Datalek: CheapTickets.nl lekt klantgegevens

Tweeëntwintig klachten na inzage gegevens op Facebook [Update reactie CBP]

Europees Parlement op de bres voor netneutraliteit

Max Schrems, een 24-jarige rechtenstudent uit Oostenrijk, diende een verzoek in bij Facebook tot inzage in de gegevens die over hem opgeslagen zijn. Het resultaat: 1.222 pagina’s met informatie van de afgelopen drie jaar. Daarin zat genoeg aanleiding om 22 klachten in te dienen bij de Ierse Data Protection Commissioner.  Hieronder lichten we een aantal punten uit dit opmerkelijke verhaal toe.

Inzageverzoek bij Facebook

Facebook heeft een speciale pagina voor het aanvragen van persoonlijke gegevens. Nadat Max Schrems zijn persoonlijke gegevens op deze manier had opgevraagd en daarna doorvroeg, kreeg hij een CD thuisgestuurd met daarop 1.222 pagina’s aan persoonsgegevens, waaronder statusupdates, recente activiteiten en wachtwoorden. Ook verwijderde vrienden en statusupdates van langere tijd geleden, die Schrems handmatig verwijderd had, bleken er tussen te staan.

Daarnaast bleek het overzicht met gegevens niet compleet te zijn: zo ontbrak bijvoorbeeld informatie over biometrische gegevens, uitnodigingen voor groepen of evenementen en tracking information die via sociale plug-ins wordt verkregen. Schrems nam opnieuw contact op met Facebook over de ontbrekende gegevens. Daarop kreeg hij een e-mail terug met de mededeling dat Facebook de gegevens niet wilde verstrekken. Facebook zegt dat dat niet hoeft als het onredelijk veel moeite kost of als daarmee handelsgeheimen bekend zouden worden.

Europese en Ierse regelgeving

Facebook is van oorsprong Amerikaans. Maar Facebookgebruikers buiten de Verenigde Staten en Canada hebben, door het accepteren van de Gebruiksvoorwaarden, een overeenkomst gesloten met het in Ierland gevestigde Facebook Ireland Limited. Dit houdt in dat het Europese en ook het Ierse recht van toepassing is. In de Ierse wetgeving is opgenomen dat elke betrokkene recht heeft op inzage in de gegevens die zijn verwerkt. Dit recht is afkomstig uit de Europese Privacyrichtlijn. De Ierse Data Protection Commisioner (de Ierse tegenhanger van het College bescherming persoonsgegevens) is belast met het toezicht op de naleving van de privacywetgeving in Ierland. Individuen die menen dat hun rechten geschonden zijn, kunnen een klacht indienen.

Nederlandse gebruikers kunnen met klachten ook terecht bij ons eigen College bescherming persoonsgegevens. Facebook is verantwoordelijk voor de verwerking van jouw persoonsgegevens en heeft een kantoor in Nederland. Ook is de Wet bescherming persoonsgegevens, waarvan de handhaving door het CBP gebeurt, gewoon van toepassing.

Onderzoek

Max Schrems richtte de groep Europe versus Facebook op en diende tweeëntwintig klachten in bij de Ierse Data Protection Commissioner. Schrems wijst er o.a. op dat door de gebruiker verwijderde informatie door Facebook bewaard wordt en het antwoord op het inzageverzoek onvolledig is. Inmiddels is er een onderzoek gestart naar de rechtmatigheid van de verwerking van persoonsgegevens op Facebook. De DPC publiceert eind dit jaar een rapport over de bevindingen van het onderzoek.

Transparantie en controle

De casus van Max Schrems maakt duidelijk dat transparantie over wat er met onze gegevens gebeurd nog ver te zoeken is. Alleen wie zich in zo’n inzageverzoek vastbijt krijgt misschien eens al zijn gegevens te zien. Daarnaast blijkt ook weer eens hoe weinig controle wij hebben over onze gegevens bij Facebook. Wie informatie van zijn profiel verwijdert, verwacht niet dat de informatie alleen maar is verstopt en ondertussen gewoon nog in de databank van Facebook staat. Facebook moet hier veel duidelijker zijn. Ook kun je je afvragen of je deze gegevens ooit volledig kunt laten verwijderen.

Uiteraard zijn wij erg benieuwd naar het rapport van de DPC. Wie zelf zijn persoonsgegevens wil opvragen bij Facebook, kan de handleiding op de website van Europe versus Facebook raadplegen of onze eigen, makkelijke Privacy Inzage Machine proberen. Mocht je een verzoek doen, we zijn benieuwd naar je ervaringen!

Update 4/11/2011:

Naar aanleiding van deze post kregen we een reactie van het CBP. “Een Europeaan die klachten heeft over Facebook, dient zich eerst tot Facebook zelf te wenden, online via een van de standaardformulieren
of op papier, via:
FACEBOOK IRELAND LIMITED
HANOVER REACH
5-7 HANOVER QUAY
DUBLIN 2
Ierland

Vooralsnog gaat het CBP ervan uit dat Facebook een vestiging heeft in Ierland, en dat derhalve Iers recht van toepassing is. Het CBP wacht de uitkomsten van het onderzoek van de Ierse collega-toezichthouder af, alvorens nader onderzoek te doen naar eventuele toepasselijkheid van het Nederlandse recht op de bescherming van persoonsgegevens.”

  1. sbax

    Beetje flauw hoor… iedereen weet toch dat Facebook 50 miljard waard is op basis van persoonsgegevens. Kan je beter nooit lid worden. Toch wens ik Max veel plezier met zijn eindeloze en niet te winnen gevecht.
    Misschien wint hij wel een aantal van zijn klachten maar Facebook is nu eenmaal een bedrijf dat zijn business case opgebouwd heeft rondom persoonsgegevens. Als je hier geen problemen mee hebt wordt je lid en als je meer op hebt met je eigen privacy wordt je geen lid.

  2. Leon

    Flauw? Facebook heeft zich gewoon aan de wet te houden.

  3. Theo

    Dat is waar, maar ze hebben zich natuurlijk wel aan de wet te houden. Overigens hebben ze ook als je geen lid bent meer informatie over je dan je misschien zou denken.

  4. sbax

    Wetten zullen hierbij altijd achter de feiten aanlopen. Denk je echt dat het bv. juridische aantoonbaar is dat Facebook achter de schermen nog geld verdient aan verwijderde gegevens? Ik bedoel dat ook Facebook hacker tactieken kan gaan toepassen.

    Open systemen (met vrijwillige controle van de community) zijn de enige oplossingen; niet wetten..

  5. Joost

    sbax, je zit er naast. Dit gevecht is bij voorbaat gewoonnen door de student. Of Facebook de zaak nu wint of verliest, ze lopen hoe dan ook enorme imagoschade, en ik denk niet dat het slecht op de CV van een rechtenstudent staat dat je op je 24e eigenhandig in de clinch gaat met een miljardenbedrijf. Facebook kan deze zaak niet winnen, Max kan deze zaak niet verliezen.
    Daarbij heeft facebook zich net als elk ander bedrijf aan de wet te houden. Zoals Michael Moore ooit aan het publiek vroeg: “If enterprise is only about making profit, why doesn’t General Motors sell crack?”
    Het antwoord van het publiek was ook het vermelden waard: “Because the CIA has the market cornered.”

  6. John

    “Wie informatie van zijn profiel verwijdert, verwacht niet dat de informatie alleen maar is verstopt en ondertussen gewoon nog in de databank van Facebook staat. Facebook moet hier veel duidelijker zijn. ”
    .
    Precies. Er kunnen technische redenen zijn voor het niet verwijderen van bepaalde data. Ik kan me heel goed voorstellen dat dit het geval is bij het verwijderen van een Facebook vriend. Maar de doorsnee gebruiker is zich hier natuurlijk totaal niet van bewust.

  7. Ben

    Iemand moet de eerste zijn die het uitzoekt. Max lijkt met zijn website een goede om dat te doen en ik hoop dat het lukt alles boven water te krijgen.

  8. HoerenSloep

    http://europe-v-facebook.org heeft wel een facebook pagina… Bof trouwens ook.
    Beetje hypocriet

  9. Marjolein

    @HoerenSloep Vond ik ook heel typisch inderdaad, bovenaan de pagina reclame maken om lid te worden van hun Facebookpagina… :’)

  10. Fofo

    Niets hypocriet aan. De revolutie komt van binnenuit nietwaar 🙂 Ben overigens zelf met hetzelfde traject bezig.

  11. J

    Misschien toch maar eens uit gaan zoeken; ik ben sinds 2009 of zo geen lid meer van facebook. Zou ik nu nog steeds informatie kunnen opvragen? En zou facebook die nog hebben?

  12. Serge

    En wie wil hetzelfde gaan doen met LinkedIn?

  13. Serge

    @Hoerensloep, Marjolein en Fofo: waarom vragen jullie niet eerst naar de overwegingen van BoF om ook actief te zijn op Facebook (ipv direct tot een oordeel te komen)? Daar ben ìk wel eens benieuwd naar (maar toe dat ik ook wat lui ben als ik al kan vinden op de BoF-site).

  14. Marjolein

    Ik doelde op de pagina Europe v. Facebook, niet op BoF.

  15. erick

    Heel mooi

    Want als je het internet terugtraced naar het aller eerste begin dan mag het duidelijk zijn dat internet ook voor veel andere dingen kan worden gebruikt.

  16. maarten

    In hoeverre is FB wettelijk verplicht om gegevens te bewaren ihkv. de dataretentie richtlijn van de EU? (opslag van communicatiegegevens, “ten behoeve van opsporing van terreur”)

  17. gj

    Beetje naïef om te denken dat Facebook gegevens die jij “verwijdert” ook daadwerkelijk vernietigd. Zonder goede reden (zoals wetgeving, of hoge kosten) zal een social medium nooit gegevens echt verwijderen, want die gegevens zijn hun grootste (indirecte) bron van inkomsten. Dat geldt dus ook voor alle instellingen die je wijzigt, wanneer en van waar je inlogt, alle foto’s die jij er ooit op hebt geplaatst, etc. En dus ook wanneer jij besluit je account bij Facebook te beëindigen. Je moet er vanuit gaan dat zo’n bedrijf jouw informatie en informatie over jou soms/vaak tot het einde der tijden bewaart.

  18. R

    @J Reken maar dat Facebook jouw data nog heeft. Persoonlijk heb ik om privacy redenen geen Facebook-profiel, maar ik krijg wel herinneringen van Facebook waarin zij netjes alle mensen die wel met mij zouden willen linken bundelen. Kortom, Facebook heeft al een profiel voor mij gereserveerd dat telkens wordt aangevuld, en ik hoef ‘m alleen nog maar te activeren als ik er zelf ook iets mee wil.

  19. Homer

    Pfff, get a life!

  20. ali taalpurist

    De casus van Max Schrems maakt duidelijk dat transparantie over wat er met onze gegevens gebeurd nog ver te zoeken is.
    Gebeurt is met een t, in dit geval.

  21. HB

    @gj natuurlijk verwijderen ze die niet. Het is niet voor niks dat de NSA/CIA indirect één van de groterere inversteerders zijn…..

    kijk als zij bij mensen aan de deur komen om die gegevens op te vragen met als doel ze in een database te stoppen zullen veel mensen deze gegevens niet afstaan. Maar noem het social media en mensen worden in een naief…… NSA/CIA vind dit prachtig want zij krijgen rechten om door deze informatie te gaan grasduinen……

  22. Robbin

    Het is toch logisch dat FB deze gegevens bewaard. En wat denk je van alle andere bedrijven en dan met name multinationals. Als jij je hebt ingeschreven voor de nieuwsbrief en je vervolgens weer uitschrijft, dan heeft dat bedrijf echt nog wel ergens jouw e-mail adres. Dit werkt hetzelfde met FB, alleen dan in veel grote maten. En mensen, jullie maken toch allemaal ZELF een FB account aan? Dan mag je toch niet zeuren? Als je echt dach dat FB alles zou verwijderen, dan ben je wel heel goed gelovig. Of minder slim.

  23. Marjolein

    Het gaat er niet om of je zelf zo’n profiel aanmaakt of niet, het gaat er om dat er bepaalde wettelijke verplichtingen zijn die de aanbieder van een sociaalnetwerksite heeft en die zijn er niet voor niets. Die zijn er om de consument in bescherming te nemen en bepaalde garanties te bieden. Als zo’n aanbieder de wet aan zijn laars lapt, moet dáár iets aan gedaan worden. Natuurlijk meld je je zelf aan, maar je zou er wel vanuit mogen gaan dat men zich aan de regels houdt.

  24. The Circle: werkelijkheid of science fiction? | Marieke van Stigt

    […] De privacyperikelen rondom Facebook zijn een veelbesproken onderwerp. In 2011 kwam hier een treffend voorbeeld bij. Max Schrems, een 24-jarige rechtenstudent uit Oostenrijk, diende een verzoek in bij Facebook […]

  25. vanstraelen rohnny

    Internet fraude / schending privacy Beroep tegen uitgeschakeld account
    Geachte ,

    Wil jullie erop wijzen dat deze account nog steeds actief is na tientallen klachten.
    Dit account betreft mijn identiteit en heb vandaag bijkomende klachten neergelegd
    bij de Politie voor schending privacy en internet fraude.
    Gelieve dit account onmiddellijk offline te halen daar deze gehackt is.
    https://www.facebook.com/Your.Car.Agents?fref=ts
    in bijlage nogmaals mijn paspoort en koppie eerste klacht .
    zo heb ik met BEWIJS van mijn paspoort klachten gestuurd naar facebook. . ondertussen zijn er 6 maanden mee bezig een nieuwe account word verwijderd als reden nepnaam

  26. Just a little advice – Perspective Minds

    […] maar aan facebook, actueel werd de privacy-zaak door Max Schrems gestart. Een proces waarbij het echt gaat om welke persoonlijke data organisaties verzamelen en wat […]

Laat een reactie achter op vanstraelen rohnny Reactie annuleren

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.