Een onderzoek door de Ierse gegevensbeschermingscommissie (DPC) wees uit dat LinkedIn gehashte e-mailadressen van ongeveer 18 miljoen niet-LinkedIn-leden had verwerkt en deze personen op Facebook had gericht zonder de nodige toestemming, zo blijkt uit een nieuw rapport..
Het onderzoek had betrekking op de activiteiten van het professionele netwerkplatform van Microsoft in de eerste zes maanden van 2018. Het is nog steeds niet duidelijk hoe LinkedIn aan die 18 miljoen e-mailadressen kwam..
In zijn rapport dat op vrijdag werd gepubliceerd, zei DPC dat het zijn audit van LinkedIn Ireland Unlimited Company (LinkedIn) met betrekking tot de verwerking van persoonsgegevens had afgerond na een onderzoek naar een klacht die door een niet-LinkedIn-gebruiker aan de DPC was gemeld..
De klacht had betrekking op het verkrijgen en gebruiken van het e-mailadres van de klager door LinkedIn voor gerichte advertenties op Facebook.
Uit het onderzoek bleek dat LinkedIn Corporation in de VS niet de vereiste toestemming had van de gegevensbeheerder - LinkedIn Ierland - om gehashte e-mailadressen van 18 miljoen niet-LinkedIn-leden te verwerken.
De klacht werd uiteindelijk "in der minne opgelost", waarbij LinkedIn een aantal onmiddellijke maatregelen nam om de verwerking van gebruikersgegevens voor de doeleinden die aanleiding gaven tot de klacht, stop te zetten, aldus DPC in haar rapport..
De instantie was echter "bezorgd over de bredere systemische problemen die in zijn rapport werden geïdentificeerd" en voerde een tweede audit uit om te zien of LinkedIn over adequate "technische beveiligings- en organisatorische maatregelen" beschikte.
DPC ontdekte dat de site "bezig was met de voorberekening van een voorgesteld professioneel netwerk voor niet-LinkedIn-leden" en beval hen om de bijbehorende gegevens die bestonden vóór 25 mei van dit jaar, de dag waarop de Algemene Verordening Gegevensbescherming (AVG) in werking getreden.
"We waarderen het onderzoek van de DPC in 2017 naar een klacht over een reclamecampagne en hebben volledig meegewerkt", vertelde Denis Kelleher, hoofd Privacy, Europa, het Midden-Oosten en Afrika, voor LinkedIn, aan TechCrunch in een verklaring.
“Helaas zijn de sterke processen en procedures die we hebben niet gevolgd en dat spijt ons. We hebben passende maatregelen genomen en de manier waarop we werken verbeterd om ervoor te zorgen dat dit niet meer gebeurt, ”zei Kelleher.
Zoals TechCrunch aangaf, kreeg LinkedIn in dit proces geen boete omdat de toezichthouder tot de implementatie van de AVG eind mei geen bevoegdheid had om boetes af te dwingen..