Als u gegevensbeveiliging en privacy belangrijk vindt, wilt u er zeker over lezen FTC-schikking met ruby Corporation, ruby Life Inc. en ADL Media Inc. – het bedrijf dat AshleyMadison.com exploiteert.
AshleyMadison.com adverteert met een datingsite die “100% veilig en anoniem” is. Ze ondersteunen deze bewering door een ‘Trusted Security Award’-pictogram op te nemen en een afbeelding die aangeeft dat de website een ‘100% vertrouwelijke dienst’ is.
De website lokt je naar binnen met de belofte van “duizenden vrouwen” in jouw stad (en houd er rekening mee dat ongeveer 16 miljoen van de 19 miljoen profielen in de VS mannen zijn). Vervolgens gebruikten ze ‘betrokkenheidsprofielen’: nepprofielen gemaakt door personeel dat communiceerde alsof ze echte vrouwelijke gebruikers waren. Het bedrijf maakt deze profielen aan met behulp van informatie van leden die al lange tijd geen accountactiviteit hebben gehad. Vaak upgraden niet-betalende gebruikers hun lidmaatschappen naar volledige lidmaatschappen, zodat ze berichten kunnen sturen naar mensen waarvan zij denken dat ze echte gebruikers zijn, maar die nepprofielen blijken te zijn.
Voor gebruikers die zich zorgen maken dat anderen hun activiteiten op de website kennen, belooft de website dat u ‘uw digitale voetafdruk kunt wissen’. Voor $ 19 kun je ‘Full Wipe’ kopen, waarmee wordt beloofd al je informatie van AshleyMadison.com te wissen. We hebben het over informatie zoals: naam; relatiestatus; seksuele voorkeuren en gewenste ontmoetingen; gewenste activiteiten; Foto; en financiële informatie. Klinkt als informatie die niemand aan het publiek zou willen onthullen, toch?
In juli 2015 hackte een groep genaamd “The Impact Team” de computersystemen van Ashley Madison. De groep dreigde alle gebruikersinformatie van de website vrij te geven, tenzij Ashley Madison werd gesloten. Toen het bedrijf weigerde, publiceerde de groep de persoonlijke informatie van ongeveer 36 miljoen gebruikers. Dat is zeer persoonlijke informatie van veel mensen.
Het bevat zelfs informatie van mensen die hebben betaald voor ‘volledige verwijdering’. Het blijkt dat Ashley Madison persoonlijke gegevens tot twaalf maanden na ‘volledig verwijderen’ bewaart en er soms niet in slaagt profielen helemaal te verwijderen.
Hoe kan dit gebeuren? De FTC-klacht beschuldigt AshleyMadison.com ervan zich bezig te houden met verschillende praktijken die geen redelijke gegevensbeveiliging bieden, waaronder:
- Het niet hebben van een schriftelijk informatiebeveiligingsbeleid
- Het niet implementeren van redelijke toegangscontroles
- Het onvermogen om personeel adequaat op te leiden op het gebied van gegevensbeveiliging
- Het niet controleren van externe dienstverleners
Deze basisprincipes zijn allemaal uiteengezet in de FTC Begin met beveiliging gids.
De vijf rechtszaken die door de FTC zijn aangespannen, beweren fraude en oneerlijkheid. De fraudeaantallen omvatten: onjuiste voorstellingen dat het bedrijf redelijke stappen heeft ondernomen om ervoor te zorgen dat AshleyMadison.com veilig was; de foutieve interpretatie dat betrokkenheidsprofielen afkomstig zijn van echte vrouwen; onjuiste voorstelling van het verwijderen van een profiel; en onjuiste voorstellingen over gegevensbeveiligingszegels (je raadt het al: bedrijven die geen geschreven gegevensbeveiligingsbeleid hebben, ontvangen niet daadwerkelijk de “Trusted Security Award”). Ten slotte wordt in de klacht beweerd dat de oneerlijke beveiligingspraktijken van het bedrijf consumenten schade berokkenen of waarschijnlijk zullen schaden.
De schikking van de FTC met Ruby Corporation en haar dochterondernemingen verbiedt het bedrijf dergelijke verkeerde voorstellingen te geven. Het vereist ook dat ze een alomvattend informatiebeveiligingsprogramma onderhouden en halfjaarlijkse beoordelingen ondergaan.
En de FTC staat hierin niet alleen. De FTC-schikking werd uitgevoerd in samenwerking met dertien staten en het District of Columbia. De FTC kreeg ook hulp van haar internationale partners in Canada en Australië. Gebaseerd op een gezamenlijk onderzoekHet Office of the Privacy Commissioner of Canada hield een nakoming overeenkomst en het Office of the Australian Information Commissioner ondertekenden een werkzaamheden die uitgevoerd kunnen worden met de in Toronto gevestigde Ruby Corporation. De overeenkomst richt zich op corrigerende maatregelen om het gegevensbeveiligings- en gegevensbewaarbeleid van het bedrijf te verbeteren.
Welke lessen kunnen we trekken uit de Ashley Madison-zaak? Het bedrijfsleven moet zijn beloften nakomen. En als u gevoelige persoonlijke informatie verzamelt, moet u deze beschermen.
Voor meer informatie over hoe u dit kunt doen, gaat u naar Persoonlijke informatie beschermen: een gids voor bedrijven En Begin met beveiliging: een gids voor bedrijven. En voor meer nalevingsbronnen gaat u naar het Business Center Privacy- en beveiligingsportaal.
