Facebook Archives - Ius Mentis

Nederlandse overheid overweegt te stoppen met pagina’s op Facebook

Geplaatst op 24 november 202221 november 2022 in Privacy, Uitingsvrijheid, 12 reacties

De Nederlandse overheid overweegt zijn pagina’s op Facebook te sluiten, las ik bij Tweakers. In een Kamerbrief meldt staatssecretaris Alexandra van Huffelen dit als conclusie van een dpia van de datapraktijken van moederbedrijf Meta, die zeven grote risico’s liet zien op het gebied van transparantie en controleverlies. Een goede zaak dat dit eindelijk op de politieke agenda staat, voor mij is vooral de vraag waarom het zo lang moest duren.

De Kamerbrief legt uit dat recent in Duitsland overheden wederom zijn gevraagd hun Facebookpagina’s te sluiten, omdat zij juridisch mede verantwoordelijk zijn voor wat er op die pagina’s gebeurt met data van bezoekers. Naar aanleiding daarvan heeft zij onderzoek laten uitvoeren, een data protection impact assessment:

In de DPIA worden 7 hoge risico’s en 1 laag risico gevonden voor de gegevensverwerking. Volgens het onderzoek informeert Facebook niet duidelijk wat ze met de gegevens van burgers op overheidspagina’s doet, en hoe ze bepaalt welke berichten bezoekers in hun nieuwsoverzicht zien. Het onderzoek concludeert ook dat Facebook volgcookies op een misleidende (“Facebook makes deceptive use of tracking cookies”) manier gebruikt. Gegevens over het gedrag van de paginabezoekers worden verzameld, zonder dat voldoende inzage wordt gegeven in de logica van het gebruik van die gegevens om gepersonaliseerde berichten, aanbevolen andere content en advertenties te tonen. Ook zijn er zorgen over de doorgifte van persoonsgegevens aan derde landen en derde partijen.

De vaste lezer van deze blog zal weinig niets halen uit bovenstaande alinea, behalve misschien dat dit óók bij specifieke Facebookpagina’s van overheidsinstanties gebeurt. En tot voor vrij kort geleden kon je als instantie nog doen alsof dit niet jouw probleem was, maar in 2018 bepaalde het Hof van Justitie dat je als beheerder van een Facebookpagina mede-verwerkingsverantwoordelijke bent voor alles dat onder water gebeurt bij bezoek aan die pagina. Dat volgt uit de systematiek van de AVG.

Uit mijn blog van toen:

De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.

Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.

De overheid is nu in gesprek met Facebook met als doel álle pijnpunten weg te doen nemen. Leuk, maar persoonlijk zie ik dat niet snel gebeuren. De daarop volgende stap zou dan moeten zijn dat de overheid weggaat van Facebook. Daarop kwam op vele plekken de reactie, waarom zit de overheid op Facebook als zij zelf al websites te over heeft?

De reden daarvoor is vrij simpel: de overheid wil zo veel mogelijk mensen bereiken, en er is nu eenmaal een significante groep mensen die niet op Rijksoverheid.nl kijkt voor nieuws vanuit de overheid, maar alleen dergelijke informatie via de social media tot zich neemt. Die groep bereik je dus alleen met een Facebookpagina zeg maar, en daarom is die pagina er. Vanuit dat perspectief is het dus niet zo simpel als je zou denken om die informatievoorziening ook weer te stoppen.

Arnoud

Facebook gaat echt niet weg uit Europa; SEC filings zijn indekdocumenten, geen strategiepowerpoints

Geplaatst op 7 februari 20226 februari 2022 in Ondernemingsvrijheid, 6 reacties

Als Meta geen legale mogelijkheid heeft om data van Europese gebruikers op Amerikaanse servers te verwerken, dan zullen Facebook en Instagram waarschijnlijk niet meer werken in de EU. Daarmee opende Tweakers vorige week. Die legale mogelijkheid is een herziening of vernieuwing van de Privacy Shield-overeenkomst tussen de VS en de EU, die een paar jaar geleden werd afgeschoten wegens fundamentele gebreken. Het klinkt dramatisch, maar let op de bron: de jaarlijkse 10-K filing van Metabook. Dat is een zuiver indekdocument, geen bedrijfsstrategie.

Het is natuurlijk waar dat Meta, Google en collega’s een enorm probleem hebben met het overbrengen van data uit Europa naar de VS. Zonder opvolger van Privacy Shield is er eigenlijk geen legale manier om dat te doen, dus als daar strikt op wordt gehandhaafd dan houdt het op.

Ja, haha, strenge handhaving. Wie gelooft daar in? Ik ook niet, maar ik kan als jurist niet ontkennen dat het theoretisch gezien kan gebeuren. En dan heb je als beursgenoteerd bedrijf een probleem, want zulke risico’s kunnen je beurskoers aantasten en dan moet je er voor waarschuwen. De gebruikelijke manier is door dat op te nemen in je 10-K:

The government requires companies to publish 10-K forms so investors have fundamental information about companies so they can make informed investment decisions. This form gives a clearer picture of everything a company does and what kinds of risks it faces.

Het idee is dus openheid en volledigheid, zodat alle aandeelhouders (en potentiële kopers) dezelfde informatie hebben en dus op gelijke voet aan de wedstrijd beginnen. In de praktijk is het allang verworden tot een “noem ieder risico dan kunnen ze niet zeggen dat we het vergeten te melden zijn”. Want niet-gemelde risico’s die zich toch voordoen, zijn natuurlijk een prachtige bron voor aansprakelijkheidsclaims naar bedrijf of bestuurders.

Afijn. De kern is: het is geen strategiedocument, dit is niet wat Facebook het komende kwartaal op de radar heeft. Dit is het resultaat van de brainstormsessie bij de afdelingen Legal en Compliance, wat zou er eventueel aan risico’s kunnen spelen waar iemand over kan klagen dat we het vergeten zijn. Ik zou er dus geen waarde aan hechten.

Wie weet er nog een goede naam voor het opvolgverdrag? Op Twitter is #PrivacyTrampoline erg populair, ik zelf vond Privacy McPrivacyface wel een aardige.

Arnoud

Mag Facebook een gewoon woord als meta claimen als haar merk?

Geplaatst op 1 november 202131 oktober 2021 in Intellectuele rechten, Ondernemingsvrijheid, 21 reacties

Mark Zuckerberg heeft een naamsverandering voor het bedrijf Facebook aangekondigd, meldde Tweakers onlangs. De nieuwe naam, zoals hiernaast getoond, is Meta. Dit in verband met de ontwikkeling van de ‘metaverse’ (ik heb vernomen dat het onaardig is dit Second Life met een bril op te noemen). Helaas kan ik het merkdepot nog niet vinden, maar ik kreeg al vele vragen of dat wel kan, een zo algemeen bekend internetwoord claimen als je eigen merk.

Hoofdregel uit het merkrecht is dat je ieder woord mag registreren als merk wanneer dat geschikt is om als merk te dienen. Dat klinkt circulair, maar het wil zeggen dat het woord jouw producten moet kunnen onderscheiden van de concurrent. “Fiets” voor zo’n ding met twee wielen is daarvoor niet geschikt, zo heten die dingen. Maar Gazelle, Batavus, Giant, Koga of Trek zijn prima merken voor fietsen.

Ja, ook “Gazelle” en “Trek” hoewel die allebei in het woordenboek staan. Waar het om gaat is dat ze niet in het woordenboek staan als synoniem voor fiets. Bij Trek is er de indirecte link naar op trektocht/fietstocht gaan, en bij Gazelle de belofte dat je snel en soepel het fietspad af zoeft, maar als je iemand vraagt om een Gazelle en die komt met een Giant, dan is dat duidelijk niet wat je had gevraagd.

Het woord “Meta” voor een internetdienst is dus niet per definitie ongeschikt om als merk te dienen. In Europa kan ik 17 woordmerkdepots vinden voor “Meta” voor producten of diensten zoals lettertypes, sportkleding en geluidsapparatuur. Sterker nog, er was ooit een Meta die werkte aan augmented reality-diensten met “Extramissive spatial imaging digital eye glass”, maar dat bedrijf lijkt nu gestopt te zijn.

Bij Facebook, pardon Meta Platforms Inc. ligt het iets complexer omdat men óók de term “metaverse” in de markt wil zetten, en dan ook nog eens als generieke term, zeg maar als fiets. Op zich is dat een slimme werkwijze: introduceer een generieke term en positioneer jezelf meteen als een topmerk binnen die nieuwe categorie. Zo voorkom je dat jouw merknaam de generieke naam wordt. Want als je de eerste bent met Hagelslag, dan gaat iedereen het hagelslag noemen ook als de concurrent chocoladestaafjes verkoopt. (Deze truc komt u misschien bekend voor uit de markt voor koffiepads, waar Senseo bedenker en marktleider van is.)

Het lastige is dat je moeilijker enerzijds kunt zeggen dat “metaverse” de algemene term is en anderzijds dat jij als merkhouder “Meta” daarin opereert. Je verweeft de namen dan zodanig dat mensen altijd bang zullen zijn dat jij de naam metaverse gaat claimen of regels stellen aan wat men daarbinnen mag doen. Zo komt het nooit écht als onafhankelijk internetconcept van de grond.

Arnoud

Wacht even, nu gaan privacytoezichthouders ook al notice/takedown verzoeken doen?

Geplaatst op 18 oktober 202115 oktober 2021 in Privacy, Regulering, 15 reacties

De Ierse privacytoezichthouder DPC heeft noyb, de organisatie van privacyactivist Max Schrems, een take down request gestuurd waarin wordt verzocht een document te verwijderen. Dat meldde Security.nl vorige week. Het document is het conceptbesluit op noyb’s handhavingsverzoek tegen Facebook, waarin een opmerkelijke interpretatie van de AVG wordt geïntroduceerd die een joekel van een loophole oplevert. De DPC wil deze publicatie offline omdat ze interfereert met het overlegproces om het besluit te finaliseren.

Er is al jaren kritiek op de Ierse privacytoezichthouder omdat het niet zou optreden tegen techbedrijven, die vaak in Ierland hun Europees hoofdkantoor hebben. Iets wat de DPC ontkent. De nieuwe kritiek gaat over de opmerkelijke draai die Facebook op 25 mei 2018 maakte: vanaf toen hoefde niemand meer toestemming te geven onder de AVG voor wat Facebook deed, dat was sindsdien namelijk allemaal een noodzakelijk deel van de dienstverlening en voor verwerkingen die nodig voor een contractsuitvoering zijn, is geen toestemming nodig.

Ik ken werkelijk niemand behalve Facebook die met een serieus gezicht volhoudt dat “als wij in de voorwaarden zetten dat het nodig is, dan is het nodig” een valide interpretatie van de AVG is. Maar goed, nu dus de Ierse toezichthouder ook. Ik snap dus wel dat iemand als Schrems daar een publicatie over doet.

Dat valt juridisch een beetje slecht, want formeel is deze interpretatie van de DPC (disclaimer: er zijn geen aanwijzingen dat Facebook het conceptbesluit heeft voorgekookt of geschreven) slechts een concept, dat nu gedeeld wordt met belanghebbenden en andere toezichthouders, die dan commentaar mogen leveren, waarna er een definitief, openbaar besluit komt. Het is niet heel gebruikelijk dat conceptbesluiten in de pers komen, want er kunnen immers fouten in staan, slordigheden en ga zo maar door. Precies daarom wil je feedback verwerken voor je het besluit oplegt.

In veel procedures zijn dan ook expliciete geheimhoudingsregels opgenomen. De AVG kent die niet, en ook in de Ierse Uitvoeringswet AVG kan ik zoiets niet vinden. De DPC verwijst naar artikel 26 daarvan, maar zo te lezen gaat dat alleen over medewerkers van de DPC. Desondanks is de takedownbrief heel stellig: weg met die publicatie, en wel meteen. Maar wie als cynische jurist leest, komt tot de conclusie dat er veel bangmakerij staat maar géén “op grond van artikel 26 van de wet beveel ik u”. En reken maar dat een jurist die zin opneemt als hij daar aanleiding toe ziet, weinig dingen zo heerlijk als keihard in je recht te staan en met wapperende toga de wederpartij tot de orde te roepen.

De discussie wordt wat complex omdat noyb in de eerdere onderzoeksfase had toegezegd documenten vrijwillig geheim te houden om het onderzoek niet te schaden. De DPC citeert passages van noyb die zonder voorbehoud lijken te zeggen dat men die documenten gewoon, altijd geheim zal houden. noyb stelt daar tegenover dat de volledige toezeggingsmails duidelijk maken dat het alleen ging om de onderzoeksfase, die ondertussen allang is afgerond.

Ondertussen is het mij een raadsel wat de DPC dacht te bereiken nu hun conceptbesluit al wereldnieuws bleek te zijn geworden toen men de boze brief ging sturen.

Arnoud

Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR ‘ondermijnt’

Geplaatst op 9 augustus 202120 juli 2021 in Ondernemingsvrijheid, Privacy, 9 reacties

Het Oostenrijkse Hooggerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. Dat las ik bij Tweakers. De vraag draait om het verschil tussen toestemming en een contract als grondslag om persoonsgegevens te mogen verwerken. Sinds de AVG van kracht is, houdt Facebook namelijk vol dat mensen bij hen een dienst met gepersonaliseerde advertenties bestellen (als in: een daartoe strekkende overeenkomst sluiten) zodat je het niet over toestemming hoeft te hebben. Eh, wat.

De vragen van het Hof komen (hoe kan het ook anders) uit een rechtszaak die de privacyvoorvechters van None Of Your Business hebben aangespannen. NOYB verzet zich op alle mogelijke manieren tegen de Amerikaanse dataplundering van Facebook en consorten, en dan is dit een logische stap.

Facebook had in het verleden altijd gezegd dat het zich beriep op toestemming. Maar sinds de AVG is toestemming een heikele, zo niet onmogelijke grond om mee te werken: toestemming kan op ieder moment worden ingetrokken en dat mag geen vervelende consequenties hebben. Logisch dus dat de Facebook-juristen al snel bedachten dat je beter op uitvoering overeenkomst kon gaan zitten, want dat is niet zomaar intrekbaar. Besteld is besteld, zeg maar.

De vraag is alleen: wát is er dan besteld. Waren dat die advertenties (graag met een onsje extra personalisatie en hee wat leuk, de doorverkoop voor militaire gezichtsherkenning is afgeprijsd, doe maar) of was dat de communicatiedienst, het kunnen chatten en lezen wat mijn vrienden online doen? Mijn idee was altijd het laatste, maar omdat de Facebook-juristen zo nadrukkelijk hameren op het eerste, moeten we daar een juridische discussie over gaan voeren.

Het Oostenrijkse Hof citeert allereerst een berg literatuur die hier vrij negatief over is: Facebook is steeds het standaardvoorbeeld van een dienst met het niet-essentiële aspect van advertenties erbij. Dat helpt niet voor de beeldvorming, zullen we maar zeggen. En dan concludeert men:

The objective purpose of the contract is decisive for the definition of “necessary” in the sense of Art. 6(1)(b) of the GDPR. Artificially or unilaterally imposed services cannot be subsumed under this. The necessity of data processing for the performance of a contract depends on whether there is a direct factual connection between the intended data processing and the specific purpose of the legal obligation. … The fact that the purposes of the processing are covered by contractual clauses formulated by the provider does not automatically mean that the processing is necessary for the performance of the contract.

Dat laatste is denk ik de kern: dat een partij zegt dát het hoort bij de dienst, maakt het nog niet écht noodzakelijk voor de dienst. Daarvoor is een objectieve toets nodig. Alleen: hoe ziet die toets eruit, en hoe veel speelruimte mag je daar dienstverleners in gunnen? Is bijvoorbeeld bij WhatsApp het noodzakelijk dat iedereen mijn profielfoto ziet, of is enkel de door mij ingevulde naam noodzakelijk om te tonen aan contacten? Of ook dat niet?

Tijd dus om de hoogste Europese rechter hier een uitspraak over te laten doen. Helaas duurt dat altijd wel een dik jaar.

Arnoud

Mag Facebook optreden tegen gemeenten met nepprofielen?

Geplaatst op 16 juli 202113 juli 2021 in Regulering, 21 reacties

Een lezer vroeg me:

In mei leerden we dat diverse gemeenten met nep-profielen actief zijn op sociale netwerken om burgers te volgen. Veel socialmedia hanteren echter een ‘real-name policy’ waarbij in de voorwaarden staat dat je je echte naam moet gebruiken. Hoe zit dat nu juridisch? Is de gemeente dan strafbaar (valsheid in geschrifte), is bewijs om die reden uit te sluiten en mag Facebook de accounts van die ambtenaren blokkeren?

Het maakte nogal wat los toen we in mei erachter kwamen dat gemeenten burgers volgen op sociale media en daarbij zelfs onder nepnamen (niet als opsporingsambtenaar herkenbaar) opereerde. Of dat legaal was, blijft voor mij de vraag. Gemeentes opereren namelijk niet onder het wetboek van strafrecht maar onder de Algemene wet bestuursrecht, en die lijkt meer ruimte te bieden.

Dat gezegd hebbende, natuurlijk overtreedt zo’n gemeente de regels van Facebook als ze een account maken dat niet op de eigen naam van de betreffende werknemer/ambtenaar aangemaakt is. Facebook mag dus dat account sluiten, en hoeft geen rekening te houden met de opsporingsbelangen van de gemeente. De Albert Heijn mag ook een volgauto van de sociale dienst van haar parkeerterrein wegsturen wanneer Janny daar btw fraude komt plegen, pardon boodschappen komt doen met gekregen geld.

Strafbaar is het niet om gebruiksregels te overtreden. Facebook bepaalt niet wat strafbaar is natuurlijk. In theorie zou Facebook de gemeente mogen aanklagen voor wanprestatie (in een civiele procedure dus) en schadevergoeding eisen, maar die schade lijkt me nihil. Want het is geen valsheid in geschrifte om een account op valse naam aan te maken. Voor dat misdrijf gaat het erom dat je iets vervalst dat bedoeld is als bewijsstuk (een diploma, een creditcard, een ondertekend contract), en dat is het account niet.

Als burger kun je hier echter niets mee. Het is iets tussen Facebook en de gemeente wat die dienstverlener doet met de nepaccounts van die ambtenaren. Jij kunt daar zeg maar geen rechten aan ontlenen, en het tast ook de bruikbaarheid van de constateringen (wat jij dus zei of deed op Facebook) in het geheel niet aan.

Arnoud

Duitse privacywaakhond verbiedt Facebook om WhatsApp-data te gebruiken

Geplaatst op 17 mei 202114 mei 2021 in Ondernemingsvrijheid, Regulering, 11 reacties

De Hamburgse privacytoezichthouder heeft Facebook verboden om WhatsApp-data van Duitse gebruikers voor eigen doeleinden te gebruiken. Dat meldde Tweakers afgelopen vrijdag. Het besluit van de Hamburgse commissaris met de onuitsprekelijke afkorting HmbBfDI heeft te maken met de gewijzigde gebruiksvoorwaarden van WhatsApp, die een dergelijke koppeling zouden autoriseren. Tegelijk was bij de overname van WhatsApp door Facebook nadrukkelijk gezegd dat dit in Europa niet mocht gebeuren. Dus hoe zit dit nou?

‘Je kunt niet volledig gebruikmaken van WhatsApp totdat je de updates aanvaardt. Voor een korte periode kun je nog wel oproepen en meldingen ontvangen, maar je kunt geen berichten lezen of verzenden via de app.’ Dat dreigt WhatsApp dus al een tijdje om mensen zo ver te krijgen de nieuwe voorwaarden van hun dienst te accepteren. Deel dan gewoon mee dat je de voorwaarden aangepast hebt, denk ik dan; op deze manier toestemming afdwingen is in geen enkel rechtsstelsel bindend. Maar goed.

Het probleem is natuurlijk dat WhatsApp sinds haar oprichting altijd zei dat ze nooit persoonsgegevens aan anderen zou geven, en dat na de overname door Facebook dit altijd in de lucht hing, door voorlichters met mooie praatjes weg werd gebagatelliseerd en er dan nu toch komt. (Ik ga geen moeite doen de babbelzinnen over gebruikservaring op te zoeken, we weten allemaal dat het gaat om de extra profileringsdata.)

Onderdeel van de goedkeuring van de overname van WhatsApp door Facebook was de aanname dat de twee diensten niet gecombineerd zouden zijn. Dat kon ook niet, aldus Facebook, vanwege fundamentele technische redenen. Dat bleek in 2017 toch anders te liggen, reden voor de EU om 110 miljoen boete op te leggen en het nogmaals te verbieden. En op papier klopt het ook; WhatsApp zal in Europa gewoon blijven werken zoals het deed en geen data delen.

Ja, zeggen ze. Precies. Want dat is waar de ophef vandaan komt. Waarom moet ik akkoord gaan met nieuwe voorwaarden als er niets verandert voor mij? Wat probeert men alsnog stiekem af te dwingen met zo’n enorm chantage-machtsmiddel? Ik snap best dat mensen zich daar zorgen over maken. Goede stap dus dat de HmbBfDI (AP is toch makkelijker) expliciet een verbod oplegt, hoewel ik niet kan vinden of er meteen een dwangsom of boete bij hangt.

Uiteraard zegt WhatsApp dan dat dit besluit berust op een misverstand en dat men gewoon doorgaat omdat er niets aan de hand is. Als er niets aan de hand was, dan zou een normaal bedrijf zeggen “We houden ons keurig aan dat verbod want dit gingen we helemaal niet doen”. Dus ik blijf skeptisch.

Arnoud

Facebook en Gucci klagen samen verkoper van nepspullen aan

Geplaatst op 30 april 202128 april 2021 in Intellectuele rechten, 6 reacties

Facebook heeft een rechtszaak aangespannen tegen een verkoper van namaakspullen, las ik bij Tweakers. Facebook werkt daarbij samen met modehuis Gucci, de partij wiens producten nagemaakt werden door deze verkoper. Nu komt handel in namaak al vele decennia voor, ook met Facebook of Instagram als platform, dus het verbaast in zoverre niet dat er een rechtszaak komt, maar waarom doet Facebook mee zo vroegen veel mensen zich af?

Volgens de eigen blog is de zaak “part of our ongoing efforts to enforce our Terms and protect against abuse”. Immers, de TOS van Facebook verbieden al sinds het begin het schenden van rechten van derden. Daarnaast heeft men “robust IP protection measures including a global notice-and-takedown program, a robust repeat infringement policy and additional measures”, waartoe dan kennelijk ook behoort dat je samen naar de rechter gaat.

Het doet in zoverre raar aan dat dit volgens mij de eerste keer is dat Facebook meedoet met zo’n rechtszaak. Juridisch is het ook een tikje gek, want Gucci kan gewoon merkinbreuk (of auteursrechtinbreuk, eventueel) aandragen als basis voor haar claim maar Facebook moet het gooien op een wanprestatie onder de overeenkomst met de gebruiker – de juridische term voor “schending van de TOS”. En dat is juridisch iets heel anders.

In zoverre is het handig dat als Gucci aantoont dat haar merk geschonden wordt, Facebook meteen gelijk krijgt dat haar TOS geschonden is. Dus efficiënt is het wel.

Het onderliggende punt is natuurlijk dat Facebook zelf niet aansprakelijk is voor die merkinbreuk door haar gebruiker. Dus waarom doen ze dan die moeite, zo’n dure rechtszaak? Ze kunnen ook – zoals zo veel platforms al decennialang doen – achterover leunen en wachten op de notice & takedown en dan de specifieke advertentie weghalen. Kennelijk is er dus een reden waarom Facebook zelf ook van deze gebruiker af wil. Te veel klachten gehad? Een precedent willen zetten pour encourages les autres? Geld krijgen van Gucci voor actief meewerken?

Arnoud

Facebook gaat de half miljard getroffen gebruikers niet informeren over datalek, nee die snapte ik ook niet

Geplaatst op 13 april 20218 april 2021 in Privacy, 12 reacties

Facebook gaat de bijna 533 miljoen gebruikers van wie de data onlangs op een hackersforum is geplaatst, niet actief informeren over het datalek. Dat meldde Tweakers vorige week. Het platform zegt niet zeker te weten welke gebruikers ingelicht zouden moeten worden en dat de informatie toch openbaar online staat. Dat voelt een tikje absurd; de gebruikers die je moet hebben staan, eh, in die gelekte dataset. Wat is precies het probleem, of wat hebben de advocaten van Facebook nou weer bedacht als smoes om onder hun plichten uit te komen?

Vorige week verscheen een dataset met ongeveer een half miljard persoonsgegevens online, met daarin telefoonnummers, Facebook-id’s, volledige namen, locaties, voorgaande locaties, geboortedata, geslacht, relatiestatus, bio-teksten, datum van accountcreatie, werkgever en (soms) e-mailadressen. Vermoedelijk is de data verkregen door een fout in de ‘vriend toevoegen’-functie, waar tot telefoonnummers van vreemden voor nodig was. Gebruikers kunnen via tools als Have I Been Pwned zien of zij in de dataset staan.

Dit noemen we juridisch gezien natuurlijk een datalek in de zin van de AVG: grootschalig ongeautoriseerde publicatie van persoonsgegevens. Dat moet je melden bij de toezichthouder, en je moet alle betrokkenen informeren over dat hun data getroffen is, plus mogelijke gevolgen, maatregelen et cetera. En dat wil Facebook dus niet doen, want “the social media company was not confident it had full visibility on which users would need to be notified.” Dat voelt erg paarse-krokodil: ze staan dáár, die users.

Tevens stelt men dat je toch niets kunt doen tegen het lek, en de data is ook nog eens openbaar. Nee, daar snap ik nog minder van: dat is júist een reden om mensen te informeren. “Nee, tegen uw tumor is niets te doen en iedereen kan het zien, dus vandaar dat u nooit een diagnose kreeg”. Eh, kom nou.

Mededelen van datalekken moet, tenzij. Zo staat het in de AVG. En die ’tenzij’ is beperkt tot drie situaties:

de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.

Situatie 1 is grofweg dat de data wel is gelekt maar in sterk versleutelde of gepseudonimiseerde vorm. Dan is het risico op misbruik minimaal immers. Maar dat is hier niet van toepassing.

Situatie 2 gaat over datalekken waarbij je kon ingrijpen om de gevolgen van het lek tegen te houden. Je passwords lekten, maar je reset snel alle wachtwoorden en je monitoring gaf aan dat er niet ingelogd was in de tussentijd. Ook niet van toepassing, integendeel.

Situatie 3 is bij 533 miljoen mensen en alleen een telefoonnummer uit 2019 wellicht verdedigbaar. Die allemaal gaan bellen is te arbeidsintensief, dus dan zou een algemene mededeling (in de krant, of eh op Facebook) een betere optie zijn. Maar daar staat tegenover dat het Facebook-id in de dataset zit. Dus dan kun je in ieder geval de nog actieve gebruikers nazoeken en die een berichtje via het platform sturen. Benieuwd hoe veel er dan nog overblijven.

In ieder geval, ik kan vanuit AVG-perspectief helemaal niets met deze reactie.

Arnoud

Kan Europa antitrustonderzoek beginnen als bedrijven uit EU verdwijnen?

Geplaatst op 1 maart 202125 februari 2021 in Ondernemingsvrijheid, 39 reacties

Eurocommissaris Margrethe Vestager zegt dat Europa nieuwe antitrustonderzoeken kan beginnen naar bigtechbedrijven als die dreigen van de Europese markt te verdwijnen. Dat meldde Tweakers vorige week. Vestager reageert daarmee op de controverse in Australië: het land wil dat Facebook en Google de portemonnee trekken; dat moet de Australische media-industrie helpen. Daarop besloot Facebook de nieuwsvoorziening in Australië te saboteren om zo de regering te dwingen het plan aan te passen. De Europese insteek in zo’n geval is dat een dominant bedrijf zijn machtspositie misbruikt als het op die manier zou proberen wetgeving tegen te houden. En ja, dat kan.

De kern van het argument van Vestager zit in het mededingingsrecht, meer specifiek artikel 82 EU Verdrag:

Onverenigbaar met de gemeenschappelijke markt en verboden, voorzover de handel tussen lidstaten daardoor ongunstig kan worden beïnvloed, is het, dat een of meer ondernemingen misbruik maken van een machtspositie op de gemeenschappelijke markt of op een wezenlijk deel daarvan.

Vaak zeggen we hierbij dat het gaat om een monopolist, maar het is genoeg dat je “dominant” bent in een markt. Google is met het Android-besturingssysteem bijvoorbeeld zeker weten dominant in de markt voor smartphone-OS’en, hoewel er natuurlijk zeker wel concurrenten zijn (zoals Apple). En het belangrijkste criterium is dat je de handel beïnvloedt, we moeten er als afnemers dus last van krijgen.

Het argument zou dan zijn dat Facebook misbruik maakt van haar dominante positie in de markt voor nieuwsvoorziening door te zeggen “ik stop alle dienstverlening als ik moet betalen voor snippets die mensen delen op mijn platform”. Omdat Facebook zo groot is, kan ze met zo’n dreigement haast afdwingen dat die wetgeving er dan niet komt. Welke politicus wil immers bekend staan als de partij die Facebook het land uit joeg? (Ik gebruikte niet voor niets het woord “sabotage” in de opening, ik aarzelde over “chantage”.)

Natuurlijk is er het probleem dat als Facebook weg is, je moeilijk een eventuele veroordeling kunt handhaven. Er is dan niets meer te halen. Maar een bedrijf van deze omvang is niet van de ene op de andere dag wég uit je regio. En tot die tijd zijn er zeker wel geldstromen (de Irish-Dutch-Irish sandwich-route bijvoorbeeld) in de Europese Unie waar je boetes van kunt incasseren, kantoren die je kunt sluiten of desnoods mensen die je kunt arresteren tot er is betaald.

Dat geheel los van de vraag of het terecht is van een land om te zeggen dat er moet worden betaald voor wat in principe rechtenvrije citaten zijn. Die discussie mag best gevoerd worden en fel ook. Maar als je zó groot bent als Facebook, dan is “als dat wet wordt dan stoppen wij ermee” geen eerlijk argument meer.

Arnoud