Persoonsgegevens achterlaten op een sociaal platform is onderdeel van het spel, en iedereen kan goed inschatten waar het verstandig is dit wel te doen en waar vooral niet. Toch lagen kwamen onlangs miljoenen persoonsgegevens op straat te liggen. Niet via hacks, maar via scrapes.
Het aantal hacks en datalekken neemt toe, dat kunnen we overal en zeker ook op Computable, lezen. Daarin wordt niet gediscrimineerd. Het betreft organisaties uit verschillende sectoren en van allerlei omvang. Een aantal grote lekken waarbij veel gebruikersgegevens publiek werden, betreft de recente incidenten bij Clubhouse, Facebook en LinkedIn. We weten inmiddels dat het bij deze incidenten om scraping ging, het automatisch schrapen van (persoons)gegevens van websites en sociale-mediaplatforms.
Scrapen is op zich niet illegaal en betreft informatie die mensen en organisaties toch al delen met andere gebruikers van het platform. Zo wordt het ook door enkele van de platformen gepresenteerd. Onterecht. Dat je persoonsgegevens beschikbaar stelt voor één platform betekent niet dat tout le monde ze mag gebruiken voor hun commerciële dan wel criminele activiteiten. Je zou je daar als klant van het platform ook helemaal niet mee bezig moeten hoeven houden. Want hoewel je als individu het risico kunt inschatten van het achterlaten van je gegevens, is de afweging of ze van een website geschraapt worden en als onderdeel van een grote dataset verkocht worden een stuk lastiger.
Eén dataset heeft weinig waarde voor een cybermalversant, bulkdata vormen zijn brood én beleg. Je kunt dan ineens duizenden of zelfs miljoenen mensen phishen of een mailtje of een Whatsapp-bericht sturen om geld over te maken. Al reageert maar een half procent, dan ben je nog steeds spekkoper. Dat is de wet van de grote getallen. Daarnaast is het als gebruiker lastig om van het ‘gezeur’ af te komen. Want ga je je e-mailadres of telefoonnummer veranderen elke keer als je persoonsgegevens van een website of platform geschraapt en online aangeboden worden? Dat lijkt geen passende oplossing.
Lakse reacties
Vanwege de context verdienen drie vormen van datalekken een uiteenzetting. Allereerst is er de datadiefstal via inbraak in database. Bedrijven zijn verplicht dit openbaar te maken en klanten te informeren, zoals recentelijk met Allekabels.nl.
Daarnaast heb je scraping, waarbij openbare data van website geschraapt wordt. Bedrijven hebben geen verplichting dit openbaar te maken en gaan er verschillend mee om als bekend wordt dat ze ‘geschraapt’ zijn. Dat is duidelijk te herkennen in de – zeker in eerste instantie – lakse reacties van Facebook en Clubhouse in vergelijking met LinkedIn, dat in de gebruiksvoorwaarden het scrapen van het platform verbiedt.
De derde vorm van datalekken is een ‘combinatiedump’, waarbij open data, gescraped of niet, wordt gecombineerd met gestolen, niet-publieke data. Hierbij hoeft alleen de datadiefstal openbaar gemaakt te worden.
Voor consumenten is de derde vorm het schadelijkst, omdat het de mogelijkheid biedt meer waarde uit de klantendata te halen en op verschillende, intelligente manieren campagnes uit te voeren met als doel geld afhandig te maken. Vanwege de gesofisticeerde aard van deze data-verrijkende acties, is achteraf vrijwel nooit te bepalen hoe een partij aan jouw informatie gekomen is. Zeker wanneer je er als gebruiker geen weet van hebt, dat je data geschraapt is.
Niet illegaal
Er komt nog iets bij. Omdat scraping niet illegaal is en maar zelden gesanctioneerd wordt, kunnen bonafide organisaties datasets kopen met daarin gescrapete informatie, die bijvoorbeeld jouw contactgegevens bevatten, en deze publiek maken terwijl dit tegen jouw uitdrukkelijke wens is. Zeker wanneer het gerechtvaardigd belang van de betreffende organisatie in het geding is, trek je als consument aan het kortste eind.
Het komt zelfs voor dat het gerechtvaardigd belang resulteert in een omgekeerde bewijslast. Dit is behoorlijk irritant, omdat je moet gaan aantonen waarom iets wat in eerste instantie al tegen jouw wil publiek beschikbaar is gemaakt, weer verwijderd dient te worden.
Een voorbeeldje; op het moment dat je geregistreerd bent bij de Kamer van Koophandel, kunnen ook kredietbeoordelaars toegang krijgen tot de gegevens van je bedrijf. Zelfs als je bij het invullen van jouw informatie bij de KvK aangeeft bepaalde kenmerken niet publiek te willen delen. Het is de functie van dit soort organisaties om hun klanten te informeren over jouw kredietwaardigheid en precies daar zit hun gerechtvaardigd belang. Als jouw bedrijf een eenpersoonszaak is met een thuiskantoor, en je wilt niet dat jouw persoonlijke adres via zo’n bedrijf publiek gemaakt wordt, dan krijg je daarmee te maken. De vraag wat dan zwaarder weegt – jouw privacy of het gerechtvaardigd belang? – kun je toetsen bij de Autoriteit Persoonsgegevens. Die zullen je waarschijnlijk gelijk geven, maar dat kan even duren. Het AP kampt namelijk al een tijdje met een capaciteitstekort.
Irritant
Concluderend kunnen we stellen dat data scraping op zijn minst onaangenaam is voor de slachtoffer ervan. In het ergste geval kan leiden tot financiële en persoonlijke schade. Daarom pleit ik ervoor dat social media-platformen echt werk maken van hun beleid tegen data scraping én dat elke partij die jouw persoonsgegevens indirect verkregen heeft, deze alleen mag gebruiken met de expliciete goedkeuring van de persoon in kwestie. Gerechtvaardigd belang of niet.