Grindr hangt torenhoge boete boven het hoofd voor illegaal verhandelen gebruikersdata

Grindr-logo op een smartphone die op een laptop ligt

De Noorse privacywaakhond Datatilsynet wil Grindr een boete van 100 miljoen Noorse kronen opleggen, omgerekend iets meer dan 9,6 miljoen euro. Volgens de toezichthouder deelt de dating-app privégegevens van gebruikers met adverteerders, waaronder seksuele geaardheid en locatiegegevens. Het bedrijf heeft tot 15 februari de tijd om te reageren op de aantijgingen, daarna neemt de toezichthouder een definitief besluit.

Dat schrijft Forbrukerrådet, de Noorse variant van onze Consumentenbond, in een persverklaring. Finn Myrstad, de bestuursvoorzitter van de bond, spreekt van een ‘mijlpaal’ en een ‘historische overwinning’.

Grindr verkoopt privégegevens aan adverteerders

De Noorse toezichthouder Datatilsynet startte afgelopen jaar een onderzoek naar een aantal populaire datingapplicaties, waaronder Grindr, Tinder en OKCupid. Daaruit kwam naar voren dat ze op grote schaal gevoelige gegevens van gebruikers verkoopt aan adverteerders. Grindr, een veelgebruikte dating-app in de LHBTI-community, verzamelde en deelde gegevens als geslacht, leeftijd, seksuele en politieke voorkeur, locatie, IP-adres, fysieke en mentale gezondheid en aankopen met derden om gepersonaliseerde advertenties te kunnen aanbieden. En dat alles zonder expliciete toestemming van gebruikers.

Dat schoot Forbrukerrådet in het verkeerde keelgat. Dergelijke gevoelige informatie delen zonder dat gebruikers daarvoor toestemming hebben gegeven, is een glasharde overtreding van de Algemene Verordening Gegevensbescherming (AVG), zo meende de consumentenorganisatie. Ze legde de zaak voor aan de Noorse toezichthouder Datatilsynet, alsook bij diverse internationale belangenorganisaties als Noyb en het European Center for Digital Rights.

Grindr kan boete aanvechten tot half februari

De privacywaakhond is het in eerste aanleg eens met Forbrukerrådet. In een reactie laat de toezichthouder weten “de inbreuken zeer ernstig zijn”. Om die reden is een boete op zijn plaats. Datatilsyne dacht aan een bedrag van 100 miljoen Noorse kronen, wat neerkomt op iets meer dan 9,6 miljoen euro.

Grindr heeft tot 15 februari de tijd om de beslissing aan te vechten. Als de dating-app voor die tijd niks van zich laat horen, zet de toezichthouder de voorlopige boete om in een definitieve dwangsom.

‘De AVG heeft tanden’

De consumentenbond is blij met het besluit van de toezichthouder. “Dit is een mijlpaal in de voortdurende strijd om ervoor te zorgen dat de online privacy van consumenten wordt beschermd. De toezichthouder heeft duidelijk vastgesteld dat het onaanvaardbaar is dat bedrijven zonder toestemming van de gebruiker persoonlijke gegevens verzamelt en deelt”, zo zegt Finn Myrstad, de bestuursvoorzitter van Forbrukerrådet. Hij hoopt dat de uitspraak het startpunt is voor meerdere, vergelijkbare uitspraken tegen andere partijen.

Monique Goyens, directeur-generaal van de Europese consumentenbelangenorganisatie BEUC, is eveneens blij met het besluit van de Noorse toezichthouder om een boete op te leggen aan Grindr. “Dit is uitstekend nieuws en een duidelijk signaal dat het illegaal is om zonder toestemming 24/7 consumenten te monitoren en hun gegevens te verzamelen en te delen. De AVG heeft tanden en een consumentenorganisaties staan klaar om op te treden tegen degenen die de wet overtreden.”

“De boodschap is helder: ‘slikken of stikken’ is geen toestemming”, aldus Ala Krinickytė, privacyadvocaat bij Noyb, de organisatie van de Oostenrijkse privacyactivist Max Schrems. “Als je vertrouwt op onrechtmatige ‘toestemming’, dan riskeer je een fikse boete. Dit geldt niet alleen voor Grindr, maar voor tal van websites en apps.”

Grindr dichtte vorig jaar gevaarlijk beveiligingslek

Afgelopen jaar was Grindr ook al in het nieuws. De dating-app kampte toen met een beveiligingslek waardoor het mogelijk was om accounts van anderen over te nemen. Het formulier om je wachtwoord te resetten, stuurde een password reset token mee. Deze sleutel is nodig om een wachtwoordreset te autoriseren en de identiteit van de gebruiker te authentiseren. Deze token wordt opgestuurd naar het e-mailadres van de gebruiker zodat hij zijn wachtwoord kan aanpassen.

Een beveiligingsonderzoeker ontdekte dat het via de broncode van de pagina mogelijk was om deze token te achterhalen. Daarvoor hoefde je alleen de element inspector te openen door op F12 te drukken, de reset token te zoeken en deze kopiëren en plakken in de URL-balk om het wachtwoord te wijzigen. Na enig aandringen van de bekende Australische securityexpert Troy Hunt werd het beveiligingslek gedicht.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen