• Homa Lali

Anti-virus gigant verkoopt data van klanten

De Tsjechische Autoriteit voor persoonsgegevens onderzoekt de verkoop van anti-virus gebruikers van de dochteronderneming 'Jumpshot divisie' van Avast. Avast is een Tsjechische multinational op het gebied van cybersecurity software met het hoofdkantoor in Praag, Tsjechië, en ontwikkelt computer beveiligingssoftware en kunstmatige intelligentie. Jumpshot analyseert de online gewoontes van consumenten door het meten van hun zoek-, klik- en koopgedrag in ontzettend veel categorieën van meer dan 150 websites, waaronder Amazon, Google, Netflix en Walmart. Klanten van Jumpshot zijn onder andere Revlon, Tripadvisor en chipmaker Intel.


Avast heeft naar eigen zeggen meer dan 435 miljoen actieve virusscan gebruikers per maand, en Jumpshot zegt dat zij gegevens van 100 miljoen apparaten heeft. Avast verzamelde gegevens van gebruikers die zich aanmelden en verstrekte dit vervolgens aan Jumpshot, terwijl meerdere Avast-gebruikers niet op de hoogte waren van het feit dat Avast browser gegevens deelde aan Jumpshot.


De gegevens die door VICE en PCMag werden verkregen, omvatten Google-zoekopdrachten, opzoekingen van locaties en GPS-coördinaten op Google Maps, mensen die de LinkedIn-pagina's van bedrijven bezoeken, bepaalde YouTube-video's en mensen die pornowebsites bezoeken. Aan de hand van de verzamelde gegevens kan worden bepaald op welke datum en welk tijdstip de geanonimiseerde gebruiker YouPorn en PornHub heeft bezocht, en in sommige gevallen welke zoekterm hij in de pornosite heeft ingevoerd en welke specifieke video hij heeft bekeken.


De CEO van Avast geeft aan dat Jumpshot vanaf het begin als een onafhankelijk bedrijf heeft geopereerd, met een eigen management en raad van bestuur, die hun producten en diensten opbouwen via de datafeed die afkomstig is van de Avast antivirus producten.

Avast heeft besloten om de gegevensverzameling van Jumpshot te beëindigen en de activiteiten van Jumpshot met onmiddellijke ingang af te bouwen.


De CEO verklaart voorts dat Avast en Jumpshot volledig binnen de wettelijke grenzen gehandeld heeft. De CEO geeft aan dat het anonieme data betrof en dat deze buiten de AVG vallen. Ik heb mijn twijfels of zij werkelijk binnen de AVG hebben gehandeld, zij hebben de data verkocht onder een pseudoniem, maar pseudonimisering maakt data enkel minder kwetsbaar. Dit betekent niet dat een bedrijf dan van alles met je data mogen doen. Avast moet aan kunnen tonen dat de verkoop van data binnen de verwachtingen van het oorspronkelijke gebruik was en dat het daarmee heeft voldaan aan het beginsel van de doelbinding. Dit lijkt mij lastig te beargumenteren voor Avast aangezien klanten juist een antivirus software kopen om beschermd te worden tegen virussen. De verkoop van data van deze klanten kan niet onder datzelfde doel vallen. Hierdoor is verkoop van data van deze klanten niet goed te praten.