Intieme informatie miljoenen gebruikers Facebook-app stond op onbeveiligde site

Een Facebook-app die persoonlijke vragen stelde aan gebruikers, bijvoorbeeld over de mentale gesteldheid, heeft de antwoorden opgeslagen op een site waarvan de inloggegevens openbaar waren. Daardoor was de persoonlijke data van ruim 3 miljoen gebruikers voor iedereen in te zien.

Volgens de website New Scientist hebben academici van de Universiteit van Cambridge de gegevens van de app genaamd myPersonality gedeeld met honderden collega's, door middel van een website die voor iedereen gedurende vier jaar was te raadplegen.

Het wachtwoord en de inlognaam voor de website zijn door een universiteitsleraar gedeeld met zijn studenten, zodat ze een tool konden maken om Facebook-data te verwerken. De code werd gedeeld op GitHub, maar daarbij stond ook de informatie om in te kunnen loggen.

Van de zes miljoen gebruikers die de app hebben gebruikt, hebben ruim drie miljoen mensen toestemming gegeven om hun resultaten en antwoorden te delen. Het ging bijvoorbeeld om vragen over de persoonlijkheid van gebruikers, waarbij onderwerpen als de emotionele stabiliteit voorbijkwamen.

Ook waren gegevens als leeftijd, geslacht, locatie en statusupdates in te zien. Al deze informatie was gekoppeld aan een unieke id, waardoor het niet heel lastig was om vast te stellen om welke personen het ging. Facebook heeft de app op 7 april stopgezet.

IT-banen

Reacties (84)

laminaatplaat 15 mei 2018 09:20

Wellicht nog voor de duidelijkheid, Universiteit van Cambridge =/= Cambridge Analytica

Maar zoals in het artikel te lezen valt:

"The data sets were controlled by David Stillwell and Michal Kosinski at the University of Cambridge’s The Psychometrics Centre. Alexandr Kogan, at the centre of the Cambridge Analytica allegations, was previously part of the project."

Wat een intriges

[Reactie gewijzigd door laminaatplaat op 23 juli 2024 08:05]

Maarten21

@laminaatplaat • 15 mei 2018 12:34

Klopt toch wel:

https://en.wikipedia.org/wiki/Aleksandr_Kogan

Aleksandr Kogan (born 1985/86), who has also briefly used the name Dr Spectre,[3] is a Moldovan-born data scientist, who is known for having developed the app that allowed Cambridge Analytica to collect personal details of 80 million Facebook users. He works as a research associate at the University of Cambridge.[4]

Morress @Maarten21 • 15 mei 2018 12:46

Born 1985\1986. ¿Que?

ATS @Morress • 15 mei 2018 13:28

Waarschijnlijk een gevalletje van "we weten dat hij op die datum zoveel jaar oud was", en dus is hij geboren in jaar A of B.

Stoney3K @ATS • 15 mei 2018 17:22

Het zou ook zomaar eens kunnen dat zijn geboortecertificaat ergens in Moldavië achter gebleven is na de val van de Sovjet-unie.

dnzm @Morress • 15 mei 2018 13:15

Het was een lange bevalling.

Elefant @laminaatplaat • 15 mei 2018 16:13

Laat ik maar weer eens de advocaat van de Duivel spelen.

Ik vind dat er erg eenzijdig stemming wordt gemaakt tegen Cambridge Analytica. Daar zitten eerder politieke motieven achter. Zij hebben netjes data gekocht en die gebruikt om kiezers een persoonlijke boodschap aan te bieden. Google en Facebook doen niets anders. Het verkiezingsproces in de VS is daar al decennia op gebaseerd. In verkiezingstijd worden mensen grootschalig langs de deur gestuurd om kiezers om te lullen naar een bepaalde kandidaat waarbij men de boodschap ook target op de persoon, groep, en zijn situatie. Onwaarheden worden daarbij bepaald niet geschuwd. Het enige wat Cambridge Analytica heeft gedaan is dit proces automatiseren en zo de kosten verlagen, zodat een onafhankelijke kandidaat zonder een grote partijorganizatie hetzelfde kan doen. Waar Trump werkelijk op gewonnen heeft is dat hij zijn kiezers aansprak op hun belabberde situatie die al tijden door de grote partijen straal werd genegeerd omdat ze toch maar twee keuzen hadden.

Nu wordt er net gedaan alsof de kiezer niet grenzeloos gemanipuleerd werd door spinmasters en hun verkiezingsorganizaties en ons onbevlekte systeem is besmeurd door een stel boeven. Tja als je dan consequent bent, dan moet je eindelijk eens Google en Facebook etc hard gaan aanpakken. Want zoals zo vaak zal dit echt niet leiden tot afschaffen van dit soort technologie maar alleen de perfectionering ervan.

Overigens heeft dit zoveelste bericht van massale privacyschending voor mij een hele andere betekenis. Namelijk dat de cloud inherent onveliig is. Ik vind het absurd dat criminelen een erg veilig internet hebben in de vorm van een Dark Net en dat nette mensen worden overgeleverd aan boeven op het normale Internet. Wanneer komt er een keer en "White Net" waar fatsoenlijke mensen veilig zijn tegen boeven? Wie zit er eigenlijk aan de knoppen dat ons dit onthouden wordt? Of is het gewoon zo dat er een groot commercieel belang zit aan het onveilig houden van de systemen, zodat kwakzalvers steeds producten aan kunnen smeren die niet echt helpen en daardoor weer vraag naar nieuwe producten uitlokken?

[Reactie gewijzigd door Elefant op 23 juli 2024 08:05]

Prullenbak84 15 mei 2018 11:06

"Een onhandige docent die een onveilige website gebouwd heeft en login deelde" is niet hetzelfde als "Datalek bij facebook", mensen. Dus denk daar even aan voor je je reactie typt.

[Reactie gewijzigd door Prullenbak84 op 23 juli 2024 08:05]

KopjeThee @Prullenbak84 • 15 mei 2018 20:04

Terechte opmerking. Ik zou Facebook wel adviseren actief op zoek te gaan naar apps die dergelijke gevoelige gegevens van hun gebruikers verzamelen. Bij dit soort lekken wordt de naam Facebook wel genoemd, wat de toch al niet zo goede reputatie nog verder beschadigd.

Prullenbak84 @KopjeThee • 16 mei 2018 11:59

Ja en volgens mij is dat wat Zuckerberg beloofde laatst. (even daargelaten wat zijn beloftes waard zijn

) Ze willen beter toezicht gaan houden. Ze lieten developers altijd al privacy statements en algemene voorwaarden uploaden voor een app gebruik kon maken van de api, maar die werd niet of amper gecheckt en de intenties van een developer zijn verder geen garantie dat de app ook goed beveiligd is.

Wat er ook bij komt, is dat de echt 'gevoelige' informatie in dit specifieke voorbeeld niet eens uit facebook kwam. De applicatie stelde zelf de persoonlijke vragen, als ik het goed begrijp.

[Reactie gewijzigd door Prullenbak84 op 23 juli 2024 08:05]

Henk Poley 15 mei 2018 09:29

Dit gaat om het zogenaamde 'Psychometrics Center' van de Cambridge Judge Business School. Naar mijn weten maakt ook 'Apply Magic Sauce' daar gebruik van. De myPersonality database bevat gegevens van 2007 tot 2012 die vrijwillig zijn ingevuld, met een licentie voor gebruik voor onderzoek.

[Reactie gewijzigd door Henk Poley op 23 juli 2024 08:05]

Vliegenier04

15 mei 2018 09:12

Alweer een lek bij Facebook... Ik vraag me af hoe het verder met Facebook gaat. Het beste zou zijn dat Facebook simpelweg enquete's blokkeert waardoor de privacy van gebruikers niet in het geding komt. Of de gebruiker moet zijn informatie niet delen... Privacy, aldus Zuckerberg, staat hoog in het vaandel bij Fb... Nee nog niets van gezien.

Nog geen reden voor mij om Facebook te verwijderen, maar wel genoeg reden om mijn privacy instellingen nogmaals te herzien.

MartijnHavinga @Vliegenier04 • 15 mei 2018 09:20

Dit ligt niet aan Facebook maar aan de app. Jij geeft de app toegang tot jouw Facebook gegevens, dat de beheerder van deze app vervolgens niet fatsoenlijk met deze gegevens omgaat is niet iets waar Facebook wat aan kan doen (behalve het intrekken van de toegang nadat ze er achter zijn gekomen, iets wat ze ook gedaan hebben).
Facebook zou er natuurlijk ook voor kunnen kiezen om met al hun API's te stoppen maar dan gaan een hoop apps en services ineens niet meer werken.
Het wordt eens tijd dat mensen iets meer gaan nadenken voordat ze allerlei apps en diensten toegang geven tot ik weet niet wat allemaal zonder dat ze erbij nadenken wat hiermee gebeurt, maar dat zal wel teveel gevraagd zijn voor de gemiddelde gebruiker.

xp65 @ZtaaB • 15 mei 2018 09:47

Dat hangt er vanaf, ik werk zelf met de GDPR/AVG voor klanten.

Zover ik zie is er bij elke app bij facebook een duidelijk kader waarbij je rechtstreeks toestemming verleent aan de nieuwe partij. De persoon wiens gegevens worden doorgegeven wordt dus duidelijk van de nieuwe partij op de hoogte gesteld en opnieuw zijn of haar toestemming gevraagd.

De gegevens worden niet door facebook beheerd en de app is een externe iframe/website op FB weergegeven. Het kan zijn omdat de wetgeving toen nog niet bestond dat deze partij niet geheel ingedekt is als aparte Verwerkingsverantwoordelijke/controller, daar heb ik mijzelf niet in verdiept.

Als ik op een forum een emailadres plaats met: stuur hier je naam emailadres en andere gegevens naar om gratis koekjes te krijgen. Is de forum eigenaar niet verantwoordelijk. Het enige verschil is dat het hier om een web formulier ging dan een e-mailadres, maar qua werking bijna identiek. En facebook is steeds heel duidelijk geweest met een kader dat het om een externe partij ging en welke gegevens je ermee zou delen. Daarvoor moest je steeds ondubbelzinnig je akkoord mee bevestigen.

De enige manier om Facebook dus geheel schuldig te zien is, is te veronderstellen dat alle gebruikers geen eigen verantwoordelijkheid hadden en dat ze dus niet begrepen wat dat kader van die bevestiging was, wat bedenkelijk is want het kader was heel duidelijk en ze moesten nadien ook nog is zelf die hun vragenlijsten invullen. Bijkomend wordt de verwerking hier in deze situatie niet in vraag gesteld maar de datalek.

De lek is duidelijk veroorzaakt door Cambridge haar interne slechte beleid en niet door Facebook. De GDPR is ook nog niet actief, na 25 mei had mogelijk (afhankelijk van de legale constructie of zij nog mede Verweringsverantwoordelijke zijn of niet) wel een melding moeten maken, net zoals Cambridge, maar op dit moment zie ik niets dat Facebook "illegaal" heeft gedaan. Als er iemand klacht indient dan is het geheel de verantwoordelijkheid van Cambridge voor enige mogelijke boetes en claims.

ZtaaB @xp65 • 15 mei 2018 09:53

Thanks, I stand corrected

MartijnHavinga @ZtaaB • 15 mei 2018 09:33

Euhm nee. Facebook is na het delen van de informatie (waarmee jij hebt ingestemd) niet meer de eigenaar van die informatie. Ze hebben na het delen ook geen controle meer over deze informatie en zijn derhalve ook niet verantwoordelijk voor wat er mee gebeurt.

ArnoutV

@ZtaaB • 15 mei 2018 09:33

Als je data afneemt van een club die zich netjes aan de GDPR houdt dan zul je zelf moeten aantonen dat je je ook aan de GDPR houdt. Daar is de oorspronkelijke data eigenaar niet meer voor verantwoordelijk.

DigitalExorcist @Vliegenier04 • 15 mei 2018 09:16

Het lek ligt niet bij Facebook, maar iemand die een app ontwerpt die gebruik maakt van Facebook en de logingegevens gewoon* publiekelijk deelt.

* Natuurlijk niet 'gewoon', maar in een uiterst geval van stompzinnigheid. Dat mensen die onzin daadwerkelijk invullen is al één ding, maar in dit geval ligt de schuld 100% bij die appontwikkelaar, en niet FB zelf..

Het is nu alsof je Microsoft ervan beticht dat ze malware schrijven, omdat er virussen zijn die alleen onder Windows werken. Is Microsoft er ook verantwoordelijk voor dat iemand zijn logingegevens voor zijn (m/v) Hotmailaccount op een openbaar forum plaatst?

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 08:05]

DigitalExorcist @StefanJanssen • 15 mei 2018 09:37

"Weggeven" is in dit geval niet echt van toepassing. Iemand gebruikt 'een' app via het platform (Facebook in dit geval), die app slaat gegevens op, maar de logingegevens voor de database van die app zijn publiekelijk toegankelijk.

De enige link met Facebook die ik zie, en correct me if I'm wrong, is dat de app via Facebook zelf ingevuld kan worden met data die deelnemers aan die app zélf aanleveren. Facebook faciliteert de beschikbaarheid van de app waarbij de appmaker zelf enorm de fout in gaat met de beveiliging van hun eigen database.

Nees @StefanJanssen • 15 mei 2018 09:44

Facebook geeft geen data weg, jij doet dat zelf door te zeggen: "hier is al m'n data, ik ga akkoord dat je dit van mij weet"

Brummetje

@Vliegenier04 • 15 mei 2018 09:14

Het is geen lek bij Facebook

Vliegenier04

@Brummetje • 15 mei 2018 09:19

Niet zo zeer bij Facebook zelf, maar wel de data van Facebook gebruikers.

Vayra @Vliegenier04 • 15 mei 2018 09:29

Herzie jij die privacy instelling nog maar eens... als je dat een beter gevoel geeft bij FB dan houd je alleen jezelf voor de gek. Die data gaat hoe dan ook naar de hoogste bieder. En de rest. Privacy is een illusie op dat medium.

De enige juiste privacy instelling bij Facebook is massaal definitief kappen met die onzin.

[Reactie gewijzigd door Vayra op 23 juli 2024 08:05]

Paulus73 @Vayra • 15 mei 2018 11:12

Alleen kun je je privacy-instellingen pas beheren als je lid bent (als ze inderdaad niets/minder van je opslaan als het zo instelt). Als je geen lid bent ben je vogelvrij en wordt een profiel opgebouwd via vrienden, IP-adressen en dergelijke. Dus ook kappen is geen oplossing (niet op korte termijn in ieder geval)

[Reactie gewijzigd door Paulus73 op 23 juli 2024 08:05]

Vayra @Paulus73 • 15 mei 2018 16:54

Klopt, op de korte termijn bestaat er ook geen oplossing behalve een volledig verbod dat in EU-verband (bijvoorbeeld) gedragen wordt. Er moeten enorme zwarte vlekken ontstaan om de waarde van FB te laten verdampen.

Desondanks is stoppen wél de oplossing, want wij weten allemaal dat zo'n verbod er nooit gaat komen. Dit gaat om de macht van de massa. Momenteel heeft FB die macht omdat we er massaal op zitten...

Paulus73 @Vayra • 16 mei 2018 09:19

Helemaal gelijk, waarom je op 0 komt weet ik niet. Ik mag helaas niet modereren.

xp65 @Vayra • 15 mei 2018 13:16

Jij hebt duidelijk geen kaas gegeten van hoe dit werkt. Je mag facebook een miljard aanbieden en je zal met 0 persoonsgegevens wegkomen die niet zelf deze aan u hebben gegeven.

Alle personen die hierbij betrokken zijn hebben zelf "ondubbelzinnig" hun toestemming verleent en akkoord gegaan met een kader waar ze duidelijk op bevestigd hebben dan deze derde partij hun gegevens mocht krijgen.Dit is zo bij alle apps in Facebook. Net zoals op je mobiele telefoon met die apps werkt van Apple, Google, Microsoft.

Bij reclame wordt evenmin persoonsgegevens doorgegeven, op "geen enkele manier" met adverteerders. Deze worden door en binnen Facebook gematcht met de gewenste doelpubliek, indien je zelf op een reclame banner klikt dan nog geef je geen gegevens door. Pas als je zelf op de adverteerder zijn website zelf die gegevens invult.

Op geen enkele manier geeft Facebook gegevens door aan derden zonder uw ondubbelzinnige toestemming door een eigen handeling op het moment zelf.

[Reactie gewijzigd door xp65 op 23 juli 2024 08:05]

xp65 @Vayra • 16 mei 2018 09:50

Je hebt het over tracking pixels, en die worden NIET met derden gedeeld. Je verward gegevens die facebook verzameld (intern) en gegevens die deze met derden (adverteerders) doorgeeft (geen enkel).

En veel verwarren dan weer doorgeven met intern op eigen website ter beschikking stellen als filter.
Als adverteerder kan je enkel op elementen filteren en "facebook" verwerkt interen de gegevens, geen enkele adverteerder kan deze gegevens inzien, exporteren, overnemen, etc. De getoonde banners zijn pas nuttig voor de adverteerder als er iemand op klikt en zelf zijn gegevens op hun site invult (absolute ondubbelzinnige toestemming).

Ik ben geen fan van dat Facebook iedereen overal trackt, idem van google, etc, maar ik ben helemaal al geen fan van alle verkeerde interpretaties en bullshit verhalen er rond. Als je een veilige goede privacy en maatschappij wilt, moet je beginnen met de juiste feiten en niet met verzonnen interpretaties waar mensen elkaar napraten.

Ik ben niet voor en niet tegen Facebook, ik ben voor juiste communicatie. Ik ben voor de nieuwe GDPR privacy wetgeving en voor strikter beleid. Waar bedrijven naartoe evolueren. Maar ik ben wel tegen blinde aanvallen naar bedrijven over zaken die foutieve informatie zijn. Dat is 0% constructief, dat is stemmingmakerij en kan zelfs positieve evoluties en debatten blokkeren.

[Reactie gewijzigd door xp65 op 23 juli 2024 08:05]

Webgnome @Vliegenier04 • 15 mei 2018 09:33

Technisch gezien is dit natuurlijk geen lek bij Facebook

DeNepWestfries @Webgnome • 15 mei 2018 09:50

Nee, het is gewoon een opportunistisch titeltje. Want als owner van de app ben je helemaal zelf verantwoordelijk voor de data als je alle inlog details deelt met derden. En zonder VO ben je straks al helemaal de sigaar.

anpat @Vliegenier04 • 15 mei 2018 09:15

Niet echt een lek bij Facebook, maar op hun eigen website. Weliswaar weeral data die bij FB vandaan kwam... Wat is idd het volgende?

Ook wij gaan onze instellingen weer eens goed nazien, maar dichterbij opzeg geraken we zo wel hoor.

GoGoHaRrY 15 mei 2018 09:17

Met de nieuwe GDPR op komst wordt het nogmaals duidelijk dat het bij Facebook niet exact bekend is wie welke informatie verzameld via Facebook en hoe deze dit verwerkt.

Zou een interessante case kunnen zijn voor een verwijderings verzoek.

Da_Teach @GoGoHaRrY • 15 mei 2018 09:34

Tja de grote grap is wel, is Facebook verantwoordelijk voor een app van een ander bedrijf op hun platform?

Als je "Ja" zegt, hou er dan wel rekening mee dat Facebook in dat oogpunt echt een platform is welke niet 'zomaar' gegevens deelt met apps. Jij geeft die app toegang tot je gegevens. Zonder die toestemming krijgt die app je gegevens niet.

Dat het mogelijk beter inzichtelijk moet worden wat je met wie deelt is een ander verhaal. Maar goed zelfs daar voldoen ze denk ik al aan (je kan immers bij settings zien wat je met welke app deelt).

Alxndr

@Da_Teach • 15 mei 2018 10:07

Je gaat nu voorbij aan het belangrijkste punt, dat die data omversleuteld was. Je mag van Facebook verwachten dat ze alleen partijen/apps toestaan die aan kunnen tonen dat ze goed met data omgaan.

Daar gaat Facebook nu alweer de fout in, of valt volgens jou in de hele Cambridge Analytica zaak Facebook helemaal niets te verwijten ?

WhatsappHack

Netwerk en systeembeheer
Facebook
Privacy

@Alxndr • 15 mei 2018 10:29

Encrypted of niet, als je de sleutels deelt op GitHub heeft dat echt geen enkele zin... De app is in dezen verantwoordelijk voor de dataverwerking en opslag.

Het is ook wat vaag dat Facebook dat allemaal zou moeten controleren en de naleving toetsen, met die insteek kan je ook claimen dat Microsoft ervoor verantwoordelijk is als een toolbar uit een extension store blijkt de gegevens onversleuteld op te slaan. Dat schiet gewoon te ver door en is een onrealistische eis.

KopjeThee @WhatsappHack • 15 mei 2018 21:15

...Het is ook wat vaag dat Facebook dat allemaal zou moeten controleren en de naleving toetsen, ...

Ik denk ook dat Facebook geen verplichting hier heeft. Ik denk wel dat het verstandig zou zijn als ze dit soort verzamelwoede actief proberen tegen te gaan. Ze worden wel in verband gebracht met dit soort datalekken. Het doet de (toch al niet al te beste) reputatie geen goed, zelfs als ze geen formele rol hebben.

[Reactie gewijzigd door KopjeThee op 23 juli 2024 08:05]

daredevil__2000 @KopjeThee • 15 mei 2018 22:24

De enige verplichting voor facebook is dat ze via de api voor apps akkoord vragen voor de gegevens welke Facebook doorgeeft vanuit het profiel zoals het profiel id

daredevil__2000 @Alxndr • 15 mei 2018 13:52

Mensen kiezen er zelf om om de gegevens openbaar op Facebook te plaatsen. Dit is niet iets wat Facebook voor je bepaald. Dat Cambridge Analytica deze gegevens vervolgens zonder toestemming gebruikt en hier aan verdiend is waar het fout gaat. Niet dat Facebook de gebruiker binnen het platform de mogelijkheid bied om informatie publiek te delen.

In het artikel hier boven is te lezen dat de 3 miljoen gebruikers van de app zelf binnen de app toestemming hebben gegeven voor het delen van de resultaten en de antwoorden. Er is dus al toestemming vanuit de gebruiker dat de in de app ingevoerde gegevens gedeeld mogen worden. Gegevens die de gebruiker dus zelf in heeft gegeven. Het betreft dus geen eens gegevens welke op Facebook profielen zelf stond. En al stonden deze gegevens wel in het profiel dan hebben de gebruikers van de app zelf toestemming gegeven voor het gebruik van die gegevens.

Vervolgens delen de onderzoekers/makers van de app op GitHub publiek de inloggegevens waarmee je toegang krijgt tot de opgegeven informatie van de 3 miljoen gebruikers welke toestemming hebben gegeven voor het delen. De gegevens van de andere 3 miljoen gebruikers welke dus geen toestemming hebben gegeven zitten daar niet in volgens het artikel.

De maker/onderzoekers hebben het ook nog eens nagelaten om de gegevens voldoende te anonimiseren zodat deze niet makkelijk terug te leiden zijn naar een specifiek persoon. Opnieuw ook niet de schuld van Facebook.

@Alxndr Ik zie dus totaal niet hoe jij hier van kan maken dat Facebook (alweer) de fout in gaat.

Cerberus_tm

@daredevil__2000 • 15 mei 2018 15:27

Maar volgens mij heeft Facebook aan de app toegestaan om die door gebruikers zelf ingevoerde gegevens te koppelen aan hun gebruikersprofielen. Er staan op de lekke site/gegevensbank immers ook dingen die gebruikers niet zelf hebben ingevoerd, zoals hun Facebook-id. Dat alleen al is volgens de wet lijkt mij een persoonsgegeven, want uniek en te verbinden met een specifiek persoon. En er staan zeker meer dingen in de gegevensbank van de onderzoekers die ze door de (door Facebook gegeven) toegang tot de profielgegevens hebben kunnen verkrijgen.

[Reactie gewijzigd door Cerberus_tm op 23 juli 2024 08:05]

daredevil__2000 @Cerberus_tm • 15 mei 2018 16:22

Ook daar geef je als gebruiker zelf toestemming voor wanneer je zo'n FB app voor de eerste keer start. Bij het koppelen van een FB app wordt aangegeven welke toegang de app ontvangt. Dat de app deze vervolgens door publiceert ligt bij de bouwer van de app en niet bij FB. Misschien in de toekomst toch iets meer aandacht besteden aan de meldingen die je krijg bij het activeren van app's op FB

Cerberus_tm

@daredevil__2000 • 15 mei 2018 16:30

Maar ook toestemming ontslaat Facebook niet van alle verplichting volgens de Verordening. Er gelden nog steeds allerlei voorwaarden, ook voor wanneer en hoe je als bedrijf gegevens mag doorgeven aan een derde partij.

daredevil__2000 @Cerberus_tm • 15 mei 2018 16:55

Ja kan recht proberen te lullen wat krom is. De app haalt deze gegevens zelf op vanaf FB en daar geef jij toestemming voor. Dit valt volledig binnen https://www.facebook.com/policies. De AVG/GDPR gaat over hoe jij als bedrijf de gegevens opslaat, verwerkt en deelt en dat je deze niet zomaar zonder toestemming mag gebruiken voor andere doeleinden dan waar jij toestemming voor hebt gegeven. Dat FB na jou eigen toestemming je profiel ID deelt is dan ook netjes binnen de wetgeving. Er is dus netjes voldaan aan de ondubbelzinnige toestemming vanuit jou als gebruiker voor de gegevens welke FB door geeft aan de app. In dit geval jouw profiel ID. De data welke vervolgens door de app buiten FB wordt verzamelt en opgeslagen ligt volledig voor de verantwoording van de bouwer van de app. Ook in de app is er door de gebruikers ondubbelzinnige toestemming gegeven voor het delen van de antwoorden en het verwerken van de resultaten. Opnieuw volledig voldaan aan de AVG/GDPR. Waar het mis gaat is de opslag van de gegevens en de beveiligde toegang daar tot. Dit heeft de bouwer van de app/de onderzoeker niet goed geregeld en deze is dan ook aansprakelijk door het delen van de inloggegevens voor toegang daar toe.

Dit is meer een gevalletje datalek aan de kant van de app bouwer/de onderzoeker

Cerberus_tm

@daredevil__2000 • 15 mei 2018 18:30

Dan nog steeds gelden er voorwaarden, kijk maar in het document van de AP. Het is zoals gezegd niet alleen het Facebook-id dat de app uit Facebook haalt, maar ook andere informatie direct uit het profiel.

daredevil__2000 @Cerberus_tm • 15 mei 2018 18:43

Dan moet je zelf het document van de AP er nog eens goed op nalezen @Cerberus_tm wanneer de gebruiker ondubbelzinnig toestemming verleent voor het delen van de betreffende data met een bepaalde partij dan is dit volledig binnen de regelgeving. Zie hiervoor artikel 8a.

Dat is in dit geval netjes gebeurd. Iets wat alle FB apps doen wanneer je deze de eerste keer start/koppelt.

Nogmaals je probeert recht te lullen wat krom is. Meer ga ik er niet over zeggen want het lijkt weinig zin te hebben. Ik werk dagelijks met gegevens van anderen (ook met speciale persoonsgegevens) en weet prima wat de wet en regelgeving daar omheen is.

[Reactie gewijzigd door daredevil__2000 op 23 juli 2024 08:05]

Cerberus_tm

@daredevil__2000 • 15 mei 2018 20:03

Rechtsgeldige toestemming voldoet aan de volgende eisen:
...
- Geïnformeerd: u moet mensen informeren over:
1) de identiteit van u als organisatie;
2) het doel van elke verwerking waarvoor u toestemming vraagt;
3) welke persoonsgegevens u verzamelt en gebruikt;
4) het recht dat zij hebben om de toestemming weer in te trekken. U moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.
- Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien u als organisatie bij de verwerking meerdere doeleinden heeft, dient u de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen.
- Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.
...
Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.

Ik ben benieuwd of de toestemming zelf alleen al aan deze voorwaarden heeft voldaan. Vooral de afzonderlijke toestemming voor specifiek omschreven doelen zou wel eens niet het geval kunnen zijn, als je ziet waar die gegevens allemaal terecht zijn gekomen. Ik weet niet of dat allemaal specifiek genoeg is geweest. En er zo zijn nog meer voorwaarden en verplichtingen. En, nogmaals, ik weet niet welke gegevens Facebook allemaal rechtstreeks aan de app heeft gegeven (die de gebruikers dus niet rechtstreeks zelf aan de app heeft gegeven). Duidelijk op "ja" drukken is dus niet altijd genoeg voor alles, en het ontslaat Facebook ook niet van alle andere verplichtingen. We zullen zien.

[Reactie gewijzigd door Cerberus_tm op 23 juli 2024 08:05]

daredevil__2000 @Cerberus_tm • 15 mei 2018 20:24

Wanneer je een nieuwe FB app opent staan daar het soort gegevens in opgesomt welke gedeeld gaan worden met de app. Pas nadat je aangeeft door te willen gaan worden die gegevens uitgewisseld. Een beetje soortgelijk aan wanneer je in ios of android een app installeert. Alleen die gegevens mag de app dan bij FB opvragen. Alle gegevens die je daarna ingeeft en die daarna buiten FB worden opgeslagen is de verantwoordelijkheid van de appbouwer.

Dat voldoet aan de verplichte opt-in. Een opt-out mag niet meer. Zo mag een school bijvoorbeeld niet in hun voorwaarden zetten dat je standaard toestemming geeft voor het plaatsen van foto's waar jij op staat. Jij moet ondubbelzinnig toestemming daar voor geven waarbij het vakje voor akkoord op het formulier niet standaard aangevinkt mag staan

[Reactie gewijzigd door daredevil__2000 op 23 juli 2024 08:05]

Anoniem: 420148 @Alxndr • 15 mei 2018 11:30

En hoe verwacht je dat ze dit gaan nalopen? Als ik nu een FB app maak die je vraagt waar je woont, en vervolgens een jaar later al die info op github slinger, wat hadden ze daar dan aan kunnen doen?

daredevil__2000 @latka • 15 mei 2018 17:58

Een bewerkersovereenkomst is voor als je data welke in jouw beheer is toegankelijk is voor een andere partij. In dit geval is het geen data van FB maar gegevens welke de app heeft verzameld. FB heeft alleen jouw profiel ID gedeeld met de app en daar heeft de gebruiker ondubbelzinnige toestemming voor gegeven.

De daarna gevraagde gegevens zijn door de app verzameld en opgeslagen buiten FB. Daarbij gaat het ook nog alleen om de gegevens van de gebruikers welke in de app ondubbelzinnige toestemming hebben gegeven voor het verwerken en publiceren van de antwoorden en resultaten. Bij de overige 3 miljoen die dit niet hebben gedaan is de data ook niet gepubliceerd. Het geheel is volledig binnen de wetgeving zoals die wordt benoemd in de AVG/GDPR.

Beide bedrijven (en dus niet neerbuigend toko) hebben zich dan ook netjes aan de wetgeving gehouden. Waar het mis is gegaan is dat de gegevens door de onderzoekers op Github zijn geplaatst inclusief de inloggegevens welke toegang geven tot de verzamelde informatie. En dat is nu een datalek.

Ik stel voor dat je als tweaker je zelf voortaan meer inleest voordat je ongenuanceerd bedrijven aan de schandpaal nagelt en op begint te roepen tot sluiting van de bedrijven puur omdat je het zelf niet begrijpt

[Reactie gewijzigd door daredevil__2000 op 23 juli 2024 08:05]

pegagus @Da_Teach • 15 mei 2018 11:33

In dit geval hebben zes miljoen mensen actief gegevens ingevoerd en 3 miljoen dus ook toestemming gegeven om die gegevens te delen met derden. Ik ben benieuwd of je voor dat delen iets moest doen, of juist iets moest doen om het niet te delen.

Ik denk dat heel veel mensen de mogelijke implicaties totaal niet overzien. En dan komt de vraag in hoeverre je mensen daartegen moet beschermen.

teacup @pegagus • 15 mei 2018 12:38

Mee eens. Als ik de mypersonality page bekijk die is gedeeld door Henk Poley gedeeld:

This data was anonymised and samples of it were shared with registered academic collaborators around the world through the myPersonality project, resulting in over 45 scientific publications in peer-reviewed journals.

Dan is eigenlijk niet te overzien voor welk onderzoek die data nu precies is gebruikt. Positief is nog wel dat de data geanonimiseerd is aangeboden. Anonimiseren kan je alleen ook op een hoop verschillende manieren. Menig wetenschapper heeft geen benul hoe op een goede manier data wordt geanonimiseerd. Raakt data eenmaal buiten de grenzen van in dit geval Facebook, dan is het eigenlijk oncontroleerbaar geworden. Iedere duplicatie is eigenlijk niet acceptabel. Zouden we dit laatste doortrekken, dan kan Facebook dus bijna niets met die data.

[Reactie gewijzigd door teacup op 23 juli 2024 08:05]

Yoshi @GoGoHaRrY • 15 mei 2018 09:32

Mja, dit is eerder een probleem van de maker van de app. Het is toevallig via Facebook verlopen, maar het hadden evengoed enquêtes via e-mail of gewoon op straat kunnen zijn. Die unieke id though....

IMarks @Yoshi • 15 mei 2018 09:51

Het is wel degelijk een probleem van facebook, facebook is het enigste bedrijf in deze industrie dat besluit de data te delen. Hun ontvangen de data en versturen het naar de eindklant. Kijkend naar concurrenten als Microsoft, Apple en Google. Hun ontvangen de data maar houden deze zelf, alle lezingen en bewerken gaan via hun platform en als je de data wil downloaden (zoals bij analytics) dan wordt die data geanonimiseerd. Dat gebeurd bij facebook of niet, of zo slecht dat je het zeer eenvoudig is dat terug te herleiden.

Wim-Bart @IMarks • 15 mei 2018 12:41

Facebook deelt in dit geval geen data. Facebook faciliteert een app waarbij de gebruiker expliciet zelf heeft aangegeven dat de data gedeeld mag worden.

Wim-Bart @IMarks • 15 mei 2018 17:18

Even een analogie.

Je woont in een straat met een leuk huis. Nu ga je een garage neerzetten bij je huis. Nu zegt de bouwer van de garage, je garage en huis moeten wel altijd toegankelijk zijn voor mij en ik kom dagelijks even inventariseren wat er in je huis staat en hang gelijk overal even camera's op.

En je denkt, ja ik sta dat toe want ik wil van de garage gebruik maken.

xp65 @IMarks • 15 mei 2018 09:54

Facebook maakt niet de keuze om te delen. De gebruiker zelf kiest om te delen van zijn eigen gegevens met ondubbelzinnig akkoord. En je kan ook Microsoft ID, Google ID etc met je websites en formulieren koppelen. Google heeft zelfs Google Forms.

Waah @xp65 • 15 mei 2018 10:00

Lees nog eens

Ja de user "kiest" om te delen (al is de vraag hoe het een keuze is, als bijna niemand weet wat Facebook nu echt doet met de data). Dat geld voor Microsoft, Google, en Facebook.

Het verschil is dat je bij Facebook blijkbaar alle ruwe data zo krijgt. Terwijl deze bij Google etc gewoon wel via hun eigen platform wordt geanonimiseerd zodat een bedrijf het niet makkelijk kan koppelen aan een persoon.

Bij Google en Microsoft zie je dit soort geintjes niet....

En daar zit het verschil. Dit is het enige verdienmodel dat Facebook heeft. En ze gaan er zo laks mee om. Ze hebben echt geluk dat mensen het blijkbaar niet boeit, anders had Facebook de deuren al lang kunnen sluiten.

xp65 @Waah • 15 mei 2018 10:03

1) je verward reclame met apps. Apps is hun verdienmodel niet. En bij reclame krijgen ze geen pesoonsgegevens (facebook filtert op criteria wie het ziet, zonder deze te delen met de adverteerder), als mensen op de banners klikken moeten ze nog steeds alles zelf invullen op de doelwebsite.

2) Er wordt op het kader zeer duidelijk bekendgemaakt welke individuele persoonsgegevens gedeeld zouden worden zoals naam, emailadres, telefoonnummer, etc.

3) Als je een app maakt voor Dynamics 365 en andere cloud diensten van Microsoft, dan heb je exact dezelfde mogelijkheden. Je kan zelfs aan de universele API als de gebruiker er toegang tot verleent, je kan zelfs toegang tot alle emails vragen (Exchange Online) om te verwerken. Idem partijen die plugins maken voor Gmail bij Google etc...

Hoe is dit verschillend met iemand die een programma op zijn pc installeert die zaken ontleent en uitleest? Is dan Microsoft met Windows aansprakelijk of Apple voor de Mac ?
Is dit ook niet op elke telefoon met alle Apps ?

[Reactie gewijzigd door xp65 op 23 juli 2024 08:05]

xp65 @Waah • 15 mei 2018 10:10

Bijkomend spreken we hier volgens de GDPR duidelijk over een nieuwe Controller/Verwerkingsverantwoordelijke. Je kan niet stellen dat Cambridge werkte enkel en alleen in opdracht van Facebook. Cambridge verwerkt deze gegevens duidelijk voor eigen doeleinde, dus geen processor/verwerker onder Facebook.

De toestemming van wie de gegevens zijn is duidelijk gevraagd en verkregen, dus juridisch is Cambridge de eindverantwoordelijke. En de data subject (de eigenaar van de gegevens) weet duidelijk dat zijn gegevens aan die partij is overhandigd, met zijn of haar ondubbelzinnige toestemming.

Ik zal het omdraaien, wens je dat dit geheel verboden wordt? Dat mensen geen "consent" meer kunnen geven? Dan denk ik dat je toch even je mobiele telefoon goed moet bekijken of de apps bij Microsoft in Dynamics en 365 platformen en andere zaken, zonder al die zaken stopt heel veel met werken.

EN mocht het nu niet toevallig zijn, in de nieuwe GDPR privacy wetgeving is data portabiliteit een basisrecht. Dus zelfs "verplicht" om in te bouwen dat elke persoon moet kunnen vragen om zijn gegevens door te kunnen geven naar een derde partij naar keuze.

[Reactie gewijzigd door xp65 op 23 juli 2024 08:05]

Waah @xp65 • 15 mei 2018 10:15

Prima dat iemand zin eigen gegevens deelt. Maar Facebook deelde ook alle profielen van vrienden etc. Het is wel makkelijk om dat soort gegevens-deling ook door te schuiven naar Cambridge.

Je doet nu net alsof ik het zwart wit wil zien. En dat je OF alles moet delen, OF niets. Dat iemand zijn eigen data deelt met een app, geen probleem. Dan werken veel diensten inderdaad niet. Maar dat Facebook het mogelijk maakt om vervolgens alle gekoppelde vrienden te delen inclusief persoonsgegevens... Dat ligt het toch echt bij Facebook.

[Reactie gewijzigd door Waah op 23 juli 2024 08:05]

xp65 @Waah • 15 mei 2018 10:18

1) Dat doet Facebook al enige tijd niet meer.

2) Dat ging steeds enkel en alleen om de "publieke gegevens" waarbij de persoon (die vriend) zelf heeft bepaalt dat deze publiek mogen zijn. i.e. nooit iemand zijn e-mailadres. Een web crawler kon evengoed deze gegevens afhalen.

3) De API van vrienden gaf ook nooit alle publieke data door enkel beknopte lijst met naam & ID's, dus zelfs niet de telefoonnummers, ook al maakte die persoon dat "globaal publiek".

heb je "enig" bewijs dat persoonsgegevens van "vrienden" gedeeld werden? Ik ben programmeur met ook apps, wij konden nooit daar aan hoor.

[Reactie gewijzigd door xp65 op 23 juli 2024 08:05]

xp65 @Waah • 15 mei 2018 10:28

Het delen van vriendenlijsten zoals bij gmail ook de apps aan adresboeken kunnen of bij dynamics aan de hele CRM en andere vele gegevens is ook geen juridisch probleem, zolang de verwerking oprecht is.

Je kan zelfs stellen dat Facebook dit beter afschermt dan programmeurs toegang krijgen bij andere platformen. Bij Facebook zijn ze altijd heel afschermend geweest. Ik kan bij veel andere partijen zelf apps schrijven die perfect mijn adresboek zouden beheren met andere hun gegevens.

Weet je wat in het verleden gebeurde? Windows Live messenger tot paar jaar terug, vrienden uitnodigen kon met 2 klikken een website alle namen EN e-mailadressen van deze zijn adresboek krijgen om allemaal in 1 keer te emailen en te bewaren. Microsoft is hier veel extremer in geweest in die tijden. Dat heb ik nooit bij Facebook gezien.

110124 @Alxndr • 15 mei 2018 10:15

Als ik een product koop in een winkel dat niet aan de kwaliteitseisen voldoet, dan ga ik terug naar de winkel om óf een vervangend product te krijgen, of mijn geld terug.

De winkel is de tussenpersoon tussen fabrikant en klant.

Ik weet niet of je dit zo kunt vergelijken met Facebook, maar ik vind wel dat Facebook in ieder geval de verantwoordelijkheid moet nemen om haar gebruikers beter te informeren en beschermen tegen dit soort informatiestromen.

Anoniem: 710428 @110124 • 15 mei 2018 10:27

Nee dit kan je niet vergelijken met facebook, facebook is in geldwaarde gratis, je krijg een platform, waarbij je zelf moet aangeven wat je deelt. Facebook geeft heel duidelijk aan wat je deelt met ik, vrienden, vrienden van vrienden en openbaar. Alles staat duidelijk in de overeenkomst vermeld wat zij mogen en niet mogen delen. En iedereen is daarmee akkoord.

Anoniem: 532949 15 mei 2018 09:16

Wat zijn mensen toch heerlijk naief

Een Facebook-app die persoonlijke vragen stelde aan gebruikers, bijvoorbeeld over de mentale gesteldheid ......

[Reactie gewijzigd door Anoniem: 532949 op 23 juli 2024 08:05]

stresstak @Anoniem: 532949 • 15 mei 2018 12:15

Heel vreemd is het niet. Gezien de ophef over en de perikelen rondom Facebook, stel ik ook mijn vragen omtrent de geestelijke gezondheid van de gebruikers.
Redelijke vraag in vredestijd.

MadEgg 15 mei 2018 10:07

Wat een prutsers. Ondanks dat de gebruikers ongetwijfeld "toestemming" hebben gegeven was dat vast niet met doel om alles met de hele wereld te delen.

Het heeft echter zo te zien weinig met Facebook te maken, anders dan dat Facebook de distributie en login faciliteerde. Hebben ze daar ook boetes bij datalekken zoals we die in Nederland kennen? De CBP zal in zijn handen wrijven bij het vooruitzicht op dergelijke boetes.

Milo44 15 mei 2018 09:11

Gaat lekker zo

Prullenbak84 @BasPeters1 • 15 mei 2018 11:10

Ja, als je ieder datalek bij iedere willekeurige partij in de schoenen van facebook schuift, zoals hier gebeurt, dan is dat niet zo moeilijk.

MadEgg @Anoniem: 1070345 • 15 mei 2018 09:42

WhatsApp niet hebben gaat prima. Mensen zijn gewoon bang om een move te maken. Zolang iedereen het maar ondergaat zo van "eigenlijk wil ik het niet gebruiken maar ik moet wel", gebeurt er niets. Ik red me prima zonder WhatsApp en zonder Facebook. Als iedereen die een dergelijke houding heeft nu gewoon de stap neemt en overstapt op iets anders, zoals Signal of Matrix, zal de rest snel volgen. Eigenlijk zou de eerste stap moeten zijn dat mensen Signal gaan installeren en dan ook gebruiken met de anderen die het hebben. Maar ja, dan krijg je weer excuusjes als 'maar meerdere messengers is verwarrend'. Mensen zijn lui, naïef en volgzaam. Helaas.

Mensen laten zichzelf vastzitten - er zijn geen praktische redenen voor.

Neko Koneko @Anoniem: 1070345 • 15 mei 2018 10:20

Whatsapp is het enige van Facebook dat ik gebruik, mijn Facebook account heb ik al een hele tijd geleden weggedaan. Het is inderdaad jammer dat Whatsapp zo in onze samenleving is geïntregeerd dat je er bijna niet onderuit komt, maar volgens mij is de data bij Whatsapp over het algemeen iets veiliger omdat er geen spelletjes en andere apps zijn die zomaar bij deze data kunnen omdat een of andere flapdrol hier toestemming voor geeft. Daarnaast zijn de berichten die je via Whatsapp verstuurd end-to-end geëncrypt dus als het goed is weet Facebook niet eens waar je over praat.

Op dit item kan niet meer gereageerd worden.

Intieme informatie miljoenen gebruikers Facebook-app stond op onbeveiligde site

Lees meer

IT-banen

Reacties (84)

Sorteer op:

Weergave: