Belgische Privacy Commissie roept Facebook op het matje

Op 13 mei 2015 publiceerde de Belgische Privacy Commissie een eerste aanbeveling over Facebook (aanbeveling nr. 04/2015 van 13 mei 2015). De Commissie stelde vast dat Facebook niet enkel van haar eigen leden en gebruikers persoonsgegevens verwerkt, maar van alle internetgebruikers die op één of andere manier in contact komen met Facebook. De Belgische Privacy Commissie tilde o.a. zwaar aan het feit dat Facebook geen toestemming vraagt voor haar “tracking and tracing” activiteiten en voor haar gebruik van cookies.

 

Aanbevelingen Belgische Privacy Commissie aan Facebook

 

De aanbeveling van de Belgische Privacy Commissie richt zich in de eerste plaats tot Facebook zelf. De Commissie vermeldt in haar aanbeveling dat Facebook volledige transparantie moet geven over haar gebruik van cookies. Zo moet Facebook voor elke cookie afzonderlijk de inhoud en het doel (vb. advertenties, veiligheid, enz.) specifiëren. Deze info moet steeds up-to-date zijn en gemakkelijk toegankelijk zijn voor het publiek.

 

De Privacy Commissie oordeelt ook dat Facebook moet stoppen met het plaatsen van langdurige en uniek identificerende cookies bij mensen die geen gebruikers zijn van Facebook (of ex-gebruikers). Ook moet Facebook stoppen met het verzamelen en het gebruik van gegevens over gebruikers en niet-gebruikers (zogenaamde “tracking”) via cookies en “social plug-ins” (voorbeeld: “like” knop, “vind ik leuk” knop, “delen” knop) tenzij daar een ondubbelzinnige en specifieke toestemming voor gegeven werd via een opt-in.

 

In verband met haar “social plug-ins”, oordeelt de Privacy Commissie dat Facebook enkel privacy-vriendelijke varianten mag aanbieden, die voldoen aan de vereisten inzake gegevensbescherming. De Privacy Commissie raadt in dit verband aan dat de aanwezigheid van een “social plug-in” op een externe website niet automatisch mag leiden tot de overdracht van gegevens naar Facebook. Als het laden van inhoud vanop de Facebook servers vereist is, mogen er niet langer cookies verzonden worden naar Facebook. Als personalisatie nodig is, mag Facebook enkel gebruik maken van sessie-cookies (die vervallen na het sluiten van het venster). Het verzenden van beveiligings-cookies (bijvoorbeeld “datr” cookies) moet beperkt worden tot het aanmelden bij Facebook (met uitsluiting van externe webpagina’s die een “social plug-in” bevatten).

 

Tenslotte meent de Belgische Privacy Commissie dat Facebook haar gebruikersinterface moet aanpassen zodat gebruikers via een opt-in hun ondubbelzinnige en specifieke toestemming moeten geven voor het verzamelen en het gebruik van informatie die via cookies bekomen wordt, vooral als die informatie voor advertenties gebruikt wordt.

 

Aanbevelingen Belgische Privacy Commissie aan eigenaars van websites

 

De aanbeveling van de Belgische Privacy Commissie richt zich ook tot websites die gebruik maken van een “social plug-ins” zoals een Facebook “like” knop. De Commissie raadt websites aan om sociale netwerkknoppen pas te activeren nadat de internetgebruikers hun specifieke toestemming hiervoor hebben gegeven. De integratie-opties die Facebook op dit moment aanbiedt voor bijvoorbeeld “like” of “share” knoppen voldoen niet, aldus de Belgische Privacy Commissie. De Commissie raadt websites aan om te werken via instrumenten als “Social Share Privacy” als manier om toestemming te verkrijgen. Dit komt eigenlijk neer op een soort “twee-klik systeem” waarbij “plug-ins” van derde partijen zoals Facebook pas gegevens kunnen versturen naar de third-party server (bijvoorbeeld de Facebook servers) nadat de gebruiker de social plug-in expliciet heeft aangeklikt.

 

Aanbevelingen Belgische Privacy Commissie aan internetgebruikers

 

De aanbeveling richt zich tenslotte ook tot internetgebruikers zelf. De Privacy Commissie raadt internetgebruikers aan om “browser add-ons” te gebruiken die tracking blokkeren (voorbeelden zijn Privacy Badger, Ghostery of Disconnect), of om de “private navigation modus” of incognito-modus van hun webbrowser te gebruiken. De browser wist dan het surfgedrag van de gebruiker (zoals cookies en historiek) nadat het venster gesloten wordt.

 

Bevoegdheid van Belgische Privacy Commissie en Belgische privacy-wetgeving t.o.v. Facebook

 

De vraag rijst bij dit alles in hoeverre Facebook rekening zal houden met deze aanbeveling. Facebook gaat er immers van uit dat in Europa enkel de Ierse “Data Protection Commissioner” (DPC) bevoegd is om toezicht uit te oefenen op de naleving van de (Ierse) privacy wetgeving door Facebook. Facebook’s Europese hoofdkwartier is immers gevestigd in Ierland (ook al heeft Facebook ook in België een vestiging, nl. Facebook Belgium bvba). Voor de duidelijkheid: de aanbeveling van de Belgische Privacy Commissie is “slechts” een aanbeveling, geen harde beslissing.

 

In haar recente aanbeveling stelt de Belgische Privacy Commissie dat zij wel degelijk bevoegd is om toezicht uit te oefenen op Facebook en dat Belgisch recht ook op Facebook toepasselijk is.

 

Ten slotte nog dit: De Belgische Privacy Commissie bestelde een inter-universitair onderzoek naar de manier waarop Facebook omgaat met de persoonsgegevens van haar leden (en niet-leden). De resultaten van dit onderzoek zijn hier beschikbaar. De Privacy Commissie noemt de resultaten van dit onderzoek “onthutsend” omdat Facebook “op verschillende vlakken” tekort komt aan de Belgische en Europese privacy-regels. Later dit jaar volgt trouwens een tweede aanbeveling van de Belgische Privacy Commissie i.v.m. Facebook.

 

Bart Van Besien

Advocaat

 

Geef een reactie

Je e-mailadres zal niet getoond worden. Verplichte velden zijn gemarkeerd met *