Privacyorganisatie daagt Meta en Ierse toezichthouder voor de rechter

Het Ierse Digital Rights Ireland klaagt Meta en de Ierse privacyautoriteit aan. Die laatste heeft volgens hen te weinig gedaan nadat in 2021 data van honderden miljoenen Facebookgebruikers uitlekte.

De zaak draait om de gegevens van 530 miljoen Facebook-gebruikers, waarvan zo'n 110 miljoen EU-inwoners. Die werden rond de zomer van 2018 illegaal verzameld en lekten later uit op het internet. Het ging niet om een hack bij Facebook, maar het bedrijf was wel nalatig en kreeg daarvoor recent nog een boete voor van de Ierse Data Protection Commissioner (DPC) van 265 miljoen euro.

Datalek volgens de GDPR

Maar dat is onvoldoende volgens Digital Rights Ireland, zij gaan in beroep tegen het oordeel van de DPC dat het uitlekken van de gegevens 'geen datalek binnen de definitie van Artikel 4(12)' van de GDPR was. De regulator was wel van mening dat de principes van de wetgeving werden geschonden, maar het gaat niet om een datalek.

Dat heeft, los van de boete, ook gevolgen in hoe Facebook er mee moest omgaan. Specifiek rondom het inlichten van slachtoffers: "Facebook liet de deur los, maar de beslissing van de DPC betekent dat Facebook niet verantwoordelijk is voor de data die werd gestolen. Het ontkent dat er een datalek is geweest voor de slachtoffers en dat betekent dat ze niet hoeven worden ingelicht", zegt Dr. TJ McIntire, voorzitter van Digital Rights Ireland.

De zaak lijkt over een detail te gaan, maar Digital Rights Ireland is van mening dat de miljoenen Europeanen wiens data via Facebook werd verzameld, onvoldoende gerechtigheid hebben gekregen door het relatief milde oordeel van de Ierse DPC.

Misbruik door criminelen of slecht ontwerp door Facebook?

De enorme datadiefstal is een verhaal dat intussen al jaren aansleept. Facebook wist immers van het probleem lang voor de gegevens werden verzameld, maar deed niets.

Het lek dat in het voorjaar van 2021 opdook, bevat gegevens die vermoedelijk in augustus 2018 zijn verzameld. Het gaat om informatie die deels publiek is, maar bevat ook data die je in theorie enkel kan zien als Facebookvriend van iemand. Maar dat is niet altijd waterdicht.

Facebook: Geen veiligheidsprobleem

Zo ontdekte de Belgische ethische hacker Inti De Ceukelaire in 2017 al dat het mogelijk was om eindeloos veel telefoonnummers door Facebook te jagen, waarna Facebook je vertelde aan wiens profiel een nummer toebehoorde. De Ceukelaire meldde dat bij Facebook, maar die liet hem weten dat die optie niet echt een veiligheidsprobleem was en dus niet zou worden opgelost.

Een jaar later werden de gegevens door criminelen verzameld en achteraf zei Facebook dat het pas sinds 2019 wist dat die scraping mogelijk was, ook al werd het in 2017 al ingelicht zonder verdere stappen.

Geframed als sectorprobleem

Facebook heeft die nalatigheid nooit bevestigd. Data News vroeg in de nasleep van het uitlekken in 2021 om uitleg hoe het datalek was ontstaan, maar kreeg daar geen antwoord op. Wel stuurde het bedrijf toen per ongeluk een interne mail door waarin stond dat de gegevensdiefstal zou worden geframed als sectorprobleem, met de nodige PR-spinning om de verantwoordelijkheid te ontwijken.

Dat er nu een zaak wordt aangespannen over dat het incident niet werd geklasseerd als een datalek, komt dus deels omdat het lastig te definiëren valt. Puur theoretisch heeft er niemand ingebroken op het netwerk van Facebook om data te stelen. Maar in praktijk gaat het wel om informatie die normaliter niet door eender wie kon worden bekeken. Daarbij liet Facebook wel een hoop achterpoortjes open, negeerde het waarschuwingen daarover, en lekten zo de contactgegevens van een half miljard mensen uit.

In samenwerking met Data News