Het Hamburgse bureau dat over privacy en de beveiling van gegevens gaat, neemt juridische stappen tegen Facebook. Dat maakte jurist en professor Johannes Caspar, tevens verbonden aan de universiteit van Hamburg, bekend namens het Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit.
De kritiek van Caspar is gericht op het langdurig bewaren en voor marketingdoeleinden gebruiken van gegevens van personen die geen lid zijn van het online netwerk. Facebook verzamelt die gegevens bijvoorbeeld via de functies om contactpersonenbestand te uploaden of toegang te geven tot die bestanden door de logingegevens van een e-mailaccount in te vullen. Dat maakt het gebruikers makkelijk om personen met wie ze al contact hebben toe te voegen aan hun contactenlijst op de website.
Zelf ben ik altijd wat huiverig geweest bij het gebruiken van geautomatiseerde mogelijkheden om contacten te importeren op online netwerksites als LinkedIn of Facebook. Lang niet iedereen waar ik ooit contact mee heb gehad per e-mail wil ik namelijk tevens opnemen in mijn contactenbestand op de genoemde sites. Denk aan de klantenservice van bedrijven waar ik diensten en/of producten heb afgenomen of wellicht een als minder prettig ervaren e-mailcontact. Niet direct contacten waarmee ik mijn persoonlijke berichten en eventueel foto's wil delen op Facebook.
Toch ontvang ik regelmatig verzoeken om gelinkt te worden met vage bekenden op netwerksites en meestal gaat het dan hoogstwaarschijnlijk om geautomatiseerd verzonden berichten, gebaseerd op een geïmporteerd contactenbestand. Ik geloof niet dat iedereen die dergelijke verzoeken stuurt ook op de hoogte is van het versturen van die berichten. Dit onderdeel wordt namelijk vaak slinks in het registratieproces verwerkt, zodat het lijkt alsof het een verplichte stap van de aanmelding bij een netwerksite betreft. Enkel door oplettendheid bij de registratie kan er vaak in een hoekje worden geklikt op een tekst als 'Sla deze stap over'.
Onnauwkeurig van de gebruikers zelf, kan je zeggen. De netwerksite presenteert iets als een gebruikelijke stap binnen het proces en de doelgroep doorloopt alle stappen netjes zonder daarbij goed op te letten. Net zo eenvoudig als men tegenwoordig instemt met algemene voorwaarden door een vinkje te zetten zonder de inhoud te lezen. Hieruit blijkt nog het een en ander aan voorlichting nodig te zijn, mogelijk vanuit de overheid, om consumenten bewuster te maken van de gevolgen van het gebruik van online netwerken. Mijns inziens ligt hier echter niet alleen een verantwoordelijkheid bij de gebruiker, maar ook bij de aanbieder van het platform. De mogelijkheid een stap waarbij contactgegevens worden geïmporteerd over te slaan moet niet dusdanig verstopt zijn dat het een verplichting lijkt wél gegevens te importeren.
De klacht van Caspar gaat met name over het gebruik door Facebook van contactgegevens van niet-leden die in geïmporteerde contactenbestanden stonden. De enkele opslag daarvan door Facebook zelf, dus los van haar leden, kan al strijdig zijn met de privacywetgeving. Zouden die niet-leden ook nog eens direct benaderd worden door Facebook zelf met marketingdoeleinden terwijl ze daar geen toestemming voor hebben verleend, dan zou dat bovendien een strijdigheid met het spamverbod opleveren. Verdere details van de inbreuken die Caspar meent te hebben ontdekt zijn helaas niet vrijgegeven en het is dus nog niet geheel duidelijk op welke manier Facebook de gegevens van niet-leden gebruikt zou hebben voor marketingdoeleinden. En waren die acties gericht op leden of niet-leden van Facebook?
Relevante vragen waar de komende maand mogelijk meer duidelijkheid over komt van Facebook zelf. Het instituut waar Caspar werkzaam is heeft aangegeven de reactie van Facebook af te wachten. Is er op 11 augustus 2010 nog geen reactie naar volle tevredenheid, dan staat Facebook verdere stappen en mogelijk boetes te wachten.
