Het Gerechtshof Amsterdam heeft bepaald dat X (voorheen Twitter) vrijwel volledige inzage moet verlenen in persoonsgegevens uit het interne systeem Guano Notes. Het beroep op bedrijfsgeheimen slaagt slechts op twee ondergeschikte punten.
Achter de zaak gaat privacypromovendus en jurist Danny Mekić schuil, die volgens Mr. Online meerdere juridische procedures voert tegen het socialmediabedrijf. Aanleiding was een zogeheten shadowban die X in oktober 2023 oplegde aan zijn account, nadat hij een bericht had gedeeld met een verwijzing naar een NOS-artikel over Europese plannen rondom de bestrijding van kindermisbruik. Doordat het bericht het woord ‘kinderporno’ bevatte, sloeg het geautomatiseerde detectiesysteem van X aan. Mekić werd niet geïnformeerd over de opgelegde beperking en kwam er pas achter toen andere gebruikers hem meldden dat zijn account onvindbaar was. Na aanvullende beoordeling hief X de maatregel op, wederom zonder Mekić daarvan op de hoogte te stellen.
Mekić diende op 13 oktober 2023 een inzageverzoek in bij X, specifiek gericht op de persoonsgegevens rondom de opgelegde beperking. De Guano Notes vormen daarbij een centraal onderdeel: dit interne systeem registreert chronologisch alle acties die op een account worden ondernomen en kwalificeert daarmee als persoonsgegeven in de zin van de AVG. X verstrekte slechts een sterk geredigeerde versie en beriep zich op bescherming van bedrijfsgeheimen en de rechten van derden. Volledige inzage zou volgens X gevoelige informatie prijsgeven over de werking van haar contentmoderatiesystemen en de wijze waarop het Safety-team signaleringen opvolgt.
Belangen gewogen
In hoger beroep nam het hof kennis van de ongeredigeerde Guano Notes en toetste per categorie of de door X ingeroepen weigeringsgronden standhielden. Het hof stelde voorop dat X weliswaar bedrijfsgeheimen mag meewegen bij de beoordeling van een inzageverzoek, maar dat dit er niet toe mag leiden dat een betrokkene alle informatie wordt onthouden. Bij contentmoderatie, het advertentiesysteem, de spamfilter, accountbeveiliging en diverse technische gegevens concludeerde het hof steeds dat X onvoldoende concreet had gemaakt hoe inzage daadwerkelijk tot omzeiling van haar systemen zou leiden. Een commercieel belang bij geheimhouding volstaat daarvoor niet.
Het hoger beroep slaagt uitsluitend op twee punten. Namen van individuele medewerkers mogen worden afgeschermd, mede omdat Mekić zelf aangaf daar geen behoefte aan te hebben en het om persoonsgegevens van derden gaat. Verder mogen de exacte tijdstippen van acties buiten de inzage blijven: het hof achtte aannemelijk dat bekendheid met de reactiesnelheid van de systemen van X het risico op misbruik door geautomatiseerde accounts vergroot. Verstrekking van enkel de datum waarop een actie plaatsvond, is voldoende om Mekić in staat te stellen acties aan zijn eigen posts te koppelen.
De dwangsom van 4.000 euro per dag die de rechtbank eerder oplegde en waartegen X volgens Mr. Online via een kort geding had geprobeerd op te komen, bleef ongewijzigd van kracht. Het hof zag geen grond voor maximering, gelet op de schaal van de onderneming. X werd tevens veroordeeld in de proceskosten in hoger beroep.
