Privacybeleid LinkedIn onder de loep
De Belgische politie adviseerde LinkedIn-gebruikers onlangs hun privacyinstellingen aan te scherpen, omdat cybercriminelen ook sociale media op het oog hebben. In dit artikel kijken wij naar hoe het privacybeleid van LinkedIn gebruikers informeert over deze standaardinstellingen en over andere verwerkingen van persoonsgegevens.
Eén van de doelen van een privacybeleid is om transparant te zijn over de wijze waarop een organisatie omgaat met persoonsgegevens. Deze informatie dient volgens de privacywetgeving (AVG) ‘beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk’ te zijn voor de betrokken personen. De informatie moet dus op duidelijke wijze en in eenvoudige taal worden gecommuniceerd. Het gebruik van een gelaagde structuur biedt de betrokkene daarbij de mogelijkheid direct te navigeren naar een specifiek onderdeel van een privacybeleid, zonder dat alle tekst gelezen hoeft te worden.
LinkedIn heeft in zijn privacybeleid veel aandacht besteed aan bovenstaande elementen. De gelaagde structuur en de gekozen indeling maken het privacybeleid een overzichtelijk document. Zo bevat het privacybeleid een inhoudsopgave, is de informatie onderverdeeld in korte alinea’s met kopjes en wordt daarnaast per alinea in één à twee zinnen nog de essentie van de alinea weergegeven aan de rechterzijde. Verder zijn er hyperlinks toegevoegd naar bepaalde pagina’s en andere relevante documenten en wordt een aantal begrippen, waaronder ‘gevoelige gegevens’, nader uitgewerkt in een tekstballon.
Mocht het lezen van het beleid dan toch te veel moeite kosten, dan kan de gebruiker altijd nog de video bekijken over het privacybeleid van LinkedIn. Ook deze video is duidelijk, maar wel erg beknopt.
Opt-out-regime?
Onder Uw keuzes en verplichtingen legt LinkedIn uit welke keuzes de gebruiker heeft ten aanzien van het verzamelen, gebruiken en delen van persoonsgegevens. Het gaat dan bijvoorbeeld om het verwijderen of corrigeren van gegevens in het profiel, het beheren van de zichtbaarheid van bijdragen, het afmelden voor reclame en de controlesystemen voor communicatie. Deze kunnen via de instellingen worden gewijzigd. In het privacybeleid wordt hier meermaals op heldere wijze over geïnformeerd, zo ook in de video.
Wel blijkt dat de standaardinstellingen van LinkedIn niet in elk geval even privacyvriendelijk zijn. Op grond van de AVG dient een organisatie bij de ontwikkeling en het ontwerp van bijvoorbeeld een applicatie of een platform te streven naar een maximale bescherming van de privacy. Een onderdeel daarvan zijn de standaardinstellingen (‘privacy by default’). De Belgische Politie adviseerde in dat kader dan ook alle vakjes van de pagina Instellingen en privacy uit te vinken. Dat suggereert dat LinkedIn een opt-out-regime zou hanteren voor zijn platform: de gebruiker dient zelf de standaardinstellingen te wijzigen om bepaalde verwerkingen van zijn of haar persoonsgegevens te beperken.
Een opt-out-regime strookt niet met het beginsel van privacy by default. Een nadere blik op de instellingen van LinkedIn laat echter zien dat lang niet alle standaardinstellingen nadelig zijn voor de privacy. Het e-mailadres van de gebruiker is bijvoorbeeld enkel zichtbaar voor gebruikers waarmee een connectie is gemaakt (‘eerstegraads connecties’).
Deze informatie is dus niet zomaar voor iedereen zichtbaar. Of de standaardinstellingen recent en naar aanleiding van het bericht van de Belgische politie in Nederland zijn gewijzigd, is niet duidelijk.
De zichtbaarheid is overigens anders voor betalende gebruikers (‘premiumgebruikers’). Voor hen geldt dat zij rechtstreeks berichten kunnen sturen naar andere LinkedIn-leden, ongeacht of zij een connectie hebben. Cybercriminelen worden daarmee in de gelegenheid gesteld om phishing-berichten te sturen aan andere gebruikers. Een opt-out-regime voor rechtstreekse berichten van premiumgebruikers is dus in het kader van de privacy en veiligheid onwenselijk.
Cookies op LinkedIn
Bij het bezoeken van LinkedIn worden cookies geplaatst in het geheugen van het apparaat waarmee LinkedIn wordt bezocht. Door het plaatsen van een cookie kan het apparaat worden herkend en de opgeslagen informatie worden teruggestuurd aan LinkedIn en/of het bedrijf dat de cookie heeft geplaatst. In het privacybeleid en cookiebeleid informeert LinkedIn over het gebruik van cookies. Verder verschijnt er bij het eerste bezoek aan de website van LinkedIn een cookiebanner, waarin de bezoeker wordt geïnformeerd over het feit dat cookies worden geplaatst. Deze cookiebanner ving onze aandacht, omdat LinkedIn op het eerste gezicht niet lijkt te voldoen aan de wettelijke vereisten.
Volgens de wettelijke vereisten dient LinkedIn namelijk toestemming te vragen voordat zij trackingcookies plaatst. Dat moet op de eerste pagina die een bezoeker te zien krijgt en op uitdrukkelijke wijze (opt-in). De Autoriteit Persoonsgegevens constateerde in december 2019 al dat veel websites op een onjuiste wijze toestemming vragen voor trackingcookies. Dit onderzoek werd gestart naar aanleiding van een uitspraak van het Europese Hof waarbij werd bepaald dat een vooraf aangevinkt vakje voor het vragen van toestemming voor trackingcookies niet voldoende is.
LinkedIn lijkt geen specifieke toestemming te vragen voor het plaatsen van onder andere trackingcookies aan zijn bezoekers en/of leden. Als een bezoeker zich wil aanmelden voor de dienst van LinkedIn, dient er door het aanvinken van één selectievakje akkoord te worden gegaan met zowel het cookiebeleid, privacybeleid als de algemene voorwaarden van LinkedIn. Dit is erg algemeen en lijkt niet te stroken met de uitspraak van het Europese Hof, waarin wordt aangegeven dat de toestemming ‘precies op de verwerking van de betrokken gegevens gericht moet zijn en niet kan worden afgeleid uit een algemene wilsuiting die op iets anders betrekking heeft’.
Daarnaast is het onduidelijk hoe bezoekers die zich niet aanmelden als lid, toestemming geven voor de cookies. In het privacybeleid wordt aangegeven dat ook bij niet-leden advertentiecookies worden geplaatst.
Conclusie en eindoordeel
Sommen we nog even de belangrijkste punten op:
Conclusie: LinkedIn heeft veel werk gestoken in het opstellen van een goed leesbaar privacybeleid, waarbij vooral in positieve zin opvalt dat er per alinea in één à twee zinnen nog de essentie van de alinea weergegeven aan de rechterzijde. Dit maakt het geheel tot een overzichtelijk document. Uit nadere bestudering blijkt echt dat er nog wel een aantal kanttekeningen zijn te plaatsen bij de gegevensverwerkingen die LinkedIn uitvoert.
Tekst: Jacintha van Dorp en Jesse Vermeij (SOLV advocaten)