Meta krijgt Europese privacyboete van 390 miljoen euro voor gerichte advertenties
Meta heeft van de Ierse privacytoezichthouder een boete van 390 miljoen euro opgelegd gekregen wegens gerichte advertenties op Facebook en Instagram. Ook moet het Amerikaanse techbedrijf de manier veranderen waarop het toestemming vraagt voor gerichte advertenties. De huidige manier waarop Facebook en Instagram gepersonaliseerde advertenties aan gebruikers laten zien is namelijk in strijd met de AVG. Dat melden de DPC en privacyorganisatie noyb, dat tegen Meta meerdere klachten indiende. Een uitspraak over WhatsApp wordt later deze maand verwacht.
Gerichte advertenties leveren bedrijven zoals Meta zeer veel geld op. Ze mogen echter niet zonder toestemming van de betreffende gebruikers worden getoond, aangezien hiervoor persoonlijke informatie wordt verwerkt. Toen de AVG in mei 2018 van kracht werd dacht Meta deze vereiste te kunnen omzeilen door een bepaling aan de algemene voorwaarden toe te voegen, waardoor gebruikers bij het accepteren van de voorwaarden ook automatisch akkoord gingen met gerichte advertenties.
Noyb, opgericht door de bekende privacyactivist Max Schrems, diende dezelfde maand nog bij verschillende Europese privacytoezichthouders een klacht in. Aangezien Meta het hoofdkantoor in Ierland heeft leidde de Ierse privacytoezichthouder DPC het onderzoek. De DPC nam ruim vier jaar de tijd voor het onderzoek en koos daarbij in eerste instantie de kant van Meta. De Ierse toezichthouder werd eind vorig jaar door de Europese privacytoezichthouders, verenigd in de EDPB, teruggefloten.
De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG). Die oordeelden dat de AVG het niet toestaat dat de platformen van Meta, zoals Facebook en Instagram, hun algemene voorwaarden gebruiken als rechtvaardiging voor het verzamelen van persoonlijke gegevens voor het tonen van gerichte advertenties.
Noyb en de DPC laten vandaag weten dat Meta een boete heeft gekregen van 390 miljoen euro. 210 miljoen euro voor AVG-overtredingen door Facebook en 180 miljoen euro voor AVG-overtredingen door Instagram. De Ierse privacytoezichthouder was eerst van plan om een boete van 32 miljoen euro op te leggen, maar dat vonden de andere Europese toezichthouders te laag. Het is niet voor het eerst dat de DPC wordt teruggefloten vanwege de lage boetes die het wil opleggen. Dat gebeurde eerder ook al met boetes voor Instagram en WhatsApp. Veel Amerikaanse bedrijven hebben in Ierland hun hoofdkantoor. De DPC wordt geregeld verweten op de hand van techbedrijven te zijn, iets dat het zelf ontkent.
Verder moet Meta nu "opt-in" toestemming van gebruikers krijgen voor het tonen van gerichte advertenties. Iets dat het door middel van een "ja/nee" optie moet doen. Dit moet binnen drie maanden zijn gerealiseerd. "Het boetebedrag gaat naar Ierland, het land dat de kant van Meta koos en handhaving meer dan vier jaar vertraagde. Waarschijnlijk gaat Meta in hoger beroep, wat voor meer kosten voor noyb zal zorgen", stelt Schrems.
De privacyactivist noemt het zielig dat de DPC nu beweert dat de andere toezichthouders het min of meer eens waren en er alleen wat kleine aanpassingen waren vereist. "De kern van het probleem was dat Meta meer dan vier jaar illegaal gebruikersgegevens heeft verwerkt, de DPC Meta beschermde en op EU-niveau is weggestemd", aldus Schrems. Hij spreekt verder van een gigantische klap voor de inkomsten van Meta in de EU, alsmede van een grote klap voor de DPC, dat weer door de EDPB op zijn plek is gezet.
Update
Meta zegt teleurgesteld te zijn in het oordeel en is van plan om beroep aan te tekenen, zo laat het techbedrijf in een reactie weten.
https://www.rtlnieuws.nl/tech/artikel/5357277/meta-facebook-whatsapp-instagram-boete-privacy
Zijn wel de meest recente boetes, niet alle.
Wat ik al vaker schreef: de boetes zijn een factor 10 tot 100 te laag. Doe eens 4 miljard. Dat risico wordt ze te groot...
Door de jaren heen is er bericht na bericht na bericht geweest over dingen die bij Facebook (voor ze zich Meta gingen noemen) misgingen waarbij de reacties die het bedrijf gaf keer op keer aangaven dat ze de Europese privacyregels volkomen anders begrepen dan Europeanen dat doen.
En dit is daar weer een voorbeeld van, het is namelijk evident dat je de AVG-vereiste van toestemming specifiek voor de betreffende dataverwerking niet kan omzeilen door iets in de algemene voorwaarden op te nemen. Los van de wettekst zelf is dat in alle voorlichting over de AVG veelvuldig en heel expliciet gepubliceerd. Als een bedrijf van het kaliber van Facebook/Meta dat niet begrepen heeft dan heeft het er bewust voor gekozen om het maar liever niet te begrijpen. Ik kan me althans niet voorstellen dat hun juristen ze dit niet verteld hebben — en als ze die juristen niet hebben of niet hierover raadplegen zijn ze grof nalatig. En de Ierse toezichthouder faciliteerde dit kennelijk tot de toezichthouders van andere EU-landen dat aanpakten.
Het lijkt er overigens op dat Meta niet aan de AVG kan voldoen, zelfs als ze zouden willen. Enige tijd geleden lekte er een document uit waarin beschreven wordt dat ze hun systemen altijd met "open grenzen" hebben gebouwd: data die verzameld is stroomt vrijelijk naar alle Facebook-systemen. Het document meldt dat hun "ads model" 15.000 "features" heeft, en ze lichten er één zo'n "feature" uit: "user_home_city_moved". Om dat gegeven te produceren worden maar liefst ±6.000 databasetabellen geraadpleegd. Alles hangt aan alles, dit is een kluwen van een onvoorstelbare complexiteit die geen mens, hoe intelligent ook, kan overzien. Dat is wat je krijgt als "move fast and break things" vele jaren lang je werkwijze is, als je toevoegt en toevoegt en toevoegt zonder ooit eens te stoppen om de troep op te ruimen door wat je hebt goed te structureren en wat overbodig is te verwijderen. Dan krijg je chaos.
https://www.vice.com/en/article/akvmke/facebook-doesnt-know-what-it-does-with-your-data-or-where-it-goes (lees ook het gelekte document waar dat artikel naar linkt)
De AVG eist dat een verwerkingsverantwoordelijke aan betrokkenen kan vertellen welke persoonsgegevens worden verwerkt en waarvoor, en ook dat persoonsgegevens op verzoek van de betrokkene gerectificeerd of verwijderd worden (tenzij er een rechtsgrond is om dat laatste niet te doen). Om die dingen te kunnen moet een verwerkingsverantwoordelijke overzien welke persoonsgegevens die heeft en voor welke doelen die worden verwerkt. Afgaande op dat gelekte document heeft Facebook/Meta een kluwen opgebouwd waarin dat overzicht volstrekt onmogelijk is. Dan is aan de eisen van de AVG voldoen ook volstrekt onmogelijk voor ze.
Dit is dus een bedrijf waar je je data maar beter niet aan kan toevertrouwen — voor zover je in staat bent om te voorkomen dat ze het toch verzamelen. Maar zelfs als dat niet (volledig) lukt is het nog geen goed idee om je er maar aan over te geven. Je kan dus inderdaad beter geen gebruik maken van hun diensten.
tis dus wachten totdat de chaos de overhand neemt en een eigenwijs bitje een dominoeffect aan onwenselijkheden zal gaan aanrichten.
En de vorige posting is daar ook conclusies over.
Het zal eerst flink moeten verslechteren, tot het weer wat beter kan worden (als dat dan nog tot de mogelijkheden behoort).
De farao's zijn het begonnen en zullen het ook afmaken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
