In het filmpje dat bedoeld is als een zogenaamde 'viral' is te zien dat de gebruiker wordt doorgelicht door de Russische cybermaffia. In de video worden automatisch profielfoto's, naam, woonplaats en foto's van vrienden getoond. Het filmpje kan alleen bekeken worden als een gebruiker is ingelogd. Probleem is dat er ongevraagd informatie wordt gebruikt waarvan de gebruiker heeft aangegeven dat die alleen door hem of haar zelf te bekijken is.

'Had ik afgeschermd'

De zaak kwam aan het licht in de reacties op een artikel van Marketingfacts. "Die briljante campagne maakt anders wel gebruik van gegevens die ik in de privacy van mijn Hyvesprofiel voor iedereen heb afgeschermd (ingesteld op 'zichtbaar voor: niemand')", reageert Hyver 'floor'.

"Hyves schendt dus de privacy van haar gebruikers door een commerciële partij toegang te geven tot gegevens die een nadenkende gebuiker zelf heeft afgeschermd. Lekker dan, bij een campagne over privacy."

Api verkeerd ingesteld

Manager business development Yme Bosma van Hyves probeert vervolgens de zaak te sussen: "Niemand anders dan jij ziet deze informatie op Hyves. Deze informatie wordt alleen gebruikt om het filmpje leuker en relevanter voor je te maken, net zoals we bijvoorbeeld inwoners van Rotterdam geen Ajax-reclame tonen", legt hij uit. Toch zou die informatie gebruikt kunnen worden door derde partijen, in dit geval het reclamebureau dat die het filmpje rendert.

Bosma laat weten dat het mis ging bij de toegang die reclamebureau N=5, die de reclame maakte in opdracht van het ministerie van Justitie, kreeg tot de api. Het toegangstoken was verkeerd ingesteld. Daardoor kregen de servers van N=5 niet alleen de profielgegevens binnen waarvan de Hyver heeft aangegeven dat ze openbaar zijn of zichtbaar zijn voor andere Hyvers. De servers kregen dus ook gegevens doorgestuurd waarvan was aangegeven dat alleen vrienden of helemaal niemand ze mag zien.

Alleen reclamebureau had toegang

Bosma laat weten dat N=5 niets is aan te rekenen. De api was zo ingesteld dat er geen explicite toestemming aan Hyvers werd gevraagd voor het delen van privégegevens met het reclamebureau. "Overigens werden die gegevens alleen gedeeld met de betreffende Hyver, ze werden nooit zichtbaar voor iemand anders. Al gingen ze via de servers van een derde partij, wat bij die gegevens niet de bedoeling is zonder toestemming. Ze zijn ook niet toegankelijk voor een andere derde partij", aldus Bosma.

Een woordvoerder van het ministerie liet aan NRC Next weten dat de campagne "niet zo had moeten lopen".