• Menu

0 recente resultaten

Tweeëntwintig klachten na inzage gegevens op Facebook [Update reactie CBP]

Max Schrems, een 24-jarige rechtenstudent uit Oostenrijk, diende een verzoek in bij Facebook tot inzage in de gegevens die over hem opgeslagen zijn. Het resultaat: 1.222 pagina’s met informatie van de afgelopen drie jaar. Daarin zat genoeg aanleiding om 22 klachten in te dienen bij de Ierse Data Protection Commissioner.  Hieronder lichten we een aantal punten uit dit opmerkelijke verhaal toe.

Inzageverzoek bij Facebook

Facebook heeft een speciale pagina voor het aanvragen van persoonlijke gegevens. Nadat Max Schrems zijn persoonlijke gegevens op deze manier had opgevraagd en daarna doorvroeg, kreeg hij een CD thuisgestuurd met daarop 1.222 pagina’s aan persoonsgegevens, waaronder statusupdates, recente activiteiten en wachtwoorden. Ook verwijderde vrienden en statusupdates van langere tijd geleden, die Schrems handmatig verwijderd had, bleken er tussen te staan.

Daarnaast bleek het overzicht met gegevens niet compleet te zijn: zo ontbrak bijvoorbeeld informatie over biometrische gegevens, uitnodigingen voor groepen of evenementen en tracking information die via sociale plug-ins wordt verkregen. Schrems nam opnieuw contact op met Facebook over de ontbrekende gegevens. Daarop kreeg hij een e-mail terug met de mededeling dat Facebook de gegevens niet wilde verstrekken. Facebook zegt dat dat niet hoeft als het onredelijk veel moeite kost of als daarmee handelsgeheimen bekend zouden worden.

Europese en Ierse regelgeving

Facebook is van oorsprong Amerikaans. Maar Facebookgebruikers buiten de Verenigde Staten en Canada hebben, door het accepteren van de Gebruiksvoorwaarden, een overeenkomst gesloten met het in Ierland gevestigde Facebook Ireland Limited. Dit houdt in dat het Europese en ook het Ierse recht van toepassing is. In de Ierse wetgeving is opgenomen dat elke betrokkene recht heeft op inzage in de gegevens die zijn verwerkt. Dit recht is afkomstig uit de Europese Privacyrichtlijn. De Ierse Data Protection Commisioner (de Ierse tegenhanger van het College bescherming persoonsgegevens) is belast met het toezicht op de naleving van de privacywetgeving in Ierland. Individuen die menen dat hun rechten geschonden zijn, kunnen een klacht indienen.

Nederlandse gebruikers kunnen met klachten ook terecht bij ons eigen College bescherming persoonsgegevens. Facebook is verantwoordelijk voor de verwerking van jouw persoonsgegevens en heeft een kantoor in Nederland. Ook is de Wet bescherming persoonsgegevens, waarvan de handhaving door het CBP gebeurt, gewoon van toepassing.

Onderzoek

Max Schrems richtte de groep Europe versus Facebook op en diende tweeëntwintig klachten in bij de Ierse Data Protection Commissioner. Schrems wijst er o.a. op dat door de gebruiker verwijderde informatie door Facebook bewaard wordt en het antwoord op het inzageverzoek onvolledig is. Inmiddels is er een onderzoek gestart naar de rechtmatigheid van de verwerking van persoonsgegevens op Facebook. De DPC publiceert eind dit jaar een rapport over de bevindingen van het onderzoek.

Transparantie en controle

De casus van Max Schrems maakt duidelijk dat transparantie over wat er met onze gegevens gebeurd nog ver te zoeken is. Alleen wie zich in zo’n inzageverzoek vastbijt krijgt misschien eens al zijn gegevens te zien. Daarnaast blijkt ook weer eens hoe weinig controle wij hebben over onze gegevens bij Facebook. Wie informatie van zijn profiel verwijdert, verwacht niet dat de informatie alleen maar is verstopt en ondertussen gewoon nog in de databank van Facebook staat. Facebook moet hier veel duidelijker zijn. Ook kun je je afvragen of je deze gegevens ooit volledig kunt laten verwijderen.

Uiteraard zijn wij erg benieuwd naar het rapport van de DPC. Wie zelf zijn persoonsgegevens wil opvragen bij Facebook, kan de handleiding op de website van Europe versus Facebook raadplegen of onze eigen, makkelijke Privacy Inzage Machine proberen. Mocht je een verzoek doen, we zijn benieuwd naar je ervaringen!

Update 4/11/2011:

Naar aanleiding van deze post kregen we een reactie van het CBP. “Een Europeaan die klachten heeft over Facebook, dient zich eerst tot Facebook zelf te wenden, online via een van de standaardformulieren
of op papier, via:
FACEBOOK IRELAND LIMITED
HANOVER REACH
5-7 HANOVER QUAY
DUBLIN 2
Ierland

Vooralsnog gaat het CBP ervan uit dat Facebook een vestiging heeft in Ierland, en dat derhalve Iers recht van toepassing is. Het CBP wacht de uitkomsten van het onderzoek van de Ierse collega-toezichthouder af, alvorens nader onderzoek te doen naar eventuele toepasselijkheid van het Nederlandse recht op de bescherming van persoonsgegevens.”

Help mee en support ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.

Ik geef graag per maand

Ik geef graag een eenmalig bedrag