De Italiaanse Post en het bedrijfsonderdeel Postepay hebben van de Italiaanse privacytoezichthouder een boete van in totaal 12,5 miljoen euro gekregen wegens de appcontrole die ze op Androidtelefoons uitvoeren. De partijen bieden twee apps genaamd Bancoposta en PostePay. Het gaat om apps om respectievelijk mee te bankieren en mee te betalen.
De Androidversies van de apps vroegen gebruikers om toegang tot gegevens op de telefoon om zo gevaarlijke software te detecteren. Gebruikers die dit verzoek bleven weigeren konden uiteindelijk de apps niet meer gebruiken. Volgens de beide partijen was de dataverzameling nodig voor veiligheidsdoeleinden en was de verzamelde informatie beperkt. Voor de appcontrole werd gebruikgemaakt van een externe partij genaamd ThreatMetrix. Nadat meerdere klanten in 2024 een klacht indienden startte de Italiaanse privacytoezichthouder GPDP een onderzoek.
Volgens GPDP is met de appcontrole wet- en regelgeving op meerdere punten geschonden. Zo kregen de Italiaanse Post en Postepay op ongeautoriseerde wijze toegang tot gegevens op de telefoons van hun gebruikers. Ook was er sprake van onrechtmatige gegevensverwerking. Hoewel de gegevensverwerking binnen de toepassing van een gerechtvaardigd belang viel, hebben beide partijen niet goed de belangen en rechten van gebruikers in de beslissing meegenomen, aldus de GPDP.
Verder werden gebruikers niet ingelicht dat de gegevensverwerking plaatsvond via ThreatMetrix en dat er gegevens met betrekking tot geïnstalleerde apps werden verzameld. Bij de appcontrole werd van elke geïnstalleerde app een hash gemaakt en die teruggestuurd. Verder vond de toezichthouder dat passende technische en organisatorische maatregelen voor het beschermen van persoonsgegevens ontbraken.
Beide partijen hadden ook geen data protection impact assessment (DPIA) uitgevoerd en werden gegevens langer bewaard dan aangegeven. De Italiaanse Post kreeg een boete van 6,6 miljoen euro opgelegd. Poste Pay moet zo'n 5,9 miljoen euro betalen. Tevens moeten beide partijen duidelijk vermelden welke gegevens ze via ThreatMetrix verwerken en hoelang ze die bewaren. De Italiaanse Post en Postepay hebben aangegeven tegen de boete in beroep te gaan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
