Na onthullingen over het liberale gebruik van persoonsgegevens van klanten door Avast is de antivirusspecialist het onderwerp van een onderzoek door de Tsjechische overheid omwille van een mogelijke schending van de GDPR.
Eind januari kwam aan het licht dat Avast gedetailleerde gebruikersgegevens van zijn klanten verkocht voor miljoenen dollars. Het ging over data zoals het surf- en klikgedrag van mensen die Avast-antivirus gebruikten. De data werden via dochterbedrijf Jumpshot verkocht aan geïnteresseerde partijen. Avast reageerde enkele dagen later door te claimen dat de praktijk helemaal legaal was, maar misschien niet getuigde van een goede houding naar de klanten toe. Het bedrijf kondigde aan de praktijk per direct stop te zetten en Jumpshot te ontbinden in een poging verdere kritiek voor te zijn.
Schending GDPR
De Tsjechische overheid blijkt nu niet onder de indruk te zijn van die maatregel. De dataprivacycommissie in Tsechië, waar Avast hoofdkwartier houdt, onderzoekt het bedrijf nu voor een mogelijke schending van de Europese GDPR-regelgeving. De gedeelde data van gebruikers werden immers verkocht zonder toestemming via een duidelijke opt-in. Bovendien kan je het vergaren van surf- en klikgedrag door een antivirustoepassing bezwaarlijk proportioneel noemen. De data hadden nooit de bedoeling de dienstverlening te verbeteren, en werden in de praktijk enkel vergaard om Jumpshot van meer koopwaar te voorzien.
Avast claimt dat er geen probleem is aangezien de gegevens geanonimiseerd werden. Als de data niet meer terug te brengen zijn tot een persoon, is er in de ogen van de GDPR in principe niets ernstigs gebeurd. In de praktijk zouden de data echter voorzien zijn van een unieke identificatiestring, waardoor de gegevens uiteindelijk wel teruggekoppeld kunnen worden aan personen.
Boete
De gegevensbeschermingsautoriteit in Tsjechië zit momenteel in een vroege fase van het onderzoek waarin ze de nodige gegevens bijeenzoekt. Eventuele verdere stappen volgen na de analyse van die data. Het is dus niet duidelijk of Avast ook effectief in gebreke zal worden gesteld. Moest de overheid de antivirusspecialist wel als schuldig bestempelen, dan kunnen boetes oplopen tot 10 miljoen euro of twee procent van de totale omzet van het vorige fiscale jaar, al naargelang wat het hoogst is.
18 maanden na de inwerkingtreding ervan gaat het niet zo goed met de naleving van de GDPR, zoals we bekeken in volgend stuk: Al 160.000 schendingen van de GDPR gerapporteerd