Facebook overtreedt mogelijk AVG door medewerkers posts te laten labelen

Facebook overtreedt mogelijk de Europese privacyverordening AVG door medewerkers van daarvoor aangestelde bedrijven te laten kijken naar posts om ze te labelen. Dat las ik bij Tweakers maandag. Een team van 260 mensen uit India leest al jaren alle berichten (inclusief foto’s) om die van labels te voorzien, zo ontdekte Reuters namelijk. Die labels classificeren de berichten in vijf “dimensies”, zodat Facebook kan leren van wat mensen posten en hoe daarop in te springen. En er zal ook vast een AI mee getraind worden. De privacyzorg zit hem dan in het feit dat er geen aparte toestemming is gevraagd voor dit labelen. Maar moet dat dan, van de AVG?

De AVG kent inderdaad de eis van toestemming – maar naast toestemming zijn er nog vijf zogeheten grondslagen om met persoonsgegevens te werken. Als je gegevens bijvoorbeeld nodig hebt om een contract af te handelen, dan heb je geen toestemming nodig. Webshops die aanvinkvakjes inbouwen met “ik geef toestemming bovenstaande gegevens te gebruiken om mijn bestelling te behandelen” snappen er dus niets van. Die toestemming is helemaal niet nodig.

De controversieelste grondslag is die van het “eigen gerechtvaardigd belang”. Dan zeg je namelijk, ik heb een belang als bedrijf om dit gewoon te gaan doen, maar ik heb wel rekening gehouden met je privacy door maatregelen A en B te nemen. Controversieel, omdat je hiermee eigenlijk weigert de ander te vragen om toestemming en veel mensen gewoon verwachten dat je toestemming vraagt waar nodig. Maar ook weer gerechtvaardigd omdat je soms nu eenmaal geen toestemming kúnt vragen. Een triviaal voorbeeld is camerabewaking of fraudedetectie in je betaalpatronen.

Facebook vraagt dus geen toestemming om berichten die post (of als privébericht verstuurt) voor te leggen aan haar labelingsteam. Dat zouden ze dus moeten rechtvaardigen onder dat eigen belang. Het belang zie ik: je herkenning van soorten berichten verbeteren is een wenselijk en nuttig doel, zeker gezien de druk op Facebook om terrorismeverheerlijking, nepnieuws, opruiing en dergelijke te kunnen detecteren en weren.

De discussie die je dan krijgt, is in hoeverre Facebook dit kan rechtvaardigen. En dat komt vaak neer op hoe zeer men rekening houdt met de privacy van personen. Mijn juridische onderbuik zegt dat een bericht tonen aan een intern team dat er een label op plakt (pardon, “verrijkt met een AI-ready dimensie”, dank u marketingafdeling) niet heel erg een inbreuk op de persoonlijke levenssfeer is. Het label heeft geen enkel gevolg voor het bericht zelf, dit wordt niet verwijderd of aangepast op basis van de beoordeling. Plat gezegd, hier merk je niets van.

Twijfel heb ik wel bij het stukje van de privéberichten, want ook die worden gelezen. Het voelt principieel niet juist om een direct bericht tussen A en B te lezen en te taggen, ook niet als die tag verder nergens gebruikt wordt. Dat is gewoon privé, afblijven. Maar ik kan niet ontkennen dat ook hier het argument “je merkt er niets van” opgaat.

Arnoud

13 reacties

  1. Die toestemming is helemaal niet nodig.

    Maar de eis van doelbinding blijft toch bestaan ? Ik ‘geef’ een bericht aan facebook om deze bij contact B te dumpen, niet om er AI mee te trainen.

    de druk op Facebook om terrorismeverheerlijking, nepnieuws, opruiing en dergelijke te kunnen detecteren en weren
    Bestond deze druk al in 2014 ?

  2. Ik zou denken dat als je hebt ingesteld dat alleen vrienden je status/updates/berichten kunnen zien, dus je berichten zijn niet openbaar, dat je daarmee ook direct een criterium hebt dat Facebook die berichten niet mag lezen/labelen. Sterker nog, Facebook hoeft deze berichten ook niet te lezen want er is nauwelijks een belang voor het bewaken van de inhoud (terrorismeverheerlijking, nepnieuws, opruiing en dergelijke) van berichten die toch alleen in heel kleine kring worden gedeeld.

      1. Ik denk dat vooral het feit dat de berichten door andere mensen worden gelezen en gelabeld ‘schuurt’. Dan zou ik zeggen: train je AI met openbare berichten, en met berichten die via andere weg zijn aangemerkt als ‘mogelijk te verwijderen’ (bijvoorbeeld doordat een crimineel netwerk is opgerold, check de Facebook accounts van betreffende daders, info via politie), of met data die uit andere bronnen komt (bijvoorbeeld een databank met kinderporno van de politie). En vervolgens laat je je AI los op alle berichten.

    1. Nee, ik zeg dat het een legitieme inbreuk is omdat het privacybelang zeer gering is gezien deze omstandigheden. En dan wint het belang van Facebook om haar content te kunnen herkennen zodat ze daar filters bij kan ontwikkelen. Dat is een legitiem belang gezien de positie van Facebook en de wens vanuit de maatschappij dát Facebook filtert.

  3. Het argument “je merkt er niets van” kan ik niet volgen als het gaat om privé berichten. Je persoonlijke levenssfeer wordt ernstig aangetast omdat deze door derden worden gelezen. Dat is een beetje alsof ik roep “Arnoud, ik lees al jaren je privé mail” en dat jij dan roept “geeft niets, heb ik niets van gemerkt”.

  4. Zou je ook nog iets kunnen met het feit dat het in India gebeurt? Als al mijn berichten gelezen/getagd worden door mensen die in mijn eigen stad wonen zou dat voor mijn een veel grotere aantasting van privacy lijken dan als dat gebeurt door een team aan de andere kant van de aarde. Dus berichten laten taggen geografisch op grote afstand van de auteurs, kan je zien als een “maatregel” van FB om de privacyimpact te verkleinen.

  5. Het label heeft geen enkel gevolg voor het bericht zelf, dit wordt niet verwijderd of aangepast op basis van de beoordeling.

    Ik gok dat het ‘Trust & Safety”- Team van Facebook hier wel wat extra regeltjes heeft meegegeven en dat ze overduidelijk onrechtmatige content gewoon dienen te verwijderen/rapporteren.

  6. Het ‘je merkt er weinig van’-argument vind ik ook lastig. Mede om andere reden: privacyrechten hebben niet alleen afzonderlijke, maar ook ecologische werking.

    Een inbreuk kan klein genoeg zijn om op zich verdedigbaar te achten, maar in samenhang met veel andere zulke kleine inbreukjes toch aanzienlijke privacyconsequenties hebben.

    Dat geldt ook individu-overstijgend: wat per persoon nog acceptabel zou kunnen zijn, is soms voor een grote hoeveelheid personen tegelijkertijd niet meer verdedigbaar. En de maatschappelijke effecten kunnen dan omgekeerd voor het individu ook weer aanzienlijk zijn.

    Het structureel verrijken van de dataset door alle berichten van labels te voorzien (die niet direct noodzakelijk zijn voor misbruikdetectie of een goede werking van het systeem op zich) vind ik in dat opzicht beslist niet onbedenkelijk. Het verfijnt bv. patroonherkenning, maakt verdere categorisering van het individu mogelijk en draag bij aan profilering.

  7. Zou zeer behulpzaam zijn om enig inzicht te hebben in de omstandigheden van de beoordeling. Het is bijna uitgesloten dat de beoordelaars alle talen kennen, dus er zal een vertaalslag tussen zitten. Als dat zo is neem ik aan dat alleen de berichtinhoud en niet de persoonsidentificerende gegevens mee worden vertaald Het is ook niet zeker (juist het tegendeel) dat de beoordeling (na afloop) aan het oorspronkelijke bericht wordt gekoppeld Te verwachten is dat het resultaat van de analyse aan de AI wordt toegevoegd als statistiek over combinaties van termen

    Dan blijft dat het “meekijken” overeenkomt met “bespied worden” maar als je veilig wilt communiceren moet je niet bij FB zijn.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.