Meta's regelgevingsstrijd luidt de alarmbel voor Big Tech

Door Danny Bradbury • 22 juni 2023

Meta heeft het afgelopen jaar op verschillende fronten juridische strijd gevoerd, met enkele overwinningen en enkele tegenslagen. Een van deze gevallen zou grotere gevolgen kunnen hebben voor de technologie-industrie.

In de VS won de socialemediagigant in februari voor het eerst een antitrustzaak tegen de FTC. het winnen van het recht om virtual reality startup Within Unlimited te kopen. Dan, het sla terug een andere antitrustzaak die door 48 staten is gekocht vanwege de overnames van WhatsApp en Instagram. Dat belooft niet veel goeds voor de FTC, die momenteel een baanbrekende zaak over dezelfde kwestie onderzoekt.

Meta's recente lotgevallen in Europa waren minder positief. De belangrijkste dataregulator van het blok, de Ierse Data Protection Commission, was dat wel historisch niet bekend vanwege zijn agressieve uitspraken over gegevensprivacy. Dat is onlangs veranderd, omdat de DPC herhaaldelijk met meer straffen op het bord is gekomen. Na meerdere boetes tegen Meta sinds de herfst van 2021 heeft de DPC in mei een financiële bom laten vallen. Het beboet de socialemediagigant € 1.2 miljard voor het schenden van de AVG-principes door gegevens verzameld van Europese Facebook-gebruikers over te dragen naar de VS

Wanneer SSC's niet genoeg zijn

De EU en de VS hebben momenteel geen overeenkomst inzake adequaatheid gesloten voor de overdracht van gegevens tussen de twee landen, hoewel ze eraan werken. Er waren eerder twee van dergelijke deals: de Safe Harbor-regeling van 2000 en het Privacy Shield. Beide werden geschrapt nadat de Oostenrijkse advocaat en privacyactivist Max Schrems hen had uitgedaagd.

In plaats daarvan heeft Facebook erop vertrouwd Standaardcontractbepalingen (SCC's), dit zijn modelovereenkomsten voor bilaterale overeenkomsten voor gegevensuitwisseling tussen organisaties in de EU en de VS. De Europese Commissie heeft deze in juni 2021 bijgewerkt.

In zijn uitspraak van mei heeft de DPC bepaald dat SSC's weliswaar enige bescherming bieden voor de gegevens van EU-gebruikers, maar dat ze alleen van toepassing zijn op gecontracteerde partijen. De Amerikaanse regering heeft deze contracten niet ondertekend, wat betekent dat zij niet kan voorkomen dat zij haar agressieve beleid inzake gegevensverzameling en massale surveillance toepast op gebruikersgegevens.

Afgelopen oktober probeerde het Witte Huis deze kwestie in zijn toespraak aan de orde te stellen Uitvoeringsbesluit ter verbetering van de waarborgen voor activiteiten op het gebied van signaalinlichtingen in de Verenigde Staten. Hiermee wordt een Data Protection Review Court opgericht dat het gegevensslurpen door de Amerikaanse overheid per geval moet beoordelen. Individuen of overheden in kwalificerende staten konden bij het Hof een klacht indienen over het verzamelen van de gegevens van hun inwoners nadat deze naar de VS waren overgedragen

Het probleem is volgens de DPC dat de EU nog niet als een kwalificerende staat wordt beschouwd, wat betekent dat haar inwoners nog geen voordeel kunnen halen uit het Hof. Dat maakt hun gegevens kwetsbaar in de VS, wat de SCC ook zegt.

Nadat de DPC had geoordeeld dat de SCC's onvoldoende waren in de omgang met de VS, concludeerde de DPC dat overdrachten niet zijn toegestaan. Samen met de boete eiste het dat Meta binnen vijf maanden zou stoppen met het overdragen van gegevens van EU-gebruikers naar de VS. Het moet ook alle actuele gegevens over EU-gebruikers in overeenstemming brengen met GDPR binnen zes maanden (wat betekent dat het moet worden verwijderd).

Bredere effecten

Het besluit van de DPC schrapt effectief de SSC als instrument voor bedrijven die gegevens van EU-ingezetenen naar de VS willen sturen. Sectie 10.11 van het DPC-arrest waarschuwt dat de gevolgen van deze zaak zich veel verder kunnen verspreiden dan Meta. Het zei:

“…de analyse in dit besluit legt een situatie bloot waarin elk internetplatform dat valt onder de definitie van een aanbieder van elektronische-communicatiediensten die onderworpen is aan het FISA 702 PRISM-programma, eveneens in strijd kan zijn met de vereisten van Hoofdstuk V AVG en het EU-Handvest van de grondrechten met betrekking tot hun overdracht van persoonsgegevens naar de VS.”

Hoe catastrofaal kan dit zijn voor de technologiesector? Meta heeft het al gedaan waarschuwde dat het mogelijk veel van zijn diensten in Europa moet sluiten als het geen gegevens naar huis mag overbrengen. Andere bedrijven die vertrouwen op door gebruikers gegenereerde inhoud en sociale grafieken zullen waarschijnlijk hetzelfde probleem hebben.

Wat nu?

Meta heeft nog steeds opties. Het hoeft pas in oktober te voldoen aan de vereisten voor gegevensverwijdering is aantrekkelijk de uitspraak.

Eén optie zou kunnen zijn dat bedrijven als Meta en anderen meer investeren in in de EU gevestigde datacentra om gegevens over EU-inwoners lokaal op te slaan, waardoor het probleem van de datasoevereiniteit wordt opgelost.

Het venster biedt ook tijd om te werken aan een derde adequaatheidsovereenkomst tussen Europa en de VS. Die overeenkomst is al in volle gang en zou deze zomer afgerond kunnen worden. Veel zal afhangen van het vermogen van de EU om een kwalificerende staat te worden, zodat haar burgers een klacht kunnen indienen bij het Data Protection Review Court.

Nog meer problemen in het verschiet

In de tussentijd wordt Meta geconfronteerd met verdere actie in Europa. de Europese Commissie zei in december vorig jaar dat de online advertenties van het bedrijf op Marketplace de antitrustregels overtreden. Door het te koppelen aan de sociale netwerkdienst krijgt het een oneerlijk voordeel, klaagden toezichthouders. De EU beschuldigde het bedrijf er ook van de onlinegegevens van andere diensten te gebruiken.

Als deze zaak succesvol is, wordt Facebook geconfronteerd met een boete van maximaal 10% van de omzet, waardoor Facebook mogelijk 11.8 miljard dollar aan boetes moet betalen. Meta heeft in die zaak informatieverzoeken van de EU betwist, maar het Gerecht heeft dat afgewezen, waardoor de weg werd vrijgemaakt voor voortgang van de zaak.

“Move fast and break things” was vroeger de interne slogan van Meta. Het heeft dat misschien opgegeven, maar het houdt nog steeds vast aan een meer algemene vuistregel die door de technologiesector als geheel is aangenomen: ‘Handel eerst en vraag later om vergeving.’

Technologiebedrijven beschouwen de boetes die op grond van deze bredere doctrine worden opgelegd als een kostenpost voor het zakendoen in een snelgroeiende sector met hoge inzet. Nu toezichthouders steeds hogere boetes opleggen en zelfs overwegen om technologiebedrijven op te splitsen, zou daar verandering in kunnen komen.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury