De macht van Facebook – Hoofdstuk 6

Europa contra Facebook

De nodige toezichthouders beten de tanden stuk op Facebook. Toen was daar in de nazomer van 2011 ineens een 'David' in Wenen die de strijd met Goliath aanging. Die student vond dat hij tegen Facebook kon strijden namens Europa. Hij kreeg gelijk en overwon. Daarop volgt nog een strijd tussen Brussel en Facebook met de nieuwe regels voor privacy. Wie gaat die winnen?

Eerder verscheen:

Inleiding
Hoofdstuk 1
Hoofdstuk 2
Hoofdstuk 3
Hoofdstuk 4
Hoofdstuk 5

Student bestrijdt Facebook

David tegen Goliath: de 24-jarige rechtenstudent Max Schrems in Wenen dreigde in zijn eentje het raderwerk van Facebook horendol te maken.

Conform de huidige Europese privacyregels heeft iedere burger het recht om zijn persoonsgegevens op te vragen bij elke instantie die deze van hem bewaart. Dat is een reden te meer voor exploitanten van websites om alles liever op IP-nummer te registeren en vol te houden dat ze geen persoonsgegevens verzamelen. Facebook kan zich daar niet op beroepen, want de kern vormt de identiteit.

Ik vroeg m'n gegevens afgelopen zomer en hoorde niets. Schrems kreeg vanuit de VS een cd van Facebook toegestuurd, wellicht in de hoop dat Facebook slechts een studieobject van hem was. Maar nee, Schrems is actievoerder. Hij drukte alle bestanden van Facebook af en moest zijn printerpapier een aantal keren aanvullen: 1.222 pagina's! Ondertussen kwam er ook het Facebookbestand van een vrouw bij die zich kenbaar maakt met de letters L.B.

Alles is in geuren en kleuren te lezen op zijn website. Max heeft 234 vrienden en Facebook weet alles van zijn interacties met deze mensen, maar ook welke vriendschapsverzoeken hij weigerde en invitaties voor bijeenkomsten hij wel en niet accepteerde. Veel van wat we eerder beschreven als mogelijke gegevens voor Facebook blijken inderdaad te worden opgeslagen; een bevestiging dat Facebook daarin ver gaat. Hoe ze worden geanalyseerd en ingezet, is echter ongewis.

Schrems: "Ik ben niet eens zo'n zwaar gebruiker van Facebook, maar de website slaat een heleboel gegevens op de achtergrond op en bewaart alles. Facebook heeft meer informatie dan de KGB of CIA ooit hadden over een gemiddeld persoon. Ik bestudeerde Facebook een half jaar en wist nog niet hoe het werkte. Normaliter begrijp ik wel hoe het in zijn werk gaat maar in het geval van Facebook kon ik er geen vinger achter krijgen. Hoe kan een gemiddelde gebruiker daar dan ooit achter komen?"

Schrems liet het niet bij de publiciteit. Hij zond een lijst met 22 klachten naar de privacywaakhond in Ierland, het Europese thuisland van Facebook. Een groot onderzoek was het gevolg en ik kom nog terug op de uitkomsten.

Een van de aardige conclusies: Facebook koppelt de gebruikte hardware aan het inloggen van verschillende personen en weet de tijdstippen van het gebruik. Dus 'weet' Facebook ook welke vriend er 's avonds bij jou op de pc nog zat te facebooken en waarschijnlijk bij je bleef slapen. Of, kort door de bocht bij deze Amerikaanse onthulling: dit verraadt je relaties en eventueel het vreemdgaan.

Paniek bij Facebook

Schrems heeft een golf van dit soort verzoeken bij Facebook teweeggebracht. Paniek bij Facebook is het gevolg, af te leiden uit eerst het weghalen van het online formulier voor publiek om data op te vragen en vervolgens de pogingen om de verzoeken daartoe te weerleggen. Wie in de laatste maanden van 2011 een e-mail stuurde (naar datarequests@fb.com) met een verzoek om persoonlijke data op grond van EU Directive 95/46/EC, kreeg als antwoord een gedeelte uit de privacyverklaring waarin wordt opgesomd welke gegevens Facebook kan verzamelen. Dat is echter lang niet alles, noch is het gespecificeerd.

"Je kunt alle gegevens die je op Facebook hebt gepost downloaden", beweerde Facebook in het standaard antwoord per e-mail op een verzoek om data. Dat is juist, maar dat zijn enkel de data die je ooit hebt gepost en die ook beschikbaar kwamen voor de Tijdlijn. Facebook weet zelf dat het liegt dat daarmee alle data over je beschikbaar komen. Het zei immers dat de inhoud van die download kan veranderen als de Ierse privacywaakhond daar reden toe ziet. Schrems waarschuwde dat je 22 datasets kan downloaden van je profiel en uitingen, maar dat dit lang niet alles is wat Facebook verzamelt. Hij kreeg 57 onderdelen en vermoedt dat er meer dan honderd in totaal waren opgeslagen.

Voor de Raad van Europa vond op 2 december 2011 een paneldiscussie plaats met onder meer Schrems en Richard Allan, manager Public Affairs van Facebook Europe. De laatste vertelde dat Facebook altijd verantwoording aflegt waar nodig en mogelijk. Ten tweede wees hij op de onderschatting van de invloed van de vele gebruikers van Facebook. Surfgedrag en aanmerkingen worden dagelijks nauwgezet geanalyseerd, dus Facebook weet ook hoe deelnemers met de dienst omgaan en maakt daarop aanpassingen.

"Ten derde is het boeiende van het ondernemen op internet dat je met een paar mensen een innovatieve dienst kunt beginnen om miljoenen mensen mee te bereiken. Als je vanaf dag 1 eist dat ze zich aan de stapels regels moeten houden, komt er niets meer van de grond. Dan zouden we 200 juristen in dienst moeten nemen."

Max Schrems: "Ik denk niet dat je honderden juristen nodig hebt om je aan alle regels te houden. Met enkele studenten werkten we een paar dagen en nachten om die regels te bestuderen en om onze klachten te formuleren." Ook zei Schrems dat Facebook doelbewust misleidt. Als een gebruiker bijvoorbeeld iets wil verwijderen antwoordt Facebook dat het 'removed' is; niet in de betekenis van 'verwijderd', maar 'verplaatst' (naar de besloten databank van Facebook).

Rake schoten uit Ierland

Op 21 december 2011 kwam de Ierse Data Protection Commissioner (DPC) met haar Report of Audit over Facebook Ireland Ltd. Niet enkel waren de Ieren snel, ze brachten ook een uitstekend rapport uit. Met dank aan Max Schrems en de zijnen met hun 22 klachten, aan de Noorse consumentenbond plus 'vele individuen' (600) uit Europese landen voor hun klachten en het University College Dublin voor onderzoek.

Op de eerste plaats maakte de DPC expliciet onderscheid op een wijze die ik met dit boek vanaf de zomer van 2011 aanhield: Facebook biedt je privacy ten opzichte van andere gebruikers, maar verzamelt zelf (letterlijk) ongelimiteerd persoonlijke gegevens voor zijn reclamemachine. De meeste toezichthouders beschouwden louter het eerste.

Dat tweede stuk, het zelf opslaan van data voor reclamedoeleinden, doet Facebook volgens de DPC vooralsnog legaal, maar het moet gebruikers beter op de hoogte stellen en restricties instellen voor het bewaren van data. Hieronder de belangrijkste eisen aan Facebook op verschillende terreinen, met de vereiste deadline en eventueel de reactie van Facebook.

Reclamedata:

Facebook moet inzichtelijk maken welke data worden gebruikt voor gerichte reclame en hoe (Facebook zegt dat toe, uiterlijk eind maart 2012);

Facebook moet de toestemming voor het gebruik van profielfoto en naam in reclame verplaatsen van de account- naar de privacyinstellingen (eind maart 2012);

Als Facebook zal toestaan dat derde partijen elders Facebookfoto's en namen gebruiken in advertenties dan moet daar eerst opt-in toestemming voor gevraagd worden;

Het huidige ongelimiteerd bewaren van surfdata van gebruikers is onacceptabel (Facebook zegt toe de periode onmiddellijk te begrenzen tot 2 jaar, en die verder af te zullen bouwen – in juli 2012 vindt overleg plaats).

Privacybeleid:

Facebook moet een eenvoudiger uitleg van privacymaatregelen bieden;

Facebook moet eenvoudiger toegang tot die uitleg bieden gedurende inschrijving (eind maart 2012. Facebook zegt met de DPC te zullen samenwerken).

Toegang tot data:

Facebook moet iedere Europese gebruiker binnen een periode van 40 dagen inzage geven in de persoonsdata die zijn opgeslagen. De 40.000 tot op heden ontvangen verzoeken moeten worden beantwoord (Facebook zegt toe zich aan deze Europese regel te houden).

Dataopslag:

Facebook moet duidelijk maken wat er wordt opgeslagen aan gedane en geweigerde vriendschapsverzoeken, pokes, opgeheven tags en opgeheven en weggegooide groepen, uitingen en berichten (Facebook zegt toe dit op te nemen in de privacyverklaring tot eind maart 2012);

Gebruikers moeten de mogelijkheid krijgen deze definitief te verwijderen uit de archieven van Facebook (Facebook zegt toe hier in het eerste kwartaal van 2012 aan te gaan werken);

Gebruikers moeten niet zomaar aan groepen toegevoegd kunnen worden

(Facebook zegt toe toestemming vooraf in te zullen voeren);

Persoonsgegevens moeten vernietigd worden als het doel om die te verzamelen voorbij is (Facebook gaat data van uitgeschreven personen sneller vernietigen, data van sociale plug-ins anonimiseren, alle zoekopdrachten en kliks anonimiseren en de opslagperiode van log-ininformatie bekorten);

Gebruikers moeten betere informatie krijgen over bundeling van surf- en gebruiksgegevens op verschillende apparaten en browsers die ze gebruiken (toegezegd).

Sociale plug-ins:

Facebook zegt geen data te gebruiken van sociale plug-ins op websites (Facebook belooft direct om een databeleid in te voeren);

Data van sociale plug-ins moeten snel verdwenen zijn (Facebook zegt toe voor niet-deelnemers data binnen tien dagen te anonimiseren en voor gebruikers binnen 90 dagen).

Apps van derde partijen:

Facebook moet gebruikers veel meer inzage in, en controle over de verleende toestemming aan app-leveranciers bieden (Facebook zegt hiermee bezig te zijn);

Zodra je een app wilt gebruiken moeten privacyinstellingen direct helder zijn (Facebook zegt dat dit aan leveranciers is en gaat gebruikers beter voorlichten);

Er moet meer helderheid komen over wat er aan data over vrienden van de app-gebruiker wordt doorgegeven;

De data van gebruikers moet veiliger zijn voor app-aanbieders (Facebook zegt toe de middelen voor controle te zullen verfijnen).

Doorgeven data aan derden (politie):

Facebook moet de touwtjes aanhalen zodat minder eenvoudig data worden verstrekt (Facebook zegt toe hieraan te werken).

Gezichtsherkenning:

Facebook heeft gebruikers onvoldoende geïnformeerd en moet dat alsnog doen (Facebook zegt toe dat alvorens het gebruik van Tag Suggest mogelijk wordt, de gebruiker moet toestemmen om zijn naam/profiel daarvoor te gebruiken. Nader overleg volgt.)

Veiligheid:

Veel documentatie over procedures ontbreekt en moet worden aangevuld (Facebook heeft toegezegd hiervoor te zorgen);

De toegang van werknemers tot databanken moet beter worden geregeld (Facebook zegt toe het wachtwoordensysteem te verbeteren).

Nieuwe diensten invoeren:

Facebook moet bij invoering van nieuwe diensten beter opletten of die in strijd zijn met privacyregels van de EU (Facebook zegt overleg toe).

Vriendenzoeker:

Facebook moet betere maatregelen treffen om te voorkomen dat e-mailadressen worden gebruikt voor spam;

Gebruikers moeten beter geïnformeerd worden dat bij het synchroniseren tussen apparaten data die ze dachten te hebben weggegooid nog op een apparaat blijven staan;

Facebook gaat wel goed om met verstrekte wachtwoorden en inlogs voor import van e-mailadressen om vrienden te benaderen;

Facebook maakt geen ge- of misbruik van telefoonnummers of andere data waarmee een gebruiker synchroniseert tussen apparaten (pc en mobiel bijvoorbeeld).

Gebruik van pseudoniemen:

Facebook heeft goede redenen om pseudoniemen te weigeren, met name om te voorkomen dat kinderen tot 13 jaar op deze manier gebruiker worden.

Zegetocht voor Oostenrijkse student

Het bereiken van deze veranderingen is een overwinning van de student Max Schrems, hoewel ook een flink aantal klachten afgewezen is. Zo vindt hij dat van nieuwkomers bij het inschrijven voor Facebook veel te eenvoudig instemming wordt verkregen voor openbaarmaking van gegevens, maar ook voor het verzamelen van surfdata.

Facebook kon aantonen dat het zich aan de regels houdt. Nieuwkomers kunnen al inschrijven met hun naam, e-mailadres en geboortedatum, zonder dat ze de rest invullen. Iedereen die inschrijft kan de privacyregels gelezen hebben en gaat dan akkoord. Volgens Facebook is de 'Data Use Policy' kraakhelder voor iedereen. Dit is uiteraard een discutabel punt. De DPC oordeelt dat het alles bij elkaar eenvoudiger te doorgronden moet worden voor de gebruikers. Facebook stemt daarmee in, maar wat dat in de praktijk betekent, zal moeten blijken.

Facebook nam ook een meegaande houding aan. Zo werd de onderzoekers verteld over een proef met het beter richten van advertenties. Bij het woord 'auto' werd bijvoorbeeld reclame aangeboden voor een nieuwe auto, mits die gebruiker ook ergens een automerk een leukje had gegeven. In overleg met de DPC zette Facebook dit tijdelijk in de ijskast, om er begin 2012 in overleg op terug te komen. Zo'n houding dwingt respect af bij de toezichthouder.

Die toonde zich ook positief over de mogelijkheid die Facebook aan gebruikers biedt om zelf een advertentie samen te stellen om te zien welke data Facebook gebruikt. Ook stemde Facebook in met het verzoek van de DPC om op gevoelige data, zoals over geloof, ras, politieke en filosofische opvattingen, maar ook fysieke tekortkomingen, geen reclame te richten. Ik vraag me af of de EU-regels hier niet wat te zeurderig zijn. Als je het zelf kenbaar maakt op Facebook, mag je dan geen op die uitingen gerichte reclame ontvangen?

Nog een aardig detail dat uit het overleg met de Ieren naar voren treedt: Facebook serveert geen reclame gericht op een doelgroep die de adverteerder formuleert met minder dan 20 personen. Reclame mag niet 'te' persoonlijk gericht worden. Ook ziet Facebook erop toe dat adverteerders alleen maar cookies plaatsen om te tellen of een reclame effectief is, maar niet om persoonlijke gegevens te hengelen. Pas sinds begin 2011 is dit een vereiste. De DPC vindt wel dat Facebook dit stringenter moet controleren, want er kunnen andere cookies tussendoor slippen.

Informeren zware opgave voor Facebook

Onthullend is ook het verslag rondom de wettelijke eis dat Facebook gebruikers inzicht moet bieden in alle opgeslagen data. Schrems kreeg een cd met die data, maar dat was eerder een toeval – dat Facebook duur te staan kwam – dan beleid. Nog 40.000 verzoeken – waaronder twee van mij – willigde Facebook immers niet in. Het verweer van Facebook luidde natuurlijk: het is zo ontzettend omvangrijk dat we daar met geen mogelijkheid aan kunnen voldoen. Dus stopten we er maar mee en stuurden op verzoeken een automatisch antwoord. Facebook bekent daarmee gebruikers het bos ingestuurd te hebben.

De DPC hoefde slechts op de regels te wijzen. Dat Facebook zo groot is en veel winst maakt, betekent dat het moet investeren om aan de regels te voldoen. Facebook moest toestemmen in het beschikbaar stellen van alle opgeslagen data binnen 40 dagen na zo'n individueel verzoek. Maar hoe te beginnen? Drie opties: opsturen zoals bij Schrems, laten downloaden zoals nu voor een deel mogelijk is, of online toegankelijk maken. Facebook kiest voor de laatste twee: een deel van de informatie komt beschikbaar via de download die Facebook nu al biedt van al je uitingen. Daar hebben ze aan toegevoegd: vastgelegde IP-adressen, mobiele nummers, gezichten voor herkenning, alle cookie-informatie, veranderingen van profielstatus, vriendverzoeken voor en door jou en geaccepteerde en afgewezen uitnodigingen.

Bovendien begon Facebook met de bouw van een 'Activity Log', waar elke gebruiker zal kunnen zien wat hij wanneer op Facebook heeft uitgespookt, specifiek met alle uitingen, video's en foto's, commentaren, geplaatste en verwijderde leukjes bij jezelf en bij anderen, tags door anderen van jou en door jou gemaakt, zoekopdrachten en kliks en bekeken pagina's.

In de Activity Log moeten gebruikers ook de mogelijkheid krijgen om informatie die Facebook opslaat zelf te verwijderen, net als nu mogelijk is met alle zichtbare informatie op de Tijdlijn. Als Facebook werkelijk zal toestaan dat iedereen zelf kan bepalen wat het aan data opslaat, dan is dat een reuzenstap die nog geen enkele aanbieder op internet biedt. Dat zou een doorbraak van jewelste zijn. Maar zien is geloven. In juli 2012 zou de DPC bekijken hoe het ervoor staat.

Momenteel is immers vrijwel het tegendeel het geval. De klacht van Schrems luidt terecht dat Facebook nog jarenlang informatie opslaat terwijl een gebruiker die al lang heeft verwijderd van zijn zichtbare profiel. Schrems zei drie jaar geleden verwijderde vrienden nog te zijn tegengekomen in het reclameprofiel dat Facebook van hem bijhield. Ook zegt hij dat Facebook onduidelijk is over het bewaren van afgerond e-mail- en chatverkeer.

Facebook ontkende tegenover de DPC dat dit het geval is, althans voor actief gebruik door Facebook. Veel data worden op verschillende computers opgeslagen, ook vanwege veiligheid (back-up) en men weet eigenlijk niet precies wat er waar staat. Definitief verwijderen van data is heel complex volgens Facebook.

Maar wacht eens even: betekent dit dat onze data bij Facebook als een soort zwerfvuil over de dataparken verspreid zijn? Het is niet meer in gebruik, verzekert Facebook, maar ook niet helemaal verdwenen. Een 'multidisciplinaire groep van experts' buigt zich over dit probleem, aldus Facebook.

Inactieve profielen, cookies en apps

Uitgebreid waren ook de discussies over profielen die lange tijd niet worden gebruikt of die gebruikers deactiveren. Dat laatste betekent een poosje stallen maar niet verwijderen. Wat te doen? Volgens de DPC zou Facebook standaard de profielen kunnen verwijderen als ze een jaar lang niet zijn aangeraakt. Maar dat zou, voegen de Ieren eraan toe, bijvoorbeeld sneu zijn voor gevangenen die langere tijd niet op Facebook kunnen. Dit wordt het komende halfjaar een punt van overleg met Facebook. Maar het moet hoe dan ook duidelijker worden wat Facebook precies wel en niet vasthoudt, voor hoelang en om welke redenen.

Opvallend waren de bevindingen over definitief beëindigde inschrijvingen. Facebook gaf toe dat die lange tijd niet echt van de servers verdwenen. Vandaar dat Facebook in 2010 een nieuw systeem ging bouwen teneinde verwijderen ook echt verwijderen te laten zijn. Met dat systeem zijn ook alle oude verzoeken tot verwijdering opnieuw uitgevoerd.

Problematisch voor het opschonen van data is het principe van het delen van informatie met Jan en alleman. Op veel plekken laten Facebookers hun verhaal achter, bijvoorbeeld in commentaren en in groepen. Hoe krijg je dat weg? De eis: weg is weg! Facebook gaat ook daaraan werken en kreeg van de DPC nog wat huiswerk mee. In juli 2012 volgen overleg en controle.

Ook over de 'Vriendenzoeker' (friend finder) dreigde een flinke botsing tussen de DPC en Facebook. Het gebruik van (met name Hotmail-)adressen van nieuwe en bestaande gebruikers is schimmig. Facebook gebruikt ze om je contacten die nog niet op Facebook zitten uit te nodigen, met een verwijzing naar jou, en voor de vriendsuggesties.

Naar nieuwe regels in Europa

In november 2010 kondigde de Europese Commissie bij monde van de commissarissen Neelie Kroes (Digitale Agenda) en Viviane Reding (Justitie) - politiek onderling vaak kemphanen - aan hoe de oude privacyregels, ingevoerd in 1995 net vóór het publieke internet van de grond kwam, grondig worden aangepast.

In lijn hiermee heeft de WP 29 - de verzamelde 27 nationale privacybonzen - op 14 juli 2011 de tanden laten zien met haar opinie voor de nieuwe wetgeving. De nadruk op toestemming (consent). Gebruik van data door exploitanten mag in de toekomst helemaal niet meer op grond van passieve, halfwassen of terloopse toestemming tot stand komen. Facebook mag straks je data pas gebruiken voor reclame als je er expliciet toestemming voor gegeven hebt, vonden ze.

In het doorwrochte stuk over toestemming krijgen Facebook en andere commerciële partijen op internet alvast de wind van voren. Het toestaan van gedragsmarketing (behavioral advertising) met je persoonlijke gegevens mag geen betaalmiddel zijn. Je moet hoe dan ook kunnen deelnemen aan Facebook. Is dit verstandig van de privacybonzen? Misschien vormen persoonsgegevens voor gerichte reclame voor velen wel een goedkoop of gewenst betaalmiddel, net als reclame op commerciële televisie. Is het niet beter om te eisen dat onomwonden duidelijk is hoe het werkt?

Dit wordt een restrictie voor de nieuwe aandeelhouders van Facebook na de beursgang in 2012. tot op heden kon Facebook vaak nog ongelimiteerd zijn gang gaan met gebruik van surf- en communicatiegegevens in persoonlijke reclameprofielen. Als de nieuwe regels gelden, wordt dat moeilijker en dat kan de groei van de omzet en winst belemmeren.

Dit geldt ook voor aanbieders van apps: het kan niet zo zijn dat apps gratis of bijna gratis zijn in ruil voor toegang tot een hele serie persoonlijke data, die ook nog eens aan derden verkocht mogen worden, zo vindt WP 29 althans. Daar dreigt Brussel een brandbom te leggen onder een hele markt voor (bijna-)gratis apps die met handel in persoonsdata op de been wordt gehouden.

Ook moet het uit zijn met het stiekem veranderen van voorwaarden voor gebruik van diensten, zonder dat gebruikers duidelijk de mogelijkheid krijgen om akkoord te gaan. Nee, mijnheer Facebook, dan zul je je gebruikers eerst weer moeten vragen of ze akkoord gaan. En wel buitengewoon duidelijk, zodat ze bij de aankondiging niet met hun oren staan te klapperen van de juridische taal.

Nederlandse Europese privacybaas: (niet) 'klote'

In december 2011 interviewde ik Jacob Kohnstamm, voorzitter van de Nederlandse privacywaakhond CBP en van de verenigde Europese privacytoezichthouders (Werkgroep Art. 29), over Facebook.

Amerikanen, Canadezen, Ieren en Scandinavische waakhonden onderzochten Facebook. Is dat niet te coördineren?

Kohnstamm: "Er vindt zeker coördinatie plaats tussen toezichthouders, ook om niet over elkaar heen te buitelen. Maar formele samenwerking is er niet. Dat wordt straks beter geregeld in Europa."

Er was een 24-jarige student in Oostenrijk nodig, Max Schrems, om de boel wakker schudden…

"De Ieren waren al bezig met onderzoek. Daar kwamen 500 Oostenrijkse klachten bij want in Ierland heeft Facebook het Europese hoofdkantoor. De Ierse toezichthouder op de privacy is de enige die bevoegd is, maar werkt met maar 6 FTE." [Het zijn er twintig en de Ieren waren snel met hun rapport. Ze begonnen wel degelijk pas na de klachten van Schrems.]

U bent voorzitter van 27 verzamelde privacywaakhonden in Europa, WP 29, en kunt toch hulp bieden en coördineren?

"Dat is precies wat er nu gebeurt. Vanuit WP 29 is een serie vragen verzameld waarop eerst antwoord moet komen alvorens er een uitspraak mogelijk is. Ook hier beschouwt iedereen ons weer als actiegroep en roept: het is klote met Facebook. Maar daar koop je niets voor."

Alles bij elkaar wekt dit de indruk dat het Europese privacytoezicht onvoldoende is…

"Nee, mensen willen iets anders, dat je snel en hard zegt: het is klote!"

Nou nee, ik heb Facebook maandenlang onderzocht en er mist buitengewoon veel. Er is opheldering nodig over wat er met data gebeurt…

"Met enige regelmaat hoor je over Facebook: het is een schande wat daar gebeurt, maar nooit hoor je details. Ook de Oostenrijkse student kwam met allerlei zaken waarvan hij vond dat die niet deugden." [Schrems werd door de Ierse onderzoekers zeer bedankt voor zijn bijdragen.]

Nieuwe privacyregels met boetes

Op 25 januari 2012 presenteerde eurocommissaris Viviane Reding het voorstel voor de nieuwe privacyregels, met als belangrijkste elementen:

Burgers moeten makkelijker toegang hebben tot hun gegevens, en de mogelijkheid om deze bij een andere provider of sociaal netwerk onder te brengen of helemaal te laten verwijderen;

Opt-in, al neergelegd in tussentijdse regels voor cookiegebruik, wordt de norm. Surfgedrag wordt pas gevolgd nadat je daarvoor toestemming gaf. Periodiek moeten bedrijven opnieuw toestemming vragen;

Iedere burger krijgt het expliciete recht om toestemming voor het verwerken van persoonsgegevens in te trekken, waarna ze moeten worden verwijderd. Dat geldt ook voor openbare gegevens op bijvoorbeeld sociale netwerken. Dit 'vergeetrecht' is niet absoluut en geldt bijvoorbeeld niet voor de pers;

Er komt een boetestelsel. Wie privacyregels overtreedt kan een hoge boete krijgen, van maximaal 2 procent van de omzet;

Burgers zullen binnen 24 uur moeten worden geïnformeerd als er persoonsgegevens zijn verloren, gestolen of gehackt;

Er komt een Verordening die rechtstreeks geldig zal zijn voor de hele Europese Unie, en geen Richtlijn die elke Europese staat vervolgens voor eigen wetgeving gaat interpreteren;

Alle toezichthouders moeten dezelfde bevoegdheden krijgen, iets wat nu niet het geval is. Zo kan er ook jurisprudentie ontstaan voor de hele Europese Unie en hebben bedrijven niet langer de lasten van verschillende regimes;

Er komt coördinatie in geval van verschil van mening tussen verschillende toezichthouders. Die moet kunnen oordelen: zo is het en niet anders;

Je houdt één DPC [privacytoezichthouder] die bevoegd is om een zaak aan te pakken, ook namens de andere landen.

Chief Operating Officer Sheryl Sandberg van Facebook liet zich negatief uit over het voorstel. Europa wordt hiermee economisch onaantrekkelijker, waarschuwde ze. Met het vragen om toestemming voor dataopslag en het voorzien in een mogelijkheid voor verwijdering wordt Facebook op hoge kosten gejaagd. Vooral dit 'vergeetrecht' roept veel discussie op; het kan problemen geven in sociaal verkeer op internet. Bijvoorbeeld: mag jij een chat op Facebook verwijderen als je daarmee ook de inbreng van de gesprekspartner vernietigt?

In de lobby voor mildere, nieuwe regels openbaarde Facebook juist vóór de bekendmaking ervan een studie van Deloitte waaruit werd geconcludeerd dat Facebook de Europese economie alleen al in 2011 ruim 15 miljard euro had opgeleverd. Het rapport wordt besproken in het hoofdstuk over de beursgang.

Ter verdediging van Facebook

Uit de opsomming van onderzoeken door, en aanvaringen met toezichthouders lijkt het of Facebook een verschrikkelijke privacyschender is. Tegen dat beeld is verzet gerezen. Dat deed met name James Grimmel, hoogleraar aan de New York Law School, onder meer in zijn stuk 'Saving Facebook' in 2009 en zijn voordracht voor het 5e Internet, Law and Politics conference in 2009 in Barcelona. Hij brak een lans voor een bredere kijk op privacy, niet alleen maar tegen Facebook gericht.

Volgens Grimmel bestaat helemaal geen eenzijdige, absolute wens voor bescherming van privacy, maar is deze wens - letterlijk en figuurlijk - in strijd met andere wensen van mensen. "Er is een diepe, waarschijnlijk onvermijdelijke spanning tussen de wens voor een betrouwbare controle over je informatie en wens voor ongeplande sociale interactie." Of, in gewone taal: mensen zoeken ook spanning en verrassing en dit gaat nu eenmaal bij tijd en wijle ten koste van hun privacy, zoals ze zich dan ook beseffen.

Facebook weet voortreffelijk de behoefte aan 'ongeplande sociale actie' en opwinding aan te boren. Het is in feite aan het individu om af te wegen op die uitdagingen in te gaan, met privacy als prijs, of te kiezen voor behoud van de persoonlijke levenssfeer.

Veel privacyschendingen zijn dan niet het gevolg van kwalijke handelingen van Facebook maar eerder van onvoorzichtigheid van deelnemers en vooral hun vrienden, die met doorgifte van persoonlijke gegevens een ander te kijk zetten. Personen opereren immers onder echte namen op Facebook, zijn zich daar toch goed van bewust en moeten daarnaar handelen. Behalve met onderlinge privacyschendingen door personen hebben ze te maken met privacydruk van overheden, die waarschijnlijk sinds begin deze eeuw aanzienlijk groter is geworden dan die van bedrijven.

Privacy is dus geen absoluut recht dat door toezichthouders voor iedereen altijd geëist mag worden, maar onderdeel van de sociale balans. Mensen wegen verschillende risico's af bij het bereiken van die balans en schenden elkaars privacy. Schendingen van privacy zijn traditioneel ook een bijproduct van onderlinge communicatie (roddel bijvoorbeeld) en niet louter nu een plotseling gevolg van nieuwe technologie, zoals die van Facebook.

Grimmel sprak hier dus over de openbare privacy en niet die van de dataopslag en -gebruik door Facebook. Voor privacy van communicatie tussen gebruikers onderling is in feite weinig tot niets geregeld.

Conclusie: alsnog verliezen?

Na jaren van aarzelend optreden ten opzichte van Facebook vond Europa alsnog de weg naar een effectieve aanpak. Dat was niet te danken aan al die onheilsprofeten die de publiciteit bestoken met de meest vreselijke vergezichten over teloorgang van de privacy. Nee, het nuchtere optreden van de Oostenrijkse student Max Schrems bracht aan het licht dat Facebook zelf heel veel data over deelnemers en hun gebruik vastlegt voor commerciële doeleinden. Bovendien (hoezo bovendien?) bleef een aantal instellingen en eigenschappen van Facebook discutabel ondanks al die eerdere aanvaringen met privacywaakhonden.

De behandeling van de klachten van de Oostenrijker door de toezichthouder van Ierland, waar Facebook Europa juridisch onder valt, leidde uiteindelijk tot een uitstekende rapportage over de problemen die gebruik van Facebook voor ons kan opleveren, plus een serie maatregelen om daar verbetering in te brengen.

Op een aantal punten, zoals het toestaan van pseudoniemen, kreeg Facebook gelijk. Uiteindelijk is het ook een private dienst, die zelf voorwaarden mag bepalen waar klanten al dan niet akkoord mee gaan. Tenslotte wegen wij ook zelf privacy af tegen de voordelen die we kunnen halen uit open communicatie voor bevrediging van nieuwsgierigheid en behoefte aan aandacht.

Facebook is evenwel nog niet verlost van Europa. De tweede grote slag komt na invoering van de nieuwe Verordening voor privacy in 2013 wanneer online diensten nog louter gedrag mogen vastleggen als je daar toestemming voor verstrekt hebt. Dan moet Facebook ook de door haar zo beleden transparantie in praktijk gaan brengen door te laten zien wat het doet met al die data. Hoe dat in praktijk zal uitpakken, blijft ongewis. Facebook blijft hoe dan ook een walhalla voor exploitatie van internetters in marketing, zo beweren bedrijven in de volgende hoofdstukken.

Gepubliceerd

7 apr 2018
Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0