En forskergruppe som har skrevet en rapport på vegne av det belgiske datatilsynet hevder at Facebook samler inn informasjon om nettbrukere uten Facebook-konto, brukere som er logget ut, samt brukere som aktivt har valgt å ikke bli sporet. Den belgiske rapporten konkluderer med at brukerne får for dårlig informasjon og mangler kontroll over egne personopplysninger. Facebook mener på sin side at forskerne i hovedsak tar feil.

Sporer avloggede brukere og ikke-brukere

Mange nettsider har installert Facebooks «social plug-ins» som er dele-, anbefal- eller liker-knapper knyttet opp mot Facebook. «Liker»-knappen er den mest brukte og er tilstede på mer enn 13 millioner sider. For eksempel har dagbladet.no, finn.no og nrk.no Facebook-plug-ins på sine nettsider. Forskerne bak rapporten oppdaget at hvis du har vært innom facebook.com, uavhengig om du er medlem eller ikke, har Facebook lagt igjen en eller flere informasjonskapsler på maskinen eller mobilen din. Facebook kan da samle inn informasjon om alle nettsider du besøker som har en social plug-in. Med andre ord:

• Facebook sporer hvilke nettsider brukerne besøker (selv om brukeren ikke benytter seg av plug-ins og selv om brukeren ikke er logget inn hos Facebook)
• Facebook sporer også ikke-brukere

På sine egne nettsider informerer Facebook om at de er i ferd med å rulle ut en ordning der nettaktiviteten din blir kartlagt for å skreddersy reklamen du ser. Kartleggingen skjer automatisk, og hvis du ikke ønsker å bli kartlagt må du selv skru av denne funksjonen. I personvernerklæringen oppgir Facebook at de vil kartlegge nettaktiviteten selv om du skrur av denne funksjonen, men de vil ikke bruke det til markedsføringsformål. Enda mer interessant er det at forskerne mener å ha funnet ut at hvis europeiske ikke-brukere går inn på Facebook for å registrere at de ikke ønsker å bli kartlagt av Facebook-plug-ins blir de sporet av en informasjonskapsel som ligger lagret hos brukeren i to år!

For dårlig informasjon og brukerstyring

Den belgiske rapporten er kritisk til at informasjon om hvordan personopplysningene til Facebookbrukere benyttes er vag og lite konkret. Brukerne har også for liten mulighet til å styre hvordan opplysningene deres blir brukt i markedsføring. Det er ikke mulig for brukeren å sette begrensninger med hensyn til hvilke opplysninger som man ikke vil skal bli brukt i markedsføring. Trykker du «liker» på noe kan du ble del av et sponset innlegg eller en reklame. Du kan «opte-out» av sistnevnte, mens eneste måten å ikke være del av sponsede innlegg er å la være å «like».

Et annet eksempel på dårlig tilrettelegging for brukerstyring er lokasjonsdata. Den eneste måten å skru av at Facebook-appen henter lokasjonsdata er å stenge denne funksjonen i operatørinnstillingene på telefonen. Her kunne isteden lokasjonsinnhenting vært skrudd av «by default» slik at brukeren selv kunne åpne for denne funksjonen hvis hun ønsker det. Rapporten mener at Facebook bør gi brukeren mer kontroll på hvordan opplysningene deres blir brukt, samt gi bedre informasjon – blant annet vise hvordan navn og bilde faktisk blir brukt til markedsføring.

Mangler samtykke; bryter loven

Personvernlovgivningen i Europa krever at Facebook må få samtykke fra brukeren, for eksempel ved bruk av personopplysninger i markedsføring. For at samtykket skal være gyldig skal det være informert, frivillig og uttrykkelig. Rapporten hevder at med den begrensede informasjonen og valgfriheten brukeren får feiler Facebook når det kommer til lovpålagt samtykke på flere punkter. Et eksempel er personverninnstillingene som krever at brukeren kan trykke «opt-out» for bruk av persondata til markedsføring. Det vil si at brukeren aktivt selv må ta grep selv for å ikke bli kartlagt for markedsføringsformål – dette teller ikke som gyldig samtykke.

Facebook vet mer om deg

Mengden informasjon Facebook samler om brukerne sine øker, både horisontalt og vertikalt. Facebook samler horisontal informasjon om brukere fra ulike kilder. Samtidig bygger de databasen også vertikalt ved at de har mange forskjellige typer detaljert informasjon om brukere. Det hele startet som en sosial greie på et gutterom på et universitet i USA, mens i dag er Facebook verdt over 200 milliarder dollar og en av de største på markedsføring på nett. Som Facebookbruker er det lett å få en bismak i munnen når jeg leser rapporter som dette. Ikke minst fordi det er vanskelig å forstå hvordan Facebook egentlig bruker opplysninger om meg, og hvilken informasjon de faktisk har om meg.

Bakgrunn: Det belgiske datatilsynet står bak rapporten som er skrevet av forskere ved Centre of Interdisciplinary Law and ICT (ICRI) og Computer Security and Industrial Cryptography department (Cosic) ved Universitetet i Leuven, og Media, information and telecommunication department (Smit) ved Vrije Universiteit Brussels. Siste versjon av rapporten ble publisert den 31. mars 2015. Vil du vite mer kan du også lese Guardian eller Digi.nos dekning av saken.