Jaarverslag privacytoezichthouder VS: 3 megaboetes

FTC PrivacyPortaal year review 2019
FTC PrivacyPortaal year review 2019

Begin januari heeft de Federal Trade Commission, de Amerikaanse privacywaakhond, haar jaarverslag over 2019 gepubliceerd. We zien dat er in 2019 op drie verschillende aandachtsgebieden grote boetes zijn uitgedeeld. Deze lessen die hieruit getrokken kunnen worden, zijn ook interessant voor organisaties in Europa. We bespreken hieronder kort de highlights van dit jaarverslag.

1. Op het gebied van Privacy voor Consumenten heeft de FTC in juli een boete opgelegd aan Facebook van $ 5 miljard dollar. Deze record boete is het gevolg van oneerlijke beloften van Facebook aan gebruikers op het gebied van privacy en het delen van hun informatie. Facebook is hier in 2012 eerder op aangesproken, maar er zijn volgens de FTC sinds die tijd onvoldoende maatregelen genomen. De belangrijkste reden voor de recordboete is de volgende. Zelfs als gebruikers de meest restrictieve privacy instellingen selecteerden, dan nog maakte Facebook de persoonlijke data toegankelijk voor app-aanbieders van apps die werden gebruikt door vrienden van de betreffende consument. Het gaat hierbij om informatie zoals relatiedetails en religieuze en politieke opvattingen. De instelling waarmee gebruikers konden afdwingen dat hun data niet werd misbruikt, zat verstopt. De FTC vat het eenvoudig samen: “In the face of consumers’ intent to limit information-sharing to a select few, Facebook ignored them and shared it broadly. Facebook did that despite its privacy promises, despite consumers’ efforts to protect their privacy, and despite the terms of the 2012 order.”

Verder heeft het FTC verschillende zaken aangespannen tegen bedrijven die ten onrechte deden alsof zij in lijn handelden met het EU-U.S. Privacy Shield Framework.

2. Op het gebied van Online Privacy voor Kinderen is in september een record boete van $ 170 miljoen dollar uitgedeeld aan YouTube (Google). Het komt erop neer dat Google wist dat veel van haar diensten gebruikt werden door kinderen. Volgens de Amerikaanse Children’s Online Privacy Protection Act (COPPA) mag je niet zomaar informatie van kinderen onder de 13 jaar verzamelen en/of hen gerichte advertenties aanbieden zonder toestemming van de ouders. Ondanks dat YouTube wist dat veel kinderen gebruik maken van het platform zorgde YouTube er niet actief voor dat de eisen uit COPPA werden nageleefd. Sterker nog: YouTube schond deze regels door wél infomartie te verzamelen en gerichte advertenties aan te bieden. YouTube gaf hierover te weinig informatie en vroeg geen toestemming aan de ouders.

3. Op het gebied van Data Security heeft Equinax een boete gekregen van $ 575 miljoen dollar. Waar gaat het over? Equifax is een van de grootste drie consumentenkredietbeoordelaars ter wereld. Equifax beschikt daardoor over veel gevoelige informatie. In maart 2017 is zij  door de Amerikaanse overheid attent gemaakt op een beveiligingslek in haar website. Door de inzet van verouderde detectiesoftware is dit lek pas na 4 maanden gedicht. Ondertussen hebben hackers het lek misbruikt. Doordat bovendien geen goede netwerkscheiding was aangebracht, konden hackers niet alleen toegang krijgen tot de databases van de website, maar ook tot het achterliggende netwerk. Volgens Equifax’s eigen analyse, zijn hackers hierdoor in staat geweest om 147 miljoen namen en geboortedatums te stelen, 145 miljoen BSN nummers en 209.000 creditcards nummers met expiratiedata. Door de onvoldoende beveiligingsmaatregelen zijn de FTC Act en the Gramm-Leach-Bliley Safeguards Rule geschonden. De les die hieruit volgens het FTC getrokken kan worden: “Patch your software. Segment your network. Monitor for intruders.” Deze beveiligingsmaatregelen zijn volgens de Amerikaanse toezichthouder basis veiligheidsmaatregelen die door bedrijven van ieder formaat genomen moeten worden.

Lees het volledige jaarverslag hier.

Geef als eerste een reactie

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*