Ierland geeft Meta een boete van € 251 miljoen wegens overtreding van de AVG in 2018

Meta Platforms, het moederbedrijf van Facebook, heeft een boete van €251 miljoen ($264 miljoen) gekregen van de Ierse Data Protection Commission (DPC) voor een datalek in 2018 waarbij gevoelige gebruikersinformatie openbaar werd gemaakt.

De inbreuk, waarbij misbruik werd gemaakt van een fout in de’Weergeven als’-functie van Facebook, trof wereldwijd 29 miljoen accounts, waaronder 3 miljoen binnen de Europese Unie. De boete toont het groeiende belang aan van de regelgeving inzake gegevensbescherming onder de Algemene Verordening Gegevensbescherming van de EU. Verordening Gegevensbescherming (AVG).

Wat er gebeurde tijdens de inbreuk van 2018

De inbreuk kwam voort uit de’Weergeven als’-functie van Facebook, een tool die is ontworpen om gebruikers bekijken hoe hun profiel er voor anderen uitziet. Aanvallers combineerden deze functie met een tool voor het uploaden van video’s, waarbij ze onbedoeld gebruikerstokens creëerden: digitale sleutels die volledige toegang verlenen tot het account van een gebruiker.

Deze tokens zijn ingeschakeld ongeautoriseerde toegang tot persoonlijke informatie, waaronder namen, telefoonnummers, e-mailadressen en gevoelige gegevens zoals religieuze overtuigingen en politieke voorkeuren.

Door toe te staan ​​dat de video-uploader een volledig geautoriseerde gebruiker genereert tokens creëerde het systeem van Facebook onbedoeld een trapsgewijze kwetsbaarheid. Dergelijke tokens, bedoeld als veilige authenticatiemechanismen, werden de toegangspoort voor aanvallers om toegang te krijgen tot miljoenen profielen.

Tussen 14 en 28 september 2018 maakten aanvallers misbruik van de kwetsbaarheid door toegang te krijgen tot miljoenen gebruikersaccounts. Het beveiligingsteam van Facebook ontdekte het probleem nadat het ongebruikelijke video-uploadactiviteiten had opgemerkt. Het bedrijf schakelde onmiddellijk de getroffen functies uit, bracht toezichthouders op de hoogte en nam contact op met gebruikers wier accounts gecompromitteerd waren.

Deze technische storing weerspiegelt bredere kritiek op Meta’s benadering van systeemontwerp. Toezichthouders hebben bedrijven consequent opgeroepen om vanaf het begin prioriteit te geven aan privacy en beveiliging, in plaats van problemen reactief aan te pakken nadat zich inbreuken hebben voorgedaan.

Gerelateerd: LinkedIn, eigendom van Microsoft, krijgt boete van €310 miljoen wegens schending van de EU-privacy

De bevindingen en straffen van de DPC

Na een grondig onderzoek ontdekte de DPC dat Meta verschillende AVG-artikelen schendt. De hoogste boetes werden opgelegd voor het niet implementeren van adequate gegevensbeschermingsmaatregelen tijdens het systeemontwerp en de standaardinstellingen:

Artikel 25( 1): Een boete van €130 miljoen wegens het niet integreren van voldoende waarborgen in de systeemarchitectuur van Facebook. Artikel 25(2): Een boete van € 110 miljoen voor onvoldoende maatregelen die standaard een minimale gegevensverwerking garanderen. Artikelen 33(3) en 33(5): Een extra €11 miljoen voor het verstrekken van onvolledige meldingen van inbreuken en ontoereikende documentatie van herstelmaatregelen.

In een verklaring legde adjunct-commissaris Graham Doyle uit: “Deze handhavingsactie benadrukt hoe het onvermogen om gegevensbeschermingsvereisten in te bouwen gedurende de ontwerp-en ontwikkelingscyclus individuen kan blootstellen aan zeer ernstige risico’s en schade, waaronder een risico voor de grondrechten. en vrijheden van individuen.

Facebook-profielen kunnen informatie bevatten over zaken als religieuze of politieke overtuigingen, seksueel leven of geaardheid, en soortgelijke zaken die een gebruiker mogelijk alleen in bepaalde omstandigheden openbaar wil maken, en dat is ook vaak het geval. Door ongeoorloofde openbaarmaking van profielinformatie toe te staan, veroorzaakten de kwetsbaarheden achter deze inbreuk een ernstig risico op misbruik van dit soort gegevens.”

Gerelateerd: Oostenrijkse NOYB-groep beschuldigt Microsoft van AVG-inbreuken in het onderwijs

Meta heeft aangekondigd in beroep te willen gaan tegen de beslissing. Een woordvoerder van het bedrijf verklaarde: “We hebben onmiddellijk actie ondernomen om het probleem op te lossen zodra het werd geïdentificeerd, en we hebben zowel de getroffen gebruikers als de Ieren proactief geïnformeerd. Gegevensbescherming Commissie.”

Terwijl Meta de maatregelen benadrukt die het heeft genomen als reactie op de inbreuk, beweren toezichthouders dat deze acties het bedrijf niet vrijwaren van systemische fouten in zijn gegevensbeschermingspraktijken.

Meta’s geschiedenis van mislukkingen op het gebied van gegevensprivacy en concurrentiebeperkende praktijken

De boete van € 251 miljoen maakt deel uit van een breder patroon van regelgevende maatregelen tegen Meta. Een van de meest beruchte privacyschandalen van het bedrijf, de Cambridge Analytica-zaak, betrof het ongeoorloofd verzamelen van gegevens van 87 miljoen Facebook-gebruikers.

De gegevens werden gebruikt om verkiezingen te beïnvloeden, wat leidde tot een schikking van $ 725 miljoen in een VS. class action-rechtszaak. De gevolgen van Cambridge Analytica hebben de publieke perceptie van de toewijding van Facebook aan de privacy van gebruikers permanent veranderd.

Daaropvolgende AVG-boetes hebben Meta’s problemen met naleving verder geïllustreerd. Deze omvatten een boete van €390 miljoen voor het verkeerd omgaan met de Instagram-accounts van kinderen en een recordboete van €1,2 miljard in 2023 voor ongepaste gegevensoverdracht tussen de EU en de Verenigde Staten. Gezamenlijk benadrukken deze gevallen terugkerende zwakheden in Meta’s benadering van privacy en veiligheid.

Scandal
/FineYearAmountDetailsImpactAnticoncurrerende integratie van Facebook Marketplace2024€800 miljoenMeta’s beslissing om zijn advertentieservice te bundelen met het sociale-mediaplatform creëerde een oneerlijke situatie. marktvoordeel, waardoor de concurrentie in de sector van de digitale marktplaatsen wordt beperkt. Op 12 november 2024 heeft Meta in heel Europa een nieuw advertentieformaat uitgerold, gericht op bij het voldoen aan de nalevingsvereisten van de EU. Gebruikers hebben nu de mogelijkheid om minder gepersonaliseerde advertenties te bekijken die alleen gebruik maken van sessiegebaseerde dataCambridge Analytica-schandaal2018$725 miljoenGegevens van 87 miljoen Facebook-gebruikers verkregen en geëxploiteerd zonder toestemming. Erosie van gebruikersvertrouwen, toegenomen toezicht op gegevensprivacypraktijken, wijzigingen in platformbeleid.GDPR overtreding (gepersonaliseerde advertenties)2023€390 miljoen ($414 miljoen)Meta verbiedt van gebruikers te eisen dat ze gepersonaliseerde advertenties accepteren als voorwaarde voor de service.Schep een precedent voor datagebruik voor reclame, potentiële impact op Meta’s verdienmodel. Instagram AVG-schendingen 2023€ 390 miljoen ($414 miljoen) Kinderaccounts worden automatisch openbaar gemaakt, tieners met zakelijke accounts kunnen contactgegevens openbaar maken. Benadrukte de noodzaak van een betere bescherming van de gegevens van kinderen op sociale media.WhatsApp AVG-schending2023$267 miljoenGebrek aan transparantie in gegevensverwerking en-gebruik. Benadrukte het belang van duidelijke communicatie met gebruikers over gegevens Giphy-overnameonderzoek 2020-2021 £ 50,5 miljoen Boete voor niet-naleving van CMA tijdens onderzoek. Aangetoond toegenomen toezicht op Big Tech-overnames en hun potentiële impact op de concurrentie. Datalek 2018 2018 € 251 miljoen ($ 263 miljoen) Datalek treft 29 miljoen Facebook-accounts.Beschadigde de reputatie van Meta, verhoogde controle op haar beveiligingspraktijken. Australische privacyschending case2023$50 millionMeta publiceerde oplichtingsadvertenties met publieke figuren zonder hun toestemming. Benadrukte de verantwoordelijkheid van sociale-mediabedrijven om misleidende inhoud te voorkomen.

De AVG, ingevoerd in 2018, is een mondiale maatstaf geworden voor privacywetgeving en beïnvloedt wetten in rechtsgebieden zoals Californië. Onder de AVG kunnen bedrijven boetes krijgen van maximaal 4% van hun wereldwijde omzet wegens niet-naleving. Voor Meta, dat tot nu toe een boete van bijna €3 miljard heeft gekregen op grond van de AVG, heeft de regelgeving voor aanzienlijke financiële en reputatieproblemen gezorgd.

Buiten de EU strekken de problemen met de regelgeving van Meta zich uit tot andere regio’s. In Australië betaalde het bedrijf $50 miljoen voor het plaatsen van oplichtingsadvertenties met publieke figuren. In Groot-Brittannië kreeg het een boete van £ 50,5 miljoen opgelegd wegens het overtreden van de regels tijdens de overname van Giphy. Deze zaken weerspiegelen het groeiende mondiale momentum om Big Tech verantwoordelijk te houden voor privacy-en concurrentieschendingen.

Gerelateerd: Google slaagt er niet in om de EU-antitrustboete van € 2,4 miljard ongedaan te maken

Implicaties voor de bredere technologie-industrie

De herhaalde boetes van Meta dienen als waarschuwend verhaal voor de technologie-industrie. Nu toezichthouders over de hele wereld strengere wetten inzake gegevensbescherming aannemen, staan ​​bedrijven onder toenemende druk om prioriteit te geven aan de privacy van gebruikers. De handhavingsmechanismen van de AVG zullen waarschijnlijk wereldwijd soortgelijke raamwerken inspireren, waardoor technologiebedrijven worden gedwongen proactieve nalevingsmaatregelen te nemen.

De terugkerende fouten van Meta suggereren echter diepere bestuursproblemen die moeten worden aangepakt. Critici beweren dat de focus van het bedrijf op groei en het genereren van inkomsten vaak ten koste gaat van de gebruikersveiligheid – een evenwicht dat regelgevers en consumenten steeds minder bereid zijn te accepteren.

Hoewel Meta zich heeft ingespannen om de beveiligingsinfrastructuur te verbeteren, de geschiedenis van boetes en schandalen roept vragen op over de effectiviteit van deze maatregelen.