijkt me direct in strijd met de AVG.

Categories of data and processing use (purposes). 8vance has developed a search engine that describes public talent profiles through a list of characteristics in a standardized way within the 8vance platform. This list of characteristics is then used to make a possible match to a profile desired by an 8vance user, such as a company or organization. As input for the search engine, we use both data provided by the candidates themselves (set 2, an account as created in our website) as well as from profiles that are publicly visible on the internet (set 1).

In this context, we confirm that 8vance also processed publicly available data from the LinkedIn profile that corresponds with the public link you provided us, namely your name and last name, your current and previous job details, education details, a limited number of publications that are shared within LinkedIn and your spoken languages.

MD: Zoals uit de bespreking is gebleken, zijn er aanzienlijk meer persoonsgegevens door 8vance opgeslagen dan wat hier door het bedrijf wordt genoemd. Inclusief persoonsgegevens van tientallen personen die niets met mij van doen hebben…

Copy. Regarding your request to receive a copy of the personal data we process, please find attached a document containing all personal data, also corresponding with your public LinkedIn profile.

Recipients. As mentioned in our privacy statement, we engage with IT service providers and other third parties to be able to provide our services to our users. In this case, 8vance has provided your personal data to the following (categories) of recipients: a limited number of employees of 8vance Matching Technologies B.V. (only those who are authorized to access to properly perform their function) and the following companies that process data on behalf of and for 8vance in the capacity of data processor: our daughter company Spyhce srl and Amazon AWS.

Data transfers and safeguards. With regard to the transfer of your data to third countries and/or international organizations, we refer you to our privacy statement as published on our website. In addition, we hereby specify that your personal data is stored (at Amazon AWS) within the European Economic Area.

Retention periods. 8vance retains in general data, including personal data, for as long as necessary to provide its services. More specifically, the publicly available data (which includes the data from the LinkedIn profile that corresponds with the public link you provided us) is refreshed every six months. This data is completely removed in case our service is discontinued or if the public profile is no longer (publicly) available.

MD: 8vance is dus een Hotel California toepassing. Je komt er (volledig ongemerkt) in, maar je gaat er nooit meer uit.

Sources of personal data. As explained above, 8vance processes personal data provided by the candidates themselves (in their account as created in our website) and also from business profiles that are publicly visible through online business platforms. The information source in question is your publicly visible LinkedIn profile.

MD: Hierover is al een langdurige Twitter discussie tussen mij en Laurens Waling (chief evangelist 8vance) gaande, waarbij ik hem (bij herhaling) vraag om te vertellen welke andere online business platform door 8vance worden afgegraasd. Om voor mij volstrekt onbekende redenen wordt hier geen antwoord op gegeven. We kunnen overigens zonder al teveel speculatie aannemen dat LinkedIn verreweg de grootste (of misschien zelfs de enige) bron is en dat, als er andere bronnen zijn, dat ook die bronnen zonder toestemming worden gescraped.

No automated decision-making. As explained above, 8vance provides an AI-based searching tool to help finding job candidates with the desired skills. This tool only helps with the searching process, but the actual selection and contacting of a candidate is done by the 8vance user himself. Because there will always be human intervention, there is no automated decision-making.

Data breaches. We are not legally required to inform data subjects about a data breach unless the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons pursuant to Article 34(1) GDPR. However, in order to be of service to you, we hereby confirm that, to the best of our knowledge, your personal data has not been the subject of any data breach at 8vance.

Security measures. We are not legally required to further specify (subject to the information provided in our privacy statement as published on our website) which security measures we put in place as this is not to be understood as being personal data. This information is therefore not covered by the right of access. We can nevertheless confirm that we have taken appropriate organizational and technical measures to secure your personal data that we process. 

As to 8vance account information (set 2), as already stated in our previous correspondence, you contacted us from an email address that does not match any email addresses of our registered users. Assuming you have registered for an account to our services, we kindly ask you to send us your request from the relevant e-mail address, allowing us to verify that you are entitled to information regarding personal data from a user account that is linked to that particular email address. This is due to the identification obligation incumbent on us under Article 12(6) GDPR). Once we have received the request from the relevant email address, we have adequately established your identity and will proceed with responding to your questions regarding your account information, where applicable.

Yours sincerely,

Slotopmerkingen

Laat ik de bevindingen van de twee artikelen kort samenvatten:

1. 8vance kopieert zonder instemming massaal persoonsprofielen van LinkedIn (en eventueel andere sociale zakelijke netwerken).
2. 8vance slaat een ongekende hoeveelheid persoonsgegevens per profiel op.
3. 8vance slaat contactgegevens (LinkedIn url) per profiel op.
4. 8vance informeert betrokkenen niet hoewel dit volgens art.14 AVG vereist is.
5. 8vance gebruikt deze persoonsprofielen om haar klanten mee naar kandidaten te laten zoeken voor recruitmentdoeleinden. Voor Nederland spreekt 8vance over bijna 7 miljoen persoonsprofielen die door haar klanten doorzocht kunnen worden. Dat is een zeer fors deel van de Nederlandse beroepsbevolking. Deze profielen bevatten ook persoonsgegevens als voor- en achternaam.
6. Via de eveneens opgeslagen contactgegevens kunnen klanten direct contact zoeken met nietsvermoedende LinkedIn gebruikers.
7. 8vance gebruikt een gereduceerde set aan kenmerken van deze persoonsprofielen om AI-model(len) te trainen. Deze AI-model(len) vormen de basis voor haar zoektechnologie die door klanten worden gebruikt om te zoeken in de database onder 4.
8. 8vance vraagt op geen enkel moment toestemming aan de natuurlijke personen die achter deze persoonsprofielen zitten.
9. 8vance slaat de gekopieerde profielen voor onbeperkte tijd op, met een update per zes maanden.

In principe weten grofweg 85 miljoen mensen niet dat ze in een database van 8vance zitten. Een database die gebruikt worden voor commerciële doeleinden waarbij deze mensen de handelswaar zijn. 8vance biedt geen compensatie aan personen die in haar database zitten. In theorie kunnen deze 85miljoen mensen hun hele werkzame leven in een database van 8vance zitten.

8vance gebruikt een subset van de gegevens van gekopieerde profielen om een trainingsset voor haar AI-model te realiseren. Na training wordt dit model gebruik in de zoektechnologie. 8vance claimt dat de trainingsset geen identificerende gegevens heeft. Hiermee kan een persoon die van zijn/haar/x recht om te worden vergeten gebruik wil maken wel uit de database worden verwijderd maar niet uit de trainingsset! Hiermee kan 8vance niet voldoen aan haar uit de wet voortvloeiende plicht om de persoonsgegevens te verwijderen.

Tegen deze achtergrond begrijp ik in alle oprechtheid niets van de keuze(s) die UWV heeft gemaakt. Of bedrijven zoals Alliander, Stedin, Van Gelder, Enexis Tennet, KPN, Van Voskuilen Infratechniek (gezamenlijk Arbeidsmatchplatform) die voor 8vance (Jobliebe) hebben gekozen. Of alle andere bedrijven die van gelijkaardige oplossingen als Arbeidsmatchplatform gebruik maken.

Of een respectabel instituut als de Universiteit Twente waar 8vance participeert in een onderzoek mbt mensen met een arbeidsbeperking.

Of een bank als ABN AMRO. Of alle platformen binnen het HR-domein die 8vance de gelegenheid bieden om haar diensten te promoten. Of een Autoriteit Persoonsgegevens die hier niet allang op heeft inbegrepen. Of de politiek die hier nog altijd geen kamervragen over heeft gesteld.

Samenvattend:
Zonder instemming 85+ miljoen profielen met massa’s persoonsgegevens en contactgegevens gescraped van sociale zakelijke netwerken (lees: met name LinkedIn), een dienst vergelijkbaar met LinkedIn opgezet, met (onder meer) profielen van LinkedIn. Zonder toestemming of medeweten van de achterliggende natuurlijke personen…

En dat al vele jaren lang…

In Nederland…

Hoe dan?