Facebook gaat de half miljard getroffen gebruikers niet informeren over datalek, nee die snapte ik ook niet

Facebook gaat de bijna 533 miljoen gebruikers van wie de data onlangs op een hackersforum is geplaatst, niet actief informeren over het datalek. Dat meldde Tweakers vorige week. Het platform zegt niet zeker te weten welke gebruikers ingelicht zouden moeten worden en dat de informatie toch openbaar online staat. Dat voelt een tikje absurd; de gebruikers die je moet hebben staan, eh, in die gelekte dataset. Wat is precies het probleem, of wat hebben de advocaten van Facebook nou weer bedacht als smoes om onder hun plichten uit te komen?

Vorige week verscheen een dataset met ongeveer een half miljard persoonsgegevens online, met daarin telefoonnummers, Facebook-id’s, volledige namen, locaties, voorgaande locaties, geboortedata, geslacht, relatiestatus, bio-tekstendatum van accountcreatie, werkgever en (soms) e-mailadressen. Vermoedelijk is de data verkregen door een fout in de ‘vriend toevoegen’-functie, waar tot telefoonnummers van vreemden voor nodig was. Gebruikers kunnen via tools als Have I Been Pwned zien of zij in de dataset staan.

Dit noemen we juridisch gezien natuurlijk een datalek in de zin van de AVG: grootschalig ongeautoriseerde publicatie van persoonsgegevens. Dat moet je melden bij de toezichthouder, en je moet alle betrokkenen informeren over dat hun data getroffen is, plus mogelijke gevolgen, maatregelen et cetera. En dat wil Facebook dus niet doen, want “the social media company was not confident it had full visibility on which users would need to be notified.” Dat voelt erg paarse-krokodil: ze staan dáár, die users.

Tevens stelt men dat je toch niets kunt doen tegen het lek, en de data is ook nog eens openbaar. Nee, daar snap ik nog minder van: dat is júist een reden om mensen te informeren. “Nee, tegen uw tumor is niets te doen en iedereen kan het zien, dus vandaar dat u nooit een diagnose kreeg”. Eh, kom nou.

Mededelen van datalekken moet, tenzij. Zo staat het in de AVG. En die ’tenzij’ is beperkt tot drie situaties:

  1. de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
  2. de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
  3. de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
Situatie 1 is grofweg dat de data wel is gelekt maar in sterk versleutelde of gepseudonimiseerde vorm. Dan is het risico op misbruik minimaal immers. Maar dat is hier niet van toepassing.

Situatie 2 gaat over datalekken waarbij je kon ingrijpen om de gevolgen van het lek tegen te houden. Je passwords lekten, maar je reset snel alle wachtwoorden en je monitoring gaf aan dat er niet ingelogd was in de tussentijd.  Ook niet van toepassing, integendeel.

Situatie 3 is bij 533 miljoen mensen en alleen een telefoonnummer uit 2019 wellicht verdedigbaar. Die allemaal gaan bellen is te arbeidsintensief, dus dan zou een algemene mededeling (in de krant, of eh op Facebook) een betere optie zijn. Maar daar staat tegenover dat het Facebook-id in de dataset zit. Dus dan kun je in ieder geval de nog actieve gebruikers nazoeken en die een berichtje via het platform sturen. Benieuwd hoe veel er dan nog overblijven.

In ieder geval, ik kan vanuit AVG-perspectief helemaal niets met deze reactie.

Arnoud

12 reacties

  1. Ik zou in jouw situatie 2 et alsnog wenselijk achten om mensen te informeren. Het is algemeen bekend dat veel mensen wachtwoorden hergebruiken. Er is dan wel een password reset uitgevoerd op deze site, zodat daar niet ingelogd kan worden met de gelekte gegevens. Maar hackers gaan gegarandeerd de gelekte email/password combinaties ook op andere sites proberen. Als de gebruikers geïnformeerd zijn over et lek, dan hebben ze de kans om hun wachtwoorden op andere sites aan te passen.

  2. Lijkt mij een mooi moment voor de Nederlandse autoriteit om Facebook een flinke (miljoenen) boete op te leggen.

    Gelet op eerdere berichten van slachtoffers van een datalek die een schadevergoeding claimden bij de veroorzaker, zou dit ook een grondslag geven voor het Europese deel van de 500 miljoen gebruikers om een vergoeding van 500 euro te claimen? Dat lijkt mij ook een terecht gevolg van de lakse houding van Facebook hierin.

      1. Vroeger kreeg ik elk jaar een heel dik boekwerk aangeleverd met daarin alle telefoonnummers van de regio. Naar huidige maatstaven een gigantisch datalek. Voor een significante som kon ik ook zo’n 50 van die delen aanschaffen, met zo’n beetje alle telefoonnummers in Nederland erin. Die kon je ook gewoon op het postkantoor of in de bibliotheek inzien. Ons denken over privacy is enorm veranderd sinds die tijd.

        1. Het gaat om de omgang met persoonsgegevens, niet om privacy. Dat eerste is fors toegenomen sinds alles digitaal en via internet gaat, dus daar moet specifiek toezicht op zijn. Met een telefoonboek kon je vrij weinig, met een datadump van Facebook heb ik alles over je en kan ik je zeer gericht phishen of risicoprofileren.

          1. Ik weet het, de omslag kwam met de uitgifte van het eerste telefoonboek op CD-Rom (ik heb hem nog ergens liggen). Een slimmerik ontdekte hoe je daar alle data uit kon plukken, en maakte een tooltje voor reverse-lookup (naam bij nummer vinden), en toen bleek dat een heleboel mensen dat nou niet de bedoeling vonden.

            Toen ook nog eens commercieele partijen het lucratief begonnen te vinden om systematisch iedereen te gaan bellen en de ergernis daarover groot genoeg werd, werd privacy een politiek belangrijk issue, want privacy is in zijn basis het recht om met rust gelaten te worden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.