De Zweedse Avanza bank heeft jarenlang niet in de gaten gehad dat op meerdere plekken van de website en app een pixel van Facebook / Meta aanwezig was. Toen het daar eenmaal achter kwam name het de juiste stappen. Een forse boete viel echter niet meer te ontwijken.
Bedrijven willen weten wie de websites bezoekt. Soms willen ze ook weten waar het verkeer vandaan komt en waar het naar toe gaat. Bedrijven als Google en Meta willen dat ook weten, dat is zelfs een substantieel deel van hun business.
Door pixels te plaatsen met een unieke identifier kunnen die Amerikaanse databedrijven elke bezoeker tot het einde der dagen blijven volgen. Die data is ook de kern van een ongekend uitgebreid profiel. Adverteerders hebben er schijnbaar grof geld voor over om de online werving te laten zien bij alleen de gewenste doelgroepen, zij zijn de kopers van de data die Meta vergaart.
Die pixel van Meta is echter omstreden en dat is nog netjes uitgedrukt. Wie op een website als die van een bank een dergelijk pixel plaats stelt een Amerikaans bedrijf in staat een bijzonder waardevol profiel op te bouwen omdat met veel meer opslaat dan IP adres, tijdstip en duur van het bezoek.
Daar gaat het dus mis. Voor het vergaren van die informatie is de toestemming van de website bezoeker nodig. Van elke bezoeker en wel vooraf op ondubbelzinnige wijze verkregen. Websites of andere online omgevingen met gevoelige informatie hebben daar nog een bijkomend probleem. Bezoekers van die omgevingen dienen extra te worden beschermd tegen het opbouwen van profielen, want de onderliggende data verwijst naar gevoelige data. Een ziekenhuis zal daarom geen trackers willen plaatsen, de beheerder van een website van een echtscheidingsadvocaat idem. En banken vallen ook tot die categorie.
Verwijderen en melden
Avanza heeft tussen eind 2019 en midden 2021 op de online omgevingen een Mete pixel gehad. Toen het daar achterkwam (hoe dat in zijn werk ging is in het Zweedse rapport te lezen) is die direct verwijderd. Dat is een goede actie, net als het vervolg. Meta is verzocht de data te wissen en schijnbaar is dat toegezegd , de toezichthouder is verteld wat er mis is gegaan. De meldplicht is dus nagekomen.
Mega boete
Gelet op het omvangrijke datalek – een Meta pixel is niets anders dan het lekken van persoonsgebonden en vertrouwelijke data ! – komt Avanza er niet van af met een waarschuwing. De opgelegde boete is na matiging nog steeds 15 miljoen SEK, dat is dus een mega boete. In Euro’s omgerekend is het 1,3 miljoen wegens het niet afdoende beschermen van de persoonsgegevens van alle klanten die in de periode op zoek waren naar bepaalde informatie.
Avanza is trouwens niet de eerste online-only bank in de EU die hopeloos tekort schiet in het beschermen van de klanten en de Meta pixel wel handig vond. Het schijnt bijna inherent aan de businesscase te zijn dat dit soort fouten worden gemaakt.