Facebook overtreedt de Belgische privacywet door het internetgedrag te volgen van mensen die geen account bij het sociale netwerk hebben. Dat meldde Nu.nl zaterdag. De vind-ik-leuk knopjes die alomtegenwoordig zijn, zetten cookies en gebruiken andere trackingtechnieken om internetgedrag op te slaan. Ook bij mensen die geen klant (product?) zijn van het sociaal netwerk, en dat is waar de Belgische privacytoezichthouder over viel. De rechtbank bevestigt dit en eist op straffe van een dwangsom van 250.000 euro per dag dat Facebook ermee stopt.
Bij Reuters lees ik dat Facebook het blabla teleurstellend vindt (duh) en meent dit te mogen omdat het een industriebreed gebruik is. Dat is zonder licht fietsen ook, maar toch mag het niet. En dat je “enable hundreds of thousands of businesses to grow their businesses” met deze truc, maakt natuurlijk ook helemaal niets uit als het gaat om mensen hun privacy.
Voor mensen die Facebookgebruiker zijn, kun je misschien nog zeggen dat ze gekozen hebben voor deze functionaliteit op andere sites dan de blauwe hoofdsite. Maar voor mensen zonder Facebook (ja, het bestaat) kan dat argument niet opgaan natuurlijk. En dan is de “clear notice” die het bedrijf eist dat websites met de knop geven, natuurlijk niet genoeg. Als die cookies of trackers achter de knop mensen volgen, dan moet je daar toestemming voor vragen en dat doe je niet door te melden dat je ze aan het volgen bent.
Ja, hieronder staan ook socialenetwerkknopjes die tracking doen. Maar let op: die staan pas aan als je daar expliciet toestemming voor geeft (dank, Arjan Snaterse) en dat doe je door op de standaard dichtgeklapte balk te klikken. Dat is wél in lijn met de Europese wet, en het lijkt me niet moeilijk om dat overal uit te rollen. Ben benieuwd hoe veel sites dit op 25 mei hebben aangepast.
Arnoud
Voor het gemak neem ik aan dat de uitspraak gebaseerd is op wetgeving die ook in Nederland van toepassing is. Dan is het jammer dat je als persoon zonder Facebook account (ik heb er geen) geen claim in kunt dienen die je waarschijnlijk toegewezen krijgt om een rechtzaak te starten. Daar zit gewoon een probleem in de huidige privacy wetgeving.
Ik kan me vergissen, maar volgens mij is het nog best lastig om zelf zo’n claim in te dienen. Je verzandt dan toch in een proces waarin zei je bankroet proberen te procederen voordat ze moeten betalen en je moet bewijzen dat je persoonlijk schade hebt geleden, en dat allemaal voor een paar grijpstuivers.
Als de staat ze aanklaagt, voelt het misschien minder als een overwinning, maar met een kwart miljoen per dag, loopt het lekker binnen. En dat geld steekt de minister niet in zijn zak (Nou ja, zijn salaris/vergoeding wordt er deels van betaald, maar toch), dus dat gaat naar de staatskas. En dat betekent weer dat de staat óf meer dingen kan doen óf minder belasting hoeft te heffen (wat vooral vertaald in dat een belastingverlaging eerder of groter is, of een belastingverhoging later of kleiner). Dat alles is niet erg spannend, maar in feite is het goed voor je als de staat zo’n bedrijf aanklaagt, denk ik.
Ik krijg van Facebook ‘vriend’-suggesties van mensen die ik als contact bij Linkedin heb. Dat vind ik ook eigenlijk niet kunnen. Het betekent immers dat ze bestanden kruisen. Ik vraag me af of dat geoorloofd is. Ik ben overigens ook iemand die niet elke keer aangepaste voorwaarden leest, dus wellcht hebben ze zich al ingedekt.
Volgens mij geldt hetzelfde nog sterker voor WhatsApp. Ik heb geen WhatsApp account, maar mensen bij wie ik in het telefoonboek sta, wel. WhatsApp (dus Facebook) kan die gegevens verzamelen – en dat de combi van naam en telefoonnummer als persoonsgegeven kan worden aangemerkt , lijkt me niet heel vergezocht. Ik zie niet echt in waar ik in een “vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting” toestemming daarvoor heb gegeven… en aantonen dat ze al mijn gegevens hebben verwijderd, lijkt me ook niet makkelijk. Ik wacht nog op de eerste berichten over proefprocessen 🙂
Ik denk dat mobiele telefoons, zeker smartphones – en dat zijn toch de enige apparaten waarop whatsapp werkt -, zo persoonlijk zijn dat het telefoonnummer alleen al als persoonsgegeven kan worden aangemerkt.
WhatsApp is door onze eigen Autoriteit Persoonsgegevens gesommeerd te stoppen met dat dataharken. Ze sturen van alle 06-nummers alleen nog een hash op om zo te detecteren of er mensen in je adresboek staan die al klant zijn. De overige 06-nummers slaan ze niet op en gebruiken ze dus ook niet. Het argument is dat díe beperkte vorm van verwerken jouw privacy niet zal raken en daarmee als eigen legitiem belang legaal is.
Slaan ze die hashes dan wel op? Ik heb het vermoeden dat ze niet zozeer in je mobiele nummer geinteresseerd zijn maar meer in de netwerken (wie kent wie).
Die kan je met zo’n hash ook in kaart brengen. Het lijkt me dat zo’n hash in dat geval dus ook een persoonsgegeven wordt en dat WhatsApp dus nog steeds in overtreding is…
Ik ben heel benieuwd hoe ze dat dan doen. Want als meerdere ongerelateerde gebruikers uit moeten komen op dezelfde hash, dan kun je dat dus niet salten. En met een zoekruimte die zo klein is als “alle 06-nummers” is het heel makkelijk om een rainbow table te maken en alles te dehashen.
Wie zegt dat het aantal mogelijke hashes kleiner is dan het aantal mogelijke telefoonnummers? Dat ligt er maar aan welk algoritme je kiest.
In de opmerking van Arnoud zitten een aantal aannames waardoor je snel geneigd bent te denken dat het goed is opgelost, maar met de beschreven oplossing is het nog steeds mogelijk om de privacy te schenden van gebruikers. De cynist in mij vraagt zich dus ook af waarom ze voor deze oplossing gekozen hebben? Zijn de beloftes en garanties van WhatsApp wel eens onafhankelijk getoetst of moeten we ze op hun mooie ogen geloven?
Nice! “Deze social bookmarking knoppen werken met cookies van derde partijen (Facebook, Twitter en Google). Wij hebben geen controle op wat deze partijen daarmee doen. Door te klikken gaat u akkoord met het plaatsen van deze cookies.” Volgens mij zie ik ook nog linkedin, of gebruikt die geen cookies?
Het probleem dat ik hiermee heb is dat die derde partijen mij niet om toestemming hebben gevraagd. Dat moeten ze van de wet wel doen.
Nogmaals lof voor de mooie oplossing die op jouw blog gebruikt wordt!
Vroeger gebruikten we voor websites ShareThis. Maar dat is ook een gedrocht. Tegenwoordig plaatsen we eigenlijk alleen knoppen die linken naar de Social Media websites. Daadwerkelijke likes bijhouden is zelden nodig.
Ik kan hier zo blij van worden, ‘gewoon’ verbonden met maar één site en geen 60 plus verwijzingen, zoals bv de Televaag, alleen maar iusmentis.com en blog.iusmentis.com. Meteen rete snel, heerlijk.
Uiteraard als je het balkje openklapt heb je er een aantal bij, laat staan als je er op klikt. Goed voorbeeld. heel goed voorbeeeld
Hoewel het in principe een mooie oplossing is, vraag ik me af of het wel genoeg is. Als ik jouw blog zou willen delen via Linkedin moet ik eerst de balk aanklikken, en krijg ik dus als bonus ook een cookie van Google en van Facebook. Daar is mijn wil echter niet op gericht, ik wil alleen een Linkedin cookie accepteren. Ik vraag me af of de toestemming wel specifiek genoeg is.
Je weet wat er gebeurt en welke netwerken je activeert als je daarop klikt. Je kan ze niet separaat activeren, maar het blijft jouw keuze.
Je kan ook simpel de URL kopiëren en in een LinkedIn bericht plakken. Dan kan je delen zonder dat je google en facebook activeert. Het verlies aan gemak is dan de prijs die je betaald voor iets meer privacy.
Wel als je alles in statische HTML hebt staan, en geen PHP of Python gebruikt of hoe die nieuwlichterij allemaal mag heten.
Ik zet gewoon helemaal geen cookies. Is nergens voor nodig. Ook contentgestuurde reclame is zonder cookies heel goed mogelijk. Alleen biedt niemand die mogelijkheid aan, daarom is alle reclame er bij mij af.
Beste Arnoud, Ik zit met een gerelateerd probleem met mijn Android app. Door de nieuwe europese richtlijnen mbt privacy die 25 maart 2018 in gaan (zie: http://europa.eu/rapid/press-releaseIP-15-6321en.htm en https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en) mag je geen gegevens meer verzamelen van gebruikers mits die voor “commerciele doeleinden” worden gebruikt. De nieuwe regel van Google is om een “privacy policy popup” te tonen bij het starten van de app die de gebruiker op de hoogte stelt van de data die gebruikt/verstuurd wordt. De gebruiker kan dan de app sluiten of op “accept” drukken waarna de app data mag versturen via de internet verbinding. Een beetje zoals een popup voor cookies dus, maar dan voor mobiele apps. Nu is mijn grote vraag, is er een manier om te tracken hoeveel mensen de popup NIET accepteren, kan zulke data verstuurd worden zonder de privacy te schenden?
Ik zie geen manier om te tracken hoe veel mensen toestemming weigeren te geven via zo’n popup. Om dat te achterhalen, moet je immers uitlezen of mensen de app installeren en vervolgens dit afbreken. Dan lees je een stukje privacygevoelige informatie (persoosngegeven) uit maar je hebt daar geen toestemming voor. Ik denk dat dit niet mag.
Hai Arnoud, top, dank je voor het antwoord :).
Wel lastig om in te schatten wat nu precies “persoonlijke informatie” of “persoonsgegeven” is, als ik het goed begrijp valt blijkbaar het doorgeven van het gegeven of er wel/niet op een knop is gedrukt daar dus al onder, zelfs als daarbij geen ip adres oid opgeslagen wordt en de opgeslagen data dus niet naar de gebruiker herleid kan worden. Het anonimiseren van opgeslagen data door het niet te relateren aan identificerende kenmerken zoals een ip adres maakt die data dus niet minder “persoonlijke informatie” of “persoonsgegeven” begrijp ik, dus mag het niet verzameld worden zonder toestemming.
Het beste wat ik kan bedenken is kijken hoeveel mensen de app gedownload hebben en dat vergelijken met het aantal mensen dat toestemming geeft. Na het toestemming geven kun je immers laten melden vanuit de app dat er toestemming is gegeven (mits daarvoor toestemming wordt gevraagd). Je weet dan niet zeker of het geïnstalleerd is, maar dat is vrij aannemelijk. Een betere indicator kan ik zo niet bedenken. En doordat je naar absolute aantallen per maand/jaar kijkt lijkt mij de privacy impact te overzien (ten minste zolang je geen IP adressen en dergelijke gaat loggen rond de downloads, maar dat loopt via de systemen van Google en kun je niet bij neem ik aan).
Hai Mark, dank voor de reactie. Gebruikers hebben ingestemd met de gebruikersvoorwaarden van de Google Play Store dus de GPS mag inderdaad wel het aantal installs bijhouden, dat kan ik dan verrekenen met het aantal users dat op “accept” gedrukt heeft. Het aantal installs is echter niet 100% betrouwbaar omdat er geen onderscheid gemaakt wordt tussen installs/reinstalls, de data niet altijd up-to-date is en er ook andere bronnen zijn dan de Google Play Store waar vandaan de app geinstalleerd wordt. Het is inderdaad wel de enige werkbare oplossing die ik tot nu gevonden heb.
Kun/Mag je niet na het klikken op DENY een webpagina openen via de browser met een tekst waarin je zegt dat je het jammer vindt dat de gebruiker de app niet will gaan gebruiken en uitlegt waarom hij dat toch zou moeten proberen (wat de voordelen zijn).