Vanaf vandaag maakt Stichting SOMI het voor alle Europese consumenten mogelijk om via haar SOMI app te controleren of zij slachtoffer zijn geworden van het Facebook-lek van april van dit jaar. Ook kan er worden gezien welke persoonsgegevens van hen op het Darkweb circuleren. In totaal zijn in april gegevens van ruim 533 miljoen Facebook-accounts gelekt, waaronder die van 5,4 miljoen Nederlandse accounts. Na de controle van de eigen gegevens kunnen consumenten meedoen aan het juridische onderzoek van de stichting en de mogelijke collectieve claim tegen Facebook, waarvoor bewijsverzameling van het overtreden van de AVG uit het datalek nodig is. De stichting looft daarom in totaal €10.000 uit aan iedereen die met zijn persoonlijke data kan bewijzen dat Facebook de AVG heeft overtreden.
Het Facebook-lek van april dit jaar bevat data van 533 miljoen accounts van over de hele wereld, waaronder 96,7 miljoen accounts uit Europa en 5,4 miljoen uit Nederland. De buitgemaakte persoonsgegevens gaan nu op het Darkweb rond. Vrijwel alle gelekte accounts bevatten een telefoonnummer, maar van ruim 2,5 miljoen accounts werd ook het e-mailadres gelekt.
Hoewel Facebook het lek heeft erkend, heeft de Amerikaanse tech-gigant ervoor gekozen de slachtoffers niet persoonlijk in te lichten. Het bedrijf redeneerde destijds dat het om een oud lek ging: «Dit is oude data die in 2019 gemeld werd. We hebben het achterliggende probleem in augustus van 2019 gevonden en opgelost,” zei een woordvoerder over het lek in april op Twitter.
Schending AVG
Volgens stichting SOMI heeft Facebook de Algemene verordening gegevensbescherming (AVG) mogelijk geschonden door haar gebruikers niet tijdig en adequaat in te lichten over het lek. Hoewel de meeste data verzameld is via ‘scraping’, waarbij data van openbare profielen is gehaald, lijkt dat niet voor alle data te gelden. Om hierover zekerheid te krijgen start de stichting nu een onderzoek. Want volgens de AVG was Facebook verplicht eventuele lekken binnen 72 uur aan de Irish Data Protection Commission (DPC) te melden, de toezichthouder van het land waar Facebook haar Europese hoofdkantoor heeft gevestigd . Sowieso had Facebook volgens de stichting meer actie moeten ondernemen om scraping tegen te gaan.
Dat het om ‘oude data’ zou gaan is volgens SOMI twijfelachtig. “Telefoonnummers worden regelmatig gebruikt in twee-factor-authenticatie en andere persoonsidentificering. Het is vaak een stukje informatie dat voor veel mensen jarenlang, soms wel een tiental jaar, gelijk blijft,” zegt Cor Wijtvliet van SOMI. “Maar waarschijnlijk doelt Facebook met haar claim op de inwerkingtreding van de AVG in mei 2018.”
Slechts wanneer alle gelekte data van voor mei 2018 zou dateren, is er mogelijk geen sprake van een AVG-overtreding. Echter blijkt uit verschillende analyses dat zeer waarschijnlijk ook data van na mei 2018 met dit datalek openbaar geworden is. Met een nader juridisch onderzoek wil stichting SOMI hier nu meer zekerheid over.
Collectief onderzoek
Met het collectieve onderzoek – ook wel crowdsourcing genoemd – roept SOMI deelnemers op om deel te nemen aan het juridisch voorbereidend onderzoek van de stichting. “De slachtoffers van het lek kunnen met zekerheid bevestigen en bewijzen of de buitgemaakte data voor of na mei 2018, de datum waarop de AVG is ingegaan, op het platform gepubliceerd moet zijn geweest,” zegt Wijtvliet. “Naast dat wij slachtoffers erop attenderen extra alert te zijn op phishing-activiteiten met de buitgemaakte gegevens, loven we tien keer een beloning uit van €1.000 uit aan iedereen die kan aantonen dat zijn of haar persoonsgegevens die in het datalek voorkomen met zekerheid dateren van na de datum van inwerkingtreding van de AVG.”
Via de SOMI-app kunnen consumenten controleren of hun telefoonnummer in het lek voor komt. Is dat het geval, dan kan – na identiteitsverificatie – ook gezien worden om welke persoonsgegevens het precies gaat. Daarna is het aan de deelnemer om aan te tonen wanneer deze persoonsgegevens voor het eerst bij Facebook bekend zijn geworden en vervolgens zijn gelekt in deze dataset.
De Stichting Onderzoek Marktinformatie (SOMI) is een non-profit organisatie opgericht voor het signaleren en beïnvloeden van vraagstukken van maatschappelijk belang. SOMI is een erkende claim stichting op het gebied van privacy en data autonomie en zet zich onder andere in voor de bescherming van de grondrechten van consumenten en minderjarigen die gebruikmaken van verschillende online diensten.
Met de door haar ontwikkelde app wil zij het eigendom van en de controle over de eigen persoonsgegevens terugbrengen bij het mensen zelf: All your data. All yours. SOMI doet onderzoek naar misstanden, informeert het publiek en helpt benadeelden. Dat doet SOMI onder andere door het voeren van collectieve procedures en het vorderen van schadevergoeding. Momenteel onderzoekt SOMI mogelijke AVG-overtredingen door Facebook, TikTok en Zoom en de afhankelijkheid van Europese overheden van Amerikaanse software van Palantir.