Op vrijdag 1 augustus klaagde de Oostenrijker Max Schrems Facebook aan. Volgens de privacyvoorvechter schendt Facebook de Europese privacywetgeving op diverse vlakken. Heeft hij een zaak? Wat ons betreft wel.

Op de site ‘Europe vs Facebook’ is de Oostenrijkse rechtenstudent Schrems al langere tijd bezig met diverse initiatieven om databescherming op de voorgrond te krijgen in Europa. Eén van zijn projecten is dus deze ‘class action suit’ tegen Facebook. Gebruikers kunnen zich aansluiten bij de procedure. Omdat ook de Californische aansprakelijkheidswet van toepassing is op Facebook, kent de rechtszaak ook een klein verzoek om schadevergoeding van 500 euro per gebruiker.

De volledige aanklacht staat (in het Duits!) online (pdf). Volgens Schrems schendt Facebook de wet op 7 punten (pdf):

1. Facebook heeft een ‘data use policy’ die onder de EU wet niet geldig kan zijn
2. Toestemming van de gebruiker ontbreekt bij veel typen datagebruik
3. Facebook is aangesloten bij het PRISM-programma van de NSA
4. Gebruikers worden gevolgd op externe websites (door bijvoorbeeld ‘like-knoppen’)
5. Gebruikers worden via ‘big data’-systemen gemonitord en geanalyseerd
6. De introductie van de ‘Graph search’ is onrechtmatig
7. Het doorgeven van gebruikersdata aan externe toepassingen is onrechtmatig.

Facebook verzamelt te veel data

Veel van de klachten overlappen. Klacht 1 is algemeen van aard. In grote lijnen kun je zeggen dat een aantal principes die zijn vastgelegd in Europese wetgeving onvoldoende worden gerespecteerd door Facebook. Zo stellen de Europese privacyregels (net als de Nederlandse wet) dat bedrijven aan dataminimalisatie moeten doen: dus zo min mogelijk gegevens moeten verzamelen. Dat doet Facebook niet. Sterker nog, het monitoren strekt verder dan het bezoek aan de website van Facebook zelf en betreft zelfs niet-gebruikers (punt 4).

Facebook vraagt te weinig toestemming

Daarnaast is de uitdrukkelijke toestemming van gebruikers nodig voor dataverwerking (punt 2). Die toestemming is nauwelijks uitdrukkelijk te noemen, omdat de gebruiksvoorwaarden en de Data Use Policy van Facebook vaag, lang en soms actief misleidend zijn. De risico’s worden onvoldoende belicht en vaak geeft de Data Use Policy juist aan dat verzameling en verwerking nodig zijn voor de veiligheid van je Facebookgebruik en om je ervaring ‘socialer’ en ‘persoonlijker’ te maken. Het meest vergaande voorbeeld van deze misleiding is het Facebook-experiment onlangs: het bedrijf stelde dat gebruikers toestemming hadden gegeven in de gebruiksvoorwaarden. In een bijzin stond er dat je als gebruiker betrokken kon zijn bij experimenten. Maar of er dan sprake is van ‘informed consent’?

Bovendien biedt diezelfde Data Use Policy de gebruiker weinig keus. Er zijn bepaalde keuzes die je in staat stellen om te kiezen hoe je je privacy bewaakt ten opzichte van je vrienden, maar ondertussen wordt alles opgeslagen dat je op Facebook zet – en meer! Zelfs berichten die je besluit toch niet te posten, of vrienden die je verwijdert, worden opgeslagen op de servers van Facebook. En dat is nog maar een klein deel van de berg data die Facebook over je heeft.

Gebruikers kunnen gevolgen van data-verzameling niet overzien

Wat ons brengt bij de Big Data-klacht van Schrems (klacht 5). Uit de verzamelde informatie kan de meest intieme informatie over ons worden afgeleid, zonder dat er transparantie bestaat over hoe deze informatie wordt gebruikt of dat voorzienbaar is hoe deze informatie wordt gebruikt. Bijvoorbeeld of deze informatie terecht komt bij externe partijen (klacht 7). Facebook heeft daar een opt-out-systeem van gemaakt. Dat kan niet de bedoeling zijn van het toestemmingsvereiste zoals vastgelegd in de wet. En het kan verder gaan: klacht 3 gaat over het delen van data met de NSA. Wat betreft Prism heeft Facebook ontkend betrokken te zijn geweest en “direct gegevens op grote schaal” te hebben overgedragen. Ondertussen is echter bekend dat de NSA wel degelijk heeft aangeklopt bij Facebook en via een gerechtelijk verzoek gegevens over Europeanen heeft gekregen. Dus ook hier heeft Schrems een punt. Mag de VS zonder Europese juridische basis in de gegevens van Europese Facebook-gebruikers rondneuzen?

Over de Graph Search (klacht 6) zegt Facebook dat de dienst binnen de privacyregels valt. Je zou echter kunnen zeggen dat de search-functie bepaalde informatie veel makkelijker beschikbaar maakt en daarom een ander soort privacy-zorg met zich meebrengt.

Wordt vervolgd!

We houden de zaak nauwlettend in de gaten. Facebook heeft 9 miljoen accounts in Nederland en 282 miljoen actieve gebruikers in Europa, waaraan het online winkelcentrum in 2013 zo’n 2.2 miljard Euro verdiende. Het aantal gebruikers lijkt in de prognoses te stijgen. Je kunt bijna niet meer om de dienst heen, maar dat neemt niet weg dat het bedrijf zich aan de privacyregels moet houden. Integendeel. Het is daarom goed dat deze rechtszaak er is en wij hopen dat Facebook op de vingers wordt getikt. Verdergaande Europese privacywetgeving komt eraan (op grond waarvan Facebook zeker illegaal bezig zou zijn), maar dat duurt nog even.