Hoe kun je optreden tegen een database met 1.2 miljard persoonsgegevens?

29/11
Beveiligingsonderzoekers hebben een database gevonden met informatie over 1,2 miljard personen. Dat las ik bij Tweakers. In de database zitten geen gevoelige gegevens zoals creditcardnummers of wachtwoorden, maar wel profielgegevens, telefoonnummers en e-mailadressen. De vondst is opmerkelijk gezien de omvang, en vooral vanwege het feit dat er geen duidelijke dader lijkt te zijn. Het gaat waarschijnlijk om een combinatie van vier databases van dataleveranciers, maar wie deze heeft gemaakt en waarom ze online staat, is een raadsel. Maar wat kun je daar nou mee, AVG technisch?

Het is onder de AVG ten ene male onmogelijk dat ergens `gewoon’ persoonsgegevens rondslingeren. Iemand heeft die dataset gemaakt, en dus is er iemand verwerkingsverantwoordelijke voor het geheel. Dat je die niet kunt vinden, is een praktisch probleem bij de handhaving maar dat maakt in principe verder niet uit. Als ooit de maker bekend wordt, dan is die boetewaardig. Ook als het een werknemer was die dit helemaal niet mocht, of als men dacht dat men niet onder de AVG viel.

Ik blijf me verbazen dat er bedrijven als People Data Labs zijn, die dus kennelijk ook hele grote datasets hebben en denken dat de AVG-technisch gewoon kan. Natuurlijk, in de VS mag er veel meer (hoewel de nieuwe Californische wet veelbelovend klinkt) maar dit soort bedrijven valt gewoon onder de AVG, ook al zitten ze fysiek buiten Europese jurisdictie. En nee, het gaat niet helpen dat zij in de contracten keihard zeggen dat dit niet mag.

Dat gezegd hebbende, handhaving is natuurlijk een reëel probleem. Ja, je kunt boetes opleggen (of verboden met dwangsommen) aan iedereen met een kopie van die data, maar je wil eigenlijk de bron aanpakken dat dit nooit meer gebeurt. En dat is lastig als die onbekend is.

Ik denk dat er dan maar één ding op zit: structureel terug de keten in, tot aan desnoods het kleinste individuele webforum waar 100 records vandaan kwamen bijvoorbeeld. En dan die laten uitleggen hoe het kon dat ze die data hebben verstrekt en aan wie, op straffe van hoge boetes. Een enorme klus, dat wel.

Arnoud

Het bericht Hoe kun je optreden tegen een database met 1.2 miljard persoonsgegevens? verscheen eerst op Ius Mentis.

Datum: vrijdag 29 november 2019, 08:09
Bron: Iusmentis Blog
Categorie: Internet en ICT

Gerelateerde berichten:

Reacties:

Er zijn nog geen reacties op dit bericht.


Website by Web Chemistry