Dit is een deel van een e-mail die ik op 12 maart naar het ministerie van SZW heb gestuurd in verband met de 8vance/UWV saga:
Het betreft een Nederlands bedrijf dat software/diensten ontwikkelt voor het HR domein en daarbij massaal (meer dan 85 miljoen persoonsprofielen die zonder toestemming van de bron zijn gekopieerd en vervolgens, zonder toestemming van de achterliggende natuurlijke personen exploiteert) de AVG overtreedt.
UWV heeft vorig jaar een langlopend contract met dit bedrijf gesloten voor het leveren van haar software.
Een maand later (10 april) ontving ik deze reactie van het ministerie van SZW:
UWV heeft aangegeven dat een externe partij op korte termijn een audit gaat uitvoeren. Daarbij wordt onder meer getoetst of betreffende bedrijf voldoet aan de AVG.
Deze audit wordt naar verwachting rond de zomer afgerond.
Ik wil u bedanken voor uw melding en aanbod een nadere toelichting te geven. Het lijkt me verstandig om voor nu de uitkomsten van de audit af te wachten.
Daar heb ik dezelfde dag nog op gereageerd met o.m. het volgende:
Hartelijk dank voor uw reactie. Het gaan uitvoeren van een audit klinkt als een stap voorwaarts en een mogelijk lichte koersverandering bij UWV. Ik heb echter mijn zorgen over de onafhankelijkheid van de uit te voeren audit.
Gezien de tot op heden starre ontkenning van UWV van (eventuele) overtredingen door 8vance van de AVG kan ik niet anders dan mijn zorg uitspreken over de objectiviteit van de informatievoorziening door UWV aan de externe partij om haar onderzoek te starten en uit te voeren. Ik zou daarom graag in de gelegenheid worden gesteld om mijn bevindingen met de externe partij te delen en persoonlijk toe te lichten.
Daarnaast roept de taakstelling voor de audit vragen bij mij op. U geeft aan dat bij de audit onder meer wordt getoetst of 8vance voldoet aan de AVG. Wat gaat er nog meer worden getoetst, en hoeveel tijd en ruimte is er om het onderwerp van de AVG te onderzoeken? Is het zuiver procedureel (heeft iedereen de juiste vinkjes gezet) of wordt de werkwijze van 8vance bij het scrapen en onderhouden van persoonsprofielen (noodzakelijk voor het leveren van hun AI-tooling) ook onderzocht?
Voor de goede orde, mijn zorg richt zich op de waarborgen van de privacy, een zorg waarbij ik na grondig onderzoek moet vaststellen dat 8vance het met die waarborgen niet nauw neemt. En dat geldt niet alleen voor de 7 miljoen Nederlanders die in haar bestanden zijn opgenomen door het scrapen van LinkedIn, maar heeft ook een internationale component omdat 8vance in totaal 78 miljoen (85 – 7) persoonsprofielen van West-Europese personen in haar database heeft.
Ruim een maand later (16 mei) krijg ik de volgende reactie:
Excuses voor mijn late reactie. Zoals aangegeven in mijn eerdere bericht wil ik de uitkomsten van de audit afwachten. Het gegeven dat 8vance zelf opdrachtgever is van een audit door een externe partij is op zich niet ongebruikelijk. SZW heeft geen betrokkenheid bij dit onderzoek en ik heb verder dan ook geen informatie over de inhoud of vormgeving daarvan.
Vandaag heb ik SZW gevraagd haar morele verantwoordelijkheid te nemen:
Het betreft een commerciële partij die de persoonsgegevens van 85 miljoen LinkedIn gebruikers zonder medeweten van diezelfde gebruikers heeft gekopieerd, waaronder persoonsgegevens van 7 miljoen Nederlandse gebruikers. En deze partij mag zelf de auditor selecteren? Dit is niets minder dan een gevalletje van de slager die zijn/haar/x eigen vlees keurt. Het lijkt me zeer ongepast als de privacy van 85 miljoen LinkedIn gebruikers hierbij in het geding is. Het lijkt me voldoende aanleiding om deze keuze te heroverwegen en een auditor aan te stellen die onafhankelijk van de leverancier opereert. Graag uw reactie.
Los van de schrijnend trage communicatie met SZW heb ik ook UWV nog gevraagd om een reactie op de publicatie van de Handreiking scraping door particulieren en private organisaties van de Autoriteit Persoonsgegevens (AP) op 1 mei jl.:
Autoriteit Persoonsgegevens heeft een Richtlijn voor scraping gepubliceerd waarmee scraping van persoonsgegevens als onrechtmatig volgens de AVG wordt bestempeld:
Ik zou graag willen weten of UWV zaken blijft doen met een bedrijf dat grootschalig (want 85 miljoen persoonsprofielen gescraped, opgave 8vance) en langdurig (meer dan 10 jaar, opgave 8vance) persoonsprofielen van LinkedIn en andere social media sites scrapet.
Aangezien dit slechts twee weken geleden is, hoeft het geen verbazing te wekken dat er nog geen reactie van het UWV is ontvangen. Ik heb ondertussen wel een ping gestuurd.
Afsluitend
En zo modderen we verder, over de rug van 85 miljoen LinkedIn gebruikers in binnen- en buitenland die in overweldigende meerderheid geen weet ervan hebben dat hun gegevens door 8vance worden gescraped en commercieel uitgebaat. Ze hebben hier in ieder geval geen toestemming voor gegeven. Publieke gegevens op Internet zijn geen all-you-can-eat buffet maar worden wel op deze manier gezien door partijen zoals 8vance. Een nalatige, zeer traag reagerende en overheid (onder meer UWV, SZW en AP) maakt dit allemaal mogelijk. Op een onderwerp dat over een grondrecht van alle burgers gaat: het recht op privacy. En de grootschalige schending daarvan in het geval van 8vance.
Onvoorstelbaar.