Onvrede onder Europese toezichthouders over Ierse privacyboete Meta
Onder Europese privacytoezichthouders was grote onvrede over de privacyboete die de Ierse databeschermingsautoriteit DPC aan Meta wilde opleggen voor AVG-overtredingen door Facebook en Instagram. Dat blijkt uit de definitieve beslissing die door privacyorganisatie noyb openbaar is gemaakt. Vorige week kreeg Meta van de DPC een boete van 390 miljoen euro opgelegd wegens gerichte advertenties op Facebook en Instagram. Ook moet het Amerikaanse techbedrijf de manier veranderen waarop het toestemming vraagt voor gerichte advertenties.
Gerichte advertenties leveren bedrijven zoals Meta zeer veel geld op. Ze mogen echter niet zonder toestemming van de betreffende gebruikers worden getoond, aangezien hiervoor persoonlijke informatie wordt verwerkt. Toen de AVG in mei 2018 van kracht werd dacht Meta deze vereiste te kunnen omzeilen door een bepaling aan de algemene voorwaarden toe te voegen, waardoor gebruikers bij het accepteren van de voorwaarden ook automatisch akkoord gingen met gerichte advertenties.
De Ierse privacytoezichthouder was eerst van plan om een boete van 32 miljoen euro op te leggen, maar dat vonden de andere Europese toezichthouders verenigd in de EDPB te laag. Negen privacytoezichthouders, waaronder de Autoriteit Persoonsgegevens, maakten formeel bezwaar tegen de initiële beslissing van de DPC. Niet alleen waren de Europese toezichthouders ontevreden over de voorgestelde boete van de DPC, ook het onderzoek van de Ierse toezichthouder werd op allerlei vlakken bekritiseerd.
Zo negeerde de DPC een onderzoek onder gebruikers wat die als een overeenkomst zagen en werden niet alle gegevensverwerkingen van Meta onderzocht. Daarnaast lijkt ook de uiteindelijke beslissing te rammelen, zo stelt noyb, dat meerdere klachten tegen de dataverwerking door Meta indiende. Zo stelde de EDPB dat Meta de aanpassingen vanaf december moet invoeren, maar hanteert de DPC een datum vanaf januari. Iets wat mogelijk onrechtmatig is, aldus Noyb. Dat geldt ook voor het oordeel dat de verwerking alleen beperkt is tot advertenties, terwijl andere onderdelen van de klacht niet door de DPC zijn behandeld.
"Klaarblijkelijk maakt de DPC zich meer zorgen om gebruikers op een transparante manier te naaien, dan ze helemaal niet te naaien", aldus de bekende privacy-activist en noyb-oprichter Max Schrems. Het is niet voor het eerst dat de DPC wordt teruggefloten vanwege de lage boetes die het wil opleggen. Dat gebeurde eerder ook al met boetes voor Instagram en WhatsApp. Veel Amerikaanse bedrijven hebben in Ierland hun hoofdkantoor. De DPC wordt geregeld verweten op de hand van techbedrijven te zijn, iets dat het zelf ontkent.
https://www.security.nl/posting/780860#posting780959
Nou.. Data piraterij die zwak wordt aangepakt.. Hoe was t zachte heelmeesters maken stinkende wonden...
Mbt bedrijfsvoering, ik zou het op prijs stellen als Meta en co zich met zichzelf bemoeien en de rest van de wereld met rust laten.
Nou.. Data piraterij die zwak wordt aangepakt.. Hoe was t zachte heelmeesters maken stinkende wonden...
Mbt bedrijfsvoering, ik zou het op prijs stellen als Meta en co zich met zichzelf bemoeien en de rest van de wereld met rust laten.
De gebruikers zijn het product en producten moet je nu eenmaal herverpakken en vermarkten.
Alles voor de commercie en het (Amerikaanse) datagraaien.
De lage boete is het gevolg dat Ierland afhankelijk geworden is van de (tijdelijke) inkomsten en werkgelegenheid van bedrijven als Meta. Als die op een bepaald moment vertrekken naar een ander (goedkoper) land, dat stort een aanzienlijk deel van de Ierse economie in elkaar.
"They made their bed, now they must lie in it".
Het is jammer dat deze boetes teveel afhangen van interpretaties en de willekeur van de toezichthouders.
Blijkbaar moet de wetgeving zo aangepast worden dat er altijd een minimum van x% van het bruto vermogen of omzet van het hele bedrijf opgelegd wordt als boete bij een overtreding. Of een vast bedrag per slachtoffer. (10.000 of 100.000 euro per persoon)
En moet het bedirijf altijd met een duidelijk/concreet herstelplan komen om de overtreding in de toekomst te voorkomen.
Maak de Europses wetgeving hieromtrent waterdicht zou ik zeggen, met een duidelijke hoge drempel om afschrikkend te werken voor dit soort megacorporaties.
Natuurlijk mag een toezichthouder zich met bedrijfsvoering bemoeien als de wet waarop hij toeziet daar eisen aan stelt. De AVG stelt eisen aan de bedrijfsvoering waar die de verwerking van persoonsgegevens betreft, en daar mogen AVG-toezichthouders zich niet alleen mee bemoeien, daar moeten ze zich mee bemoeien, anders doen ze hun werk niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
