Open brief over "vertrouwelijke" zaken in Facebook-zaak

Mei 24, 2020

Binnen enkele uren na het van kracht worden van de nieuwe GDPR op 25 mei 2018, zal de Europese non-profit organisatie noyb.eu drie klachten ingediend tegen de Facebookgroep (waaronder WhatsApp en Instagram). Sindsdien is de Ierse Commissie voor gegevensbescherming (DPC) heeft de inhoud van de uiterst trage procedure "vertrouwelijk" verklaard en heeft noyb.eu gevraagd deze niet openbaar te maken.

Ondanks deze vermeende vertrouwelijkheid publiceert noyb.eu een Open brief (PDF) vandaag de dag wordt duidelijk hoe de GDPR twee jaar na het van kracht worden ervan (niet) is afgedwongen. Zelfs onder de kafkaiaanse procedure die in de brief en hieronder wordt beschreven, kan de Facebookgroep nog steeds te maken krijgen met een boete van maximaal € 2,5 miljard als de DPC zijn interne onderzoeksrapport volgt.

Geheime bijeenkomsten over "consent bypass" tussen DPC en Facebook. In de open brief wordt voor het eerst onthuld dat de Ierse DPC en de Facebookgroep (inclusief WhatsApp en Instagram) tien geheime vergaderingen hadden voordat de GDPR in 2018 van toepassing werd. Tijdens deze vergaderingen beweert Facebook dat het "gedetailleerde directe afspraken met de Commissie had gemaakt vóór de tenuitvoerlegging" van een schijnbare "toestemmingsbypass" (details hieronder) om de strikte toestemmingsregels van het GDPR te omzeilen. Ondanks het feit dat Facebook zich in zijn opmerkingen op deze bijeenkomsten baseerde en benadrukte dat de documenten door de gegevensbeschermingsautoriteit "in overweging werden genomen", weigert de autoriteit toegang te verlenen tot alle verslagen van deze geheime bijeenkomsten, met inbegrip van een door Facebook ingediend witboek. Max Schrems, voorzitter van noyb.eu: "Het klinkt veel als die geheime 'belastingbesluiten' waarbij de belastingdienst het in het geheim eens is met grote technische bedrijven over hoe ze de belastingwetgeving kunnen omzeilen - alleen doen ze dat nu ook met de BBPR."

Facebook's illegale 'toestemming bypass'. In de procedures die werden opgestart naar aanleiding van drie klachten die noyb.eu twee jaar geleden indiende (binnen de eerste uren na het van kracht worden van de GDPR), erkent de Facebookgroep openlijk dat het eenvoudigweg is overgestapt van een sterk gereguleerde "toestemming" naar een vermeend "contract voor gegevensgebruik". Dit contract zou Facebook verplichten om zijn gebruikers op te sporen, te benaderen en onderzoek te doen. Volgens Facebook gebeurde deze overstap om middernacht toen de GDPR van toepassing werd. Een dergelijke (wederzijdse) herraming van een overeenkomst (in dit geval van toestemming naar contract) om de wet te omzeilen wordt simulatio genoemd en is ongeldig. Max Schrems: "Het is niets anders dan lippenstift op een varken. Sinds de Romeinse tijd verbiedt de wet het 'hernoemen' van iets om de wet te omzeilen. Wat Facebook probeerde te doen is niet slim, maar lachwekkend. Het enige wat echt verontrustend is, is dat de Ierse DPC blijkbaar met Facebook bezig was toen ze deze zwendel ontwierpen en nu geacht wordt deze onafhankelijk te herzien"

In een studie van het Gallup Instituut over de "permission bypass" geloven 64% van de 1.000 gebruikers dat ze toestemming hebben gegeven, ondanks de beweringen van Facebook dat het tegenovergestelde het geval is. Afhankelijk van de vraag dacht slechts 1,6-2,5% dat ze daadwerkelijk een "data use contract" hadden afgesloten, waarin een verplichting van Facebook is opgenomen om hun gegevens te gebruiken voor reclame of onderzoek. De rest dacht dat het slechts om informatie ging, een contract zonder dergelijke verplichtingen of zag geen enkele betekenis in de pagina. Max Schrems: "In principe denkt geen van de 1.000 gebruikers die we hebben gevraagd dat ze zo'n zogenaamd 'data use contract' met Facebook hebben gesloten

DPC beperkt de juridische analyse van het "data use contract" tot het Oxford English Dictionary. Een van de redenen waarom de DPC geen probleem kon vinden met het vermeende "contract voor gegevensverwerking" waarop Facebook zich baseert, is dat de DPC eenvoudigweg heeft besloten dat de analyse van een dergelijk contract buiten zijn bevoegdheden valt ("ultra vires"). In plaats van het contract te analyseren volgens het toepasselijke recht, haalde de gegevensbeschermingsautoriteit in haar rapporten letterlijk de definitie van een "contract" uit het Oxford English Dictionary aan. Schrems: "In de rechtenfaculteit leer je rechtenboeken lezen voor juridische vragen, niet een woordenboek. Het lijkt erop dat dit eeuwenlang een winnende techniek was. Het is duidelijk dat de DPC probeert het vermeende 'data use contract' van Facebook niet te herzien.

DPC viert de voltooiing van 1 van de 6 stappen in twee jaar. In een publieke verklaring eind vorige week vrijdag, de DPC noemde verrassend genoeg de drie procedures die door noyb.eu in gang zijn gezet als voorbeelden van grote vooruitgang in het werk van de DPC. Dit ondanks het feit dat de DPC er twee jaar over deed om 1 van de 6 stappen van de procedure te doorlopen op WhatsApp en Instagram, en 2 van de 6 stappen op Facebook (zie overzichtstabel). Gezien het feit dat de DPC alleen al in 2019 7.125 klachten heeft gemeld en geen GDPR-boetes tegen een particuliere actor, is dit nauwelijks een prestatie. Max Schrems: "Het is een klap in het gezicht van ongeveer 10.000 klagers als de DPC de eerste van zes stappen in twee gevallen na twee jaar als een prestatie belicht

Zelfs het plagiaat plegen van een eigen rapport kostte DPC 10 maanden. De trots dat de DPC twee conceptrapporten (stap 1 van 6) op WhatsApp en Instagram afleverde, leek vorige week nog grotesker toen noyb.eu zich realiseerde dat deze rapporten 76 tot 82% overlappen met het Facebook-rapport van 2019 (screenshot).

Max Schrems: "We hebben de conceptrapporten over Instagram en WhatsApp, die de DPC vorige week met trots benadrukte door middel van een software om plagiaat te identificeren, uitgevoerd en we hebben er goed om gelachen: 76% en 82%, respectievelijk, waren identiek aan een conceptrapport van vorig jaar op Facebook. Het lijkt erop dat zelfs het op grote schaal kopiëren en plakken van een conceptrapport meer dan 10 maanden duurde

In het DPC-rapport wordt een schending van de transparantieregels van het GDPR geconstateerd. De boete kan oplopen tot miljarden. Hoewel de DPC zich heeft verzet tegen de toetsing van de rechtmatigheid van de "permission bypass" van Facebook, wordt in een intern onderzoeksrapport toch een schending van de transparantie-eisen van de GDRP in artikel 5 van de GDPR geconstateerd, doordat de gebruikers van Facebook, WhatsApp en Instagram niet adequaat worden geïnformeerd over de rechtsgrondslag voor het gebruik van hun gegevens. Als de DPC uiteindelijk vasthoudt aan dit standpunt, zou zij een "doeltreffende, evenredige en afschrikkende" boete moeten opleggen van maximaal 4% van de jaarlijkse inkomsten van Facebook (tot 2,5 miljard euro of 2,83 miljard dollar).

Max Schrems: "In principe heeft het DPC-onderzoek zich op het standpunt gesteld dat Facebook gebruikers kan neerschroeven zolang ze er maar transparanter over zijn. Dit zou echter betekenen dat Facebook, Instagram en WhatsApp de gegevens van alle Europese gebruikers in strijd met de GDPR hebben verwerkt. Zelfs als de DPC alleen maar vasthoudt aan dit standpunt, kan de boete oplopen tot € 2,5 miljard.

De Europese Commissie en de gegevensbeschermingsautoriteiten moeten actie ondernemen. In de Open Brief roept noyb.eu de Europese Commissie ook op om actie te ondernemen tegen Ierland. Met ongeveer 10.000 klachten in twee jaar tijd en geen enkele boete tegen particuliere actoren is het duidelijk dat Ierland de EU-wetgeving niet effectief implementeert

In de open brief wordt ook een beroep gedaan op andere Europese gegevensbeschermingsautoriteiten (DPA's) om stappen te ondernemen wanneer collega's weigeren hun werk te doen. Hoewel het helaas vaak ontbreekt aan duidelijke deadlines, kunnen de gegevensbeschermingsautoriteiten hun collega's vragen bepaalde maatregelen te nemen of een "urgentieprocedure" te starten als een andere gegevensbeschermingsautoriteit niet actief is. Schrems: "Veel gegevensbeschermingsautoriteiten zijn gefrustreerd over situaties zoals in Ierland, maar het volstaat niet om ze alleen maar op te roepen. Ze moeten ook gebruik maken van de instrumenten die de GDPR voorziet. Wij hebben bijvoorbeeld nu dergelijke verzoeken ingediend bij het Oostenrijkse DPA

Om deze inspanning te ondersteunen heeft noyb.eu alle relevante documenten over de lopende procedures naar de andere Europese gegevensbeschermingsautoriteiten gestuurd, ondanks het feit dat de Ierse gegevensbeschermingsautoriteit er uitdrukkelijk op heeft aangedrongen dat noyb.eu deze documenten niet aan haar collega's mag verstrekken.

Achtergrond van noyb.eu. noyb.eu is een Europese non-profitorganisatie op het gebied van gegevensbescherming die streeft naar handhaving van de GDPR. noyb.eu wordt gefinancierd door meer dan 3.200 ondersteunende leden. Het noyb.eu team van 15 mensen bestaat uit GDPR-juristen en technische experts uit verschillende EU-lidstaten. Tot nu toe heeft noyb.eu meer dan 20 GDPR-klachten ingediend over verschillende zaken en tegen bedrijven als Amazon, Apple, Google, Facebook, DAZN, SoundCloud en Netflix.