AOL lekt zoekgegevens, privacy zwaar in gedrang

Wat Google ooit weigerde aan de Amerikaanse overheid te overhandigen, zette AOL per ongeluk vrij op het web: de zoekgegevens van honderdduizenden gebruikers! Zelfs op Belgische sites raadpleegbaar.

De schuldigen waren onderzoekers bij AOL (America OnLine) die argeloos een bestand met ca. 20 miljoen zoektermen van ongeveer 650.000 AOL-gebruikers online zetten. Enkele uren later werd het prompt weer weggehaald en bood AOL zijn excuses aan… maar helaas was de geest al uit de fles. Hoewel de zoekgegevens anoniem waren, konden personen met wat data mining ervaring al snel uitpuzzelen welke gebruikers bij welke zoektermen hoorden. Zo publiceerde de New York Times hoe gebruikersnummer ‘4417749’ in werkelijkheid AOL-bezoeker Thelma Arnold is – een 62-jarige weduwe uit Liburn, Georgia, die onder meer zoektermen als “numb fingers”, “60 single men” en “dog that urinates on everything” had ingevoerd. Wanneer de journalist haar contacteerde en deze termen aan haar voorlegde, bevestigde ze dat. “Jongens, het is mijn hele privéleven. Ik had er geen flauw benul van dat iemand over mijn schouders meekeek,” reageerde ze geschokt op het bijhouden van de gegevens en het ongevraagd publiceren ervan. Ondanks de verontschuldigingen van AOL, is ze van plan haar abonnement op te zeggen. “Wij hebben recht op privacy. Dat had nooit mogen gebeuren.”Privacy versus wetgevingOngetwijfeld zullen nog heel wat meer personen hun AOL abonnement opzeggen – wat het ogenblik van dit lek bijzonder ongelukkig maakt, want AOL heeft het de laatste tijd al erg moeilijk – maar dat is niet het enige probleem. Dit voorval richt ook felle schijnwerpers op de verschillende wetgevende initiatieven – o.a. in Europa – die ISP’s zullen verplichten jarenlange datasets van klantenactiviteiten bij te houden. Hoewel de gegevens wel anders van aard zijn (bijv. surfgedrag naar sites enerzijds tegen concrete zoekopdrachten anderzijds), gaat het hier over het principe van ‘hoeveel en welke data hoe lang’ worden bijgehouden. Zelfs als wordt toegezien op het anoniem maken van de zoekopdrachtgegevens – wat bijvoorbeeld volgens de Belgische online privacy expert prof. Jos Dumortier wettelijke problemen voorkomt, maar “het is waar dat men hier op het randje zit” (citaat De standaard) – bewijst het AOL gebeuren dat misbruik altijd mogelijk is.En de gelegenheid maakt de dief, zegt helaas een oud spreekwoord. Het bestaan zelf van de overvloed aan gegevens is op zichzelf al voldoende om met welhaast absolute zekerheid misbruiken en misdadig gebruik te voorspellen. Bedenk even wat de gevolgen kunnen zijn van het samenplakken van dergelijke data met bijvoorbeeld financiële, medische, gerechterlijke etc etc gegevens door overheden, georganiseerde misdaad, concurrenten en (waarom niet) zelfs uw (misschien kwaadwillige) buren. ‘Identiteitsdiefstal’ is wel het minste wat kan worden verwacht. Om niet te spreken van de (legitieme) mogelijkheden inzake ‘gerichte reclame’… In ieder geval zal duidelijk zijn dat privacyvereisten enerzijds en bijvoorbeeld de noden van ordediensten om misdadigers/misbruiken doorheen en in het internet op te sporen nog scherp met elkaar conflicteren.AOL data ook op Belgische sitesHoewel het bestand slechts enkele uren online stond, werd het wel een paar duizend keer gedownload, wat een zo goed als ‘eeuwig bestaan’ in het internet garandeert. Vandaag doen deze data nog de ronde van het internet, onder meer in P2P omgevingen.Ook in België… Volgens de [Belgische editie van The Inquirer] zijn er immers (minstens?) twee Belgische sites waar het bestand kan worden gedownload (zeker nog op het ogenblik dat we dit typen). Op heel wat plaatsen kan ook de nodige soft worden gevonden om de data te raadplegen. Ook werd al minstens één script gepubliceerd om de data te wijzigen, zodat ongetwijfeld binnenkort heel wat versies de ronde zullen doen… Allicht geen leuk vooruitzicht voor de betrokken personen.In ieder geval stelt het AOL voorval eens te meer in alle duidelijkheid dat de grootst mogelijke aandacht en voorzichtigheid aan de dag moet worden gelegd bij het omgaan met gegevens. Toepassingen, beveiligingsprocedures, toegangsrechten van gebruikers en beheerders,… bedrijven behoren veel meer aandacht te besteden aan het creëren, opslaan, verspreiden, aanwenden en vernietigen – zeg maar de hele levenscyclus van data en informatie – dan vaak vandaag het geval is.