Als u gegevensbeveiliging en privacy belangrijk vindt, wilt u hier meer over lezen De schikking van de FTC met ruby Corporation, ruby Life Inc. en ADL Media Inc. – de bedrijven die AshleyMadison.com exploiteren.
AshleyMadison.com maakte reclame voor een datingsite die “100% veilig en anoniem” is. Het versterkte deze beweringen door een ‘Trusted Security Award’-pictogram op te nemen en een afbeelding die aangaf dat de website een ‘100% discrete service’ was.
De website lokte je binnen met beloften van “duizenden vrouwen” in jouw stad (en let wel, ongeveer 16 miljoen van de 19 miljoen Amerikaanse profielen waren mannen). Vervolgens maakte het gebruik van ‘engager-profielen’: nepprofielen gemaakt door medewerkers die communiceerden alsof ze echte vrouwelijke gebruikers waren. Het bedrijf heeft deze profielen gemaakt met behulp van informatie van bestaande leden die al een tijdje geen accountactiviteit meer hadden gehad. Vaak hebben niet-betalende gebruikers een upgrade uitgevoerd naar een volledig lidmaatschap, zodat ze berichten konden sturen waarvan ze dachten dat het echte gebruikers waren, maar in werkelijkheid nepprofielen waren.
Voor gebruikers die zich zorgen maakten dat anderen te weten zouden komen over hun activiteiten op de site, beloofde de site dat u ‘uw digitale spoor kon verwijderen’. Voor $ 19 kun je een “Full Delete” kopen, waarin wordt beloofd al je gegevens van AshleyMadison.com te verwijderen. We spreken informatie zoals: naam; relatiestatus; seksuele voorkeuren en gewenste ontmoetingen; gewenste activiteiten; foto’s; en financiële informatie. Klinkt als informatie die mensen niet openbaar willen maken, toch?
In juli 2015 hackte een groep genaamd “The Impact Team” het computersysteem van Ashley Madison. De groep dreigde alle gebruikersinformatie van de website vrij te geven, tenzij Ashley Madison werd gesloten. Toen het bedrijf failliet ging, publiceerde de groep de persoonlijke gegevens van 36 miljoen gebruikers. Dat is heel veel persoonlijke informatie over veel mensen.
Het bevatte zelfs informatie van mensen die hadden betaald voor een ‘volledige wisactie’. Ashley Madison bleek persoonlijke gegevens tot twaalf maanden te bewaren na een “volledige verwijdering” en slaagde er soms niet in de profielen volledig te verwijderen.
Hoe is dit gebeurd? De klacht van de FTC beweert dat AshleyMadison.com zich bezighield met verschillende praktijken die er niet in slaagden een redelijke gegevensbeveiliging te bieden, waaronder:
- Het niet hebben van een schriftelijk informatiebeveiligingsbeleid
- Het niet implementeren van redelijke toegangscontroles
- Gebrek aan opleiding van personeel op het gebied van gegevensbeveiliging
- Het niet monitoren van externe dienstverleners
Deze basisprincipes zijn allemaal beschreven in de FTC’s Begin met veiligheid gids.
De vijf klachten tellende klacht van de FTC betreft zowel fraude als oneerlijkheid. Bij de fraudetelling gaat het om: een verkeerde voorstelling geven dat het bedrijf redelijke stappen heeft ondernomen om ervoor te zorgen dat AshleyMadison.com veilig was; een verkeerde voorstelling geven van het feit dat de profielen van de betrokkenen afkomstig waren van echte vrouwen; verkeerde voorstellingen over het verwijderen van profielen; en misleidende informatie over het gegevensbeveiligingszegel (je raadt het al: het bedrijf zonder geschreven gegevensbeveiligingsbeleid heeft niet daadwerkelijk een “Trusted Security Award” ontvangen). Ten slotte wordt in de klacht beweerd dat de onredelijke beveiligingspraktijken van het bedrijf consumenten schade hebben berokkend of waarschijnlijk zullen schaden.
De schikking van de FTC met Ruby Corporation en haar dochterondernemingen verbiedt de bedrijven om dit soort verkeerde voorstellingen te geven. Het vereist ook dat ze een alomvattend informatiebeveiligingsprogramma onderhouden en tweejaarlijkse beoordelingen ontvangen.
En de FTC staat hierin niet alleen. De schikking van de FTC heeft betrekking op dertien staten en het District of Columbia. De FTC kreeg ook hulp van haar internationale tegenhangers in Canada en Australië. Gebaseerd op een gezamenlijk onderzoekingevoerd bij het Office of Privacy Commissioner van Canada nakoming overeenkomst en het Office of the Australian Information Commissioner zijn een overeenkomst aangegaan afdwingbare verbintenis met de in Toronto gevestigde Ruby Corporation. Deze overeenkomsten zijn gericht op corrigerende maatregelen om het gegevensbeveiligings- en gegevensbewaarbeleid van het bedrijf te verbeteren.
Dus wat is de les uit de Ashley Madison-zaak? Bedrijven moeten hun beloften nakomen. En als u gevoelige persoonlijke gegevens verzamelt, moet u deze beschermen.
Voor verdere instructies over hoe u dat kunt doen, gaat u naar Privacy: een gids voor bedrijven En Begin met vertrouwen: een gids voor bedrijven. En voor meer nalevingsbronnen kunt u terecht bij het Business Center Privacy- en beveiligingsportaal.
