De Federal Trade Commission (FTC) heeft een boete van 16,5 miljoen dollar uitgedeeld aan Avast. Het antivirusbedrijf verkocht jarenlang gegevens van gebruikers aan adverteerders, zelfs toen het zei dat ze daarmee was gestopt. Bovendien waren deze gegevens niet anoniem, maar herleidbaar naar specifieke mensen.
Dat schrijft de Amerikaanse marktwaakhond in een persverklaring.
Avast verzamelde en verkocht jarenlang gebruikersdata aan adverteerders
Avast is een antivirusbedrijf dat gevestigd is in de Tsjechische hoofdstad Praag. Het bedrijf beloofde met zijn browserextensies de privacy van internetgebruikers te beschermen, zodat datahandelaren en andere verzamelaars geen persoonlijke en privacygevoelige informatie konden vergaren. Avast doelde hiermee op zaken als surfgeschiedenis, zoekopdrachten, locatiegegevens en online aankopen, maar ook bijzondere persoonsgegevens als seksuele voorkeur, religieuze opvatting, lidmaatschap van een vakbond en affiniteit met politieke partijen.
In werkelijkheid deed Avast precies het tegenovergestelde van wat ze beloofde. Via dochteronderneming Jumpshot, dat in 2013 werd ingelijfd, verkocht de antivirusmaker klantgegevens aan partijen als Google, Microsoft, Yelp en andere adverteerders. Dat gebeurde echter zonder toestemming van haar gebruikers, wat in strijd is met de Algemene Verordening Gegevensbescherming (AVG).
FTC noemt werkwijze Avast ‘bijzonder stuitend’
De FTC concludeert dan ook dat de beloftes van Avast misleidend waren. Het bedrijf verkocht volgens de marktwaakhond ‘zeer gedetailleerde gegevens’ van miljoenen gebruikers aan meer dan honderd klanten, waaronder grote advertentiebedrijven. Bovendien waren de gegevens herleidbaar naar specifieke mensen, terwijl Avast anonimiteit beloofde. De FTC noemt de werkwijze van de antivirusontwikkelaar om haar producten onder valse voorwendselen aan de man te brengen ‘bijzonder stuitend’.
“Het blootstellen van gedetailleerde surfgegevens van mensen op een manier die naar hen kan worden herleid, vormt een inbreuk op de privacy en veroorzaakt waarschijnlijk aanzienlijke schade. Omdat deze gegevens bijzonder gevoelig zijn, verdienen ze een betere bescherming. Bedrijven die de surfgeschiedenis van mensen verkopen of delen zonder expliciete toestemming van gebruikers, overtreden de wet”, aldus de FTC.
Het is de eerste keer dat de Amerikaanse marktwaakhond een boete uitdeelt aan een niet-medisch bedrijf. Vanwege de omvang, duur en ernst van de privacyschending, vindt de FTC dat een boete van 16,5 miljoen dollar – omgerekend ruim 15,2 miljoen euro – op zijn plaats is.
Avast is niet blij met de miljoenenboete
In een reactie tegenover Cybernews zegt Avast dat ze het niet eens is met de schikking, maar tegelijkertijd dat ze blij is dat ze de zaak achter zich kan laten. “Hoewel we het niet eens zijn met de beschuldigingen en karakterisering van de feiten door de FTC, zijn we blij dat we deze zaak kunnen oplossen en kijken we ernaar uit om onze miljoenen klanten over de hele wereld te blijven dienen. We zijn toegewijd aan onze missie om het digitale leven van mensen te beschermen en te versterken”, aldus een woordvoerder.
Of Avast in beroep gaat tegen de boete, laat het bedrijf in het midden.
Nederlandse stichting start rechtszaak tegen Avast
De Nederlandse stichting Consumers United In Court (CUIC) vindt dat Avast haar boekje te buiten is gegaan door gebruikersgegevens op grote schaal door te verkopen aan adverteerders. Om die reden heeft de stichting een rechtszaak aangespannen tegen de Tsjechische antivirusontwikkelaar. CUIC eist een schadevergoeding tussen de 800 en 1.100 euro voor iedereen die zich voor de rechtszaak aanmeldt. Inmiddels hebben meer dan 10.000 Nederlanders dat gedaan.
“Het is bizar dat uitgerekend Avast, een bedrijf dat staat voor online veiligheid, zo collectief misbruik heeft gemaakt van ons vertrouwen. Het is de omgekeerde wereld. Je installeert een antivirusprogramma om je pc te beveiligen, en je krijgt er spionage voor terug. Wij vinden dit een groot schandaal”, aldus een woordvoerder.
De stichting zegt met de rechtszaak meer bewustwording te willen creëren bij adverteerders en hoopt dat het een afschrikwekkende werking heeft. “Voor veel bedrijven is privacy een sluitstuk in plaats van een essentiële factor bij het ontwerpen van software. Er zijn ook nog steeds bedrijven die niet om uitdrukkelijke toestemming vragen voordat ze uw gegevens gebruiken voor doeleinden die niet eenvoudig en duidelijk aan de gebruiker worden gepresenteerd.”
