Wat weet Facebook van me?
Facebook is een sociale netwerksite: met vrienden chatten, gamen, elkaar berichtjes en uitnodigingen sturen, foto's, links en videoclips delen ... leuk en onschuldig dus. Althans, voor wie er geen probleem in ziet dat hij vaak heel wat van zijn privacy te grabbel gooit, soms zelfs op manieren waarvan hij helemaal geen weet heeft.
"De meest verwerpelijke spionagemachine ooit, met een ontstellend uitgebreide database, vol namen, adressen en relaties, en toegankelijk voor de VS". Zo noemt Julian Assange het, u weet wel, die van WikiLeaks. Heeft hij het over de CIA of de NSA? Nee: over Facebook. En wat dacht u van de uitspraak "Privacy is niet langer de sociale norm"? Alweer van Assange? Nee, van Mark Zuckerberg, CEO van Facebook, als reactie op de zoveelste privacyversoepeling van zijn site. Of misschien vindt u het beeld van een erg onzekere Zuckerberg, tijdens een interview over privacy-perikelen rond Facebook, wel veel onthullender?
Mark Zuckerberg, een van de oprichters van Facebook.
Spionagemachine?
Het lijkt er in elk geval op dat Facebook meer is dan die gezellige ontmoetingsplaats voor vrienden. Of dat zo is, maken we in dit artikel duidelijk. We gaan na hoe en in hoeverre uw privacy in het gedrang komt. We bespreken eerst de basis van Facebook. Dan focussen we ons in het deel 'Wit' op de duidelijk zichtbare middelen die Facebook inzet om uw gegevens (voor eigen gewin) te kunnen gebruiken. Middelen dus die voor elke kritische gebruiker duidelijk horen te zijn, en waar u bovendien als gebruiker in grote mate zelf de hand in houdt. In deel drie, 'Grijs', komen we in een schemerzone terecht, waarbij Facebook zich van methodes lijkt te bedienen die al heel wat minder uitgesproken of evident zijn. In deel vier 'Zwart' behandelen we de echte gevaren.
Voor we echter die 'risicoanalyse' beginnen, geven we u eerst wat achtergrondinformatie mee over Facebook.
Deel 1: Achtergrondinformatie
Uit de slaapzaal
Facebook begon als een weinig ambitieus projectje aan de Amerikaanse Harvard-universiteit in februari 2004, toen nog onder de naam TheFacebook. Vier kamergenoten, waaronder Mark Zuckerberg, vonden het wel praktisch een digitale ontmoetingsplaats voor vrienden te ontwerpen. Aanvankelijk beperkte de applicatie zich tot studenten van Harvard College, maar al snel kwam die beschikbaar voor de hele campus, evenals voor andere universiteiten. In september 2006 kon uiteindelijk iedereen zich aanmelden (vanaf 13 jaar). Facebook kreeg een paar financiële injecties van belangrijke geldschieters, waaronder PayPal en Microsoft. Overnamepogingen waren er ook snel, maar een bod van 1 miljard dollar door Yahoo! in 2006, legde Zuckerberg naast zich neer. Geen slechte zet, zo blijkt, want The New York Times schat de waarde van (het vooralsnog niet beursgenoteerde) Facebook momenteel op 50 miljard dollar (circa 34,5 miljard euro). Bovendien blijft het ledenaantal aangroeien, zij het iets minder snel dan voorheen: op moment van schrijven had Facebook zo'n 700 miljoen gebruikers. In Nederland zouden dat er volgens Facebook circa 4,4 miljoen zijn, in België zo'n 4,2 miljoen. Dat kunt u nagaan nadat u de eerste pagina hebt ingevuld op www.facebook.com/ads/create. Tegelijk relativeren we dit cijfer: volgens sommige onderzoeken zou het voor meer dan 40% om valse gebruikersprofielen gaan, veelal opgezet door spammers en malware.
Kies uw doelgroep: 4,4 miljoen Facebook-gebruikers in Nederland!
Wat er gebeurt op Facebook in de tijd dat u dit artikel leest (20 minuten).
Tentakels
Facebook is intussen heel wat meer dan een eenvoudige interface waar u gegevens kwijt kunt ten behoeve van medegebruikers. Als een van de eerste sociale netwerksites stelde Facebook namelijk een publieke web-API (Application Programming Interface) ter beschikking (Facebook Platform). Dat maakte het voor derde partijen mogelijk om (ook uw) Facebook-gegevens in eigen webapplicaties te gebruiken. Het duurde dan ook niet lang of er ontstonden talrijke - en vaak razendpopulaire - Facebook-apps als FarmVille en Mafia Wars. Daarnaast zette Facebook zelf een aantal complementaire applicaties en diensten op. Onder meer Facebook Connect, dat gebruikers toelaat zich via hun Facebook-account bij intussen talloze andere sites aan te melden. Handig, want dan hoeft u zich niet langer door tig verschillende registratieprocedures te wringen. Tegelijk betekent het dat Facebook over alweer heel wat extra gegevens beschikt. Verder is er nog Facebook Messages, een 'unified messaging'-systeem dat verschillende communicatiekanalen (sms, IM, e-mail en chat) verenigt. Facebook Places is bedoeld voor uw smartphone en laat u uw actuele locatie delen, zodat u sneller vrienden in de buurt terugvindt. Overigens hoeft u voor uw mobiele Facebook-apps binnenkort niet meer langs Apples of Googles applicatiewinkel: dat zal via een geheel eigen distributieplatform (Project Spartan) kunnen gebeuren, gebaseerd op HTML5. Ook dit laken trekt Facebook dus naar zich toe. Dit platform zal bovendien Facebook Credits ondersteunen: een betaalsysteem met 'virtueel geld', waarmee Facebook-gebruikers allerlei spellen of bonusitems voor intussen meer dan vijfhonderd applicaties kunnen kopen. Dat virtuele geld is niet geheel virtueel, u moet de tegoedpunten eerst met 'echt' geld aanschaffen. Het valt trouwens niet uit te sluiten dat deze tegoedpunten binnen afzienbare tijd ook worden ingezet om echte producten aan te schaffen. Wordt Facebook uw volgende bank?
Facebook-tegoedpunten: op dit moment nog enkel voor virtuele aankopen.
Op dit moment is Facebook ook volop aan het experimenteren met Facebook Deals (voorlopig nog beperkt tot een aantal landen). Deze service kunt u zien als een kloon van het populaire Groupon (www.groupon.nl): u meldt u via Facebook Places ergens aan (http://touch.facebook.com) en krijgt meteen te zien welke speciale aanbiedingen handelaars in de buurt voor u hebben klaarliggen. Deze kunt u gelijk even delen met uw vrienden. Overbodig te melden dat Facebook ook hier zijn procentje opeist.
Imperium
Het mag duidelijk zijn: Facebook is een heus imperium aan het optrekken en probeert zijn machtspositie met de ontwikkeling van bijkomende diensten nog te verstevigen. Dat betekent overigens niet dat Facebook op dit moment nog aan de bedelstaf is: dit jaar wordt zo'n slordige 4 miljard dollar (circa 2,75 miljard euro) aan inkomsten verwacht, exclusief wat het bedrijf aan commissies op aankopen met de tegoedpunten overhoudt. Waar halen ze dit geld vandaan, vraagt u zich af? Heel simpel: het explosief gegroeide reclameaanbod! Adverteerders zijn namelijk erg gecharmeerd van de wetenschap dat advertenties op Facebook nauw zijn toegespitst op de leefwereld en interesse van de specifieke gebruiker. Nota bene zet u die informatie zelf met een glimlach op Facebook.
De reële macht van Facebook valt trouwens niet alleen af te meten aan de financiële inkomsten van het bedrijf. Immers, Facebook heeft zich intussen over de hele wereld een heuse cultstatus weten aan te meten. Dat talrijke activisten van de Arabische Lente in onder meer Tunesië, Egypte, Jemen en Libië zich de "kinderen van Facebook" noemen, is niet zonder betekenis.
Deel 2: Wit
De gebruiker aan zet
De hoofdmoot van de inkomsten van Facebook is, zoals gezegd, vooralsnog afkomstig uit doelgerichte reclame. Dat kan natuurlijk alleen maar doordat Facebook beschikt over gegevens van de gebruikers en die hoopt het bedrijf in de eerste plaats van uzelf te krijgen. Facebook weet die lokroep om persoonlijke informatie alvast handig te verpakken: "Hoe meer informatie u over uzelf geeft, hoe meer kans dat vrienden u vinden." Dat Facebook uit is op informatie, wil het bedrijf niet bepaald verhullen. U vindt er meer over in het privacybeleid, een tekst van 6000 woorden (omgerekend meer dan tien Computer!Totaal-pagina's). Met name de onderdelen 'Hoe wij informatie delen' en 'Informatie die u met derde partijen deelt', maken duidelijk dat Facebook erg veel informatie kan vergaren en die, mede afhankelijk van uw instellingen, op allerlei manieren met andere instanties kan delen. 'Mede afhankelijk van uw instellingen' betekent dus dat u grotendeels zelf kunt bepalen hoeveel en welke gegevens u aan wie prijsgeeft. Dat klinkt weliswaar geruststellend, maar hoeft dat niet noodzakelijk te zijn, om meerdere redenen. Ten eerste: Facebook heeft al een paar keer de standaardinstellingen van zijn gebruikersgegevens 'opener' gemaakt, zonder u daar expliciet van op de hoogte te brengen. Ten tweede: Het optimaal instellen van privacy-opties is vaak lastiger dan het hoeft te zijn - ondanks instructies op pagina's als deze: Data Use Policy. En tot slot: volgens een onderzoek blijkt de gemiddelde (Amerikaanse) Facebook-gebruiker bijna vijftig procent meer dan andere internetgebruikers (en driehonderd procent meer dan niet-internetgebruikers) overtuigd dat de meeste mensen te vertrouwen zijn. Wellicht hebben zij ook minder moeite om persoonlijke informatie publiek te maken.
Alle privacyinstellingen optimaliseren ... hebt u even?
Al uw foto's plots zichtbaar. Bedankt Facebook!
De illusie van onzichtbaarheid
Kortom, redenen genoeg om u enkele concrete tips aan te reiken mocht u uw Facebook-profiel wat meer willen afschermen. In het volgende stappenplan ritsen we uw profiel een flink eind dichter: uw vrienden kunnen weliswaar nog uw profiel zien (dat kunt u trouwens niet verhinderen), maar uw activiteiten, foto's en locaties blijven wel verborgen. Uiteraard bent u helemaal niet verplicht alle instructies uit te voeren. Onthoud alvast wel dat u alle informatie die u voor 'iedereen' beschikbaar stelt, automatisch ook aan derde partijen openbaart (via apps en dergelijke).
Stap 1: Meld u bij Facebook aan, klik rechtsboven op Account en selecteer Privacyinstellingen. Klik op Alleen vrienden (in plaats van Aanbevolen) en bevestig met Deze instellingen toepassen.
Stap 2: Klik bovenaan bij Contact maken op Facebook op Instellingen bekijken. Op deze pagina legt u vast wie naar u kan zoeken, contact met u kan leggen enzovoort. Stel alle zeven opties in op Alleen vrienden (alleen bij Vriendschapsverzoeken aan jou sturen lukt dat - logischerwijs - niet).
Stap 3: Klik hier ook even op Voorbeeld van mijn profiel. Dat geeft u een idee van hoe uw profiel eruitziet voor willekeurige andere gebruikers. Vul in het tekstvak de naam van een Facebook-vriend in om na te gaan hoe die uw profiel ziet. Druk vervolgens op de knop Terug naar privacy-instellingen.
Stap 4: Klik onderaan Instellingen aanpassen. Er verschijnen nu nog veel meer privacy-opties. Stel die, waar mogelijk, in op Alleen ik (via de optie Aanpassen), zodat niemand anders uw activiteiten kan volgen. Of u creëert eerst zelf verschillende vriendengroepen (via bovenin Account / Vrienden bijwerken / Maak een lijst) waarna u bepaalde personen kunt kiezen en de optie bijvoorbeeld alleen voor een of meer specifieke groepen toegankelijk maakt. In de privacy-instellingen ziet u helemaal onderaan het lijstje van Dingen die ik deel, een link staan om de privacy-instellingen van uw fotoalbums en video's aan te passen. In de rubriek Dingen die anderen delen treft u ook nog een drietal knoppen Instellingen bewerken aan: ook deze opties stelt u het best in de meest restrictieve zin in. Druk vervolgens bovenaan op de knop Terug naar Privacy.
Stap 5: Onderaan links, bij Toepassingen en websites, klikt u nu op Je instellingen bewerken. Bij Toepassingen die je gebruikt klikt u op Instellingen bewerken. Deze link voert u naar een pagina met een overzicht van apps en sites die toegang hebben tot uw Facebook-gegevens. Bij items die u hier liever niet ziet verschijnen, klikt u op Instellingen bewerken / Toepassing verwijderen. Merk tevens op dat u bij elk afzonderlijk item kunt aflezen waartoe die zoal toegang heeft. Afhankelijk van de app kunt u ook specifieke machtigingen intrekken.
Stap 6: Terug op de privacypagina voor toepassingen klikt u ook de knop Instellingen bewerken aan bij Gegevens die toegankelijk zijn via je vrienden. Hier kunt u eventueel alle vinkjes weghalen, de teaser "Hoe meer gegevens je deelt, hoe socialer je Facebook-ervaring wordt", laat u fijntjes links liggen. Dan is er nog de optie Directe personalisatie - een techniek die het voor partnersites van Facebook mogelijk maakt uw Facebook-gegevens te zien. Ook hier kunt u via de knop Instellingen bewerken deze functie op non-actief zetten. Klik tevens de knop Instellingen bewerken bij Openbaar zoeken aan en verwijder het vinkje bij 'Openbaar zoeken' inschakelen, hiermee geeft u Google en andere speurneuzen het nakijken.
Goed om weten: op de pagina Privacy Check kunt u testen welke informatie u zoal met iedereen - en dus ook met apps en sites - deelt. Bij een compleet ingevuld profiel is een score van 15 op 21 ongeveer het hoogst mogelijke, aangezien Facebook u eenvoudigweg niet toelaat alles te verbergen.
Facebook raadt u aan alle gegevens "zichtbaar te laten voor iedereen, zodat vrienden je kunnen vinden" - ook derde partijen dus.
Sommige apps en sites blijken behoorlijk gretig.
Deel 3: Grijs
Van je vrienden...
Facebook is er zich maar al te zeer van bewust dat het slechts kan bestaan bij de gratie van zijn gebruikers. Hoe meer gebruikers, hoe steviger het bedrijf en hoe meer inkomsten. Om die reden dook eind 2010 een nieuwe Friend Finder (Vriendenzoeker) op in Facebook. Aanvankelijk bleek die op zijn zachtst gezegd erg invasief. Immers, zodra u via die functie e-mailadressen van kennissen importeerde, ontvingen die in uw naam meteen een e-mail met een uitnodiging om ook lid te worden van Facebook - niet zelden inclusief foto's van uw Facebook-vrienden. De EU steigerde, met Duitsland op kop. Onder druk van de Duitse regering bond Facebook in januari in: voortaan kan de gebruiker uit de geïmporteerde adresboeken zelf kiezen wie hij al dan niet een uitnodiging wil sturen - foto's van uw Facebook-vrienden worden echter nog altijd meegestuurd. Onderaan zo'n uitnodiging vindt de ontvanger nu tevens een link terug waarmee hij zich kan uitschrijven zodat hij van of via Facebook niet langer mails zal ontvangen. Een verbetering dus, maar in het privacybeleid botsen we toch nog op het volgende: "[...] bijvoorbeeld, als een andere gebruiker hetzelfde e-mailadres als jij importeert, kunnen we het voorstel doen om elkaar als vrienden toe te voegen" (eigen vertaling). Anders gezegd: Facebook gebruikt nog altijd adressen die u hebt geïmporteerd, ook al doet u daar zelf verder niets mee. Let overigens ook op het woord 'bijvoorbeeld', wat impliceert dat Facebook de adressen wellicht ook nog op andere manieren inzet (dan wat in het privacybeleid vermeld staat). Mocht u overwegen uw geïmporteerde contactpersonen te verwijderen, dan kan dat via de 'Invite History' of in één keer via 'Remove Uploads' (hoewel deze laatste methode bij ons niet leek te werken).
Een andere functie die de nodige weerstand oproept, is het automatisch aanduiden van personen op foto's met behulp van de ingebouwde gezichtsherkenning (Tag Suggestions). Het komt erop neer dat Facebook automatisch namen van personen op foto's suggereert op basis van plaatjes waarop die personen al eerder werden geïdentificeerd. Deze functie is standaard ingeschakeld, maar via stap 4 van het stappenplan dat we hiervoor beschreven, kunt u dat ongedaan maken. Op dit moment buigen privacywaakhonden van de Europese Unie zich over deze materie en ook in de VS overweegt men een officiële klacht neer te leggen bij de FTC (Federal Trade Commission).
De EU is niet te spreken over het standaard inschakelen van 'tags voorstellen'.
Cookies verzamelen
U bent vast en zeker al op tal van sites op de Facebook-knop Like (vertaald als Vind ik leuk) gebotst. Wanneer u zo'n knop aanklikt en u zich bij Facebook hebt aangemeld, verschijnt een melding op uw Facebook-prikbord. Op zich onschuldig. Toch is Facebook precies omwille van deze Like-knop in een proces verwikkeld, mede naar aanleiding van een proefschrift van Arnold Roosendaal, verbonden aan de universiteit van Tilburg, met de niet mis te verstane titel 'Facebook tracks and traces everyone: Like this!'. U kunt een pdf-bestand downloaden. Wat er precies gebeurt wanneer u een webpagina met zo'n Like-knop bezoekt, verduidelijkt Arnold Roosendaal in zijn studie. Enigszins vereenvoudigd komt het op het volgende neer. Heeft de bezoeker een Facebook-account, dan bevindt zich al een cookie met een uniek gebruikers-ID op zijn systeem: dat wordt daar geplaatst tijdens het aanmaken van de account. Wanneer hij nu een pagina met zo'n Like-knop opent, wordt dat cookie door Facebook ingelezen en weet het bedrijf meteen wie die pagina bezoekt! Zo kan uw spoor op alle pagina's met zo'n knop worden gevolgd, en wordt bij elk bezoek een cookie toegevoegd. Heeft de bezoeker (nog) geen Facebook-account, dan kunnen die cookies uiteraard niet aan een uniek gebruikers-ID worden gekoppeld. Echter, zodra hij Facebook-lid wordt, krijgt ook hij zo'n cookie met uniek ID en linkt Facebook alsnog de al verzamelde cookies aan het gebruikers-ID.
De reacties van Facebook op deze aantijgingen zijn behoorlijk twijfelachtig. Enerzijds beweren ze dat er niets aan de hand is, anderzijds zou het om een (inmiddels herstelde) bug gaan. In elk geval zouden niet-leden nu niet meer getraceerd worden via de Like-knoppen. Wordt vervolgd.
Of u klikt of niet, voor Facebook maakt(e) het niet zo veel uit.
Deel 4: Zwart
Facebook trekt niet alleen goedbedoelende gebruikers aan, het blijkt ook een dankbaar platform voor allerlei criminele opzetten. Zo zijn er al talloze Facebook-accounts gehackt. Het kan volstaan naar een of andere schimmige site te surfen om malware op uw systeem te krijgen, die actief wordt zodra u zich bij Facebook aanmeldt. Het Koobface-virus is hiervan een bekend voorbeeld. Dat verspreidde massaal berichten op Facebook die gebruikers op hun beurt naar malware-sites leidden. Ook 'likejacking' blijkt in trek. U klikt bijvoorbeeld op een videoclip, maar wat u niet weet, is dat er bovenop het plaatje een onzichtbare link (iFrame) is geplaatst die een druk op een Like-knop simuleert en dus een bericht op uw prikbord plaatst. Of hackers slagen er op de een of andere manier in uw ID-gegevens te ontfutselen, waarna ze zich met uw account bij Facebook aanmelden en ook weer malafide berichten posten. Dat kan bijvoorbeeld ook gebeuren wanneer u zich met Facebook verbindt via een hotspot: het volstaat dat een hacker de Firefox plug-in Firesheep op zijn pc heeft geïnstalleerd om uw sessie te kunnen kapen. Kwaadaardige Facebook-apps zijn evenmin een uitzondering.
Helemaal machteloos staat u als brave gebruiker nu ook weer niet, hoewel in de praktijk een gezonde dosis wantrouwen vaak de beste remedie blijkt (en dat op een 'sociale netwerksite'). Zo kunt u proberen een https-verbinding met Facebook op te zetten: klik hiervoor achtereenvolgens op Account / Accountstellingen / Accountbeveiliging en plaats een vinkje bij Gebruik Facebook waar mogelijk met een veilige verbinding (https). Verder kunt u bij twijfel altijd even nagaan of iemand anders zich met uw account bij Facebook heeft aangemeld. Ook dat kan vanuit de rubriek Accountbeveiliging. Hier krijgt u bovendien de mogelijkheid een niet-herkend apparaat alleen toegang tot uw account te geven na het invoeren van een via sms verstuurde beveiligingscode. Om likejacking en aanverwante technieken te voorkomen kunt u een browserplug-in als NoScript (voor Firefox of NotScripts voor Chrome en Opera) installeren. Vermeldenswaard is nog de app Norton Safe Web for Facebook die uw Facebook-berichten automatisch controleert op malafide links.
Conclusie
Hoe gezelliger u het bij Facebook wilt maken, des te meer privacy u dreigt in te boeten. Facebook mag dan een uitstekende sociale website zijn, het komt opvallend vaak voor dat het bedrijf de grenzen van het toelaatbare aftast en zich pas na heel wat protest schoorvoetend terugtrekt. Mocht u na het lezen van dit artikel twijfels krijgen omtrent uw Facebook-account, weet dan dat u hem altijd kunt deactiveren (via Accountinstellingen). Het zal u wellicht niet verbazen dat dan al uw gegevens op de servers van Facebook achterblijven. Definitief verwijderen kan ook, mocht u dat willen. We besparen u het zoeken: Verwijder Mijn Account. U dient wel veertien dagen geduld te hebben.