Dit verbaast me niets.
Ten eerste heeft Facebook al vaker aangevoerd dat ze niet in staat zijn om alle gegevens die ze over iemand hebben vastgelegd op te hoesten. Voor Max Schrems zijn acties begon heeft hij eerst opgevraagd wat ze over hem hadden vastgelegd, daar een PDF van 1200 pagina’s voor teruggekregen, en bij bestudering van die PDF concludeerde dat die niet alles verklaarde wat hij had meegemaakt en dat er dus meer moest zijn. Als ik me goed herinner heeft hij, toen hij de ontbrekende gegevens opvroeg, ze niet gekregen omdat het bedrijfsgeheimen zou blootleggen en omdat het disproportioneel belastend zou zijn voor Facebook omdat dit erg moeilijk uit te zoeken was. Met dat laatste zeiden ze toen dus ook al dat ze zelf niet wisten wat ze over mensen weten.
Ten tweede is “move fast and break things” lange tijd hun manier van werken geweest, en hoewel ze daar formeel mee zijn gestopt heb ik meer dan eens uit hun uitingen de indruk gekregen dat het nog stevig in hun bedrijfscultuur verankerd is. Als je zo systemen bouwt dan krijg je een geheel dat ondoordacht is, en steeds chaotischer en complexer wordt. Op een gegeven moment heeft niet alleen niemand er meer overzicht over, maar is het voor wie dan ook ondoenlijk overzicht ooit nog op te bouwen.
Het klopt met de mededeling dat de code de documentatie is. Dat is documentatie op detailniveau. Als er niet is ontwikkeld in termen van grote, overkoepelende structuren, dan ligt het voor de hand dat die structuren er niet zijn of dat ze rudimentair zijn en aan alle kanten rammelen; dan is er gewoon onvoldoende op dat niveau nagedacht. Het kan tientallen jaren kosten om zoiets te ontwarren, als dat al lukt.
Ik kan me dus werkelijk voorstellen dat ze dit niet kunnen. Dat vind ik absoluut geen excuus. Als je jezelf in een hoek schildert dan is niemand anders dan jij zelf verantwoordelijk voor het feit dat je daar niet op een leuke manier uit kan komen. Ze hebben een ongelofelijke rijkdom én macht opgebouwd met doorbeuken zonder hun troep op te ruimen. Als ze zichzelf in een positie hebben gebracht die niet vol te houden is dan is het hun eigen schuld en volledig hun eigen verantwoordelijkheid.
Ik zou het heel gezond vinden als ze heel stevig op hun bek zouden gaan. Niet alleen in deze zaak zelf. Als in deze zaak wordt vastgesteld dat ze ze niet overzien welke persoonsgegevens ze verwerken en waar ze die opslaan dan voldoen ze per definitie niet aan de AVG. Wat in deze zaak gezegd wordt zou in de EU vergaande consequenties moeten krijgen.
Bron: Security.nl