AggregateIQ, een Canadees databedrijf met links naar het inmiddels gesloten Cambridge Analytica, had niet de juiste toestemming om op Facebook advertentiecampagnes uit te voeren voor Vote Leave, een pro-Brexit-organisatie, vindt een nieuw rapport.
De directeur van Vote Leave, Dominic Cummings, die de Britse premier Boris Johnson adviseerde voordat hij aftrad voorafgaand aan de verkiezingen van 12 december, schreef in 2017 dat datawetenschap essentieel was voor het winnen van het Brexit-referendum en legde 98 procent van zijn marketingbudget op bijna een miljard gerichte digitale advertenties.
Het rapport, van de Information and Privacy Commissioner voor British Columbia en de Privacy Commissioner van Canada, stelt vast dat "voor de meeste campagnes" AggregateIQ ofwel niet voldoende toestemming had van Facebook-gebruikers om hen te targeten met advertenties, of 'niet wist hoe, of of "individuen hadden ingestemd met het gebruik van hun persoonlijke informatie.
Dat omvat directe reclame voor Facebook-gebruikers of het gebruik van demografische gegevens die door Facebook zijn verzameld en die kunnen worden gebruikt om andere soortgelijke gebruikers te lokaliseren en te targeten.
AggregateIQ heeft de gegevens die het misbruikt ook niet goed beveiligd, stelt het rapport van de commissarissen.
Een datalek dat ongeautoriseerde toegang mogelijk maakte tot een onbeveiligde GitLab-opslagplaats met "substantiële persoonlijke informatie", waaronder coderingssleutels en inloggegevens voor 35 miljoen mensen, werd in gevaar gebracht.
Het bedrijf gebruikte ook telefoonnummers om sms-berichten te sturen namens BeLeave, een andere campagnegroep die is aangesloten bij Vote Leave, maar die campagne bleek voldoende de toestemming van individuen te hebben verzameld voordat ze hun informatie gebruikten.
Buiten het VK bleek uit het onderzoek dat AggregateIQ niet de juiste toestemming van Facebook-gebruikers kreeg met betrekking tot het werk dat het deed voor SCL, een Brits onderzoeks- en strategisch communicatiebedrijf dat eigenaar was van Cambridge Analytica als dochteronderneming.
SCL ondersteunde een aantal Amerikaanse politieke campagnes, waaronder een aantal bij de tussentijdse verkiezingen van 2014 en een politiek actiecomité, waarbij psychografische profielen werden opgesteld op basis van persoonlijke informatie die door Facebook aan Cambridge Analytica werd bekendgemaakt.
AggregateIQ "heeft echter niet geprobeerd vast te stellen of er toestemming was waarop het kon vertrouwen voor het gebruik en de openbaarmaking van persoonlijke informatie."
Aanbevolen door onze redacteuren
Naar aanleiding van het rapport hebben de commissarissen een aantal aanbevelingen voor AggregateIQ.
Deze omvatten onder meer ervoor zorgen dat er uitdrukkelijke toestemming is, in plaats van impliciet, van gebruikers bij het verzamelen van gegevens, het nemen van "redelijke beveiligingsmaatregelen" en het verwijderen van de gegevens wanneer het niet langer nodig of wettelijk is om te bewaren.
AggregateIQ heeft naar verluidt ingestemd met het implementeren van deze aanbevelingen en heeft een beëdigde verklaring ondertekend waarin staat dat het de verzamelde persoonlijke informatie heeft verwijderd.
Het verzamelen en gebruiken van persoonlijke gegevens van personen op Facebook voor verkiezingscampagnes is controversieel gebleven sinds het Cambridge Analytica-schandaal voor het eerst werd gemeld.
Onlangs is Mark Zuckerberg bekritiseerd nadat hij beweerde dat gebruikers microtarget kunnen zijn met valse of misleidende informatie bij de komende verkiezingen in de VS en het VK, omdat Facebook advertenties van politici niet wil controleren op feiten.