Beveiligingsonderzoeker Jane Manchung Wong stelt dat de Facebook-app voor Android systeembibliotheken scant en uploadt naar hun servers.1 Deze functionaliteit wordt door Facebook de Global Library Collector (GLC) genoemd. De GLC scant zogenaamde meta-gegevens van systeembestanden uit de telefoon van de gebruiker. Welke meta-gegevens dit zijn, wordt niet door Wong benoemd, maar waarschijnlijk zijn dit gegevens zoals de naam en een unieke hash van het bestand. Daarnaast kunnen ook systeembibliotheken in z'n geheel worden geüpload naar de servers van Facebook. Er lijkt geen mogelijkheid te zijn voor een opt-out of inzage te krijgen in de gegevens die vanaf de telefoon naar de Facebook servers zijn geüpload.
Google heeft ook een vergelijkbare functie in de Play Store-app. Zij geven echter wel informatie over welke apps zij hebben gescand en de mogelijkheid dat apps van een andere bron dan de Play Store naar Google worden geüpload. Hiermee trachten zij te voorkomen dat er zogenaamde malware in de Play Store of op de telefoon komt te staan, aldus Google.
Omdat er geen persoonsgegevens worden verwerkt (slechts applicatiecode), is de AVG dan ook niet direct van toepassing. Wat natuurlijk wel een mogelijkheid kan zijn, is dat Facebook al deze informatie gebruikt om een zogenaamde fingerprint van de telefoon te verkrijgen. Hierdoor kunnen zij nog beter volgen welke apps een gebruiker bijvoorbeeld gebruikt en daar hun reclame op richten. Gezien de geschiedenis van Facebook, is dit geen onrealistisch denkbeeld. Dit is op dit moment echter niet te achterhalen.
Dat de AVG niet van toepassing is, betekent echter nog niet dat het uploaden van andermans applicatiecode zomaar is toegestaan. Allereerst zullen deze systeembibliotheken worden aangemerkt als auteursrechtelijk beschermde werken.2 Een auteursrechtelijk beschermd werk mag echter niet zonder toestemming van de rechthebbende worden gekopieerd.3
Naast het feit dat het om een auteursrechtelijk beschermd werk gaat, valt deze handeling ook onder de cookiewetgeving. Hoewel een systeembibliotheken natuurlijk geen cookie is, gaat het in deze wetgeving om een breder onderwerp, namelijk het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker.4 Er is in dit geval sprake van een elektronisch communicatienetwerk, namelijk het internet. Daarnaast verkrijgt Facebook via het internet toegang tot informatie in de telefoon van de gebruiker. In dit geval maakt het niet uit of er persoonsgegevens worden verwerkt of niet. De cookiewetgeving heeft het namelijk over informatie in het algemeen, waar ook systeembibliotheken onder vallen.
Het gevolg hiervan is dat voor deze handeling toestemming moet worden gevraagd, tenzij een van de uitzonderingsgronden van toepassing is, namelijk:
- het uitsluitend doel de communicatie over een elektronisch communicatienetwerk uit te voeren betreft;
- het strikt noodzakelijk is om de gebruiker de gevraagde dienst te leveren, mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de gebruiker; of
- het strikt noodzakelijk is om informatie te verkrijgen over de kwaliteit of effectiviteit van de geleverde dienst.
Geen van de bovenstaande uitzonderingen lijkt van toepassing te zijn. Het ontbreekt immers aan een noodzaak voor dergelijke scans. De scans die Google uitvoert vallen hier wellicht wel onder. Zij beheren immers de Play Store en willen ervoor zorgen dat hier geen kwaadaardige apps in belanden.
Al met al wederom een erg twijfelachtige kwestie bij Facebook. Dergelijke praktijken kunnen prima worden uitgevoerd, mits men de juiste voorzorgsmaatregelen neemt. Wilt ervoor zorgen dat uw applicaties voldoen aan dergelijke wet- en regelgeving? Neem dan vrijblijvend contact met ons op.
Voetnoten
- https://twitter.com/wongmjane/status/1167463054709334017.
- Artikel 10 lid 1 onder 12 Aw.
- Artikel 5 Aw.
- Artikel 11.7a Tw.