Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Dataschrapers, wie doet ze wat?

Dit artikel delen:

Computable Expert

Robert van der Meulen
Technical evangelist, LeaseWeb. Expert van Computable voor de topics Cloud Computing en Digital Innovation.

Persoonsgegevens achterlaten op een sociaal platform is onderdeel van het spel, en iedereen kan goed inschatten waar het verstandig is dit wel te doen en waar vooral niet. Toch lagen kwamen onlangs miljoenen persoonsgegevens op straat te liggen. Niet via hacks, maar via scrapes.

Het aantal hacks en datalekken neemt toe, dat kunnen we overal en zeker ook op Computable, lezen. Daarin wordt niet gediscrimineerd. Het betreft organisaties uit verschillende sectoren en van allerlei omvang. Een aantal grote lekken waarbij veel gebruikersgegevens publiek werden, betreft de recente incidenten bij Clubhouse, Facebook en LinkedIn. We weten inmiddels dat het bij deze incidenten om scraping ging, het automatisch schrapen van (persoons)gegevens van websites en sociale-mediaplatforms.

Scrapen is op zich niet illegaal en betreft informatie die mensen en organisaties toch al delen met andere gebruikers van het platform. Zo wordt het ook door enkele van de platformen gepresenteerd. Onterecht. Dat je persoonsgegevens beschikbaar stelt voor één platform betekent niet dat tout le monde ze mag gebruiken voor hun commerciële dan wel criminele activiteiten. Je zou je daar als klant van het platform ook helemaal niet mee bezig moeten hoeven houden. Want hoewel je als individu het risico kunt inschatten van het achterlaten van je gegevens, is de afweging of ze van een website geschraapt worden en als onderdeel van een grote dataset verkocht worden een stuk lastiger.

"Bulkdata vormen het brood én beleg voor een cybermalversant""

Eén dataset heeft weinig waarde voor een cybermalversant, bulkdata vormen zijn brood én beleg. Je kunt dan ineens duizenden of zelfs miljoenen mensen phishen of een mailtje of een Whatsapp-bericht sturen om geld over te maken. Al reageert maar een half procent, dan ben je nog steeds spekkoper. Dat is de wet van de grote getallen. Daarnaast is het als gebruiker lastig om van het ‘gezeur’ af te komen. Want ga je je e-mailadres of telefoonnummer veranderen elke keer als je persoonsgegevens van een website of platform geschraapt en online aangeboden worden? Dat lijkt geen passende oplossing.

Lakse reacties

Vanwege de context verdienen drie vormen van datalekken een uiteenzetting. Allereerst is er de datadiefstal via inbraak in database. Bedrijven zijn verplicht dit openbaar te maken en klanten te informeren, zoals recentelijk met Allekabels.nl.

Daarnaast heb je scraping, waarbij openbare data van website geschraapt wordt. Bedrijven hebben geen verplichting dit openbaar te maken en gaan er verschillend mee om als bekend wordt dat ze ‘geschraapt’ zijn. Dat is duidelijk te herkennen in de - zeker in eerste instantie - lakse reacties van Facebook en Clubhouse in vergelijking met LinkedIn, dat in de gebruiksvoorwaarden het scrapen van het platform verbiedt.

De derde vorm van datalekken is een 'combinatiedump', waarbij open data, gescraped of niet, wordt gecombineerd met gestolen, niet-publieke data. Hierbij hoeft alleen de datadiefstal openbaar gemaakt te worden.

Voor consumenten is de derde vorm het schadelijkst, omdat het de mogelijkheid biedt meer waarde uit de klantendata te halen en op verschillende, intelligente manieren campagnes uit te voeren met als doel geld afhandig te maken. Vanwege de gesofisticeerde aard van deze data-verrijkende acties, is achteraf vrijwel nooit te bepalen hoe een partij aan jouw informatie gekomen is. Zeker wanneer je er als gebruiker geen weet van hebt, dat je data geschraapt is.

Niet illegaal

"Bonafide organisaties kunnen datasets kopen met daarin gescrapete informatie"

Er komt nog iets bij. Omdat scraping niet illegaal is en maar zelden gesanctioneerd wordt, kunnen bonafide organisaties datasets kopen met daarin gescrapete informatie, die bijvoorbeeld jouw contactgegevens bevatten, en deze publiek maken terwijl dit tegen jouw uitdrukkelijke wens is. Zeker wanneer het gerechtvaardigd belang van de betreffende organisatie in het geding is, trek je als consument aan het kortste eind.

Het komt zelfs voor dat het gerechtvaardigd belang resulteert in een omgekeerde bewijslast. Dit is behoorlijk irritant, omdat je moet gaan aantonen waarom iets wat in eerste instantie al tegen jouw wil publiek beschikbaar is gemaakt, weer verwijderd dient te worden.

Een voorbeeldje; op het moment dat je geregistreerd bent bij de Kamer van Koophandel, kunnen ook kredietbeoordelaars toegang krijgen tot de gegevens van je bedrijf. Zelfs als je bij het invullen van jouw informatie bij de KvK aangeeft bepaalde kenmerken niet publiek te willen delen. Het is de functie van dit soort organisaties om hun klanten te informeren over jouw kredietwaardigheid en precies daar zit hun gerechtvaardigd belang. Als jouw bedrijf een eenpersoonszaak is met een thuiskantoor, en je wilt niet dat jouw persoonlijke adres via zo’n bedrijf publiek gemaakt wordt, dan krijg je daarmee te maken. De vraag wat dan zwaarder weegt - jouw privacy of het gerechtvaardigd belang? - kun je toetsen bij de Autoriteit Persoonsgegevens. Die zullen je waarschijnlijk gelijk geven, maar dat kan even duren. Het AP kampt namelijk al een tijdje met een capaciteitstekort.

Irritant

Concluderend kunnen we stellen dat data scraping op zijn minst onaangenaam is voor de slachtoffer ervan. In het ergste geval kan leiden tot financiële en persoonlijke schade. Daarom pleit ik ervoor dat social media-platformen echt werk maken van hun beleid tegen data scraping én dat elke partij die jouw persoonsgegevens indirect verkregen heeft, deze alleen mag gebruiken met de expliciete goedkeuring van de persoon in kwestie. Gerechtvaardigd belang of niet.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-08-17T11:42:00.000Z Robert van der Meulen
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.