Twitter weigert te vertellen welke persoonsgegevens worden verzameld. Ierse toezichthouder start onderzoek

De Ierse privacytoezichthouder DPC stelt een onderzoek in naar Twitter. Dit in verband met de weigering van het bedrijf om de Britse onderzoeker Michael Veal informatie te verstrekken over hoe het hem volgt wanneer hij op verkorte links in tweets klikt.

Twitter is op basis van de Algemene Verordening Gegevensbescherming (AVG / GDPR) verplicht om die gegevens binnen een maand te verstrekken.

Als Twitter gebruikers links in tweets plaatsen, past de dienst zijn eigen link-shortening service, t.co, op hen toe.

Twitter zegt dat dit het platform in staat stelt om te meten hoe vaak er op een link is geklikt, en helpt het om de verspreiding van malware tegen te gaan door middel van dodgy links.

Welke informatie verzamelt Twitter via de verkorte links?

Privacy onderzoeker Michael Veale, die werkt aan het University College London, vermoedt dat Twitter meer informatie krijgt als mensen op t.co links klikken. En dat Twitter dankzij de url-verkorters mensen kan volgen terwijl ze op het web surfen, door cookies in hun browsers achter te laten.

Veale vroeg meteen nadat de Europese privacyverordening op 25 mei 2018 van kracht werd Twitter om hem alle persoonsgegevens te verstrekken die het social media bedrijf over hem in zijn bezit heeft.

Twitter weigerde de gegevens echter te verdtrekken.

In augustus diende Veale een klacht in bij de Ierse Commissie voor gegevensbescherming (DPC), die hem donderdag vertelde dat zij een onderzoek opende.

Zoals gebruikelijk is bij grote technische bedrijven, zijn de Europese activiteiten van Twitter gevestigd in Dublin, vandaar dat Veale klaagde in Ierland.

Ierse toezichthouder DPC bevestigt onderzoek naar Twitter

“DPC heeft een formeel statutair onderzoek met betrekking tot uw klacht in werking gesteld”, schreef de Ierse waakhond in een brief aan Veale. “In het onderzoek zal worden onderzocht of Twitter al dan niet heeft voldaan aan zijn verplichtingen in verband met het onderwerp van uw klacht en zal worden vastgesteld of de bepalingen van de GDPR of de [Ierse Wet Bescherming Persoonsgegevens] in dit opzicht door Twitter zijn overtreden”.

De toezichthouder zei ook dat de klacht waarschijnlijk zal worden behandeld door de nieuwe Europese gegevensbeschermingsraad, een orgaan dat de nationale gegevensbeschermingsautoriteiten helpt bij het coördineren van hun inspanningen op het gebied van de handhaving van het GDPR, aangezien de klacht van Veale “grensoverschrijdende verwerking met zich meebrengt”.

Twitter zegt dat verstrekken informatie onevenredige inspanning vergt

Twitter onderbouwde de weigering om de gegevens die verzameld worden via tracking door t.co door te verwijzen naar “disproportionele inspanning” gronden in de GDPR. Bedrijven hoeven geen buitenproprtionele inspanningen te verrichten om gegevens te verstrekken.

Volgens Veale intrepreteert Twitter de tekst van de privacywet verkeerd. De vrijstelling kan volgens hem niet worden gebruikt om zogenaamde toegangsverzoeken, zoals hij indiende, te beperken.

Dit lijkt het eerste GDPR-onderzoek te zijn dat in verband met Twitter wordt geopend.

Veale heeft onlangs een soortgelijk onderzoek naar Facebook op gang gebracht, opnieuw in verband met een weigering om gegevens over de webbrowseractiviteiten van gebruikers over te dragen, maar Facebook (fb) was al het onderwerp van meerdere GDPR-onderzoeken.

De Britse onderzoeker zei dat Twitter zeker de tijden registreert waarop gebruikers op links klikken en waarschijnlijk ook informatie over de soorten apparaten die ze gebruiken.

Volgens Veale is het technisch mogelijk voor Twitter om de ruwe locatie van de gebruiker te bepalen. In het privacystatement van Twitter staat dat adverteerders IP-adressen kunnen verzamelen wanneer mensen op hun links klikken. Maar het is onduidelijk wat Twitter doet met de informatie die het via zijn t.co service oogst. Gebruikers hebben volgens de AVG het recht om dat te weten.

Als wordt vastgesteld dat bedrijven de voorwaarden van de GDPR overtreden, worden zij geconfronteerd met boetes tot 20 miljoen euro (23,2 miljoen dollar) of tot 4% van de wereldwijde jaarlijkse inkomsten, afhankelijk van wat het hoogste is. De opbrengsten van 2017 van de tjilpen bedroegen $2.4 miljard, zodat kon een boete GDPR in theorie aan $96 miljoen voor het bedrijf lopen-alhoewel dit Ierse DPC zou vereisen om te beslissen de inbreuk bijzonder flagrant was.

Twitter had op het moment van schrijven niet gereageerd op verzoeken om commentaar.

Meer actueel awareness nieuws

Is de Facebook Like Button onder de AVG nog toegestaan? Europese Hof van Justitie buigt zich over die vraag

Op vrijwel elke site zie je ze. Social Media buttons die bezoekers stimuleren om de pagina die ze bezoeken via Facebook, Twitter, LinkedIn, Pinterest of Whatsapp te delen. Als ze dat doen levert het gratis reclame op voor de website.

Wat veel mensen en eigenaars van websites niet beseffen is dat deze knoppen voortdurend op de achtergrond monitoren hoeveel bezoek de site krijgt, wanneer, wat er gelezen wordt en vooral ook door wie. En deze informatie wordt door social media kanalen als Facebook commercieel verwerkt. Jouw online gedrag wordt verkocht.

Zelfs als jij geen account hebt bij Facebook of Twitter weten deze bedrijven op welke sites jij geweest bent.

In Duitsland is er daarom al een paar jaar een discussie gaande over de rechtmatigheid van de like-buttons.

Is het monitoren van bezoekers nog wel toegestaan binnen de privacywetgeving?

De Verbraucherzentrale NRW, een consumentenorganisatie in de Duitse deelstaat Noordrijn Westfalen, spande een paar jaar geleden een rechtszaak aan tegen Fashion ID GmbH & Co, een onderneming van de Peek & Cloppenburg KG groep die ook modezaken in Nederland heeft.

Peek & Cloppenburg moet Facebook Like-button verwijderen

De Verbraucherzentrale NRW vindt dat het modebedrijf de Like-button van Facebook van zijn website moet verwijderen. Met deze button worden gegevens over het surfgedrag van elke gebruiker aan Facebook doorgegeven.

 

Dit is in strijd met (oude) eveneens Europese wetgeving op het gebied van gegevensbescherming en dus concurrentiebeperkend, meent de Verbraucherzentrale NRW.

Europese impact Duitse discussie over Like buttons

Die Duitse discussie heeft mede door de nieuwe Europese privacywet ook Europese impact.

Het Hooggerechtshof van Düsseldorf (OLG) heeft naar aanleiding van de aanklacht tegen Peek & Cloppenburg zes vragen gesteld aan het Hof van Justitie van de Europese Unie (EHvJ) over de toelaatbaarheid van de Facebook Like Button op grond van de wetgeving inzake gegevensbescherming (beslissing van 19.01.2017, ref. I-20 U 40/16).

Verregaande consequenties

Het Europese Hof van Justitie doet naar verwachting voor eind 2018 een uitspraak die verregaande consequenties kan hebben.

Het Europese Hof van Justitie moet nu feitelijk duidelijk maken of website-exploitanten de Facebook-Like-button kunnen integreren op een manier die voldoet aan de Algemene Verordenimg Gegevensbescherming (AVG).

Omdat de vragen in 2017 zijn gesteld zijn ze nog steeds gebaseerd op de oude gegevensbeschermingsrichtlijn 95/46/EG en nog niet op de nieuwe Europese privacywetgeving die sinds 25 mei 2018 van toepassing is.

Het besluit zal echter waarschijnlijk grotendeels van toepassing zijn op de huidige rechtssituatie, omdat het AVG ook overeenkomstige bepalingen bevat over de verhouding tot nationale normen, aansprakelijkheid voor gegevensbescherming en de verplichting om informatie te verstrekken.

Besluit zal van invloed zijn op alle social plugins

Het besluit zal van invloed zijn op alle social plugins. Want de knoppen van Google, Twitter en Pinterest werken volgens een vergelijkbaar principe.

Wanneer je websites met Facebook Like buttons bezoekt, worden bezoekersgegevens (zoals het IP-adres) meteen op de achtergrond automatisch doorgegeven aan Facebook. Er wordt op jouw computer een cookie geplaatst die door Facebook reclamedoeleinden wordt gebruikt. Je krijgt op basis van deze gegevens reclame te zien die precies bij jou past.

En dat gebeurt zelfs als je geen account hebt bij Facebook.

 

Gebruikers hoeven niet eens geregistreerd te zijn bij de social mediatycoon Facebook om gegevens door te geven. In de praktijk kunnen geregistreerde IP-adressen met behulp van de cookies worden herkend en anonieme gebruikersprofielen worden aangemaakt.

Als de gebruikers al zijn ingelogd op deze netwerken, is het altijd mogelijk om precies te traceren welke internetpagina’s door deze gebruikers zijn bezocht. Het resultaat is de facto monitoring van gebruikers in het netwerk.

De arrondisementsrechtbank in Düsseldorf bepaalde op 9 september 2016 al dat de Facebook Like button in strijd is met oude en nieuwe privacywetgeving.

Het IP-adres van de bezoekers van websites wordt zonder uitdrukkelijke toestemming van de gebruiker aan Facebook doorgegeven.

P & C ging vervolgens tegen het arrest in beroep. en de zaak werd doorverwezen naar Hooggerechtshof van Düsseldorf (OLG).

Dit hooggerechtshof heeft de procedure in 2017 opgeschort om vragen voor een prejudiciële beslissing aan het Europese Hof van Justitie voor te leggen.

De vragen die het Hof van Justitie moet beantwoorden

In de eerste plaats moet het Europese hof antwoord geven op de vraag of de Verbraucherzentrale NRW zelfs een procesrecht had.

Als het EHJ deze vraag bevestigend beantwoordt, zal het vervolgens moeten verduidelijken of een bedrijf dat de Facebook-Like button op zijn website opneemt, “verantwoordelijk” is in de zin van Europese gegevensbescherming, hoewel het de overdracht van de gegevens zelf niet kan beïnvloeden. Dit is met name relevant omdat aan de verantwoordelijkheid een aantal gegevensbeschermings- en aansprakelijkheidsrisico’s verbonden is.

Is de beheerder van een website aansprakelijk wegens nalatigheid?

Mocht het Europees Hof van Justitie deze vraag ontkennend beantwoorden, dan is Hooggerechtshof van Düsseldorf van mening dat de beheerder van de webpagina ook aansprakelijk kan worden gesteld bij nalatigheid. Daarom zou het graag van het Europees Hof van Justitie willen weten of dit überhaupt mogelijk is en of de Europese regels inzake gegevensbescherming hier definitief zijn.

Indien een of andere vorm van aansprakelijkheid wordt overwogen, rijst de vraag of de gegevens rechtmatig zijn verwerkt. Hiervoor heeft de verantwoordelijke persoon (Facebook en/of de beheerder van de website) een verantwoording op grond van de privacywet.

Wie is er verantwoordelijk? Facebook of websitebeheerder?

Het Hooggerechtshof zou in dit verband graag willen weten wie verantwoordelijk is voor rechtvaardiging van doorgifte op grond van de gegevensbeschermingswetgeving: de website-exploitant of op Facebook? Wiens “rechtmatig belang” bij de doorgifte van gegevens relevant zou zijn? Wie zou toestemming van de gebruiker moeten krijgen?

Tot slot zou een andere controversiële kwestie kunnen worden opgelost: Moet de website-exploitant zijn gebruikers informeren over de datatransmissie, hoewel hij niet weet wat Facebook met de verzonden gegevens doet?

Vanwege de onzekere juridische situatie is het volgens Duitse juristen op dit moment niet aan te raden om de Facebook Like knop direct op te nemen. Het advies van de Duitse advocaten is gelet op de Europese regelgeving ook van belang in Nederland.

Meer actueel awareness nieuws

Twitter stopt vanwege AVG met apps op Android TV en XBox

Twitter is vanwege de AVG / GDPR met ingang van 24 mei niet langer beschikbaar voor Android TV of Xbox. Twitter heeft dat bekendgemaakt, hoe kan het ook anders, per tweet.

De apps van Twitter op Android TV en Xbox voldoen niet aan de Algemene Gegevensbeschermingsverordening van de Europese Unie.

De Twitter-apps op Apple TV en Amazon Fire TV blijven wel oprationeel.

Twitter zet aan de andere kant momenteel juist in op ontwikkelingen die inspelen op samenwerking met televisie.

Twitter heeft recent 30 contracten gesloten met tv- en videoproducenten als ESPN, Eurosport, Vox Media, Viacom, VICE en Disney.

Meer actueel awareness nieuws

Twitter ontdekt lek in beveiliging. Alle gebruikers moeten wachtwoord wijzigen

330 miljoen Twitter-gebruikers moeten om veiligheidsredenen hun wachtwoord  wijzigen.

Het social media bedrijf meldt op zijn blog een fout ontdekt te hebben waardoor wachtwoorden in zijn systemen onveilig werden opgeslagen.

“We maskeren wachtwoorden door middel van een proces dat hashing heet met behulp van een functie die bekend staat als bcrypt, die het eigenlijke wachtwoord vervangt door een willekeurige set van cijfers en letters”, legt Twitter uit.

Het beveiligingssysteem van Twitter wordt ook door andere ICT-bedrijven gebruikt, zegt Twitter. Accountgegevens kunnen ermee worden gevalideerd zonder het wachtwoord te onthullen.

Als gevolg van een bug werden wachtwoorden geschreven naar een intern logboek voordat het hashen voltooid werd.

Twitter zegt geen indicatie te hebben dat de wachtwoorden zijn gestolen of door iemand zijn misbruikt.

Er zou volgens Twitter geen sprake zijn geweest van een datalek.

“We hebben geen reden om aan te nemen dat wachtwoordgegevens ooit de systemen van Twitter hebben verlaten of door iemand zijn misbruikt”, meldt Twitter.

Twitter adviseert zijn gebruikers om hun wachtwoord op Twitter en op elke andere dienst waar u mogelijk hetzelfde wachtwoord hebt gebruikt meteen te wijzigen en geeft daarbij een paar tips.

  • Gebruik een sterk wachtwoord dat u niet opnieuw gebruikt op andere websites.
  • Twitter adviseert gebruikers voortaan twee-factor authenticatie te gebruiken. Dit is de beste actie die u kunt ondernemen om uw account veiliger te maken.
  • Gebruik een password manager om ervoor te zorgen dat u overal sterke, unieke wachtwoorden gebruikt.

Meer actueel awareness nieuws