LinkedIn en X trekken de aandacht om omstreden manier van bewaren van persoonlijke gegevens
Privacy is belangrijk. Toch gaan sociale media vaak slordig om met uw persoonlijke gegevens. Wat bewaren ze precies? We bespreken 2 voorbeelden. LinkedIn kan meekijken met sollicitaties, zelfs van mensen zonder account. En X moet van de rechter uitleg geven over shadowbans en welke data ze opslaan. Meldpunt Actueel legt beide zeer uiteenlopende zaken voor aan digitale burgerrechtenbeweging Bits of Freedom, die onder anderen waakt over onze privacy.
LinkedIn kijkt mee met sollicitaties
Laten we beginnen bij LinkedIn. Dit platform speelt een grote rol in het sollicitatieproces. Het platform kan namelijk meekijken met sollicitaties, ook van mensen zonder account, schrijft De Telegraaf op 21 april 2026. Zo kan het over uw persoonlijke gegevens beschikken. Uw privacy staat op het spel.
Wat krijgt LinkedIn precies te zien van sollicitanten?
LinkedIn ontvangt zogenaamde feedbacksignalen uit sollicitaties, die via dit platform zijn verstuurd. Dat zijn statusupdates zoals: ‘sollicitatie ontvangen, gesprek gepland of afgewezen’. Daarnaast krijgt het platform ook inhoudelijke beoordelingen van werkgevers. Soms gaat het om behoorlijk gevoelige informatie. Denk hierbij aan redenen als: ‘te weinig kennis, geen goede match of te hoge salariseis’.
Zo komt het platform aan die data
Dat gebeurt via een koppeling met een ATS-systeem, waarbij ATS staat voor Applicant Tracking System. Dit is speciale software die bedrijven gebruiken om sollicitaties en cv’s te beheren. Als een werkgever LinkedIn gebruikt voor vacatures, maakt het gebruik van dit aangekoppelde systeem. Door die koppeling krijgt LinkedIn als het ware een kopie van alle sollicitatiegegevens in dat systeem. Maar dat dit óók geldt voor kandidaten die niet via LinkedIn solliciteren, dat is wat De Telegraaf nu onthult. LinkedIn kan dus ook gegevens zien van mensen zonder account.
Microsoft is eigenaar van LinkedIn, daar wringt de schoen
Wat niet veel mensen weten, is dat Microsoft sinds 2016 eigenaar is van LinkedIn. Dat betekent dat ook dit bedrijf toegang heeft tot deze systemen en data. En juist dat vinden veel mensen problematisch tegenwoordig. Techreuzen kunnen vanuit Amerika al onze persoonsgegevens inkijken. En daar wringt de schoen natuurlijk. Dat zijn ook precies de zorgen die er momenteel bestaan om de dreigende Amerikaanse overname van Solvinity, het bedrijf achter onze DigiD.
Toestemming van gebruiker zit verstopt in de algemene voorwaarden
Gebeurt dit heimelijk? Niet helemaal. In de voorwaarden staat dat werkgevers gegevens moeten delen met LinkedIn. Maar dit zit voor sollicitanten, die er gebruik van maken, verstopt in lange algemene voorwaarden. Veel mensen geven automatisch toestemming zonder dit goed te lezen. Maar zo’n ‘halve’ toestemming langs een slim geitenpaadje zou eigenlijk niet moeten mogen, vinden privacy-juristen en -puristen. Die permissie moet expliciet zijn gegeven.
Meldpunt Actueel legt deze voor aan Nadia Benaissa, beleidsadviseur bij digitale burgerrechtenbeweging Bits of Freedom. “Het is onrechtmatig voor bedrijven om deze persoonlijke gegevens onderling te delen,” analyseert ze. “Dat mag niet zonder actief de toestemming van de gebruiker, hier de sollicitant, te vragen. Het mag ook niet zonder een andere grondslag uit de privacywet.” Ze doelt hiermee op de Algemene Verordening Gegevensbescherming (AVG) “Dat zou bijvoorbeeld kunnen als er een wettelijke plicht bestaat.”
“Vaak gebeurt het bij dit soort trackingsystemen dat de gebruikers akkoord zijn gegaan met de cookies en daarmee automatisch met de algemene voorwaarden. Maar cookies zijn op zichzelf ook weer trackingsystemen. Deze handelswijze voldoet niet aan de eisen die de AVG stelt. Toestemming geven moet vooraf duidelijk zijn en ook achteraf intrekbaar. Meestal is daar geen sprake van bij dit soort verwerking van persoonlijke gegevens. Tracking mag nooit ten koste gaan van de burger. Dat is gewoon verboden.”
Risico met AI en privacy
Ook bestaat het risico dat LinkedIn deze gegevens gaat gebruiken om AI te trainen. Bijvoorbeeld: als iemand vaak wordt afgewezen, dan kunnen de algoritmen voortaan minder vergelijkbare vacatures tonen aan de gebruiker, die op zoek is naar een nieuwe baan. Dit kan ook botsen met de AVG. Deze wet zegt dat persoonsgegevens alleen gebruikt mogen worden voor het doel waarvoor ze zijn verzameld. Sollicitatiegegevens gebruiken voor AI-training is een heel ander doel. Ook moet toestemming duidelijk en apart worden gegeven. Dat is hier mogelijk ook niet goed geregeld.
Shadowban op X: wat bewaart dat platform van de gebruikt
Tot zover LinkedIn, dan nu de zaak over X, voorheen Twitter. Een gebruiker van X krijgt een beperking op zijn account. Daarna vraagt hij op basis van de AVG welke gegevens het platform over hem bewaart. De rechter en later het hof zeggen: dat moet X laten zien. X moet bijna alle informatie geven, behalve de namen van medewerkers.
Dit is de casus: Danny Mekić is een bekende Nederlandse privacy-onderzoeker en docent. Hij doet onderzoek naar digitale technologie en recht. In 2023 krijgt hij een shadowban op X. Dat is een beperking op zijn account. Dat gebeurt als hij in een post verwijst naar een NOS-artikel waar het woord ‘kinderporno’ in voorkomt. Zijn berichten zijn zo minder zichtbaar gemaakt voor zijn volgers. Hij vraagt X om uitleg. Ook vraagt hij X op basis van de AVG-wetgeving welke gegevens het platform over hem bewaart, maar hij krijgt die uitleg niet. X beroept zich daarbij op bedrijfsgeheimen in een intern gebruikt notatiesysteem waarmee het gebruikers profileert, dat Guano Notes heet. Daarom is hij naar de rechter gestapt. Hij wil weten wat ze van hem weten.
Wat zegt de rechter?
Hij krijgt gelijk dat hij recht heeft op inzage in zijn persoonsgegevens (volgens AVG). X moet uitleg geven hoe zijn data zijn gebruikt bij die shadowban. Het hof verplicht X om bijna volledige inzage te geven, ook in interne notities (zoals Guano Notes). Bedrijfsgeheimen zijn geen reden om dit te weigeren. Maar X moet namen van medewerkers wel eerst weglakken. Er staat een dwangsom op als X geen inzage geeft.
“Dit gaat over artikel 15 van de AVG,” luidt de observatie van expert Benaissa. “Inzage vragen is echt een héél sterk recht binnen de AVG. Het is bedoeld om de betrokkene zo veel mogelijk controle te geven over zijn persoonlijke gegevens. Zo mag de gebruiker vragen om zaken te verwijderen die niet kloppen. De AVG wordt vaak overtreden. Maar nu gaat het ook nog om zo’n sterk recht. Het is heel raar dat X hier onderuit denkt te kunnen komen. Ze doen dat onder het mom van hun bedrijfsgegevens, die gevaarlopen. Tegen dit soort praktijken zou veel harder opgetreden moeten worden.” Dat is wat het Hof hier gedaan heeft, maar X kan altijd nog doorprocederen tot aan de Hoge Raad toe.
(Bron: De Telegraaf, De Rechtspraak, AVG, Bits of Freedom, archief. Foto Shutterstock)
Kamer tegen Amerikaanse overname bedrijf achter DigiD: ‘Je hebt niet DigiD, je bént DigiD’