Een lezer vroeg me:
Ik was op zoek naar een studentenkamer en kwam Kamers in Nederland tegen. Daar staat letterlijk: “KamersInNederland.nl is bewust een afgesloten platform. Alleen door in te loggen met je Facebook-account kun je kamers bekijken en plaatsen. Op deze manier houden we oplichters buiten de deur.” Maar is dat wel legaal? Mag je bezoekers verplichten zich via Facebook aan te melden?
Bij commerciële diensten heb ik het nog niet vaak gezien, maar bij steeds meer forums en blogs zie ik de eis om je aan te melden via Facebook, Twitter en dergelijke diensten van derden.
Op zich is dat legaal. Je mag je dienstverlening aanbieden zoals jij dat wil, en als je wil dat mensen lid zijn van Facebook dan mag je dat als voorwaarde stellen. Het doet gek aan, want in het normale leven heb je zoiets eigenlijk nooit. Maar ik kan er niet echt een regel tegen bedenken.
De enige regel die in de buurt komt, is dit artikel op de grijze lijst:
dat de wederpartij verplicht tot het sluiten van een overeenkomst met de gebruiker of met een derde, tenzij dit, mede gelet op het verband van die overeenkomst met de in dit artikel bedoelde overeenkomst, redelijkerwijze van de wederpartij kan worden gevergd;
Het is dus verdacht om te eisen dat je klanten ook met iemand anders een contract moeten sluiten. Maar de grijze lijst is niet dwingend; je mag tegenbewijs leveren waarom het wél redelijk is. En de hint staat er al: er moet een redelijk verband zijn tussen de twee overeenkomsten. Bij kamerverhuur speelt het probleem van oplichters en malafide huurders en verhuurders. Door te eisen dat je je identiteit onthult, schrik je die partijen af. En verder kost het je weinig, behalve je privacy dan maar die is juridisch gezien toch nul euro waard.
Het voelt wel gek om zo expliciet Facebook aan oplichting te koppelen. De indruk lijkt een beetje te zijn “heb je geen Facebook, dan ben je een oplichter”. En dit vond ik wel dubieus:
We controleren Facebook profielen automatisch én handmatig. Bovendien helpen onze gebruikers een handje mee.
Dit vereist – net als het googelen van sollicitanten – apart toestemming. Die zou dus op de loginpagina geëist moeten worden, verstoppen op een pagina waar men niet per se langs komt is juridisch niet genoeg.
Verder kon ik het als jurist niet nalaten de Privacy Policy te lezen. Alleen, dat bleek naar de algemene voorwaarden te gaan waar niks over privacy in staat. Maar waar wél in staat dat er € 9.50 per maand plus bemiddelingsloon verschuldigd is, terwijl de dienst volgens de site gratis is (“omdat het kan“). Gevalletje copypasten bij de concurrent?
Arnoud
Bovendien helpen onze gebruikers een handje mee?
Pardon. Wat houd dat in dat ze bij jou op bezoek komen om even te kijken of je echt wel neprofiel@eigendomain.com bent?
Facebook is echt 100% wat dat betreft NOT. Heb er diverse profielen aangemaakt.
Maar hoe zit dat als zij 3e partijen in de hand nemen (zowel facebook als “gebruikers”) moeten ze dan geregistreerd zijn bij het college?
Ja, vervelend verhaal. Het probleem begint natuurlijk hier (ik heb de tekst uit bovenstaande iets aangepast): “Facebook is bewust een afgesloten platform.”
En dus doe ik er niet aan mee. Is dat de kop in het zand steken ? Of moeten we een opstand organiseren ? liefst via Facebook natuurljik. 😉
Ik lees dat voorwaarde van inschrijving is alleen inloggen met een FD-ID én dat het FB profiel wordt gedeeld met de rechtspersoon in kwestie. Ben ik de enige die hier op de eerste plaats een slinkse methode ziet een profielendatabase bijeen te harken en die verder te exploiteren en pas op de tweede plek iets met kamerverhuur?
Nog afgezien dat inloggen met je FB-gegevens vak gekoppeld is aan een FB-app die dan ook meteen van alles mag met je profiel en op je tijdlijn.
Eigenlijk is er een simpele reden waarom je inloggen via Google, Facebook of Twitter steeds vaker zult terugzien op diverse sites, zeker indien deze met ASP.NET en MVC4 zijn ontwikkeld. Want MVC4 heeft extra functionaliteit die het inloggen via deze drie providers kinderlijk eenvoudig maakt waardoor ontwikkelaars eigenlijk helemaal geen aandacht meer hoeven te geven aan het authenticatie-gedeelte van een website. De rest van de gegevens in je Facebook profiel zijn eigenlijk niet eens interessant, hoewel ze mogelijk nog wel interesse hebben in je naam en je profielfoto om deze over te nemen in je account.
Waar het gewoon om gaat is de OpenID functionaliteit en toevallig zijn deze drie al standaard deel van MVC4. Andere OpenID providers vragen nog wat extra aanpassingen. En verder moet je je wel aanmelden bij sommige providers voordat je van hun OpenID functionaliteit gebruik kunt maken. En deze site kiest er kennelijk voor om alleen Facebook te ondersteunen…
Toch gaan ze de fout in! Ze gebruiken Google Analytics zonder cookie-waarschuwing… 🙂
Dat het makkelijk is om andere sites te gebruiken voor het inloggen dat klopt. Maar de technische details had je verkeerd: de site gebruikt geen MVC4 vermoed ik want het is pyrocms op basis van PHP dat op een Linux server draait, ze gebruiken ook geen OpenID, maar het is Facebook Connect en niet eens de variant die een open protocol ondersteund. Want er is wel een oAuth variant van Facebook, dat is dan ten minste nog een open protocol. Wijdverbreid gebruik van Mozilla Persona/BrowserID zou nog beter zijn.
Tja, de technische details… Het ging mij hierbij niet om deze specifieke website, maar meer websites in het algemeen. Zoals Microsoft met MVC4 standaard functionaliteit biedt voor enkele OpenID providers, zo zal er voor Linux vast ook een kant-en-klare oplossing bestaan om met b.v. PHP en Facebook voor de juiste authenticatie te zorgen. Of, zoals je al zegt, Facebook Connect. (En als ik die link volg krijg ik na een beetje omlaag scrollen meteen een voorbeeld-aanroep te zien van deze functionaliteit.) Waar het in de discussie gewoon om gaat is dat diverse providers tegenwoordig handige libraries bieden voor het maken van dit soort verbindingen, waardoor ze steeds vaker zullen voorkomen. Daarbij zul je ook moeten afvragen wie er uiteindelijk voor de privacy van de bezoeker verantwoordelijk is. Is dat de website die deze functionaliteit gewoon bij Facebook kan uitlezen? Of is het Facebook die deze informatie gewoon deelt met andere partijen?
Je moet niet denken dat je moet inloggen voordat Facebook kan zien wat je doet. Als je ingelogged bent op Facebook en gaat surfen over Internet, alle sites die je bezoekt met een connect- of like-button, daarvan weet Facebook dat je die site hebt bezocht en dus wat je interresses zijn. Als ze heel doortrapt zijn doen ze het ook terwijl je ingelogged bent (de cookie kun je immers prima in takt laten).
Wat Facebook met die informatie doen, heb ik geen informatie over. Hopelijk wordt er alleen statische informatie aan derden verstrekt. Of worden er alleen maar advertenties van producten van bedrijven getoond die overeenkomen met jouw interresses.
Of te wel 1 keer inloggen, waarschijnlijk jaren volgen.
Dat is ook het grootste probleem dat experts met Facebook hebben: sites met een connect/like systeem geven je bezoek mogelijk aan Facebook door. Maar goed, dergelijke technieken zijn niet nieuw en worden ook door andere bedrijven toegepast. Google Analytics doet het ten minste nog enigszins publiekelijk maar er zijn zat andere sites die zo bezoekers-informatie verzamelen. Het probleem is uiteindelijk wat een dergelijke site met die gegevens gaat uitspoken. Het zorgt er in ieder geval voor dat ik bij iedere registratie voor welke site dan ook, ik altijd een email alias gebruik om te zien of die site mijn adres vervolgens gaat delen met andere partijen. Dan kan ik ze vervolgens op hun wangedrag aanspreken en die alias blokkeren. (En de account opheffen en zo.)
Als Google analytics het doet, doen ze het alleen indirect. Want een cookie hebben ze niet. De enige directe cookie-koppeling die er is, is de website die je bezoekt (voor terugkerende bezoekers). En Facebook zelf kun je niet opzeggen, ze hebben zelfs al profielen klaar voor mensen die zich nog niet eens aangemeld hebben.
Dat ze eisen dat je identificeerbaar bent vind ik redelijk. Dat ze eisen dat je dat via Facebook doet niet.
Je met Facebook aanmelden komt neer op Facebook en zijn opdrachtgevers (zoals de Amerikaanse geheime dienst) laten zien dat jij die site gebruikt en wanneer.
Dat lijkt me wel degelijk een onredelijke mate van oplegging van contract met een derde partij. Je sluit met Facebook een contract af als je een account aanmaakt.
@Arnoud: Ze hebben dit artikel intussen bij Kamers in Nederland gelezen! 😉 Privacy-pagina: “Deze Privacy Verklaring is vastgesteld op 6 juni 2013.” – Een echte PV. Alg.Voorwaarden-pagina: “Deze voorwaarden zijn voor het laatst gewijzigd op 6 juni 2013.” – Bemiddelingskosten enz. niet meer te bekennen. Er staat wel in (art.2.3): “De in een offerte of aanbieding vermelde prijzen zijn exclusief BTW en andere heffingen van overheidswege, eventuele in het kader van de overeenkomst te maken kosten, daaronder begrepen reis- en verblijf-, verzend- en administratiekosten, tenzij anders aangegeven.” en nog een serie bepalingen over overeenkomsten en opdrachtgevers. – Maar wat dat betekent, kan je alleen te weten komen als je via FB bent ingelogd… / Overigens ben ik van mening dat koppelverkoop (of hoe noem je zoiets bij gratis services: “koppeldienst”?) uit den boze zou moeten zijn; maar ik heb het niet voor het zeggen. En waar ik wel nieuwsgierig naar ben: zou KiN nu van Facebook een zakcentje krijgen om FB als verplicht nummer op te voeren?