De Ierse toezichthouder op persoonsgegevens heeft Facebook om meer informatie gevraagd over de meest recente inbreuk op de gegevens, waaronder een overzicht van alle personen die getroffen zijn of zouden kunnen worden. Dat meldt de Wall Street Journal. Als wordt geconstateerd dat Facebook de Algemene Verordening Gegevensbescherming (AVG) van de EU heeft overtreden, zou het bedrijf boetes kunnen krijgen tot maximaal USD 1,63 miljard.
In een verklaring per e-mail zei de Data Protection Commission (DPC) dat het zich zorgen maakt over het feit dat deze inbreuk dinsdag is ontdekt en invloed heeft op vele miljoenen gebruikersaccounts, terwijl Facebook de aard van de inbreuk en het risico voor gebruikers niet kan verduidelijken.
Een woordvoerder van Facebook zei dat het bedrijf zal reageren op vervolgvragen van het Ierse DPC en dat de toezichthouders op de hoogte zullen blijven van verdere ontwikkelingen. Facebook-CEO Mark Zuckerberg zei eerder dat het bedrijf de schending zeer serieus nam, maar dat het nog steeds de volledige omvang en impact van het incident moest bepalen.
Hogere boetes mogelijk onder AVG
Onder de AVG riskeren bedrijven die niet genoeg doen om de gegevens van hun gebruikers te beschermen een maximumboete van EUR 20 miljoen (USD 23 miljoen), of 4 procent van de wereldwijde jaaromzet van een bedrijf voor het voorgaande jaar, afhankelijk van welke hoger is. De maximale boete van Facebook zou USD 1,63 miljard zijn op basis van de grotere berekening.
De wet vereist ook dat bedrijven gevonden datalekken binnen 72 uur melden aan de autoriteiten, met de dreiging van een maximale boete van 2 procent van de wereldwijde inkomsten. EU-regelgevende instanties leggen vaak niet de maximaal mogelijke boete op in gevallen waarin een bedrijf heeft meegewerkt of wanneer het op zijn minst gedeeltelijk compliant is. De Ierse DPC zei dat Facebook haar op 27 september op de hoogte bracht van de inbreuk, waarschijnlijk binnen de tijdslimiet van 72 uur van de wet.
Facebook in meer landen onder vuur
Dit nieuwste incident draagt bij aan Facebook-ellende het afgelopen jaar. COO Sheryl Sandberg moet vorige maand verschijnen voor Amerikaanse wetgevers om te reageren op vragen over de bedrijfsactiviteiten en privacyprocedures van het bedrijf.
De Europese Commissie heeft recentelijk geëist dat Facebook consumenten beter uitlegt hoe hun gegevens worden gebruikt. In verschillende lidstaten lopen procedures tegen Facebook.
Doelwit van privacyactivisten
Afzonderlijk is het bedrijf ook onder vuur komen te staan van privacyactivisten die in verschillende landen een klacht hebben ingediend onder de GDPR, met het argument dat Facebook gebruikers verplicht om akkoord te gaan met de servicevoorwaarden, inclusief de verzameling van hun persoonlijke gegevens, om het sociale netwerk te mogen gebruiken.
In Duitsland heeft de nationale antitrustregulator afgelopen december een voorlopige bevinding uitgevaardigd dat Facebook zijn positie als het dominante sociale netwerk in Duitsland misbruikt, waardoor gebruikers worden gedwongen om gegevens prijs te geven via externe bronnen, zoals websites met "vind ik leuk" toetsen. Het Bundeskartellamt verwacht later dit jaar actie te ondernemen rond de kwestie.
