De Federal Trade Commission (FTC) heeft Avast opgedragen ongeveer $15,3 miljoen schadevergoeding te betalen nadat werd vastgesteld dat het bedrijf browsegegevens van gebruikers had verzameld en verkocht zonder voldoende kennisgeving of toestemming. Avast is een wereldwijd cyberbeveiligingsbedrijf dat bekendstaat om zijn antivirussoftware en consumentenbeveiligingstools. De FTC zei dat het bedrijf gebruikers misleidde door zijn producten als privacybeschermend te promoten terwijl ze gedetailleerde informatie verzamelden over online activiteiten.
Het terugbetalingsprogramma markeert de laatste fase van een eerder aangekondigde schikking. Er worden betalingen uitgegeven aan meer dan 100.000 in aanmerking komende consumenten die geldige claims hebben ingediend. Terugbetalingen worden geleverd per cheque, PayPal of Zelle. De schikking vereist ook dat Avast stopt met het verkopen of licentiëren van browsegegevens die via haar producten worden verzameld en een uitgebreid privacycomplianceprogramma invoert.
Toezichthouders zeiden dat Avast zijn antivirussoftware en browserextensies gebruikte om browsegeschiedenissen, zoekopdrachten, metadata en apparaatinformatie te verzamelen. De gegevens werden overgedragen aan een dochteronderneming die ze verkocht aan adverteerders en databemiddelaars. De FTC zei dat gebruikers niet goed waren geïnformeerd dat hun activiteiten gevolgd zouden worden en dat de verzamelde informatie niet voldoende geanonimiseerd was om identificatie te voorkomen.
De FTC stelde dat marketingclaims over het blokkeren van tracking en bescherming van privacy misleidend waren omdat het bedrijf zich bezighield met het soort gegevensverzameling dat gebruikers wilden vermijden. Toezichthouders zeiden dat dit gedrag de consumentenbeschermingsnormen schond omdat gebruikers geen geïnformeerde toestemming konden geven. Ze voegden eraan toe dat de schaal van gegevensverspreiding risico’s met zich meebrengt, waaronder de mogelijkheid dat derden browsegegevens aan specifieke personen kunnen koppelen.
De schikking vereist dat Avast eerder verzamelde browsegegevens verwijdert en ervoor zorgt dat toekomstige producten voldoen aan privacyverplichtingen. Het bedrijf moet documenteren hoe het gebruikersinformatie verzamelt, deelt en opslaat, en moet regelmatig compliance-rapporten indienen. Toezichthouders beschreven de zaak als een voorbeeld van toenemende controle op datapraktijken in de consumentencybersecuritysector.
Consumenten die denken dat ze getroffen zijn, wordt geadviseerd officiële kennisgevingen van de FTC of de terugbetalingsbeheerder te bekijken. Functionarissen zeiden dat er geen vergoeding nodig is om een betaling te ontvangen. Ze waarschuwden gebruikers om voorzichtig te zijn met frauduleuze berichten die beweren compensatie te bieden, maar persoonlijke of financiële informatie vragen.
Privacyspecialisten zeiden dat de zaak het belang benadrukt van het herzien van de voorwaarden voor gegevensverzameling voordat beveiligingssoftware wordt geïnstalleerd. Zij zeiden dat gratis of goedkope tools mogelijk afhankelijk zijn van gegevensdeling om inkomsten te genereren, en dat onduidelijke privacyverklaringen tot voorzichtigheid moeten aanmoedigen. Ze voegden eraan toe dat bedrijven die beveiligingsproducten aanbieden aan hogere standaarden worden verwacht omdat gebruikers erop vertrouwen dat ze gevoelige informatie beschermen.