Een 24-jarige rechtenstudent uit Oostenrijk heeft Facebook aangeklaagd voor de overtreding van de EU-wetgeving omtrent privacy. Wat begon met professionele nieuwsgierigheid eindigde in een lijvig document van meer dan 1.000 pagina's en een pak verontwaardiging.

Max Schrems stelde immers vast dat de Amerikaanse site heel wat meer informatie over hem bezit dan onder de EU-privacywetgeving toegelaten is, ook gegevens die hij zelf al lang gewist had. Schrems weet dat omdat hij bij Facebook een aanvraag indiende om inzage te krijgen in de databanken die het bedrijf over hem heeft aangelegd. Komt zo'n aanvraag van een EU-burger is een bedrijf verplicht de informatie vrij te geven, ook al gaat het zoals in dit geval om een Amerikaanse site. Schrem kreeg dus netjes een cd'tje thuisgestuurd met zijn volledige 'dossier', goed voor 1.200 pagina's aan materiaal.

Post uit Californië

Nu ja, netjes. Schrems verklaarde tegenover het Duitse actualiteitenprogramma Stern TV dat hij in eerste instantie afgewimpeld werd. "Ik moest eerst al flink zoeken naar het aanvraagformulier. Daarna mailden ze me om te zeggen dat ik alles zelf kon opzoeken via de site. Maar ik ben blijven aandringen en heb dan uiteindelijk vanuit Californië een cd opgestuurd gekregen," aldus de student.

Tussen de 57 categoriën vond Schrems onder meer alle berichten terug die hij ooit via Facebook gestuurd of ontvangen heeft. "Dat op zich is al absurd. Stel je voor dat de post alle brieven die je krijgt inscant en bijhoudt. Maar ik was vooral verbaasd om er berichten in te vinden die ik eigenlijk al gewist had en waarvan Facebook me op de site ook heel expliciet verteld had dat ze werkelijk gewist waren," aldus nog Schrems.

22 klachten

Echt heel eerlijk is dat misschien niet, maar het gaat Schrems vooral om een aantal punten waarop Facebook volgens hem regelrecht de EU-wetgeving aan zijn laars lapt. Op een nieuwe site lijst hij er 22 op. Zo klinkt het dat Facebook gebruikers expliciet moeten aangeven dat ze hun gegevens NIET willen opgeslagen zien (opt-out) terwijl de EU-wetgeving net verlangt dat er voor elke gegevensverzameling toestemming gevraagd wordt (opt-in). Op een gelijkaardige manier kunnen gebruikers zonder hun toestemming lid gemaakt worden van een groep, het is achteraf aan hen om dat lidmaatschap weer te annuleren.

Schrems diende zijn aanklachten in bij de Ierse privacywaakhond. Facebook heeft zijn Europees hoofdkwartier immers in Dublin. Billy Hawkes, voorzitter van de Irish Data Protection Commissioner, verklaarde voor de camera's van Stern TV alvast dat het bijhouden van gegevens die gewist zijn in elk geval als een overtreding van de EU-privacyregels kan gezien worden. Facebook Dublin wilde geen interview geven maar liet enkel wat cryptisch weten dat het wellicht om berichten gaat die door de gebruiker "verwijderd maar niet gewist" werden of dat de informatie misschien "voor korte tijd" bijgehouden werd om redenen van "research". Wordt ongetwijfeld vervolgd.

UPDATE: De Britse krant The Guardian meldt nu dat Facebook een boete van 100.000 euro boven het hoofd hangt. Het bedrijf heeft ondertussen ook, opnieuw gereageerd en laat in essentie weten dat een gebruiker wel de berichten kan wissen die hij verstuurd of ontvangen heeft maar dat het logisch is dat ze daarmee niet gewist worden bij de tegenpartij. Of dat een antwoord biedt op de aanklacht van Schrems dat berichten die hij zelf gewist heeft alsnog gekoppeld blijven aan zijn profiel, zal nu moeten blijken.