Facebook mag niet-ingelogde Belgische internetters weer twee jaar gaan volgen met een datr-cookie, meldde Tweakers vorige week. In 2015 verbood de rechtbank dit volgen op verzoek van de Privacycommissie (de Belgische Autoriteit Persoonsgegevens), maar dat verbod wordt nu ongeldig verklaard omdat er onvoldoende spoedeisend belang zou zijn geweest.
Facebook weet alles van iedereen, onder meer omdat heel veel websites zo’n handig “Vind ik leuk/Deel dit”-knopje hebben opgenomen met door Facebook aangeleverde scripting. Dat knopje zet cookies en stuurt informatie door over de bezoeker, ongeacht of die persoon ingelogd is op Facebook of zelfs maar een Facebook-account hééft.
Dat gaat een tikje ver, en zeker onder de Europese cookieregels lijkt me dat niet in de haak. Om cookies te mogen zetten, moet toestemming zijn gegeven. En die Facebookwidget doet dat niet. Daarmee overtreedt men dus de cookiewet. En daarom besloot eind 2015 de Belgische rechter in kort geding dat dit onmiddellijk moet stoppen.
Facebook ging in hoger beroep, en won op een formeel punt: zij doen dit al sinds 2012, en de rechtszaak kwam pas in 2015, dus hoezo is er dan nog spoed bij deze zaak? En ja, dat is een argument want in kort geding gaat het allemaal even wat sneller en dus minder grondig, en dat doen we omdat er zulke grote spoed bij is dat we niet kunnen wachten op een bodemprocedure. Blijkt er dus geen grote spoed te zijn, dan moet de rechter in kort geding de eis afwijzen en de partijen naar de bodemrechter verwijzen. En dat is wat hier is gebeurd.
Ergerlijk, maar het betekent niet dat Facebook dus legaal is. Ik kan eerlijk gezegd geen enkel argument bedenken waarom dat zo zou zijn. Facebook roept dan steeds dat de cookies belangrijk zijn voor de beveiliging tegen cybercriminelen en malware, maar dat klinkt mij als marketingblaat (wie corrigeert me?). Dus voor mij leest deze uitspraak als een juridische trucje van Facebook on mog even door te mogen gaan tot die bodemprocedure in 2017 afgerond is.
Arnoud
En lang leve de cookiewet in Nederland; hier zou het legaal zijn zolang de site-eigenaar die de boel embed maar toestemming vraagt om cookies te mogen plaatsen (zodat facebook de data kan verzamelen)
In België is ook toestemming nodig, en volgens mij kan in België de site-eigenaar ook die toestemming namens Facebook verkrijgen?
En wie is dan verantwoordelijk en wat is de schade als dat niet gebeurd? Want als de schade op praktisch 0 euro wordt gezet zal er nooit een afschrikwekkende werking van komen. Daarnaast zou Facebook moeten controleren of de toestemming is gevraagd en gegeven voor ze een cookie zetten.
Dit soort gegevens wordt gewoon verhandeld. En heus niet meer eens per week of zo. Op het moment dat jij een website opent, wordt je geprofiled, en dat soort informatie wordt in real-time doorverkocht.
Bekijk bijvoorbeeld eens https://blog.equinix.com/blog/2013/10/07/in-good-company-equinixs-ad-ix-ecosystem-cuts-milliseconds-adds-business-opportunities/
Dat is een “advertisement exchange ecosystem”, in dit geval gebouwd door een multi-tenant datacenter. Zoiets als een aandelen exchange, maar dan zodat jouw persoonsgegevens binnen enkele milliseconden nadat je een site heb bezocht worden doorverhandeld. Ga er eens handelen, dan weet je wat jouw gegevens waard zijn. Dat geeft een aardige indicatie wat het Facebook oplevert door hier nog ruim een jaar mee door te gaan.
Waarom eigenlijk? Is het echt zo dat als ik de site-eigenaar toestemming geef om cookies te plaatsen en die cookies van Facebook zijn ik daarmee Facebook toestemming geef om mij te volgen?
Als het goed is vraagt de site-eigenaar expliciet om toestemming voor facebook cookies. Zie ook de tool van “cookierecht.nl”. Er zijn overigens ook tools die externe inhoud pas laden nadat de gebruiker daar om gevraagd heeft, bijvoorbeeld Shariff. Ik kan me voorstellen dat je dan vooraf niet om toestemming hoeft de vragen.
Dat is mooi, maar waarom ontslaat dat Facebook van de plicht om (ook) om toestemming te vragen?
Moeten dan niet de makers van de betreffende webpagina’s worden aangeklaagd omdat zij FB helpen in zijn illegale privacyverzameldrift?
Ja, laten we miljoenen mensen en bedrijven aan gaan klagen in plaats van het ene bedrijf dat er uberhaubt iets aan kan doen. Je klinkt als de Nederlandse cookiewet 😉
Volgens mij zet Facebook zelf niets op de betreffende sites hoor. Dat doen toch echt de sitebouwers, dus zo gek is die gedachte niet.
Ik snap niet dat de rechtbank op dit punt de boel heeft afgeblazen. Ze doen dit al sinds 2012. De zaak is aangekondigd/gestart in juni 2015 ( https://tweakers.net/nieuws/103660/belgische-privacycommissie-start-rechtszaak-tegen-facebook.html ). Nu een jaar later ‘mag’ het weer. De uitslag van de bodemprocedure gaat nog wel een jaar duren. Hierdoor wordt de totale tijd waarin Facebook evident de privacy van mensen schendt ‘verlengd’ van maximaal zo’n 3 jaar, naar nu 4 jaar.
Dat bureaucratie een stuk trager is dan techniek weet iedereen. Daar had de rechtbank ook rekening mee kunnen houden.
Let wel, élke dag ondervinden mensen hier ‘schade’ van. Hoe is dat niet spoedeisend? Juist omdat grote partijen ‘het mogen’, doen de kleintjes het ook en gaat hier een versterking vanuit.
Nou ja, als je pas drie jaar na een overtreding er wat van vindt, dan is dat toch wel een beetje traag? Het is raar om te zeggen, ze doen dit al drie jaar dus paniek ahh het moet nú stoppen.
Het kan toch ook zijn dat je pas na enige tijd ontdekt hoe ernstig de zaak is? In dat geval kan het toch, ook na langere tijd, spoedeisend zijn?
Als een verpleger al langere tijd bezig is zijn patiënten te vermoorden, en je ontdekt pas na langere tijd dat die patiënten geen natuurlijke dood zijn gestorven, dan zeg je toch ook niet “nou ja, hij is al zo lang bezig, laten we nou eerst maar eens alles grondig uitzoeken voor we hem arresteren”?
Dus het feit op zich dat iets al een tijd bezig is, is onvoldoende als argument dat het niet spoedeisend is.
Inderdaad, maar dat jij wéét dat het al jaren bezig is en toch niet in actie kwam, is wél genoeg. Als je het gisteren pas ontdekt, dan mag je vandaag een kort geding starten ook al loopt het al vijf jaar.
Ik wou dat ik het arrest kon vinden, maar de Belgen hebben hun uitspraken.rechtspraak.nl equivalent goed verstopt…
Volgens Tweakers is het pas in 2015 vast gesteld door de Belgen. Dan lijkt me een kort geding in 2015 een prima volgorde.
Verder vraag ik me het volgende af. Een kort geding is er toch om de evt schadelijke gevolgen zo snel mogelijk te stoppen? En dat de schade onomkeerbaar is. Dáár zou het toch om moeten gaan. Door dit af te wijzen blijft de evt inbreuk door gaan en ik vermoed dat de data dan inmiddels in de VS staat en niet meer in België waardoor het onomkeerbaar is. Waarom kan een rechter niet bepalen dat het nu inderdaad moet stoppen maar dat FB vervolgens in een bodemprocedure dit kan aanvechten.
Niet een correctie, maar wel een opmerking. CloudFlare beweert ook dat ze cookies gebruiken om cybercriminelen buiten te houden, en daar valt men nog niet over. Die cookies zijn lastiger te blokkeren dan die van Facebook. Gelukkig bevatten deze cookies geen informatie die zij zelf persoonlijk of privé vinden, dus dat scheelt weer. =/
Ik ben er daarom ook niet zo zeker van dat zo’n argument niet stand zou houden voor een rechter. Als je gebruiker braaf geweest is geef je ‘m een koekje, en aan dat koekje herken je ‘m dan weer zodat je ‘m niet opnieuw een lastige captcha hoeft te laten zien. Hoe moet je anders het kaf van het koren scheiden?
Waar ik het eerder op zou gooien is, waarom moet Facebook bijhouden of ik crimineel ben of niet? Als ze mij niet kennen (aka ik ben niet ingelogd) en ik bezoek hun website niet direct, mogen ze me best als crimineel behandelen (aka niet hun diensten aan mij aanbieden).
Ik vraag mij serieus af hoe dit argument van Facebook geloofwaardig is en waarom een rechter er in mee is gegaan. Ik heb geen enkele (formele) juridische achtergrond, dus corrigeer mij a.u.b. wanneer ik onzin uit sta te kramen met het volgende.
Ter illustratie, neem het volgende voorbeeld. Stel, iemand importeert illegaal producten uit het buitenland en verkoopt deze op een zwarte markt. Stel, deze persoon weet dit enkele jaren vol te houden zonder dat dit opgemerkt wordt. Wanneer deze illegale handel na enkele jaren alsnog ontdekt wordt, kan de “importeur” dan ook zeggen dat een kort geding niet aan de orde is omdat deze handel reeds enkele jaren heeft plaatsgevonden en er dus geen spoed geboden is bij het beëindigen daarvan? Ik heb het nu even niet over het strafrechtelijk aspect van dit voorbeeld. Enkel over het aspect dat wanneer iets onbekend is, dit blijkbaar (althans in het geval van Facebook) invloed lijkt te kunnen hebben op de eis voor het spoedeisende karakter voor een kort geding uitspraak.
Voor zover mij bekend, is Facebook nooit bijzonder transparant geweest over hoe het deze functionaliteit gebruikt voor het op illegale wijze verzamelen van gegevens. Dat Facebook dit reeds sinds 2012 doet lijkt mij volstrekt niet relevant wanneer dit pas veel later ontdekt werd. Daar komt nog bij dat de gebruikte technologie, en met name dat het nogal wat specifieke kennis vereist om deze te kunnen doorgronden, ook een belangrijke rol speelt bij het verdoezel van wat Facebook ermee doet. Als ik het mij goed kan herinneren, was het zo dat veel mensen oprecht verbaast waren, toen ontdekt werd wat Facebook deed met hun “Vind ik leuk/Deel dit”-knop op sites van derden, omdat velen niet verwacht hadden dat Facebook zo overduidelijk de wet zou overtreden. Inmiddels weten velen wel beter, maar die bewustwording was er zeker niet altijd al.
Hoe is het in vredesnaam mogelijk dat Facebook kan winnen met het argument dat deze zaak niet spoedeisend is, wanneer hun vrijwel evidente misdaad tot voor kort volkomen onbekend was? Althans, in ieder geval voor de meeste mensen. Of was de Belgische Privacycommisie ook al sinds 2012 op de hoogte van wat Facebook doet?
De Belgische Privacycommissie is pas sinds 2015 op de hoogte. Het vonnis staat helaas nog niet online, dus weten we de precieze motivering niet.
Volgens de Privacycommissie was alleen de zaak tegen Facebook België afgewezen wegens onvoldoende spoedeisend belang. De zaak tegen Facebook inc. en Ierland was afgewezen omdat de Belgische rechter zich niet bevoegd verklaarde. Ik lees dat er overwogen wordt om cassatie aan te tekenen tegen het niet bevoegd zijn. Maar het lijkt me dat het ontbreken van spoedeisend belang ook geldt bij de andere Facebook vestigingen, en dat dat voor deze zaak dan niet meer van belang is?
Waarom legt die Belgische autoriteit persoonsgegevens dan niet gewoon een boete en zo mogelijk een dwangsom op voor schending van de privacywettten.
Zelf plaats ik idd niet zo’n irritant duimpje van Façadeboek. Ik zie ze bij anderen overigens ook niet meer door de 3 hoofdomeinen van FB te blokkeren. Maar ik heb makkelijk praten en schijn zonder te kunnen. Veel mensen denken daar anders over en vinden het een belangrijkere levensbehoefte dan water.
Het probleem is dat als jouw vrienden Facebook gaan gebruiken om af te spreken, je de laatste bent die het hoort zonder facebook en geen input meer hebt voor de vast te stellen datum. Het is een vervanging geworden van bellen en instant messages die – toegegeven – handiger werkt. Om deze reden ben ik uiteindelijk ook aan facebook begonnen.
Ik denk er nu wel aan om (weer) een aparte browser voor facebook te gebruiken in incognito modus. En in de gewone browser alle facebook domeinen te blokkeren.