De Californische privacytoezichthouder heeft een gegevensmakelaar uit Texas een boete van 45.000 dollar opgelegd en hem verboden om persoonlijke gegevens van Californiërs te verkopen, nadat hij gegevens van Alzheimerpatiënten had verkocht. Het Texaanse bedrijf Rickenbacher Data LLC, dat onder de naam Datamasters actief is, kocht en verkocht de namen, adressen, telefoonnummers en e-mailadressen van mensen met ernstige gezondheidsproblemen, aldus de California Privacy Agency (CPPA).
In het definitieve besluit van de CPPA tegen Datamasters staat dat het bedrijf een database bijhield met 435.245 postadressen van Alzheimerpatiënten. Maar daar bleef het niet bij. Ook waren er gegevens beschikbaar van 2.317.141 blinde of slechtziende mensen en 133.142 verslaafden. Daarnaast verkocht het bedrijf gegevens van 857.449 mensen met blaasproblemen.
Gezondheidsgerelateerde gegevens waren niet de enige categorie waarin Datamasters handelde. Het bedrijf verkocht ook informatie over etniciteit, waaronder zogenaamde 'Hispanic-lijsten' met meer dan 20 miljoen namen, evenals op leeftijd gebaseerde 'seniorenlijsten' en indicatoren van financiële kwetsbaarheid. Zo verkocht het bijvoorbeeld gegevens van mensen met hypotheken met een hoge rente.
En als kopers gegevens wilden over andere mogelijke kenmerken en acties van klanten, zoals wie waarschijnlijk liberaal was en wie rechts, dan kon dat ook, dankzij 3.370 'Consumer Predictor Models' die betrekking hadden op automobielvoorkeuren, financiële activiteiten, mediagebruik, politieke voorkeur en non-profitactiviteiten.
Datamasters biedt de mogelijkheid om gegevens uit zijn nationale consumentendatabase, die volgens het bedrijf 114 miljoen huishoudens en 231 miljoen personen omvat, rechtstreeks aan te kopen. Klanten kunnen ook updates op basis van een abonnement kopen.
De Californische toezichthouders zijn een onderzoek gestart naar Datamasters nadat ze ontdekten dat het bedrijf zich niet had geregistreerd als gegevensmakelaar in de staat, zoals vereist onder de Californische Delete Act. De wet verplicht gegevensmakelaars om zich sinds 31 januari 2025 te registreren.
Het bedrijf ontkende aanvankelijk dat het zaken deed in Californië of gegevens over Californiërs had. Die bewering stortte echter in toen toezichthouders op de website een Excel-spreadsheet vonden met 204.218 gegevens van Californische studenten.
Datamasters zei eerst dat het zijn nationale database niet had gescreend om de gegevens van Californiërs te verwijderen. Nadat het een advocaat had ingeschakeld, veranderde het zijn verhaal en beweerde het dat het Californiërs wel degelijk uit de dataset had gefilterd. Dat overtuigde de CPPA echter niet.
De toezichthouder erkende dat Datamasters wel degelijk heeft geprobeerd om te voldoen aan de Californische privacywetgeving, maar dat het
"niet over voldoende schriftelijke beleidsregels en procedures beschikte om naleving van de Delete Act te waarborgen."
Bij de boete die aan Datamasters is opgelegd, is ook rekening gehouden met het feit dat het bedrijf zich niet had geregistreerd in het register voor gegevensmakelaars van de staat. Gegevensmakelaars die zich niet registreren, zijn een boete van 200 dollar per dag verschuldigd, en als ze consumentengegevens niet verwijderen, krijgen ze een boete van 200 dollar per consument per dag.
Vanaf 1 januari 2028 zullen ook in Californië geregistreerde gegevensmakelaars verplicht zijn om elke drie jaar onafhankelijke compliance-audits door derden te ondergaan.
Waarom het verkopen van extra gevoelige klantgegevens zo gevaarlijk is
"De geschiedenis leert ons dat bepaalde soorten lijsten gevaarlijk kunnen zijn."
Michael Macko, hoofd handhaving van de CPPA, wees hierop.
Onderzoek heeft aangetoond dat Alzheimerpatiënten bijzonder kwetsbaar zijn voor financiële uitbuiting. Als u denkt dat oplichters niet op zoek zijn naar dergelijke lijsten, denk dan nog eens goed na; er is gebleken dat criminelen in het verleden toegang hebben gehad tot gegevens van ten minste drie gegevensmakelaars. Hoewel er geen aanwijzingen zijn dat Datamasters bewust gegevens aan oplichters heeft verkocht, lijkt het gemakkelijk te zijn om lijsten van gegevensmakelaars te kopen.
Je hoeft ook geen doctorstitel te hebben om te begrijpen waarom veel van deze gegevens (die, laten we niet vergeten, door het bedrijf over mensen in het hele land worden bijgehouden) in het huidige politieke klimaat in de VS bijzonder gevoelig kunnen liggen.
Er speelt hier ook een bredere privacykwestie. Hoewel veel Amerikanen ervan uitgaan dat de federale Health Insurance Portability and Accountability Act (HIPAA) hun gezondheidsgegevens beschermt, geldt deze wet alleen voor zorgverleners. Verbazingwekkend genoeg vallen gegevensmakelaars buiten het toepassingsgebied van deze wet.
Wat kunt u doen om uzelf te beschermen?
Uw eerste aanspreekpunt moet de wetgeving inzake gegevensbescherming van uw staat zijn. Californië heeft dit jaar het Data Request and Opt-out Platform (DROP) -systeem geïntroduceerd in het kader van de Delete Act. Het is een opt-out-systeem waarmee inwoners van Californië alle gegevensmakelaars in het register kunnen vragen om hun gegevens te verwijderen.
Als u niet in een staat woont waar gevoelige gegevens serieus worden genomen, zijn uw opties beperkter. U kunt verhuizen, bijvoorbeeld naar Europa, waar de privacybescherming aanzienlijk sterker is.
We rapporteren niet alleen over gegevensprivacy - we helpen u uw persoonlijke informatie u
Cyberbeveiligingsrisico's mogen nooit verder reiken dan een krantenkop. Met Malwarebytes Personal Data Removeru scannen om erachter te komen welke sites uw persoonlijke gegevens blootstellen en vervolgens die gevoelige gegevens van het internet verwijderen.
