Alleen klikken is niet genoeg toestemming

Facebook gaat vanaf 1 januari meer informatie van gebruikers inzetten om reclame te verkopen. Het CBP twijfelt of Facebook wel expliciet genoeg om toestemming vraagt.

Er dreigt een flinke botsing tussen Facebook en het College Bescherming Persoonsgegevens (CBP), met als inzet de privacy van Facebookgebruikers. Gisteren kondigde het CBP een onderzoek aan naar Facebook en vroeg het de netwerksite om het nieuwe privacybeleid uit te stellen. Facebook liet direct weten dat daarvan geen sprake kan zijn.

Onlangs kondigde Facebook aan allerlei gegevens die mensen op hun Facebookprofiel plaatsen per 1 januari ook te gaan gebruiken om ze op meer plekken online gerichte advertenties voor te schotelen. Dat zou gebeuren via aangesloten diensten als WhatsApp, Instagram en via websites waar bezoekers met Facebook kunnen inloggen. Andersom leveren deze sites en diensten ook weer data over hun gebruikers aan Facebook, om advertenties te tonen die op hun persoonlijke voorkeuren zijn toegesneden.

Daarnaast gaat Facebook gebruikers volgen als ze naar andere websites surfen en krijgt het via de app toegang tot de contacten in iemands smartphone. Volgens het CBP gaat Facebook ook foto’s van leden gebruiken voor commerciële doeleinden, maar dat wordt door het bedrijf ontkend.

De vraag is: wordt er wel netjes om toestemming gevraagd?

Het CBP zegt het onderzoek naar Facebook te beginnen om te onderzoeken wat de gevolgen van het nieuwe beleid zijn voor de privacy van Facebookgebruikers. Net als bij Google, dat ondertussen een flinke geldboete riskeert, gaat het de privacywaakhond bij Facebook vooral om de vraag of gebruikers wel expliciet om toestemming wordt gevraagd voor het verder te gelde maken van hun persoonlijke voorkeuren. Die interesses blijken uit allerlei informatie over hun leven die ze op Facebook plaatsen. Adverteerders hebben er veel geld voor over om hun advertenties daarop af te stemmen. Iemand die van hardlopen houdt, krijgt daarom reclames voor hardloopschoenen te zien.

Het is geen probleem dat dit gerichte adverteren straks ook via andere sites, WhatsApp en Instagram gebeurt, zolang de gebruiker daar maar expliciet mee heeft ingestemd. En daar lijkt het bij Facebook aan te ontbreken.

„Toestemming voor het gebruik van persoonsgegevens kan doorgaans niet worden verkregen door alleen een lange lijst met algemene voorwaarden te accepteren”, zegt een woordvoerder van het CBP.

We houden ons gewoon aan de Europese regels, zegt Facebook

In een reactie laat Facebook weten „verbaasd en teleurgesteld” te zijn over het CBP-onderzoek. „We hebben kortgeleden onze voorwaarden verhelderd en duidelijker gemaakt hoe mensen controle kunnen houden over reclames. Als bedrijf met een internationaal hoofdkantoor in Dublin hebben we regelmatig overleg met onze toezichthouder, de Ierse Data Protection Commissioner. Die overziet of we voldoen aan de Europese privacywetgeving, zoals die geïmplementeerd is in de Ierse wet.”

Het CBP wijst erop dat Facebook ook een vestiging in Nederland heeft, persoonsgegevens van Nederlanders verwerkt en dat de Nederlandse privacywaakhond daarom bevoegd is om als toezichthouder op te treden.

Facebook houdt vol te verwachten dat het geschil met het CBP snel is opgelost, omdat de Ierse toezichthouder goedkeuring zou hebben verleend. „Graag hadden we alle vragen van het CBP beantwoord voordat ze naar de pers waren gestapt”, voegt een verongelijkte woordvoerder van Facebook toe. Na de aankondiging van het nieuwe privacybeleid hebben gebruikers op 1 januari volgens haar voldoende tijd gehad om te bepalen of ze Facebook willen blijven gebruiken.