De Amerikaanse toezichthouder FTC stuurt 3,7 miljoen klanten van Avast een e-mail dat ze wegens misleidende privacyclaims door het antivirusbedrijf mogelijk recht hebben op een schadevergoeding. De hoogte van de vergoeding hangt van verschillende factoren af, onder andere van hoeveel mensen hier een beroep op doen. Vorig jaar trof Avast met de FTC een schikking over het op oneerlijke wijze verzamelen en verkopen van gebruikersgegevens. Het ging om browsegegevens van gebruikers die de browser-extensie of antivirussoftware van de virusbestrijder hadden geïnstalleerd.

Volgens de FTC werden via de programma's browsegegevens van gebruikers op oneerlijke wijze verzameld, oneindig lang bewaard en zonder duidelijke kennisgeving en toestemming van gebruikers doorverkocht. Tevens stelde de toezichthouder dat Avast gebruikers heeft misleid door te claimen dat de software de privacy van gebruikers zou beschermen door third-party tracking te blokkeren, maar werd er niet gemeld dat hun browsegegevens werden verkocht. De FTC liet ook weten dat gegevens van gebruikers verkocht zijn aan meer dan honderd derde partijen. Met deze werkwijze heeft Avast de Amerikaanse wet overtreden, oordeelde de FTC.

Jumpshot

Al in 2019 werd bekend dat Avast miljoenen aan het browsegedrag van gebruikers verdiende. Deze gegevens werden verhandeld via databedrijf Jumpshot, waar Avast een meerheidsbelang in had. Naar aanleiding van de onthulling over het dataverzamelen besloten Google en Mozilla de browserextensies van Avast uit hun extensie-stores te verwijderen. In een reactie op de ontstane ophef besloot Avast vervolgens verschillende aanpassingen door te voeren, maar vanwege de aanhoudende kritiek werd Jumpshot begin 2020 opgeheven.

De FTC stelde dat Avast zeker tenminste sinds 2014 gegevens van gebruikers via de extensies en antivirussoftware verzamelde. Het ging dan om informatie over zoekopdrachten en bezochte websites, waar allerlei gevoelige informatie aan af te leiden was. Niet alleen informeerde Avast gebruikers niet dat hun gegevens werden verzameld en verkocht, maar beweerde het ook dat de producten van de virusbestrijder tracking op internet zouden verminderen.

Verder besloot Avast het her-identificeren van gebruikers aan de hand van verkochte data niet te verbieden. En zelfs bij de contracten waar een dergelijk verbod wel was opgenomen, was dit dusdanig verwoord dat derde partijen niet-persoonlijke identificeerbare informatie aan het browsegedrag van Avast-gebruikers konden koppelen. Sommige van de producten die Jumpshot aanbood waren zo ontworpen dat klanten bepaalde gebruikers konden tracken of zelfs bepaalde gebruikers en hun browsegeschiedenis aan andere informatie konden koppelen die deze klanten al over de gebruikers in bezit hadden.

Schadevergoeding

De 16,5 miljoen dollar die Avast als onderdeel van de schikking moet betalen zal onder getroffen klanten worden verdeeld, zo meldt de FTC. De toezichthouder zal e-mails sturen naar 3,7 miljoen klanten die Avast tussen augustus 2014 en januari 2020 hebben aangeschaft. Klanten die voor een vergoeding in aanmerking komen kunnen vanaf nu tot en met 7 maart een e-mail verwachten en vervolgens via deze pagina een aanvraag voor een vergoeding doen. Het vergoedingsbedrag zal mede afhangen van hoeveel mensen een vergoeding aanvragen.