Avast krijgt 16,5 miljoen dollar boete voor verkopen van data aan adverteerders – en méér

text
Photo by Tamanna Rumee on Unsplash

Antivirusbedrijf Avast krijgt in de Verenigde Staten een boete van 16,5 miljoen dollar omdat het jarenlang gebruikersdata verkocht aan adverteerders. Dat meldde Tweakers onlangs. Het gaf wat ophef: op een jaaromzet van een slordige 1 miljard dollar is dat niet echt imposant. Maar er is meer.

De Amerikaanse toezichthouder FTC meldt:

Since at least 2014, Avast has distributed browser extensions that it promoted through promising users enhanced privacy. It claimed, for example, that its products would “block[] annoying tracking cookies that collect data on your browsing activities” and “[p]rotect your privacy by preventing . . . web services from tracking your online activity.” It also stated that any sharing of user information would be in “anonymous and aggregate” form. (…) The complaint details how Avast collected highly detailed browsing data from millions of users and then, through its subsidiary Jumpshot, sold those browsing records to over a hundred clients, including major advertising firms. Avast also released this data in individualized, re-identifiable form, allowing these browsing histories to be traced back to specific people—in direct contravention of what Avast had promised.
De boete is dan wel voor de FTC de hoogste ooit in de categorie privacyschending, maar ik zie wel hoe dit gedrag met meer bestraft zou moeten worden dan enkel een bedrag overmaken.

Gelukkig ís er ook meer, zo blijkt uit het eigenlijke besluit (dank aan Floor T. die het quotte op Tweakers):

  • Prohibition on Selling Browsing Data: Avast will be prohibited from selling or licensing any browsing data from Avast-branded products to third parties for advertising purposes;
  • Obtain Affirmative Express Consent: The company must obtain affirmative express consent from consumers before selling or licensing browsing data from non-Avast products to third parties for advertising purposes;
  • Data and Model Deletion: Avast must delete the web browsing information transferred to Jumpshot and any products or algorithms Jumpshot derived from that data;
  • Notify Consumers: Avast will be required to inform consumers whose browsing information was sold to third parties without their consent about the FTC’s actions against the company; and
  • Implement Privacy Program: Avast will be required to implement a comprehensive privacy program that addresses the misconduct highlighted by the FTC.
Ik had het al eerder gezegd, maar zo’n bevel om data te wissen én om dat bij je klanten te gaan effectueren hakt er natuurlijk veel meer in. Dat zouden meer toezichthouders moeten doen.

Arnoud

3 reacties

  1. “for advertising purposes” en alleen “third parties” (in tegenstelling tot Jumpshot) is dan weer wat zwak verwoord. Verkopen voor “market research” mag wel, of “for informing the public”? En ze hoeven niet alle data te verwijderen, alleen de kopie die bij Jumpshot ligt?

    Maar inderdaad, verplicht verwijderen zal meer pijn doen. Incl. de ‘ products or algorithms’.

    1. Ik denk dat het voor de nuance loont om de stukken van de FTC te lezen. Zeker als je ingaat op mogelijke loopholes is het goed om helder te krijgen hoe de bedrijfstructuur in elkaar zit en welke ondernemingen precies wat moeten doen en aantonen. Ook is er ongeveer een halve pagina besteed aan de definitie van “advertising purposes” in deze context. Vanuit een ePrivacy/AVG perspectief zit er genoeg ruimte in om jeuk van te krijgen, maar antwoorden op je vragen zijn te vinden.

  2. Een verrassend ‘modern’ en respectvol besluit van de FTC en dan heb ik het over de bijkomende voorwaarden. Een stap in de goede richting en nu maar hopen dat de wereld niet verandert na Trump’s herverkiezing.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.