Apollo.io een waarschijnlijke AVG/GDPR case

De lezer van ISP Today heeft als het goed is dit weekend via Troy Hunt of the Wired meegekregen dat Apollo.io afgelopen zomer te maken heeft gehad met een datalek. Het zou daarbij gaan om ongeveer 200 miljoen records. Dat maakt het niet het grootste datalek, maar de business van Apollo is opeens duidelijk geworden en die kan onmogelijk AVG/GDPR compliant zijn.

Apollo claimt data uit openbare bronnen te vergaren, combineren en verrijken. Daarmee kunnen de klanten beter zich krijgen met wie ze zaken doen en wie ze gerichter kunnen spammen, benaderen. In de VS is dat deels legale business. Dus als de 200 miljoen records alleen betrekking zouden hebben op Amerikanen is er voor ons in de EU weinig aan de hand.

ISP Today zou er dan ook weinig aandacht aan besteden. Dat we dat wel doen komt omdat Apollo.io niet alleen de persoonsgegevens van Amerikanen heeft gescraped en verrijkt. Tal van EU burgers hebben inmiddels als via Twitter en andere kanalen aangegeven zich te hebben teruggevonden in de Have I been Pwned database van Troy Hunt. Dat belooft weinig goeds voor Apollo.io. Het verschijnsel “uit openbare bron scrapen, vergaren” is namelijk iets dat onder de TW al niet meer klakkeloos was toegestaan. Er is expliciete toestemming nodig. Wat helemaal niet kan is die data verrijken en aan derden ter beschikking stellen. De eerste ondubbelzinnige verzoeken om opheldering zijn dan ook al bij Apollo.io, dat tot vorige week redelijk onbekend was, binnengekomen.

Die verzoeken om opheldering hebben een heel venijnige stok achter de deur en dat is de AVG/GDPR. Er is weinig fantasie voor nodig om te zien dat we hier een eerste case kunnen krijgen waarbij schimmige Amerikaanse ondernemers te maken gaan krijgen met de boetebesluiten van toezichthouders in de EU. Tegelijkertijd moet dit incident als een reminder worden gelezen: scrapen van wat jij openbare data noemt, of het gebruik van data waarvan de herkomst duister is, is een risico.

Een risico waar je niet te makkelijk over heen moet stappen. Tenzij je net als Apollo.io door het gros van de tech journalisten, privacy specialisten en security deskundigen genoemd en benaderd wil worden.