De zaak gaat over de gegevens van 530 miljoen facebookgebruikers, waarvan zo'n 110 miljoen EU-inwoners of drie miljoen Belgen. Die werden rond de zomer van 2018 illegaal verzameld en lekten nadien uit op het internet. Het ging niet om een hack bij Facebook, maar het bedrijf was wel nalatig en kreeg daarvoor recent nog een boete voor van de Ierse Data Protection Commissioner (DPC) van 265 miljoen euro.

Maar dat is onvoldoende volgens Digital Rights Ireland, zij gaan in beroep tegen het oordeel van de DPC dat het uitlekken van de gegevens 'geen datalek binnen de definitie van Artikel 4(12)' van de GDPR was. De regulator was wel van mening dat de principes van de wetgeving werden geschonden, maar het gaat niet om een datalek.

Dat heeft, los van de boete, ook gevolgen in hoe Facebook er mee moest omgaan, specifiek over het inlichten van slachtoffers: 'Facebook liet de deur los, maar de beslissing van de DPC betekent dat Facebook niet verantwoordelijk is voor de data die werd gestolen. Het ontkent dat er een datalek is geweest voor de slachtoffers en dat betekent dat ze niet hoeven worden ingelicht,' zegt Dr. TJ McIntire, voorzitter van Digital Rights Ireland.

De zaak lijkt over een detail te gaan, maar Digital Rights Ireland is van mening dat de miljoenen Europeanen wiens data via Facebook werd verzameld, onvoldoende gerechtigheid hebben gekregen door het relatief milde oordeel van de Ierse DPC.

Misbruik door criminelen of slecht ontwerp door Facebook?

De enorme datadiefstal is een verhaal dat intussen al jaren aansleept, en zelfs een stevig Belgisch kantje heeft. Facebook wist immers van het probleem lang voor de gegevens werden verzameld, maar deed niets.

Het lek dat in het voorjaar van 2021 opdook, bevat gegevens die vermoedelijk in augustus 2018 zijn verzameld. Het gaat om informatie die deels publiek is, maar bevat ook data die je in theorie enkel kan zien als Facebookvriend van iemand. Maar dat is niet altijd waterdicht.

Zo ontdekte de Belgische ethische hacker Inti De Ceukelaire in 2017 al dat het mogelijk was om eindeloos veel telefoonnummers door Facebook te jagen, waarna Facebook je vertelde aan wiens profiel een nummer toebehoorde. De Ceukelaire meldde dat bij Facebook, maar die liet hem weten dat die optie niet echt een veiligheidsprobleem was en dus niet zou worden opgelost.

Een jaar later werden de gegevens door criminelen verzameld en achteraf zou Facebook zeggen dat het pas in 2019 wist dat die scraping mogelijk was, ook al werd het in 2017 al ingelicht zonder verdere stappen.

Facebook heeft die nalatigheid nooit bevestigd. Data News vroeg in de nasleep van het uitlekken in 2021 om uitleg hoe het datalek was ontstaan, maar kreeg daar geen antwoord op. Wel stuurde het bedrijf toen per ongeluk een interne mail door waarin stond dat de gegevensdiefstal zou worden geframed als sectorprobleem, met de nodige PR-spinning om de verantwoordelijkheid te ontwijken.

Dat er nu een zaak wordt aangespannen over dat het incident niet werd geklasseerd als een datalek, komt dus deels omdat het lastig te definiëren valt. Puur theoretisch heeft er niemand ingebroken op het netwerk van Facebook om data te stelen. Maar in praktijk gaat het wel om informatie die normaliter niet door eender wie kon worden bekeken. Daarbij liet Facebook wel een hoop achterpoortjes open, negeerde het waarschuwingen daarover, en lekten zo de contactgegevens van een half miljard mensen uit.

De zaak gaat over de gegevens van 530 miljoen facebookgebruikers, waarvan zo'n 110 miljoen EU-inwoners of drie miljoen Belgen. Die werden rond de zomer van 2018 illegaal verzameld en lekten nadien uit op het internet. Het ging niet om een hack bij Facebook, maar het bedrijf was wel nalatig en kreeg daarvoor recent nog een boete voor van de Ierse Data Protection Commissioner (DPC) van 265 miljoen euro.Maar dat is onvoldoende volgens Digital Rights Ireland, zij gaan in beroep tegen het oordeel van de DPC dat het uitlekken van de gegevens 'geen datalek binnen de definitie van Artikel 4(12)' van de GDPR was. De regulator was wel van mening dat de principes van de wetgeving werden geschonden, maar het gaat niet om een datalek.Dat heeft, los van de boete, ook gevolgen in hoe Facebook er mee moest omgaan, specifiek over het inlichten van slachtoffers: 'Facebook liet de deur los, maar de beslissing van de DPC betekent dat Facebook niet verantwoordelijk is voor de data die werd gestolen. Het ontkent dat er een datalek is geweest voor de slachtoffers en dat betekent dat ze niet hoeven worden ingelicht,' zegt Dr. TJ McIntire, voorzitter van Digital Rights Ireland.De zaak lijkt over een detail te gaan, maar Digital Rights Ireland is van mening dat de miljoenen Europeanen wiens data via Facebook werd verzameld, onvoldoende gerechtigheid hebben gekregen door het relatief milde oordeel van de Ierse DPC.De enorme datadiefstal is een verhaal dat intussen al jaren aansleept, en zelfs een stevig Belgisch kantje heeft. Facebook wist immers van het probleem lang voor de gegevens werden verzameld, maar deed niets.Het lek dat in het voorjaar van 2021 opdook, bevat gegevens die vermoedelijk in augustus 2018 zijn verzameld. Het gaat om informatie die deels publiek is, maar bevat ook data die je in theorie enkel kan zien als Facebookvriend van iemand. Maar dat is niet altijd waterdicht.Zo ontdekte de Belgische ethische hacker Inti De Ceukelaire in 2017 al dat het mogelijk was om eindeloos veel telefoonnummers door Facebook te jagen, waarna Facebook je vertelde aan wiens profiel een nummer toebehoorde. De Ceukelaire meldde dat bij Facebook, maar die liet hem weten dat die optie niet echt een veiligheidsprobleem was en dus niet zou worden opgelost.Een jaar later werden de gegevens door criminelen verzameld en achteraf zou Facebook zeggen dat het pas in 2019 wist dat die scraping mogelijk was, ook al werd het in 2017 al ingelicht zonder verdere stappen.Facebook heeft die nalatigheid nooit bevestigd. Data News vroeg in de nasleep van het uitlekken in 2021 om uitleg hoe het datalek was ontstaan, maar kreeg daar geen antwoord op. Wel stuurde het bedrijf toen per ongeluk een interne mail door waarin stond dat de gegevensdiefstal zou worden geframed als sectorprobleem, met de nodige PR-spinning om de verantwoordelijkheid te ontwijken.Dat er nu een zaak wordt aangespannen over dat het incident niet werd geklasseerd als een datalek, komt dus deels omdat het lastig te definiëren valt. Puur theoretisch heeft er niemand ingebroken op het netwerk van Facebook om data te stelen. Maar in praktijk gaat het wel om informatie die normaliter niet door eender wie kon worden bekeken. Daarbij liet Facebook wel een hoop achterpoortjes open, negeerde het waarschuwingen daarover, en lekten zo de contactgegevens van een half miljard mensen uit.