Achtergrond

Dit moet je weten over het verzamelen van gebruikersdata

Het Britse bedrijf Strategic Communication Laboratories (SCL) en zijn politieke tak Cambridge Analytica zijn afgelopen week door Facebook geschorst omdat zij op grote schaal misbruik maakten van verzamelde gebruikersdata.

Vorig weekend bleek dat in 2015 op deze manier de gegevens van 87 miljoen Facebook-gebruikers zijn misbruikt. Hoe zit het eigenlijk met de bescherming van dit soort gegevens online?

In het geval van SCL en Cambridge Analytica werden data bemachtigd via een app genaamd 'thisisyourdigitallife' op Facebook. Daarmee konden gebruikers tegen een vergoeding een persoonlijkheidstest uitvoeren, met als voorwaarde dat de resultaten voor academisch onderzoek werden gebruikt. Honderdduizenden mensen deden mee.

De app verzamelde echter ook gegevens van Facebook-profielen van deelnemers. Ook data van vriendenlijsten werd binnengehaald, waardoor tientallen miljoenen dataprofielen van gebruikers samengesteld konden worden.

Politieke campagnes

De verzamelde gegevens zouden zijn ingezet bij de verkiezingscampagne van de Amerikaanse president Donald Trump. De data werden daarbij vermoedelijk gebruikt om gerichte, politieke reclames te tonen die effectief zouden zijn bij bepaalde groepen mensen.

"Op Facebook kunnen gegevens verzameld worden, zodat een politieke campagne effectief gevoerd kan worden, dat is op zichzelf niet nieuw", zegt Gerrit-Jan Zwenne, Hoogleraar Recht en de Informatiemaatschappij aan de Universiteit Leiden en advocaat in Amsterdam.

"Het campagneteam van Obama werd hierom zelfs geprezen. Het verschil is dat het toen niet stiekem gebeurde. In het geval van Cambridge Analytica lijkt het erop dat Facebook de gebruikers niet heeft duidelijk gemaakt waarvoor de gegevens werden gebruikt. En dan mag het niet."

Voor de presidentscampagne van Obama schreven een miljoen aanhangers zich in voor een Facebook-app. Daarmee gaven ze het campagneteam toestemming om vriendenlijsten te bekijken. Potentiële Obama-stemmers konden vervolgens meer advertenties verwachten die stemmen voor Obama probeerden te winnen.

Betrokkenen zeggen zich altijd aan de regels van Facebook te hebben gehouden en nooit data met derde partijen te hebben gedeeld.

Dataverzameling online

Op internet is het verzamelen van gegevens niet nieuw. "Er mag heel veel", zegt Pauline Gras van de Autoriteit Persoonsgegevens. "Maar het moet wel altijd een grondslag hebben; een reden om de gegevens te verwerken."

Veel data worden via 'cookies' bemachtigd. Dit zijn kleine bestanden die een website op de computer of telefoon van de gebruiker kan plaatsen. Cookies lezen het websitebezoek van een gebruiker af. Dit gebeurt niet alleen op Facebook, maar op de meeste sites.

Sommige cookies kunnen ook bezoeken aan andere websites uitlezen en verwerken. Het gaat dan om zogeheten 'tracking cookies'.

De informatie kan worden gebruikt om persoonlijke interesses van de gebruiker in kaart te brengen. Op die manier tonen organisaties hun bezoekers advertenties die specifiek op hen zijn gericht. Zoekt de gebruiker naar schoenen op de ene site, dan is de kans groot dat ze terugkomen in een advertentie op een andere pagina.

Cookiemeldingen

De vraag is of het voor gebruikers duidelijk genoeg is wat er van hen wordt verzameld. "Cookies zijn Nederland vrij strak geregeld", zegt Zwenne. "Mensen geven zelf toestemming en kunnen als het goed is doorklikken om te zien wat er met hun gegevens wordt gedaan."

De cookiemeldingen voldoen meestal wel aan de eisen, maar of ze daadwerkelijk worden gelezen, is natuurlijk de vraag. "De meeste internetgebruikers klikken alles ongelezen weg."

"Gebruikers hebben vaak geen idee hoeveel er wordt verzameld", zegt ICT-jurist Arnoud Engelfriet. "Het is best complex hoe data worden verzameld en worden gebruikt om advertenties te tonen."

Strengere regels

Op dit moment hebben Europese lidstaten hun eigen nationale wetten die online privacy vormgeven. In Nederland is dat de Wet bescherming persoonsgegevens (Wbp). Per 25 mei geldt de Algemene verordering gegevensbescherming (AVG). Vanaf dan is de privacywetgeving in heel Europa gelijk.

"In de AVG staat dat organisaties gegevens alleen mogen verzamelen voor een welbepaald, uitdrukkelijk omschreven gerechtvaardigd doel", zegt Gerrit-Jan Zwenne. Dat klinkt wat vaag, maar "dit soort open normen zijn in het privacyrecht gebruikelijk. De regels moeten in de praktijk worden geconcretiseerd."

Die rechtsontwikkeling op het gebied van privacy kost tijd. "De toezichthouder Autoriteit Persoonsgegevens (AP) heeft tot dusver geen boetes opgelegd", stelt Zwenne. "Meestal wordt een overtreding opgelost met een handhavingsactie in de vorm van een last onder dwangsom. Een gevolg daarvan is dat de vage wettelijke normen maar mondjesmaat worden ingevuld."

Volgens de AP wordt het vanaf 25 mei gemakkelijker om boetes op te leggen dankzij de nieuwe regels. "Maar een boete is nooit het instrument op zich", zegt de woordvoerder. "Het belangrijkste is dat het probleem wordt opgelost."

Met de AVG wordt transparantie belangrijker. "Gebruikers moeten er duidelijk op zijn gewezen wat er verzameld wordt, van wie en wanneer", zegt Engelfriet. "Daarnaast moet de reden duidelijk worden toegelicht."

Excuses

Bij Cambridge Analytica ging het mis, omdat gebruikers niet specifiek toestemming gaven voor datadeling voor inzet bij politieke campagnes. Vrienden van deelnemers wisten helemaal van niets.

Facebook-directeur Mark Zuckerberg maakte afgelopen week excuses aan gebruikers. "Wij hebben een verantwoordelijkheid om de data van gebruikers te beschermen", zei hij in een interview met CNN. "Als we dat niet kunnen, verdienen we de kans niet om mensen te dienen."

Zuckerberg zei dat Facebook open zou staan voor regulering van overheden. "Maar eigenlijk gebeurt dat al", zegt Arnoud Engelfriet. "Ook in Europa zijn gewoon regels waar bedrijven zich aan moeten houden."

Reguleren

Hoe Facebook-regulatie eruit zou moeten zien, is onduidelijk. "Ga je als overheid zeggen dat er geen gebruikersprofielen meer gemaakt mogen worden op basis van verzamelde gegevens?", stelt Engelfriet. "Dan verbied je een bedrijfsbeleid en dat heeft een behoorlijke impact. De overheid moet vooral kijken wat de behoefte van gebruikers en organisaties zijn, wat de problemen zijn en daar een balans in zoeken."

"Reguleren lijkt de aangewezen weg, maar we moeten oppassen voor de reflex dat alles met meer regelgeving en toezichthouders is op te lossen", zegt Zwenne. "Het zijn geen tovermiddelen waarmee alle problemen worden opgelost. Het kan verstandig zijn om eerst te te kijken of de huidige regels goed worden nageleefd en gehandhaafd. Maar verdergaande regulering kan misschien wél een bijdrage leveren aan de oplossing van dit soort problematiek."

"Als voorbeeld stel ik wel eens de vraag hoe hard Max Verstappen zou rijden zonder remmen op zijn auto. Ik vermoed niet zo hard. In dit geval zijn de remmen de regulering: als ze er niet zijn, moet er extra voorzichtig worden gereden. Met goede regulering weet iedereen waar men aan toe is. Als het gaat om privacy geldt dat ook voor ondernemingen en overheden."

Facebook-data

Facebook heeft gezegd apps te gaan onderzoeken die toegang hadden tot grote hoeveelheden informatie. Ook gaat het bedrijf toegang tot gegevens lastiger maken. Als een app bijvoorbeeld drie maanden niet wordt gebruikt, dan wordt de toegang die ontwikkelaars tot gebruikersgegevens hebben, geblokkeerd.

Gebruikers kunnen zelf ook instellen welke data ze delen. Via de optie 'Apps' in de instellingen van Facebook is het mogelijk om toestemming van gekoppelde apps te ontzeggen.

"Via het privacycenter van Facebook kun je veel informatie over jezelf vinden", zegt Engelfriet. "Daar kun je jouw hele profiel, inclusief likes en comments, uitlezen. En gebruik je Facebook alleen nog maar om te kijken wie er jarig is, overweeg dan toch eens om je account te verwijderen. Dat kan namelijk op veel andere manieren."

Tip de redactie