1. Toezichthouders en politici met hun eigen hobby's

Hoe vaak en hoe intensief is Facebook nu al aangepakt door verschillende toezichthouders? Vorige week kregen we het Ierse onderzoek gepresenteerd. De inkt van de grote schikking met de FTC was ternauwernood droog.

Nog maar een paar maanden terug was er het Scandinavische onderzoek, waarvoor maar liefst vier nationale toezichthouders gezamenlijk in het strijdperk traden. Verder waren er diverse Duitse onderzoeken, het aantal en de aard daarvan zijn moeilijk bij te houden. Elke deelstaat heeft daar een eigen waakhond. Ze bieden tegen elkaar op om bombarie te maken in de pers, want dat rechtvaardigt dezer dagen het bestaansrecht.

Het is misschien een idee dat deze toezichthouders het een en ander aan onderzoeken gaan coördineren, teneinde gezamenlijk tot een wezenlijke strategie te komen om Facebook in de gaten te houden.

De verschillende parlementen zouden daar ook een rol in kunnen spelen. Nu doen ze om het hardst mee in het roeptoeterfeest, van Den Haag tot Washington. De hoorzitting in het Huis van Afgevaardigden is nog niet afgesloten, of er gaan vingertjes omhoog op het Binnenhof. En dan hebben we nog geen weet van parlementariërs in Spanje, Mexico, Finland, Turkije en alle Amerikaanse deelstaten die in Facebook een mooi middel zien om het nieuws weer eens te halen.

2. Gebrek aan kennis en daadkracht

Een cookie hier, een tag daar; politici pakken wat op van een onderzoek, horen eens wat van een dochter of neef, en beginnen heisa te maken dat de privacy van Facebook niet deugt. Ondertussen zien ze ook dat het diezelfde dochter en neef eigenlijk geen bal kan schelen wat die ouwelui roepen over privacy, want ze willen na een avondje stappen elkaar gewoon nog lekker tarten met wat ze hebben beleefd.

Maar van toezichthouders mag je beter verwachten. Niet alleen hebben ze zeeën van tijd om uit te zoeken hoe het precies zit, ze hebben ook nog eens de mogelijkheid om Facebook erbij te roepen en om tekst en uitleg te vragen. Dit vertraagt het rapporteren wel, maar je kon de laatste jaren toch al geen privacytoezichthouder op enige haast of urgentie betrappen, terwijl het op internet in een moordend tempo gaat. Zeker bij een partij als Facebook die een weergaloze ontwikkeling doormaakt.

Lees je dan bijvoorbeeld de uitkomsten van het Scandinavische onderzoek, dan springen de tranen je in de ogen. Daar spreekt een amateurisme uit dat je, als je de bevoegdheid zou hebben, de betreffende ambtenaren met een laatste enkele reis naar moeders of vaders de vrouw thuis terug zou sturen om voortaan maar sokken te gaan breien.

Zelfs de Amerikaanse toezichthouder FTC kwam met een rapport over wat de nieuwe (!) regels van Facebook behelsden, de regels van anderhalf jaar terug. Op bijna alle punten had Facebook ondertussen aanpassingen gemaakt.

Wel komt er daar nu een periodieke audit. En Facebook kan een boete van maar liefst 16.000 euro krijgen. In geen enkel land is het beter gesteld met mogelijkheden om privacyschendingen te straffen.

3. Aalglad Facebook

Dit weet Facebook maar al te goed en het lacht zich dood om al die malle toezichthouders en politici die hun mollige vingertjes in de dijk willen steken. We kennen het ritueel al van (overigens wel uitstekend) Canadees onderzoek van een paar jaar terug: eerst zegt Facebook dat de aantijgingen niet juist zijn, meestal omdat een detail niet klopt. Vervolgens komt er overleg, een openbare uitleg en een bericht dat Facebook het een en ander zal aanpassen, de eerst volgende keer dat privacy op de agenda staat. Of er is ineens al iets aangepast, maar dan zo dat de gebruikers er niets aan hebben, maar die er wel voor zorgt dat de toezichthouder niet ingrijpt.

Voor een boek over Facebook dacht ik dat ik vlot het naadje van de kous te weten kon komen over Facebook, nadat dit eerder bij Google ook was gelukt. Vergeet het maar. Niet alleen bleek het buitengewoon moeilijk om alle finesses op een rij te krijgen, maar Facebook veranderde gedurende onze wedren voortdurend de spelregels door de inhoud en de indelingen van de privacyvoorschriften aan te passen, door niet zelden brakke vertalingen te leveren, onbegrijpelijke nieuwe zinnen en verwijzingen toe te voegen, om het nog ingewikkelder te maken dan het al was.

Mooiste voorbeeld van de aalgladheid van Facebook was het 'lekken' naar Wall Street Journal in september dat het 'taggen' van derden in foto's met de nieuwe privacyregels beperkt zou worden. Bij nader inzien was dit maar heel beperkt het geval.

4. De essentie wordt gemist

Het volgende is een schoolvoorbeeld van hoe over het algemeen de essentie wordt gemist van wat er met Facebook aan de hand is. Gek genoeg kwam het naar boven door de actie van de Oostenrijkse student Max Schems. Die vroeg bij Facebook in het kader van Europese privacyregels om al zijn opgeslagen data. Hij kreeg uit Silicon Valley een cd opgestuurd, iets wat niemand tot op heden was gelukt. Schrems diende vervolgens uigebreide klachten in bij de Ierse privacywaakhond DPC, omdat in Ierland het Europese hoofdkantoor van Facebook is gevestigd.

Schrem legde de vinger precies op de zere plek: het gaat er helemaal niet alleen om wat je al dan niet deelt of gesloten houdt voor vrienden op het sociale netwerk. Er is er ook een vorm van privacy in de relatie met Facebook. Dat slaat namelijk tonnen aan informatie op over ons en onze relaties, om daar een eigen profiel van te bouwen. Dat gebruikt het vervolgens bij het serveren van reclame en voor wie weet welk ander doel.

5. Een piepklein waakhondje

De Irish Data Protection Commissioner moet haar taak uitvoeren met minder dan twintig medewerkers. Hoe kun je in vredesnaam dan molochs als Facebook en Google (Europees hoofdkantoor staat eveneens in Dublin) goed aanpakken?

Maar nu komt het mooie kerstverhaal: het rapport over Facebook dat de in de DPC-kribbe ligt heeft alle kenmerken in zich van een verlosser van de Facebook machinerie. Zo zal Facebook ondermeer:

* worden beperkt in het gebruik van de gegevens voor gerichte reclame;

* het privacybeleid op veel punten moeten verbeteren zodat het eindelijk echt begrijpelijk wordt;

* het opslaan van data vanuit het gebruik van plug-ins op websites van derden aanmerkelijk moeten beperken;

* alle tot nu toe 40.000 gebruikers die hebben verzocht om een kopie van hun gegevens deze ook werkelijk moeten verstrekken, een 'hell of a job';

* Een opt-in moeten invoeren voor gebruik van je naam en foto in reclame;

* Gebruik van gezichtsherkenning aanmerkelijk moeten beperken en gebruikers zullen opnieuw moeten vragen om hun toestemming.