Nieuws

Facebook(t) een nederlaag

Gepubliceerd op 17 mrt. 2023

Onze mensen

Pexels pixabay 267399
Facebook heeft 10 jaar lang in strijd met de AVG gehandeld, zo heeft de rechtbank Amsterdam geoordeeld. Facebook heeft jarenlang persoonsgegevens van Facebookgebruikers gebruikt voor advertentiedoeleinden zonder grondslag en zonder haar gebruikers daarover voldoende te hebben ingelicht. In deze blog zoomen wij dieper in op de (zeer lange) uitspraak van de rechter.

Achtergrond

De zaak tegen Facebook is aangespannen door de Data Privacy Stichting (‘DPS’), een belangenorganisatie die opkomt voor slachtoffers van privacyinbreuken in Nederland. DPS was van oordeel dat Facebook jarenlang de privacy van Facebookgebruikers heeft geschonden doordat Facebook zich niet zou hebben gehouden aan de AVG. Het gaat om persoonsgegevens van Facebookgebruikers waartoe externe ontwikkelaars en Cambridge Analytica, bekend van de Amerikaanse verkiezingen uit 2018, toegang toe hadden en om telefoonnummers van Facebookgebruikers die zij hadden opgegeven voor tweefactor-authenticatie. Deze persoonsgegevens zouden gebruikt worden voor advertentiedoeleinden en Facebook heeft haar gebruikers hierover onvoldoende geïnformeerd volgens DPS. Verder zou Facebook persoonsgegevens gebruiken voor advertentiedoeleinden zonder daarvoor een geldige grondslag te hebben. De rechter gaf DPS gelijk.

Oordeel van de rechter

  1. Onvoldoende informatie
De eerste tik die Facebook te verwerken kreeg zag op de verantwoordingsplicht. Belangrijk uitgangspunt in de AVG is dat organisaties personen voldoende inlichten over welke persoonsgegevens de organisatie verzamelt en waarvoor persoonsgegevens worden gebruikt en op welke manier er met de persoonsgegevens wordt omgegaan. De rechter oordeelt dat Facebook de gebruikers onvoldoende heeft geïnformeerd over het doel van de verwerking hun persoonsgegevens. Hoewel er wel een pop-up te zien was waarin uitgelegd werd welke persoonsgegevens verwerkt konden worden door externe ontwikkelaars en Cambridge Analytica, liet deze pop-up niet zien dat de persoonsgegevens gebruikt zouden worden voor advertentiedoeleinden. Een algemene verwijzing naar het privacybeleid, waarin zou staan dat persoonsgegevens gebruikt konden worden voor advertentiedoeleinden, was ook niet voldoende om aan de verantwoordingsplicht te voldoen. Omdat gebruikers hun Facebook account konden gebruiken voor externe applicaties, is het moment van de koppeling tussen Facebook en de externe applicatie het moment waarop de relevante informatie verstrekt moet worden. Bovendien was de privacyverklaring te lang en te ontoegankelijk. Aldus heeft Facebook niet voldaan aan haar verantwoordingsplicht.
  1. Geen verwerkingsgrondslag
De tweede tik had betrekking op het ontbreken van een verwerkingsgrondslag. De AVG bepaalt dat een organisatie alleen persoonsgegevens mag verzamelen en gebruiken als daarvoor een reden bestaat, de zogenaamde verwerkingsgrondslag. De AVG kent zes verwerkingsgrondslagen: toestemming, de uitvoering van een contract, wettelijke plicht, vitaal belang, uitvoering van een taak van algemeen belang en het gerechtvaardigd belang. Facebook is van mening dat de verwerking van persoonsgegevens voor advertentiedoeleinden noodzakelijk was om uitvoering te geven aan de overeenkomst tussen Facebook en haar gebruiker. Het aanbieden van advertenties zou tot de kern behoren van de dienst die Facebook levert, en daarom is de verwerking voor Facebook noodzakelijk om haar contractuele verplichtingen na te komen. Volgens de rechter is het wezenlijke kenmerk van de overeenkomst tussen Facebook en de gebruiker het aanbieden van een profiel op een sociaal netwerk. De nadruk ligt daarbij op het onderhouden van sociale contacten met anderen. Facebook heeft daarbij niet kunnen onderbouwen dat het aanbieden van een profiel niet kan worden uitgevoerd zonder de verwerking van persoonsgegevens voor advertentiedoeleinden. De verwerking van persoonsgegevens is daarmee niet noodzakelijk om de overeenkomst uit te voeren. Ook op andere grondslagen kan geen beroep gedaan worden. Toestemming was niet geldig gegeven, nu een leesbevestiging of acceptatie van de algemene voorwaarden en privacyverklaring, in combinatie met het gebruik van Facebook, niet als geldige toestemming kan worden gezien. Bovendien kon het gerechtvaardigde belang ook niet voldoende onderbouwd worden door Facebook. Zonder grondslag is de verwerking van persoonsgegevens niet toegestaan, en dus handelt Facebook onrechtmatig tegenover haar gebruikers.
  1. Bijzondere persoonsgegevens
De verwerking van bijzondere persoonsgegevens, zoals gegevens over gezondheid, geloof of seksuele voorkeur, is verboden. Alleen als een organisatie een uitzonderingsgrond uit de AVG heeft, is het toegestaan om deze persoonsgegevens te verwerken. Facebook verwerkt bijzondere persoonsgegevens omdat personen in hun profiel (onder andere) informatie over seksuele geaardheid en geloof kunnen zetten. Deze gegevens werden ook gebruikt voor advertentiedoeleinden. Bovendien werden ook bijzondere persoonsgegevens verwerkt omdat Facebook het surfgedrag van gebruikers volgde. Adverteerders konden op basis van dat surfgedrag selecteren op geloofsovertuiging of zwangerschap. De rechter oordeelde dat Facebook bijzondere persoonsgegevens heeft verwerkt zonder uitzonderingsgrond. Facebook heeft geen uitdrukkelijke toestemming gekregen voor de verwerking van deze bijzondere categorieën persoonsgegevens en is daarmee in overtreding van de AVG.

Conclusie

Een behoorlijke tik op de neus dus voor Facebook, en ook een tik die behoorlijke consequenties kan hebben. DPS stelt ongeveer 190.000 aanmeldingen te hebben ontvangen en met deze uitspraak in de hand kunnen er schadevergoedingsprocedures gestart worden. De financiële schade voor Facebook kan daarmee enorm zijn. Facebook heeft dan ook al aangekondigd hoger beroep in te stellen tegen deze uitspraak. Tegen de tijd dat hierover meer bekend is, zullen wij u hierover informeren.

Meld je aan voor onze nieuwsbrief

Geen juridische updates missen? Maak dan een selectie uit de diverse expertises van Holla legal & tax.

Aanmelden nieuwsbrief