Facebook gaat de bijna 533 miljoen gebruikers van wie de data onlangs op een hackersforum is geplaatst, niet actief informeren over het datalek. Dat meldde Tweakers vorige week. Het platform zegt niet zeker te weten welke gebruikers ingelicht zouden moeten worden en dat de informatie toch openbaar online staat. Dat voelt een tikje absurd; de gebruikers die je moet hebben staan, eh, in die gelekte dataset. Wat is precies het probleem, of wat hebben de advocaten van Facebook nou weer bedacht als smoes om onder hun plichten uit te komen?
Vorige week verscheen een dataset met ongeveer een half miljard persoonsgegevens online, met daarin telefoonnummers, Facebook-id’s, volledige namen, locaties, voorgaande locaties, geboortedata, geslacht, relatiestatus, bio-teksten, datum van accountcreatie, werkgever en (soms) e-mailadressen. Vermoedelijk is de data verkregen door een fout in de ‘vriend toevoegen’-functie, waar tot telefoonnummers van vreemden voor nodig was. Gebruikers kunnen via tools als Have I Been Pwned zien of zij in de dataset staan.
Dit noemen we juridisch gezien natuurlijk een datalek in de zin van de AVG: grootschalig ongeautoriseerde publicatie van persoonsgegevens. Dat moet je melden bij de toezichthouder, en je moet alle betrokkenen informeren over dat hun data getroffen is, plus mogelijke gevolgen, maatregelen et cetera. En dat wil Facebook dus niet doen, want “the social media company was not confident it had full visibility on which users would need to be notified.” Dat voelt erg paarse-krokodil: ze staan dáár, die users.
Tevens stelt men dat je toch niets kunt doen tegen het lek, en de data is ook nog eens openbaar. Nee, daar snap ik nog minder van: dat is júist een reden om mensen te informeren. “Nee, tegen uw tumor is niets te doen en iedereen kan het zien, dus vandaar dat u nooit een diagnose kreeg”. Eh, kom nou.
Mededelen van datalekken moet, tenzij. Zo staat het in de AVG. En die ‘tenzij’ is beperkt tot drie situaties:
- de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
- de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
- de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
Situatie 1 is grofweg dat de data wel is gelekt maar in sterk versleutelde of gepseudonimiseerde vorm. Dan is het risico op misbruik minimaal immers. Maar dat is hier niet van toepassing.
Situatie 2 gaat over datalekken waarbij je kon ingrijpen om de gevolgen van het lek tegen te houden. Je passwords lekten, maar je reset snel alle wachtwoorden en je monitoring gaf aan dat er niet ingelogd was in de tussentijd. Ook niet van toepassing, integendeel.
Situatie 3 is bij 533 miljoen mensen en alleen een telefoonnummer uit 2019 wellicht verdedigbaar. Die allemaal gaan bellen is te arbeidsintensief, dus dan zou een algemene mededeling (in de krant, of eh op Facebook) een betere optie zijn. Maar daar staat tegenover dat het Facebook-id in de dataset zit. Dus dan kun je in ieder geval de nog actieve gebruikers nazoeken en die een berichtje via het platform sturen. Benieuwd hoe veel er dan nog overblijven.
In ieder geval, ik kan vanuit AVG-perspectief helemaal niets met deze reactie.
Arnoud