De Ierse Data Protection Commission (DPC) heeft de Ierse dochteronderneming van Meta dinsdag (17 december 2024) een boete opgelegd van 251 miljoen euro voor een grootschalig datalek dat tussen 2017 en 2018 wereldwijd 29 miljoen Facebook-accounts trof.
Het onderzoek begon in september 2018 nadat Meta Platforms Ireland Limited (MPIL) een kwetsbaarheid in de code ontdekte die al sinds juli 2017 bestond en deze vrijwillig rapporteerde aan de Ierse toezichthoudende autoriteit, zei de DPC in een verklaring.
De technische kwetsbaarheid in het ontwerp van Facebook stelde onbevoegden in staat om toegang te krijgen tot de profielen van andere gebruikers en toegang te krijgen tot gegevens zoals de volledige naam, het e-mailadres, het telefoonnummer, de geboortedatum, de religie of het geslacht van de gebruiker, om er maar een paar te noemen.
De commissarissen voor gegevensbescherming Des Hogan en Dale Sunderland hebben dinsdag de twee definitieve besluiten gepresenteerd over twee vrijwillige onderzoeken en de vaststelling van een schending van de Algemene Verordening Gegevensbescherming (GDPR) van de EU, die een reeks “waarschuwingen” en de eerder genoemde boete van 251 miljoen euro omvat.
In overeenstemming met artikel 25 van de General Data Protection Regulation (GDPR) veroordeelde de toezichthoudende autoriteit Meta tot betaling van €130 miljoen voor het niet waarborgen van gegevensbescherming bij het ontwerp van haar verwerkingssystemen en nog eens €110 miljoen voor het niet nakomen van haar verplichting als verwerkingsverantwoordelijke om ervoor te zorgen dat alleen persoonsgegevens worden verwerkt die nodig zijn voor specifieke doeleinden.
Bovendien verstrekte Meta niet alle noodzakelijke informatie die het had kunnen en moeten verstrekken bij het melden van de inbreuk en verzuimde het de feiten van elke inbreuk en de maatregelen die het had genomen om de inbreuk te verhelpen op zodanige wijze te documenteren dat de toezichthoudende autoriteit de naleving kon controleren, wat ertoe leidde dat de gegevensbeschermingsautoriteit het bedrijf nog eens 11 miljoen euro (8 miljoen euro en 3 miljoen euro per inbreuk) strafte op grond van artikel 33 van de GDPR.
“Deze handhavingsactie illustreert hoe het niet in overweging nemen van gegevensbeschermingseisen tijdens ontwerp en ontwikkeling individuen kan blootstellen aan zeer ernstige risico’s en schade,” zei Assistant Commissioner for Data Protection Graham Doyle in de mededeling.
Van de getroffen personen bevonden er zich 3 miljoen in de Europese Unie (EU) en/of de Europese Economische Ruimte (EER).
Op 27 september legde de gegevensbeschermingsautoriteit nog een boete van 91 miljoen euro op aan MPIL voor het onopzettelijk opslaan van bepaalde gebruikerswachtwoorden in “platte tekst” en zonder cryptografische bescherming of encryptie, en in mei 2023 nog een boete van 1,2 miljard euro voor slecht gegevensbeheer bij gegevensoverdracht tussen Europa en de Verenigde Staten.
Bron: Agentschappen
