Facebook lijkt voorzichtig het licht te hebben gezien als het op privacy aankomt. Door een aanpassing in het login-systeem dat applicaties gebruiken om gebruikers van die applicatie zich te laten aanmelden, geeft Facebook je meer controle over welke gegevens gedeeld worden met die app. Facebook kondigde de aanpassing overigens al vorig jaar aan, maar vanaf nu worden ook oudere applicaties overgezet naar het nieuwe systeem.
Wat verandert er precies?
Concreet gaat het om een aanpassing van de Facebook API, waarin de functie Facebook Login zich bevindt. Dat is een functie die gebruikt kan worden door andere applicaties om in te loggen bij die applicatie. Voorheen was die functie zo ingericht dat je als app-ontwikkelaar bepaalt welke gegevens je verkrijgt, wanneer de gebruikers van je applicatie inloggen met hun Facebook inloggegevens. Voor gebruikers was het dan een geval van take ir or leave it: of je logt in met Facebook en geeft dus alle gevraagde gegevens prijs, of je kiest maar voor een andere wijze van inloggen of gebruikt de applicatie helemaal niet.
Persoonlijk vond ik dat altijd een bijzonder vervelende vorm van chantage en ik koos er om die reden dan ook vrijwel nooit voor om in te loggen met mijn Facebookaccount bij een andere applicatie. Dan maar nog een gebruikersnaam en wachtwoord onthouden. Minder privacykritische gebruikers vinden dat echter te veel werk, en kiezen toch voor de Facebook Login.
Op die manier was de Facebook login voor veel applicaties een goudmijn aan persoonsgegevens over hun gebruikers. Fijn voor de appontwikkelaars, zo’n berg aan gegevens, maar juridisch in veel gevallen niet houdbaar. Welke gegevens je mag verwerken wordt immers bepaald door de Wet bescherming persoonsgegevens. Daarin staat weliswaar dat je gegevens over iemand mag verwerken wanneer die persoon toestemming heeft gegeven, maar deze vorm van chantage kan naar mijn mening moeilijk als toestemming in de zin van de Wbp worden gekwalificeerd.
In versie 2.0 van de Facebook API zijn de permissies die je geeft optioneel. Dat wil zeggen dat gebruikers zelf kiezen welke door de applicatie gevraagde gegevens ook daadwerkelijk verstrekt worden. Die keuzemogelijkheid komt in de vorm van een opt-out, dus je moet wel zelf bij het inloggen even doorklikken. Dat ziet er als volgt uit:
Is het juridisch voldoende?
Het is de vraag of de applicaties die gebruik maken van de Facebook Login nu volledig wbp-proof zijn, en op die vraag bestaat maar één antwoord: dat hangt af van de omstandigheden van het geval. Ik ben van mening dat er nog steeds geen sprake is van toestemming in de zin van de Wbp. Ik heb nu weliswaar controle over welke gegevens gedeeld worden met een applicatie, maar ik weet nog altijd niet wat de applicatie precies gaat doen met mijn gegevens. Toch is het een grote stap in de goede richting voor die gevallen dat een app-ontwikkelaar zich beroept op een andere mogelijke grondslag voor de verwerking van persoonsgegevens: het gerechtvaardigd belang van de ontwikkelaar.
In het kader van die grondslag vindt een belangenafweging plaats tussen de belangen van de verantwoordelijke – de ontwikkelaar – en het privacybelang van de gebruiker. In het kader van die belangenafweging is het relevant of er een opt-out geboden wordt voor de verzameling van gegevens door de verantwoordelijke. Met de aanpassingen aan Facebook Login wordt deze opt-out in ieder geval geboden. Daarmee is zeker niet alles gezegd, want per geval zal de belangenafweging anders uitvallen. Nog beter zou het overigens zijn wanneer de opt-out zich direct op het login-scherm zou bevinden en je als gebruiker niet eerst hoeft door te klikken.
