Datalek bij Quora. Gegevens van 100 miljoen gebruikers liggen op straat

Quora, een populaire site waar gebruikers vragen kunnen stellen en antwoorden kunnen geven, heeft een groot datalek gemeld. Cybercriminelen hebben gegevens van 100 miljoen Quora gebruikers buitgemaakt.

Quora meldt dat het datalek op 30 november 2018 is ontdekt. Quora heeft alle gebruikers uitgelogd en dwingt alle accounts om het wachtwoord te resetten.

Welke gegevens zijn er gelekt bij Quora?

  • Accountinformatie, zoals naam, e-mailadres, versleuteld (hashed) wachtwoord, gegevens geïmporteerd uit gekoppelde netwerken wanneer de gebruikers daarvoor toestemming hebben gegeven.
  • Publieke inhoud en acties, zoals vragen, antwoorden, commentaar, opmerkingen, upvotes
  • Niet-openbare inhoud en acties, zoals antwoordverzoeken, downvotes, directe berichten.
  • Vragen en antwoorden die anoniem zijn geschreven worden niet beïnvloed door deze schending, omdat Quora de identiteit van mensen die anonieme inhoud plaatsen niet opslaat.

De overgrote meerderheid van de geraadpleegde inhoud was al openbaar op Quora, maar het lekken van account- en andere privacygevoelige informatie is ernstig.

7 Europese consumentenbonden klagen Google aan wegens schending AVG. Google registreert onrechtmatig waar jij bent geweest

Consumentenorganisaties in Nederland, Polen, Griekenland, Noorwegen, Slovenië, Zweden en Tsjechië klagen Google aan wegens onrechtmatige monitoring van de locatie van gebruikers. De zeven organisaties hebben hun krachten gebundeld. Ze hebben ieder bij hun eigen nationale Autoriteit Persoonsgegevens (AP) een klacht ingediend tegen de internetgigant.

Google schendt volgens de consumentenorganisaties op grote schaal de Algemene Verordening Gegevensbescherming (AVG).

Google volgt zijn gebruikers via “Locatiegeschiedenis” en “Web & App Activity”, instellingen die in alle Google-accounts zijn geïntegreerd. Voor degenen die gebruik maken van Android-smartphones, waaronder Samsung en Huawei-telefoons, is tracking bijzonder moeilijk te vermijden.

De klachten zijn gebaseerd op nieuw onderzoek van de Noorse consumentenbond Forbrukerradet, die lid is van de Europese consumentenorganisatie BEUC.

De consumentenorganisaties beschuldigen Google van ,,bedrieglijke praktijken” om gebruikers ertoe te brengen om in diverse Google applicaties het trackingsysteem te activeren waarmee Google kan bepalen waar iemand zich bevindt.

Volgens de consumentenorganisaties overtreedt Google de Algemene Verordening Gegevensbescherming ook omdat het bedrijf
geen “eenvoudige informatie” heeft verstrekt over wat het opgeven van de gegevens werkelijk met zich meebrengt en “de consument in het ongewisse laat over het gebruik van zijn persoonlijke gegevens.

“Locatiegegevens kunnen veel onthullen over mensen, waaronder religieuze overtuigingen (naar plaatsen van aanbidding), politieke gezindheid (naar demonstraties), gezondheidsproblemen (regelmatige ziekenhuisbezoeken) en seksuele geaardheid (bezoek aan bepaalde bars)”, zeggen de consumentenorganisaties.

Gro Mette Moen, waarnemend hoofd van de eenheid, digitale diensten in de Noorse Consumentenbond, zegt dat Google zeer gedetailleerde en uitgebreide persoonlijke gegevens verwerkt zonder de juiste juridische gronden, en die gegevens verkrijgt door manipulatietechnieken.

Hij voegde eraan toe dat Google registreert waar gebruikers naartoe gaan, en hoe ze zich verplaatsen, en deze gegevens kunnen worden gecombineerd met andere informatie, zoals wat gebruikers zoeken en de websites die ze bezoeken.

“Dergelijke informatie kan op zijn beurt weer worden gebruikt voor zaken als gerichte reclame die bedoeld is om ons te beïnvloeden wanneer we ontvankelijk of kwetsbaar zijn.”

Een gedetailleerd rapport zei er verscheidene manieren Google trucs zijn gebruikers in het delen van hun plaats zijn.

In de eerste plaats gebeurt dit door middel van een misleidende click-flow, die gebruikers er bij het opzetten van een Android-toestel toe aanzet om de “Locatiegeschiedenis” in te schakelen zonder dat ze daarvan op de hoogte zijn. Dit is in strijd met de wettelijke verplichtingen van het GDPR om geïnformeerde en vrijelijk toestemming te vragen.

Vervolgens worden de standaardinstellingen voor “Web & App Activity” verborgen achter extra klikken en standaard ingeschakeld.

Google geeft ook misleidende en onevenwichtige informatie, beweert de groep, aangezien gebruikers onvoldoende informatie krijgen wanneer zij keuzes krijgen voorgelegd en misleid worden over de gegevens die worden verzameld en hoe deze worden gebruikt. Bijvoorbeeld, informatie over hoe locatiegegevens worden gebruikt voor reclame wordt verdoezeld achter extra kliks.

Consumentenbond daagt mkb-ondernemers met challenge uit om consumentvriendelijk data te verzamelen. Aanmelden tot 23 november

MKB-ondernemers kunnen zich tot 23 november 2018 aanmelden voor KVK Business Challenge van de Consumentenbond.

De consumentenorganisatie wil via die challenge samen met het midden- en kleinbedrijf een consumentvriendelijk alternatief voor dataverzameling ontwikkelen.

De nieuwe toepassing moet consumenten in staat stellen zelf te bepalen welke gegevens ze delen met bedrijven.

KVK Business Challenge

De Consumentenbond daagt het mkb uit via de KVK Business Challenge. Dit is een open platform dat grote bedrijven en mkb met elkaar in contact brengt.

De bedrijven leggen een uitdaging voor, waarna mkb’ers oplossingen voorstellen.

Als een bedrijf een oplossing ziet zitten, kunnen beide partijen samen nieuwe, innovatieve toepassingen ontwikkelen.

Geïnteresseerde ondernemers kunnen zich tot 23 november aanmelden voor de challenge.

Baas over eigen data

Directeur Bart Combée van de Consumentenbond is enthousiast. “De Consumentenbond wil dat bedrijven zich aan de wet houden. Dat ze zorgvuldig omgaan met de verzamelde gegevens en deze alleen delen met andere partijen als dat nodig is voor een betere service”, zegt Combée op de website van de Consumentenbond.

“Enerzijds proberen we dat te bereiken door bedrijven aan te spreken en de toezichthouder op te roepen actie te ondernemen. Daarnaast proberen we nu ook via een andere kant invloed uit te oefenen.”

Met de KVK Business Challenge treedt de Consumentenbond zelf toe tot het speelveld. “Vanuit het belang van consumenten werken we actief mee aan een constructieve oplossing, waarbij consumenten weer baas worden over hun eigen data”, zegt directeur Bart Combée.

Is de Facebook Like Button onder de AVG nog toegestaan? Europese Hof van Justitie buigt zich over die vraag

Op vrijwel elke site zie je ze. Social Media buttons die bezoekers stimuleren om de pagina die ze bezoeken via Facebook, Twitter, LinkedIn, Pinterest of Whatsapp te delen. Als ze dat doen levert het gratis reclame op voor de website.

Wat veel mensen en eigenaars van websites niet beseffen is dat deze knoppen voortdurend op de achtergrond monitoren hoeveel bezoek de site krijgt, wanneer, wat er gelezen wordt en vooral ook door wie. En deze informatie wordt door social media kanalen als Facebook commercieel verwerkt. Jouw online gedrag wordt verkocht.

Zelfs als jij geen account hebt bij Facebook of Twitter weten deze bedrijven op welke sites jij geweest bent.

In Duitsland is er daarom al een paar jaar een discussie gaande over de rechtmatigheid van de like-buttons.

Is het monitoren van bezoekers nog wel toegestaan binnen de privacywetgeving?

De Verbraucherzentrale NRW, een consumentenorganisatie in de Duitse deelstaat Noordrijn Westfalen, spande een paar jaar geleden een rechtszaak aan tegen Fashion ID GmbH & Co, een onderneming van de Peek & Cloppenburg KG groep die ook modezaken in Nederland heeft.

Peek & Cloppenburg moet Facebook Like-button verwijderen

De Verbraucherzentrale NRW vindt dat het modebedrijf de Like-button van Facebook van zijn website moet verwijderen. Met deze button worden gegevens over het surfgedrag van elke gebruiker aan Facebook doorgegeven.

 

Dit is in strijd met (oude) eveneens Europese wetgeving op het gebied van gegevensbescherming en dus concurrentiebeperkend, meent de Verbraucherzentrale NRW.

Europese impact Duitse discussie over Like buttons

Die Duitse discussie heeft mede door de nieuwe Europese privacywet ook Europese impact.

Het Hooggerechtshof van Düsseldorf (OLG) heeft naar aanleiding van de aanklacht tegen Peek & Cloppenburg zes vragen gesteld aan het Hof van Justitie van de Europese Unie (EHvJ) over de toelaatbaarheid van de Facebook Like Button op grond van de wetgeving inzake gegevensbescherming (beslissing van 19.01.2017, ref. I-20 U 40/16).

Verregaande consequenties

Het Europese Hof van Justitie doet naar verwachting voor eind 2018 een uitspraak die verregaande consequenties kan hebben.

Het Europese Hof van Justitie moet nu feitelijk duidelijk maken of website-exploitanten de Facebook-Like-button kunnen integreren op een manier die voldoet aan de Algemene Verordenimg Gegevensbescherming (AVG).

Omdat de vragen in 2017 zijn gesteld zijn ze nog steeds gebaseerd op de oude gegevensbeschermingsrichtlijn 95/46/EG en nog niet op de nieuwe Europese privacywetgeving die sinds 25 mei 2018 van toepassing is.

Het besluit zal echter waarschijnlijk grotendeels van toepassing zijn op de huidige rechtssituatie, omdat het AVG ook overeenkomstige bepalingen bevat over de verhouding tot nationale normen, aansprakelijkheid voor gegevensbescherming en de verplichting om informatie te verstrekken.

Besluit zal van invloed zijn op alle social plugins

Het besluit zal van invloed zijn op alle social plugins. Want de knoppen van Google, Twitter en Pinterest werken volgens een vergelijkbaar principe.

Wanneer je websites met Facebook Like buttons bezoekt, worden bezoekersgegevens (zoals het IP-adres) meteen op de achtergrond automatisch doorgegeven aan Facebook. Er wordt op jouw computer een cookie geplaatst die door Facebook reclamedoeleinden wordt gebruikt. Je krijgt op basis van deze gegevens reclame te zien die precies bij jou past.

En dat gebeurt zelfs als je geen account hebt bij Facebook.

 

Gebruikers hoeven niet eens geregistreerd te zijn bij de social mediatycoon Facebook om gegevens door te geven. In de praktijk kunnen geregistreerde IP-adressen met behulp van de cookies worden herkend en anonieme gebruikersprofielen worden aangemaakt.

Als de gebruikers al zijn ingelogd op deze netwerken, is het altijd mogelijk om precies te traceren welke internetpagina’s door deze gebruikers zijn bezocht. Het resultaat is de facto monitoring van gebruikers in het netwerk.

De arrondisementsrechtbank in Düsseldorf bepaalde op 9 september 2016 al dat de Facebook Like button in strijd is met oude en nieuwe privacywetgeving.

Het IP-adres van de bezoekers van websites wordt zonder uitdrukkelijke toestemming van de gebruiker aan Facebook doorgegeven.

P & C ging vervolgens tegen het arrest in beroep. en de zaak werd doorverwezen naar Hooggerechtshof van Düsseldorf (OLG).

Dit hooggerechtshof heeft de procedure in 2017 opgeschort om vragen voor een prejudiciële beslissing aan het Europese Hof van Justitie voor te leggen.

De vragen die het Hof van Justitie moet beantwoorden

In de eerste plaats moet het Europese hof antwoord geven op de vraag of de Verbraucherzentrale NRW zelfs een procesrecht had.

Als het EHJ deze vraag bevestigend beantwoordt, zal het vervolgens moeten verduidelijken of een bedrijf dat de Facebook-Like button op zijn website opneemt, “verantwoordelijk” is in de zin van Europese gegevensbescherming, hoewel het de overdracht van de gegevens zelf niet kan beïnvloeden. Dit is met name relevant omdat aan de verantwoordelijkheid een aantal gegevensbeschermings- en aansprakelijkheidsrisico’s verbonden is.

Is de beheerder van een website aansprakelijk wegens nalatigheid?

Mocht het Europees Hof van Justitie deze vraag ontkennend beantwoorden, dan is Hooggerechtshof van Düsseldorf van mening dat de beheerder van de webpagina ook aansprakelijk kan worden gesteld bij nalatigheid. Daarom zou het graag van het Europees Hof van Justitie willen weten of dit überhaupt mogelijk is en of de Europese regels inzake gegevensbescherming hier definitief zijn.

Indien een of andere vorm van aansprakelijkheid wordt overwogen, rijst de vraag of de gegevens rechtmatig zijn verwerkt. Hiervoor heeft de verantwoordelijke persoon (Facebook en/of de beheerder van de website) een verantwoording op grond van de privacywet.

Wie is er verantwoordelijk? Facebook of websitebeheerder?

Het Hooggerechtshof zou in dit verband graag willen weten wie verantwoordelijk is voor rechtvaardiging van doorgifte op grond van de gegevensbeschermingswetgeving: de website-exploitant of op Facebook? Wiens “rechtmatig belang” bij de doorgifte van gegevens relevant zou zijn? Wie zou toestemming van de gebruiker moeten krijgen?

Tot slot zou een andere controversiële kwestie kunnen worden opgelost: Moet de website-exploitant zijn gebruikers informeren over de datatransmissie, hoewel hij niet weet wat Facebook met de verzonden gegevens doet?

Vanwege de onzekere juridische situatie is het volgens Duitse juristen op dit moment niet aan te raden om de Facebook Like knop direct op te nemen. Het advies van de Duitse advocaten is gelet op de Europese regelgeving ook van belang in Nederland.