Als u geïnteresseerd bent in gegevensbeveiliging en privacy, raden wij u aan dit te lezen de schikking van de FTC met ruby Corporation, ruby Life Inc. en ADL Media Inc., de bedrijven die AshleyMadison.com exploiteren.
AshleyMadison.com maakte reclame voor een ‘100% veilige en anonieme’ datingsite. Het versterkte deze beweringen door een ‘Trusted Security Award’-pictogram op te nemen en een afbeelding die aangaf dat de website een ‘100% discrete service’ was.
De website lokte je naar binnen met de belofte van ‘duizenden vrouwen’ in jouw stad (en let wel, ongeveer 16 miljoen van de 19 miljoen Amerikaanse profielen waren mannen). Vervolgens gebruikte het ‘boeiende profielen’: nepprofielen gemaakt door medewerkers die communiceerden alsof ze echte vrouwelijke gebruikers waren. Het bedrijf heeft deze profielen gemaakt met behulp van informatie van bestaande leden die al een tijdje geen activiteit op het account hadden uitgevoerd. Vaak zouden niet-betalende gebruikers upgraden naar volledige lidmaatschappen, zodat ze berichten konden sturen waarvan zij dachten dat het echte gebruikers waren, maar in werkelijkheid nepprofielen waren.
Voor gebruikers die zich zorgen maakten dat anderen hun activiteiten op de website zouden ontdekken, beloofde de website dat ze “uw digitale voetafdruk konden verwijderen”. Voor $ 19 kun je een “Full Delete” kopen, waarin wordt beloofd al je gegevens van AshleyMadison.com te verwijderen. We hebben het over informatie zoals: naam; relatiestatus; seksuele voorkeuren en gewenste ontmoetingen; gewenste activiteiten; foto’s; en financiële informatie. Klinkt als informatie die mensen niet openbaar willen maken, toch?
In juli 2015 hackte een groep genaamd “The Impact Team” het computersysteem van Ashley Madison. De groep dreigde alle informatie over de gebruikers van de website vrij te geven, tenzij Ashley Madison zou stoppen. Toen het bedrijf weigerde, publiceerde de groep persoonlijke informatie over 36 miljoen gebruikers. Dat is heel veel persoonlijke informatie van veel mensen.
Het bevatte ook informatie van mensen die hadden betaald voor een ‘volledige zuivering’. Ashley Madison bleek persoonlijke gegevens tot twaalf maanden na een ‘volledige verwijdering’ te bewaren en slaagde er soms niet in om profielen volledig te verwijderen.
Hoe is dit gebeurd? De FTC-klacht beweert dat AshleyMadison.com zich bezighield met verschillende praktijken die er niet in slaagden een redelijke gegevensbeveiliging te garanderen, waaronder:
- Ontbreken van een schriftelijk informatiebeveiligingsbeleid
- Het niet implementeren van redelijke toegangscontroles
- Het onvermogen om het personeel adequaat te trainen op het gebied van gegevensbeveiliging
- Het niet controleren van externe dienstverleners
Deze basisprincipes zijn allemaal uiteengezet in de FTC Begin met veiligheid gids.
De vijfpuntige klacht van de FTC betreft zowel bedrog als onrecht. De beschuldigingen van bedrog omvatten: onjuiste voorstellingen dat het bedrijf redelijke stappen heeft ondernomen om ervoor te zorgen dat AshleyMadison.com veilig was; valse beweringen dat de profielen van de betrokkenen afkomstig waren van echte vrouwen; valse verklaringen over het verwijderen van profielen; en onjuiste voorstellingen van het gegevensbeveiligingszegel (je raadt het al: het bedrijf zonder geschreven gegevensbeveiligingsbeleid heeft in feite geen “Trusted Security Award” ontvangen). Ten slotte wordt in de klacht beweerd dat de oneerlijke beveiligingspraktijken van het bedrijf consumenten hebben geschaad of kunnen schaden.
De schikking van de FTC met Ruby Corporation en haar dochterondernemingen verbiedt de bedrijven om dit soort verkeerde voorstellingen te geven. Het vereist ook dat ze een alomvattend informatiebeveiligingsprogramma onderhouden en halfjaarlijkse beoordelingen ondergaan.
En de FTC staat hierin niet alleen. De schikking van de FTC is tot stand gekomen in samenwerking met dertien staten en het District of Columbia. De FTC kreeg ook hulp van haar internationale tegenhangers in Canada en Australië. Gebaseerd op een gezamenlijk onderzoekhet Office of the Privacy Commissioner of Canada is een overeenkomst aangegaan nakoming overeenkomst en het Office of the Australian Information Commissioner hebben een overeenkomst gesloten uitvoerende inzet met de in Toronto gevestigde Ruby Corporation. Deze overeenkomsten zijn gericht op corrigerende maatregelen om het gegevensbeveiligings- en bewaarbeleid van het bedrijf te verbeteren.
Wat zijn de lessen die we kunnen trekken uit de Ashley Madison-zaak? Bedrijven moeten hun beloften nakomen. En als u gevoelige persoonlijke informatie verzamelt, moet u deze beschermen.
Voor meer informatie over hoe u dit kunt doen, zie Persoonlijke informatie beschermen: een gids voor bedrijven EN Begin met beveiliging: een gids voor bedrijven. En voor meer nalevingsbronnen gaat u naar het Business Center Privacy- en beveiligingsportaal.
