Test

Dit is een popup

Facebook handelt mogelijk in strijd met de GDPR die sinds mei actief is

Alhoewel Facebook met de komst van de Europese General Data Protection Regulation (GDPR) de Privacy Policy heeft aangepast, lijkt dit niet geheel het geval met het interne beleid, en overtreedt het bedrijf mogelijk de wetgeving.

Per 25 mei is de GDPR officieel geforceerd in Europa, eerder bestond de wetgeving al wel, maar waren bedrijven niet verplicht om aan deze wetgeving te voldoen. Uit een grootschalig Amerikaans onderzoek is nu gebleken dat Facebook mogelijk in overtreding is met deze wetgeving. Het gebruikt namelijk telefoonnummers van zijn gebruikers zonder dat deze data inzichtelijk is. Daarbij gaat het om telefoonnummers die zijn opgegeven bij het gebruiken van tweetrapsauthenticatie, en het synchroniseren van telefoonnummers om andere vrienden ‘gemakkelijker’ te vinden.

De onderzoekers spreken van zogenoemde schaduwcontactinformatie, dit omdat de gebruikers waar de informatie aan gekoppeld is, nooit de data aan Facebook hebben verstrekt. In elk geval niet voor de doeleinden waar Facebook het voor wilt gebruiken: het verder personaliseren van advertenties. Het zou zomaar kunnen zijn dat je nooit een telefoonnummer aan Facebook hebt gegeven, maar dat er toch een telefoonnummer aan je account gekoppeld is. Dat kan gebeuren als iemand zijn contactenlijst heeft geüpload, waarna Facebook een match vindt met je persoonlijke informatie, en het nummer aan je account koppelt. Deze informatie is vervolgens een maand later beschikbaar voor adverteerders.

Geen lek naar adverteerders

Het gaat gelukkig niet om een lek van telefoonnummers naar adverteerders. Het werkt juist zo: mocht je telefoonnummer bij een adverteerder bekend zijn dan kan deze een match proberen te vinden in de database van Facebook om gericht advertenties te tonen. Als er dus schaduwcontactinformatie aan je account gekoppeld is, kan een adverteerder je gericht advertenties tonen zonder dat jij ervan af weet. Wat daar nog bovenop komt, is dat je de informatie ook niet in kan zien, nergens binnen de systemen van Facebook is voor de gebruiker in te zien of deze data door Facebook voor adverteerders aan je account gekoppeld is.

Daar gaat het Amerikaanse bedrijf dus de mist in, de socialmediagigant passeert de Europese GDPR. Gebruikers moeten te allen tijde inzicht hebben in hun data, of dit op kunnen vragen. Volgens de onderzoekers weigert Facebook om de data te verstrekken. Of het nu gaat om het gebruik van de tweetrapsauthenticatie telefoonnummers, als de schaduwcontactinformatie die via een ander account bij je eigen Facebookaccount terecht is gekomen. Facebook stelt dat de informatie die via een andere gebruiker bij je account terecht is gekomen, hoort bij de persoonlijke gegevens van de gebruiker die ze heeft geüpload en dus niet bij het account waar ze als schaduwcontact aan worden gekoppeld.

2FA-gegevens

Facebook heeft zelfs tegenover Gizmodo bevestigd dat de 2FA-gegevens gebruikt worden om gerichte advertenties aan te bieden. Als een gebruiker het daar niet mee eens zou zijn, kan het stoppen met het gebruiken van de tweetrapsverificatiemethode en switchen naar een andere tweede laag van beveiliging. Al met al weet Facebook zich te verschuilen achter een hoop algemene voorwaarden, al is het maar de vraag of deze de GDPR op zichzelf al dan niet overtreden. Voor nu is het afwachten of er Europese instanties zijn die actie gaan ondernemen, de wetgeving zal zich in dit geval waarschijnlijk niet zelf handhaven.

Per 25 mei is de GDPR officieel geforceerd in Europa, eerder bestond de wetgeving al wel, maar waren bedrijven niet verplicht om aan deze wetgeving te voldoen. Uit een grootschalig Amerikaans onderzoek is nu gebleken dat Facebook mogelijk in overtreding is met deze wetgeving. Het gebruikt namelijk telefoonnummers van zijn gebruikers zonder dat deze data inzichtelijk is. Daarbij gaat het om telefoonnummers die zijn opgegeven bij het gebruiken van tweetrapsauthenticatie, en het synchroniseren van telefoonnummers om andere vrienden ‘gemakkelijker’ te vinden.

De onderzoekers spreken van zogenoemde schaduwcontactinformatie, dit omdat de gebruikers waar de informatie aan gekoppeld is, nooit de data aan Facebook hebben verstrekt. In elk geval niet voor de doeleinden waar Facebook het voor wilt gebruiken: het verder personaliseren van advertenties. Het zou zomaar kunnen zijn dat je nooit een telefoonnummer aan Facebook hebt gegeven, maar dat er toch een telefoonnummer aan je account gekoppeld is. Dat kan gebeuren als iemand zijn contactenlijst heeft geüpload, waarna Facebook een match vindt met je persoonlijke informatie, en het nummer aan je account koppelt. Deze informatie is vervolgens een maand later beschikbaar voor adverteerders.

Geen lek naar adverteerders

Het gaat gelukkig niet om een lek van telefoonnummers naar adverteerders. Het werkt juist zo: mocht je telefoonnummer bij een adverteerder bekend zijn dan kan deze een match proberen te vinden in de database van Facebook om gericht advertenties te tonen. Als er dus schaduwcontactinformatie aan je account gekoppeld is, kan een adverteerder je gericht advertenties tonen zonder dat jij ervan af weet. Wat daar nog bovenop komt, is dat je de informatie ook niet in kan zien, nergens binnen de systemen van Facebook is voor de gebruiker in te zien of deze data door Facebook voor adverteerders aan je account gekoppeld is.

Daar gaat het Amerikaanse bedrijf dus de mist in, de socialmediagigant passeert de Europese GDPR. Gebruikers moeten te allen tijde inzicht hebben in hun data, of dit op kunnen vragen. Volgens de onderzoekers weigert Facebook om de data te verstrekken. Of het nu gaat om het gebruik van de tweetrapsauthenticatie telefoonnummers, als de schaduwcontactinformatie die via een ander account bij je eigen Facebookaccount terecht is gekomen. Facebook stelt dat de informatie die via een andere gebruiker bij je account terecht is gekomen, hoort bij de persoonlijke gegevens van de gebruiker die ze heeft geüpload en dus niet bij het account waar ze als schaduwcontact aan worden gekoppeld.

2FA-gegevens

Facebook heeft zelfs tegenover Gizmodo bevestigd dat de 2FA-gegevens gebruikt worden om gerichte advertenties aan te bieden. Als een gebruiker het daar niet mee eens zou zijn, kan het stoppen met het gebruiken van de tweetrapsverificatiemethode en switchen naar een andere tweede laag van beveiliging. Al met al weet Facebook zich te verschuilen achter een hoop algemene voorwaarden, al is het maar de vraag of deze de GDPR op zichzelf al dan niet overtreden. Voor nu is het afwachten of er Europese instanties zijn die actie gaan ondernemen, de wetgeving zal zich in dit geval waarschijnlijk niet zelf handhaven.

gdprontspanningovertreding

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!