Het recente Facebook-lek treft drie miljoen EU-burgers. Dat stelt de Irish Data Protection Commission afgelopen dinsdag. Mogelijk staat het sociale netwerk van CEO Mark Zuckberberg een boete van meer dan één miljard dollar te wachten, mocht het bedrijf niet voldoen aan de vereisten van GDPR.
Binnen de General Data Protection Regulation is het voor bedrijven verplicht om een datalek binnen 72 uur te melden. De vraag is of Facebook daar wel in is geslaagd. Het sociale netwerk maakte een week geleden bekend dat de gegevens van 29 miljoen gebruikers buitgemaakt waren bij een lek – in eerste instantie werd aan 50 miljoen gebruikers gedacht.
Binnen 72 uur
Onder de gestolen informatie bevinden zich onder meer namen, geboortedata, werkplekken en contactgegevens als e-mailadressen en telefoonnummers. Binnen de regels van GDPR zijn bedrijven ertoe verplicht een datalek binnen 72 uur te melden. Bedrijven die zich daar niet aan houden staat een boete van maximaal 4 procent van de wereldwijde jaaromzet te wachten. Facebook verdiende vorig jaar meer dan 40,65 miljard dollar, dus de boete zou kunnen oplopen tot 1,63 miljard dollar.
Dit datalek vormt volgens CNBC de eerste echte proef voor de GDPR. Facebook makte op 28 september bekend dat er een datalek was geweest. Toen dacht men nog dat er 50 miljoen accounts gehackt waren, maar dat aantal werd afgelopen vrijdag teruggebracht tot 30 miljoen. Daarnaast bevestigde het bedrijf dat er van 29 miljoen gebruikers zowel de naam als contactgegevens gehackt waren. Van 14 miljoen van die gebruikers waren onder meer het geslacht, de relatiestatus en recent bezochte plaatsen buitgemaakt bij de hack.
Europese getroffenen
Facebook weigerde in eerste instantie te delen hoeveel van de getroffen gebruikers zich in de Europese Unie bevonden. Later vertelde het bedrijf aan de Ierse Data Protection Commission dat tien procent van de accounts Europees was. De vraag is of dat feit wel op tijd gedeeld is. In elk geval wordt het datalek nu onderzocht door de Ierse commissie.
Vera Jourova, Eurocommissaris van Justitie vertelde eerder deze maand dat er strikte regels gelden voor dit soort bedrijven. “Er zijn ook erg sterke instrumenten om bedrijven die met de persoonlijke gegevens van mensen te maken hebben te disciplineren.”
8 minuten geleden
