De Data Protection Commission (DPC) heeft Meta een boete van 265 miljoen euro opgelegd. Het moederbedrijf krijgt de boete van de Ierse toezichthouder vanwege een groot datalek dat begin vorig jaar aan het daglicht kwam. Het bedrijf zegt het boetebesluit te bestuderen en overweegt om in beroep te gaan.
De DPC kondigde de boete maandag aan (1).
Voor het begin van deze zaak moeten we terug naar 2019. Dat jaar werden persoonsgegevens van meer dan een half miljard Facebook-gebruikers buitgemaakt door hackers. Het ging om voor- en achternamen, woonplaatsen, geboortedata, geslacht, telefoonnummers, e-mailadressen, relatiestatus, teksten die in de biografie van gebruikers staan, Facebook ID’s en data dat accounts zijn aangemaakt van 533 miljoen leden.
Deze data werden op het dark web aangeboden, het afgesloten deel van het internet voor het grote publiek. Onder meer 5,4 miljoen Nederlanders en 3,2 miljoen Belgen behoorden tot de slachtoffers. Meta zei aanvankelijk dat de gegevens jaren geleden zijn buitgemaakt en dat de interne systemen sindsdien zijn hersteld.
Een woordvoerder vertelde dat de data niet waren vergaard via een cyberaanval, maar verzameld door scraping. Software struint daarbij openbare bronnen op het internet af zoals sociale media, blogs en persoonlijke websites om zoveel mogelijk persoonlijke gegevens te verzamelen.
In april 2021 kondigde de DPC aan een onderzoek in te stellen naar de kwestie. Het onderzoek was op vrijdag 25 november officieel afgerond. Nationale toezichthouders uit andere EU-lidstaten waren nauw hierbij betrokken en hebben ingestemd met het uiteindelijke boetebesluit van de Ierse privacywaakhond (2)
De DPC concludeert dat er tussen mei 2018 en september 2019 inderdaad persoonlijke gegevens van ruim een half miljard Facebook-gebruikers zijn buitgemaakt. Naar eigen zeggen heeft Meta artikel 25 lid 1 en lid 2 van de Algemene Verordening Gegevensbescherming (AVG) overtreden. Dat artikel vormt de juridische grondslag voor gegevensbescherming door privacy by design en privacy by default.
Privacy by design houdt in dat mechanismen die worden gebruikt om persoonsgegevens te verwerken dusdanig zijn ontworpen dat ze zoveel mogelijk rekening houden met de privacy van betrokkenen. Privacy by default betekent dat de standaardinstellingen van een applicatie zo zijn gekozen dat ze de privacy van gebruikers maximaal waarborgen.
Gezien de omvang van het datalek vindt de DPC een boete van 265 miljoen euro passend en proportioneel. Verder eist de toezichthouder dat Meta op korte termijn “een reeks gespecificeerde en corrigerende maatregelen” neemt. Om wat voor maatregelen het gaat laat de Ierse privacywaakhond in het midden.
Het is niet de eerste boete die Meta dit jaar aan haar broek krijgt van de DPC. In september deelde de Ierse toezichthouder een boete van 225 miljoen euro uit voor het overtreden van de Europese privacywetgeving door WhatsApp. Niet veel later hoorde Meta dat het tevens een boete van 405 miljoen euro moest betalen, omdat het onzorgvuldig omsprong met gegevens van kinderen.
In een reactie tegenover The Verge vertelt een woordvoerder van Meta dat het haar systemen dusdanig heeft gewijzigd dat scraping van persoonlijke gegevens niet langer meer mogelijk is (3). “Het ongeoorloofd scrapen van gegevens is onaanvaardbaar en in strijd met onze regels”, aldus de woordvoerder. Hij zegt dat Meta het boetebesluit bestudeert en mogelijk bezwaar aantekent.
1) https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-in-facebook-data-scraping-inquiry
2) https://www.vpngids.nl/nieuws/ierse-toezichthouder-start-onderzoek-naar-datalek-facebook/
3) https://www.theverge.com/2022/11/28/23481786/meta-fine-facebook-data-leak-ireland-dpc-gdpr
