De storm rond Facebook en Cambridge Analytica gaat voorlopig niet liggen. Wij vroegen experts hoe zij naar deze zaak kijken en wat dit voor Facebook in de toekomst zal betekenen. Kris Poté, vice president bij Cap Gemini, Rudolf de Schipper, projectmanager bij Unisys, Mats Ros, security officer bij QNH, Ron van Wieringen, managing consultant bij GX Software, Marc Vael, ciso bij Esko en Ady Van Nieuwenhuize, advocate bij het Amsterdamse kantoor FieldFisher geven hun ongezouten mening over de discussie rond Facebook en Cambridge Analytica.
Voor wie de voorbije dagen op een andere planeet doorbracht, misschien nog snel even een samenvatting van de zaak. De bal ging vorige week aan het rollen toen de kranten The Guardian, The Observer en The New York Times het nieuws brachten dat het van oorsprong Britse bedrijf Cambridge Analytica toegang had tot persoonlijke gegevens van tientallen miljoenen Facebook-gebruikers. Het bedrijf zou die gegevens onrechtmatig ingezet hebben in de laatste Amerikaanse presidentsverkiezingen, om president Trump aan de overwinning te helpen. Kiezers kregen, op basis van de data die via Facebook werd binnengehaald, zeer gerichte, persoonlijke advertenties te zien ten voordele van The Donald. De hele zaak werd aan het licht gebracht door een voormalige medewerker van Cambridge Analytics: Christopher Wylie, die de rol van klokkenluider op zich nam.
Vooral de manier waarop Cambridge Analytica de gegevens in handen kreeg, doet wenkbrauwen fronsen. Het bedrijf betaalde een paar honderdduizend mensen enkele dollars om een app te installeren waarmee gepeild werd naar hun persoonlijke en politieke voorkeuren, zogenaamd voor academisch onderzoek. Wat die mensen echter niet wisten: de app sluisde ook alle informatie van hun Facebook-vrienden mee weg, waardoor plots de gegevens van vijftig miljoen mensen in handen kwamen van Cambridge Analytica. Opmerkelijk: Facebook was op de hoogte van de hele operatie en heeft zo goed als geen actie ondernomen om een en ander tegen te houden. De twee partijen (Facebook en Cambridge Analytica) schuiven nu ook de Zwarte Piet naar elkaar door.
Veel vragen
De zaak roept heel wat vragen op en er zijn nog altijd zaken die niet duidelijk zijn. Welke gegevens Cambridge Analytica exact in handen had, bijvoorbeeld. Ook de vraag of er nu strafbare zaken zijn gebeurd, is niet zo eenduidig te beantwoorden. In strictu sensu is er immers geen datalek geweest: de gegevens werden immers niet echt ‘gestolen’. Wie (en of) er nu strafbare zaken heeft gepleegd, is dus maar de vraag.
Ook onze specialisten geraken er niet helemaal uit. ‘Strafbaar hangt uiteraard af van de wetgeving, en onder dewelke je valt’, zegt Kris Poté. ‘Dit gebeurde in de Verenigde Staten, door een bedrijf gevestigd in het Verenigd Koninkrijk. In eerste instantie moet dus naar die wetgeving gekeken worden. In België zou dit alvast al vallen onder de wet op de privacy of de persoonlijke levenssfeer, en zou de privacy-commissie wellicht wel een verkennend onderzoek opstarten, vermoed ik. Voer dus voor gespecialiseerde advocaten.’
‘Facebook heeft in zijn servicevoorwaarden goed en duidelijk uitgeschreven de data van gebruikers op verschillende manieren met andere partijen te delen, onder meer voor wetenschappelijk onderzoek zoals de ontvangers van de data beweerden’, zegt Mats Ros. ‘Gebruikers geven hier toestemming voor. Het ontvangen van de data moest echter voorafgaan aan een overeenkomst betreffende gegevensbescherming. Facebook schrijft in zijn privacy-voorwaarden: ‘Deze partners moeten zich houden aan een strikte geheimhoudingsplicht op een manier die in overeenstemming is met dit Gegevensbeleid en de overeenkomsten die we met hen aangaan.’ Dit houdt in dat Facebook snel zou moeten kunnen weerleggen dat ze vanuit hun kant een overeenkomst hebben getekend.’
Volgens Ron van Wieringen is er zelfs volstrekt niks onwettigs gebeurd. En zijn Facebook noch Cambridge Analytica strafbaar. ‘Voor zover ik weet heeft Cambridge gerichte advertenties geplaatst geheel volgens de methode die andere bedrijven via Facebook ook gebruiken. Het feit dat er een politieke boodschap in de advertenties stond, zorgt nu voor ophef. Althans, zorgt voor negatieve reframing (‘beïnvloeding van de verkiezingen’) die naar mijn mening nogal overtrokken is. Uiteraard zijn er ook ernstiger dingen gebeurd met fake news en opruiing, maar daar gaat het nu niet over. Volgens mij zijn hier geen wetten overtreden.’
Marc Vael is het daar niet mee eens: ‘De huidige EU-privacywetgeving verbiedt dergelijke praktijken, maar er dienen formele klachten ingediend te worden en dat lijkt te gebeuren door Facebook aandeelhouders en door Engelse autoriteiten. In het Verenigd Koninkrijk gaat de Britse datawaakhond de werking van Cambridge Analytica van nabij onderzoeken. De Britse overheid wil zelf het bedrijf doorlichten, nadat Facebook aanvankelijk een eigen team naar Cambridge Analytica had gestuurd. Er is Facebook nu gevraagd zijn eigen onderzoekers uit Londen weg te halen. Huidige EU-privacy directive maakt dat beide organisaties nu al vervolgbaar zijn.’
‘Er zal hoogstwaarschijnlijk wel iets in de gebruiksvoorwaarden van Facebook staan waardoor je je akkoord stelt dat gegevens met derden gedeeld worden’, legt Ady Van Nieuwenhuizen uit. ‘Het begrip ‘derden’ is sowieso al heel breed, maar de vraag is natuurlijk op het legaal was op de manier dat het nu gebeurd is. Het is volgens mij ook nog niet zonneklaar wie nu eigenlijk de overtreding begaan heeft. Is het een zaak tussen Facebook en zijn gebruikers? Of tussen Facebook en Cambridge Analytica?’
Gekrakeel in de pers
Binnen minder dan twee maanden gaat in Europa de GDPR van kracht. Zou dit een breekijzer geweest kunnen zijn om dit soort praktijken tegen te houden? ‘Dat is naar mijn mening een duidelijke zaak’, aldus Rudolf De Schipper. ‘Facebook houdt de gegevens van zijn gebruikers bij voor specifieke doeleinden. Het doorverkopen van die data hoort daar vermoedelijk niet bij. Moest Facebook toch toestemming verkrijgen van zijn gebruikers om hun data door te verkopen aan Cambridge Analytica, dan is de vraag wat dat bedrijf er mee kan en mag doen. Als Cambridge Analytica de gegevens koopt om er (illegaal) verkiezingen mee te manipuleren, lijkt me dat een duidelijk geval van ongeoorloofd gebruik onder de GDPR-wetgeving. Ik kan me immers heel moeilijk inbeelden dat een gebruiker expliciet toestemming geeft om zich te laten manipuleren.’
Andere specialisten zijn iets voorzichtiger en wijzen er op dat dit vooral een interessante test-case zou kunnen zijn. ‘Het verzamelen van de informatie via Facebook is volgens hun servicevoorwaarden toegestaan’, meent Mats Ros ‘Het doorgeven/verkopen aan externe partijen is tevens ook toegestaan, mits er een overeenkomst is aangegeven betreffende de gegevensbescherming en de gegevens voor een bepaald doel worden gebruikt. Het verzamelen en doorgeven is dus ook na 25 mei toegestaan. Als er na 25 mei persoonsgegevens behorende aan de Europese Unie misbruikt worden kan men zich op de GDPR beroepen. Er is echter nog geen jurisprudentie, dus wat er precies aan maatregelen kunnen worden genomen is niet bekend.’
‘Conform de GDPR zou Facebook vooraf moeten melden dat dergelijke reclames, gericht op specifieke doelgroepen, bestaan’, zegt Ron Van Wieringen. ‘Het is daarbij overigens nog maar de vraag of “politiek getinte reclame” een eigen ‘purpose’ zou zijn conform de GDPR. Immers, de afbakening van een ‘purpose’ staat niet duidelijk in de GDPR. Vervolgens moet expliciet, vooraf, toestemming worden gevraagd. Hoewel, veel partijen gokken nu op de mogelijkheden van ‘gerechtvaardigd belang’, ook Facebook zal dat wel gaan doen. Dat betekent dat ze de boodschappen gewoon nog steeds tonen, maar dat je kunt opteren tegen vervolgboodschappen (met een soort ‘opt-out’). Als Facebook, zoals ik verwacht, enige onderverdeling in de verschillende commerciële boodschappen gaat aanbrengen (immers, hoe groter je een ‘purpose’ maakt, hoe groter de kans op een weigering van de consument), dan zullen veel mensen geen toestemming geven voor politieke boodschappen. In de huidige Cambridge-case is niet duidelijk of de berichten getoond zijn aan mensen die daar niet van gediend waren. Logisch, want momenteel hoeft Facebook dat niet te vragen. Maar stel dat ze het na 25 mei toch doen, bij mensen die er niet om gevraagd hebben, dan is een kleine berisping van overheidswege wat ik verwacht. Met een korte ‘mea culpa’ door de heer Zuckerberg. Plus een hoop verongelijkt gekrakeel in de pers, dat wel.’
Ogen open gaan
Het vertrouwen in Facebook was door alle fake news-toestanden en de beschuldigingen van Russische inmenging in de verkiezingen al niet bijster groot. Wordt dit incident de ‘de stap te ver’ voor Zuckerberg en co?
‘Mochten alle gebruikers van sociale media ook echt bewust zijn dat hun geliefd medium eigenlijk berust op een commercieel model (er wordt door een heel beperkte groep mensen geld aan verdiend dus), dan zouden misschien enkele ogen open gaan’, zegt Kris Poté. ‘Misschien, want velen van ons trekken zich daar geen bal van aan. Neemt niet weg dat de eigenaars van sociale media-sites moeten waken over deontologische codes en moeten ingrijpen om hun medium beschaafd te houden. Daarin schieten ze vooralsnog te kort. Achter sociale media schuilen it-giganten die zouden moeten beantwoorden aan de (wettelijke) verplichtingen van klassieke mediabedrijven. Wie in de politieke klasse durft daar aan te beginnen?’
‘Het is mijn mening dat dit absoluut onvermijdelijk was’, zegt Mats Ros. ‘Facebook is buitensporig groot en verzamelt zo verschrikkelijk veel informatie dat misbruik niet is af te wenden. Of Facebook nu alle mogelijke maatregelen neemt om het af te schermen; het geheel valt in dezelfde categorie als hedendaagse digitale criminaliteit. Om het plat te zeggen: ‘Voordat je een lek kan dichten moet er eerst een gat zijn ontstaan.’ Het is maar een kwestie van tijd voordat het op een nog grotere schaal voorkomt dan nu naar buiten is gekomen. Ik denk ook dat de kan groot is dat Facebook hier mee wegkomt. Een groot gedeelte van de populus is gericht op functionaliteit en niet op privacy. Het is een “’het waait wel weer over mentaliteit.’ Al moet ik zeggen dat in mijn directe omgeving mensen wel meer bewust met data omgaan dat ze op het web zetten, ongeacht het medium.’
Ook Ron Van Wieringen voorspelt dit: ‘Het is eerder een klein stormpje in een glas water. Dit waait binnen een week over.’
Account verwijderen
Ady Van Nieuwenhuize wijst er op dat Facebook zelf ook wel voelt dat zijn populariteit aan het dalen is. ‘Getuige bijvoorbeeld de koerswijziging van enkele weken geleden waarbij het bedrijf aangaf dat het zijn algoritme gaat aanpassen, zodat ‘echte’ vrienden vaker in onze tijdlijn zullen opduiken. Voor het bedrijf komt het er dus nu op aan zo snel mogelijk aan damage control te doen en zo sterk mogelijk afstand te nemen van Cambridge Analytica. Voor hen is reputatieschade trouwens veel belangrijker dan een geldboete, want dat deert hen veel minder. Ik ben er trouwens ook niet zo zeker van of dit nu het einde is voor Facebook. Voor veel bedrijven bijvoorbeeld zijn zo’n belangrijke schakel geworden in hun klantencontacten dat ze er afhankelijk van zijn geworden.’
‘Alles zal afhangen van het publieke mea culpa van Mark Zuckerberg in combinatie met echte wijzigingen in het privacy gebruik van persoonsgegevens’, besluit Marc Vael. ‘Ik vrees wel dat dit een zware uppercut zal toebrengen aan het imago van Facebook wereldwijd: ik heb nog nooit zoveel artikels zien verschijnen in publieke fora over hoe je je Facebook-account kunt verwijderen.’
Waarom is men zo verbaasd? Het was toch al lang bekend dat Facebook hun gegevens aan de hoogste bieder verkocht? Men had juist een buitenlandse partij betrokken om binnenlandse wetgeving te omzeilen. Dat mag je zelfs ‘common practise’ noemen bij de grote Amerikaanse bedrijven. Dat er in dit geval zoveel stennis om wordt gemaakt is gewoon politiek theater.
GDPR gaat niets aan dit misbruik doen want op het moment dat mensen in hun naïviteit ergens toestemming voor geven betekend dat ze hun gegevens eindeloos op internet zal rondzweven en altijd wel bij schimmige partijen terecht zal komen.
Mijn voorbeeld is dat ik sinds ik een creditcard heb ik allerlei vage fishing berichten krijg op mijn email adres van wat de creditcard maatschappij van mij weet. Zij hebben dus dat adres doorverkocht wat dan uiteindelijk bij deze cybercriminelen terecht is gekomen. Jammer genoeg is dat email adres niet uniek dus kan ik ze daar niet op aanspreken noch de autoriteiten inlichten van dit laakbaar gedrag.