In een mail die per ongeluk terechtkwam bij een Belgische journalist, zegt Facebook dat het datalek van 533 miljoen adressen waarschijnlijk niet het laatste zal zijn. “Op langere termijn moeten we dit framen als een brancheprobleem en normaliseren dat dit gebeurt”, staat in de uitgelekte interne e-mail.

Eerder deze maand werd bekend dat ruim 530 miljoen Facebook-profielen zijn gelekt en voor de hoogste bieder te koop werden aangeboden op een hackersforum (zie ook ons bericht Ligt ook jouw Facebookpriel op straat?) Sindsdien ligt het social-mediabedrijf onder vuur en doet de privacywaakhond van de Europese Unie onderzoek maar het datalek. Facebook beweert dat het ‘scrapen’ van de profielen al in 2019 gebeurde en dat het lek daarna gedicht is.

‘Dit gebeurt nu eenmaal’
Naar nu onbedoeld bekend is geworden, denkt Facebook dat nieuwe datalekken onvermijdelijk zijn en dus ook in de toekomst opnieuw plaats zullen vinden. Het bedrijf wil er ook voor zorgen dat het publiek zo’n datalek als ‘normaal’ gaat beschouwen en als iets dat ‘nou eenmaal gebeurt in de tech-industrie’, zodat Facebook er niet iedere keer op hoeft te reageren.
Dit staat te lezen in een interne e-mail, die per ongeluk ook verzonden is aan de journalist Pieterjan van Leemputten van het Belgische Data News. In de mail van een communicatiemanager aan Facebooks pr-medewerkers in de EMEA-landen blijkt dat er een doelbewuste strategie is om het datalek-probleem te bagatelliseren.

Van Leemputten citeert uit de e-mail: “Op lange termijn verwachten we meer scraping-incidenten en het is belangrijk om dit als een sectorprobleem te framen en te normaliseren dat dit regelmatig gebeurt. Hiertoe stelt het team een follow-up blog in de komende weken voor, die breder praat over ons anti-scraping werk en meer transparantie biedt rond het werk dat we hier doen. Ook al benoemen we hier dan de scraping-activiteiten, we hopen dat dit helpt het feit te normaliseren dat dit ‘aan de hand’ is en kunnen we kritiek vermijden dat we niet transparant zouden zijn over specifieke incidenten.”

Verwachtingsmanagement
Het datalek bij Facebook is een serieuze kwestie: de profielen bevatten namen, geboortedata en telefoonnummers en maken gebruikers extra kwetsbaar voor phishing-pogingen via telefoon, sms en berichtenapps. Het gelekte mailtje van Facebook wijst er echter op dat Facebook in plaats van het boetekleed aan te trekken en zijn databeveiliging te verbeteren, vooral werkt aan het verwachtingsmanagement van zijn gebruikers. Tsja, mensen, jullie data zijn niet veilig, wen er maar aan… De datalekken bij de GGD en twee weken geleden nog bij Linkedin lijken Facebook daarin wel gelijk te geven.

De vraag is echter of de EU er ook zo over denkt. De Ierse privacywaakhond DPC onderzoekt of Facebook als ‘gegevensverwerker’ zich aan de AVG-regels heeft gehouden, onder andere door het datalek te melden bij zijn gebruikers en de autoriteiten zodra het bij het bedrijf zelf bekend was. Zo niet, dan zullen er hoge boetes volgen, of het ‘data-scrapen’ nu een branche-breed probleem is of niet.