Dat Facebook op grote schaal informatie verzamelt over het doen en laten van zijn gebruikers op zijn site, maar ook daarbuiten, is al lang geen geheim meer. Wat de sociale netwerksite er niet altijd bij vertelt, is welke persoonlijke informatie over gebruikers het daarbovenop aankoopt bij ‘externe partners’. Veel gebruikers zijn zich mogelijk zelfs niet bewust van het feit dat Facebook extra informatie over hen aankoopt, en dat ook over hun offline levens.

Dataproviders verzamelen via verschillende kanalen persoonlijke gegevens en delen die met Facebook

'Facebook werkt samen met een selecte groep externe dataproviders om bedrijven te helpen in contact te komen met mensen die mogelijk geïnteresseerd zijn in hun producten en diensten.' Zo verwoordt de sociale netwerksite het zelf op één van zijn help-pagina’s. Facebook voegt er nog aan toe dat gebruikers controle hebben over welke advertenties ze te zien krijgen. Nochtans is het niet evident om te weten te komen op basis van welke persoonlijke informatie deze advertenties aan een bepaalde persoon getoond worden, en dus over welke informatie die externe dataproviders dan wel beschikken.

Categoriseren

Volgens de Amerikaanse nieuwswebsite ProPublica beschikken deze dataproviders over gedetailleerde dossiers, inclusief gegevens over het offline leven van gebruikers. Omdat Facebook deze informatie niet zelf verzamelt en ze bovendien op grote schaal beschikbaar is, acht Facebook het niet nodig om gebruikers erover in te lichten, schrijft ProPublica.

Die dataproviders verzamelen dus via verschillende kanalen, online en offline, persoonlijke gegevens en bieden die aan bedrijven aan zodat zij gerichter reclame kunnen aanbieden aan potentiële of bestaande klanten. Een van die kanalen waarlangs reclame wordt aangeboden is Facebook, dat allerhande bedrijven zeer uitgebreide opties aanbiedt om gericht reclame aan te bieden aan z’n gebruikers. Die worden onderverdeeld in categorieën, op basis van gegevens die Facebook zelf verzamelt of dus via derde partijen verkrijgt.

Volgens ProPublica worden ongeveer 600 van die categorieën opgesteld op basis van informatie die Facebook van dataproviders krijgt. Deze categorieën zijn hoofdzakelijk financieel van aard: geschat gemiddeld gezinsinkomen of -vermogen, of mensen die vaak bij discounters winkelen.

Als je wil weten welk type gegevens deze dataproviders verzamelen en op welke manier ze die gegevens delen, zal je het hun zelf moeten vragen, schrijft Facebook op zijn help-pagina.

Opt-out

Er is weliswaar een ontsnappingsroute voor Facebook-gebruikers die niet willen dat Facebook reclame aanbiedt op basis van deze ‘externe’ informatie. Zoals de sociale netwerksite ook zelf aangeeft zal je die dataproviders opnieuw zelf moeten contacteren.

Een opt-out cookie zorgt er alvast voor dat derde partijen niet langer informatie over jou verzamelen

De meeste van deze dataproviders zijn in de Verenigde Staten gevestigd. Een aantal onder hen heeft wel filialen in Europa. Zo is er Acxiom, met filialen in Frankrijk, Duitsland en het Verenigd Koninkrijk. Een andere grote speler waarmee Facebook een deal sloot is Oracle, een bedrijf met filialen in meer dan 80 landen.

Zoals elk bedrijf dat persoonlijke gegevens vanuit de EU naar de VS overbrengt, moeten deze dataproviders sinds 1 augustus 2016 voldoen aan de regels van het Privacy Shield akkoord dat de EU en de VS afsloten. Dat akkoord bepaalt ook de rechten van gebruikers. Zo heb je als gebruiker het recht om informatie te krijgen over welk type gegevens een bedrijf over jou heeft verzameld, waarvoor het die gegevens gebruikt en met welke derde partijen het die gegevens deelt. Het bedrijf moet je ook de keuze geven om het gebruik en de verspreiding van jouw gegevens te beperken.

Op de eerder aangehaalde help-pagina geeft Facebook zelf een aantal links naar de websites van de dataproviders waarmee het samenwerkt. De meeste bedrijven voorzien een zogenaamde opt-out cookie, die je makkelijk kan installeren. Die zorgt ervoor dat het bedrijf in kwestie alvast niet langer gegevens over jou kan verzamelen.

Het is echter iets omslachtiger om ook inzage te krijgen in de gegevens die ze intussen al over jou verzameld hebben. We verstuurden vandaag (28/12/2016, red.) alvast per e-mail een verzoek tot inzage in onze persoonlijke data naar Acxiom, Oracle en Experian. Het Privacy Shield-akkoord schrijft voor dat een vraag of klacht binnen de 45 dagen beantwoord moet worden.

Heel veel verschillende bedrijven beschikken over persoonlijke informatie

Het indienen van zo’n aanvraag is niet bij elk bedrijf even eenvoudig. Oracle biedt via zijn website enkel een Amerikaans postadres aan, en vraagt bovendien om een kopie van een identiteitsbewijs mee te sturen. Via het openbaar register van de Belgische Privacycommissie krijg je wel contactgegevens van het Belgische filiaal, al blijkt het opgegeven e-mailadres niet langer in gebruik te zijn. Ook telefonisch was Oracle niet bereikbaar. Om inzage te krijgen in de persoonlijke gegevens die Experian verzamelt, kan je contact opnemen met het Nederlandse filiaal.

Controle

Dit alles maakt nog maar eens duidelijk hoe moeilijk het is om controle te krijgen over je persoonlijke gegevens. Zeker als je weet dat die gegevens over ontzettend veel en vaak onbekende bedrijven verdeeld zijn, en die bedrijven die gegevens ook nog eens onderling met elkaar uitwisselen.

Onder Privacy Shield mag een organisatie geen persoonlijke informatie gebruiken op een manier die niet strookt met het doel waarvoor die informatie is verzameld of waarvoor de gebruiker toestemming heeft gegeven. Als je als gebruiker natuurlijk niet meer weet wie precies welke 'vrij beschikbare' gegevens over jou heeft en waarvoor die worden gebruikt, is het maar de vraag hoe je als gebruiker die voorwaarde uit het Privacy Shield-akkoord kan controleren.