FTC: megaboete voor Facebook na overtreden privacywetgeving
Sinds het Cambridge Analytica-schandaal in 2016 ligt Facebook onder vuur voor de manier waarop het met de privacy van zijn gebruikers omgaat. Het bleek voor ontwikkelaars van apps angstvallig gemakkelijk om allerhande data te verzamelen, soms zelfs van vrienden van de gebruiker waaraan de app was gekoppeld. Het bedrijf zat de afgelopen tijd flink onder de plak van de Federal Trade Commission (FTC) voor de onderhandelingen over een aanstaande miljardenboete. In Q1 stond er een vermelding van in de kwartaalcijfers, al valt de boete nu zelfs twee miljard dollar hoger uit dan in eerste instantie verwacht. Facebook mag na de rechtszaak zo’n vijf miljard aan de FTC overmaken.
Na meer dan één jaar van onderzoek heeft de FTC de casus over Facebook eindelijk afgerond. Tijdens het onderzoek is er uiteraard aandacht geweest voor het Cambridge Analytica-schandaal, maar daar bleef het bij lange na niet bij. De Amerikaanse handelswaakhond heeft namelijk ook zijn aandacht op de andere (privacy)vergrijpen van Facebook gelegd. Alles bij elkaar heeft geleid tot de boete van vijf miljard dollar, de hoogste boete die de FTC ooit heeft uitgereikt. Voor het Amerikaanse bedrijf is de kous echter niet afgedaan met de boete, ze worden namelijk verplicht om aan de FTC te gaan bewijzen dat ze gaan werken aan hun privacybeleid. Dat geldt niet alleen voor Facebook, maar ook voor WhatsApp en Instagram.
Meerdere vergrijpen
Cambridge Analytica was voor de FTC het praktijkvoorbeeld voor hoe een bedrijf niet met de privacy van zijn gebruikers om moest gaan. Met het schandaal bleek immers dat het voor ontwikkelaars te gemakkelijk was om data te verzamelen via Facebook. Daarbij bleek ook nog eens dat het niet altijd om data van de gebruikers zelf ging, ook data van vrienden werd verzameld. Ook bleek dat Facebook de ontwikkelaars niet (voldoende) zou screenen alvorens ze toegang kregen tot de zeer waardevolle gebruikersdata. Facebook geeft aan wel degelijk te screenen, maar dat zou volgens de FTC weinig tot geen effect hebben. Mocht het bedrijfsresultaat in een zaak zwaarder hebben gewogen, dan zou het ervoor kiezen om ontwikkelaars alsnog toegang te geven tot de data, in plaats van ze te blokkeren.
Verder bleek dat Facebook niet altijd even eerlijk was over de data die het uitgaf aan ontwikkelaars. Zo kon een gebruiker via de ‘Privacy checkup’ weliswaar de toegang voor ontwikkelaars ontzeggen, maar dat verzekerde voor de gebruiker nog niet dat er geen data van vrienden (of zijn eigen account) werd gedeeld. Opvallend is dat Facebook in 2014 heeft afgesproken dat ontwikkelaars geen informatie van vrienden meer via Facebook konden verkrijgen. Niets minder bleek waar, want het bedrijf zou dit tot aan het midden van 2018 nog (deels) hebben toegestaan. Ten slotte is de FTC ‘not amused’ over de manier waarop het Amerikaanse sociale medium om is gegaan met telefoonnummers in combinatie met adverteerders. Nummers die gebruikers voor 2FA hadden ingevuld, werden vervolgens ‘gedeeld’ met advertentieproviders, zonder dat gebruikers van deze praktijken op de hoogte waren.
Streep door privacybeleid
Voor Facebook zit de grootste wijziging in het aanstellen van een nieuw bestuursorgaan dat zich zal richten op de privacy-aspecten. In deze commissie zitten leden die benoemd zullen worden door een onafhankelijke commissie. Leden van het nieuwe bestuursorgaan kunnen volledig onafhankelijk te werk gaan en kunnen enkel ontslagen worden als de gehele Raad van Bestuur instemt. Om door het hele bedrijf de privacymaatregelen in de gaten te houden, zal elke afdeling worden voorzien van een ‘compliance officer’. Deze medewerkers zullen het bedrijf op een lager niveau in de gaten houden en brengen constant rapportages uit aan de FTC, om het beleid goed in te gaten te kunnen houden.
Verder mag Facebook zijn hele bestaande privacybeleid opnieuw opbouwen. Het gaat onder andere om de manier waarop Facebook data met ontwikkelaars deelt, maar ook het delen van nummers met adverteerders moet veranderen. Daarnaast is Facebook op de vingers getikt voor het onveilig opslaan van wachtwoorden. Recent kwam nog naar buiten dat wachtwoorden van zowel Facebook als Instagram voor een deel in plain tekst waren opgeslagen. Uiteindelijk verkrijgt de FTC zo een hoop extra macht binnen het grootste sociale medium wereldwijd, nu is het alleen nog te hopen dat alle maatregelen het privacybeleid ook daadwerkelijk waterdicht zal maken. Voor Facebook zit er in elk geval een flinke klus aan te komen; tevens een belangrijke, voor alle gebruikers van het blauwe medium.
Sinds het Cambridge Analytica-schandaal in 2016 ligt Facebook onder vuur voor de manier waarop het met de privacy van zijn gebruikers omgaat. Het bleek voor ontwikkelaars van apps angstvallig gemakkelijk om allerhande data te verzamelen, soms zelfs van vrienden van de gebruiker waaraan de app was gekoppeld. Het bedrijf zat de afgelopen tijd flink onder de plak van de Federal Trade Commission (FTC) voor de onderhandelingen over een aanstaande miljardenboete. In Q1 stond er een vermelding van in de kwartaalcijfers, al valt de boete nu zelfs twee miljard dollar hoger uit dan in eerste instantie verwacht. Facebook mag na de rechtszaak zo’n vijf miljard aan de FTC overmaken.
Na meer dan één jaar van onderzoek heeft de FTC de casus over Facebook eindelijk afgerond. Tijdens het onderzoek is er uiteraard aandacht geweest voor het Cambridge Analytica-schandaal, maar daar bleef het bij lange na niet bij. De Amerikaanse handelswaakhond heeft namelijk ook zijn aandacht op de andere (privacy)vergrijpen van Facebook gelegd. Alles bij elkaar heeft geleid tot de boete van vijf miljard dollar, de hoogste boete die de FTC ooit heeft uitgereikt. Voor het Amerikaanse bedrijf is de kous echter niet afgedaan met de boete, ze worden namelijk verplicht om aan de FTC te gaan bewijzen dat ze gaan werken aan hun privacybeleid. Dat geldt niet alleen voor Facebook, maar ook voor WhatsApp en Instagram.
Meerdere vergrijpen
Cambridge Analytica was voor de FTC het praktijkvoorbeeld voor hoe een bedrijf niet met de privacy van zijn gebruikers om moest gaan. Met het schandaal bleek immers dat het voor ontwikkelaars te gemakkelijk was om data te verzamelen via Facebook. Daarbij bleek ook nog eens dat het niet altijd om data van de gebruikers zelf ging, ook data van vrienden werd verzameld. Ook bleek dat Facebook de ontwikkelaars niet (voldoende) zou screenen alvorens ze toegang kregen tot de zeer waardevolle gebruikersdata. Facebook geeft aan wel degelijk te screenen, maar dat zou volgens de FTC weinig tot geen effect hebben. Mocht het bedrijfsresultaat in een zaak zwaarder hebben gewogen, dan zou het ervoor kiezen om ontwikkelaars alsnog toegang te geven tot de data, in plaats van ze te blokkeren.
Verder bleek dat Facebook niet altijd even eerlijk was over de data die het uitgaf aan ontwikkelaars. Zo kon een gebruiker via de ‘Privacy checkup’ weliswaar de toegang voor ontwikkelaars ontzeggen, maar dat verzekerde voor de gebruiker nog niet dat er geen data van vrienden (of zijn eigen account) werd gedeeld. Opvallend is dat Facebook in 2014 heeft afgesproken dat ontwikkelaars geen informatie van vrienden meer via Facebook konden verkrijgen. Niets minder bleek waar, want het bedrijf zou dit tot aan het midden van 2018 nog (deels) hebben toegestaan. Ten slotte is de FTC ‘not amused’ over de manier waarop het Amerikaanse sociale medium om is gegaan met telefoonnummers in combinatie met adverteerders. Nummers die gebruikers voor 2FA hadden ingevuld, werden vervolgens ‘gedeeld’ met advertentieproviders, zonder dat gebruikers van deze praktijken op de hoogte waren.
Streep door privacybeleid
Voor Facebook zit de grootste wijziging in het aanstellen van een nieuw bestuursorgaan dat zich zal richten op de privacy-aspecten. In deze commissie zitten leden die benoemd zullen worden door een onafhankelijke commissie. Leden van het nieuwe bestuursorgaan kunnen volledig onafhankelijk te werk gaan en kunnen enkel ontslagen worden als de gehele Raad van Bestuur instemt. Om door het hele bedrijf de privacymaatregelen in de gaten te houden, zal elke afdeling worden voorzien van een ‘compliance officer’. Deze medewerkers zullen het bedrijf op een lager niveau in de gaten houden en brengen constant rapportages uit aan de FTC, om het beleid goed in te gaten te kunnen houden.
Verder mag Facebook zijn hele bestaande privacybeleid opnieuw opbouwen. Het gaat onder andere om de manier waarop Facebook data met ontwikkelaars deelt, maar ook het delen van nummers met adverteerders moet veranderen. Daarnaast is Facebook op de vingers getikt voor het onveilig opslaan van wachtwoorden. Recent kwam nog naar buiten dat wachtwoorden van zowel Facebook als Instagram voor een deel in plain tekst waren opgeslagen. Uiteindelijk verkrijgt de FTC zo een hoop extra macht binnen het grootste sociale medium wereldwijd, nu is het alleen nog te hopen dat alle maatregelen het privacybeleid ook daadwerkelijk waterdicht zal maken. Voor Facebook zit er in elk geval een flinke klus aan te komen; tevens een belangrijke, voor alle gebruikers van het blauwe medium.