Antivirusprovider Avast heeft in Tsjechië een AVG-boete van 14 miljoen euro gekregen. Het bedrijf verkocht jarenlang gebruikersdata door aan adverteerders, door middel van een browserextensie die juist bedoeld was om zulke data te blokkeren. Eerder kreeg Avast al zo’n boete in de VS.
De Tsjechische privacytoezichthouder, de Úřad pro ochranu osobních údajů, of UOOU, geeft Avast een AVG-boete van 351 miljoen Tsjechische kroon, omgerekend 13,94 miljoen euro. Het bedrijf krijgt de boete vanwege Jumpshot. Avast begon in 2014 met het aanbieden van een browserextensie die thirdpartytrackingcookies blokkeerde, maar de extensie verzamelde juist zelf gegevens van gebruikers. Avast verkocht die door aan advertentieplatforms. Dat deed het via een dochterbedrijf genaamd Jumpshot.
De UOOU zegt nu dat Avast in 2019, toen de AVG van kracht was, data van in ieder geval 100 miljoen gebruikers verwerkte. Het bedrijf stopte overigens in 2020 zelf met de verkoop hiervan toen verschillende media, waaronder Vice en PCMag, achter de datahandel kwamen. Volgens de privacytoezichthouder informeerde Avast gebruikers niet over wat er met hun data gebeurde.
Avast stelde bovendien dat de data werd geanonimiseerd. De UOOU zegt nu na onderzoek dat dit niet het geval was. De data van individuele gebruikers was alsnog te achterhalen. Bovendien had Avast een heel ander doel met het verzamelen van de gegevens dan het aanvankelijk had gezegd. Het bedrijf verdiende er ook geld mee, in plaats van dat het alleen statische analyses maakte.
De toezichthouder hekelt vooral de valse voorwendsels waarmee Avast de tool inzette. “Avast is een van de toonaangevende experts op het gebied van cyberbeveiliging en biedt het publiek instrumenten om gegevens en privacy te beschermen”, zegt de OUUO. “Zijn klanten konden niet verwachten dat dit specifieke bedrijf hun persoonsgegevens zou doorgeven, of gegevens op basis waarvan niet alleen hun identiteit zou kunnen worden vastgesteld, maar bijvoorbeeld ook hun interesses, voorkeuren, woonplaats, vermogen, beroep en andere gegevens met betrekking tot hun privacy.”
Avast kreeg eerder dit jaar ook al een boete voor exact hetzelfde vergrijp, maar dat gebeurde in de Verenigde Staten. Toen ging het om een boete van 16,5 miljoen dollar van de Amerikaanse Federal Trade Commission. Opvallend is overigens dat het onderzoek naar Avast al begon in 2020 en dat het dus vier jaar duurde voordat de OUUO een conclusie kon trekken.