Facebook gaat de bijna 533 miljoen gebruikers van wie de data onlangs op een hackersforum is geplaatst, niet actief informeren over het datalek. Dat meldde Tweakers vorige week. Het platform zegt niet zeker te weten welke gebruikers ingelicht zouden moeten worden en dat de informatie toch openbaar online staat. Dat voelt een tikje absurd; de gebruikers die je moet hebben staan, eh, in die gelekte dataset. Wat is precies het probleem, of wat hebben de advocaten van Facebook nou weer bedacht als smoes om onder hun plichten uit te komen?
Vorige week verscheen een dataset met ongeveer een half miljard persoonsgegevens online, met daarin telefoonnummers, Facebook-id’s, volledige namen, locaties, voorgaande locaties, geboortedata, geslacht, relatiestatus, bio-teksten, datum van accountcreatie, werkgever en (soms) e-mailadressen. Vermoedelijk is de data verkregen door een fout in de ‘vriend toevoegen’-functie, waar tot telefoonnummers van vreemden voor nodig was. Gebruikers kunnen via tools als Have I Been Pwned zien of zij in de dataset staan.
Dit noemen we juridisch gezien natuurlijk een datalek in de zin van de AVG: grootschalig ongeautoriseerde publicatie van persoonsgegevens. Dat moet je melden bij de toezichthouder, en je moet alle betrokkenen informeren over dat hun data getroffen is, plus mogelijke gevolgen, maatregelen et cetera. En dat wil Facebook dus niet doen, want “the social media company was not confident it had full visibility on which users would need to be notified.” Dat voelt erg paarse-krokodil: ze staan dáár, die users.
Tevens stelt men dat je toch niets kunt doen tegen het lek, en de data is ook nog eens openbaar. Nee, daar snap ik nog minder van: dat is júist een reden om mensen te informeren. “Nee, tegen uw tumor is niets te doen en iedereen kan het zien, dus vandaar dat u nooit een diagnose kreeg”. Eh, kom nou.
Mededelen van datalekken moet, tenzij. Zo staat het in de AVG. En die ’tenzij’ is beperkt tot drie situaties:
- de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
- de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
- de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
Situatie 2 gaat over datalekken waarbij je kon ingrijpen om de gevolgen van het lek tegen te houden. Je passwords lekten, maar je reset snel alle wachtwoorden en je monitoring gaf aan dat er niet ingelogd was in de tussentijd. Ook niet van toepassing, integendeel.
Situatie 3 is bij 533 miljoen mensen en alleen een telefoonnummer uit 2019 wellicht verdedigbaar. Die allemaal gaan bellen is te arbeidsintensief, dus dan zou een algemene mededeling (in de krant, of eh op Facebook) een betere optie zijn. Maar daar staat tegenover dat het Facebook-id in de dataset zit. Dus dan kun je in ieder geval de nog actieve gebruikers nazoeken en die een berichtje via het platform sturen. Benieuwd hoe veel er dan nog overblijven.
In ieder geval, ik kan vanuit AVG-perspectief helemaal niets met deze reactie.
Arnoud
Ik zou in jouw situatie 2 et alsnog wenselijk achten om mensen te informeren. Het is algemeen bekend dat veel mensen wachtwoorden hergebruiken. Er is dan wel een password reset uitgevoerd op deze site, zodat daar niet ingelogd kan worden met de gelekte gegevens. Maar hackers gaan gegarandeerd de gelekte email/password combinaties ook op andere sites proberen. Als de gebruikers geïnformeerd zijn over et lek, dan hebben ze de kans om hun wachtwoorden op andere sites aan te passen.
Ja, wenselijk wel. En soms gebeurt dat ook wel. Maar dat vastleggen in een wet gaat natuurlijk veel te ver.
Ik hoop dat iedereen die door dit lek getroffen is dan ook melding maakt bij de AP via https://autoriteitpersoonsgegevens.nl/nl/meldingsformulier-klachten en ik ben heel benieuwd of de ACM nu op durft te treden tegen een FAANG club.
Ik ben absoluut geen Facebook-hater, maar zo enorm je schouders ophalen terwijl je wel mijn telefoonnummer op straat gooit vind ik niet netjes.
In dit soort gevallen snap ik het niet dat dan niet ieder individueel lidstaat gewoon zegt, Prima, hier is uw boete. Dan is dit soort ongein heel snel de wereld uit.
Ben benieuwd wat voor berekening hier achter zit. Financiële consequenties reputatieschade – (bestuurlijke boete + juridische kosten van eindeloos principieel geding) = paarse gebruikers?
Lijkt mij een mooi moment voor de Nederlandse autoriteit om Facebook een flinke (miljoenen) boete op te leggen.
Gelet op eerdere berichten van slachtoffers van een datalek die een schadevergoeding claimden bij de veroorzaker, zou dit ook een grondslag geven voor het Europese deel van de 500 miljoen gebruikers om een vergoeding van 500 euro te claimen? Dat lijkt mij ook een terecht gevolg van de lakse houding van Facebook hierin.
Stelt FB zich niet op het standpunt dat er geen sprake is van een datalek, omdat het om openbare info gaat?
Dat zag ik Clubhouse gisteren zeggen bij hun datalek, het “is maar scraping”. Maar bij Facebook gaat het om telefoonnummers, die zijn niet openbaar toch?
Vroeger kreeg ik elk jaar een heel dik boekwerk aangeleverd met daarin alle telefoonnummers van de regio. Naar huidige maatstaven een gigantisch datalek. Voor een significante som kon ik ook zo’n 50 van die delen aanschaffen, met zo’n beetje alle telefoonnummers in Nederland erin. Die kon je ook gewoon op het postkantoor of in de bibliotheek inzien. Ons denken over privacy is enorm veranderd sinds die tijd.
Het gaat om de omgang met persoonsgegevens, niet om privacy. Dat eerste is fors toegenomen sinds alles digitaal en via internet gaat, dus daar moet specifiek toezicht op zijn. Met een telefoonboek kon je vrij weinig, met een datadump van Facebook heb ik alles over je en kan ik je zeer gericht phishen of risicoprofileren.
Ik weet het, de omslag kwam met de uitgifte van het eerste telefoonboek op CD-Rom (ik heb hem nog ergens liggen). Een slimmerik ontdekte hoe je daar alle data uit kon plukken, en maakte een tooltje voor reverse-lookup (naam bij nummer vinden), en toen bleek dat een heleboel mensen dat nou niet de bedoeling vonden.
Toen ook nog eens commercieele partijen het lucratief begonnen te vinden om systematisch iedereen te gaan bellen en de ergernis daarover groot genoeg werd, werd privacy een politiek belangrijk issue, want privacy is in zijn basis het recht om met rust gelaten te worden.
Ook in die tijd had je geheime nummers. Een opt-out-situatie weliswaar, maar ook in een telefoonboek stond niet alles.