Meta veroordeeld tot 251 miljoen euro boete voor Facebook beveiligingslek
In september 2018 werden door een groot beveiligingslek de persoonlijke gegevens van 29 miljoen Facebook-accounts wereldwijd blootgelegd. Meta, het moederbedrijf van Facebook, heeft zojuist een boete van 251 miljoen euro gekregen van de Ierse toezichthouder voor het niet voldoen aan de vereisten van de GDPR.

Een duur beveiligingslek bij Meta: een terugblik op de feiten
Details van het Facebook beveiligingslek
Het beveiligingslek had betrekking op de functie “Zien als”, waarmee gebruikers kunnen controleren hoe hun profiel eruitziet voor andere mensen.
Helaas konden hackers door een aantal bugs in deze functie misbruik maken van een technische kwetsbaarheid. Ze genereerden digitale sleutels om toegang te krijgen tot gebruikersaccounts zonder wachtwoord, alsof ze de eigenaars waren.
Tussen 14 en 28 september 2018 waren de cyberaanvallen gericht op ongeveer 29 miljoen Facebook-accounts, waaronder 3 miljoen in de Europese Unie.
De hackers kregen toegang tot gevoelige gegevens zoals:
- naam;
- e-mailadres;
- telefoonnummer;
- en in sommige gevallen, het geslacht, religie;
- en zelfs de recente geografische locatie van gebruikers.
Waarom is Meta bestraft?
De GDPR vereist dat elke inbreuk op persoonsgegevens binnen 72 uur wordt gemeld aan de bevoegde autoriteit. Hoewel Meta aan deze verplichting had voldaan, oordeelde de Ierse commissie voor gegevensbescherming dat het bedrijf onvoldoende maatregelen had getroffen om de inbreuk te voorkomen.
Volgens artikel 25 van de GDPR moet de bescherming van persoonsgegevens worden geïntegreerd in het ontwerp van digitale hulpmiddelen.
Boete voor Meta en GDPR: welke principes zijn geschonden?
Meta's verplichtingen met betrekking tot de bescherming van persoonsgegevens
De GDPR vereist dat bedrijven de vertrouwelijkheid, integriteit en beschikbaarheid garanderen van de persoonlijke gegevens die ze verwerken. Deze principes moeten worden geïntegreerd in het ontwerp van digitale tools en gedurende hun levenscyclus.
In dit geval had Meta ervoor moeten zorgen dat het voldeed aan verschillende belangrijke bepalingen van de GDPR, maar volgens de Ierse toezichthouder waren de geïmplementeerde maatregelen onvoldoende.
De artikelen van de GDPR waar het in deze zaak om gaat
- Artikel 25, lid 1, GDPR: Meta heeft er niet voor gezorgd dat de beginselen voor de bescherming van persoonsgegevens werden geïntegreerd in het ontwerp van de verwerkingssystemen. Het “Privacy by Design”-principe, betekent immers dat de beveiliging van persoonsgegevens een prioriteit moet zijn bij het ontwikkelen van de “Bekijk als”-functionaliteit.
- Artikel 25, lid 2 GDPR: Het bedrijf voldeed niet aan zijn verplichting om de verwerking van persoonsgegevens te beperken tot informatie die strikt noodzakelijk is voor specifieke doeleinden, waardoor de potentiële impact van de inbreuk kleiner zou zijn geweest.
- Artikel 33, lid 3 GDPR: Hoewel Meta het incident binnen de deadline van 72 uur meldde, werd de melding als onvolledig beschouwd. Het bevatte niet alle vereiste informatie, zoals de details die nodig waren om de impact van de inbreuk volledig te beoordelen.
- Artikel 33(5) GDPR: Bovendien heeft Meta de feiten van de inbreuk en de maatregelen die zijn genomen om de inbreuk te verhelpen, niet naar behoren gedocumenteerd en onvoldoende documentatie verstrekt om de toezichthoudende autoriteit in staat te stellen de naleving te controleren. Door deze bepalingen niet na te leven, heeft Meta gefaald in zijn rol als vrijwaarder voor de bescherming van persoonsgegevens, waardoor miljoenen gebruikers aan verhoogde beveiligingsrisico's worden blootgesteld.
Welke gevolgen heeft dit voor Facebook-gebruikers en Meta?
Gevolgen voor de gegevens van getroffen gebruikers
De persoonlijke gegevens van gebruikers die door deze fout zijn getroffen, zijn gecompromitteerd, wat kan leiden tot het risico van phishing, identiteitsdiefstal of andere vormen van cybercriminaliteit.
Gevolgen voor het imago van Meta en toekomstige wettelijke verplichtingen
De boete die aan Meta is opgelegd is een administratieve boete, maar is op geen enkele manier bedoeld om concrete compensatie te bieden aan de getroffen gebruikers.
Afgezien van de boete heeft deze zaak de reputatie van Meta aangetast en tekortkomingen in de beveiliging van persoonsgegevens aan het licht gebracht. Het bedrijf zal nu moeten aantonen dat het zich harder inspant om de Europese regelgeving na te leven.
Deze zaak laat ook zien hoe serieus de Europese Unie het neemt om ervoor te zorgen dat niet-Europese instellingen, in dit geval Meta, de GDPR naleven.
Ter herinnering: hoe bescherm je je persoonlijke gegevens?
Goede gewoontes voor het beveiligen van je online accounts
- Activeer twee-factor authenticatie;
- Vermijd hergebruik van dezelfde wachtwoorden op verschillende platforms;
- Controleer regelmatig de vertrouwelijkheidsinstellingen van je accounts.
Lees ons volledige dossier over de GDPR voor meer informatie over je rechten op het gebied van de bescherming van persoonsgegevens en wat je moet doen in het geval van een inbreuk.