IT 2286

AP: Facebook handelt in strijd met Nederlandse privacywetgeving

AP Onderzoeksrapport 16 mei 2017, IT 2286; z2014-00929. Uit het persbericht: Facebook handelt in strijd met de Nederlandse privacywetgeving. Dat is de conclusie van de Autoriteit Persoonsgegevens (AP) na onderzoek naar de verwerking van persoonsgegevens van zo’n 9,6 miljoen Nederlandse Facebook-gebruikers. Facebook overtreedt onder meer de wet door gebruikers onvolledig te informeren over het gebruik van persoonsgegevens. Ook heeft de AP vastgesteld dat Facebook bijzondere gegevens van gevoelige aard gebruikt zonder uitdrukkelijke toestemming van de gebruikers. Zo verwerkte Facebook gegevens over seksuele geaardheid om op basis hiervan gerichte advertenties te tonen. Facebook is met dit laatste inmiddels gestopt. De AP beoordeelt momenteel of de overige overtredingen zijn beëindigd. Als dat niet het geval is, kan de AP besluiten om Facebook een sanctie op te leggen.

Gebruik gegevens door het Facebook-concern
Het gebruik van de sociale netwerkdienst is gratis voor de gebruiker. De inkomsten van het bedrijf komen uit de verkoop van gerichte advertenties. Het Facebook-concern verwerkt de persoonsgegevens van gebruikers om profielen op te stellen en hen in categorieën in te delen. Adverteerders op het Facebookplatform kunnen hiermee voor hen interessante doelgroepen bereiken. Volgens het privacybeleid van het Facebook-concern kunnen profielkenmerken van gebruikersworden afgeleid uit hun hun gedrag en communicatie op de sociale netwerkdienst. Dit betreft zowel gegevens die zij zelf met andere mensen delen (zoals profielinformatie, inhoud van berichten, verslagen, foto's en locatiegegevens) als gegevens van andere gebruikers over hen (waaronder locatiegegevens).
Het concern verzamelt niet alleen gegevens binnen de Facebook-omgeving. Het bedrijf volgt ook wat gebruikers op andere websites doen. Via meer dan de helft van de 500 best bezochte websites vanuit Nederland worden cookies van het Facebook-concern uitgelezen. Met deze cookies kan het concern het surfgedrag en appgebruik van gebruikers buiten de Facebook-dienst volgen en uit de inhoud van die pagina's en apps profielkenmerken afleiden.

Gebruik gegevens voor advertenties
Elke organisatie die persoonsgegevens verwerkt, is wettelijk verplicht om adequate en begrijpelijke informatie te geven over de soorten persoonsgegevens die zij gebruikt en voor welke doelen. De AP concludeert dat het Facebook-concern de wet overtreedt door persoonsgegevens te gebruiken voor gerichte advertenties zonder daarover de benodigde informatie te geven aan de Facebookgebruikers. Het bedrijf informeert de gebruikers in totaal op zeven verschillende punten niet goed of niet volledig over wat het bedrijf doet met hun gegevens. Zo staat informatie over welke soorten gegevens het concern gebruikt voor advertentiedoeleinden niet op een centrale plek, maar verspreid over allerlei bronnen. Gebruikers krijgen hierdoor geen duidelijk en begrijpelijk overzicht van wat het concern met hun gegevens doet. Ook zegt het Facebook-concern niet dat het bijzondere persoonsgegeven seksuele geaardheid wordt gebruikt voor advertenties en maakt het concern onvoldoende duidelijk dat het surfgedrag en app-gebruik van mensen ook buiten de sociale netwerkdienst gevolgd wordt, zelfs als ze zijn uitgelogd. De gebruikers worden hierover niet adequaat geïnformeerd. Het concern informeert evenmin adequaat over de controlemogelijkheden voor gericht adverteren; gebruikers hebben geen mogelijkheid om alle verwerkingen voor dit doeleinde te weigeren.

Gebruik bijzondere persoonsgegevens voor gerichte advertenties
Het Facebook-concern heeft in reactie op de voorlopige bevindingen ontkend dat het bijzondere persoonsgegevens verwerkt uit de inhoud van profielen voor advertentiedoeleinden. De AP heeft door eigen onderzoek vastgesteld dat het Facebook-concern adverteerders in staat stelt om gerichte advertenties te tonen aan mensen in Nederland op grond van hun seksuele geaardheid zoals zij die zelf hebben aangegeven in hun profiel. Het gebruik hiervan voor advertentiedoeleinden is een verwerking van bijzondere persoonsgegevens. Het is verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is. De Wbp bevat een beperkt aantal uitzonderingsmogelijkheden. In het geval van de Facebook-dienstzijn er twee mogelijke uitzonderingen: uitdrukkelijke toestemming van gebruikers of duidelijke openbaarmaking door gebruikers zelf. Beide uitzonderingen zijn niet van toepassing. Het Facebook-concern vraagt gebruikers niet om uitdrukkelijke toestemming voor het gebruik van bijzondere persoonsgegevens omtrent seksuele geaardheid voor gerichte advertenties. Het concern kan overigens geen rechtsgeldige toestemming krijgen via bijvoorbeeld de algemene voorwaarden of de standaardinstellingen van het profiel. Ook maken gebruikers niet spontaan, uit zichzelf, hun gegevens openbaar. Het Facebook-concern stelt bij
het aanmaken van het account allerlei vragen, waaronder naar de seksuele voorkeur. Hoewel het niet verplicht is om de vragen te beantwoorden, blijkt uit de wetsgeschiedenis dat de uitzondering op het verwerkingsverbod niet van toepassing is als een verantwoordelijke om deze informatie vraagt. Het gaat hierbij bovendien niet om een bewuste openbaarmaking door gebruikers aan Facebook voor advertentiedoeleinden. Daarom handelt het Facebook-concern bij het verwerken van bijzondere persoonsgegevens voor gerichte advertenties in strijd met de wet, concludeert de Autoriteit Persoonsgegevens.

Gebruik gegevens voor onderzoek
In het privacybeleid staat dat het concern persoonsgegevens verwerkt voor onderzoek. Maar het privacybeleid licht niet toe wat dat onderzoek inhoudt en welke persoonsgegevens het bedrijf daarvoor verwerkt. Het is een feit dat het Facebook-concern gegevens van Engelstalige betrokkenen heeft verwerkt voor sociaalpsychologische experimenten, zoals de beïnvloeding van positieve en negatieve emoties van gebruikers van de sociale netwerkdienst en bereidheid om naar de stembus te gaan. Het Facebook-concern heeft de vragen van de Autoriteit Persoonsgegevens over het mogelijke gebruik van persoonsgegevens van betrokkenen in Nederland voor onderzoek en sociaalpsychologische experimenten niet inhoudelijk beantwoord. De Autoriteit Persoonsgegevens constateert dat er meer informatie nodig is om vast te stellen of het concern gegevens van betrokkenen in Nederland (heeft) verwerkt voor onderzoek en sociaalpsychologische experimenten. De Autoriteit Persoonsgegevens komt daarom op dit moment niet toe aan een beoordeling, maar kan op een later moment besluiten hier alsnog (nader) onderzoek naar te doen.