Wie wil adverteren op Facebook hoeft dat niet enkel te doen op basis van leeftijd, likes of andere info op iemands profiel. Bedrijven die een reeks telefoonnummers of emailadressen hebben van klanten kunnen die gegevens in bulk uploaden en Facebook toont vervolgens advertenties aan de accounts gelinkt aan die contactgegevens.

Voor wie dat niet wist is dat een ongemakkelijke vaststelling, maar privacyonderzoekers hebben samen met technologiewebsite Gizmodo ontdekt dat Facebook nog veel verder gaat in gericht adverteren. Zo worden ook gegevens gebruikt die je nooit aan Facebook hebt opgegeven, of enkel om veiligheidsredenen hebt doorgespeeld.

Facebook-CEO Mark Zuckerberg tijdens een Europese hoorzitting over de (eerdere) privacyschendingen van het bedrijf. © AFP

In een paper stellen professoren Giridhari Venkatadri, Piotr Sapiezynski, en Alan Mislove van Northeastern University (Boston) en Elena Lucherini van Princeton (New Jersey) een aantal dingen vast. Zo laat Facebook toe om je account extra te beveiligen met tweestapsverificatie (Two-factor authentication of 2FA). Daarbij geef je een telefoonnummer op waarop je een melding krijgt als er iemand probeert in te loggen op je account.

Dat telefoonnummer, dat in principe enkel dient voor veiligheidsdoeleinden, wordt echter na enkele weken ook beschikbaar voor adverteerders. Een adverteerder die dat nummer opgeeft om gerichte advertenties uit te sturen via Facebook, kan zo mensen bereiken die dat nummer nooit aan Facebook hebben gegeven, behalve voor tweestapsverificatie.

Adresboeken

Maar Facebook gaat nog verder. De onderzoekers ontdekten ook dat wanneer een gebruiker Facebook toegang geeft tot zijn contacten in de mailbox, wat vaak gebeurt om makkelijk vrienden te vinden, dat ook die gegevens nadien kunnen gebruikt worden door adverteerders.

Het vervelende is dat je hier als gebruiker geen controle over hebt. Zelfs als jij nooit een bepaald emailadres of telefoonnummer aan Facebook opgeeft, dan nog kunnen adverteerders op Facebook je vinden omdat iemand anders zijn adresboek heeft geupload waar je naam is gekoppeld aan een of meerdere emailadressen en telefoonnummers.

Vaste telefoonlijnen

© Thinkstock

Mag het nog een stap verder gaan? Gizmodo deed de test zelf in samenwerking met Northeastern University waarbij het een reeks vaste telefoonnummers van de universiteit uploadde voor een gerichte advertentiecampagne.

Het redeneerde daarbij dat zo goed als geen enkele medewerker zijn vast werknummer zou hebben opgegeven op zijn of haar Facebookprofiel. Maar dat er wel facebookgebruikers zijn die verschillende van die nummers op hun telefoon hebben staan. Als die gebruikers Facebook toegang gaven tot hun contactenlijst, dan kunnen de nummers gelinkt worden aan individuele namen en hun facebookprofielen. De test was een succes en de professoren zagen hoe ze werden getarget op basis van hun vaste telefoonlijn. die in iemand anders contactenlijst stond.

Facebook verzwijgt

Gizmodo nam naar aanleiding van het onderzoek contact op met Facebook maar voegt er aan toe dat het bedrijf dergelijke praktijken vorig jaar nog ontkende. Tegenover de site ontkent het bedrijf de bevindingen van de universiteit niet.

Het bedrijf verwijst naar een post over haar databeleid, maar volgens Gizmodo is daar niets terug te vinden over praktijken waarbij contactenlijsten van andere gebruikers adverteerders toegang geven tot mensen die nooit dergelijke gegevens met Facebook hebben gedeeld.

Tot slot niet onbelangrijk is dat de onderzoekers waarschuwen dat Facebook mogelijk niet alleen is. Ze vermoeden dat Google, Twitter en Pinterest soortgelijke praktijken gebruiken. Al is dat nog niet ten gronde onderzocht.

GDPR

De bevindingen zijn extra interessant voor Europeanen. Hier geldt sinds kort immers de GDPR, een strenge datawetgeving die bedrijven zoals Facebook verbiedt om zomaar eender welke gegevens door te spelen of te gebruiken zonder expliciete toestemming. Mogelijk kan de praktijk van Facebook die wetgeving schenden, wat het bedrijf een flinke boete kan opleveren.

Wie in tussentijd bezorgd is over misbruik van zijn telefonische gegevens kan zich altijd registreren op de Bel-Me-Niet-Meer-lijst. Al is niet bekend of Facebook zich aan die lijst houdt.