Privacy Nieuws
Er bestaat fundamentele twijfel over de rechtmatigheid waarop Facebook gegevens van alle EU-klanten verwerkt.
Dat blijkt uit een gerechtelijke uitspraak in de slepende civiele zaak tussen de Oostenrijkse privacyspecialist Max Schrems en Facebook voor het Oostenrijkse Hooggerechtshof (Oberster Gerichtshof, of “OGH”).
Het Oostenrijkse gerechtshof heeft het verzoek van Schrems aanvaard om een aantal vragen voor te leggen aan het Hof van Justitie van de Europese Unie (HJEU, het hoogste gerechtshof in de EU).
De vier vragen doen fundamentele twijfels rijzen over de rechtmatigheid van Facebooks gebruik van gegevens van alle EU-klanten.
Tegelijkertijd heeft het Oostenrijkse Hooggerechtshof in een gedeeltelijk arrest besloten dat Schrems een symbolische emotionele schadevergoeding van 500 euro zal ontvangen omdat Facebook hem geen volledige toegang tot zijn gegevens heeft gegeven, maar in plaats daarvan een “paaseierenjacht” naar gebruikersgegevens heeft georganiseerd.
“Toestemming” of “overeenkomst”?
Het Oostenrijkse Hooggerechtshof heeft twijfels over de rechtsgrondslag die Facebook gebruikt voor bijna alle verwerkingen van gebruikersgegevens. De GDPR noemt zes mogelijkheden om persoonsgegevens rechtmatig te verwerken, waaronder “toestemming” en “contract”. Je kunt je alleen op “contract” beroepen als de verwerking noodzakelijk is voor de uitvoering van het contract.
Vóór de GDPR beweerde Facebook dat gebruikers “instemden” met hun verwerking van gepersonaliseerde reclame. De GDPR verhoogde echter de vereisten voor toestemming om geldig te zijn en gaf gebruikers ook het recht om hun toestemming op elk moment in te trekken.
Dus op 25 mei 2018, toen de GDPR van toepassing werd, beweerde Facebook niet langer dat het zich op toestemming beriep. In plaats daarvan zei Facebook dat de toestemmingsclausules moeten worden gezien als een “contract” waarbij gebruikers gepersonaliseerde reclame “bestelden”.
In de ogen van Facebook kunnen ze met deze omzeiling gebruikers ontdoen van alle rechten die onder de GDPR aan toestemming zijn verbonden. De vereisten van een “vrij gegeven” of “geïnformeerde” toestemming zouden niet meer van toepassing zijn als het wordt geïnterpreteerd als een “contract”.
Max Schrems, voorzitter van noyb.eu: “Facebook probeert gebruikers van veel GDPR-rechten te beroven door toestemming simpelweg te ‘herinterpreteren’ als een civielrechtelijk contract. Dit was niets anders dan een goedkope poging om de GDPR te omzeilen.”
Facebook zou de GDPR illegaal kunnen “ondermijnen”.
Het Oostenrijkse Hooggerechtshof lijkt deze bezorgdheid te delen. In zijn verwijzing naar het HvJEU vat het Oostenrijkse Hooggerechtshof zijn twijfels samen of Facebook artikel 6, lid 1, onder a) en b) GDPR zomaar kan omzeilen in punt 54 van de verwijzing:
“Een kernvraag van het onderhavige geding is of de intentieverklaring tot verwerking door de verweerder onder het rechtsbegrip volgens art. 6(1)(b) GDPR kan worden verschoven om daarmee de aanzienlijk hogere bescherming die de rechtsgrondslag ’toestemming’ aan de eiser biedt, te ‘ondermijnen’.”
Max Schrems: “In principe berust al het datagebruik dat Facebook in de EU winst oplevert op dit juridische argument. Als Facebook bij het HvJEU verliest, moeten ze daar niet alleen mee stoppen en alle illegaal gegenereerde gegevens verwijderen, maar ook miljoenen gebruikers een schadevergoeding betalen. Ik ben erg blij met deze verwijzing.”
Het Oostenrijkse Hooggerechtshof heeft nog drie vragen over de rechtmatigheid van Facebooks gebruik van persoonsgegevens aan het Hof van Justitie voorgelegd.
Het HvJEU zal moeten beslissen of het gebruik van alle gegevens op facebook.com en uit talloze andere bronnen, zoals websites die “Like”-knoppen van Facebook of reclame gebruiken, voor welk doel dan ook, verenigbaar is met het beginsel van “gegevensminimalisering” van de GDPR.
Twee andere vragen hebben betrekking op het gebruik door Facebook van gevoelige gegevens (zoals politieke opvattingen of seksuele geaardheid) voor gepersonaliseerde reclame.
Max Schrems: “Deze andere vragen zijn van cruciaal belang. Facebook mag misschien niet meer alle gegevens voor advertenties gebruiken, zelfs niet als het daarvoor geldige toestemming heeft gekregen. Het kan ook zijn dat het gevoelige gegevens zoals politieke meningen of gegevens over seksuele geaardheid moet filteren. Tot dusver heeft Facebook betoogd dat het geen onderscheid maakt tussen deze soorten gegevens.”
Gedeeltelijke uitspraak over schadevergoeding
Daarnaast heeft het Oostenrijkse Hooggerechtshof een definitief arrest gewezen over bepaalde eisen waarover kan worden beslist zonder dat een verwijzing naar het HvJEU nodig is.
Het Oostenrijkse Hooggerechtshof heeft besloten dat Schrems een schadevergoeding van 500 euro krijgt omdat Facebook hem geen volledige toegang tot zijn gegevens heeft gegeven. Het Hof oordeelde dat hij niet alle ruwe gegevens heeft gekregen, noch cruciale informatie zoals de rechtsgrondslag op basis waarvan zijn gegevens zijn verwerkt.
Het Hof benadrukte dat de gegevens die Facebook via zijn online tool aanbood, verspreid waren over meer dan 60 gegevenscategorieën met honderden, zo niet duizenden gegevenspunten, wat een paar uur zou kosten om door te spitten.
Het Hof oordeelde in punt 153: “De eiser wijst er terecht op dat de GDPR is gebaseerd op een eenmalig verzoek om toegang, niet op een ‘paaseierenjacht'”.
Privacy Nieuws
Facebook heeft opnieuw te maken gehad met een groot datalek. Het sociale netwerk heeft toegegeven dat privé bijdragen van 14 miljoen gebruikers door een softwarefout in mei 10 dagen lang zichtbaar waren voor alle gebruikers.
In de periode van 18 tot en met 27 mei zijn bijdragen openbaar gemaakt die alleen voor je eigen Facebook-vrienden of een groep zichtbaar hadden mogen zijn.
Volgens Facebook werd de privacyinstelling voor berichten door de softwarefout zonder waarschuwing op “publiek” ingesteld, ook al hadden gebruikers eerder bijvoorbeeld alleen “vrienden” als doelgroep ingesteld.
Volgens Facebook is het probleem inmiddels opgelost en is de oorspronkelijke privacyinstelling voor het delen van berichten hersteld.
Volgens Facebook had de fout geen effect op oudere berichten.
Getroffen gebruikers worden volgens Facebook nog geïnformeerd dat zij de privacy-instellingen van hun laatste berichten moeten controleren.
Hoeveel privé-bijdragen er eigenlijk voor iedereen zichtbaar werden gemaakt, is echter onduidelijk, meldt de blog Recode. Ook is nog niet bekend of Nederlandse Facebook-leden ook door de fout zijn getroffen.
Vorig jaar stimuleerde Facebook in een reclamecampagne nog om gebruik te maken van de privacyinstellingen.
Facebook staat al maanden onder enorme druk vanwege de verwerking van persoonlijke gegevens.
Onder meer omdat de gegevens van ongeveer 87 miljoen gebruikers bij het data-analysebedrijf Cambridge Analytica waren beland en vervolgens zonder toestemming werden gebruikt voor de verkiezingscampagne van de Donald Trump.
Eerder deze week gaf Facebook ook toe dat de Chinese smartphonefabrikant Huawei toegang kreeg tot de gegevens van zijn gebruikers.
Privacy Nieuws
NRC keek met twee ervaren ontwerpers hoe Apple, Google, Microsoft, Twitter, Facebook, WhatsApp en Instagram hun nieuwe voorwaarden aan hun klanten opdringen.
De bedrijven gebruiken ‘foute’ vormgeving om toestemming te krijgen voor hun privacyinstellingen. De vuistregel: hoe meer data bedrijven van je nodig hebben, hoe meer moeite het kost om je dataspoor te beperken, concludeert NRC.
Misleiding by design dus.
Maar dat mag toch helemaal niet volgens de AVG?
Er wordt toch duidelijk privacy by design geeist?
Klopt. Maar privacy by design betekent in de AVG iets anders dan de vormgeving van websites en buttons waarmee om toestemming wordt gevraagd.
Privacy by design betekent dat organisaties nieuwe apparaten en applicaties zo moeten maken dat op voorhand al kan worden ingespeeld op toekomstige bedreigingen door hackers.
Dat gaat niet over de misleidende vormgeving.
Maar dat wil niet zeggen dat Facebook & Co er zo eenvoudig mee weg komen. Dat ze een maas in de privacywet hebben gevonden.
De AVG is ook heel duidelijk over de manier waarop toestemming moet worden gevraagd.
Toestemming moet ondubbelzinnig zijn.
Dit betekent dat er voor de verantwoordelijke geen twijfel mag bestaan of de betrokkene wel echt bedoelt dat hij akkoord gaat met de gegevensverwerking.
Als de grote internetbedrijven duidelijk bezig zijn om hun klanten op het verkeerde been te zetten is er toch duidelijk geen sprake van ondubbelzinnig verkregen toestemming?
De verantwoordelijkheid voor het duidelijk onomwonden niet mis te verstaan vragen om toestemming ligt bij de organisatie die de persoonsgegevens wil verwerken.
Zo specifiek mogelijk
Dat betekent dat de organisatie zo specifiek mogelijk dient te vertellen waar een klant mee akkoord gaat.
En dat moet zo gebeuren dat een doorsneegebruiker het allemaal begrijpt.
De analyse van de manipulatieve trucs van Apple, Google, Microsoft, Twitter, Facebook, WhatsApp en Instagram is in ieder geval wel helder. Er is duidelijk sprake van misleiding.
Hoe reageert de Autoriteit Persoonsgegevens?
Ik ben benieuwd hoe de Autoriteit Persoonsgegevens reageert op de trucs van de online marktleiders.
Lees het artikel in NRC en oordeel zelf. Waarom je toch weer op OK klikt…
Privacy Nieuws
Facebook overtreedt volgens de Britse krant The Guardian en de Danish Broadcasting Corporation de nieuwe privacywet op grove wijze met zijn advertentiesysteem. Adverteerders blijken gericht te kunnen adverteren op basis van bijzondere persoonsgegevens van Facebookgebruikers.
Het betreft bijvoorbeeld doelgroepen die interesse hebben in onderwerpen als homoseksualiteit, islam en liberalisme.
In de Algemene Verordening Gegevensbescherming worden ras, etniciteit, politieke voorkeur, religie, seksleven en seksuele voorkeur gezien als bijzondere persoonsgegevens die door bedrijven niet verwerkt mogen worden voor commeciele doeleinden.
Facebook maakt duidelijk commercieel misbruik van de gevoelige informatie die leden van het social media platform delen. Facebook riskeert daarmee zeer forse boetes die tientallen miljoenen kunnen bedragen.
Facebook laat in een statement weten dat de manier waarop het deze informatie aanbiedt gewoon in overeenstemming met de relevante regelgeving is. Het classificeren als de interesses van een persoon is, zo stelde het, iets anders dan het classificeren van persoonlijkheidstrekjes.
Privacy Nieuws
Facebookgebruikers kunnen sinds kort alle data die het social media platform door de jaren heen over hen heeft verzameld opvragen. Dat kan dankzij de privacywet GDPR nu ook bij Whatsapp, dat eigendom is van Facebook.
Hoe kunt u uw eigen persoonsgegevens bij Whatsapp inzien? Volg het onderstaande stappenplan:
1. Ga naar WhatsApp
2. Open instellingen
3. Tik op account
4. Accountgegevens aanvragen
5. Rapport downloaden
WhatsApp vraagt u om 3 dagen geduld voor het rapport, maar gebruikers ontvangen het over het algemeen binnen een paar uur.
Zodra uw rapport beschikbaar is, ontvangt u een WhatsApp-melding op uw telefoon met de vermelding: “Het rapport met uw accountgegevens is klaar om te downloaden”.
Whatsapp vermeldt meteen hoeveel tijd u heeft om het rapport te downloaden (ongeveer een paar weken) voordat het van hun servers wordt verwijderd.
Daarna kunt u een ZIP-bestand naar uw telefoon downloaden. Dit ZIP-bestand bevat een HTML-bestand dat eenvoudig te bekijken is en een JSON-bestand dat naar een andere app kan worden geporteerd.
Zodra u het rapport hebt geopend, vindt u uw gegevens zoals uw telefoonnummer, vorige IP-verbinding, apparaattype, apparaatfabrikant, profielfoto, al uw contactnummers, groepsnamen waarvan u deel uitmaakt en de contacten die u hebt geblokkeerd.
Gelukkig is de informatie die WhatsApp over u bewaart niet zo eng als de informatie die het moederbedrijf Facebook heeft, maar is het altijd beter om te weten welke informatie u als gebruiker deelt met de app die u gebruikt.
