Facebook krijgt £500,000 boete wegens het niet beschermen van persoonlijke gegevens van gebruikers

Het Information Commissioner’s Office (ICO) heeft Facebook £ 500.000 beboet wegens ernstige inbreuken op de wetgeving inzake gegevensbescherming. In juli heeft het ICO een Notice of Intent uitgegeven om Facebook te boeten als onderdeel van een breed onderzoek naar het gebruik van data-analyse voor politieke doeleinden. Na beraadslagingen van het bedrijf te hebben overwogen, heeft de ICO de boete aan Facebook uitgevaardigd en bevestigd dat het bedrag – het maximum dat is toegestaan ​​volgens de wetten die golden op het moment dat de incidenten plaatsvonden – ongewijzigd blijft. De volledige boeteregeling is hier te lezen.

Uit het onderzoek van het ICO bleek dat Facebook tussen 2007 en 2014 onredelijk de persoonlijke informatie van gebruikers heeft verwerkt door applicatieontwikkelaars toegang te verlenen tot hun informatie zonder voldoende duidelijke en geïnformeerde toestemming, en toegang toe te staan, zelfs als gebruikers de app niet hadden gedownload, maar gewoon ‘vrienden’ waren met mensen die dat wel hadden.
Kon geen persoonlijke informatie beveiligen
Facebook slaagde er ook niet in om de persoonlijke informatie veilig te houden omdat het geen geschikte controles op apps en ontwikkelaars kon maken die zijn platform gebruiken. Deze tekortkomingen betekenden één ontwikkelaar, Dr. Aleksandr Kogan en zijn bedrijf GSR, verzamelde de Facebook-gegevens van maximaal 87 miljoen mensen wereldwijd, zonder hun medeweten. Een deel van deze gegevens werd later gedeeld met andere organisaties, waaronder SCL Group, het moederbedrijf van Cambridge Analytica, die betrokken waren bij politieke campagnes in de VS.
Zelfs nadat het misbruik van de gegevens in december 2015 was ontdekt, deed Facebook niet genoeg om ervoor te zorgen dat degenen die het bleven houden adequate en tijdige oplossingen hadden gevonden, inclusief verwijdering. In het geval van SCL Group heeft Facebook het bedrijf tot 2018 niet van zijn platform geschorst.
De ICO ontdekte dat de persoonlijke informatie van minstens één miljoen Britse gebruikers tot de geoogste gegevens behoorde en daardoor het risico liep op verder misbruik.
Onwettige verwerking van gegevens
Elizabeth Denham, Information Commissioner, zei: “Facebook heeft de privacy van zijn gebruikers vóór, tijdens en na de onwettige verwerking van deze gegevens onvoldoende beschermd. Een bedrijf van zijn omvang en expertise had beter moeten weten en het had beter moeten doen. ”
Deze boete was gebaseerd op de Data Protection Act 1998. Deze werd in mei vervangen door de nieuwe Data Protection Act 2018, naast de algemene verordening gegevensbescherming van de EU. Deze bieden een reeks nieuwe handhavingsinstrumenten voor de ICO, inclusief maximumboetes van £ 17 miljoen of 4% van de wereldwijde omzet.
Mevrouw Denham voegde toe: “Wij vonden deze overtredingen zo ernstig dat we de maximale straf opgelegd hebben onder de vorige wetgeving. De boete zou onvermijdelijk aanzienlijk hoger zijn geweest onder de AVG. Een van onze belangrijkste redenen om handhavingsmaatregelen te nemen, is om een ​​betekenisvolle verandering teweeg te brengen in de manier waarop organisaties omgaan met de persoonsgegevens van mensen.
“Ons werk gaat door. Er kunnen nog grotere vragen worden gesteld en bredere gesprekken worden gevoerd over hoe technologie en democratie op elkaar inwerken en of de wettelijke, ethische en regelgevende kaders die we hebben adequaat zijn om de principes waarop onze samenleving is gebaseerd te beschermen. ”
ICO-onderzoek
Een verdere update van het ICO-onderzoek naar data-analyse voor politieke doeleinden zal plaatsvinden op dinsdag 6 november, wanneer mevrouw Denham een ​​getuigenis aflegt aan de Select Committee van het Department for Digital, Culture, Media and Sport (DCMS).
In juli publiceerde de ICO een tussentijdse voortgangsupdate van haar onderzoek en publiceerde zij ook een partnerverslag, Democracy Disrupted? Persoonlijke informatie en politieke invloed op de bredere beleidskwesties die tijdens het onderzoek zijn geïdentificeerd, samen met bevindingen en de aanbevelingen van de Information Commissioner voor toekomstige actie.