Home / Nieuws & Blogs / Hoge bomen vangen veel wind - wat gaat de AVG voor Facebook betekenen?

Hoge bomen vangen veel wind - wat gaat de AVG voor Facebook betekenen?

| 21 februari 2018

Op 12 februari is Facebook door een Berlijnse rechter voor verschillende overtredingen van het Duitse privacyrecht veroordeeld, nadat de consumentenbond van onze oosterburen (de VZBV) deze zaak was gestart. Het is in Duitsland verboden voor bedrijven om persoonlijke informatie te verwerken zonder uitdrukkelijke toestemming van de gebruiker.

De Duitse rechter was van mening dat Facebook haar gebruikers niet voldoende heeft ingelicht voordat gegevens werden gebruikt. De standaardinstellingen, die niet privacy-vriendelijk waren, zouden bijvoorbeeld zijn weggestopt door Facebook. Hierdoor waren de Duitse gebruikers van het sociale netwerk niet voldoende geïnformeerd voordat zij hun toestemming gaven voor het verwerken van persoonlijke informatie. Ook werd de functie waarmee de locatie van app-gebruikers gevolgd kon worden automatisch aangezet door Facebook.

Facebook moet AVG-proof worden

Nu zijn de bellen al langer aan het rinkelen binnen het sociale netwerk. Vanaf 25 mei zal de Algemene Verordening Gegevensbescherming (AVG) van kracht zijn en ook Facebook zal aan deze wetgeving moeten voldoen. Het bedrijf leeft van de data van zijn gebruikers, dus het zal flink aan de bak moeten om dit bedrijfsmodel ‘’AVG-proof’’ te maken.

De eerste stappen zijn gezet. Er werd al aangekondigd dat Facebook grote veranderingen in het privacybeleid gaat maken. Zo wordt het makkelijker voor gebruikers om hun privacy te beheren in de instellingen van hun account en wordt er een privacyteam opgericht om ervoor te zorgen dat er daadwerkelijk wordt voldaan aan de AVG. Er staat natuurlijk veel op het spel, Facebook hangt mogelijke boetes boven het hoofd die kunnen oplopen tot meer dan een miljard euro. Dit is natuurlijk een goede motivatie om wat veranderingen door te voeren, maar de vraag is: wat moet Facebook precies veranderen per 25 mei dit jaar?

De AVG: Facebook moet vragen, u mag verzoeken

Facebook draait op advertentie-inkomsten. De data die het bedrijf van gebruikers verzamelt (ja, ook van u, niet-Facebook gebruiker), wordt verkocht aan adverteerders, zodat deze gerichte advertenties kunnen tonen. Om persoonsgegevens te kunnen gebruiken voor advertentiedoeleinden onder de nieuwe verordening moet er óf een gerechtvaardigd belang hiervoor zijn, óf er moet expliciete toestemming gevraagd worden voor elke vorm van gegevensverwerking.

Het is voor het sociale netwerk te hopen dat grote delen van hun bedrijfsmodel als een gerechtvaardigd belang worden beschouwd, anders zal het hele waslijsten aan toestemmingsverzoeken naar hun gebruikers moeten sturen. Het is voor Facebook namelijk onmogelijk om onder de AVG een algemene toestemming aan Europese burgers voor het gebruik van hun data te vragen. Facebook zal duidelijk moeten maken welke gegevens voor welk doel gebruikt worden, zonder vage termen als ‘promotiedoeleinden’ en ‘het verbeteren van de gebruikerservaring’ te gebruiken. Een specifiek doel zou wel kunnen zijn: ‘voor het samenstellen van een gebruikersprofiel ten behoeve van gerichte advertenties’.

Het gerechtvaardigd belang vs. privacyrechten gebruikers

Het verzamelen van gegevens ten behoeve van advertenties werd door de WP29, waarin de Europese privacytoezichthouders verenigd zijn, al als een ‘gerechtvaardigd belang’ bestempeld. Er wordt echter in hetzelfde document van de WP29 opgemerkt dat een uitgebreide verzameling van data (locatiegegevens, browsergeschiedenis, aankoopgeschiedenis en het combineren van data) ervoor kan zorgen dat de privacyrechten van de gebruiker voor gaan op dit gerechtvaardigd belang. Het is nog maar afwachten of Facebook deze test kan doorstaan.

In sommige gevallen kan het zijn dat Facebook zich helemaal niet op een gerechtvaardigd belang kan beroepen. Als WhatsApp - onderdeel van Facebook sinds 2014 - de data van hun gebruikers verzamelt en doorspeelt aan Facebook, is dit niet ten behoeve van hun functionaliteiten of bedrijfsmodel, maar voor dat van Facebook. Dit zou betekenen dat WhatsApp u eerst vriendelijk - en niet te vergeten: op een duidelijke manier - toestemming moet vragen om vakantiefoto’s die u met uw moeder deelde door te kunnen sturen naar het moederbedrijf.

Hoewel Facebook straks misschien toestemming moet vragen voor verschillende vormen van gegevensverwerking, is het onwaarschijnlijk dat dit iets zal veranderen aan het bedrijfsmodel. Als iemand de voorwaarden van Facebook niet accepteert, zal diegene ook geen gebruik kunnen maken van hun diensten. Lastig, want het wordt waarschijnlijk moeilijk om uw voltallige vriendengroep te overtuigen om een ander sociaal netwerk of berichtenservice te gaan gebruiken. Facebook weet goed welke macht zij heeft door dit netwerkeffect.

Meer controle over verzamelde data door AVG

Gelukkig biedt de AVG meer: de controle die u kunt uitoefenen op uw data wordt groter. Er kan informatie opgevraagd worden over de data die Facebook van u heeft, of ze de data nou zelf hebben verzameld of dat een derde partij dit voor haar gedaan heeft. Dit recht geldt ook voor niet-gebruikers. Dus als u niet op Facebook zit en u zich toch afvraagt of het bedrijf uw gegevens verwerkt: stuur ze een mailtje. De data kan door gebruikers ook direct bij Facebook opgevraagd worden, het bedrijf heeft hiervoor een tool ontwikkeld. Dit is allemaal gratis, zoals de AVG verplicht.

Sommige data kan op verzoek worden verwijderd, zoals data die verzameld is onder een expliciete toestemming van de gebruiker. En omdat Facebook persoonsgegevens automatisch verwerkt, is het mogelijk het bedrijf te vragen hiermee te stoppen (alleen mogelijk voor uw eigen persoonsgegevens). Net als bij het gerechtvaardigd belang moet hier ook weer een afweging van belangen en rechten gemaakt worden. Het is nog onduidelijk hoe dit in de praktijk zal uitpakken.

Hoewel de AVG scherpere verplichtingen stelt aan bedrijven als Facebook is het nog onduidelijk hoe ver deze in de praktijk strekken. Ook is het onduidelijk hoeveel mensen daadwerkelijk gebruik gaan maken van hun rechten om data in te zien, op te vragen en te verwijderen. U weet nu in ieder geval ongeveer wat te verwachten en welke rechten u heeft, dus maak hier vooral gebruik van. Mocht u zelf een bedrijf hebben dat op internet opereert: de regels die voor Facebook gelden, gelden ook voor u. Zorg er dus voor dat u toestemming vraagt waar dat nodig is en dat u op de hoogte bent van de rechten van uw klanten of gebruikers.

Dit artikel is geschreven door Cas Mevissen, in samenwerking met Fay Kartner.

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u onze privacytrainingen hier.