Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Belgische toezichthouder roept slachtoffers van Facebook-lek op melding te doen

De Belgische Gegevensbeschermingsautoriteit roept Facebook-gebruikers uit het land op om een klacht in te dienen als hun telefoonnummer onderdeel is van het datalek dat recent in het nieuws kwam. De GBA wil klachten bundelen en doorspelen naar Ierland.

De GBA wil dat Facebook zijn verantwoordelijkheid erkent en 'zo snel mogelijk volledige opheldering verschaft'. De toezichthouder vraagt Belgen daarom om een melding te doen, als hun telefoonnummer onderdeel is van de database die recent in het nieuws is verschenen. Met een bundeling van klachten wil de GBA naar de Ierse privacytoezichthouder stappen en die vragen om de zaak 'met de nodige spoed te onderzoeken'. Het Europese hoofdkantoor van Facebook zit in Ierland.

Eerder deze week is een dataset met gegevens van 533 miljoen Facebook-gebruikers online gezet. Die data is al een paar jaar oud en werd eerder al te koop aangeboden, maar is nu voor het eerst publiek beschikbaar. Het gaat om telefoonnummers en andere persoonsgegevens.

"We vinden het belangrijk dat Facebook hier niet mee wegkomt", zegt David Stevens, voorzitter van de GBA, tegen VRT Nieuws. "Ze doen nu alsof er weinig aan de hand is. Ze zeggen dat het een oud lek is en dat het probleem is opgelost", aldus Stevens. Volgens de GBA moet Facebook gebruikers acuraat informeren over de precieze impact en de mogelijke maatregelen die zij kunnen nemen.

Facebook plaatste dinsdag een verklaring waarin het sociale netwerk zegt dat het gaat om data die een aantal jaar geleden is vergaard door middel van scraping en dat dit tegen de voorwaarden van het sociale netwerk was. Facebook verwijderde eind 2019 daarom een functie om contacten op te zoeken aan de hand van telefoonnummers.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

07-04-2021 • 16:56

113 Linkedin

Submitter: Admiral Freebee

Reacties (113)

Wijzig sortering
Ze raden aan om klacht in de dienen via hun, maar ze laten niet toe dat er klachten ingediend worden zonder dat je eerst zelf contact gelegd hebt met de DPO van de desbetreffende firma.
Zucht...
Ik probeerde het zojuist bij de Nederlandse Autoriteit Persoonsgegevens en zij stellen dezelfde eis. Ik moet eerst de klacht neerleggen bij Facebook. Dan 4 weken wachten op een reactie en daarna mag ik mijn klacht pas indienen bij de AP. Ik moet natuurlijk bewijs bijvoegen dat ik dit heb gedaan.

Na een half uurtje heb ik het formulier eindelijk gevonden: https://www.facebook.com/help/contact/540977946302970 Kies optie "Zorgen over gegevensbescherming/privacy met betrekking tot het product of de bijbehorende functies" en je kunt een formulier invullen. Na insturen van het formulier ontvang je wel een bevestigingsmail die over 4 weken naar de AP mag :)

Ik begrijp nu heel goed waarom Facebook één van de grootste lobbyisten in NL en in Brussel is. Het hele bedrijf is één grote privacyschending. De enige reden waarom Facebook nog kan opereren binnen de EU is dat ze blijkbaar niet onafhankelijk en grondig worden beoordeeld door privacy instanties. Als dat wel zou gebeuren, zouden ze door de knieën zakken van de boeteregen.

[Reactie gewijzigd door -DarkShadow- op 7 april 2021 19:14]

Maar wat vul je daar vervolgens dan in? Dat je slachtoffer bent en wilt weten waarom ze zich verschuilen achter "inbreken is tegen onze voorwaarden" terwijl ze zelf de deur open lieten staan?
Ja sowieso moet je "overig" kiezen, anders krijg je deze optie niet.

Verder kan je aangeven dat je graag geïnformeerd wil worden of je wel of niet in dit lek zit en welke gegevens er wel en niet zijn buit gemaakt toch?
Even los hiervan, maar ik zie bij de opties van dat formulier ook “Account /content deletion inquiry” staan. Wat is het verschil met dat en in de facebook app jouw account verwijderen? Is via dit formulier dan beter?
Ik lees dit meer dat je wil klagen omdat facebook jouw account of content daarvan heeft verwijderd (tegen je wil in).
Ik kom ook voor in de database. Maar dit komt omdat de privacy instelling voor vindbaar zijn met mobiele telefoonnummer op 'everyone' staat. Ik vraag mij dus af of dit wel echt een lek is. Dit was toch gewoon een feature die je aan of uit kon zetten (of op alleen friends of friends)? Het staat nu nog steeds op 'everyone' maar het lijkt niet meer te werken. Deze database is gewoon gemaakt met behulp van scraping door letterlijk elke telefoonnummer te proberen en bij een match een nieuwe record te maken. Kun je dan nog wel spreken van een lek? Als er meer staat in jouw record, bijvoorbeeld je email adres of relatie status, dan heb je die zelf bewust volledig public gemaakt, want die staan standaard zeker niet op 'visible for everyone'.
Ja, draai het eens om. Stel ik kan op jouw facebook inloggen omdat ik elke seconde 100 wachtwoorden probeer en dus brute-force.

En Facebook blokkeert niets en beweert doodleuk: dat was scraping.

Onzin natuurlijk. Facebook heeft haar zaakjes niet op orde. Bots hebben miljarden queries op FB afgevuurd om deze data te brute-forcen en dat is schandalig van facebook dat ze dat risico niet gemitigeerd hebben.

Scrapen is meer publieke pagina’s bezoeken en informatie kopieren, daar is hier geen sprake van. Deze 06-nummers stonden op niemands pagina.

[Reactie gewijzigd door Malarky op 7 april 2021 23:16]

Als je twijfels heb over dit geval kan je ook gewoon kijken naar het Cambridge Analytica verhaal waarbij vast staat dat Facebook gewoon het hele database verkocht heeft.
Of het nou gejat of verkocht is maakt geen moer uit.
Je bent gek als je nog met Facebook bezig bent.
Maar dit komt omdat de privacy instelling voor vindbaar zijn met mobiele telefoonnummer op 'everyone' staat. Ik vraag mij dus af of dit wel echt een lek is.
Ik ben ook 1 van de "gelukkigen" en mijn privacy van m'n gsm-nummer is ingesteld op "alleen ik"
Ik had mijn telefoonnummer niet op vindbaar voor iedereen staan, had dat gewoon toegevoegd voor 2FA en op alleen zichtbaar voor mezelf. Toch is het gescraped, lijkt me toch duidelijk dat de privacy instelling dan niet doet waar die voor bedoeld was. Een lek is het niet per sé maar het is dus niet zo dat er alleen publiek beschikbare informatie gescraped is.
Ik heb mijn telefoonnummer steeds actief geweerd uit Facebook (ook alternatieve app gebruikt ipv de facebook app etc) en kom niet in de lijst voor, ook niet zonder telefoonnummer, geen naam of facebook ID. Vind ik eigenlijk raar, ik zou denken dat ze scrapen met een sequentiele facebook ID, maar het lijkt wel alsof ze hebben zitten scrapen op telefoonummer dan...
De enige manier om Facebook hier niet mee weg te laten komen is door te stoppen met het gebruik ervan.
Tsjah, ik ben heel wat jaren terug gestopt met Facebook, en toch staat ook mijn telefoonnummer in de lijst. Leuk hé.
Vreemd vind ik dit, ook mijn nummer staat in de dataset en ik heb mijn Facebook in 2014 al verwijderd.
Wel tot begin dit jaar gebruik gemaakt van Whatsapp, wellicht dat dit nog gekoppeld is geweest of iets van dat. Erg kwalijk wel.
Kennelijk is mijn profiel zo goed gesloten geweest voor de buitenwereld, dat er van mij dus niets te vinden is in deze dataset. Dus het is mij niet helemaal duidelijk wat en hoe de data nu precies "gestolen" is.
Is niet vreemd hoor. Je nummer blijft in het database staan omdat andere mensen die jij kent het nog gebruiken en jou nummer staat in hun adresboek.
Ik heb precies hetzelfde, ik heb mijn facebook eind 2018 verwijderd en mijn account is november 2018 geheel verwijderd (volgens Facebook). Daarom dacht ik dat mijn data natuurlijk niet was gelekt, maar tot mijn schrik vond ik toch mijn telefoonnummer in de database.

Vraag me dan toch af of mijn data niet verwijderd is of dat mijn data voor november al is gelekt. Als het nog in hun database stond lijkt me dat toch enorm kwalijk.
Enkel jouw eigen profiel wordt verwijderd.
Je data wat zichtbaar is bij mensen die jij kent blijft natuurlijk staan want dat is niet jouw profiel.
Dat lijkt mij toch onderdeel van mijn data? Mijn telefoonnummer hebben ze niet meer nodig als mijn profiel weg is. Lijkt mij niet legaal om dat te behouden nadat ik heb gezegd dat ze mijn data moeten verwijderen.
Technisch gezien is het jouw data maar het staat geregistreerd in iemand anders zijn profiel dus is het zijn/haar data geworden.
Dat jij je telefoon nummer heb gevonden in het database van haveibeenpwned laat niet zien welke data beschikbaar is. Het kan zijn dat alleen je telefoon nummer was "gelekt" maar verder niks. Je tast als het ware nog steeds in het donker m.b.t welke data precies gelekt is totdat je zelf het database download en het zelf gaat opzoeken.
Ik ben ook enkele jaren geleden gestopt met Facebook maar mijn nummer komt niet voor in de database, maar zelf gebruik ik ook geen WhatsApp mogelijk dat dat ook relevant is.
Lijkt me enkel Facebook. Ik heb beide maar heb nooit mijn nummer toegevoegd aan Facebook, en mijn nummer komt ook niet voor in de database.
Ik heb dat ook nooit gedaan en toch staat mijn nummer erin.... 🤔
Ik ben ook enkele jaren geleden gestopt met Facebook maar mijn nummer komt niet voor in de database, maar zelf gebruik ik ook geen WhatsApp mogelijk dat dat ook relevant is.
Nee, hier wel WA, op twee nummers, maar komen niet voor in de database.
En beide nummers heb ik al zeker 20 jaar
Same. FB in 2018 verwijderd, intussen ander mobiel nummer, maar het nummer waarmee ik de FB oorspronkelijk heb aangemaakt heb ik ook nog.

Geen van mijn nummers (OG van 1999, en m'n Spaanse nummers van '13-'18 / '19-'21) komen voor in de dataset, noch mijn emailadres, noch mijn naam.

Heb overigens Whatsapp gebruikt op al die nummers sinds begin 2010 toen het nog iOS only was (uiteraard vanaf het moment dat ik het nummer had voor Spaanse nummers).
Hoeveel jaar? Dit lek is van 2019, en data wordt sws enkele jaren bewaard.
Tot dat moment werden de gegevens door derden weggesluist.
Maar jouw facebook staat nog steeds zichtbaar online met foto's van een kat, een nissan en treinen.

Dus kan gewoon met scraping opgepikt zijn.
Ik ben vorig jaar ergens gestopt; gelukkig nooit mijn nummer ingevuld. Dit keer dus niet gepwned :P.
Dan blijven je gegevens en alles wat je hebt gepost nog steeds bij Facebook op de servers.
Hoeft niet, deze database komt niet bij Facebook vandaan.
De verantwoordelijkheid bij de (mogelijke) slachtoffers plaatsen lijkt me ongepast. Van social media en andere diensten kan prima gebruik worden gemaakt zolang die bedrijven de gebruikers voldoende controle geven wie bij hun gegevens mag en niet zomaar alles standaard open te zetten. Facebook lijkt al sinds 2012 meerdere keren te hebben geweten dat de contre die ze de gebruikers gaven onvoldoende bescherming was, dan ligt bij hun ook de verantwoordelijkheid voor de gevolgen. Daarbij neemt het ook standaard persoonsgegevens op via personen die daar geen eigenaar van zijn. Ook dan kan je niet simpel stellen dat die gebruikers dus maar de verantwoordelijkheid moeten nemen in plaats van facebook.
Stemmen met je portemonnee werkt niet bij Facebook, stemmen door de dienst niet langer te gebruiken/boycotten blijft dan over.

Het alternatief is waarschijnlijk dat Facebook een boete krijgt, deze betaalt, en dan begint alles weer van voren af aan.
Ze hebben daar zelfs al wat geld voor opzij gezet. Facebook ziet die boetes als "risico's" van het vak. Aan de andere kant blijven de miljarden toch binnenstromen.
Niet evident als overheden en bedrijven daar massaal gebruik van maken.
Een miljard mensen overtuigen gaat een lastige klus worden. Ik zie meer heil dat overheden nu eens streng gaan handhaven en boetes gaan bombarderen. Op den duur moet het gewoon pijn gaan doen. Ook eens het bestuur aansprakelijk stellen tot mogelijke celstraffen tot gevolg zou ik graag willen zien.
Dat geeft bedrijven dus een vrijbrief om te doen en laten wat ze willen. Men heeft zich primair gewoon aan de wet te houden, of je er als gebruiker nu meer doorgaat of niet.
Facebook heeft in het verleden al vaak genoeg laten zien dat ze het niet zo nauw neemt met de wet. Ze nemen de boete voor lief en gaan door met wat ze altijd hebben gedaan. Als gebruiker zou je ergens een grens kunnen stellen. Hoe vaak moet een bedrijf de mist in gaan voordat je er afscheid van neemt?
Het excuus dat het een oud lek betreft is alleen nuttig voor iedereen die het afgelopen anderhalf jaar van telefoonnummer gewisseld is, maar het is niet voor niets dat er nummerportering bestaat: mensen willen bij voorkeur juist wél hun oude nummer behouden.
Men noemt het overal een lek, maar als het om scraping gaat zoals FB zelf zegt dan is dat geen lek. Dan hebben mensen zelf hun info semi-publiek neergezet en iemand anders heeft dat overgenomen.

Wat is de grens waarop je FB of de gebruiker als schuldige ziet?

[Reactie gewijzigd door fapkonijntje op 7 april 2021 19:10]

Via scraping pak je geen telefoonnummer. Mijn nummer is bekend bij Facebook, niet publiekelijk. Knap als jij als reguliere Facebook bezoeker mijn nummer kunt vinden, zonder gebruik te maken van een lek.

En ja, mijn data staat er ook tussen. Dus kortzichtige reactie wel.
Als je privacy instelling 'Who can look you up using the phone number you provided?' op 'everyone' staat, dan verklaart het waarom je voorkomt in de database.
Een lookup/query op basis van telefoonnummer vind ik iets heel anders dan de output ervan in resultaten (het feit dat een beperkt % met telefoonnummer is en een groot aantal niet laat dus zien dat het niet gescrapped is op basis van 0610000000 tot 0699999999)

Mijn data is ook gelekt (god knows what) helaas
Ik heb het gecheckt met een groep vrienden. Iedereen die in de database voorkomt had de instelling 'Who can look you up using the phone number you provided?' op 'everyone' staan. Degene die niet in de database voorkomen hebben deze instelling niet op 'everyone' staan. Getest met 9 mensen, 5 wel, 4 niet. Toeval? Ik denk het niet!
Ik heb die instelling niet op Everyone staan en mijn nummer zit ook in het "lek"
Heb je deze altijd al op Everyone staan? Want vroeger stond dit standaard op Everyone bij iedereen. Het is pas bij de introductie van hun 'privacycontroles' dat de optie om dit te wijzigen zichtbaarder naar voren is gekomen.

Ik zit zelf niet in het lek, maar vroeger stond deze bij mij ook op Everyone tot ik dit gewijzigd had in 2016 in de instellingen.
Gaat deze setting niet over het vindbaar zijn op de website zelf?

Vroeger waren van de contacten die je had gedeeld de telefoonnummers zichtbaar op de mobiele website en in de oudere versies van de messenger app.
Aangezien ik al jaren niet meer op facebook kom kan ik me niet voorstellen dat dit "recent" is gewijzigd.
Wanneer ik het daarop heb gezet weet ik eerlijk gezegd niet. Maar de laatste keer dat ik actief op Facebook kwam was volgens mij voor 2018 (laat ik het zo zeggen, toen ik inlogde om te checken zag ik ongelezen messenger berichten staan uit 2018).

Dus het ZOU kunnen dat het op Everyone stond toen deze data is gescraped, maar dat lijkt me vreemd. Ik heb mezelf nooit heel erg vindbaar gemaakt op Facebook.
Maar ik sluit het ook niet uit.
Mijn nummer is enkel gekend bij de 2 staps van Facebook.

Ik zou dus verwachten dat mijn nummer niet opvraagbaar is, maar zit wel in het lek....
Ik zeg ook niet dat de lek hier niet mee te maken kan hebben maar dat de setting laat lijken dat je vindbaar bent op je nummer (als iemand die heeft) niet dat mijn nummer beschikbaar is in de zoekresultaten.

Daarnaast is een hele berg van de data zonder telnr dus zou los staan van de setting zou je zeggen
Uhm, bij mij stond deze feature absoluut niet aan, maar mijn nummer komt wel voor in de database... Ooit heb ik wel kort FB Messenger app op mijn telefoon gehad. Misschien dat via die weg iets uiteindelijk toch vindbaar is geworden via deze scraping methode?

Sterker nog, volgens mij heb ik enkel mijn 06 opgegeven op FB ter verificatie, niet aan mijn profiel toegevoegd als zijnde een handige feature of iets dergelijks.

[Reactie gewijzigd door menne op 7 april 2021 19:40]

Ik had die feature ook aan staan, maar toen ik jaren geleden een Facebook account aanmaakte nooit bewust de vraag gekregen of dit aan of uit moet staan. Ik ben het helemaal met je eens dat ik daar zelf beter bovenop had moeten zitten, aan de andere kant, Facebook had ook iets eerder een popup kunnen geven met 'is dit wel handig?'. Blijft wel uiteindelijk mijn eigen verantwoordelijkheid natuurlijk.
Ik had mijn nummer enkel gekoppeld voor 2FA, en vrij zeker gezorgd dat dit nergens zichtbaar was verder. Ik betwijfel dus ten zeerste of dit het geval is.
Dit kan wel degelijk. Je kunt checken bij je privacy instellingen. Als 'Who can look you up using the phone number you provided?' op 'everyone' staat, dan verklaart het waarom je voorkomt in de database.
Begrijp ik dan goed dat ze de relevante data aan elkaar hebben gebrute-forced door gewoon willekeurige nummers in te tikken tot ze hits kregen?
Ja daar heeft het alle schijn naar! Per land zijn ze letterlijk bij het eerste nummer begonnen, dus voor Nederland letterlijk bij telefoonnummer +31610000000 begonnen en dan +31610000001, en zo verder... bij elke hit een nieuwe record van facebook id, voornaam en achternaam (public voor iedereen) en per persoon nog andere dingen die mogelijk op public staan, zoals relatiestatus of email.
Het bizarre is dat het lek wat jij omschrijft reeds in 2012 gefixed was door Facebook: https://in.pcmag.com/opin...ook-is-private-not-likely Snap dus niet helemaal wat er tussendoor gebeurt is. Wat duidelijkheid zou fijn zijn.
Ok interessant! Ze hebben waarschijnlijk goed gebruik gemaakt van dat maximum per dag. Het is namelijk over vele verschillende dagen en maanden gescraped. Bij elk record staat een datum uit het jaar 2018 of 2019, dus het is echt met een lange tijd range verzameld, vanwege deze fix, zo lijkt het!
Wat het nog vreemder maakt is dat dit nog langer is doorgegaan na die fix, aangezien mijn telefoonnummer die is opgenomen in die lijst, pas vanaf 2016 in mijn bezit is en pas medio 2017/2018 aan mijn Facebook is gekoppeld door mij.

Daarmee wordt dus in principe al direct dat hele artikel (en die zogenaamde fix) onderuit gehaald. Ik ben daarin niet eens de enige blijkt her en der wel.

Wat het nog gekker maakt is dat er nu veel meer aandacht aan besteed wordt terwijl in 2019 nota bene een soortgelijk bericht in de pers verscheen. Ook dit artikel lijkt te maken te hebben met het geen wat al die tijd gaande is.

[Reactie gewijzigd door DarkForce op 7 april 2021 23:05]

Deze staat bij mij zelfs al jaar en dag uitgeschakeld, net als dat mijn telefoonnummer alleen zichtbaar is voor mijzelf - dus ook geen vrienden. Toch blijkt dat het nummer wel degelijk aan mij gekoppeld is.

Dit is dus niet langer een kwestie van scrapen of iets op basis van die optie, het lijkt erop dat er wel wat meer aan de hand is dan het geen nu gedacht wordt.
Op mijn Facebook zijn mijn gegevens niet gedeeld.
Ik heb in een ver verleden ooit inderdaad eens mijn telefoonnummer doorgegeven (toen dat in trek begon te komen voor MFA), maar deze niet met anderen gedeeld.
Toch zit ik er ook bij.

Mijn nummer is niet "gelekt" via scraping alvast, tenzij Facebook niet gedeelde informatie toch publiekelijk zou gemaakt hebben.
Beide situaties zijn even erg imo.
Men noemt het overal een lek, maar als het om scraping gaat zoals FB zelf zegt dan is dat geen lek.
Het is wél een lek, echter betreft het een periode waarin de AVG nog niet van kracht was:
Because the scraping took place prior to GDPR, Facebook chose not to notify this as a personal data breach under GDPR.
Bron
Het is wél een lek, echter betreft het een periode waarin de AVG nog niet van kracht was:

Bron
Volgens mij klopt dat niet, zoals in diverse artikelen al gezegd wordt Hij stelt dat het gaat om een kwetsbaarheid die 'vroeg in 2020' uitgebuit werd, maar dat strookt niet met de uitspraken van de Facebook-vertegenwoordiger. Een andere reageerder corrigeert hem ook al en stelt dat de kwetsbaarheid 'vroeg in 2019' verholpen was.

In 2019 was de GDPR al van kracht deze was n.l. al ingegaan in 2018. Of te wel .... wat jij zegt klopt per definitie al niet. Daarnaast had Nederland al een vorm van een AVG voor die periode, GDPR is daarin nog een heel stuk verder gegaan.

Op NL niveau heeft Facebook zich dus wel degelijk schuldig gemaakt aan overtreding van de AVG. Op EU niveau heeft Facebook zich na 2018 eveneens schuldig gemaakt aan overtreding van de GDPR/AVG.

[Reactie gewijzigd door DarkForce op 7 april 2021 20:33]

De grens is dat we daar al jaren in meerdere landen wetgeving voor hebben dat bedrijven zorgvuldig met andermans persoonsgegevens om gaan en zomaar alles publiek maken omdat je gegevens hebt niet de bedoeling is. Dat je aan social media deel neemt wil niet zeggen dat iedereen maar bij je persoonsgegevens moet kunnen.
Daarbij lijkt facebook jaren lang niets gedaan te hebben met de kennis dat de mogelijkheid tot afschermen niet bleek te werken. Ook de uitleg over de standaard instellingen en gepaste betekenis van de instellingen voor afschermen leken tekort te schieten.
Facebook kan zich proberen te verschuilen achter scraping, maar dat is nog altijd niet zomaar toegestaan om mogelijk te maken of te behouden. Ik mees nergens dat Facebook daarbij wenst aan te tonen voldoende te hebben gedaan om gebruikers en vooral de persoonsgegevens te beschermen. Laat de toezichthouders daarom (eindelijk) grondig kijken naar wat Facebook heeft nagelaten en gedaan, dit is niet de eerste keer dat het bedrijf door hun omgang in opspraak raakt en ze het lijken te bagatelliseren.
Officieel zou je mogen verwachten dat Facebook vooral na ingaan van de AVG / GDPR dergelijke instellingen per definitie op Alleen Ik zou hebben gezet. Het tegendeel is echter waar en keiharde feit. Iemand die zich zelfs nu aanmeld als nieuw lid, heeft per default de instellingen staan op Openbaar en moet zelf de instellingen wijzigen.

Per default zouden die settings gewoon helemaal niet op Openbaar, Vrienden, Vrienden van Vrienden moeten mogen staan maar gewoon Alleen Ik, tenzij de gebruiker expliciet anders kiest.
Wanneer Facebook zich aan de GDPR zou houden, zou het niet mogelijk moeten zijn om de gegevens van miljoenen Europeanen bij elkaar te scrapen. Het is dus een lek.

Het scrapen hadden ze moeten voorkomen door voldoende privacymaatregelen te nemen. Ze hadden onder andere activiteit op de API moeten loggen en verdachte activiteit moeten blokkeren.

Daarnaast had het helemaal geen datalek hoeven zijn als Facebook vooraf aan de gebruiker had gevraagd of dat zijn gegevens gedeeld mogen worden met derden voor dit doel. Dat hebben ze niet gedaan, ze hebben er een opt-out optie van gemaakt. Dat mag ook niet volgens de GDPR.
Men noemt het overal een lek, maar als het om scraping gaat zoals FB zelf zegt dan is dat geen lek. Dan hebben mensen zelf hun info semi-publiek neergezet en iemand anders heeft dat overgenomen.
Het bestand waar iedereen het nu over heeft bestaat uit twee dingen:
  • Telefoonnummers die via een lek zijn buitgemaakt.
  • Een boel andere gegevens waarvan niet duidelijk is waar ze precies vandaan komen; deze zijn mogelijk gescraped van profielen met niet al te strikte privacy-instellingen.
Over die tweede kun je vechten wiens schuld het is. Facebook heeft lange tijd weinig privacy-opties gehad. Toen ze die eindelijk toevoegden werd iedereen default op de meest openbare optie gezet en pas vele jaren later zijn ze begonnen met mensen te vertellen dat die opties nu wel bestaan. Dat maakt het argument "ja, zo hadden mensen het nou eenmaal ingesteld" erg zwak; veel mensen wisten niet dat het ingesteld kon worden en zolang het op de default blijft staan is het mijns inziens door Facebook ingesteld, niet door de gebruiker.
Maar goed, als je een echt antwoord wilt op die vraag, dan moet je het een rechter vragen (heb je een miljard euro liggen en tien jaar geduld?).

Wat de telefoonnummers betreft is het echter duidelijk: dat is absoluut een lek.
Het excuus dat het een oud lek betreft is alleen nuttig voor iedereen die het afgelopen anderhalf jaar van telefoonnummer gewisseld is, maar het is niet voor niets dat er nummerportering bestaat: mensen willen bij voorkeur juist wél hun oude nummer behouden.
Voor mij was het een bevestiging dat mijn account werkelijk onzichtbaar/verwijderd was.

Had mijn naam/nummer voorgekomen, was dit nl. niet gebeurt - ik heb medio '18 (nogmaals) de boel laten verwijderen.
De eerste poging, in '15 was nooit écht gedaan, ondanks dat ze aangaven het wel verwijderd te hebben
Bij opnieuw wachtwoord instellen kwam mijn account 100% terug, inclusief de 3,5 jaar afwezigheid
Ik heb al sinds 1999 hetzelfde nummer en ga dat hiervoor niet wijzigen.

Maar toeval of niet ik werd tot voor kort alleen op mijn vaste lijn wel eens gebeld door
"Hello my name is steve and I'm calling from Microsoft". (Of de domme variant: "I'm calling from windows", niet alle indiërs zijn even slim zullen we maar zeggen)

De laatste tijd is het echter steeds vaker raak op mijn mobiel. Overigens altijd nummers met rare land codes, het wordt echt eens tijd dat de telefoonmaatschappijen whitelisting op basis van country codes toe laten voor bellen en gebeld worden. Nu kan ik alleen maar 'buitenland' aan en uit zetten. Terwijl wat ik wil is:
Nederland, Zweden, Duitsland, Oostenrijk, Italië en VS aanzetten. Ik heb in de rest van de wereld niemand waar ik door gebeld wil worden, of ze doen dit vanaf een Nederlandse mobiel die ook vanuit het buitenland gewoon met een NL nummer binnenkomt.
Wel een erg ambtenaren formulier om klacht in te dienen. Dat moet toch makkelijker kunnen.
Dat is ook exact de vraag die ik hun op Twitter gesteld heb.
Een pdf van 4 pagina's downloaden, invullen, tekenen, scannen, terugsturen per mail of post...
Dat moet toch simpeler kunnen...
Idd langdradig formulier
En het is me ook niet duidelijk wat je moet doen met het vak "Hebt u uw rechten al uitgeoefend?". (In het ambtenarenformulier wordt dat aangegeven als voorwaarde om uw klacht in ontvangst te nemen).

Het uitoefenen van die rechten houdt toch geen steek bij het indienen van een klacht met betrekking tot een datalek? Al die rechten zijn precies voor als het nog niet te laat is. Of als je gegevens illegaal aan één of enkele andere bedrijven verkocht zijn.

[Reactie gewijzigd door depeje op 7 april 2021 17:53]

Waarom kijken ze niet zelf in de database naar Belgische nummers? Zover ik weet staat hij gewoon online als torrent.
Waarschijnlijk omdat je zelf wel moet afkomen voor een klacht.
Zonder jou kunnen ze dat niet zomaar doen in jou naam.
Denk dat ze legaal gezien alleen een klacht hebben als ze iemand hebben die getroffen is, en zichzelf getroffen vindt.
Omdat het aan de toezichthouder in Ierland is om onderzoek te doen, daar is namelijk facebook gevestigd. Het telt daarbij waarschijnlijk zwaarder mee als personen om wie het gaat zelf aangeven slachtoffer menen te zijn.
Al eens gekeken op die website? Dat klachtenformulier kon weer niet handiger gemaakt worden zeker? 4 blz zou je moeten invullen en dat in een zaak waarbij je al weet waarover het gaat...

Maak nu toch eens een invulformulier online waarbij je naast je naam en mailadres het gsmnummer moet invullen. Easy peasy, de rest weten ze toch al...
Dat viel mij ook op. Waarom maken ze geen apart formulier voor dat facebook lek. Mijn goesting om dat in te vullen was ook al snel weg toen ik het formulier open deed... Als ze een paar honderd meldingen zullen krijgen zal het al veel zijn wellicht.
Inderdaad
"Beschrijving van de verwerking van persoonsgegevens waarover uw klacht
gaat*".

Nu ben ik een paar jaar geleden naar een infosessie geweest over GDPR voor ons jeugdhuis en zelfs ik weet al niet wat in te vullen zonder eerst de regelgeving opnieuw na te lezen. Hoe willen we dan dat iemand dat juist invult?

Alles (lezen, schrijven, zelfs verplaatsen zonder te bekijken dacht ik) is bij mijn weten een verwerking. Is het lek hier de relevante verwerking? Of gaat het om de verwerking waarbij mijn gegevens op een onveilige plaats terecht gekomen zijn? Of de initiële verwerking toen FB mijn gegevens kreeg?

Hier moeten ze zeker een meer specifieke template voor voorzien want het is te moeilijk.
Ik ben wel heel benieuwd wat dit lek in Europa gaat betekenen. Dit is alweer het zoveelste probleem bij Facebook en ja mijn gegevens zitten er ook tussen.

Schijnbaar wist facebook van dit probleem en wist dat het misbruikt werd, want ze hebben de functie in 2019 verwijderd maar mij NIETS laten weten!

Tijd dat er nieuws vanuit de Europese commisie komt.. Hoop dat ze eindelijk eens goed gestraft worden. 1 miljoen euro boete is voor FB niets.

[Reactie gewijzigd door jordynegen11 op 7 april 2021 17:07]

Ik ben ook benieuwd wanneer het de laatste druppel is voor de gebruikers. Zolang deze niet weglopen zal er niet zo veel veranderen vrees ik.
Het is te makkelijk om nu op te roepen om het gebruik van facebook te boycotten: die verre familieleden, vrienden etc. waar je nu contact mee hebt.
De meeste mensen zitten eraan vast en het is heel moeilijk er los van te komen, maar doe je het nu niet, dan gebeurd het nooit.

Ik heb na aanleiding van het nieuws van het lek vrijwel gelijk mijn facebook verwijderd, of 'gedeactiveerd' zoals dat heet.
Je moet 30 dagen opbrengen om niet meer op facebook te kijken en dan pas is je account weg.

Ik heb eerst nog een dag een berichtje erop geplaatst dat ik van facebook af ga en wie mij nog wil spreken even een berichtje moet sturen voor mijn gegevens.

Na dit hele gebeuren heb ik alles gedeactiveerd en heb nog nooit zoveel rust gehad:
Niet steeds de drang te kijken wat iedereen heeft gepost en te liken, etc.

Ik kan het iedereen aanraden, ook al is het maar even een paar dagen je account deactiveren, ervaar wat er gebeurd en trekt je conclusies wat je ermee wil doen daarna.
Groot deel van mijn familie is getroffen. Heb hun allemaal attent gemaakt om niet te reageren op sms en tel's de komende maanden.
Denk dat er veel mensen geld gaan kwijt zijn ... Zou wel eens kunnen dat dit kan verhaald worden op facebook.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True