Facebook mag niet-ingelogde internetters in België weer gaan volgen

facebook-vind-ik-stomFacebook mag niet-ingelogde Belgische internetters weer twee jaar gaan volgen met een datr-cookie, meldde Tweakers vorige week. In 2015 verbood de rechtbank dit volgen op verzoek van de Privacycommissie (de Belgische Autoriteit Persoonsgegevens), maar dat verbod wordt nu ongeldig verklaard omdat er onvoldoende spoedeisend belang zou zijn geweest.

Facebook weet alles van iedereen, onder meer omdat heel veel websites zo’n handig “Vind ik leuk/Deel dit”-knopje hebben opgenomen met door Facebook aangeleverde scripting. Dat knopje zet cookies en stuurt informatie door over de bezoeker, ongeacht of die persoon ingelogd is op Facebook of zelfs maar een Facebook-account hééft.

Dat gaat een tikje ver, en zeker onder de Europese cookieregels lijkt me dat niet in de haak. Om cookies te mogen zetten, moet toestemming zijn gegeven. En die Facebookwidget doet dat niet. Daarmee overtreedt men dus de cookiewet. En daarom besloot eind 2015 de Belgische rechter in kort geding dat dit onmiddellijk moet stoppen.

Facebook ging in hoger beroep, en won op een formeel punt: zij doen dit al sinds 2012, en de rechtszaak kwam pas in 2015, dus hoezo is er dan nog spoed bij deze zaak? En ja, dat is een argument want in kort geding gaat het allemaal even wat sneller en dus minder grondig, en dat doen we omdat er zulke grote spoed bij is dat we niet kunnen wachten op een bodemprocedure. Blijkt er dus geen grote spoed te zijn, dan moet de rechter in kort geding de eis afwijzen en de partijen naar de bodemrechter verwijzen. En dat is wat hier is gebeurd.

Ergerlijk, maar het betekent niet dat Facebook dus legaal is. Ik kan eerlijk gezegd geen enkel argument bedenken waarom dat zo zou zijn. Facebook roept dan steeds dat de cookies belangrijk zijn voor de beveiliging tegen cybercriminelen en malware, maar dat klinkt mij als marketingblaat (wie corrigeert me?). Dus voor mij leest deze uitspraak als een juridische trucje van Facebook on mog even door te mogen gaan tot die bodemprocedure in 2017 afgerond is.

Arnoud

22 reacties

  1. En lang leve de cookiewet in Nederland; hier zou het legaal zijn zolang de site-eigenaar die de boel embed maar toestemming vraagt om cookies te mogen plaatsen (zodat facebook de data kan verzamelen)

    1. En wie is dan verantwoordelijk en wat is de schade als dat niet gebeurd? Want als de schade op praktisch 0 euro wordt gezet zal er nooit een afschrikwekkende werking van komen. Daarnaast zou Facebook moeten controleren of de toestemming is gevraagd en gegeven voor ze een cookie zetten.

      1. Dit soort gegevens wordt gewoon verhandeld. En heus niet meer eens per week of zo. Op het moment dat jij een website opent, wordt je geprofiled, en dat soort informatie wordt in real-time doorverkocht.

        Bekijk bijvoorbeeld eens https://blog.equinix.com/blog/2013/10/07/in-good-company-equinixs-ad-ix-ecosystem-cuts-milliseconds-adds-business-opportunities/

        Dat is een “advertisement exchange ecosystem”, in dit geval gebouwd door een multi-tenant datacenter. Zoiets als een aandelen exchange, maar dan zodat jouw persoonsgegevens binnen enkele milliseconden nadat je een site heb bezocht worden doorverhandeld. Ga er eens handelen, dan weet je wat jouw gegevens waard zijn. Dat geeft een aardige indicatie wat het Facebook oplevert door hier nog ruim een jaar mee door te gaan.

  2. …omdat heel veel websites zo’n handig “Vind ik leuk/Deel dit”-knopje hebben opgenomen met door Facebook aangeleverde scripting. Dat knopje zet cookies en stuurt informatie door over de bezoeker…

    Moeten dan niet de makers van de betreffende webpagina’s worden aangeklaagd omdat zij FB helpen in zijn illegale privacyverzameldrift?

  3. Ik snap niet dat de rechtbank op dit punt de boel heeft afgeblazen. Ze doen dit al sinds 2012. De zaak is aangekondigd/gestart in juni 2015 ( https://tweakers.net/nieuws/103660/belgische-privacycommissie-start-rechtszaak-tegen-facebook.html ). Nu een jaar later ‘mag’ het weer. De uitslag van de bodemprocedure gaat nog wel een jaar duren. Hierdoor wordt de totale tijd waarin Facebook evident de privacy van mensen schendt ‘verlengd’ van maximaal zo’n 3 jaar, naar nu 4 jaar.

    Dat bureaucratie een stuk trager is dan techniek weet iedereen. Daar had de rechtbank ook rekening mee kunnen houden.

    Let wel, élke dag ondervinden mensen hier ‘schade’ van. Hoe is dat niet spoedeisend? Juist omdat grote partijen ‘het mogen’, doen de kleintjes het ook en gaat hier een versterking vanuit.

      1. Het kan toch ook zijn dat je pas na enige tijd ontdekt hoe ernstig de zaak is? In dat geval kan het toch, ook na langere tijd, spoedeisend zijn?

        Als een verpleger al langere tijd bezig is zijn patiënten te vermoorden, en je ontdekt pas na langere tijd dat die patiënten geen natuurlijke dood zijn gestorven, dan zeg je toch ook niet “nou ja, hij is al zo lang bezig, laten we nou eerst maar eens alles grondig uitzoeken voor we hem arresteren”?

        Dus het feit op zich dat iets al een tijd bezig is, is onvoldoende als argument dat het niet spoedeisend is.

        1. Inderdaad, maar dat jij wéét dat het al jaren bezig is en toch niet in actie kwam, is wél genoeg. Als je het gisteren pas ontdekt, dan mag je vandaag een kort geding starten ook al loopt het al vijf jaar.

          Ik wou dat ik het arrest kon vinden, maar de Belgen hebben hun uitspraken.rechtspraak.nl equivalent goed verstopt…

          1. Volgens Tweakers is het pas in 2015 vast gesteld door de Belgen. Dan lijkt me een kort geding in 2015 een prima volgorde.

            Verder vraag ik me het volgende af. Een kort geding is er toch om de evt schadelijke gevolgen zo snel mogelijk te stoppen? En dat de schade onomkeerbaar is. Dáár zou het toch om moeten gaan. Door dit af te wijzen blijft de evt inbreuk door gaan en ik vermoed dat de data dan inmiddels in de VS staat en niet meer in België waardoor het onomkeerbaar is. Waarom kan een rechter niet bepalen dat het nu inderdaad moet stoppen maar dat FB vervolgens in een bodemprocedure dit kan aanvechten.

  4. Facebook roept dan steeds dat de cookies belangrijk zijn voor de beveiliging tegen cybercriminelen en malware, maar dat klinkt mij als marketingblaat (wie corrigeert me?).

    Niet een correctie, maar wel een opmerking. CloudFlare beweert ook dat ze cookies gebruiken om cybercriminelen buiten te houden, en daar valt men nog niet over. Die cookies zijn lastiger te blokkeren dan die van Facebook. Gelukkig bevatten deze cookies geen informatie die zij zelf persoonlijk of privé vinden, dus dat scheelt weer. =/

    Ik ben er daarom ook niet zo zeker van dat zo’n argument niet stand zou houden voor een rechter. Als je gebruiker braaf geweest is geef je ‘m een koekje, en aan dat koekje herken je ‘m dan weer zodat je ‘m niet opnieuw een lastige captcha hoeft te laten zien. Hoe moet je anders het kaf van het koren scheiden?

    Waar ik het eerder op zou gooien is, waarom moet Facebook bijhouden of ik crimineel ben of niet? Als ze mij niet kennen (aka ik ben niet ingelogd) en ik bezoek hun website niet direct, mogen ze me best als crimineel behandelen (aka niet hun diensten aan mij aanbieden).

  5. Ik vraag mij serieus af hoe dit argument van Facebook geloofwaardig is en waarom een rechter er in mee is gegaan. Ik heb geen enkele (formele) juridische achtergrond, dus corrigeer mij a.u.b. wanneer ik onzin uit sta te kramen met het volgende.

    Ter illustratie, neem het volgende voorbeeld. Stel, iemand importeert illegaal producten uit het buitenland en verkoopt deze op een zwarte markt. Stel, deze persoon weet dit enkele jaren vol te houden zonder dat dit opgemerkt wordt. Wanneer deze illegale handel na enkele jaren alsnog ontdekt wordt, kan de “importeur” dan ook zeggen dat een kort geding niet aan de orde is omdat deze handel reeds enkele jaren heeft plaatsgevonden en er dus geen spoed geboden is bij het beëindigen daarvan? Ik heb het nu even niet over het strafrechtelijk aspect van dit voorbeeld. Enkel over het aspect dat wanneer iets onbekend is, dit blijkbaar (althans in het geval van Facebook) invloed lijkt te kunnen hebben op de eis voor het spoedeisende karakter voor een kort geding uitspraak.

    Voor zover mij bekend, is Facebook nooit bijzonder transparant geweest over hoe het deze functionaliteit gebruikt voor het op illegale wijze verzamelen van gegevens. Dat Facebook dit reeds sinds 2012 doet lijkt mij volstrekt niet relevant wanneer dit pas veel later ontdekt werd. Daar komt nog bij dat de gebruikte technologie, en met name dat het nogal wat specifieke kennis vereist om deze te kunnen doorgronden, ook een belangrijke rol speelt bij het verdoezel van wat Facebook ermee doet. Als ik het mij goed kan herinneren, was het zo dat veel mensen oprecht verbaast waren, toen ontdekt werd wat Facebook deed met hun “Vind ik leuk/Deel dit”-knop op sites van derden, omdat velen niet verwacht hadden dat Facebook zo overduidelijk de wet zou overtreden. Inmiddels weten velen wel beter, maar die bewustwording was er zeker niet altijd al.

    Hoe is het in vredesnaam mogelijk dat Facebook kan winnen met het argument dat deze zaak niet spoedeisend is, wanneer hun vrijwel evidente misdaad tot voor kort volkomen onbekend was? Althans, in ieder geval voor de meeste mensen. Of was de Belgische Privacycommisie ook al sinds 2012 op de hoogte van wat Facebook doet?

  6. Volgens de Privacycommissie was alleen de zaak tegen Facebook België afgewezen wegens onvoldoende spoedeisend belang. De zaak tegen Facebook inc. en Ierland was afgewezen omdat de Belgische rechter zich niet bevoegd verklaarde. Ik lees dat er overwogen wordt om cassatie aan te tekenen tegen het niet bevoegd zijn. Maar het lijkt me dat het ontbreken van spoedeisend belang ook geldt bij de andere Facebook vestigingen, en dat dat voor deze zaak dan niet meer van belang is?

  7. Zelf plaats ik idd niet zo’n irritant duimpje van Façadeboek. Ik zie ze bij anderen overigens ook niet meer door de 3 hoofdomeinen van FB te blokkeren. Maar ik heb makkelijk praten en schijn zonder te kunnen. Veel mensen denken daar anders over en vinden het een belangrijkere levensbehoefte dan water.

    1. Het probleem is dat als jouw vrienden Facebook gaan gebruiken om af te spreken, je de laatste bent die het hoort zonder facebook en geen input meer hebt voor de vast te stellen datum. Het is een vervanging geworden van bellen en instant messages die – toegegeven – handiger werkt. Om deze reden ben ik uiteindelijk ook aan facebook begonnen.

      Ik denk er nu wel aan om (weer) een aparte browser voor facebook te gebruiken in incognito modus. En in de gewone browser alle facebook domeinen te blokkeren.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.