Een niet nader beschreven AI-programma van Meta (moederbedrijf van onder andere Facebook) dat je data ‘opslurpt’ en deelt met onbekende derde partijen. Als je goed leest staat dit in de nieuwe privacyvoorwaarden die het bedrijf bekendmaakte. En dat is nogal tegen de Europese regels. Het regent dus klachten over de op handen zijnde nieuwe regels.
Privacyorganisatie noyb (None Of Your Business) dringt er bij elf gegevensbeschermingsautoriteiten op aan onmiddellijk een einde te maken aan Meta’s misbruik van persoonsgegevens voor AI. En ook snel, want Meta wil de wijzigingen al op 26 juni laten ingaan.
De oproep komt nadat Meta de afgelopen dagen miljoenen Europeanen informeerde dat het privacybeleid van het bedrijf gaat veranderen. Op het eerste gezicht lijkt het om onbelangrijke dingen te gaan, maar pas als je op de links klikt en daar verder leest, zie je dat het bedrijf diepgravend gebruik wil maken van alles dat je sinds 2007 ooit op het netwerk postte. Het gaat dan ook om persoonlijke posts, privéafbeeldingen en online trackinggegevens.
Ze worden gevoerd aan, volgens de omschrijving zowel huidige als toekomstige AI-technologie. Wel is duidelijk dat het niet de bedoeling is dat die technologie grenzen mee krijgt. De software kan dus persoonlijke gegevens uit elke bron opnemen en alle informatie kan delen met de niet nader gedefinieerde ‘derde partijen’.
Ook slapende accounts
De nieuwe regels gaat ook om de slapende Facebookaccounts. Gebruikers maakten ze ooit aan maar doen er nauwelijks iets meer mee. Die accounts staan intussen wel vol met flink wat persoonlijke gegevens. Alles bij elkaar opgeteld gaat het om gegevens van zeker vier miljard gebruikers wereldwijd.
Voor de gebruikers is het slikken of stikken. Volgens Meta heeft het platform een ‘legitiem belang’ dat zwaarder weegt dan het fundamentele recht op gegevensbescherming en privacy van Europese gebruikers. Dat betekent dus dat als je gegevens, zowel openbaar als privé, eenmaal in het systeem staan je ze niet meer kunt verwijderen. Dit ‘recht om vergeten te worden’ is precies wat Europa juist wel wil.
De klachten van noyib zijn ingediend in elf Europese landen. Er ligt ook een verzoek voor een urgentieprocedure om te zorgen dat de wijziging niet wordt doorgevoerd. De klachten zijn ingediend in Oostenrijk, België, Frankrijk, Duitsland, Griekenland, Italië, Ierland, Nederland, Noorwegen, Polen en Spanje. De andere EU-landen volgens zo snel mogelijk.
Wat het volgens de organisatie extra erg maakt is dat Meta in de het nieuwe beleid zegt dat het aanvullende informatie kan verzamelen van elke derde partij. Scraping dus van allerlei andere online bronnen. Enige uitzondering zijn de chats tussen individuen te zijn. Chats ,et bedrijven vallen daar weer niet onder. Gebruikers krijgen verder geen informatie over de doeleinden van deze nieuwe AI-technologie van het bedrijf. Dit is rechtstreeks in strijd met de AVG/GDPR.
Volgens Max Schrems van noyb druist het beleid van Meta lijnrecht in tegen de Europese privacybeschermingswet AVG (GDPR): “Meta zegt in feite dat het ‘elke data uit elke bron voor elk doel kan gebruiken en beschikbaar kan maken voor iedereen in de wereld’, zolang het maar via ‘AI-technologie’ gebeurt. Dit is duidelijk het tegenovergestelde van GDPR-compliance. Het begrip ‘aI-technologie’ is een extreem breed begrip. Net als ‘het gebruik van je gegevens in databases’ heeft het geen echte wettelijke limiet. Meta zegt niet waarvoor het de gegevens zal gebruiken, dus het kan een eenvoudige chatbot zijn, extreem agressieve gepersonaliseerde reclame of zelfs een killer drone. Meta zegt ook dat gebruikersgegevens beschikbaar kunnen worden gesteld aan elke ‘derde partij’. Dat betekent iedereen ter wereld.”
Schandalig
Schrems noemt het schandalig dat het Europese Hof van Justitie eerder al duidelijk maakte dat Meta geen ‘legitiem belang’ heeft om het recht van gebruikers op gegevensbescherming terzijde te schuiven voor reclame. “Toch probeert het bedrijf dezelfde argumenten te gebruiken voor het trainen van ongedefinieerde ‘AI-technologie’. Het lijkt erop dat Meta opnieuw schaamteloos de uitspraken van het HvJEU negeert.”
Meta zegt intussen dat gebruikers wel het recht hebben op opt-out. Dat is een formulier dat gebruikers moeten invullen als ze niet willen dat Meta al hun gegevens gebruikt. Maar dat is nog niet zo simpel als de ene klik die je doet om je uit te schrijven van nieuwsbrieven. Volgens noyb maakt Meta het extreem ingewikkeld om bezwaar te maken. Je moet zelfs persoonlijke redenen aanvoeren. Een technische analyse van de opt-out-links toonde volgens noyb zelfs aan dat Meta een login vereist om een anders openbare pagina te bekijken. In totaal vraagt Meta zo’n 400 miljoen Europese gebruikers om ‘bezwaar’ te maken, in plaats van om hun toestemming te vragen.
Max Schrems: “De verantwoordelijkheid afschuiven op de gebruiker is volkomen absurd. Volgens de wet kan Meta alleen met opt-in toestemming krijgen, niet een verborgen en misleidend opt-outformulier. Als Meta je gegevens wil gebruiken, moeten ze je om toestemming vragen. In plaats daarvan laten ze gebruikers smeken om te worden uitgesloten. We waren vooral verbaasd dat Meta zelfs de moeite nam om heel veel kleine afleidingen in te bouwen om te zorgen dat slechts een heel klein aantal gebruikers daadwerkelijk de moeite neemt om bezwaar te maken.”
Naar verluidt is deze schending van de GDPR (opnieuw) gebaseerd op een “deal” met de Ierse Data Protection Commission (de DPC is Meta’s EU-toezichthouder). De DPC had al eerder een deal met Meta waardoor het bedrijf de GDPR kon omzeilen. Dit eindigde overigens wel met een boete van € 395 miljoen tegen Meta nadat de European Data Protection Board (EDPB) de beslissing van de Ierse DPC onderuit haalde.
Max Schrems: “Het lijkt erop dat het nieuwe management van het DPC gewoon doorgaat met het maken van illegale ‘deals’ met grote techbedrijven uit de VS. Het is verbijsterend dat de DPC het misbruik van de niet-openbare persoonlijke gegevens van ongeveer 400 miljoen Europese gebruikers ongecontroleerd laat doorgaan. We hopen dat de autoriteiten buiten Ierland snel actie zullen ondernemen en dit project op zijn minst zullen stopzetten voor een volledig onderzoek. De EDPB heeft al twee van dergelijke urgentiebesluiten genomen tegen Meta en de Ierse commissaris voor gegevensbescherming. Het is triest om te zien dat deze maatregel steeds weer nodig lijkt te zijn.”
Eind vorige week publiceerde de Noorse gegevensbeschermingsautoriteit al een blogbericht waarin ze stellen dat het ’twijfelachtig’ is of de aanpak van Meta legaal is. Een spoedprocedure kan leiden tot een snel voorlopig verbod. De definitieve beslissing van de EDPB volgt dan binnen enkele maanden.
Lees ook:
- Autoriteit Persoonsgegevens bevestigt privacyrisico Facebook Pages