Facebook mag advertentie-gerelateerde gegevens van Ierse gebruikers nog maar negentig dagen bewaren. Dat bepaalde de Ierse privacywaakhond eerder deze week, las ik bij de Guardian. Nu bewaart Facebook die gegevens nog oneindig lang, en dat is in strijd met de privacywet die eist dat gegevens worden gewist zodra ze redelijkerwijs niet meer nodig zijn.
De Ierse Data Protection Commission had in oktober/december 2011 een audit uitgevoerd op Facebook Ierland, de dochter van de Amerikaanse gigant. Het is Facebook Ierland, ietwat verwarrend afgekort tot FB-I, waarmee je als niet-Amerikaanse en niet-Canadese gebruiker de gebruiksovereenkomst sluit. En daarmee valt de FB-I onder Europees recht, of beter gezegd Iers recht.
De bevindingen uit de audit mogen nadrukkelijk niet worden gezien als conclusies dat FB-I momenteel niet de wet naleeft, zo schrijft men in het rapport. Ehm, juist.
Eén van de kernpunten bij Facebook is dat het onvoldoende duidelijk is wat ze doen met je gegevens en wat je daaraan kunt doen. Een actiepunt is dan ook om de privacypolicy beter leesbaar te maken en duidelijker controls te introduceren. Ook zal de link daarnaar net zo groot worden als de link naar andere informatie.
Als aanvulling zal FB-I ook extra transparant worden over wat adverteerders kunnen opvragen en hoe de targeting werkt.
Gaat dat helpen? Mwa. In een theoretische wereld wel, want daar nemen mensen graag kennis van voorgenomen verwerkingen van hun persoonsgegevens om vervolgens een geïnformeerd en vrij besluit te nemen. De praktijk kent u net zo goed als ik.
Belangrijker lijken me de stappen omtrent de plugins: die gaan strengere limieten krijgen omtrent wat ze aan persoonlijke gegevens mogen opvragen, en knopjes waarmee mensen zelf dingen kunnen instellen. (En ik hoop dat "u moet alles aanzetten om uw plantjes water te geven" verboden wordt.) Er komt ook contextuele controle over wat third-party apps kunnen doen met data van Facebookers.
Verder wordt data die voor advertentiedoeleinden is verzameld, nu na twee jaar gewist in plaats van oneindig lang bewaard. Bij het Vindikleukknopje worden geen individuele IP-adressen meer geregistreerd, zodat niet-Facebookers en uitgelogde wel-Facebookers niet individueel getraceerd worden. De aldus geanonimiseerde data wordt 90 dagen bewaard, in plaats van permanent.
Wie wil weten wat de FB-I over ze weet, krijgt toegang tot een downloadtool. Althans, zodra die er is want deze komt gefaseerd vanaf januari online. Het is ook nogal een klus natuurlijk: ieder vriendverzoek, iedere tagging, iedere por, elk bericht en elke boodschap op jouw en andermans muur moet inclusief metadata beschikbaar komen. Als iedereen dat tegelijk doet, valt Facebook gewoon om.
Een groot aantal andere suggesties van de privacytoezichthouder "worden meegenomen" en FB-I "gaat ernaar kijken" wat voor bredere implicaties die zullen hebben. Zo is voorgesteld dat je het taggen van jezelf door anderen geheel uit zou moeten kunnen zetten, maar dat heeft kennelijk "bredere implicaties" zodat men daar in juli 2012 graag nog een keer op terugkomt.
Het rapport bevat nog veel meer interessante bevindingen. Ik hoor graag jullie vondsten!
