De Ierse privacytoezichthouder DPC heeft Facebook om opheldering gevraagd over het recente datalek waarbij de persoonsgegevens van 533 miljoen gebruikers op straat kwamen te liggen. Volgens de Data Protection Commission (DPC) lijkt de data al enige tijd geleden te zijn gescrapet van openbare Facebookprofielen.

In 2018 en 2019 zijn er eerder datasets met gescrapete informatie gepubliceerd. Facebook claimt dat die data tussen 2017 en april 2018 is verzameld, toen het een kwetsbaarheid in de feature verhielp voor het zoeken van gebruikers op basis van telefoonnummer. Omdat het scrapen plaatsvond voordat de AVG van kracht werd, besloot Facebook dit niet als een datalek onder de AVG te rapporteren, zo meldt de Ierse privacytoezichthouder.

De vorige week gepubliceerde dataset met de gegevens van 533 miljoen gebruikers lijkt volgens de DPC te bestaan uit de originele dataset uit 2018 gecombineerd met aanvullende gegevens, die mogelijk van een latere periode zijn. Naar aanleiding van het datalek heeft de toezichthouder Facebook om opheldering gevraagd. Facebook blijkt de DPC niet proactief zelf te hebben benaderd.

In een verklaring aan de DPC stelt het bedrijf dat het lijkt te gaan om gegevens die door derde partijen zijn verzameld en mogelijk van meerdere bronnen afkomstig zijn. Facebook laat verder weten dat er dan ook een uitgebreid onderzoek is vereist om gebruikers en de toezichthouder meer informatie te geven. Ook de Russische telecomwaakhond Roskomnadzor heeft Facebook inmiddels om opheldering gevraagd.