Facebook: bij hoeveel privacy-schendingen is het genoeg?

De boete van 110 miljoen euro die Facebook donderdag kreeg, zal het bedrijf niet deren. Maar Facebook heeft het steeds vaker aan de stok met Europese privacywaakhonden.

Foto Patrick Pleul/EPA

Facebook zou de data van WhatsApp écht niet gebruiken voor advertenties of andere diensten. Dat bezwoer oprichter Mark Zuckerberg in 2014 op een congres vlak nadat bekend werd dat hij de populaire berichtenapp had overgenomen. „Absoluut niet. We hebben geen enkele intentie om dat te doen.” Twee jaar later veranderde hij de privacyvoorwaarden om, inderdaad, de data van WhatsApp te gebruiken voor advertenties en andere diensten. Die misleiding komt nu als een boemerang terug.

Want Zuckerberg misleidde niet alleen de gebruikers van de app en de congresgangers die hij toesprak, maar ook de Europese Commissie, oordeelde die donderdag. De straf: een boete van 110 miljoen euro. Financieel zal Zuckerberg niet wakker van liggen van dat bedrag: dat komt ongeveer neer op de nettowinst die Facebook elke drie dagen maakt.

Strengere waakhonden

Maar de straf van de Commissie past in een patroon van steeds strenger optreden van privacywaakhonden en overheden in Europa, waarover Zuckerberg zich waarschijnlijk meer zorgen zal maken.

Het bedrijf heeft het de laatste jaren bijna permanent aan de stok met privacywaakhonden, en deze week met meerdere tegelijk. De Nederlandse Autoriteit Persoonsgegevens bracht dinsdag een rapport uit waaruit bleek dat Facebook herhaaldelijk privacywetten heeft overtreden en moeilijk doet over het verschaffen van informatie.

De Franse privacy-autoriteit publiceerde een zeer vergelijkbaar rapport, en de Italiaanse privacytoezichthouder gaf Facebook vorige week vrijdag al een boete van 3 miljoen euro voor het koppelen van gebruikersdata van WhatsApp. Volgens de Italianen werden gebruikers op een oneigenlijke manier „verleid” om akkoord te geven op de nieuwe privacyvoorwaarden.

Een ‘misverstand’

Eurocommissaris Margrethe Vestager van Mededinging zei donderdag dat de Europese miljoenenboete voor Facebook komt doordat het bedrijf valse informatie heeft gegeven tijdens het proces voor goedkeuring voor de overname van WhatsApp.

Facebook heeft tijdens de overnameprocedure van WhatsApp een onjuiste voorstelling van zaken gegeven aan de Europese Commissie over de mogelijkheid om automatisch privé-informatie tussen WhatsApp en Facebook uit te wisselen. Het Amerikaanse bedrijf wekte ten onrechte de suggestie dat dat technisch onmogelijk was.

Facebook erkent dat het de Commissie verkeerd heeft ingelicht. „Maar het was geen kwade opzet, maar een misverstand over de vraagstelling van de Commissie,” zegt woordvoerder Tineke Meijerman.

Of het niet merkwaardig is dat een bedrijf met 25 miljard euro jaaromzet en bijna 19.000 medewerkers op basis van een ‘misverstand’ zo’n hoge boete riskeert? „Het is een technisch verhaal, het is in elk geval niet bewust gedaan. We hebben te goeder trouw gehandeld.”

Het bedrijf accepteert de boete overigens wel, en benadrukt dat deze straf geen gevolgen heeft voor het besluit om de fusie tussen WhatsApp en Facebook goed te keuren. Dat bevestigt de Europese Commissie: Facebook blijft dus ondanks de valse belofte eigenaar van WhatsApp en kan gewoon doorgaan met het uitwisselen van gegevens tussen de twee diensten.

Te veel Europese loketten

Op de goedkeuring voor de overname in 2014 is van mededingingsspecialisten de laatste tijd veel kritiek. Volgens critici heeft de Commissie de machtspositie die Facebook zou opbouwen volstrekt onderschat. Facebook heeft 2 miljard gebruikers, WhatsApp 1,2 miljard. Het gebruiken van privé-gegevens is cruciaal voor het aanbieden van op maat gemaakte online-advertenties, een markt die Facebook wereldwijd samen met Google totaal domineert.

Facebook beklaagt zich intussen over de onduidelijkheid van de Europese privacywetten: het bedrijf heeft in alle landen van de Europese Unie te maken met privacytoezichthouders die hun eigen eisen stellen. Liever wil Facebook daarvoor één duidelijk Europees loket, andere techbedrijven en veel politici steunen Facebook in dat standpunt.

Voorlopig blijven er nog meerdere privacytoezichthouders in Europa bestaan, dus zal Facebook ook de komende tijd te maken krijgen met diverse Europese regelgevers die zich steeds vaker de vraag zullen stellen: hoeveel privacyschendingen is genoeg? En misschien nog wel belangrijker: welke sancties zijn afschrikwekkend genoeg om verdere schendingen nu eens effectief te stoppen?