Er zijn fundamentele beginselen voor consumentenbescherming die de moeite waard zijn om te herhalen wanneer de gelegenheid zich voordoet. Het besluit van de FTC werd zojuist bekendgemaakt op Cambridge Analytica zaak biedt een dergelijke mogelijkheid.
Je zult zeker willen lezen klacht om het volledige beeld te krijgen, maar hier zijn enkele belangrijke feiten. Eind 2013 of begin 2014 hoorde Cambridge Analytica – dat zichzelf omschrijft als een “data science marketing- en adviesbureau” – van onderzoek waaruit bleek dat iemands Facebook-profielgegevens konden worden gebruikt om hun persoonlijkheidskenmerken te voorspellen. Cambridge Analytica wilde de informatie voor kiezersprofilering, microtargeting en andere diensten die zij aanbiedt aan haar Amerikaanse politieke marketing- en campagneklanten.
Hoe kreeg Cambridge Analytica toegang tot de gegevens? Dit is waar de Graph API van Facebook relevant wordt. (Een API – een application programming interface – is een set protocollen en tools voor het bouwen van applicaties.) Facebook’s Graph API versie 1 verzamelde een grote hoeveelheid profielinformatie van gebruikers die een bepaalde applicatie rechtstreeks hadden geïnstalleerd of ermee interactie hadden gehad. Ze verzamelen deze gegevens ook van hun Facebook-vrienden – mensen die helemaal geen interactie hebben met de app. In 2014 introduceerde Facebook versie 2, waardoor ontwikkelaars geen profielgegevens van vrienden van app-gebruikers konden verzamelen. Maar Facebook sluit bestaande apps uit, zodat ze gedurende een langere periode in het geheim gegevens kunnen blijven verzamelen. (Deze oefening is een onderdeel van $ 5 miljard FTC-handhavingsactie tegen Facebook.)
Het beleid van Facebook maakte apps met versie 1 bijzonder aantrekkelijk voor Cambridge Analytica. Het bedrijf deed zaken met ontwikkelaar Aleksandr Kogan, die een versie 1-app had geregistreerd op het Facebook-platform die kon worden gebruikt om de profielgegevens te verzamelen die Cambridge Analytica wilde. Maar toen Cambridge Analytica de app begon te gebruiken, beschuldigde de FTC het bedrijf ervan consumenten niet de waarheid te vertellen over de informatie die het verzamelde. Op basis van de klacht krijgen app-gebruikers bericht:
. . . (Wij) willen graag een aantal van uw Facebook-gegevens downloaden met behulp van onze Facebook-app. We willen dat u weet dat we uw naam of andere identificerende informatie NIET zullen downloaden – we zijn geïnteresseerd in uw demografische gegevens en voorkeuren.
Dat was, zo beweerde de FTC, overduidelijk onjuist omdat de app onder meer de Facebook-ID’s verzamelde van minstens 250.000 Facebook-gebruikers die rechtstreeks met de app communiceerden – en Facebook-ID’s konden worden gebruikt om gebruikers te identificeren. De app verzamelt ook Facebook-ID’s, namen en andere informatie van tussen de 50 miljoen en 65 miljoen Facebook-vrienden van de gebruiker.
Cambridge Analytica gaf ook toe deel te nemen EU-VS-privacyschildkader en om te voldoen aan de principes van het Privacy Shield, twee aanvullende claims die volgens de FTC vals of frauduleus zijn.
Cambridge Analytica CEO Alexander Nix en app-ontwikkelaar Aleksandr Kogan ondertekenden voorgestelde schikking met de FTC, maar de zaak tegen Cambridge Analytica gaat door. Het bedrijf, dat in mei 2018 failliet ging, reageerde niet, en volgens de FTC-regels betekende dit een afstand doen van zijn recht om de aantijgingen in de klacht te betwisten. Daarom heeft de Commissie een beslissing oordeelde dat Cambridge Analytica Sectie 5 van de FTC Act had geschonden en legde een bevel op waarin onder meer werd geëist dat Cambridge Analytica frauduleus verkregen Facebook-gegevens en alle gerelateerde werkproducten zou verwijderen. Het bevel vereist ook dat het bedrijf voldoet aan zijn lopende verplichtingen onder het EU-VS Privacy Shield Framework.
De volgende basisprincipes voor consumentenbescherming worden in het besluit benadrukt: Het verbod van de FTC Act op oneerlijke of bedrieglijke praktijken omvat onjuiste voorstellingen over de manier waarop bedrijven omgaan met de persoonlijke informatie van consumenten. De Commissie voerde aan dat de belofte van Cambridge Analytica aan app-gebruikers dat zij hun naam of andere identificerende informatie niet zouden downloaden vals en misleidend was. Bovendien is de claim “een duidelijke claim en wordt daarom als materieel beschouwd.” Daarom hoeft de Commissie niet “afzonderlijk te onderzoeken hoe deze claims door een redelijke consument zouden worden geïnterpreteerd.” De Commissie kwam tot een soortgelijke conclusie met betrekking tot de valse en misleidende verklaringen van Cambridge Analytica over deelname aan het EU-VS Privacy Shield Framework en de naleving van de beginselen ervan.
Als uw bedrijf beweringen doet over de manier waarop u consumenteninformatie gebruikt, bedenk dan dat die beloften – zoals elke objectieve verklaring – waarheidsgetrouw moeten zijn en ondersteund moeten worden door een passende onderbouwing.
