• Lars de Bie

Mega boete voor Twitter na misleidende privacy praktijken

De Verenigde Staten (VS) staan niet bekend om haar strenge privacywetgeving. Waar de EU al in 1995 de eerste richtlijn op het gebied van privacy heeft aangenomen, bestond het recht op privacy in de VS vrijwel alleen op basis van de grondwet. Specifieke wetten ter bescherming van het recht op privacy waren er dan ook niet. Opmerkelijk genoeg worden er in de VS tegenwoordig wel hoge boetes uitgedeeld op het schenden van dit recht, vaak middels de civiele weg. Zo heeft Twitter op 25 mei 2022 een schikking getroffen met de Federal Trade Commission (FTC), de Amerikaanse evenknie van de Nederlandse Autoriteit Consument & Markt. Twitter moet $150.000.000 (bijna €140.000.000) betalen omdat zij de informatie, die gebruikers ter beveiliging van hun account opgaven, ook gebruikte voor advertentiedoeleinden.


In deze blog zal ik allereerst de achtergrond van de zaak schetsen. Vervolgens zal de schikking tussen Twitter en de FTC worden besproken. Tot slot zal ik kort ingaan op de vraag of een soortgelijke zaak ook in de Europese Unie tot een boete zou kunnen leiden.


Achtergrond

In deze zaak ging het onder meer om het gebruik van tweestapsverificatie (Engels: two-factor authentication of 2FA), dat door steeds meer websites wordt aangeboden. Door je telefoonnummer op de website achter te laten moet je vanaf elke nieuwe locatie, naast je wachtwoord, ook een code doorgeven die je ontvangt per sms.


Bij Twitter bestond te mogelijkheid tot het inschakelen van 2FA sinds 2013. Daarnaast stuurde Twitter ook berichten aan gebruikers dat 2FA het account van de gebruiker veiliger zou maken en dat het daarom een goed idee was om 2FA in te schakelen. Volgens het boetebesluit van de FTC hebben ongeveer 2.000.000 gebruikers hun telefoonnummer voor 2FA-doeleinden verstrekt. Twitter raadde gebruikers verder ook aan om een (extra) e-mailadres of telefoonnummer op te geven ter beveiliging van het account. Als gevolg hebben 37.000.000 gebruikers deze informatie aan Twitter verstrekt. Verder verplichtte Twitter in sommige gevallen dat gebruikers hun telefoonnummer verstrekte, bijvoorbeeld wanneer er verdachte handelingen werden verricht vanaf het Twitter account. Als gevolg hiervan hebben nog eens 104.000.000 gebruikers hun telefoonnummer of e-mailadres verstrekt. In geen van de drie genoemde situaties heeft Twitter benoemd dat de verstrekte informatie ook gebruikt zou worden voor advertentiedoeleinden.


De schikking

Volgens de FTC heeft Twitter met bovenstaande praktijken consumenten misleid. Door niet duidelijk aan te geven dat de informatie ook gebruikt zou worden voor advertentiedoeleinden is essentiële informatie achtergehouden wat volgens de FTC een overtreding is van Section 5(a) van de FTC Act, 15 U.S.C. § 45(a). Daarnaast betekent deze overtreding ook dat Twitter zich niet heeft gehouden aan de standaarden die zij moet naleven volgens het Privacy Shield.


Naast de huidige schikking heeft de FTC in 2011 al met Twitter een andere schikking getroffen, waarin werd afgesproken dat Twitter duidelijk moest zijn over hoe zij omgaat met de persoonsgegevens van gebruikers. In deze schikking is uitdrukkelijk bepaald dat de keuzes van gebruikers gerespecteerd moesten worden. In dit geval is hier onvoldoende rekening mee gehouden. Waar gebruikers redelijkerwijs mochten verwachten dat de ingevulde gegevens alleen gebruikt zouden worden voor de beveiliging van hun account, werden deze ook gebruikt om advertenties persoonlijker te maken. Gezien de gebruikers hierdoor schade hebben geleden, achtte de FTC het nodig om een punitieve, civiele vordering te eisen. Uiteindelijk heeft dit geleid tot de schikking van $ 150.000.000, waardoor een, mogelijk jarenlange, rechtszaak vermeden wordt.


Hoe zit het in de EU?

Ook in de EU is het bovenstaande niet toegestaan op grond van de Algemene Verordening Gegevensbescherming (AVG). Allereerst bepaalt artikel 5 van de AVG dat persoonsgegevens niet zomaar mogen worden verwerkt voor een ander doel dan het doel waarvoor de persoonsgegevens verzamelt zijn. In dit geval zou dat betekenen dat de persoonsgegevens alleen voor beveiligingsdoeleinden mogen worden verwerkt en niet zomaar voor advertentiedoeleinden mogen worden gebruikt. Ook bepaalt dit artikel dat persoonsgegevens op een transparante wijze moeten worden verwerkt.


Verder is het de vraag in hoeverre Twitter een geldige grondslag heeft om deze persoonsgegevens voor advertentiedoeleinden te verwerken. Volgens artikel 6 van de AVG is er immers slechts een beperkt aantal grondslagen op basis waarvan persoonsgegevens kunnen worden verwerkt. In dit geval zou het kunnen gaan om toestemming van de gebruiker of een gerechtvaardigd belang van Twitter. Voor zover Twitter een gerechtvaardigd belang heeft bij de beveiliging van accounts gaat deze grond in ieder geval niet op voor de advertentiedoeleinden. Volgens de Autoriteit Persoonsgegevens is een zuiver commercieel belang immers geen gerechtvaardigd belang zoals bedoeld in de AVG. Ook is er geen sprake van geldige toestemming van de gebruikers, omdat zij nergens expliciet akkoord hebben gegeven op het verwerken van de informatie voor advertentiedoeleinden. Deze toestemming ontbrak des te meer omdat gebruikers überhaupt niet op de hoogte waren van de gegevensverwerking voor advertentiedoeleinden. Twitter heeft dus met het misleiden van de consument zowel de Amerikaanse wetgeving als de schikking uit 2011 met de FTC geschonden. Omdat Twitter met deze misleiding onduidelijk was over de verwerking van de persoonsgegevens van de gebruikers kan ook worden gesteld dat de AVG is geschonden.