Facebook-CEO Marc Zuckerberg draait als het aan de Amerikaanse Democratische senator Ron Wyden ligt 20 jaar de gevangenis in wegens de vele datalekken waarvoor zijn bedrijf verantwoordelijk is.
Wyden komt met een voorstel om hoge gevangenisstraffen voor het management vast te leggen in de Consumer Data Protection Act.
Wyden komt met zijn wetsvoorstel in reactie op vragen uit de Amerikaanse samenleving. In het hele land worden groepsacties georganiseerd door mensen die vinden dat het onbegrijpelijk is dat bedrijven als Über, Google en Facebook op boetes na nauwelijks aangepakt worden.
Wyden loopt al jarenlang voorop bij de aanpak van cybersecurity en privacykwesties in de Verenigde Staten. Hij presenteerde zijn wetsvoorstel donderdag 8 november 2018. Er moeten volgens hem veel zwaardere sancties komen.
Consumer Data Protection Act alleen van toepassing voor grote bedrijven
De Consumer Data Protection Actzou alleen van toepassing zijn voor bedrijven die meer dan $50 miljoen omzet maken en persoonlijke informatie over meer dan 1 miljoen mensen hebben.
In het wetsontwerp wordt aanbevolen om de mogelijkheden van de Federal Trade Commission om schendingen van de privacy af te dwingen, te versterken.
Jaarlijks rapport over gegevensbescherming
De Consumer Data Protection Act eist ookdat bedrijven een jaarlijks rapport over gegevensbescherming moeten indienen. Vergelijkbaar met hoe bedrijven zoals Google en Apple vrijwillig transparantieverslagen over overheidseisen vrijgeven.
Het rapport zou moeten worden ondertekend door CEO’s, die tot 20 jaar gevangenisstraf zouden kunnen krijgen als ze tegen de FTC liegen.
Nationale Do-Not-Track site
Het wetsontwerp van Wyden introduceert ook een nationale “Do No Track” website, die een centrale pagina zou creëren voor Amerikanen om zich uit te schrijven voor het delen van gegevens via het internet.
Op dit moment, als u zich wilt afmelden voor het bijhouden van gegevens, moet iedereen dit zelf doen op elke individuele website waarvoor je je hebt aangemeld.
Apple voorstander van de nieuwe wet
Tim Cook, CEO van Apple, is voorstander van strenge privacywetgeving. Hij pleit voor een federale wet op de privacy van gegevens, met als argument dat privacy een “fundamenteel mensenrecht” is.
Google, Facebook en Amazon hebben andere ideeen over privacybescherming
Google, Facebook en Amazon hebben ook gezegd dat ze een federale wet op de privacy van gegevens ondersteunen, hoewel er een groot verschil is in wat technologiebedrijven willen en wat voorstanders van privacy willen.
Amerikaanse handelsorganisaties, zoals de Internet Association, hebben de technologiebedrijven gevraagd om vooruit te lopen op federale wetten van de Amerikaanse staat.
Facebook maakte vorige week vrijdag openbaar dat op de dinsdag van die week de accounts van bijna 50 miljoen Facebook-gebruikers waren gehackt. Dat datalek levert Facebook mogelijk een megaboete van 1,4 miljard Euro op.
Sinds de Algemene Verordening Gegevensbescherming (AVG) van kracht is weten veel mensen dat er miljoenen Euro aan boetes kunnen worden opgelegd als de regels worden overtreden.
Bij Facebook wordt een potentieel boetebedrag van 1,4 miljard Euro genoemd. Waar komt dat bedrag vandaan? Heeft Facebook nu een megaprobleem?
Datalekprocedure Facebook
De AVG eist onder meer dat bedrijven hacks en lekken binnen 72 melden bij een Europese toezichthouder. Zo niet, dan kan een boete van maximaal 2 procent van de wereldwijde omzet van het bedrijf worden opgelegd.
Grote vraag is dan of Facebook de hack volgens de regels van een datalekprocedure binnen de verplichte 72 uur bij een Europese privacywaakhond heeft gemeld.
Wall Street Journal
Volgens de Wall Street Journal heeft Facebook tijdig een datalekprocedure gestart. Daarmee lijkt een eerste hoge boete in het kader van de Europese privacywet AVG afgeslagen.
Facebook melde de hack die naar eigen zeggen dinsdag werd ontdekt donderdag bij de Ierse Data Protection Commission (DPC), schrijft The Wall Street Journal.
Het Europese hoofdkantoor van Facebook staat in Ierland, en dus worden alle Europese privacyzaken van Facebook in principe door de Ierse autoriteit persoonsgegevens DPC afgehandeld.
Boete tot 1,4 miljard euro
Toch kan Facebook mogelijk een nog hogere boete krijgen. Bedrijven die volgens de toezichthouder niet genoeg hebben gedaan om de privacy van gebruikers te waarborgen, kunnen boete krijgen van 20 miljoen dollar of 4 procent van jaaromzet waarbij het hoogste bedrag telt. In het geval van Facebook zou de maximumboete op 1,4 miljard euro komen.
Een anonieme Europese privacyadvocaat zegt tegen The Wall Street Journal dat de eis om een lek binnen 72 uur te melden “iedereen op scherp zet”, en zorgt dat bedrijven hacks eerder openbaar maken. De Ierse DPC klaagt dat Facebook niet meer details heeft gegeven rond de recente hack, en heeft het bedrijf vragen gesteld.
Facebook heeft risico van datalek nog niet duidelijk gemaakt
De toezichthouder is “bezorgd over het feit dat dit lek dinsdag ontdekt is en miljoenen gebruikers aangaat, zonder dat Facebook de aard van het lek en het risico voor gebruikers duidelijk kan maken”.
Facebook zegt de zaak te onderzoeken, en de vragen van de toezichthouder zo snel mogelijk te beantwoorden.
Facebook loopt extra risico op megaboete vanwege voorbeeldfunctie
Experts zeggen tegen The Wall Street Journal dat de Europese privacywaakhonden mogelijk een voorbeeld zullen maken van Facebook, omdat het bedrijf met zijn miljarden gebruikers en miljardenomzet een voorbeeldfunctie heeft voor andere bedrijven.
Facebook heeft er weer een nieuw schandaal bij. Onderzoekers hebben ontdekt dat Facebook zonder toestemming telefoonnummers en mailadressen van gebruikers en hun contacten misbruikt voor gerichte advertentiedoeleinden, meldt de Amerikaanse site Gizmodo.
Facebook gebruikt volgens Gizmodo ook telefoonnummers en e-mailadressen voor gerichte advertenties die gebruikers alleen voor veiligheidsdoeleinden of helemaal niet aan het platform hebben gegeven. Facebook zou een manier gevonden hebben om privacyinstellingen te omzeilen.
Misbruik van factor beveiliging
Het onderzoek toont aan dat Facebook adverteerders helpt via de telefoonnummers die vertrouwelijk aan het bedrijf worden verstrekt voor tweefactor authenticatiebeveiliging.
Facebook overtreedt door het ongevraagd verwerken van telefoonnummers de Algemene Verordening Gegevensbescherming (AVG).
Facebook past de verboden advertentietaktiek toe bij zijn social mediadiensten Facebook, Instagram en Whatsapp en brengt daarbij niet alleen zichzelf, maar ook zakelijke gebruikers in problemen.
Onrechtmatig gebruik contactinformatie
Facebook eigent zich namelijk onrechtmatig het recht toe om gebruik te maken van alle contactinformatie waar het bedrijf via jouw Facebook, Instagram of Whatsapp account(s) toegang toe kan krijgen.
Er worden door Facebook ongevraagd contactgegevens van jouw klanten en personeelsleden voor commerciele doeleinden gedeeld met adverteerders.
Jij had al deze contacten toestemming moeten vragen om hun gegevens met Facebook te delen. Dat heb je niet gedaan. Er is daarom sprake van een datalek, waarvan je binnen 72 uur melding moet maken.
De vraag is of je op de hoogte had kunnen zijn van het datalek richting Facebook, Instagram en Whatsapp.
Het gedetailleerde uitvoerige artikel op Gizmodo maakt duidelijk dat zakelijke gebruikers niet konden weten dat Facebook misbruik maakte van het vertrouwen van zijn gebruikers.
Facebook ontkende altijd dat dat gebeurde.
Diverse onderzoekers vertrouwden Facebook niet en gingen op onderzoek. Ze zijn er maanden mee bezig geweest om te bewijzen dat Facebook misbruik maakt van telefoonnummers die uit de databestanden van gebruikers worden gefilterd.
Naast de profielen van de gebruikers verzamelt Facebook in het geheim schaduwinformatie.
Zelfs als je slechts een anoniem eenmalig wegwerpemailadres hebt gebruikt om een account aan te maken bij Facebook, Instagram of Whatsapp is het heel goed mogelijk dat het bedrijf verschillende andere e-mailadressen en jouw thuis- en zakelijke telefoonnummers al kent.
Want wat Facebook over u weet en verzamelt, is niet beperkt tot wat je op jouw profiel onthult of welke mensen in jouw Facebook-contactlijst staan.
Facebook combineert de data van jouw account achter je rug om ook met gegevens van andere informatiebronnen en creëert “schaduwprofielen” die het geheim houdt, maar wel voortdurend voor verschillende doeleinden gebruikt.
Het kan dus gebeuren dat Facebook ons een persoon als vriend voorstelt, hoewel er al jaren geen contact is geweest. Of dat iemand een aangepaste advertentie ontvangt op basis van een zakelijk telefoonnummer dat hij of zij nooit heeft opgegeven aan Facebook.
Facebook verkrijgt in dergelijke gevallen de nodige informatie, bijvoorbeeld door het evalueren van lijsten met mobiele telefooncontacten.
Als iemand Facebook toegang geeft tot een adresboek, ontvangt Facebook de gegevens van alle personen die erin verschijnen.
Facebook heeft toegang tot deze gevoelige informatie, bijvoorbeeld via Messenger of de functie “Vrienden zoeken”, die vooral aan nieuwe gebruikers wordt aangeboden.
Gerichte reclame via telefoonnummers
De onderzoekers Giridhari Venkatadri, Piotr Sapiezynski en Alan Mislove van de Northeastern University in Boston deden samen met onderzoeker Elena Lucherini van de Princeton University onderzoek naar de vraag of Facebook misbruik maakt van zijn positie en technische mogelijkheden. Ze ontdekte dat Facebook schaduwprofielen niet alleen gebruikt voor vriendschapssuggesties maar ook voor advertenties.
Wat veel mensen niet weten is dat Facebook vaak contactgegevens zoals namen, geboortedata, telefoonnummers of e-mailadressen gebruikt om gericht reclame te kunnen tonen aan doelgroepen.
Als een ondernemer een advertentie wil plaatsen en al een contactlijst heeft met mensen uit de beoogde doelgroep, kan hij die uploaden naar Facebook. De gegevens worden dan gepseudonimiseerd en vervolgens vergeleken met de bestaande Facebook-profielen.
Als er overeenkomsten (matches) zijn, wordt er een doelgroep op maat gemaakt.
Telefoonnummers en e-mailadressen worden zo universele identifiers: met deze “Custom Audience” functie op Facebook kunnen bedrijven precies die mensen bereiken die ze ook al vanuit andere contexten kunnen bereiken. Volgens Facebook wordt de extern geüploade informatie na gebruik weer verwijderd.
Deze werkwijze is echter volstrekt in strijd met de AVG. De ondernemer mag niet zonder toestemming van zijn klanten of personeel hun contactgegevens delen met andere partijen.
Facebook doet alsof de gegevens worden gepseudonimiseerd en zo aan de wet voldoet, maar dat is in werkelijkheid duidelijk niet het geval.
Als een bedrijf een advertentie wil plaatsen met behulp van telefoonnummers uit zijn eigen contactlijst, wordt de geüploade lijst niet alleen gekoppeld aan de telefoonnummers van Facebook-gebruikers zelf, maar ook aan die van degenen die deze hebben gedeeld met derden en die Facebook zonder hun medeweten in hun schaduwprofielen verzamelt.
Facebook omzeilt privacy-instellingen
Hoewel het bedrijf trots is op zijn privacy-instellingen voor advertenties, hebben gebruikers alleen macht over de gegevens die zij zelf aan Facebook hebben verstrekt.
Het gebruik van gegevens die het bedrijf via andere middelen bereiken, kan niet worden tegengegaan door privacyinstellingen.
Journalist Kashmir Hill heeft Facebook met deze privacykwestie geconfronteerd, maar kreeg geen antwoord. Facebook beroept zich op zijn bedrijfsgeheim en de noodzaak om de gegevens van degenen die hun adresboek met Facebook delen te beschermen.
Facebook heeft opnieuw te maken gehad met een groot datalek. Het sociale netwerk heeft toegegeven dat privé bijdragen van 14 miljoen gebruikers door een softwarefout in mei 10 dagen lang zichtbaar waren voor alle gebruikers.
In de periode van 18 tot en met 27 mei zijn bijdragen openbaar gemaakt die alleen voor je eigen Facebook-vrienden of een groep zichtbaar hadden mogen zijn.
Volgens Facebook werd de privacyinstelling voor berichten door de softwarefout zonder waarschuwing op “publiek” ingesteld, ook al hadden gebruikers eerder bijvoorbeeld alleen “vrienden” als doelgroep ingesteld.
Volgens Facebook is het probleem inmiddels opgelost en is de oorspronkelijke privacyinstelling voor het delen van berichten hersteld.
Volgens Facebook had de fout geen effect op oudere berichten.
Getroffen gebruikers worden volgens Facebook nog geïnformeerd dat zij de privacy-instellingen van hun laatste berichten moeten controleren.
Hoeveel privé-bijdragen er eigenlijk voor iedereen zichtbaar werden gemaakt, is echter onduidelijk, meldt de blog Recode. Ook is nog niet bekend of Nederlandse Facebook-leden ook door de fout zijn getroffen.
Vorig jaar stimuleerde Facebook in een reclamecampagne nog om gebruik te maken van de privacyinstellingen.
Facebook staat al maanden onder enorme druk vanwege de verwerking van persoonlijke gegevens.
Onder meer omdat de gegevens van ongeveer 87 miljoen gebruikers bij het data-analysebedrijf Cambridge Analytica waren beland en vervolgens zonder toestemming werden gebruikt voor de verkiezingscampagne van de Donald Trump.
Eerder deze week gaf Facebook ook toe dat de Chinese smartphonefabrikant Huawei toegang kreeg tot de gegevens van zijn gebruikers.
Persoonsgegevens mogen uitsluitend worden verwerkt als de verwerking een rechtmatige grondslag heeft. Je moet bepalen welke rechtmatige grondslag voor de verwerking van toepassing is. Als je de gegevensverwerking niet kunt baseren op minimaal één van deze grondslagen heb je niet het recht om de persoonsgegevens te verwerken.
In AVG artikel 6, lid 1 worden 6 wettelijke grondslagen voor het verwerken van persoonsgegevens benoemd:
Toestemming van de betrokken persoon.
De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Je bent zelf verantwoordelijk om te beoordelen of je je voor een verwerking van persoonsgegevens kunt baseren op één van de 6 grondslagen.
Bijzondere en strafrechtelijke gegevens
Het verwerken van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij je voldoet aan een aantal strengere eisen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid. Strafrechtelijke persoonsgegevens zijn bijvoorbeeld gegevens over strafrechtelijke veroordelingen.
Persoonlijk gebruik
Verwerking van persoonsgegevens voor puur persoonlijk gebruik is wel altijd toegestaan. Denk bijvoorbeeld aan een verjaardagskalender of een bestand met adressen van familie en vrienden.
Verantwoordingsplicht
Zorg ervoor dat je goed kunt onderbouwen dat je de verwerking van persoonsgegevens op minimaal 1 van de 6 AVG-grondslagen kunt baseren als de Autoriteit Persoonsgegevens daar om vraagt. Onder de AVG geldt namelijk de verantwoordingsplicht.
