Een intern document van Facebook is naar Vice/Motherboard gelekt. Het beschrijft hoe Facebook zelf geen zicht, en ook geen grip, heeft op hoe het persoonsgegevens gebruikt. Ze weten zelf niet wat ze hebben en ze weten ook niet waar het terechtkomt.
https://www.vice.com/en/article/akvmke/facebook-doesnt-know-what-it-does-with-your-data-or-where-it-goes
Behalve het artikel is het gelekte document zelf interessant, het beschrijft hoe Facebook heeft geprobeerd hier grip op te krijgen, maar ook dat het resultaat niet volstaat. Het document zegt letterlijk:
We can’t confidently make controlled policy changes or external commitments such as ‘we will not use X data for Y purpose.’ And yet, this is exactly what regulators expect us to do.
Het document bevat een visualisatie van de “dependency chain” van de 15.000 features die hun advertentiemodellen weergeven, met een uitvergroting van de 6.000 tabellen die gebruikt worden om één kenmerk (“user_home_city_moved”) te produceren. Zie inderdaad maar grip te krijgen op dat soort complexiteit, dat overstijgt met afstand wat mensen kunnen bevatten.
Het risico voor Facebook dat het document beschrijft is dat er sinds de AVG is ingegaan wereldwijd steeds meer van dat soort wetgeving komt. Het stelt dat ze in 2018-2020 nog de luxe hadden dat ze één zo’n reglement tegelijk konden aanpakken, maar dat er nu een tsunami op ze afkomt. Maar zonder zelf te weten wat men verwerkt en waar het terecht kan komen voldoet men helemaal niet aan de AVG. Alleen al aan de vereiste dat men aan betrokkenen in begrijpelijke taal moet uitleggen wat er met hun persoonsgegevens gebeurt valt bij zo’n systeem volstrekt niet te voldoen. Ze zijn in 2022 dus volstrekt nog niet klaar met wat in 2018 als eerste op ze af is gekomen. Ze wekken niet de indruk dat te beseffen.
Uit de brief van Van Huffelen haal ik dat de nadruk bij de beoordeling van privacy heeft gelegen op wat de overheid zelf doet met persoonsgegevens, en niet wat het gebruikte platform er ondertussen nog meer mee doet. Ze eindigt met beschrijven dat voor onder andere Google en Microsoft eerder DPIA’s zijn opgesteld (wat nu voor Facebook gaat gebeuren), en dat bij Google Workspace 10 hoge risico’s gevonden waren, en dat Google heeft toegezegd die weg te nemen.
Als Facebook zelf geen zicht en geen grip heeft op wat het met persoonsgegevens doet, dan kan je afspreken met Facebook wat je wilt, maar die zijn dan domweg niet in staat om hun afspraken na te komen. Dan zijn die afspraken dus niets waard.
Ik hoop dat dit in het onderzoek wordt meegenomen, en dat men snapt dat het hier gaat om waar persoonsgegevens terecht komen en niet alleen maar over wie verantwoordelijk gesteld kan worden voor wat er mis mee gaat.
Bron: Security.nl