Online gegevens - E-mailadressen - Privacy - Webshops - Cijfers en tendensen
persoonlijke gegevens
elektronische handel
internetadres
gegevensbescherming
sociale media
2/6/2022 | Verzending vraag (Einde van de antwoordtermijn: 7/7/2022) |
7/7/2022 | Antwoord |
Ook gesteld aan : schriftelijke vraag 7-1654
Uit een grootschalig onderzoek van de KULeuven, Universiteit Radboud en de Universiteit van Lausanne, blijkt dat duizenden websites meekijken als men een online formulier invult, maar het toch niet daadwerkelijk verzendt. Zonder de toestemming van de gebruiker, leest de website de gegevens (cf. https://trendstop.knack.be/nl/ontop/ondernemen/duizenden-websites-volgen-mee-als-je-online-e-mailadres-invult-1068-1492848.aspx).
De websites sturen de e-mailadressen, zonder medeweten van de gebruikers, door naar derde partijen die gespecialiseerd zijn in het volgen van internetgebruikers. Zij proberen op die manier te achterhalen welke websites iemand allemaal bezoekt, om een individueel profiel te kunnen samenstellen en gerichtere advertenties op iemand los te laten.
Nadat één van de onderzoekers de techniek bij één website ontdekte, startte het team een onderzoek naar 100 000 van de meest gebruikte websites op het Internet. De onderzoekers vonden 1 844 websites die data van Europese gebruikers doorstuurden en 2 950 websites die dat doen met gegevens van Amerikaanse gebruikers (cf. https://www.hln.be/internet/duizenden-websites-volgen-mee-als-je-online-e-mailadres-invult~a1bfef2a/).
Uit de lijst komen bijvoorbeeld de webshop Shopify, hotelketen Marriott en enkele Amerikaanse nieuwswebsites zoals FoxNews en USA Today. Dichter bij huis vonden de onderzoekers ook de website van elektrogroothandel Vanden Borre. In tweeënvijftig gevallen werden ook paswoorden doorgesluisd naar derde partijen.
De percentages mogen dan laag blijken, het zijn sites die tientallen miljoenen gebruikers tellen.
Ook Meta (Facebook) en TikTok verzamelen als «tracking» bedrijf informatie van gebruikers via andere websites, blijkt uit het onderzoek. In totaal vond het team 8 438 Amerikaanse en 7 379 Europese websites die mogelijk gegevens naar Meta stuurden, en 154 Amerikaanse en 174 Europese websites die naar TikTok sluisden.
Wat het transversaal karakter van de schriftelijke vraag betreft: cybercrime en cybersecurity is één van de tien prioriteiten van het Nationaal Veiligheidsplan (NVP) 2016-2019. Dit document wordt om de vier jaar door de ministers van Veiligheid en Binnenlandse Zaken en van Justitie gepubliceerd en is de leidraad van de politiewerking. Daarnaast is één van de transversale thema's inzake het Veiligheidsplan het aanscherpen van de politionele aanpak van de informaticacriminaliteit, daarbij rekening houdend met de ontwikkelingen van het Internet, innovatie en nieuwe technologieën. Het betreft dus een transversale aangelegenheid met de Gewesten. Zo heeft de Brusselse regering een gewestelijk Centrum voor cyberveiligheid opgericht.
Graag had ik dan ook volgende vragen voorgelegd:
1) Hoe reageert u op deze datalekken waarbij niet verzonden maar ingevulde webformulieren op websites zonder medeweten van de gebruiker aan derde partijen worden bezorgd? Betreft dit tevens Belgische websites of gegevens van landgenoten? Kan u toelichten en meedelen hoe hiertegen kan worden opgetreden?
2) Zijn er reeds klachten binnengekomen van gedupeerden of andere personen of bedrijven die schade hebben ondervonden door dergelijke veiligheidslekken? Zo ja, hoeveel, in welke periode en hoeveel bedroeg de geleden schade? Werden er personen gearresteerd of boetes uitgeschreven? Zo ja hoeveel en wat bedroegen de straffen?
3) Worden Belgische sites die dergelijke gebreken vertonen ook geïnformeerd hieromtrent? Zo neen, waarom niet en waar moeten zij dergelijke informatie inwinnen? Zo ja, hoeveel sitebeheerders heeft u reeds hierover gecontacteerd?
4) Kan u meedelen bij welke sites volgens u dit specifieke veiligheidsprobleem nog gevoeliger ligt? Kan u ook de reden meedelen waarom en hoe men het beste zo snel mogelijk de sitebeheerders hiervan op de hoogte brengt?
5) Hoe zouden de data die uit dergelijke lekken voortkomen misbruikt kunnen worden volgens u? Zijn er sectoren volgens u die kwetsbaarder zijn voor dergelijke lekken dan andere?
1) Op enkele uitzonderingen na, waarin de verordening gegevensbescherming (AVG) voorziet, is geen verwerking van persoonsgegevens zonder toestemming van de betrokkene toegelaten. Aangezien de Gegevensbeschermingsautoriteit (GBA) nog niet over deze kwestie is gecontacteerd, kunnen wij niet weten of Belgische websites of de gegevens van Belgische burgers door dit fenomeen worden getroffen.
De maatregelen die moeten worden genomen om deze praktijk tegen te gaan, zullen afhangen van de kwalificatie die eraan moet worden gegeven in de zin van de AVG. De GBA gaat ervan uit dat dit een specifieke techniek is, die verschilt van meer gebruikelijke vormen van tracking (zoals cookies). Wat deze laatste technieken betreft, heeft de Gegevensbeschermingsautoriteit reeds verschillende maatregelen genomen (https://www.gegevensbeschermingsautoriteit.be/professioneel/thema-s/cookies).
Wat de techniek betreft waarop deze vraag betrekking heeft, heeft de Gegevensbeschermingsautoriteit echter geen aanwijzingen dat bedrijven of diensten die onder haar toezichthoudende autoriteit vallen, daarvan gebruik maken. De vraag rijst of dit een «datalek» is in de zin van artikel 4, lid 12, van de AVG. Dit zal grotendeels afhangen van de vraag of de exploitanten van deze sites zich van deze praktijk bewust zijn. Als zij er niet van op de hoogte zijn, is het mogelijk dat er een inbreuk in de zin van artikel 4, lid 12, van de AVG heeft plaatsgevonden. Als zij ervan op de hoogte zijn (en deze praktijk mogelijk zelf (helpen) uitvoeren), is er waarschijnlijk eerder sprake van onrechtmatige verwerking van persoonsgegevens (dan van een datalek), als gevolg van een mogelijke schending van de artikelen 5 en 6 AVG.
2) De Gegevensbeschermingsautoriteit deelt mij mee dat zij nog geen klachten over dit verschijnsel heeft ontvangen.
3) Vanuit het oogpunt van de AVG zijn sitebeheerders in de eerste plaats verantwoordelijk voor het voorkomen of verwijderen van deze praktijken. De Gegevensbeschermingsautoriteit kan echter wel informatie verstrekken (bijvoorbeeld op haar website) over de uitdagingen in verband met de AVG. In het licht van de antwoorden op de vragen 1) en 2) is dit een kwestie waarover de GBA nog geen mededelingen kan doen.
4) Zoals hierboven uiteengezet, is deze praktijk tot dusver niet gemeld aan de Gegevensbeschermingsautoriteit (zie antwoord op vragen 1) & 2)). Totdat we meer weten over de precieze omvang van deze praktijk, zou ik websitebeheerders uiteraard aanraden voorzichtig te zijn met de samenwerkingsverbanden die zij aangaan om voor hun sites te zorgen.
5) Op het eerste gezicht zijn tal van misbruiken denkbaar, zoals inbreuken op de finaliteit, verspreiding van persoonsgegevens op grotere schaal dan nodig is, verlies van controle door de betrokkenen over hun gegevens en dus mogelijk de onmogelijkheid om hun rechten in de praktijk uit te oefenen, verrijking van deze gegevens met andere informatie over de betrokkene om een profiel van hem op te stellen (en bijvoorbeeld gerichte reclame te sturen), enz.