Als u gegevensbeveiliging en privacy belangrijk vindt, wilt u hier meer over lezen de schikking van de FTC met ruby Corporation, ruby Life Inc. en ADL Media Inc. – de bedrijven die AshleyMadison.com exploiteren.
AshleyMadison.com maakte reclame voor een datingwebsite die “100% veilig en anoniem” is. Het versterkte deze beweringen door een pictogram van een ‘Trusted Security Award’ op te nemen en een afbeelding die aangaf dat de website een ‘100% discrete service’ was.
De website lokte je binnen met beloften van “duizenden vrouwen” in jouw stad (en let wel, ongeveer 16 miljoen van de 19 miljoen Amerikaanse profielen waren mannen). Vervolgens gebruikte het ‘engager-profielen’: nepprofielen gemaakt door medewerkers die communiceerden alsof ze echte vrouwelijke gebruikers waren. Het bedrijf heeft deze profielen gemaakt met behulp van informatie van bestaande leden die al een tijdje geen accountactiviteit meer hadden gehad. Vaak hebben niet-betalende gebruikers een upgrade uitgevoerd naar een volledig lidmaatschap, zodat ze berichten konden sturen naar wat volgens hen echte gebruikers waren, maar in feite nepprofielen waren.
Voor gebruikers die bezorgd waren dat anderen te weten zouden komen over hun activiteiten op de website, beloofde de website dat u ‘uw digitale spoor kon verwijderen’. Voor $ 19 kon je een “Full Delete” kopen die beloofde al je informatie van AshleyMadison.com te verwijderen. We hebben het over informatie zoals: naam; relatiestatus; seksuele voorkeuren en gewenste ontmoetingen; gewenste activiteiten; foto’s; en financiële informatie. Klinkt als informatie die mensen niet openbaar willen maken, toch?
In juli 2015 hackte een groep genaamd “The Impact Team” het computersysteem van Ashley Madison. De groep dreigde alle gebruikersinformatie van de website vrij te geven, tenzij Ashley Madison zou sluiten. Toen het bedrijf weigerde, publiceerde de groep persoonlijke informatie over 36 miljoen gebruikers. Dat is heel veel persoonlijke informatie van veel mensen.
Het bevatte zelfs informatie van mensen die hadden betaald voor een ‘volledige verwijdering’. Het bleek dat Ashley Madison persoonlijke gegevens tot twaalf maanden na een ‘volledige verwijdering’ bewaarde en er soms niet in slaagde de profielen helemaal te verwijderen.
Hoe is dit gebeurd? De klacht van de FTC beweert dat AshleyMadison.com zich bezighield met verschillende praktijken die er niet in slaagden een redelijke gegevensbeveiliging te bieden, waaronder:
- Het niet hebben van een schriftelijk informatiebeveiligingsbeleid
- Het niet implementeren van redelijke toegangscontroles
- Het onvermogen om personeel adequaat op te leiden over gegevensbeveiliging
- Het niet monitoren van externe dienstverleners
Deze basisprincipes zijn allemaal uiteengezet in de FTC’s Begin met beveiliging gids.
De vijf klachten tellende klacht van de FTC betreft zowel bedrog als oneerlijkheid. Bij de gevallen van bedrog gaat het om: onjuiste voorstellingen dat het bedrijf redelijke stappen heeft ondernomen om ervoor te zorgen dat AshleyMadison.com veilig was; onjuiste voorstellingen dat de profielen van de betrokkenen afkomstig waren van echte vrouwen; verkeerde voorstellingen over het verwijderen van profielen; en onjuiste voorstellingen over het gegevensbeveiligingszegel (je raadt het al: het bedrijf zonder geschreven gegevensbeveiligingsbeleid heeft in feite geen ‘Trusted Security Award’ ontvangen). Ten slotte wordt in de klacht beweerd dat de oneerlijke beveiligingspraktijken van het bedrijf consumenten hebben geschaad of waarschijnlijk zullen schaden.
De schikking van de FTC met ruby Corporation en haar dochterondernemingen verbiedt de bedrijven om dit soort verkeerde voorstellingen te maken. Het vereist ook dat ze een alomvattend informatiebeveiligingsprogramma onderhouden en tweejaarlijkse beoordelingen krijgen.
En de FTC staat hierin niet alleen. De schikking van de FTC vindt plaats in samenwerking met dertien staten en het District of Columbia. De FTC kreeg ook hulp van haar internationale tegenhangers in Canada en Australië. Gebaseerd op een gezamenlijk onderzoekis het Office of the Privacy Commissioner of Canada een overeenkomst aangegaan nakoming overeenkomst en het Office of the Australian Information Commissioner zijn een overeenkomst aangegaan afdwingbare verbintenis met de in Toronto gevestigde ruby Corporation. Deze overeenkomsten zijn gericht op corrigerende maatregelen om het gegevensbeveiligings- en gegevensbewaarbeleid van het bedrijf te verbeteren.
Wat is de les die we hebben geleerd uit de Ashley Madison-zaak? Bedrijven moeten hun beloften nakomen. En als u gevoelige persoonlijke informatie verzamelt, moet u deze beschermen.
Voor meer informatie over hoe u dat kunt doen, gaat u naar Persoonlijke informatie beschermen: een gids voor bedrijven En Begin met beveiliging: een gids voor bedrijven. En voor meer nalevingsbronnen kunt u terecht bij het Business Center Privacy- en beveiligingsportaal.
