‘Facebook overtreedt Nederlandse wet’

Het sociale netwerk informeert gebruikers volgens de waakhond onvolledig over hoe hun persoonsgegevens worden verzameld en verwerkt.

Foto Regis Duvignau/Facebook

Facebook overtreedt de Nederlandse privacywetgeving, zo concludeert de Autoriteit Persoonsgegevens dinsdag in een nieuw rapport. Het sociale netwerk informeert gebruikers onvolledig over hoe hun persoonsgegevens worden verzameld en verwerkt, stelt de privacywaakhond. Ook constateert de AP dat Facebook zogeheten “bijzondere persoonsgegevens”, waaronder bijvoorbeeld gegevens over iemands seksuele geaardheid, verwerkt, zonder dat gebruikers daar uitdrukkelijk toestemming voor hebben gegeven.

Zelf stelde Facebook tot nog toe niet gebonden te zijn aan de Nederlandse privacywetgeving, omdat het Europese hoofdkantoor van het bedrijf in Ierland staat. Volgens de AP gaat deze redenering echter niet op: omdat Facebook ook een Nederlandse vestiging heeft die Nederlandse bedrijven adviseert over hoe zij het beste kunnen adverteren, is er wel degelijk een duidelijke link met de Nederlandse wetgeving.

Onvoldoende transparant

In Nederland maken ongeveer 9,6 miljoen mensen gebruik van Facebook. Over die gebruikers verzamelt Facebook niet alleen op haar eigen website gegevens, maar ook door te bekijken wat ze op andere websites doen. Via meer dan de helft van de 500 best bezochte websites in Nederland kan Facebook gebruikers met cookies volgen, om zo nog meer gegevens te verzamelen. Al die gegevens worden vervolgens gebruikt om gepersonaliseerde advertenties aan te bieden.

Over deze werkwijze is Facebook volgens AP onvoldoende transparant. Informatie over welke gegevens gebruikt worden voor advertentiedoeleinden is weliswaar beschikbaar, maar deze informatie is dusdanig verspreid over het netwerk dat het voor gebruikers lastig is deze te doorgronden. Ook informeert Facebook gebruikers onvoldoende over hoe zij meer controle kunnen krijgen over welke gegevens worden gebruikt voor hun advertentieprofiel.

Bijzondere gegevens

Belangrijker nog is dat Facebook ook zogenaamde “bijzondere persoonsgegevens” gebruikt voor advertentiedoeleinden. In de Nederlandse wet worden bijzondere persoonsgegevens onderscheiden, omdat ze zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Voorbeelden zijn onder meer gegevens over seksuele geaardheid, godsdienst of strafrechtelijk verleden. De verwerking daarvan mag alleen onder zeer strenge voorwaarden plaatsvinden: na uitdrukkelijke toestemming of nadat de informatie door iemand zelf duidelijk en bewust openbaar is gemaakt.

Geen van beide uitzonderingen gelden in het geval van Facebook, zo constateert de waakhond. Facebook vraagt gebruikers niet vooraf of ze gegevens over bijvoorbeeld geaardheid mogen gebruiken voor gerichte advertenties. Ook maken gebruikers de informatie niet zelf openbaar: dat doen ze op uitdrukkelijk verzoek van Facebook, zonder daarbij bewust aan te geven dat die gegevens voor het personaliseren van advertenties mag worden gebruikt.

Reactie

Met het gebruiken van gegevens over iemands geaardheid is Facebook in reactie op de bevindingen van de autoriteit inmiddels gestopt. De AP onderzoekt nog of de overige overtredingen ook niet meer voorkomen. Onder nieuwe regels die sinds 1 januari 2016 gelden kan de waakhond boetes van maximaal 820.000 euro opleggen aan organisaties die de Wet bescherming persoonsgegevens overtreden.

In een reactie laat Facebook weten dat ze de afgelopen jaren al veel hebben gedaan om gebruikers te informeren over het gebruik van gegevens. Ook benadrukt het bedrijf wel te voldoen aan de Europese wetgeving voor gegevensbescherming en het daarom oneens te zijn met de bevinding van de AP dat het bedrijf zich aan de Nederlandse wetgeving moet houden. Wel zegt Facebook open te staan voor overleg met de Autoriteit Persoonsgegevens.