AVG Groot-Brittannie | AVG Awareness met PrivacyZone

Facebook hoeft ‘slechts’ 570.000 Euro boete te betalen voor Cambridge Analytica schandaal

Facebook moet in Groot-Brittannië een boete van 570.000 euro betalen voor privacyschendingen die aan het licht kwamen door het Cambridge Analytica schandaal.

Facebook heeft geluk dat de overtredingen plaatsvonden voor de Algemene Verordening Gegevensbescherming (AVG) van kracht werd. Daardoor valt de boete veel lager uit.

De oude privacywetgeving maakt een maximale maximale boete van 570.000 euro mogelijk. Onder de AVG had de ICO een maximale boete van omgerekend 19 miljoen euro kunnen opleggen of 4 procent van de wereldwijde omzet.

Cambridge Analytica was een privaat Brits-Amerikaans databedrijf dat datamining, data-analyse en direct marketing bundelde met strategische communicatie voor verkiezingscampagnes.

In maart 2018 werd een schandaal rond Cambridge Analytica en de Facebook-organisatie onthuld. In het bijzonder gaat het daarbij over de vraag in hoeverre laatstgenoemd platform bewust meewerkte aan illegale manipulatie van de gegevens van miljoenen Facebook-gebruikers ten behoeve van de Trump-campagne in 2016.

Een dag later werd er aanvullend een in het geheim opgenomen film uitgezonden door de Britse tv-zender Channel 4, waarin CEO Nix van Cambridge Analytica uitlegt hoe ze politieke tegenstanders misleiden en dat ze prostituees inzetten als politiek chantagemiddel.

De Britse privacytoezichthouder ICO stelde naar aanleiding van het Cambridge Analytica schandaal een onderzoek in. Daaruit bleek dat Facebook tussen 2007 en 2014 de persoonlijke gegevens van gebruikers ontechtmatig verwerkte.

Facebook apps hadden zonder toestemming toegang tot gegevens

Ontwikkelaars die applicaties voor het Facebookplatform ontwikkelden kregen toegang tot de informatie van gebruikers, zonder dat hier duidelijke toestemming voor hadden gegeven.

Ook kregen app-ontwikkelaars toegang tot gegevens van gebruikers die hun app niet hadden gedownload, maar bevriend waren met mensen die dit wel hadden gedaan.

Facebook ging ook de fout in met het beveiligen van persoonlijke informatie omdat het apps en ontwikkelaars op het eigen platform niet voldoende controleerde.

Gegevens vaan 87 miljoen Facebook gebruikers

Zodoende kon onderzoeksbedrijf GSR de gegevens van 87 miljoen Facebookgebruikers downloaden en vervolgens met Cambridge Analytica delen.

Zelfs nadat in december 2015 het misbruik van de data was ontdekt deed Facebook niet genoeg om ervoor te zorgen dat de partijen die deze gegevens in handen hadden die ook verwijderden.

Zo werd het moederbedrijf van Cambridge Analytica pas in 2018 van Facebook geweerd.

Facebook heeft gefaald bij beschermen privacy van gebruikers

“Facebook heeft voor, tijdens en na het onrechtmatig verwerken van deze gegevens gefaald in het voldoende beschermen van de privacy van gebruikers. Een bedrijf van deze omvang en expertise had beter moeten weten en had beter moeten doen”, zegt Elizabeth Denham, de Britse Information Commissioner.

‘Slechts’ 16,5 miljoen Euro boete voor Britse Tesco bank wegens ontbreken cyberbeveiliging in 2016. Had met nieuwe AVG nu ruim 2,2 miljard Euro kunnen zijn

Privacy Nieuws

Wie dacht dat het allemaal wel mee zou vallen met de dreiging van megaboetes bij overtredingen van de AVG heeft het bij het verkeerde eind. In Groot-Brittannie wordt momenteel de toon gezet bij handhaving van de Europese privacyregels.

De Britse bank Tesco heeft een boete van 16,5 miljoen Euro gekregen van de Financial Conduct Authority (FCA) voor het ontbreken van beveiligingsmaatregelen tegen een cyberaanval die in november 2016 plaatsvond.

De fraude heeft de cyberaanvallers in dit geval 2,4 miljoen Euro opgeleverd.

Tesco had geluk bij een ongeluk omdat de nieuwe AVG destijds nog niet van kracht was.

Als de cybercriminelen na 25 mei 2018 hadden goegeslagen, toen AVG in werking trad, had Tesco boetes tot 4% van zijn jaarlijkse omzet moeten betalen. Dat ongeveer 2,2 miljard Euro zou zijn geweest.

De Britse toezichthouder FCA zegt dat organisaties ervoor moeten zorgen dat hun systemen zo inrichten dat het risico van cyberaanvallen bij voorbaat vermindert. Privacy by design en privacy by default, eist de AVG.

Te weinig, te laat

“Dit was te weinig, te laat. Klanten hadden helemaal niet aan het risico mogen worden blootgesteld”, erkent chief executive Gerry Mallon van Tesco achteraf ruiterlijk. Dat is een bijzonder dure les voor de bank.

Tesco Bank kreeg overigens onder de oude regels ook nog 50 procent strafvermindering omdat er op hoog niveau werd meegewerkt tijdens het onderzoek door de toezichthouder. Die had op basis van de oude privacyregels uit 2016 een boete van meer dan 30 miljoen Euro kunnen opleggen.

De boetes kunnen in de toekomst volgens de Britse toezichthouder juist fors hoger uitpakken.

“Deze sanctie herinnert eraan hoe belangrijk het is dat organisaties rekening houden met hun kwetsbaarheid en investeren in beveiligingsmaatregelen“, aldus de FTA. Financiële verliezen als gevolg van niet-naleving van Europese privacyregels kunnen in potentie hoger uitvallen dan de kosten om een inbreuk tegen te gaan.“

Er zullen in de toekomst zwaardere straffen worden opgelegd. Bedrijven moeten hun IT-infrastructuur opnieuw beoordelen en hun software, webapplicaties en netwerken beveiligen om gevoelige gegevens te helpen beschermen en de naleving ervan te waarborgen.

Indien een dochteronderneming de verordening niet naleeft, worden de boetes ook berekend op basis van de omzet van de moedermaatschappij.