Tag: Facebook

About Facebook

Subscribe Feeds

Privacyfittie: Google versus de Europese Commissie

Geplaatst op in Privacy, 21 reacties

google-privacy.pngDit gaat nog leuk worden: Google en de Europese Commissie kwamen ongeveer tegelijkertijd met nieuwe privacyregels, maar ze gaan elk compléét de andere kant op. De EC heeft een machtig wapen ingevoerd: boetes tot 5% van de jaaromzet voor wie de privacywet negeert. Maar Google heeft ook een machtig wapen: uitsluiting van alle Googlediensten als hun privacyregels je niet bevallen.

Google heeft nu ongeveer zestig verschillende privacybeleiden en wil daar vanaf. Loffelijk, want er rammelde nogal wat aan die teksten. Dus nu maken ze één geconsolideerde tekst. En die rammelt gewoon in z’n eentje.

Korte samenvatting: wij verkrijgen gegevens van u, van anderen en wij leiden gegevens af van wat u allemaal doet (en wat u gebruikt en waar u bent). Wij gebruiken die voor onze diensten (joh), met name om je advertenties op maat voor te schotelen. We mogen informatie combineren, dus als we uit Gmail je echte naam halen dan mogen we die aan je andere profielen plakken en dat heb je maar te accepteren. Oh, en we geven geen informatie aan derden tenzij die zorgvuldig geselecteerd zijn en die zich beloven te gedragen. Bevalt u dat niet (“People have different privacy concerns”), dan kunt u opt-outen. Niet van alles; u kunt “bepaalde” zaken uitzetten, niet meer. Maar u mag natuurlijk altijd naar Bing.

Ongetwijfeld volstrekt toevallig verscheen het officiële voorstel voor de nieuwe Privacyverordening. Geen gedoe meer met nationale wetten maar gewoon één wet die in één klap alles regelt, zonder mogelijkheid om daar van af te wijken of aanvullende regels te stellen. Het zal vast geen verrassing zijn dat die regels compleet de andere kant op gaan dan waar Google heen wil.

Hoofdregel is dat je zo beperkt mogelijk met persoonsgegevens moet omgaan. Je moet specifieke en welomschreven doelen hebben, en gegevens mag je dan alléén daarvoor gebruiken. Daarbij moet je eigenlijk altijd toestemming hebben. Er is en blijft een uitzondering voor een eigen noodzaak, als die zwaarder weegt dan de privacy.

Er komen strakke informatieplichten, nog strakker dan we al hadden. Je moet kunnen inzien wat men over je weet (en dat moet je elektronisch kunnen opvragen), en je moet expliciet te horen krijgen hoe je daar correcties of verwijdering van kunt realiseren. Dat recht van verwijdering hadden we al, maar wordt nu enigszins melodramatisch omgedoopt tot “recht te worden vergeten” – de partij die je gegevens opsloeg, moet alle redelijke stappen nemen om je gegevens te wissen, inclusief verzoeken bij derden die de gegevens hebben overgenomen. Ja, daarmee bedoelen ze Google en andere mirrors, zoekindexen en archieven.

In de praktijk zal dat recht geen bal veranderen ten opzichte van wat we hebben (en maar goed ook). Er is namelijk een uitzondering: je hoeft gegevens niet te verwijderen als je gebruik onder de vrije meningsuiting valt. En in 95% van de gevallen willen mensen hun gegevens namelijk niet uit een databank hebben maar uit een forum, nieuwsartikel of blogarchief omdat de daarin geuite feiten hen niet meer bevallen.

En zoals gezegd staan er forse boetebepalingen in die de Commissie kan inzetten als bedrijven de regels negeren. Expliciet zijn die ook bedoeld voor internationale (lees: Amerikaanse) bedrijven die menen dat zij niet onder Europees recht vallen. Dus dat gaat nog leuk worden, want ik zie Google écht niet zomaar omrollen omdat de EC meent dat privacy een groot goed is en targeted advertenties eigenlijk maar smoezelige dingen zijn. Omgekeerd gaat de EC ook niet snel zeggen “oh, jullie zitten in Californië, nee laat maar dan, wij gaan eerst achter Ilse aan”.

Eerlijk gezegd vind ik beide aanpakken best wel slecht. Googles “wij mogen alles en als u dat niet bevalt gaat u maar lekker Bingen” is natuurlijk zo generiek dat het niet leuk meer is. Afgezien van zalvende woorden en een paar optoutaanvinkvakjes ben je op die manier compleet aan de zoekmachine overgeleverd. Maar wat de EC van plan is, zie ik ook niet werken. Zó veel invloed en controle bij mensen neerleggen is onwerkbaar, nog afgezien van het punt dat driekwart van de mensen (en dan ben ik positief) niet snapt wat er nu eigenlijk gebeurt en dus op voorhand overal maar mee akkoord gaat “anders doet ie het niet”.

Ik blijf erbij dat het beter is om het zo te doen:

  1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
  2. Je moet volledig disclosen wat je doet en waarom;
  3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
  4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Arnoud

EU wil strenge nieuwe privacywet, nee dat moet anders

Geplaatst op in Privacy, 19 reacties

europees-recht-bakker.jpgDe Europese Unie wil de wirwar aan nationale wetten over databescherming vervangen door middel van een algemene voor de hele Unie geldende hervorming, las ik bij Nu.nl. Elk EU-land heeft nu een eigen privacywet, gebaseerd op Europese richtlijnen, maar deze moeten worden vervangen door een Europese Europese wet die precies bepaalt hoe het is, klaar. En zo te lezen gaan we heel wat toestemmingspopups krijgen als die er komt.

Reding wil een Verordening invoeren: een Europese wet die direct geldt, zonder dat de lidstaten zelf nog dingen mogen wijzigen of alternatieve regels mogen invoeren op dit punt. Dus als die Verordening er komt, mag Nederland geen eigen regels meer maken over wat Google met Streetview wel of niet mag doen. (Hoewel dat specifiek voor persoonsgegevens toch al niet bleek te mogen.) De rechter kan alleen nog toetsen aan de Verordening, waarbij hij hooguit indirect rekening mag houden met die lokale eigenaardigheden.

En die Verordening gaat streng zijn, als ik de speech van haar en Ilse Aigner goed begrijp:

EU law should require that consumers give their explicit consent before their data are used. And consumers generally should have the right to delete their data at any time, especially the data they post on the Internet themselves.

Met ‘explicit consent’ wordt nadrukkelijk iets strengers bedoeld dan de 48 pagina’s Terms of Service die Facebook en menig andere internetdienst hanteert. Mensen moeten snappen wat er gaat gebeuren en dan liefst op het moment zelf goed nadenken of ze dat willen, en dan uit vrije wil ja of nee zeggen.

Het idee is leuk maar dat gaat dus absoluut niet werken. Mensen snappen niet of willen niet snappen, of zijn niet geïnteresseerd in snappen, wat er allemaal gebeurt met hun persoonsgegevens. Ze willen gewoon hun porretjes sturen, mensen be- dan wel ontvrienden en op muren krabbelen (wat overigens prima is, daar niet van; die infantiele taal is niet mijn sarcastische keuze). En ze gaan ervan uit dat de bedrijven die ze dat laten doen, netjes met hun gegevens omgaan en “geen rare dingen” doen daarmee.

Nou kun je dat naïef vinden – mensen moeten weten wat voor enge dingen bedrijven allemaal doen en daar bezwaar tegen maken. Maar ik zie niet hoe je de gemiddelde consument in beweging krijgt om dat ook daadwerkelijk te doen. Laat staan om een cursus internetrecht te gaan volgen om te weten wat hun rechten en plichten zijn. Zou dat echt moeten voor je mag gaan Facebooken?

Logischerwijs zou de wetgever dan daarop moeten inspelen en als uitgangspunt nemen dat “rare dingen” niet mogen van de privacywet. Dat willen we niet hebben, dus dan moet het niet mogen.

Kennelijk voelt dat dan toch net weer iets te eng of zo, want net als bij de cookieregels wordt er dan toch maar naar het middel van “nou vooruit met expliciete, pardon uitdrukkelijke, pardon voorafgaande nee met geïnformeerde en vrije toestemming” gegrepen. Wat dus niet werkt want mensen klikken op whatever ze moeten klikken om hun porretje, krabbel of boerderijuitrusting te kunnen kopen.

Maar wat dan? Harde wettelijke regels à la “het is verboden mails te lezen om daar advertenties mee te targeten”? “Bonuskaartgegevens mogen niet worden gedeeld met verzekeraars”? En dan nog driehonderdvierentachtig van zulke regels? Hoe ga je dat in vredesnaam nog enigszins flexibel houden? Dat zie ik al helemaal niet gebeuren.

Nee, misschien moeten we het juist flexibeler maken. Profielen opbouwen en dingen daarop afstemmen, prima. Alleen:

  1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
  2. Je moet volledig disclosen wat je doet en waarom;
  3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
  4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Dat laatste is natuurlijk de truc: hierdoor gaan mensen op zoek naar foutjes, natuurlijk puur om rijk van te worden, maar dat houdt die bedrijven wel scherp. Sommigen zullen dan maar afzien van profilen, anderen zullen de problemen kunnen beperken en weer anderen gaan failliet omdat ze te vaak boetes over zich heen krijgen.

In Duitsland bestaat een soort van vergelijkbaar systeem voor e-commerce. Bedrijven die de e-commercewet niet naleven, kunnen van voorheen ambulancesnajagende advocaten een schadeclaim verwachten. En ja, daardoor wordt er in Duitsland véél beter op die wetgeving gelet door bedrijven dan bij ons. (Bij ons kun je ook wel procederen over ontbrekende KVK-nummers op websites maar wat is je schade?)

Het lijkt me in ieder geval beter te kunnen werken dan “lees deze dertig pagina’s en geef dan vrijwillig uw toestemming”. Wat jullie?

Arnoud

Mogen verzekeraars claims verifiëren middels Facebook?

Geplaatst op in Privacy, 17 reacties

straatrace-facebook.pngVerzekeraars maken gebruik van sociale media om te kijken of mensen die schade hebben, de boel niet oplichten. Dat meldde RTL Nieuws gisteren. Men verwijst naar de Telegraaf, dat meldt over een verzekerde wiens autoverzekering stopgezet zou worden, omdat hij mee zou hebben gedaan aan straatraces. En, voor mij opmerkelijk, dat meldt dat het Cbp dit goedkeurt want “sociale media zijn namelijk nog niet opgenomen in de privacywetgeving.”

Ik weet niet wie ze bij het Cbp aan de lijn hebben gehad maar daar klopt niks van. Goed, letterlijk staat “sociale media” niet in de wet maar ik mag hopen dat woordvoerders íets informatiever zijn dan dat. (Update zie onder voor reactie Cbp). Een publicatie op sociale media is ‘gewoon’ een publicatie op internet, zoals blijkt uit de Richtsnoeren persoonsgegevens op internet van datzelfde Cbp. Die zeggen bijvoorbeeld:

De aanbieders van profielsites zijn samen met de gebruikers medeverantwoordelijk voor de verwerking van persoonsgegevens op de betreffende website. De aanbieders van deze diensten moeten zich daarom houden aan de regels uit de Wbp. … Ze dienen geschikte beveiligingsmaatregelen te treffen, zoals het standaard afschermen van de profielen voor zoekmachines en alleen toegang te bieden aan vrienden van de gebruiker. Ook dienen ze de mogelijkheid te bieden de profielen en elders op de site geplaatste informatie te verwijderen.

Wel is het zo dat wie iets op een profielsite zet zónder privacysettings, daarmee toestemming geeft voor kennisname aan mensen die de pagina bezoeken. Dus ook je verzekeraar. Ook als het gaat om medische gegevens, zoals letterlijk in de Richtsnoeren:

Iedere volwassene die op zijn of haar eigen homepage of weblog met opzet en onder eigen naam gevoelige informatie over zichzelf publiceert, zoals verslagen van medische perikelen, maakt die ge­gevens duidelijk zelf openbaar. Daardoor vervalt het verbod om die bijzondere gegevens te verzamelen en te verwerken.

Worden die gegevens echter afgeschermd voor alleen een select groepje vrienden, dan wordt dat anders. Dan kan de verzekeraar ze niet zomaar meer zien. En dan zijn ze dus ook niet meer zomaar te gebruiken. Natuurlijk kan de verzekeraar een particulier rechercheur inschakelen die zich dan onder valse naam aan probeert te melden, maar dát is dan wel problematisch. Hun gedragscode vermeldt namelijk dat zij strikt in overeenstemming met de wet moeten werken.

Voor deze gedragscode geldt als eerste basisregel dat de rechten en plichten die gelden voor iedere burger, ook gelden voor particuliere onderzoeksbureaus. Hierbij geldt evenwel dat van particuliere onderzoeksbureaus een grotere mate van zorgvuldigheid mag worden verwacht in het kader van hun beroepsuitoefening. Bij bevoegdheden van iedere burger kan gedacht worden aan het raadplegen van openbare registers (zoals de registers van de Kamer van Koophandel en Fabrieken en de registers van het Kadaster) en openbare bronnen (zoals het internet).

Een particulier rechercheur kan zijn vergunning kwijtraken als hij in strijd met de wet gegevens verzamelt van anderen.

Omdat er bij gebruik van zulke gegevens altijd kans op misverstanden, onduidelijkheden of persoonsverwisselingen bestaan, is het zeer verstandig om altijd eerst navraag te doen. In de context van sollicitaties staat dat zelfs in de NVP-code als expliciete eis. Het lijkt me dat een afwijzing van een verzekeringsclaim zonder zulke navraag vrij eenvoudig te vernietigen moet zijn.

Wat alle problemen op zou lossen, is als verzekeraars bij de polisaanvraag toestemming gaan vragen voor het mogen uitvoeren van dergelijk onderzoek op Facebook en andere sociale media. Dat mag (mits de toestemming specifiek en duidelijk gevraagd wordt) en zeker als je het koppelt aan een korting. Stel je krijgt 5% korting op je verzekeringspremie als je ze laat snuffelen op Facebook, ik gok dat 80% van de verzekerden daarmee akkoord gaat.

Update: (9 november) per mail laat het Cbp weten:

In dat Telegraaf-artikel staat inderdaad een citaat van de woordvoerder van het CBP, zijnde ondergetekende. Helaas was het citaat onvolledig en onjuist. Ik heb niet gezegd of bedoeld te zeggen dat social media niet zijn opgenomen in de privacywetgeving. Inderdaad heeft het CBP al eerder richtsnoeren uitgebracht over persoonsgegevens op internet, waarnaar je ook verwijst in je column. Wat ik wel heb gezegd of bedoeld te zeggen is dat
  • het CBP geen onderzoek heeft gedaan naar deze casus en dus geen inhoudelijk oordeel kan geven
  • het aan de rechter is om te bepalen wie in deze zaak gelijk is
  • en hoe hij het feit dat het bewijs is verkregen via Facebook weegt
  • op dit punt moet nog meer jurisprudentie worden ontwikkeld
  • de Wet bescherming persoonsgegevens is van toepassing op alle persoonsgegevens, dus ook die op internet staan

Arnoud

Mijn werkgever verbiedt me te Twitteren, mag dat?

Geplaatst op in Ondernemingsvrijheid, Privacy, Uitingsvrijheid, 42 reacties

access-blocked.pngEen lezer vroeg me:

Op mijn werk blijkt de toegang tot Twitter te zijn geblokkeerd. Navraag leerde dat de directie bang was voor imagoschade als werknemers gingen twitteren. Daarom had men Twitteren categorisch verboden in het arbeidsreglement. Ik mag dus niet op het werk Twitteren maar óók niet thuis op mijn eigen computer! Kan dat zomaar?

Dat kan, maar niet zomaar. Een internetprotocol wordt meestal ingevoerd om oneigenlijk of ongewenst gebruik van de bedrijfsmiddelen te reguleren, maar men kan langs deze weg ook regels stellen over het gebruik van sociale media, zoals Twitter, Facebook of Google+.

Wel moet er dan een redelijk belang zijn voor de werkgever om iets te mogen zeggen over wat werknemers twitteren of Facebooken. Dit belang moet te herleiden zijn tot het werk: werknemers kunnen bedrijfsgeheimen onthullen door bijvoorbeeld een voorgenomen fusie op Facebook te melden, of arbeidsconflicten veroorzaken door te twitteren dat een collega onfris ruikt. Maar ook het vragen beantwoorden over producten of diensten kan het bedrijfsbelang raken: dergelijke communicatie wordt toegerekend aan het bedrijf, en kan het bedrijf dus binden aan bijvoorbeeld een toegezegde schadevergoeding of vervangend product.

Voor sommige bedrijven zijn de negatieve consequenties zó zorgelijk dat ze keihard beleid hanteren: verboden de bedrijfsnaam te noemen op je Linkedinpagina, alle tweets schriftelijk voorleggen aan de afdeling Communicatie en op de Hyves- of Facebookpagina mag niets over het werk vermeld worden. Dergelijke regels zijn echter volstrekt onhaalbaar: mensen zijn zó gewend om over zichzelf te hyven, facebooken, twitteren of googleplussen dat ze deze regels niet serieus kunnen nemen.

De meeste medewerkers begrijpen echter prima de belangen van de werkgever, mits deze zich maar redelijk opstelt (wat overigens ook een wettelijke eis is voor werkgevers). De werkgever hééft soms gewoon redelijke bedrijfsbelangen. En het in acht nemen van het bedrijfsbelang kan soms betekenen dat de werkgever zich anders moet uitdrukken of even niet moet reageren of ingaan op een discussie.

Natuurlijk, dergelijke regels leveren een beperking van de vrije meningsuiting van de werknemer op, maar dat is legaal. De werknemer kiest er zelf voor wanneer hij in dienst treedt bij dat bedrijf. Maar de werkgever mag niet verder gaan dan het bedrijfsbelang vergt. Zo kan een werkgever een werknemer niet verbieden zijn mening over zijn favoriete voetbalclub te uiten, behalve wellicht wanneer hij bij een concurrerende club werkt. Een werknemer bij een bank mag niet zomaar zeer negatieve artikelen over het bankwezen publiceren. Ook niet als hij dat doet op persoonlijke titel maar wel met de bedrijfsnaam erbij.

Arnoud

Facebook: “Uw persoonsgegevens zijn ons handelsgeheim”

Geplaatst op in Privacy, 8 reacties

WTF-momentje op de vrijdagmiddag dat ik het las: Facebook weigert inzage in persoonsgegevens van hun gebruikers omdat afgifte daarvan hun handelsgeheimen in gevaar zou brengen.

De groep Europe versus Facebook had een campagne opgezet waarbij alle Europese Facebookgebruikers opgeroepen werden om een inzageverzoek te doen onder de privacywet van alle persoonsgegevens die Facebook van ze had. Facebook is verplicht daaraan mee te werken, en biedt daarvoor dit formulier, maar beriep zich tegenover enkele Ierse verzoekers op een uitzondering in de Ierse privacywet die handelsgeheimen beschermt.

De basis van het inzageverzoek is het recht van inzage, bij ons artikel 35 Wet bescherming persoonsgegevens. Dit recht bepaalt dat iedereen het recht heeft te vragen “of hem betreffende persoonsgegevens worden verwerkt.” Als dat zo is, dan moet de verantwoordelijke daarvoor “een volledig overzicht daarvan in begrijpelijke vorm” verschaffen, met onder meer het doel van de verwerking, de soorten gegevens, de ontvangers (of soorten ontvangers) en alles dat hij heeft over de herkomst van de gegevens. Een flinke bult gegevens, volgens bronnen tot een gigabyte groot.

Lid 4 van dit artikel bepaalt dat men óók moet vertellen op welke manier men gegevens verwerkt:

Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.

De beheerder van het bestand mag een verzoek alleen weigeren als het disproportioneel grote lasten op zou leveren. Hij mag bovendien geen hoge administratiekosten rekenen ” de wet noemt expliciet een bedrag van 5 euro als maximumvergoeding voor het afhandelen van een dergelijk verzoek. Dat er mogelijk een hoop moet worden gekopieerd of uitgetypt, maakt het verzoek nog niet meteen disproportioneel, zo besliste de Hoge Raad in de Dexia-zaak. Daar werd overigens ook bepaald dat het oproepen tot het massaal doen van verzoeken géén misbruik van het recht is. De Privacy Inzage Machine van Bits of Freedom is dus volstrekt legaal (en deze verkapte oproep om ‘m te gebruiken dus ook).

De Ierse wet bevat nog een specifieke uitzondering voor dat “logica”-lid:

Subsection (1) (a) (iv) of this section is not to be regarded as requiring the provision of information as to the logic involved in the taking of a decision if and to the extent only that such provision would adversely affect trade secrets or intellectual property (in particular any copyright protecting computer software).

Deze uitzondering staat bij ons niet in de wet, maar hij is terug te vinden in de privacyrichtlijn, overweging 41, dus in de praktijk mag de rechter deze uitzondering toch toepassen bij ons.

Men mag dus inzage weigeren in de logica als dat handelsgeheimen in gevaar zou brengen. Daar kan ik me nog wel iets bij voorstellen. Maar het moge duidelijk zijn dat inzage weigeren in persoonsgegevens zelf met een beroep op dit artikel niet kan. Je bent dan misschien het product van Facebook, maar dat product heeft wel het recht te weten wat er precies van hem wordt verkocht en aan wie.

Arnoud

Mogen kinderen betalen in sociale games?

Geplaatst op in Informatiemaatschappij, 44 reacties

farmville-credits.pngVia internetspellen als Farmville en Happy Harvest betalen kinderen soms tientallen euro’s voor zaken als het onderhouden van een digitaal tuintje, las ik bij Adformatie. Hoogleraar Jeugd en Media Patti Valkenburg wil paal en perk stellen aan deze praktijk, onder meer door een vernieuwde Kinder- en Jeugdreclamecode. Deze code bevat -voor zover ik kan zien- geen enkel artikel dat ziet over in-game purchases.

Zou zo’n artikel er moeten komen? Ik denk het wel, hoewel ik niet verder kom dan “dit moet gewoon niet mogen” en dat zal op iets te veel weerstand stuiten bij de gemiddelde socialemediaspelletjesaanbieder.

De huidige juridische grens biedt niet echt soelaas. In mei blogde ik over ongewenst gekochte Facebookcredits door het kind en of de ouders deze aankoop ongedaan kunnen maken.

Minderjarigen mogen dingen kopen die “gebruikelijk” zijn voor hun leeftijd. Een snoepje bij de Jamin is voor een negenjarige gebruikelijk, een nieuwe fiets niet. Voor een 15-jarige is een fiets of dure broek denk ik weer wel gebruikelijk, er zijn er genoeg die dat doen immers. Als de aankoop niet gebruikelijk is, dan kunnen de ouders deze terugdraaien en de winkel moet dat accepteren.

Bij microtransacties zoals veevoer in Farmville ligt het juridisch lastig: je kunt namelijk goed stellen dat elke transactie een aparte aankoop is en dus juridisch een apart contract. En dan kun je het niet terugdraaien: een kind van negen mag best 10 cent uitgeven aan een spelletje. Dat hij dat dan duizend keer doet, tsja dát valt buiten het bereik van dit wetsartikel.

Je kunt natuurlijk verdedigen dat het kind in feite een aankoop van duizend keer 10 cent oftewel 100 euro doet en dát is niet gebruikelijk voor een kind van negen. Maar dan moet je een constructie opvoeren waaruit blijkt dat er één overeenkomst is waarbij die 100 euro in fragmenten van 10 cent wordt besteed. En volgens mij is die er niet. Wel natuurlijk als je een berg credits vooraf koopt, dan is de aanschaf van die credits 100 euro in één keer.

De vervolgvraag is dan of het ‘gebruikelijk’ is dat een kind van negen 100 euro besteedt aan zulke credits. De hoogte van het bedrag is niet doorslaggevend. Als blijkt dat ‘iedereen’ van die leeftijd dit doet, dan is dat al genoeg om het gebruikelijk te noemen. En ik weet niet hoe veel kinderen er op Farmville zitten en credits kopen, maar dat zullen er toch al aardig wat zijn.

Arnoud

Heise’s alternatieve Facebookknopje

Geplaatst op in Privacy, 16 reacties

heise-oplossing-facebook-tracking.pngVorige week schreef ik over het Facebook-‘Like’-knopje dat iedereen blijkt te tracken, ook als je niet ingelogd bent of zelfs als je geen lid bent van het sociale netwerk. Deze aanpak is juridisch dubieus, zeker nu er een cookiewet aankomt die dit expliciet gaat verbieden.

In Duitsland lijkt nieuwssite Heise een oplossing te hebben gevonde. Men toont het Facebookknopje pas nadat de gebruiker expliciet hierom gevraagd heeft. En dat klinkt als meer gedoe dan het is: het plaatje rechtsboven laat zien dat je alleen maar twee keer in plaats van één keer hoeft te klikken. De techniek erachter is simpel, de eerste klik gaat naar de Heise-site en die stuurt het Facebook-knopje met al zijn trackingcode terug, waarna de tweede klik dat knopje activeert.

Leuk idee, alleen is Facebook boos. Deze werkwijze zou in strijd zijn met de Facebook Platform Policies, die namelijk vermelden:

8. You must not use or make derivative use of Facebook icons, or use terms for Facebook features and functionality, if such use could confuse users into thinking that the reference is to Facebook features or functionality.

Dit lijkt me een tikje gezocht. Maar in principe hebben ze een punt, want het grijze icoontje ziet eruit als een Facebook-icoon maar de klik gaat niet naar Facebook.

Update (08:54) Heise heeft het grijze knopje aangepast:

heise-facebook-nieuw.png

Later verduidelijkte Facebook-woordvoerder Tina Kulow op Twitter dat de dubbelklik-oplossing op zichzelf prima is, alleen niet met dat grijze icoontje:

Um es klar zu stellen: 2-klick-Button ist nicht ideal – aber kein Problem. Nur ein Like-Button der grafisch so tut als ob er einer ist, ist nicht ok. Das ist alles.

Het zou dus een kwestie moeten zijn van een eigen icoon maken dat aangeeft dat het Facebook-knopje beschikbaar is, zonder dat dit 1-op-1 hetzelfde is als het Facebook-knopje zelf. Dat zal nog lastig worden. Immers, dit was dé manier om zo’n knop te maken, een grijze versie van een knop is de standaardmanier om aan te geven dat iets nu inactief is maar geactiveerd kan worden.

Elk alternatief zal tegen hetzelfde probleem aanlopen. Je moet immers het Facebook-logo gebruiken om aan te geven dat dit Facebook-functionaliteit betreft. De enige oplossing die ik kan zien is het dubbelklikken om alle social media knopjes te activeren, maar dat lijkt me nodeloos nadelig voor andere sites die zich wél netjes gedragen.

Oh, en in diezelfde tweet linkt ze naar een FAQ-pagina met deze fijne paarsebroekenformulering:

Deze standaardgegevens helpen ons jouw beleving te verbeteren afhankelijk van welke browser je gebruikt en of je bent aangemeld op Facebook of niet.

Weet iemand wat dit betekent? Hoe verbetert Facebook mijn ‘beleving’ van Heise.de (wat dat dan ook moge betekenen) door mijn IP-adres, browserdata etcetera te loggen en 90 dagen te bewaren? Het knopje blijft immers hetzelfde, en getargete advertenties op Heise.de van Facebook zie ik niet

Arnoud

Mag Facebook je tracken met hun Like-knopje?

Geplaatst op in Privacy, 19 reacties

facebook-dislike-like.pngEen lezer vroeg me:

Op menig website zie je tegenwoordig de Facebook ‘Like’-knopjes. Nu had ik gelezen dat Facebook je daarmee ook trackt als je er niet op drukt, dus ook als je geen lid bent en niet akkoord bent gegaan met hun Terms of Service of privacyverklaring. Mag dat zomaar?

De Facebook ‘Like’-knop bevat inderdaad een trackingcookie dat in alle gevallen wordt gezet, ook als je niet ingelogd bent of zelfs geen Facebook account hebt.

Bij onze Eerste Kamer ligt nu een wetsvoorstel dat gaat eisen dat tracking cookies alleen mogen worden geplaatst met uitdrukkelijke toestemming, en dat zou de Facebook cookies bij de Like-knop dus in strijd met de wet maken. Zaterdag las ik dat in de Duitse deelstaat Sleeswijk-Holstein al een verbod op dit knopje geldt binnen de overheid.

De grote vraag is dan: is Facebook te houden aan die Europese wet? In het verleden heeft de Artikel 29-Werkgroep geconcludeerd dat dat inderdaad het geval is. Uit hun analyse:

De Groep is daarom van mening dat de nationale wetgeving van de lidstaat waar de pc van de gebruiker zich bevindt, van toepassing is op de vraag onder welke voorwaarden de persoonsgegevens van de gebruiker kunnen worden verzameld door cookies op zijn harde schijf te plaatsen.

Dit baseert men op artikel 4 van de privacyrichtlijn, dat bepaalt dat nationaal recht van een lidstaat geldt als

de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

Het plaatsen van cookies is geen ‘doorvoer’, en daarmee is dus aan deze eis voldaan.

Praktisch gezien is het natuurlijk een beetje moeilijk om Facebook te dwingen zich te houden aan Europese regels als ze niet daadwerkelijk actief zijn in Europa. Wie ga je de boete opleggen, en hoe incasseer je die?

Niet verrassend is in de VS al iemand over dit onderwerp aan het procederen. Ik ben heel benieuwd wat voor schikking hieruit komt en of Facebook dan ook daadwerkelijk haar knopje gaat aanpassen. In de tussentijd is het met Adblock blokkeren van het Like-knopje de handigste optie denk ik.

Arnoud<br/> Foto: How to add a DisLike button on facebook in firefox?

Mijn kind heeft credits gekocht op Facebook, wat nu?

Geplaatst op in Security, 62 reacties

Een lezer vroeg me:

Mijn kinderen spelen op Facebook allerlei spelletjes, en gebruiken daarbij het account van mij of van mijn vrouw. Bij sommige spellen kun je via extra credits hogerop komen, maar die moet je dan kopen. Onze dochter van 9 ontdekte echter dat onze creditcardgegevens werden onthouden door Facebook, zodat ze snel voor 55 euro wat credits aanschafte. Hoger kon niet, want daarvoor hadden ze de pincode nodig. Kan ik deze ongewenste betaling ongedaan maken?

De wet (art. 1:234 BW) bepaalt dat minderjarigen niet zelfstandig overeenkomsten kunnen sluiten. Daarvoor is toestemming nodig van de ouders. Het is alleen niet handig als een kind voor elke reep chocola een briefje van zijn ouders nodig zou hebben. Daarom staat in de wet staat dat die toestemming wordt verondersteld te zijn gegeven als het een rechtshandeling is “waarvan in het maatschappelijk verkeer gebruikelijk is dat minderjarigen van zijn leeftijd deze zelfstandig verrichten.”

De vraag is dan, is het voor minderjarigen van 9 jaar gebruikelijk dat ze credits voor Facebookspelletjes kopen. Ik heb eerlijk gezegd geen flauw idee. Wie onderzoek heeft naar dit onderwerp, ik hoor het graag.

Een bijkomstig punt is hier wel dat het niet het kind is dat de aanschaf deed, maar de vader. Althans, zo zag het eruit voor Facebook. Er werd immers gewerkt vanaf diens account, en niet vanaf een account dat gekoppeld was aan de negenjarige dochter. Ik denk dan ook dat het in die situatie niet mogelijk is de aankoop te annuleren op grond van artikel 1:234 BW. Het zou wel érg makkelijk zijn voor volwassen om dan dingen te kopen en achteraf te zeggen dat het hun minderjarige kind was.

Een juridisch argument om dat te onderbouwen is dat wanneer je je kind jouw account laat gebruiken, je hem of haar in feite als jouw vertegenwoordiger aanstelt. Het kind koopt dan niets, maar jíj koopt die zaken en het kind handelt daarbij als uitvoerder in jouw naam. In die situatie is het onmogelijk om je op artikel 1:234 BW te beroepen want jij als ouder bent meerderjarig.

Het lijkt me dus handiger je kinderen een eigen account te geven, dat stevig af te sluiten tegen ongewenst gebruik en ze zelf te laten sparen voor eventuele credits.

Arnoud

Mag ik andermans foto’s op mijn Facebook zetten?

Geplaatst op in Intellectuele rechten, 56 reacties

facebook-upload.pngEen lezer vroeg me:

Ik upload van alles op Facebook en incidenteel ook wel eens een foto die ik bijvoorbeeld op een krantensite heb gevonden. De groep mensen die die foto ziet is beperkt en mijn Facebook is vrij strak afgeschermd. Kan ik er dan alsnog mee in de problemen komen?

De problemen waar je tegenaan kunt lopen, liggen met name bij het auteursrecht. Het uploaden en publiceren van andermans foto’s zonder toestemming is meestal namelijk inbreuk op het auteursrecht. (Soms kan het een geldig citaat zijn, maar reken er niet op.) Het maakt daarbij niet uit of je op een persoonlijke Facebookpagina publiceert of op een commerciële website.

Wél kan uitmaken of de foto publiek toegankelijk is of juist afgeschermd voor iedereen behalve een selecte groep mensen. De Auteurswet kent namelijk een uitzondering voor publicaties in beperkte kring, namelijk een kring die

zich beperkt tot de familie-, vrienden- of daaraan gelijk te stellen kring, en voor de toegang tot de voordracht, op- of uitvoering of voorstelling geen betaling, in welke vorm ook, geschiedt. Hetzelfde geldt voor een tentoonstelling.

Nu zit Facebook vol met vrienden, maar die interpretatie zou het wel érg makkelijk gaan. De wetgever bedoelt hier de ouderwetse betekenis van vriend, namelijk iemand met wie je een persoonlijke band hebt. Min of meer willekeurige kennissen vallen er niet onder. Ik denk dus dat alleen mensen met een zeer selectief Facebooktoelatingsbeleid van deze clausule kunnen profiteren. Als de clausule überhaupt al geldt voor Facebookuploads – er staat “voordracht, op- of uitvoering of voorstelling” en dat is geen terminologie die je normaal gebruikt bij foto’s.

Daar komt nog bij dat je bij zo’n upload een kopie moet maken, en het maken van een kopie is -los van publicatie- iets waar je toestemming voor nodig hebt van de auteursrechthebbende. Er is een uitzondering voor kopiëren voor eigen gebruik, maar die geldt niet als je de foto deelt met anderen. Je kunt je dus zelfs afvragen of je niet bij het uploaden al auteursrechtelijk de fout in gaat.

Alles bij elkaar vrees ik dat je niet sterk staat als een fotograaf erachter komt dat je zijn foto in je Facebookalbum hebt opgeslagen en dat anderen (familie, vrienden of wie dan ook) deze kunnen zien. De vraag is natuurlijk wel of hij er achter komt, maar je neemt natuurlijk wel een risico als je het daar van laat afhangen.

Arnoud