Vrijdag 10 juli spraken Maarten Goudsmit en ik namens de (Nederlandse) Clinic met Bernt Hugenholtz(Professor of Intellectual Property Law) en Pamela Samuelson (Professor of Law and Information Management). Samuelson en haar man sponsoren een vijftal rechtswinkels (Clinics) die allen zijn gespecialiseerd in informatierecht en intellectuele eigendomsrecht. Eén van de Canadese Clinic’s is The Canadian Internet Policy and Public Interest Clinic (CIPPIC), die wordt gerund door studenten van de University of Ottawa.
In mei 2008 heeft de Candase Clinic een klacht ingediend bij de Canadese OPTA, de Office of the Privacy Commissioner of Canada (OPCC). De klacht betrof de sociale netwerksite Facebook en haar slechte privacybeleid. De drie grootste bezwaren van de CIPPIC zijn:
(i) de onduidelijke en onvolledige privacy policy, van Facebook,
(ii) dat derden via Facebook-applicaties toegang krijgen tot niet-noodzakelijke persoonlijke gegevens van Facebook-gebruikers en
(iii) dat Facebook, na een verzoek tot het ‘deleten’ van een account, wél de profielpagina verwijdert, maar zelf de persoonlijke informatie behoudt.
Dit is volgens de CIPPIC in strijd met de Canadese equivalent van de Wbp, de Personal Information Protection and Electronic Documents Act (PIPEDA).
Vrijdag 16 juli kwam de OPCC met haar definitieve rapportage naar aanleiding van de klacht van de Canadese Clinic. De Commissie is van mening dat :
– de standaardinstellingen van profielen en reclamepraktijken op Facebook in strijd zijn met de PIPEDA. Al tijdens het onderzoek heeft heeft Facebook dit aangepast.
– het de-activerings- en verwijderingsbeleid van Facebook in strijd is met de PIPEDA.
– de beveiliging van Facebook onvoldoende is om de ongeautoriseerde toegang van persoonlijke informatie door applicatie-aanbieders te voorkomen.
– Facebook zich niet voldoende inspant om van haar gebruikers toestemming te krijgen om persoonlijke informatie te delen met applicatie-aanbieders.
De Commissie waarschuwt gebruikers van sociale netwerksites om aandachtig de volledige privacy statement van een sociale netwerk site te lezen, voordat een account wordt aangemaakt.
Facebook krijgt 30 dagen om aan de aanbevelingen van de Commissie te voldoen.