Als Meta geen legale mogelijkheid heeft om data van Europese gebruikers op Amerikaanse servers te verwerken, dan zullen Facebook en Instagram waarschijnlijk niet meer werken in de EU. Daarmee opende Tweakers vorige week. Die legale mogelijkheid is een herziening of vernieuwing van de Privacy Shield-overeenkomst tussen de VS en de EU, die een paar jaar geleden werd afgeschoten wegens fundamentele gebreken. Het klinkt dramatisch, maar let op de bron: de jaarlijkse 10-K filing van Metabook. Dat is een zuiver indekdocument, geen bedrijfsstrategie.
Het is natuurlijk waar dat Meta, Google en collega’s een enorm probleem hebben met het overbrengen van data uit Europa naar de VS. Zonder opvolger van Privacy Shield is er eigenlijk geen legale manier om dat te doen, dus als daar strikt op wordt gehandhaafd dan houdt het op.
Ja, haha, strenge handhaving. Wie gelooft daar in? Ik ook niet, maar ik kan als jurist niet ontkennen dat het theoretisch gezien kan gebeuren. En dan heb je als beursgenoteerd bedrijf een probleem, want zulke risico’s kunnen je beurskoers aantasten en dan moet je er voor waarschuwen. De gebruikelijke manier is door dat op te nemen in je 10-K:
The government requires companies to publish 10-K forms so investors have fundamental information about companies so they can make informed investment decisions. This form gives a clearer picture of everything a company does and what kinds of risks it faces.Het idee is dus openheid en volledigheid, zodat alle aandeelhouders (en potentiële kopers) dezelfde informatie hebben en dus op gelijke voet aan de wedstrijd beginnen. In de praktijk is het allang verworden tot een “noem ieder risico dan kunnen ze niet zeggen dat we het vergeten te melden zijn”. Want niet-gemelde risico’s die zich toch voordoen, zijn natuurlijk een prachtige bron voor aansprakelijkheidsclaims naar bedrijf of bestuurders.
Afijn. De kern is: het is geen strategiedocument, dit is niet wat Facebook het komende kwartaal op de radar heeft. Dit is het resultaat van de brainstormsessie bij de afdelingen Legal en Compliance, wat zou er eventueel aan risico’s kunnen spelen waar iemand over kan klagen dat we het vergeten zijn. Ik zou er dus geen waarde aan hechten.
Wie weet er nog een goede naam voor het opvolgverdrag? Op Twitter is #PrivacyTrampoline erg populair, ik zelf vond Privacy McPrivacyface wel een aardige.
Arnoud
Privacy Shield, maar ook varianten daarop als Trampoline of Mcprivacyface vind ik eigenlijk allemaal een slecht passende naam. Het punt is namelijk dat het niet echt een verdrag is dat de bedoeling heeft om de privacy van Europese burgers zo goed als mogelijk te beschermen tegen de nieuwsgierigheid van Amerikaanse bedrijven; als dat de bedoeling is dan is de oplossing simpel: verbied het. De bedoeling van zo’n verdrag zoals waar Facebook het over heeft is om de privacy-inbreuk in te kaderen; om een set aan regels af te spreken waarmee het mogelijk is om de privacy-schending “beperkt” te houden zodanig dat die bedrijven wel bepaalde diensten kunnen aanbieden waarvoor ze zich willen laten betalen met persoonsgegevens. Een naam als “Restricted Data Sharing”, of “Limited Data Transfer” of zo lijkt me beter. In elk geval iets wat niet de indruk wekt dat het “heel goed” is voor je privacy, maar “minder slecht dan het zou kunnen zijn”.
Misschien “privacy beperker” of “privacy limiter”, omdat het minder privacy geeft dan we anders zouden hebben, om het Facebook et. al. makkelijker te maken.
Het grootste probleem is nog niet eens dat Facebook je gegevens kan inzien. Daarover kunnen duidelijke regels in de gebruikersovereenkomst staan. Het echte probleem is de wetgeving in de VS, waarbij de wetgever zich het recht voorbehoudt om alle data op te eisen, die hun goeddunkt en tegelijk een gag-order op te leggen, waardoor de gebruiker niet geïnformeerd mag/kan worden over deze eisen. Zo kan de VS dus gegevens opvragen en ge(of mis)bruiken naar eigen wil, met allerlei implicaties die je niet kunt overzien.
Ja, dat zie ik ook als een probleem ja. Ik vind zelf beiden een probleem, i.e. wat Facebook zelf met die data doet vind ik net zo goed een echt probleem. Zeker dat ze ook profielen maken van bezoekers van websites die niet eens zelf een Facebook-account hebben, dus waarbij er niet eens een of andere klant- of gebruikersrelatie bestaat. Het kost onredelijk veel moeite om niet getrackt te worden door Facebook (en anderen) zelfs als je geen Facebook-gebruiker bent, of nooit zelf naar facebook.com bent geweest. Dit is wat mij betreft wel een taak voor wetgeving; er zou iets moeten komen als “facebook mag je alleen tracken en mag alleen cookies en vergelijkbare technieken gebruiken als de gebruiker daar expliciet toestemming voor gegeven heeft”. Maar dan natuurlijk gegeneraliseerd, niet alleen voor Facebook.
Geen toestemming, want dat is irritant, zoals te zien bij die onzinnige cookiewall. De oplossing is: je kunt het zelf uitzetten in je browser. Dat kan nu al. Doe dat dan. Licht mensen daarover voor. 175 keer per dag zo’n cookiezeikpopup die me niet interessant is meer dan ergerlijk. Stop daarmee.
Cookies zijn alleen nuttig om logins te onthouden. Maar 99,64% van de sites vragen al cookietoestemming voordat er ook maar enige kans is dat je zou willen of moeten inloggen op die site. Dat is onzin en nergens voor nodig. Dát zou verboden moeten zijn. Ook toestemming vragen is dan irritant en DUS verboden.
Mijn site is vrijwel de enige op het hele wereldwijde internet die GEEN toestemming vraagt en dat ook niet hoeft te doen, omdat ik namelijk geen zinloze cookies zet, alleen nuttige op verzoek van de gebruiiker zelf. En dat mag dan gewoon.