image

"Privédata delen via Facebook like-knop mag alleen met toestemming"

woensdag 19 december 2018, 16:51 door Redactie, 5 reacties
Laatst bijgewerkt: 20-12-2018, 08:23

Websites met een Facebook like-knop mogen alleen met toestemming van gebruikers persoonsgegevens verzamelen en doorsturen naar de sociale netwerksite. Dat stelt advocaat-generaal Michal Bobek van het Hof van Justitie in een conclusie (pdf).

De like-knop van Facebook is op een groot aantal websites aanwezig. Wanneer internetgebruikers op dergelijke websites terechtkomen wordt informatie over hun ip-adres en browserstring naar Facebook doorgestuurd. Dit gebeurt geheel automatisch, ongeacht of de gebruiker op de knop heeft geklikt en of hij al dan niet een Facebookaccount heeft.

Verbraucherzentrale NRW, een Duitse vereniging die consumentenbelangen behartigt, stelt dat de like-knop inbreuk maakt op de privacywetgeving. Het had dan ook een verbodsactie ingesteld tegen een website die van een dergelijke like-knop gebruikmaakt. Het Oberlandesgericht Düsseldorf, de hoogste rechterlijke instantie van de deelstaat NoordrijnWestfalen, waarbij de zaak aanhangig is, vroeg de advocaat-generaal om een uitleg van de vroegere richtlijn gegevensbescherming, die van toepassing blijft op deze zaak maar inmiddels door de Algemene verordening gegevensbescherming is vervangen.

De advocaat-generaal stelt dat websites die met een Facebook like-knop en dergelijke andere plug-ins werken, waardoor persoonsgegevens van de gebruiker worden verzameld en doorgezonden, samen met die derde partij verantwoordelijk zijn voor die fase van de gegevensverwerking. De beheerder van de website moet gebruikers dan ook de vereiste minimuminformatie verstrekken over die gegevensverwerking en indien nodig hun toestemming verkrijgen voordat de gegevens worden verzameld en doorgezonden, aldus Bobek.

De conclusie van de advocaat-generaal is niet bindend. De rechter hoeft die dan ook niet op te volgen. Wanneer er in de zaak van Verbraucherzentrale NRW uitspraak wordt gedaan is nog niet bekend.

Reacties (5)
19-12-2018, 18:11 door Anoniem
Vervang in dit artikel "Facebook" met "Adobe tracking" .

Bijvoorbeeld 'de bank' en veel andere websites laten de meekijk-techniek die op hun website draait buiten hun privacy policy vallen door te stellen dat zij daar geen invloed op hebben.

Dat is niet waar want men is zelf de baas over eigen website en kan dus bepalen om dit wel of niet toe te staan.

Gek genoeg is het embedden van privacy schendende code geen enkel probleem in combinatie met botweg claimen dat je daar geen invloed op hebt en dus geen verantwoordelijkheid draagt.

Alsof je een taxichauffeur bent en een zakkenroller uitnodigt de hele dag mee te rijden en tegen elke klant zegt dat meerijden op eigen risico is want niet verantwoordelijk en aansprakelijk voor de veiligheid in de auto.
Want geen invloed op wie er instapt.
19-12-2018, 20:24 door Anoniem
Een schijfje van een terabyte kost niks meer. En trafic ook niet. Dat like gifje of die transparante pixel hoeft echt niet meer van een andere server te komen. Als mensen ergensop willen klikken, dat moeten ze zelf weten. Daarvan is men zich ook steeds beter bewust. Maar data voeren over bezoekers die er helemaal geen interesse in hebben, over my dead body. Het kost me ook echt niks meer aan storage, traffic of resources. Het is vies met je bezoekers omgaan als je die like dingen nog gebruikt.

Van mij mogen de browsers dat allemaal gewoon blokkeren. Je kunt ook honderd nette like knoppen zetten als je daar even aandacht aan besteedt. Heb je geen VMBO diploma voor nodig.
19-12-2018, 20:59 door Anoniem
Laatst stelde ik de privacy policy van mijn website op. Ik moet bezoekers informeren over de Facebook like knop, twitter share knop, Youtube videos, Vimeo videos, google fonts wellicht (?), google maps, affiliate banners.

Maar ik weet helemaal niet wat al die bedrijven wel of niet doen.
20-12-2018, 10:07 door Anoniem
Door Anoniem: Laatst stelde ik de privacy policy van mijn website op. Ik moet bezoekers informeren over de Facebook like knop, twitter share knop, Youtube videos, Vimeo videos, google fonts wellicht (?), google maps, affiliate banners.

Maar ik weet helemaal niet wat al die bedrijven wel of niet doen.
Maar als je hun verwerking een onderdeel van jouw website maakt en dus voor jouw bezoekers de keuze maakt dat die andere sites gegevens verwerken, dan maak je jezelf er wel verantwoordelijk voor, ook als je geen zicht hebt op wat die andere sites er eigenlijk mee doen. En een IP-adres is al een persoonsgegeven, dus je hebt het over verwerking van persoonsgegevens.

Als jouw website content van andere servers dan de jouwe ingebed heeft dan zou je moeten beseffen dat je daarmee verwerking uitbesteedt aan een andere partij. Omdat daar onvermijdelijk iets bij zit dat een persoonsgegeven is (het IP-adres) heb je met de AVG te maken en heb je de verwerkersovereenkomst met die ander nodig die de AVG vereist. Dat is basale logica, ook als de consequentie van die basale logica lijnrecht ingaat tegen alles waar je onnadenkend aan gewend bent geraakt.

Ik heb, voordat de meer dynamische mogelijkheden van websites met Ajax, jQuery en wat er nog meer is beschikbaar kwamen, als automatiseerder voor een werkgever die met zijn tijd meeging meegebouwd aan een grote webapplicatie, en ik heb voor een aantal mensen toen statische websites gebouwd. Ik snapte toen al dat content van derden inbedden betekende dat je informatie over je bezoekers aan die derden gaf zonder dat je bezoekers daar een keuze in hadden. Toen alles dynamischer werd heb ik me verbaasd over de nonchalance waarmee de meerderheid van de websites van libraries als jQuery niet zelf een exemplaar hostten maar dat van centrale plaatsen haalden, de nonchalance waarmee allerlei complexe content als de zwaar op Flash en JavaScript leunende advertenties werden opgenomen, en natuurlijk like-buttons van Facebook en dergelijke.

Iedereen die beseft dat er dan een request naar een andere server dan je eigen server gaat moet snappen dat je een keuze over het verwerken van mogelijk privacygevoelige gegevens door anderen voor je bezoekers maakt, en iedereen die iets inbedt dat op heel veel sites voorkomt moet snappen dat mensen daarmee heel uitgebreid gevolgd kunnen worden. Wie een greintje fatsoen heeft zou moeten beseffen dat het niet aan hem of haar is om die keuze voor een ander te maken. En de tijd waarop je nog kon redelijk veilig kon aannemen dat die andere partijen geen rare dingen zouden doen met gegevens waarover ze kunnen beschikken is al lang en breed achter de rug, de verdienmodellen van bedrijven als Google en Facebook zijn algemeen bekend.

Dat heeft consequenties, en die consequenties zijn ingrijpend als je ze naast de gangbare praktijk legt. We hebben de GDPR omdat bedrijven en webontwikkelaars die consequenties kennelijk massaal niet onder ogen zien of willen zien en omdat we in Europa politici hebben die kennelijk meer verstand en realiteitszin vertonen, en die in dit geval snappen dat ze geen verdienmodellen van bedrijven vertegenwoordigen maar de burgers waarop die verdienmodellen worden losgelaten.

Ik ben benieuwd of de rechter het advies van de advocaat-generaal zal volgen. In mijn ogen zou het volkomen terecht zijn, dit is precies waarom we de GDPR hebben namelijk.
20-12-2018, 10:38 door spatieman
TROLOLOL
Websites met een Facebook like-knop mogen alleen met toestemming van gebruikers persoonsgegevens verzamelen en doorsturen naar de sociale netwerksite. Dat stelt advocaat-generaal Michal Bobek van het Hof van Justitie in een conclusie (pdf).
TROLOLOL

maar wat fuckyfuckbook doet mag wel zonder toestemming, gegevens zomaar beschikbaar stellen aan anderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.