Alle zeilen bij voor Facebook en Google

EU-Dataregels Als privacyregels volgende maand ingaan riskeren techreuzen miljardenboetes. De naleving is Facebooks grootste project ooit. Maar of dat genoeg zal zijn voor de EU?

Vanaf eind mei kunnen boetes voor privacyschendingen oplopen tot 4 procent van de wereldwijde jaaromzet. Voor Facebook kan dat oplopen tot zo’n 1,3 miljard euro, voor Google zelfs 3,5 miljard. Alle zeilen worden bijgezet voor goede naleving. Illustratie Arjen Born

Het is volgens Facebook de grootste operatie in de geschiedenis van het bedrijf. „We hebben het grootste multidisciplinaire team in de Facebook-historie samengesteld om Facebook helemaal klaar te krijgen voor de naleving van de AVG”, zegt Stephen Deadman, als wereldwijd vice-directeur privacy één van de hoofdverantwoordelijken bij Facebook.

Het enorme pakket nieuwe privacyregels dat op 25 mei in de gehele EU in werking treedt, voluit de Algemene Verordening Gegevensbescherming, heeft grote gevolgen. Volgens Deadman zijn er honderden mensen wereldwijd aan de slag om Facebook helemaal klaar te maken: „Het databeschermingsteam in Dublin is in een jaar 250 procent gegroeid, we hebben een nieuwe directeur privacy, een nieuwe data protection officer. Van productontwikkeling tot marketing tot cybersecurity-specialisten tot juristen: iedereen werkt mee.”

De mega-operatie bij Facebook is exemplarisch voor wat er nu gebeurt bij alle grote techbedrijven, waaronder ook Google, Amazon en Microsoft. In de AVG (ook wel bekend onder de Engelse afkorting GDPR) staat dat bedrijven veel transparanter moeten zijn over welke data ze verwerken en ze moeten het gebruikers bijvoorbeeld makkelijker maken om persoonlijke data mee te nemen naar de concurrentie.

De verandering met de meeste impact is het nieuwe boetebeleid. Vanaf eind mei kunnen boetes voor privacyschendingen oplopen tot 4 procent van de wereldwijde jaaromzet. Voor Facebook kan dat oplopen tot zo’n 1,3 miljard euro, voor Google zelfs 3,5 miljard. Alle zeilen worden bijgezet voor goede naleving.

Stok om ‘Big Tech’ mee te slaan

De AVG wordt door velen gezien als juridische stok van de EU om ‘Big Tech’ mee te slaan. Facebook stond door zijn monopolie op sociale media al volop in de schijnwerpers van Europese regulerende instanties, en dat spotlight is er alleen maar feller op geworden sinds het dataschandaal rondom Cambridge Analytica. Daarbij werden gegevens van maximaal 87 miljoen Facebookgebruikers misbruikt voor het op maat maken van politieke campagnes voor Trump en vermoedelijk ook de Brexit.

Facebook moet koste wat kost herhaling voorkomen. „We moeten je data beschermen. Als ons dat niet lukt, verdienen we je data niet”, schreef Mark Zuckerberg in een grote excuus-advertentie vlak na het dataschandaal. Met de AVG draait het voor Facebook niet alleen meer om het vertrouwen van gebruikers maar ook om het overtuigen van de handhavers van de EU. Facebook zal onder het nieuwe regime vooral te maken krijgen met de Ierse privacytoezichthouder, aangezien Facebooks internationale hoofdkantoor in Ierland staat.

Donderdag ontdekte persbureau Reuters dat Facebook zijn voorwaarden voor de 1,5 miljard gebruikers buiten Europa, de VS en Canada heeft aangepast, zodat zij níet onder de AVG vallen – terwijl dat eerst wel zo zou zijn. Bij zijn hoorzitting in de Amerikaanse Senaat eerder deze maand suggereerde Zuckerberg nog dat de ‘geest’ van de AVG het uitgangspunt zou zijn voor Facebooks wereldwijde privacy-beleid. Maar hij verplaatst voor de zekerheid de juridische verantwoordelijkheid toch maar van Dublin naar het hoofdkantoor in de VS, waar beduidend minder strenge regels gelden.

Pop-ups met toestemmingen

Afgelopen week kregen Europese gebruikers van Facebook al een voorproefje van wat de AVG voor hen betekent. Facebook moet gebruikers duidelijker vragen om toestemmingen voor dataverzameling en -verwerking. Veel gebruikers krijgen pop-ups met de vraag of Facebook bepaalde gegevens mocht gebruiken.

Maar die meldingen krijgen meteen veel kritiek. Harvard-onderzoeker Zeynep Tufekci twitterde: „De AVG-instellingen zijn vooral zo gemaakt dat je ze makkelijk accepteert en verderklikt. Je moet door een rommelig menu van opties als je iets wilt veranderen, en je krijgt geen echte controle over hoe je data verzameld worden. Dit ontwerp lijkt opzettelijk, gedreven door het verdienmodel van Facebook.”

Het is voor Facebook een lastige balans tussen duidelijk om toestemming vragen, en voorkomen dat Facebookgebruikers alleen nog maar toestemmingen aan het wegklikken zijn, vertelt Deadman. „We moeten de controlemechanismes voor gebruikers begrijpelijker maken, en tegelijk zorgen dat mensen niet uren kwijt zijn aan het doorlezen van privacybeleid.” Er zal bijna altijd een dilemma zijn tussen gemak voor de gebruiker en compleetheid van de toestemmingen, zegt hij.

„Het staat niet in de AVG hoe we dat precies moeten doen, dus daar werken we hard aan. 25 mei is niet het eindpunt voor het doorvoeren van alle veranderingen, maar het beginpunt.” Het bedrijf zoekt onder meer hulp van start-ups en externe ontwikkelaars bij het vinden van goede manieren om duidelijkheid en gebruiksvriendelijkheid in balans te brengen.

„Cookie-banners zijn voor ons wel het voorbeeld van hoe je het níet moet aanpakken op een gebruiksvriendelijke manier.” Alle websites die cookies plaatsen moeten daarvoor in een expliciete melding telkens toestemming vragen. Dat biedt bepaald geen optimale gebruikerservaring. Facebook wil niet één grote cookie-banner worden natuurlijk.

Datahonger niet gestild

Facebooks datahonger wordt niet ineens minder door de AVG. Deze week zette het de optie aan om de gezichten van Europese gebruikers automatisch te herkennen op foto’s. Die functie was na kritiek van overheden jarenlang opgeschort in Europa. Het opnieuw verzamelen van deze data doet Facebook onder het mom van ‘nieuwe manieren om toestemming te vragen onder de AVG’.

Het verdienmodel van Facebook draait om het verzamelen van zoveel mogelijk gegevens, en dat zal blíjven schuren met privacy, zo lijkt het. Gebruikers krijgen geen optie om alle gerichte adverenties te weigeren. „Facebook is op maat gemaakte informatie.” zegt privacy-baas Stephen Deadman. „Facebook ís data. Onze grote taak is en blijft onder de AVG dat mensen controle hebben over hun ervaring op Facebook. Dat botst niet per se met ons verdienmodel. Het is niet óf privacy óf bedrijfsbelang. Die twee kunnen prima samengaan.”

Of het Facebook, en de andere techreuzen, lukt om die stelling waar te maken zal na 25 mei moeten blijken.

    • Wouter van Noort