Congresdemocraten aan Het Gemengd Economisch Comité zegt dat het meer dan 20,9 miljard dollar aan consumentenverliezen heeft geïdentificeerd als gevolg van identiteitsdiefstal in verband met vier grote inbreuken waarbij gegevensmakelaars betrokken zijn. De schatting werd vrijdag gepubliceerd in een minderheidsrapport afkomstig van a maandenlang onderzoek naar praktijken van datamakelaars gelanceerd door de Amerikaanse senator Maggie Hassan.
Hassan, een democraat uit New Hampshire en hooggeplaatst lid van de JEC, stuurde in augustus onderzoeksverzoeken naar vijf grote datamakelaars – Comscore, Findem, IQVIA Digital, Telesign en 6Sense Insights – na een onderzoek door Opmaak En CalMattersmede uitgegeven door WIRED, ontdekte dat sommige datamakelaars opt-outtools hadden opgeslagen van Google en andere zoekmachines die ‘geen index’-instructies gebruiken die webcrawlers vertellen de pagina niet te indexeren.
Er is gebleken dat fraudeurs het soort gevoelige gegevens waarover dit soort bedrijven beschikken (waaronder identificatiegegevens zoals geboortedata, adressen en zelfs burgerservicenummers) gebruiken om slachtoffers te misleiden met persoonlijke fraude.
Vier van de bedrijven ondernamen stappen naar aanleiding van Hassans oproep om de toegang tot opt-outs te verbeteren, waaronder het verwijderen van de ‘no index’-code, het toevoegen van prominentere links en het geven van richtlijnen over het uitoefenen van privacyrechten.
Findem reageerde echter niet op Hassan of op de follow-up van het commissiepersoneel, en het personeel zei dat het bedrijf de “no index” -code niet van zijn site heeft verwijderd. De oproepen van WIRED naar Findem op donderdag bleven onbeantwoord.
Het rapport zegt dat het ‘onvermogen van Findem om te reageren’ op vragen van wetgevers ‘serieuze, brede vragen oproept over het reactievermogen van het bedrijf op opt-out-verzoeken en zijn inzet voor gegevensbescherming’, eraan toevoegend dat uit zijn eigen verplichte openbaarmakingen uit 2024 blijkt dat het bedrijf ‘80 procent van de privacyverzoeken van consumenten en andere partijen niet heeft afgehandeld’, daarbij verwijzend naar ‘onvoldoende gegevens’.
IQVIA, 6sense en Comscore reageerden niet onmiddellijk op verzoeken om commentaar. Telesign stuurt persvragen via een onlineformulier waarin journalisten toestemming moeten geven voor het ontvangen van marketingcommunicatie die om die reden niet is gebruikt; in plaats daarvan werd geprobeerd een bedrijfs-e-mailadres te gebruiken dat in eerder gelekte inbreukgegevens stond.
Uit het Markup/CalMatters-onderzoek bleek dat tientallen in Californië geregistreerde datamakelaars de “no index”-code en andere zogenaamde duistere patronen gebruikten die het moeilijker maken om opt-out- en verwijderingspagina’s te vinden. “Door dit te doen”, zegt het JEC-minderheidsrapport, “maakten de bedrijven het moeilijker voor mensen om hun informatie tegen fraudeurs te beschermen.”
Comscore vertelde de commissie dat het zijn website had beoordeeld na ontvangst van het verzoek van Hassan en ontdekte dat de pagina ‘Rechten van de betrokkene’ – die gebruikers naar aparte formulieren verwijst om opt-outverzoeken in te dienen – een ‘geen index’-code bevatte. Het bedrijf zei dat het de verwijderde code terugvoerde naar een eerdere versie van de pagina die in 2003 werd gemaakt. Het rapport zegt dat het bedrijf niet kon vaststellen waarom de code was toegevoegd, maar suggereerde dat het “niet bedoeld was om de toegang van consumenten te verhinderen”.
Telesign bevestigde dat zijn opt-out-formulier, gehost op een “Privacy Request”-pagina, niet in de zoekresultaten verscheen op het moment van de Markup/CalMatters-rapportage; het schreef het probleem toe aan een SEO-tool van derden die de zichtbaarheid standaard beperkt, en zegt dat het nu indexering heeft ingeschakeld en een voettekstlink aan het formulier heeft toegevoegd.
JEC-medewerkers zeggen dat de aanpak van Telesign consumenten nog steeds dwingt om verder te kijken dan de hoofdwebsite, en zelfs als er links bestaan, worden deze vaak begraven op pagina’s waarvan gebruikers redelijkerwijs niet zouden denken dat ze deze zouden controleren – inclusief pagina’s met privacyverklaringen van meer dan 9.000 woorden.
6sense betwistte dat zijn belangrijkste ‘Privacycentrum’ verborgen was, maar erkende dat zijn ‘Privacybeleid’-pagina – die linkt naar opt-out-tools – voorheen ‘geen index’-code had, en voegde eraan toe dat het de code verwijderde na het Markup/CalMatters-rapport. 6sense was het enige bedrijf dat rapporteerde audits van derden te gebruiken om zowel de zichtbaarheid van opt-out-opties te beoordelen als of de verzoeken succesvol zijn verwerkt, aldus het rapport.
