De Ierse privacytoezichthouder heeft Meta een AVG-boete van 1,2 miljard euro gegeven. Meta overtreedt de privacywet door gebruikersdata onrechtmatig naar de VS te sturen. Belangrijker dan de boete is dat Meta moet stoppen met de veelbesproken standaardcontracten.
De boete is de hoogste die ooit is uitgedeeld voor een AVG-overtreding. Voorheen was de hoogste boete voor Amazon, dat vorig jaar een boete van 746 miljoen euro kreeg. De boete voor Meta is afkomstig van de Ierse Data Protection Commission, de hoofdtoezichthouder in Europees onderzoek naar Meta en veel andere grote techbedrijven die hun hoofdkantoren in Dublin hebben staan. Eerder gingen er al geruchten dat Meta begin deze week een boete zou krijgen, maar het was nog niet duidelijk hoe hoog die zou worden.
De boete draait om de veelbesproken en controversiële 'standaard contractuele clausules'. Die scc's zijn een overblijfsel van het stopzetten van het Privacy Shield-verdrag. Het Europees Hof van Justitie verbood die in 2020. Privacy Shield maakte het mogelijk voor techbedrijven om data van Europese gebruikers in Amerika op te slaan, maar volgens het Hof zou Amerika de gegevens niet goed genoeg beschermen. De enige sluiproute die na het stopzetten van Privacy Shield overbleef, waren de standaard contractuele clausules. Via zulke 'modelcontracten' konden techbedrijven zich erop beroepen dat ze een overeenkomst hadden met een gebruiker voor het doorgeven van data. Zo zou er toch een goede reden zijn om gegevens naar de VS te sturen.
Critici van Meta hebben zich altijd verzet tegen die scc's. Onder andere Max Schrems heeft zich er altijd fel tegen uitgesproken. De huidige zaak werd ook door hem aangespannen. De Ierse toezichthouder geeft nu niet alleen een boete, maar verbiedt Meta ook met de doorgifte naar Amerika via scc's. Dat legt een bom onder het verdienmodel van het bedrijf. Vorig jaar dreigde Meta al met Facebook en Instagram te stoppen in Europa als de contracten verboden werden.
De beslissing gaat niet per direct in. Meta krijgt eerst een overgangsperiode van vijf maanden van de toezichthouder. In die periode moet het bedrijf een nieuwe grondslag vinden om data van Europese gebruikers te verzamelen. Dat kan bijvoorbeeld toestemming zijn. Daar is Meta al een tijd mee bezig: eerder dit jaar veranderde het de manier waarop het gebruikersdata verzamelde. Ook die manier is controversieel. Experts, waaronder Schrems, denken dat ook die verzamelmethode niet zal worden toegestaan door rechters en toezichthouders.
Meta zegt in een reactie dat het de beslissing wil aanvechten. Het bedrijf wil aan de rechter vragen de boete en de datauitgifte stop te zetten. "Hierin gaat het niet over de werkwijze van één bedrijf op het gebied van privacy - er is een fundamenteel juridisch conflict tussen de regels van de Amerikaanse regering en de Europese privacyrechten, dat de beleidsmakers naar verwachting in de zomer zullen oplossen", zegt Meta.
De Nederlandse Autoriteit Persoonsgegevens is tevreden met de boete. "Deze boete laat zien waar wij als privacytoezichthouders in Europa samen toe in staat zijn", zegt voorzitter Aleid Wolfsen in een reactie. "Mede dankzij de inbreng van de Autoriteit Persoonsgegevens binnen de European Data Protection Board kwamen onze Ierse collega’s tot deze hoogste AVG-boete ooit. Grote techbedrijven hebben een grote verantwoordelijkheid om netjes met persoonsgegevens van hun gebruikers om te gaan en met de Europese privacywet in de hand kunnen wij dat afdwingen."
Update, 11.49: dit artikel beschreef aanvankelijk geruchten over een boete op basis van bronnen van Bloomberg. Het artikel is bijgewerkt met actuele informatie over de daadwerkelijke boete.
Update, 15.09: de reactie van de Autoriteit Persoonsgegevens is toegevoegd.