Facebook om FTC's grootste boete ooit te vereffenen voor het schenden van de privacy van gebruikers en het nemen van meerdere waarborgen op WhatsApp en Instagram?
Facebook en de Amerikaanse Federal Trade Commission (FTC) zullen de grootste boete betalen die ooit aan een digitaal platform is opgelegd. Naast de geldboete zal Facebook ook een ingrijpende herziening van de privacypraktijken en -protocollen van gebruikers moeten doorvoeren. De ingrijpende veranderingen zullen moeten worden doorgevoerd op alle platforms die Facebook momenteel bezit en exploiteert, inclusief het populairste socialemediaplatform, WhatsApp en Instagram. De enorme schikking van Facebook met de FTC van $ 5 miljard verwijdert ook CEO Mark Zuckerberg als de enige privacybeslisser van Facebook.
Na een onderzoek van een jaar en te midden van intense speculaties, heeft FTC eindelijk een massale schikking met Facebook aangekondigd. Naast de enorme boete van $ 5 miljard, heeft de FTC ook de vele voorwaarden aangekondigd van zijn schikking met de socialemediagigant. Met de beslissing is Facebook eindelijk openlijk opgeroepen voor aanzienlijke privacykwesties die al lang op verschillende officiële, niet-officiële en juridische platforms zijn geuit. Het uitgebreide privacyprogramma van de FTC omvat niet alleen WhatsApp en Instagram, dat eigendom is van Facebook, maar ook het gelijknamige sociale platform van Facebook.
Waarom kreeg Facebook een boete van de FTC en wat betekent dit?
Het onderzoek van de FTC kwam in een stroomversnelling na het beruchte Cambridge Analytica-schandaal, waarin Facebook naar verluidt meerdere keren of herhaaldelijk "misleidende onthullingen en instellingen heeft gebruikt om de privacyvoorkeuren van gebruikers te ondermijnen". Het is nog zorgwekkender om op te merken dat Facebook al in 2012 specifiek had volgehouden dat het al adequate maatregelen neemt om de privacy van gebruikers te beschermen. De FTC beweert verder dat de socialemediagigant herhaaldelijk toegeeflijk was met apps en webplatforms waarvan het bedrijf goed wist dat ze zijn beleid schonden met name met betrekking tot gegevensprivacy en vertrouwelijkheid.
"Dankzij deze tactieken kon het bedrijf de persoonlijke informatie van gebruikers delen met apps van derden die werden gedownload door de‘ vrienden ’van de gebruiker op Facebook. De FTC beweert dat veel gebruikers niet wisten dat Facebook dergelijke informatie deelde en daarom niet de nodige stappen hebben ondernomen om zich af te melden voor het delen.”
Over de schikking zei FTC-voorzitter Joe Simons in een officiële verklaring: "Ondanks herhaalde beloften aan miljarden gebruikers over de hele wereld dat ze zouden kunnen bepalen hoe hun persoonlijke informatie wordt gedeeld, ondermijnde Facebook de keuzes van consumenten. De omvang van de boete van $ 5 miljard en de ingrijpende verlichting van het gedrag zijn ongekend in de geschiedenis van de FTC. De vrijstelling is niet alleen bedoeld om toekomstige schendingen te bestraffen, maar, nog belangrijker, om de hele privacycultuur van Facebook te veranderen om de kans op voortdurende schendingen te verkleinen. De Commissie neemt de privacy van consumenten serieus en zal FTC-orders afdwingen in de ruimste zin van de wet.”
Wat betekenen de boete en de afwikkelingsvoorwaarden van de FTC voor Facebook en de bijbehorende sociale-mediaplatforms?
De schikking van $ 5 miljard is zelf de grootste in de geschiedenis van FTC. De grootste boete die de FTC eerder had opgelegd, was in 2012 aan Google. Maar met $ 22,5 miljoen is het in vergelijking vrij minuscuul. Overigens heeft Facebook ook een schikking van $ 100 miljoen bereikt met de Amerikaanse Securities and Exchange Commission (SEC) voor "misleidende onthullingen over het risico van misbruik van Facebook-gebruikersgegevens." De SEC stelt dat de socialemediagigant in 2015 op de hoogte was van het misbruik van gebruikersgegevens. Toch heeft Facebook gedurende ongeveer twee jaar geprobeerd de ernst van de kwetsbaarheid en blootstelling van gebruikersgegevens en privacy te bagatelliseren.
Het belangrijkste aspect van de schikking, naast de geldboete, is het ontnemen van een deel van de rechten en macht van de oprichter, CEO en meerderheidsstemrechthouder van Facebook, Mark Zuckerberg, met betrekking tot de privacy van gebruikers. In wezen zal Zuckerberg niet langer "onbeperkte controle" hebben over de privacybeslissingen van gebruikers. Facebook zal nu veel meer verantwoording moeten afleggen op het niveau van de raad van bestuur. Daarvoor zal de socialemediagigant een ‘onafhankelijke privacycommissie’ moeten oprichten. Deze commissie zal onafhankelijk moeten blijven en leden zullen moeten worden benoemd door een onafhankelijke benoemingscommissie. Bovendien kunnen de leden van de commissie alleen worden verwijderd door een overgrote meerderheid van de raad van bestuur van Facebook.
Niet alleen zal de commissie driemaandelijkse certificeringen indienen dat Facebook voldoet aan de mandaten van de schikking, maar een externe organisatie zal ook onafhankelijk onderzoek doen naar de gegevensverzamelingspraktijken van Facebook, waaronder die op Instagram en WhatsApp. De audit zal gedurende 20 jaar om de twee jaar plaatsvinden.
Hoewel de bestelling betrekking heeft op Facebook, WhatsApp en Instagram, merkt de schikking ook op dat het bedrijf een privacybeoordeling moet uitvoeren van elk nieuw of gewijzigd product, elke dienst of praktijk voordat het wordt geïmplementeerd. Facebook zal bewijsstukken moeten bewaren waaruit blijkt dat het prioriteit heeft gegeven aan de privacy van gebruikers.
Welke privacymaatregelen onderneemt Facebook om gebruikers op al zijn platforms te beschermen?
In een officieel persbericht zei de FTC: “Het vandaag aangekondigde schikkingsbevel legt ook ongekende nieuwe beperkingen op aan de bedrijfsactiviteiten van Facebook en creëert meerdere kanalen voor naleving. Het bevel vereist dat Facebook zijn benadering van privacy herstructureert vanaf het niveau van de ondernemingsraad, en stelt sterke nieuwe mechanismen in om ervoor te zorgen dat Facebook-leidinggevenden verantwoordelijk zijn voor de beslissingen die ze nemen over privacy en dat die beslissingen onderworpen zijn aan zinvol toezicht.” De FTC heeft benadrukt dat Facebook de volgende privacyprotocollen zal moeten toepassen:
- Facebook moet meer toezicht uitoefenen op apps van derden, onder meer door app-ontwikkelaars te beëindigen die niet kunnen certificeren dat ze voldoen aan het platformbeleid van Facebook of hun behoefte aan specifieke gebruikersgegevens niet rechtvaardigen;
- Facebook mag geen telefoonnummers gebruiken die zijn verkregen om een beveiligingsfunctie in te schakelen (bijvoorbeeld tweefactorauthenticatie) voor advertenties;
- Facebook moet een duidelijke en opvallende kennisgeving geven van het gebruik van gezichtsherkenningstechnologie en een bevestigende uitdrukkelijke toestemming van de gebruiker verkrijgen voorafgaand aan elk gebruik dat de eerdere bekendmakingen aan gebruikers wezenlijk overtreft;
- Facebook moet een uitgebreid programma voor gegevensbeveiliging opzetten, implementeren en onderhouden;
- Facebook moet gebruikerswachtwoorden versleutelen en regelmatig scannen om te detecteren of wachtwoorden in platte tekst zijn opgeslagen; en
- Het is Facebook verboden om e-mailwachtwoorden voor andere diensten te vragen wanneer consumenten zich aanmelden voor zijn diensten.
Reactie van Facebook op de FTC-schikking:
Facebook heeft officieel gereageerd op de FTC-schikking. Via een blogpost geschreven door algemeen adviseur Colin Stretch, merkte het bedrijf op: “De overeenkomst vereist een fundamentele verschuiving in de manier waarop we ons werk benaderen en het zal extra verantwoordelijkheid leggen op de mensen die onze producten bouwen op elk niveau van het bedrijf. Het zal een scherpere wending in de richting van privacy markeren, op een andere schaal dan alles wat we in het verleden hebben gedaan.
“De aansprakelijkheid die door deze overeenkomst wordt vereist, overtreft de huidige Amerikaanse wetgeving en we hopen dat dit een model zal zijn voor de industrie. Het introduceert strengere processen om privacyrisico's te identificeren, meer documentatie van die risico's en meer ingrijpende maatregelen om ervoor te zorgen dat we aan deze nieuwe vereisten voldoen. In de toekomst zal onze benadering van privacycontroles parallel lopen met onze benadering van financiële controles, met een rigoureus ontwerpproces en individuele certificeringen die bedoeld zijn om ervoor te zorgen dat onze controles werken - en dat we ze vinden en repareren wanneer ze dat niet zijn." Interessant is dat Facebook, via Short, nog steeds aandringt op de Cambridge Analytica schandaal over gegevensmisbruik was "een vertrouwensbreuk tussen Facebook en de mensen die van ons afhankelijk zijn om hun gegevens te beschermen."
Facebook schikt zich met FTC om ook een grotere impact te hebben op andere technologiebedrijven?
Deze week heeft Google een schikking getroffen met de FTC over beschuldigingen dat YouTube heeft wetten overtreden die zijn uitgevaardigd om kinderen online te beschermen. De schikking vloeide voort uit het feit dat YouTube de COPPA (Children's Online Privacy Protection Act) zou hebben geschonden. Overigens is het exacte bedrag van de boete niet officieel bekendgemaakt, maar rapporten beweren dat Google een boete van meerdere miljoenen dollars zal betalen. Wat echter nog belangrijker is dan de geldboete, zijn de voorwaarden en vereisten die worden geïmpliceerd.
Als gevolg van de schikking zou Google binnenkort zijn benadering van gegevensveiligheid en gebruikersprivacy kunnen herzien. De zoekmachinegigant zal waarschijnlijk verschillende beleidsregels invoeren die duidelijk zijn gedefinieerd en bedoeld zijn om gebruikersgegevens te beschermen. Op dezelfde manier zal ook Facebook een ingrijpende herziening van het beleid en de praktijken met betrekking tot de privacy van gebruikers doorvoeren. Bovendien lijkt de schikking van de socialemediagigant een aantal strikte voorwaarden te bevatten waaraan moet worden voldaan en waarvan de naleving is bewezen.
Ondanks de schijnbaar forse straf stemden enkele commissarissen tegen de schikking. Een van die commissarissen was Rohit Chopra, die opmerkt: "[De schikking] lost de prikkels die deze herhaalde privacyschendingen veroorzaken niet op", omdat het Facebook er niet van weerhoudt "zich bezig te houden met surveillance of platforms te integreren. Er zijn geen beperkingen op het verzamelen van gegevens - alleen papierwerk. FB mag aftekenen wat acceptabel is”. Interessant is dat hij ook beweert dat het grootste deel van het senior Facebook-management een "algemene immuniteit wordt geboden voor hun rol bij de overtreding". Hij doelde natuurlijk op het Cambridge Analytica-schandaal.
“De kleine lettertjes van de schikking geven Facebook brede immuniteit voor ‘bekende’ en ‘onbekende’ schendingen. Wat valt er onder deze immuniteitsdeals? Facebook weet het, maar het publiek tast in het duister. De flagrante schendingen van Facebook waren een direct gevolg van hun bedrijfsmodel van massale surveillance en manipulatie, en deze actie is een zegen voor dit model. De schikking lost dit probleem niet op. Het gaat nu naar de rechtbank voor goedkeuring. We zouden ons allemaal zorgen moeten maken dat de zakelijke prikkels van gedragsgerichte reclame voor grote technologieplatforms praktijken stimuleren die onze samenleving verdelen. Wanneer bedrijven de wet overtreden en enorme schade aanrichten, moeten ze ter verantwoording worden geroepen. " concludeerde hij.