De FTC herinnert ons aan het recht om vergeten te worden

Door Danny Bradbury • 21 November 2024

'Het internet vergeet nooit' is een waarschuwing dat wat u online doet, u later nog kan achtervolgen. Het is ook een gemeenschappelijke mythe, aangezien content vaak verdwijnt, per ongeluk of expres. Probeer gewoon eens toegang te krijgen tot die online discussieforums die u in 1998 las. Of decennia van MTV Nieuws.

In sommige gevallen willen mensen misschien dat hun digitale informatie verdwijnt, vooral als deze wordt gehost door bedrijven die ze niet meer vertrouwen. De FTC maakte dat in oktober iets makkelijker toen het vestigde een zaak met Marriott International. Die schikking stelt consumenten in staat om te eisen dat Marriott International hun gegevens verwijdert. Zou dit een precedent kunnen scheppen in de VS waar Europese consumenten al jaren van genieten?

Toen criminelen miljoenen gegevens incheckten en controleerden

In 2018 onthulde Marriott dat indringers het reserveringssysteem van dochteronderneming Starwood Hotels & Resorts hadden gecompromitteerd. Bij twee inbreuken stalen ze 339 miljoen klantgegevens van Starwood, waaronder creditcardgegevens en paspoortnummers.

De aanvallen begonnen in 2014, voordat Marriott Starwood overnam. Toen Marriott de inbreuk twee jaar na de overname in 2016 ontdekte, had het Starwood nog steeds niet overgezet naar zijn eigen reserveringssysteem. Vervolgens vond er tussen 2018 en 2020 een derde inbreuk plaats, ditmaal met betrekking tot Marriotts eigen systemen. Bij die inbreuk werden nog eens 5.2 miljoen klantgegevens gestolen, voornamelijk om hun loyaliteitspunten te stelen.

De klacht van de FTC tegen Marriott richt zich op twee dingen. De eerste is het vermeende falen om passende veiligheidsmaatregelen te treffen, waaronder wachtwoordcontroles, softwarepatches en netwerkregistratie. De tweede is wat de FTC beschouwt als misleiding van consumenten door misleidende beveiligingsverklaringen.

Wat de FTC niet expliciet in detail beschrijft in zijn klacht is Marriott's U-turn over zijn encryptieclaims. De hotelier zei destijds dat de creditcardnummers en sommige paspoortgegevens in de Starwood-inbreuk waren gecodeerd met AES-128, een krachtig encryptieprotocol. In een juridische hoorzitting op 10 april dit jaar, gebleken dat het was in feite verwerkt met behulp van het SHA-1 hashing-algoritme. Niet alleen is dit geen encryptiemechanisme, maar beveiligingsonderzoekers hebben ook kwetsbaarheden in SHA-1 blootgelegd, al sinds 2005. De NSA heeft het nu helemaal buiten gebruik gesteld.

Consumenten kunnen binnenkort hun Marriott-gegevens verwijderen

Marriott stemde in met een forse betaling van $ 52 miljoen in een aparte schikking met 50 procureurs-generaal. Dit is goed voor 0.8% van de omzet of iets meer dan drie dagen inkomsten, of, anders gezegd, ongeveer 15 cent per getroffen consument.

Misschien was een substantiëlere uitkomst voor de echte slachtoffers van de inbreuk op Marriott de overeenkomst van de hotelketen met zowel de staten als de FTC dat het klanten zou toestaan hun persoonlijke informatie uit zijn systemen te verwijderen. Marriott moet een knop op zijn website plaatsen waarmee klanten deze gegevensverwijdering kunnen aanvragen. Het moet vervolgens de ontvangst bevestigen en het proces voor gegevensverwijdering binnen 60 dagen na elk verzoek uitleggen.

Dit is niet de eerste keer dat de FTC verzoeken om gegevensverwijdering indient als onderdeel van haar schikkingen. In oktober 2022 schikte de Commissie met onderwijstechnologieprovider Chegg vanwege vermeende tekortkomingen op het gebied van cyberbeveiliging, en de overeenkomst omvatte een bevel aan het bedrijf om consumenten hun gegevens te laten verwijderen. Een schikking met marketingbedrijf InMarket heeft in mei van dit jaar ook een eis gesteld aan het bedrijf om alle locatiegegevens van klanten te verwijderen op verzoek van de klant.

In een analyse van de Marriott-zaak, Jim Dempsey, managing director van het IAPP Cybersecurity Law Center, zegt dat de Marriott-schikking iets nieuws bevat. "Het was de eerste keer dat de FTC van een bedrijf dat een beveiligingsinbreuk had geleden, eiste dat het alle klanten een link zou verstrekken om te verzoeken om verwijdering van persoonlijke informatie die is gekoppeld aan een e-mailadres en/of een accountnummer van een loyaliteitsprogramma", zei hij.

Verspreiding van de vereisten voor het verwijderen van consumentengegevens

Deze bepalingen voor het verwijderen van gegevens kunnen wijdverspreider worden. De VS heeft geen federale privacywet. Er zijn echter al veel wetten op staatsniveau voor het verwijderen van gegevens van kracht of staan op het punt van kracht te worden. Bedrijven in Californië, Colorado, Connecticut, Utah en Virginia moeten nu consumentengegevens op verzoek verwijderen, terwijl soortgelijke wetten in Iowa en Nebraska in januari volgend jaar van kracht worden. Er zijn er nog meer in de maak.

In Europa zijn bedrijven hier al langer mee bezig. De Algemene Verordening Gegevensbescherming (AVG), die in 2018 van kracht werd, heeft consumenten het recht gegeven om gegevens te verwijderen.

Dit alles betekent dat de nieuwste en meest agressieve right-to-delete-regeling van de FTC waarschijnlijk niet de laatste zal zijn. Met een nieuwe, grotendeels anti-reguleringsregering op komst, is het onduidelijk of het Congres binnenkort een overkoepelende federale right-to-delete-wet zal aannemen. Echter, naarmate de steun op staatsniveau voor right-to-delete-maatregelen groeit, geeft het de FTC meer houvast om dit concept te gebruiken in schikkingen met bedrijven.

Hoe voor te bereiden

Het is belangrijk dat organisaties die denken dat ze getroffen kunnen worden door verzoeken tot verwijdering van gegevens, zich hierop voorbereiden. Dit heeft zowel juridische als technische aspecten. Om hun verantwoordelijkheid te begrijpen met betrekking tot een binnenkomend verzoek tot verwijdering, moeten de specifieke kenmerken van die gegevens worden beoordeeld op basis van de reikwijdte van de regel, of dat nu een wettelijke regeling, een staatswet of een regionale regeling is. Dit omvat het begrijpen of het doel van het bewaren van de gegevens is vrijgesteld onder de regel en of u de gegevens nodig hebt om een contract met het individu na te komen.

Als u de gegevens moet verwijderen, betekent dat dat u de betreffende informatie moet identificeren en verzamelen, vaak uit meerdere systemen. Het creëren van een data governance-strategie die dit ondersteunt, kan het gebruik van technologie omvatten om de gegevens op verzoek te taggen en te lokaliseren en vervolgens verwijderingsrecords te maken om rapportage te automatiseren.

Hoe meer rechten consumenten krijgen om hun data te verwijderen, hoe meer het vertrouwen in een online ecosysteem dat hen ernstig in de steek heeft gelaten, kan worden hersteld. Bedrijven die zich nu op deze eventualiteit voorbereiden, zullen meer doen dan ervoor zorgen dat ze aan die specifieke regel kunnen voldoen; ze zullen data governance op een hoger niveau brengen in een wereld die het hard nodig heeft.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury