Schrems' klachten, die bij de Ierse privacywaakhond DPC de belangrijkste aanzet vormden tot het rapport over Facebook, is niet langer welkom in Dublin. Met de actie Europe versus Facebook diende hij vele tientallen klachten in die leidden tot een 150 pagina's tellend vernietigend rapport over Facebooks privacy. Nooit tevoren was Facebook zozeer in het nauw gebracht over privacy.

Geen dank

Schrems bleef echter fel actievoeren, ook gericht tegen de DPC. Hij vond dat die openheid van zaken moest geven over de wijze waarop het rapport tot stand was gekomen en hoe het verder zou gaan. Zonder die informatie, zei Schrems, was het onmogelijk om na te gaan of Facebook afdoende werd aangepakt, en zo ja hoe dan. Hij ging er toe over om het kantoor van de waakhond incompetent te noemen en niet in staat om een concern als Facebook echt aan te pakken.

Dat is hem kennelijk niet in dank afgenomen door de Ierse waakhond. Vandaag meldt Schrems dat de DPC hem via sms heeft laten weten dat hij niet langer een gesprekspartner is.

Max Schrems, desgevraagd: "We hadden veel verwacht na de discussie afgelopen tijd, maar niet zo'n soort bericht. We overleggen straks met onze Ierse advocaten wat we nog kunnen doen. Een rechtszaak beginnen is erg duur, wel 100.000 euro. We hopen dat toezichthouders en andere landen, vooral in Duitsland, zich hiermee bezig gaan houden. Eventueel gaan we naar het Europese Hof."

Facebook past aan

In een poging te voldoen aan de Europese privacyrichtlijn biedt Facebook gebruikers tegenwoordig inzicht in een groot deel van de opgeslagen data. Facebook heeft jarenlang verzoeken van Europese gebruikers genegeerd die wilden weten welke data het verzamelde. Na ingrijpen van de privacywaakhond in Ierland, waar Facebook Europe is gevestigd, werd Facebook verplicht de informatieplicht in orde te brengen. Dat poogt Facebook nu te doen.

In de Wet bescherming persoonsgegevens staat in artikel 35: "De betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt. De verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt."

In alle lidstaten van de Europese Unie is dit wet op grond van de Europese privacyrichtlijn van 1995. Ook in de nieuwe privacyverordening komt dit te staan. Of het nu gaat om Nederlandse bedrijven als Sanoma of Telegraaf, of buitenlandse grootmachten als Amazon, Google of Facebook, ze zijn verplicht ieder individu antwoord te geven. Facebook voldeed er niet aan.

Schrems kreeg vanuit het Amerikaanse hoofdkantoor van Facebook in 2011 onverwacht wel data, uitgeprint meer dan duizend pagina's met bijvoorbeeld al zijn toegekende maar ook afgewezen vriendverzoeken over vele jaren.

Dit veroorzaakte een golf van dergelijke verzoeken om informatie van Europese gebruikers, zo'n 40.000 in totaal. Paniek bij Facebook was het gevolg. Dit was af te leiden uit eerst het weghalen van het online formulier voor het publiek om data op te vragen en vervolgens de pogingen om de verzoeken daartoe te weerleggen.

Wie in de laatste maanden van 2011 een e-mail stuurde (naar [email protected]) met een verzoek om persoonlijke data op grond van EU Directive 95/46/EC, kreeg als antwoord een gedeelte uit de privacyverklaring waarin werd opgesomd welke gegevens Facebook kan verzamelen. Dat was echter lang niet alles dat door Facebook werd verzameld, en het was ook niet gespecificeerd.

"Je kunt alle gegevens die je op Facebook hebt gepost downloaden", beweerde Facebook eveneens in het standaard antwoord per e-mail op een verzoek om data. Maar dat waren enkel de data die je ooit hebt gepost en die ook beschikbaar kwamen voor je eigen Tijdlijn. Je kunt ze ophalen in een Zip-bestand.

Overleg in Dublin

Facebook zou er werk van maken en in juli 2012 vond er opnieuw overleg plaats tussen de DPC en Facebook. Dat overleg was intensief, het duurde vier dagen, van 10 tot 13 juli, wat nodig was gezien de vele pijnpunten die er nog resteren. "Eind september, begin oktober zullen we met een update komen van het rapport van december", aldus de woordvoerster van de DPC in Dublin. Over de uitkomst wil ze niets zeggen.

Wat betreft de informatieplicht verwijst ze naar wat Facebook nu biedt. Dat blijkt omvangrijk te zijn. Wie naar bovenstaand adres een bericht stuurt krijgt een automatisch bericht terug. Daarin wordt behalve naar de privacyregels en de Timeline naar veel meer data verwezen, onder meer zichtbaar in de 'activity log' een 'expanded archive', benaderbaar via Account Settings.

Daarin staan vriendverzoeken, telefoonnummers, cookie-informatie, relaties, IP-nummers van het in- en uitloggen. Het is nog niet compleet, zegt Facebook erbij. Zelfs personen die geen deelnemer van Facebook (meer) zijn, kunnen een poging doen om hun opgeslagen data op te vragen.

In hoeverre de Ieren tevreden zijn moet later blijken. De praktijk van de afgelopen jaren leerde dat Facebook louter aan regels voldoet als het daartoe op harde wijze wordt gedwongen. Wellicht komen er voor eind September nog meer elementen bij

Schrems waarschuwde vorig jaar dat je 22 datasets kon downloaden van je profiel en uitingen, maar dat dit lang niet alles was wat Facebook verzamelt. Hij kreeg zelf 57 onderdelen, maar vermoedde dat er meer dan honderd in totaal waren opgeslagen.