Denne uken kom det nye avsløringer om Facebooks håndtering av brukernes informasjon. Selv om saken blåses ut av proporsjoner i en del medier, så viser avsløringene at Facebook har et kulturproblem.

Bakgrunnen for historien er en artikkel i New York Times som avslører hvordan Facebook har delt data med andre teknologiselskaper. Hensikten var å skape tjenester som skulle tiltrekke nye brukere og knytte brukerne nærmere Facebook og teknologipartnerne. Facebook har tilbakevist noe av kritikken i en pressemelding.

I utgangspunktet er ikke samarbeidet med teknologipartnere noe problem, og mange av tilfellene det henvises til ligger langt tilbake i tid,men det er også noen eksempler på at Facebook ikke har lært av sine tidligere feil.

En del medier har fokusert på at Spotify og Netflix har fått tilgang til brukeres private meldinger. Dette gjelder imidlertid bare i de tilfellene hvor brukerne selv har gitt tillatelse til det for å kunne sende og motta meldinger fra Facebook-venner inne i Spotify, Netflix eller andre applikasjoner.

Ingenting tyder på at denne informasjonen er misbrukt eller at meldinger har kommet på avveie.

Det som derimot avslører at Facebook ikke har tatt innover seg hvor viktig personvern er for brukerne, er tre andre funn som New YorkTimes beskriver i artikkelen:

Integrasjonspartnere

Facebook har definert en del samarbeidspartnere som «integrasjonspartnere». Disse har fått tilgang til informasjon om brukerne uten at disse har gitt tillatelse til det. Blant informasjonen integrasjonspartnerne har hatt tilgang til er vennelister og epost-adresser. Facebook begrunner dette med at integrasjonspartnerne har utviklet funksjonalitet som de ser på som en utvidelse av Facebook, ikke eksterne applikasjoner.

Det er legitimt å samarbeide om å gjøre produktet bedre, og forståelig at Facebook inngikk slike samarbeid i en tid da de hadde et sterkt fokus på vekst. Etter avsløringene det siste året burde Facebook imidlertid ha informert brukerne om hvilke samarbeid de hadde, og hvilken informasjon hver samarbeidspartner hadde tilgang til. I tillegg så burde brukerne ha mulighet til å få sin informasjon slettet hos Facebooks partnere. Etter innføringen av GDPR i sommer er dette noe europeiske brukere har lovmessig krav på.

Oppfølging av samarbeidspartnerne

Artikkelen i New York Times avslører også at kontrollen med samarbeidspartnernes bruk av data de får tilgang til har vært fullstendig fraværende. Dette er spesielt tydelig på to områder:

Facebook har ikke hatt tilstrekkelig kontroll på at samarbeidspartnerne har brukt informasjonen de har hatt tilgang til i samsvar med avtalene. De har heller ikke forsikret seg om at informasjon har blitt slettet når den ikke lenger er i bruk.

Enda mer alvorlig er det at samarbeidspartnerne har hatt tilgang til å hente ut ny informasjon lenge etter at avtalene ble avsluttet. I noen tilfeller har samarbeidspartnere kunnet hente ut informasjon frem til nå nylig, selv om tilgangen skulle ha vært stengt for flere år siden.

Omgåelse av regelverk

I flere tilfeller hvor Facebooks samarbeidsavtaler har vært på grensen (eller litt over grensen) for hva reglene eller avtalene med myndighetene har tillatt, så har Facebook valgt å omgå problemet i stedet for å løse det. I stedet for å stramme inn på egen praksis, så har de omdefinert samarbeidsavtaler på papiret, slik at disse ikke lenger er underlagt de samme, strenge reglene.

Facebook har et kulturproblem

Summen av avsløringene viser at Facebook har et kulturproblem. Selv om ingen av avsløringene i år gir grunn til å tro at sensitive persondata har kommet på avveie de siste årene, så viser de at Facebooks ledelse ikke har klart å innføre en kultur som tar personvern på alvor.

Det er forståelig at et ungt selskap i vill vekst er litt kreative i sin jakt på nye brukere. Det er forståelig at Mark Zuckerberg, i likhet med oss brukere, i mange år hadde mer fokus på brukervennlighet og funksjonalitet enn personvern. Det er imidlertid ikke forståelig at Mark og hans ledergruppe ikke har satt foten ned etter alt som har skjedd de siste to-tre årene. GDPR, Cambridge Analytica-saken og diskusjonene rundt påvirkning av den amerikanske valgkampen burde har fått Facebook til å innføre en kultur hvor det var nulltoleranse for å trå feil med brukernes informasjon.

Alle kan gjøre feil. Noen kan til og med gjøre flere feil uten at vi mister tilliten til dem. Men hvis du gjør den samme feilen igjen og igjen og igjen, da fortjener du ikke tillit.

Facebook er flinke til å legge seg flate og rette opp systemene når de gjør feil. Tekniske feil vil alltid dukke opp i så komplekse systemer som Facebook. Nå det er ikke lenger nok å rette opp tekniske feil. Facebook må endre kulturen internt. Lederne i Facebook må endre holdningene sine. Det holder ikke å si at du tar personvern på alvor. Du må vise med handling at du gjør det.

Å ikke ta brukernes personvern på alvor må få konsekvenser for de som gjør feil og ikke lærer av det. Det må være nulltoleranse for å slurve med brukernes informasjon.

Myndighetene må gjøre jobben sin

At det utvikler seg en usunn kultur hos Facebook og andre teknologiselskaper henger også sammen med at myndighetene ikke gjør jobben sin. Selv om USA henger langt etter Europa når det gjelder personvern, så har også amerikanske myndigheter stilt strenge krav til hva Facebook kan gjøre med brukernes informasjon. Dessverre så har ikke myndighetene fulgt opp at disse kravene blir etterlevd.

Det mest nærliggende på kort sikt er at europeiske myndigheter stiller Facebook til ansvar. Innføringen av GDPR tvang Facebook og andre globale teknologiselskaper til å endre sine rutiner og regler. Nå bør europeiske myndigheter bruke GDPR til å endre kulturen deres også.

Photo by Glen Carrie on Unsplash og Brian Solis, www.briansolis.com and bub.blicio.us.