Zeer recent maakte Meta, het bedrijf achter Facebook, een belangrijke koerswijziging bekend. De voorbije 15 jaar herhaalde Mark Zuckerberg te pas en te onpas dat “Facebook will always be free”, maar sinds vorige week is dat niet langer automatisch het geval in de Europese Unie. Facebook (en Instagram) zijn vanaf nu enkel nog gratis als je toestemming geeft aan Meta om jouw gebruikersdata te gebruiken (te verkopen dus) voor advertentiedoeleinden. Wil je dat niet (meer), dan betaal je vanaf nu 10 euro per maand (voor gebruik van Facebook of Instagram op je laptop) of 13 euro per maand (voor gebruik op je smartphone of tablet).
Wat verandert er precies voor Europese gebruikers, waar komt deze verandering vandaan en wat denken privacy professionals hiervan?
Onze eerste reactie: maar Facebook was nooit gratis…
“If it’s free, you’re the product” is een boutade die we wel vaker horen in de context van social media, apps en allerlei online platformen en het is in dit geval een volkomen terechte stelling. Geen enkel bedrijf biedt zomaar “gratis” diensten aan. Elk bedrijf wil immers winst maken voor zijn aandeelhouders en dat betekent dat achter elke app, service of social media platform ook een verdienmodel zit.
Dat verdienmodel is in het geval van Meta bij Facebook en Instagram en bij veel andere gelijkaardige services heel eenvoudig: hun bedrijfsmodel draait om het verzamelen en verwerken van gebruikersdata om gerichte advertentieprofielen te creëren. In 2022 genereerde Meta op deze wijze maar liefst 113 miljard Dollar uit advertenties, wat 97.5% van hun totale inkomsten uitmaakte.
De kern van Facebook’s model is natuurlijk het (gratis) aanbieden van een platform voor sociaal netwerken, waar gebruikers hun ganse privéleven publiek delen, zodat Meta al deze soms erg persoonlijke details over jouw en mijn leven kan verzamelen, verwerken,verpakken en in profielen kan gieten om vervolgens die profielinformatie te verkopen aan de hoogstbiedende adverteerder. Facebook is vanuit dat oogpunt gezien niet een gratis social media netwerk, maar gewoon de meest performante reclamemachine uit de geschiedenis. Dat alles is niet toevallig gegroeid, het is het resultaat van een doordachte marketingstrategie, waarbij gebruikers met zeer gerichte technieken steeds langer en vaker naar Facebook gelokt worden en daar gehouden worden, met als enige doel om hen meer gerichte advertenties te kunnen tonen.
Vraag je je nooit af waarom je die interessante post die je later even wilde lezen niet meer terugvindt in je feed of waarom je eindeloos moet doorscrollen om bij dat bericht van je beste vriend of vriendin te komen of waarom Facebook je permanent pushberichten stuurt als iemand je post liket of een comment achterlaat? Eén reden: zorgen dat jij vaker en langer online bent, om vaker en langer naar reclame te kijken. And we all fell for it…
Het probleem bij online datacollectie: GDPR en “vrije” toestemming
De GDPR (de Algemene Verordening Gegevensbescherming of ook AVG), die sinds mei 2018 van kracht is, heeft echter de voorbije jaren binnen de EU de regels rond gegevensbescherming bijzonder hard aangescherpt. Wie persoonsgegevens wil verzamelen tijdens online surfsessies of tijdens het gebruik van social media kan dat eigenlijk alleen als hij of zij daarvoor de vrije, voorafgaande, geïnformeerde en actieve toestemming vraagt van de betrokkene. Dat geldt niet enkel voor Facebook, maar voor alle online marketing, natuurlijk. Het is ook één van de voornaamste redenen waarom bijvoorbeeld het TCF framework van IAB Europe onder vuur kwam te liggen in het verleden.
De regels rond consent betekenen dat gebruikers van online diensten vooraf precies moeten weten wat de website met hun gegevens doet en zelf, actief en vrij moeten kiezen om dat gebruik toe te laten of te weigeren. “Vrije” toestemming betekent immers dat de gebruikers een echte, vrije, keuze moet geboden worden, zonder daarbij negatieve gevolgen te ondergaan bij een eventuele weigering van die toestemming.
Zowel de GDPR zelf als de rechtspraak van het Europees Hof zijn wat dat betreft erg duidelijk en heel wat tech giganten kwamen al eerder in de problemen omdat ze geen correcte toestemming vragen aan hun gebruikers.
Ook bij kleinere bedrijven hebben marketeers en web managers overigens de grootste moeite om de regels rond opt-ins en consent correct toe te passen. Toestemming moet vrij zijn, dat zeiden we al. Maar toestemming vereist ook een actieve daad en kan nooit vermoed of impliciet worden. Nochtans blijven wij dagelijks websites zien met de boodschap “door verder te surfen ga je ermee akkoord dat..” (impliciete opt-in) of wedstrijdformulieren waar een opt-in voor direct marketing gegeven moet worden om te kunnen deelnemen of waar een account aangemaakt moet worden om toegang te kunnen krijgen tot het aanbod (afgedwongen of verplichte opt-in).
Het bochtenwerk van Meta
Bij dat alles zien we dat grote social mediabedrijven heel lang de kantjes van de GDPR afgelopen hebben. Ofwel werd helemaal geen consent gevraagd en ging men er van uit dat men een gerechtvaardigd belang had om het surfgedrag van mensen te gebruiken voor advertentiedoeleinden, ofwel werd consent impliciet verondersteld en moest je als gebruiker zelf op zoek naar de opt-out, ofwel werden de doelstellingen zo verpakt dat geen mens begreep waarvoor precies hij of zij toestemming gaf. Dat blijkt overigens in onze ogen ook uit de vele hoaxberichten op Facebook, waar gebruikers ertoe aangezet worden om een bericht copy/paste over te nemen om er zogezegd voor te zorgen dat Facebook hun data niet meer zou gebruiken. Het succes van die hoaxes toont aan dat Facebookgebruikers eigenlijk geen idee hebben waarvoor ze Meta wel of geen toestemming hebben gegeven en hoe die toestemming eventueel kan worden ingetrokken of aangepast.
Intussen echter is afdoende duidelijk dat je wel degelijk actieve toestemming nodig hebt als je mensen wil profilen en die profielinfo wil verkopen en dat betekent natuurlijk weinig goeds voor een zakenmodel dat erop gericht is om (gratis) die profielinfo te verzamelen van miljoenen (miljarden) mensen…
Meta weet dus (en wist al lang) dat het moest bijsturen. Met de recente beslissing om gebruikers een “keuze” te geven tussen betalen of data delen, lijkt Meta nu opnieuw de grens op te zoeken van de Europese wetgeving. Op het eerste zicht immers mogen gebruikers zelf gaan kiezen hoe ze Facebook en de andere diensten van Meta willen gebruiken: gratis met datadeling of betalend met garanties (?) voor hun privacy.
Een echte vrije keuze?
De vraag is echter of Facebook de gebruiker met de keuze tussen het verdere gebruik van een dienst die al meer dan een decennium gratis is of het plots betalen van een wel erg duur abonnement wel een echte vrije keuze geeft. 13 euro per maand (of 10 euro voor de minderheid van de gebruikers die Facebook niet mobiel gebruiken) is immers bezwaarlijk een échte vrije keuze te noemen, gelet op de hoogte van het bedrag voor een dienst die voorheen gewoon gratis was. Het voorgestelde prijsniveau dwingt gebruikers de facto om de dienst gratis verder te blijven gebruiken en bij Meta weet men ook zeer goed dat weinig gebruikers de derde optie, met name het afsluiten van de account, zal kiezen.
Bovendien gaat Meta voor zover wij konden verifiëren in elk geval lustig door met het verzamelen van jouw data, ongeacht of je nu een betalend abonnement zou nemen of niet. Facebook weet dus nog steeds alles over jou, alleen wordt je data dan (hopelijk?) niet meer verkocht. Over de vraag wat de relevantie van een cookie opt-in nog is in deze context willen we overigens in deze blog geeneens beginnen nadenken. Dat zou wel eens een geheel nieuw juridisch wespennest kunnen worden…
Van een “vrije” keuze is met andere woorden geen sprake en eens te meer is dit een stap achteruit in plaats van vooruit op het vlak van privacy en data protection voor Europese burgers. Het is wachten tot de Europese overheden opnieuw ingrijpen om ook deze zoveelste poging om de Europese burger de rechten die GDPR hem of haar geeft te ontnemen te ontmijnen …
Vragen over GDPR, of eens sparren over dit topic?
Ons team staat graag voor je klaar. Stuur een mailtje naar info@siriuslegal.be of boek hiernaast een vrijblijvend kennismakingsgesprek in.