Noorse privacywaakhond geeft Meta 88.000 euro boete per dag voor overtreden AVG

De Noorse privacytoezichthouder wil Meta een AVG-boete geven omdat het bedrijf gebruikers onrechtmatig volgt op Facebook en Instagram. Het gaat om een boete van zo'n 88.000 euro per dag dat de overtreding doorgaat.

Datatilsynet, de Noorse tegenhanger van de Nederlandse Autoriteit Persoonsgegevens, heeft daar een brief over gestuurd naar Meta. Politico heeft de hand op die brief weten te leggen. In de brief staat dat Datatilsynet Meta vanaf 4 augustus voor een periode van drie maanden iedere dag een boete wil opleggen van 1 miljoen Noorse kroon, omgerekend zo'n 88.000 euro. Als Meta niet aan de regels voldoet, zou het bedrijf na die drie maanden dus zo'n 8 miljoen euro moeten betalen.

Meta krijgt de boete voor het overtreden van de AVG en dan specifiek voor het ontbreken van een geldige grondslag. Onder de privacywet moet een bedrijf of overheid zo'n grondslag hebben voordat het gegevens verzamelt. Meta gebruikte jarenlang de uitvoeringsovereenkomst als grondslag. Daarmee stelde Meta dat het gebruikersgegevens nodig had 'om een dienst te kunnen uitvoeren'. Meta zei altijd dat gebruikers 'een overeenkomst aangingen' met het bedrijf als ze een account maakten. Privacytoezichthouders waren het daar echter niet mee eens. Begin dit jaar kreeg Meta een boete van 390 miljoen euro voor precies die AVG-overtreding.

In maart wijzigde Meta zijn eigen gebruikersvoorwaarden. Het bedrijf beriep zich sindsdien op het 'gerechtvaardigd belang' als grondslag voor het verzamelen van persoonsgegevens. Toen was het al dubieus of privacytoezichthouders die reden zouden accepteren; experts leken het erover eens dat het geen goede grondslag was. Eerder deze maand concludeerde het Europese Hof van Justitie al iets soortgelijks.

De beslissing van Datatilsynet borduurt daarop voort. Meta mag gebruikers geen advertenties tonen op basis van verzamelde data. De enige data waarop Meta zich in de toekomst mag baseren, is volgens Datatilsynet de informatie in de Info-sectie op profielen. Dat geldt alleen voor gebruikers in Noorwegen, maar de kans is groot dat andere Europese toezichthouders die beslissing in de nabije toekomst overnemen.

Door Tijs Hofmans

Nieuwscoördinator

17-07-2023 • 13:10

72

Reacties (72)

Sorteer op:

Weergave:

Het besluit van de Noorse toezichthouder is juist zo bijzonder omdat het geen boete is. Het is een verbod op de verwerking onder artikel 58(2)(f) van de AVG.

Het bevel is als volgt:
Pursuant to Article 58(2)(f) and 66(1) GDPR, we hereby issue the following order to Meta
Platforms Ireland Limited and Facebook Norway AS collectively:
Personal data shall not be processed for Behavioural Advertising based on Article
6(1)(b) or 6(1)(f) GDPR in the context of the Services.
Daarbovenop komt wat de toezichthouder een "Advance notification of a coercive fine" noemt, maar dat vertaalt niet helemaal lekker naar Nederlands recht waar het meer op een dwangsom lijkt. Boetes vallen onder artikel 58(2)(i) AVG en worden in het besluit niet genoemd.

Edit: het officiele persbericht staat hier, met een link naar het besluit onderaan de pagina.

[Reactie gewijzigd door Floort op 25 juli 2024 20:30]

Als het inderdaad een dwangsom is, en de fiscaliteit ongeveer hetzelfde geregeld is als in Nederland, dan kan META hem in ieder geval fiscaal aftrekken. :+

Of is dat nu eindelijk afgeschaft sinds de miljoenennota van 2020?

[Reactie gewijzigd door WouterL op 25 juli 2024 20:30]

Meta zit op papier in Ierland en zal dus naar Ierse regels belasting afdragen. Als ik de analyse van PWC mag geloven, is het daar niet aftrekbaar.
En dan nog 8 miljoen is een schijntje gebruikers volgen levert ze al meer op? Dus overtreden is lucratiever dan voldoen aan de wet. Het is hun business model om privacy te schenden dus ze gaan het echt niet aanpassen.
Het is in iedergeval al minder lucratief en meestal zal het niet voldoen aan de regels of een dwangsom vervolgd worden met daadwerkelijk een boete, of in iedergeval scherpere sancties.
De bedoeling is namelijk gewoon dat Meta stopt met het overtreden van de regels, niet dat ze wat extra belastinggeld betalen en vrolijk door blijven gaan.

[Reactie gewijzigd door JohanNL op 25 juli 2024 20:30]

Ik had het niet expliciet vermeld, maar over het algemeen wordt de bevoegdheid van het verwerkingsverbod als een bevoegdheid met grotere impact gezien dan de bevoegdheid voor het opleggen van een boete of dwangsom. Het genoemde geldbedrag, met of zonder belastingaftrek, zal waarschijnlijk maar beperkte impact hebben. Het feit dat de Ierse toezichthouder nu overruled wordt in een spoedprocedure door de Noren en de inzet van het verwerkingsverbod hebben waarschijnlijk meer impact.
Maar om eerlijk te zijn: Ik durf niet eens te zeggen uit welke landen het fiscaalrecht van toepassing zou zijn op de genoemde bedragen die mogelijk betaald moeten worden, laat staan dat ik iets durf te zeggen over hoe dat doorwerkt in de belastingen.
Yesssss, oprotten met die tracking pixel.

Van mij mogen ze ook alle bedrijven aanpakken die de tracking pixel op hun site hebben staan...

Die leveren immers ongevraagd de gebruiker gegevens aan aan meta
Ik geef de schuld hiervan vooral aan "online marketing" / SEO bedrijven. Ik heb zelf verschillende klanten voor wie ik websites maak, en een aantal maakten al gebruik van de diensten van zulke bedrijven.

Die (typische normale Nederlandse) bedrijven geven echt geen moer om privacy, en geven graag data van bezoekers weg als zij daarmee bij de klant kunnen doen alsof er vet veel bezoekers zijn. Verschillende keren heb ik daar tussen gezeten en gepoogd om te zeggen dat ze gewoon anoniem statistieken kunnen verzamelen, zonder cookie melding, maar daar was geen oor dat luisterde. Intens frustrerend. Het is ook moeilijk om de klant uit te leggen dat het onethisch is, want het is allemaal erg abstract voor hen
Ik roep het al jaren: Advertentie-Marketing is de tumor van de moderne maatschappij.
We (iedereen) worden te pas en te onpas al jaren en jaren ongevraagd gevolgd/geprofileerd/lastig gevallen onder het kopje van dat je dan betere advertenties te zien krijgt of meer gepersonaliseerde producten/diensten krijgt.

In de werkelijkheid verdubbelen ze onder andere de hoeveelheid data per webpagina (milieu-impact) en zijn zij de enige die er beter van worden, want zij kunnen hun advertenties voor veel meer verkopen want hun klanten denken dat hun advertenties zo veel meer impact hebben.

Heel die branch voegt onder aan de streep dusdanig weinig toe dat het de kosten het op geen enkele manier kunnen rechtpraten. Het grootste probleem hierin is, is dat de mensen in die branche een zilveren tong hebben en hun producten en diensten als goud kunnen verkopen.
Inderdaad, en bedrijven die lijsten met e-mailadressen van hun klanten uploaden naar Facebook om lookalike audiences te targetten mogen ze wat mij betreft ook wat aan doen.
Volgens mij vragen ze weldegelijk of je akkoord gaat met hun tracking en cookies toch?
Je hebt onder de AVG gewoon het recht om tracking cookies te weigeren. Dat heel erg veel websites dat overtreden doet daar geen afbreuk aan.
Helaas is de boete te laag. Als je ziet wat meta aan winst binnenharkt schrikt dit ze echt niet af.

Boetes moeten naar een bepaalt procent van de omzet van het bedrijf.

Het moet niet lonen
Het is een boete *per dag*, dus die blijft oplopen zolang ze hier mee door gaan. Bovendien gaat het niet perse om boetes op te leggen, maar om een gedragsverandering te forceren bij het bedrijf. De boete is alleen aansporing om zo snel mogelijk aan de gestelde voorwaarden te voldoen.
De boete is alleen aansporing om zo snel mogelijk aan de gestelde voorwaarden te voldoen.
Ja - dat is dfe theorie. Maar de praktijk is weerbarstig. Eerst zullen ze bezwaar maken. En dan als het toch niet lukt de kosten afwegen tegen de baten. Want bedrijven hebben een heel beperkte ethiek en doen vooral economische afwegingen.

10 euro boete bij winkeldiefstal die gemiddeld 100 euro oplevert werkt echt niet goed....
Dit is precies waarom het onderscheid tussen een boete en een last onder dwangsom belangrijk is. Een boete is een punitieve sanctie: je bent stout geweest en je krijgt straf. Met de hoop dat de straf jou en anderen afschrikt om ook/nogmaals stout te zijn. Een last onder dwangsom is: stoppen met stout zijn, of anders... De dwangsom is er om te motiveren om de overtreding op te lossen voor datum x omdat het anders meer geld gaat kosten. Hier is sprake van de stoppen of anders ... variant. Het kan zijn dat het geldbedrag weinig indruk maakt, maar het is geen kwestie van betalen en gewoon doorgaan.
Hier is sprake van de stoppen of anders ...
Of anders wat dan? Nog hogere boete => zelfde afwegingen. Wat inderdaad wel anders kan zijn bij de dwangsom [of kan dat ook bij een boete?] is dat het bedrag blijft oplopen zolang de overtreding duurt.

Maar dan ook weer: zolang de buit duidelijk groter is dan de boete/dwangsom => "en door...."
Stoppen of anders 88.000 euro per dag betalen. Er is geen boete opgelegd, dus een nog hogere boete opleggen kan (nog) niet. Zie pagina 3 en 4 (punt 2 en 3) van het besluit.
In de brief staat dat Datatilsynet Meta vanaf 4 augustus voor een periode van drie maanden iedere dag een boete wil opleggen van 1 miljoen Noorse kroon, omgerekend zo'n 88.000 euro. Als Meta niet aan de regels voldoet, zou het bedrijf na die drie maanden dus zo'n 8 miljoen euro moeten betalen.
De boetes van toezichthouders beginnen meestal niet meteen met enorme bedragen. Als de overtreding aan blijft houden kan de toezichthouder meestal de boete verhogen. Deze boete zou ik dus meer zien als een schot voor de boeg.
Precies dat en wat als het niet bij Noorwegen blijft maar er meerdere EU landen soortgelijke boetes per land als druk middel in gaan zetten. Dan loopt de kosten wel degelijk op (nu ga ik er voorzichtig vanuit dat Noorwegen een redelijk kleine market is, zelfs voor Meta)
Hoeveel omzet en winst maken ze in Noorwegen? Daar moet je naar kijken.
Hoeveel belasting dragen ze af in Noorwegen ?
Dat zeg je, maar dit is "slechts" de Noorweegse markt. Voor iets meer dan 5 miljoen inwoners is 88000 euro per dag echt geen chump change.
Mwah, dat verschillende DPA's die hetzelfde bedrijf beboeten om dezelfde reden komt niet zoveel voor. Als Ierland een soortgelijke boete uitschrijft, zullen uiteindelijk van Noorwegen, Ierland, Engeland, en misschien Zwitserland een boete betalen.

Vier keer deze boete is zo'n 32 miljoen per kwartaal. Met een omzet van zo'n €6.345 miljoen per kwartaal komt dat neer op zo'n 5% van de omzet.

De boete moet echt een stuk hoger wil dit echt wat uit gaan maken voor Meta.
0.0176 euro per persoon per dag is geen chump change voor Facebook?
Even snel wat gezocht:
In Q4 2020 was de omzet per gebruiker in Europa 16.87 USD.
Momenteel zou dat volgens Google 15,02 euro zijn.

Een kwartaal is ongeveer 91 dagen.

Dat zou dan 1.6016 euro per persoon per kwartaal zijn. Iets meer dan 10 procent van de omzet in Q4 2020.

Even ter referentie: het gemiddelde wereldwijd was 10.14 USD.

Nu is het natuurlijk niet Q4 2020, en Facebook doet het ook niet geweldig financieel.
Dit komt ook boven op de andere boetes die ze links en rechts krijgen.

Edit: niet goed gekeken op statista, staan meer entries ook voor Q1 2023:
Europa: 15.51 USD / 13,81 EUR
Wereld: 9.62USD / 8,57 EUR

Dus iets van 12% van de EU omzet of 20% van de wereld omzet per persoon.

[Reactie gewijzigd door LOTG op 25 juli 2024 20:30]

91 x 0.0176 = 1.6016
(1.6016 / 15.02) x 100 = 10.663 (~11)

(1.6016 / 13.81) x 100 = 11.597 (~12)
(1.6016 / 8.57) x 100 = 18.688 (~19)

Valuta heb ik door Google laten omrekenen

Denk dat ik misschien een fout bij die 20% gemaakt heb want ik kwam op 19 nog iets uit wat ik naar 20 had afgerond. Misschien 1.7 getypt in de calculator...

Dus is dat het probleem of de afronding?
Sorry voor de passief aggressieve reactie.
Had ik niet zo moeten neerzetten.

Maar met de aantallen waar het hier over gaat is zo'n afronding een stuk groter dan je denkt.
Valt allemaal in het niet In The Eye of Google, maar dat terzijde.
Meneertje Agent: u heeft te hard gereden. Dat wordt dan 50 cent.

Overtreder: Prima, fijne dag meneer de agent. Ik vervolg mijn weg verder met 180 linkerbaan. Laters.

De volgende dag:

Meneertje agent: u heeft te hard gereden, dat wordt 50 cent.

Overtreder. Geen probleem. Hier heb je de 50 cent. Laters. 180 linkerbaan.

Enz enz enz. Dit is waar het op neerkomt.
Net als je klikt dat jet het eens bent met de voorwaarden van data verzameling van FB en Insta doe je dit indirect ook als je bijv. je rijbewijs krijgt. Op het moment dat je aan het verkeer deelneemt, moet je je automatisch aan de regels houden. Hier is het zelfs nog zo dat je zonder FB of Insta ook prima kunt leven, dus als iedereen opzegt of de app de-installeert is het probleem al grotendeels opgelost. Prima hoor dit aanpakken van de grote jongens, maar wat gebeurt er uiteindelijk met het geld? Wat gebeurt er met de huidige data? Wat gebeurt er met al die miljoenen kleine verzamelaars? Flitsmeister? Bank app? Je school apps? Noem ze maar op, vraag me wel eens af wat die allemaal weten, volgen etc.
Er wordt ook een profiel van je gemaakt zonder dat je überhaupt een FB account hebt of überhaupt FB hebt bezocht door andere sites die een Meta extension hebben voor advertentie doeleinde middels bv fingerprint, Pixel of gewoon simpel cookies.

Dat is het grote probleem dat je gevolgt wordt zonder ook maar een FB account of app te hebben.
In Noorwegen zijn de boetes inkomensafhankelijk. Denk dat de boetes voor bedrijven ook flink oplopen op termijn.
Nee, de volgende dag wordt de boete hoger. En de dag daarna nog hoger. En de agent kan je zelfs verbieden om überhaupt nog de weg op te gaan. En agenten van 26 andere landen kunnen je ook sancties opleggen.

De eerste boete is niet bedoeld om je failliet te laten gaan, maar om je tot gedragsverandering aan te zetten. Ik ben het wel met je eens dat deze boete daarvoor wat laag is.
Maar in jouw geval zal die 50 cent ook veel geld zijn.
Volgens mij is de boete Meta krijgt best wel veel als je het gaat vergelijken met de winst ze maken in Noorwegen.

Meta is een internationaal bedrijf, dus dan valt de boete mee, maar alleen in Noorwegen? Waarschijnlijk zouden ze het echt niet kunnen tolleren.

Meta vindt de boetes zo erg, dat ze hun nieuwe Twitter-clone service (Thread) niet willen uit brengen naar EU.
Van mij mag zo'n boete wel met terugwerkende kracht. In maart hebben ze zich op het "gerechtvaardigd belang" gevestigd - dat ze dat zo doen is een risico dat ze zelf genomen hebben. Nu (4-5 maanden later) komen ze erachter dat dat niet mag.

Wat mij betreft mogen ze zoiets wel eerst toetsen bij de privacy waakhond voordat ze zoiets invoeren. Nu hebben ze weer 4-5 maanden data mogen verzamelen. Ze waren tenslotte in maart ook al in overtreding.
data verzamelen :-),
Die data is wat jullie op facebook zetten, ze analiseren het gewoon. Is geen extra verzamelen voor nodig
Nope, zo simpel is het niet. Elke partij die iets van facebook op haar website / app heeft staan, al is het een pixel, sluist automatisch een berg aan data richting Zuckerberg co. Zo wordt er een hoop informatie over je verzameld, of je nu iets post of niet.
Deze site dus ook neem ik aan.
Eh nee, daar is de laatste jaren op deze site heel wat om te doen geweest.

Leestip: scroll even door naar het kopje “ Hoe werkt dat dan, trackingvrij?” in dit nieuwsartikel over hoe T.net haar advertenties managet zonder tracking door third parties zoals Meta en Google.

En voor wie de redactie niet op de blauwe ogen gelooft, is er natuurlijk ook een uitgebreide discussie over op GoT :)

[Reactie gewijzigd door ZwolschBalletje op 25 juli 2024 20:30]

Tweakers heeft een hoop verbeterd, maar heeft nog steeds third party cookies, inclusief voor advertentie-doeleinden. Zie daarvoor o.a. het kopje "Ingesloten content van derden" in het cookiebeleid.
Maar, ik heb een flink dossier over verschillende vormen van tracking op deze site en ben nog geen Meta-tracking tegengekomen volgens mij.
Deze site heeft geen Metapixel staan, Tweakers heeft alweer een tijdje terug alle tracking aangepast. Er draait hier ook geen Google Analytics.
Tweakers heeft dat soort tracking zaken tegenwoordig goed voor elkaar.

[Reactie gewijzigd door Azara op 25 juli 2024 20:30]

nee, het gaat om gedragsdata; juist de data die je niet plaatst, maar die je creëert door FB te gebruiken.
Niet alleen FB. Ook websites die een pixel van Meta op de site hebben.
Wordt tijd dat ze dat eens verbieden, data harken van sites van derden. Die sites installeren die knoppen om een makkelijke share-functie te bieden, niet omdat ze zo graag alle gebruikers door een andere partij laten volgen.
En vergeet niet bedrijven die de fb tracking gebruiken om de consument “eraan te herinneren” dat ze een product hebben bekeken op hun webshop. Zelfs als het product al gekocht is.
Soms zelfs weken later nog terwijl je inmiddels al weer 30 andere producten bekeken hebt.
Ik zie dat soort advertenties gelukkig niet vaak meer door ad-blockers en dergelijke, maar soms slipt er nog wel eens doorheen.
Veel van die knoppen/pixels gaan juist om dat dataharken. Je kunt vrij veel informatie over je gebruikers te weten komen op die manier. Doordat derde partijen een veel uitgebreider profiel hebben dan dat je zelf kunt achterhalen kun je op die manier veel meer te weten komen.
Wordt tijd dat ze dat eens handhaven*
;)
Ik zit niet op Facebook of zo, maar met fingerprinting wordt ik toch gevolgd
Nou, zo denk ik er dus ook over. Het zou niet verkeerd zijn om de AVG afdeling flink te vergroten en voortaan moeten bedrijven hun privacy beleid alvorens laten controleren voor het invoeren. Ik denk dat de overheid de wereld wel in kan zien dat achteraf afstraffen geen zin heeft.

Edit: Wellicht dat de consumentenbond een massaclaim doet? Wie weet..

[Reactie gewijzigd door Nightscope op 25 juli 2024 20:30]

Het zou nog veel mooier zijn om alle reclames te gaan verbieden, maar ja ik vrees dat we dat stadium al lang en breed voorbij zijn...
roep me wanneer de boetes in de miljarden beginnen te lopen en echt schade aan het bedrijf leveren ipv een fractie van een percentage van hun maandelijkse winst
Idd - en degene die er echt wijs van worden zijn dan de advocaten van FB en de staat. Want ook al is het boetebedrag niet veel voor FB; gevochten zal er worden. Logisch ook, want anders: precedent.

Waarom kunnen overheden wel burgers boetes opleggen van 280 euro voor toeteren onnodig geluid maken.
Wat 12% is van een modaal netto salaris.... 8)7
Waar gaat het geld van die boete eigenlijk heen
AuteurTijsZonderH Nieuwscoördinator @Ultimatus17 juli 2023 14:41
In de meeste landen naar de staatskas, voor zover ik weet in Noorwegen ook. Dat komt dan bij de algemene middelen terecht.

Ik heb ooit eens uitgezocht wat er in Nederland gebeurt als de overheid zichzelf een boete geeft en wat er dan met dat geld gebeurt. Niet een-op-een te vergelijken maar misschien wel interessant.
Nice, hopelijk wordt het targeted advertentiemodel snel de kop in gedrukt zo.

Het heeft al een flinke tik gehad met de beslissing van Apple om tracking onmogelijk te maken zonder opt in. Alleen Android loopt nog achter (niet al te verbazend met Google...)
AVG is toch Nederlandse wetgeving? En GDPR voor de EU?
Nee, AVG is gewoon de Nederlandse vertaling van GDPR. Die regels hebben rechtstreekse werking voor alle lidstaten.

Daarnaast is het wel zo dat elke lidstaat een implementatiewet heeft waarin een aantal in de GDPR genoemde details worden geregeld die per lidstaat kunnen verschillen.
Noorwegen is toch geen lid van de EU?
Nee, maar de AVG is van de EER en daar is Noorwegen wel lid van. De EER bestaat in feite uit de EU + Noorwegen, IJsland en Liechtenstein.
Ah, dank voor de toelichting!
Waarom blokkeren ze Meta niet volledig in Noorwegen?
Dan gaan de ogen misschien eens open bij de mensen van Meta.
Die zijn echt wel open, maar die zien de miljarden die ze binnen harken en niet die boete van een paar promille
Uiteindelijk zal, bij het aanhouden van de overtreding, er waarschijnlijk wel een verbod volgen. Geen idee of Meta het zo ver laat komen en hoe lang een AVG overtreding aan mag houden alvorens er tot zo een drastische maatregel wordt overgegaan.

Op dit item kan niet meer gereageerd worden.