Facebook gaat de half miljard getroffen gebruikers niet informeren over datalek, nee die snapte ik ook niet

| AE 12609 | Privacy | 12 reacties

Facebook gaat de bijna 533 miljoen gebruikers van wie de data onlangs op een hackersforum is geplaatst, niet actief informeren over het datalek. Dat meldde Tweakers vorige week. Het platform zegt niet zeker te weten welke gebruikers ingelicht zouden moeten worden en dat de informatie toch openbaar online staat. Dat voelt een tikje absurd; de gebruikers die je moet hebben staan, eh, in die gelekte dataset. Wat is precies het probleem, of wat hebben de advocaten van Facebook nou weer bedacht als smoes om onder hun plichten uit te komen?

Vorige week verscheen een dataset met ongeveer een half miljard persoonsgegevens online, met daarin telefoonnummers, Facebook-id’s, volledige namen, locaties, voorgaande locaties, geboortedata, geslacht, relatiestatus, bio-tekstendatum van accountcreatie, werkgever en (soms) e-mailadressen. Vermoedelijk is de data verkregen door een fout in de ‘vriend toevoegen’-functie, waar tot telefoonnummers van vreemden voor nodig was. Gebruikers kunnen via tools als Have I Been Pwned zien of zij in de dataset staan.

Dit noemen we juridisch gezien natuurlijk een datalek in de zin van de AVG: grootschalig ongeautoriseerde publicatie van persoonsgegevens. Dat moet je melden bij de toezichthouder, en je moet alle betrokkenen informeren over dat hun data getroffen is, plus mogelijke gevolgen, maatregelen et cetera. En dat wil Facebook dus niet doen, want “the social media company was not confident it had full visibility on which users would need to be notified.” Dat voelt erg paarse-krokodil: ze staan dáár, die users.

Tevens stelt men dat je toch niets kunt doen tegen het lek, en de data is ook nog eens openbaar. Nee, daar snap ik nog minder van: dat is júist een reden om mensen te informeren. “Nee, tegen uw tumor is niets te doen en iedereen kan het zien, dus vandaar dat u nooit een diagnose kreeg”. Eh, kom nou.

Mededelen van datalekken moet, tenzij. Zo staat het in de AVG. En die ‘tenzij’ is beperkt tot drie situaties:

  1. de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
  2. de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
  3. de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
Situatie 1 is grofweg dat de data wel is gelekt maar in sterk versleutelde of gepseudonimiseerde vorm. Dan is het risico op misbruik minimaal immers. Maar dat is hier niet van toepassing.

Situatie 2 gaat over datalekken waarbij je kon ingrijpen om de gevolgen van het lek tegen te houden. Je passwords lekten, maar je reset snel alle wachtwoorden en je monitoring gaf aan dat er niet ingelogd was in de tussentijd.  Ook niet van toepassing, integendeel.

Situatie 3 is bij 533 miljoen mensen en alleen een telefoonnummer uit 2019 wellicht verdedigbaar. Die allemaal gaan bellen is te arbeidsintensief, dus dan zou een algemene mededeling (in de krant, of eh op Facebook) een betere optie zijn. Maar daar staat tegenover dat het Facebook-id in de dataset zit. Dus dan kun je in ieder geval de nog actieve gebruikers nazoeken en die een berichtje via het platform sturen. Benieuwd hoe veel er dan nog overblijven.

In ieder geval, ik kan vanuit AVG-perspectief helemaal niets met deze reactie.

Arnoud

Moet je ook een DPIA uitvoeren op interne systemen?

| AE 12578 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me:

Volgens de AVG zijn er een aantal criteria wanneer je een DPIA moet uitvoeren. Maar vallen interne systemen, zoals o.a. een DMS, e-mail, backups ed. ook onder deze ‘plicht’ ? Ik vraag dit omdat onze FG ook die systemen als “hoog risico” aanmerkt, wat enorme vertraging geeft.
Een DPIA of data protection impact assessment is een verplicht nummer voor verwerkingen van persoonsgegevens met waarschijnlijk een hoog risico voor de betrokken personen (artikel 35 AVG). Meestal gaat het dan om nieuwe technologieën, maar dat hoeft niet.

Om te bepalen of het risico hoog is, moet je volgens de AVG kijken naar “de aard, de omvang, de context en de doeleinden” van de verwerking. Er is geen expliciete uitzondering voor intern versus extern, wat dat ook zou mogen betekenen in de context van verwerken van persoonsgegevens.

De AP heeft een lijst gepubliceerd van verwerkingen die in ieder geval eerst aan een DPIA onderworpen moeten worden. Hieronder valt onder meer heimelijk onderzoek van personeel door werkgevers, grootschalige fraudebestrijding (concreet: AI-analyse van je klantenbestand), grootschalig monitoren van personeel of klanten, stelselmatig monitoren van dataverkeer anders dan voor security, uitgebreid profileren en ga zo maar door.

Ik zie wel hoe een “intern” gebruik van persoonsgegevens onder deze kopjes kan vallen. De kern is voor mij wel dat het vrijwel altijd gaat om “grootschalig” gebruik. Dus één werknemer tijdelijk volgen vanwege een vermoeden van lekken van bedrijfsgeheimen zou geen DPIA vereisen.

Het uitrollen van een nieuw e-mailsysteem zou voor mij ook geen DPIA nodig hebben, maar wél als je er productiviteitsdingen in gaat toevoegen en daarmee werknemers monitort op hun effectiviteit. Een nieuwe procedure voor backups van bedrijfsdata lijkt me op zich ook niet hogo risico, met backups ging je sowieso al om alsof het goud was.

Arnoud

Oh sjonge, optimaliseren van onze website is dus een boetewaardige cookietekst

| AE 12395 | Privacy | 12 reacties

De Franse privacyautoriteit CNIL heeft Google en Amazon een boete van respectievelijk 100 miljoen en 35 miljoen euro gegeven, las ik bij Nu.nl. Het boetebesluit is opmerkelijk omdat het gewoon recht voor z’n raap beboet wat veel mensen al lang zeggen maar bedrijven gewoon blijven doen: direct een tracking cookie zetten en ook nog eens in de cookiemelding alleen maar vage teksten als “By using this website, you accept our use of cookies allowing to offer and improve our services. Read More” te hanteren. Het blijft me verbazen, dat iedereen daar gewoon mee doorging.

Of nou ja, eigenlijk ook weer niet want iedereen doet het en er werd toch niet op gehandhaafd. Maar ik had denk ik wel ergens verwacht dat die vage teksten als “wij gebruiken cookies om uw bezoekerservaring te optimaliseren” wel zouden verdwijnen toen de AVG haar intocht maakte. Dat blijkt dus fors tegen te vallen.

De CNIL is de Franse toezichthouder, en legt dan ook de boete op voor de dienst Google.fr en Amazon.fr – aan de Franse dochter van Google en Amazon, omdat die daadwerkelijk in de EU gevestigd zijn. Zo concludeert men:

Therefore, the processing consisting of operations of accessing or entering information in the terminal of users of the Google Search search engineresiding in France, in particular for advertising purposes, is carried out within the framework of the activities of the company GOOGLE FRANCE on French territory, which is in charge of the promotion and marketing of GOOGLE products and their advertising solutions in France.
(Wat natuurlijk klopt, die Europese dochterbedrijven zitten er om advertenties te verkopen dus die tracking cookies draaien daar voor hún zakelijk belang. De juridische bedrijfsstructuur doet er dan gewoon niet meer toe.)

Maar dan de echte discussie, hoe moet je uitleggen wat je doet? Na eerst alleen maar “Beheer uw privacy klik hier” te hebben gehad, had Google bijvoorbeeld op zeker moment dit ingevoerd:

Google uses cookies and other data to provide, manage and improve its services and ads. If you agree, we’ll personalize the content and ads you see based on your activity on Google services like Search, Maps, and YouTube. Some of our partners also assess how our services are used. Click “More Info” to explore your options or visit g.co/privacytools anytime
Maar is dit genoeg? Nee, aldus de CNIL: hieruit haal je niet dat je gevolgd wordt over meerdere apparaten en diensten heen, dat sprake is van vérgaande personalisatie en vooral dat je dit alles kunt uitzetten. Ja, er staat “more info to explore options” maar dat is bij lange na natuurlijk niet een mogelijkheid om te weigeren. En laat de wet nu niet alleen een weigermogelijkheid eisen maar zelfs een vooráfgaande: je moet gewoon vrijelijk toestemming kunnen geven of niet.

Wie heel hard zocht, kon een opt-out mogelijkheid vinden. Alleen bleek daarbij dat daarna niet alle cookies daadwerkelijk werden verwijderd of op opt-out werden gezet, zodat het tracken vrolijk verder kon gaan.

Goed, en nu. Moet iedereen stoppen met die vage zinnen, en vooral met cookies plaatsen voordat mensen op ja hebben geklikt? Nou ja, wat denk je zelf. Maar ik weet ook wel dat de concurrent er gewoon mee doorgaat, dat deze zaak nog jaren gaat slepen en dat er dus bar weinig prikkel is om morgen over te stappen op een volledig compliant systeem. Dit is echt een probleem.

Arnoud

Ticketmaster krijgt boete van 1,4 miljoen euro van Britse privacywaakhond

| AE 12338 | Privacy, Security | 28 reacties

Het Britse bedrijf Ticketmaster heeft een boete gekregen voor een datalek in 2018, las ik bij Nu.nl. Door een kwetsbaarheid in de chatbot op de website konden derden toegang krijgen tot betaalgegevens van 37.000 creditcardhouders, en in theorie zelfs 9.4 miljoen mensen uit de hele EU. Opmerkelijk aan de zaak vond ik vooral dat die… Lees verder

Is een SaaS dienstverlener vanwege de AVG verplicht escrow op te zetten?

| AE 12330 | Ondernemingsvrijheid, Privacy | 7 reacties

Een lezer vroeg me: Strekt de AVG zover dat softwarepartijen verplicht zijn – in het kader van beveiligen van de continuiteit – een escrowachtige regeling aan te bieden waarbij software en hosting geborgd zijn na een faillissement of overname? De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig… Lees verder

“Als u uw account opheft, wordt alle informatie publiek zichtbaar’

| AE 12314 | Ondernemingsvrijheid | 5 reacties

Vreemde mededeling bij hippepresentatiemaakdienst Prezi: Wie komt er nou op het idee om te zeggen, als je je betaalde abonnement wilt opzeggen dan worden alle presentaties die je hebt gemaakt automatisch openbaar? Dat riekt naar, eh hoe zeg je dat netjes, een verwarrende UX beleving. Prezi is een aantal jaar geleden groot geworden als online… Lees verder

Mag je contactgegevens via WhatsApp doorgeven of is dat ook al een AVG probleem?

| AE 12287 | Privacy, Uitingsvrijheid | 20 reacties

Een lezer vroeg me: Er zijn beperkingen bij het doorgeven van het e-mailadres aan derden. Maar contactgegevens doorgeven via WhatsApp is een standaard feature. Het zijn weliswaar geen e-mailadressen, maar kan dat volgens de wet zo maar? Voor het doorgeven van e-mailadressen, 06-nummers en alle andere contactgegevens van personen (ook indien voor zakelijk contact) gelden gewoon dezelfde… Lees verder

Met één klik je privacyvoorkeuren juridisch bindend doorgeven, gaat dat ooit lukken?

| AE 12269 | Privacy | 7 reacties

Met de Global Privacy Control in je browser kun je straks met één muisklik instellen of je gevolgd en geprofileerd wil worden, las ik bij Ars Technica. Deze nieuwe optie, die echt niet hetzelfde is als de keihard gefaalde Do Not Track instelling in je browser (waarmee je met één muisklik kon instellen of je gevolgd en… Lees verder

Mag je zelf bepalen wanneer je een datalek meldingswaardig vindt?

| AE 12252 | Privacy | 21 reacties

Tientallen keren per jaar komt privacygevoelige informatie van patiënten door datalekken bij het Noordwest Ziekenhuis in Alkmaar en Den Helder in verkeerde handen terecht. Dat las ik bij Langedijk Centraal, dat het weer van het Noordhollands Dagblad had. Vaak gaat het om verkeerd geadresseerde post, maar ook om rondslingerende usb-sticks of geneus zonder toestemming. En, zo lazen… Lees verder

Heeft die consent-balk van Teams bij video-opnames ook maar enige betekenis?

| AE 12255 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Twitter: als tijdens een videooverleg de organisator ‘opnemen’ aanzet dan lijkt dit me geen AVG-conforme manier om toestemming omdat die ‘vrijelijk’ gegeven moet worden. Ik verbaas me ook regelmatig over dat balkje bovenin de meeting, met de tekst “This meeting is being recorded. By joining you are giving consent for this meeting to be… Lees verder