Iedere organisatie die een bedrijvenpagina heeft op Facebook of Facebook Insights gebruikt voor statistieken is (mede)verantwoordelijk voor de privacy van de bezoekers of fans van deze pagina. Dat stelt Jitty van Doodewaerd, compliance auditor bij DMCC Nederland. Zij doet dit naar aanleiding van een uitspraak van het Europese Hof van Justitie.

Het Europese Hof deed deze uitspraak naar aanleiding van een hoger beroep aangespannen door de Duitse Wirtschaftsakademie uit Schleswig-Holstein, een privaat onderwijsinstituut met een fanpagina op Facebook. De Duitse privacytoezichthouder drong er al in 2011 op aan om te stoppen met deze fanpagina. Er was namelijk geen toestemming gevraagd om bezoekersinformatie te verzamelen via cookies, de zogenaamde Facebook Insights.

Leeftijd, geslacht, beroep

Het bedrijf reageerde hierop met de mededeling alleen inzage te hebben in anonieme bezoekersstatistieken. Was niet louter Facebook als faciliterend platform verantwoordelijk voor het vragen van toestemming? Nee, oordeelt het Europees Hof. Facebook én de Wirtschaftsakademie zijn beide verantwoordelijk voor het gebruik van de dienst.

Want een organisatie met een fanpagina op Facebook heeft die zelf in het leven geroepen, kan statistieken van webbezoekers opvragen over leeftijd, geslacht, beroep, levensstijl en interesses. Bovendien kan een organisatie zelf filters instellen voor promotionele activiteiten. Kortom: bedrijven met fanpagina’s gebruiken Facebook-data ook voor eigen doelstellingen. Het maakt daarbij niet uit dat zij personen niet direct kunnen identificeren.

Wat te doen?

Volgens Doodewaerd moeten organisaties er rekening mee moeten houden dat zij:

• moeten informeren over de gegevensverzameling via Facebook Insights;
• voor het gebruik van (statistische) cookies op de site toestemming moeten vragen;
• eventuele afspraken over het informeren en vragen van toestemming schriftelijk met Facebook moeten afstemmen.

Facebook heeft al aangekondigd de nodige stappen te ondernemen, zodat organisaties gebruik kunnen blijven maken van de fanpagina’s. Of de soep zo heet gegeten wordt, is voor de compliance auditor de vraag. “Er zijn natuurlijk veel meer externe platformen waar organisaties gebruik van maken om met klanten in contact te treden, denk aan LinkedIn, Google analytics, Instagram of externe crowdfunding-platformen.”
“Deze bieden allemaal de mogelijkheid de effectiviteit van de dienst door te meten met statistieken. In al deze gevallen moeten het platform en de sitebeheerder als verantwoordelijke worden gezien. In geen van de gevallen is dat nu goed geregeld.”

Lees ook MEER DAN 600 PRIVACYKLACHTEN OVER AVG 

Technologie