Virusscanner Avast verkocht privégegevens van miljoenen Nederlanders

Het Tsjechische beveiligingsbedrijf Avast – bekend van een veelgebruikte virusscanner – heeft jarenlang zeer gevoelige data van miljoenen Nederlandse gebruikers verkocht. Het gaat onder meer om zoekopdrachten, bezoek aan pornosites en de complete zoekgeschiedenis. Er is een massaclaim in de maak en Avast wordt voor de rechter gesleept, waarbij stichting CUIC (Consumers United In Court) samenwerkt met burgerrechtenorganisatie Privacy First.

Dat meldt AD.nl. Met de massaclaim en de rechtsgang wordt een vervolg gegeven aan een zaak die in 2019 in de bekendheid kwam. Avast kwam in dat jaar negatief in het nieuws toen bleek dat het bedrijf jarenlang zeer gevoelige informatie van gebruikers had verzameld.

Dat ging onder meer om Google-zoekopdrachten, locatiegegevens, bezoeken aan pornosites, aankopen in webwinkels, bekeken YouTube-videos en de gehele zoekgeschiedenis van klanten.

Dat ging soms om zeer specifieke én gevoelige informatie: zo was het bedrijf in enkele gevallen in staat om te achterhalen welke klant op welk tijdstip naar specifieke pornovideo's heeft gekeken.

"Het is de omgekeerde wereld. Je installeert een antivirusprogramma om je pc te beveiligen, en je krijgt er spionage voor terug. Wij vinden dit een groot schandaal", zo stelt een woordvoerder van Stichting CUIC tegen AD.nl.

Met name het feit dat een virusscanner – toch bedoeld om de gebruiker de nodige veiligheid te bieden – gegevens doorverkocht voor financieel gewin, stuit Stichting CUIC tegen de borst: "Het is bizar dat uitgerekend Avast, een bedrijf dat staat voor online veiligheid, zo collectief misbruik heeft gemaakt van ons vertrouwen."

Avast verkocht de verzamelde gegevens door via dochteronderneming Jumpshot. De informatie werd verkocht aan grote bedrijven, zoals techgiganten Google en Microsoft, maar ook Yelp en Pepsi. Deze bedrijven zouden miljoenen dollars hebben betaald om over datasets te mogen beschikken waarmee ze onlinegedrag van gebruikers tot in detail kunnen uitpluizen.

Meer dan 400 miljoen mensen hebben de afgelopen jaren software gebruikt van Avast, waaronder Avast Secure Browser, AVG Secure Browser en AVG Online Security. Daar zitten naar schatting vijf miljoen Nederlanders bij. 

Niet alleen consumenten, maar ook diverse bedrijven namen afstand van Avast toen de praktijken aan het licht kwamen. Eén daarvan is techgigant Mozilla, bekend van webbrowser Firefox. Browserextensies van Avast werden verwijderd toen duidelijk werd met welke praktijken Avast zich bezighield.

De directie van Avast heeft weliswaar excuses aangeboden, maar volgens Stichting CUIC komen ze er niet zo makkelijk van af: "Je moet niet kunnen wegkomen met dit soort praktijken waar willens en wetens geld is verdiend aan privacyschending. Mensen hebben geen idee aan wie hun gegevens allemaal verkocht zijn door Avast en waarvoor ze nu worden gebruikt. Daarvoor is een ‘sorry’ niet genoeg, anders verandert er nooit iets."

De software van Avast was veelal gratis, en zoals dat vaker gaat, krijgen gebruikers in ruil daarvoor wel advertenties voorgeschoteld. In de voorwaarden stond dat de browsergeschiedenis van klanten werd verzameld, maar dat de data wél werd geanonimiseerd om de privacy te waarborgen.

Daar maken deskundigen gehakt van. Omdat de data is gekoppeld aan een uniek 'device ID', kan zoek- en surfgedrag wel degelijk naar individuele gebruikers worden herleid. 

Avast is in januari 2020 gestopt met het verkopen van gebruikersgegevens, maar gesprekken over compensatie die in de tussentijd zijn gevoerd, hebben niks opgeleverd. Om die reden bundelen Stichting CUIC en Privacy First de krachten om Avast voor de rechter te slepen: "Sorry zeggen is één ding, maar klanten compenseren voor hun gestolen gegevens zou pas écht een goed signaal zijn."

Heb jij tussen 2015 en 2020 een antivirusprogramma of browserextensie van Avast gebruikt? Dan kun je je bij Stichting CUIC melden voor compensatie. Voorzitter Wilmar Hendriks: "Hoe meer consumenten zich aansluiten, hoe groter de kans dat Avast daadwerkelijk over de brug zal moeten komen met een schadevergoeding voor gebruikers."

Bron: AD.nl, Stichting CUIC