De privacyrisico’s van FaceApp

22 juli 2019

Afgelopen week was het bijna niet te missen: de faceappchallenge, waarbij foto’s met een verouderdingsfilter massaal werden gedeeld op social media. De ontwikkelaar van de FaceApp blijkt een Russisch softwarebedrijf te zijn. De FaceApp is inmiddels meer dan honderd miljoen keer geïnstalleerd, maar roept de nodige privacyrechtelijke vragen op. Wat gebeurt er eigenlijk met al die gezichtsafbeeldingen en wat zijn de (privacy)risico’s?

Door het gebruiken van de FaceApp, is de betrokkene akkoord gegaan met de gebruiksvoorwaarden van de FaceApp. In de gebruiksvoorwaarden is onder meer opgenomen dat de betrokkene toestemming geeft om de afbeelding van zijn gezicht op iedere denkbare wijze te verwerken. Wat er daadwerkelijk met die gezichtsafbeelding gebeurt, blijft echter onduidelijk.

Verwerking gaat verder dan afbeeldingen

Hoewel FaceApp inmiddels heeft aangegeven dat de meeste gezichtsafbeeldingen binnen 48 uur na het uploaden weer van de servers worden verwijderd, zegt de privacyverklaring niets over de bewaartermijn van de gezichtsafbeeldingen. Dat de verwerking verder gaat dan alleen het bewerken van foto’s blijkt uit de persoonsgegevens die volgens de privacyverklaring kunnen worden verwerkt. Naast de gezichtsafbeeldingen worden namelijk ook aanvullende persoonsgegevens van de gebruiker verzameld onder meer analytic tools, cookies, logbestanden en device identifiers.

Delen persoonsgegevens

Bovendien staat in de privacyverklaring dat FaceApp de verkregen persoonsgegevens mag delen met gerelateerde ondernemingen, service providers en externe advertentiepartners. Welke bedrijven dit zijn, wordt eveneens niet nader gespecificeerd in de privacyverklaring. Dit kan in de praktijk dus om tientallen of zelf honderden bedrijven gaan. Daarnaast blijkt uit de privacyverklaring dat de persoonsgegevens aan derde landen mogen worden doorgegeven. FaceApp noemt daarbij expliciet de Verenigde Staten en ‘elk ander land waar FaceApp zijn gerelateerde ondernemingen of service providers faciliteiten heeft’.

Wat precies onder ‘faciliteiten valt, wordt niet nader gespecificeerd in de privacyverklaring. De persoonsgegevens kunnen dus in principe aan alle landen in de wereld worden doorgegeven. Het grote probleem hiervan is, dat de privacy in derde landen minder goed is beschermd dan binnen de EU. Waar de Algemene Verordening Gegevensverwerking (‘AVG’) in Europa een hoge standaard voor privacybescherming garandeert, biedt de privacywetgeving in derde landen, zoals Rusland, vaak een veel lager beschermingsniveau.

Conclusie

Het is onduidelijk bij wie en in welk land de persoonsgegevens terecht komen. Zo wordt er gespeculeerd dat de FaceApp als doel heeft om zoveel mogelijk gezichtsafbeeldingen te verzamelen voor het trainen van gezichtsherkenningssoftware, maar of dit daadwerkelijk gebeurt, blijft onzeker. Het is wel duidelijk dat er een grote hoeveelheid data wordt verwerkt wanneer iemand een leuke ‘bejaarde’ foto van zichzelf op social media wil plaatsen. Dat is ook niet gek, want net als Facebook, Instagram en Snapchat, is ook FaceApp gratis voor de gebruiker. De gebruiker ‘betaalt’ met zijn data en zou zich hier ook bewust van moeten zijn.