De Spaanse privacytoezichthouder heeft Meta Platforms, eigenaar van Facebook en Instagram, een grote boete opgelegd. Het bedrijf krijgt straf voor het verwerken van persoonsgegevens zonder geldige toestemming en het volgen van gebruikers voor gerichte advertenties. De maatregel geldt in Spanje en is recent genomen. De zaak draait om schendingen van de Europese privacyregels en mogelijke risicoās voor burgers.
AEPD legt hoge boete op
De Agencia EspaƱola de ProtecciĆ³n de Datos (AEPD) trad op tegen Meta na onderzoek naar de inzet van tracking en profielopbouw. Profilering betekent dat een systeem gedrag en voorkeuren samenvoegt om voorspellingen te doen. De toezichthouder oordeelde dat Meta hierbij niet voldeed aan de eisen voor toestemming en transparantie. Daardoor werden gebruikers onvoldoende beschermd.
De boete is bedoeld om naleving af te dwingen en toekomstige overtredingen te voorkomen. Meta verwerkt in Spanje miljoenen gebruikersprofielen voor advertenties en productverbetering. Bij dit soort grootschalige verwerkingen is de kans op misbruik of fouten groter. De AEPD benadrukt daarom dat duidelijke keuzes en beperkte dataverzameling verplicht zijn.
Meta kan de beslissing aanvechten bij de rechter. Dat is gebruikelijk bij grote boetes onder de Europese privacywetgeving. Een bezwaar schort de plicht tot beterschap niet op. Het bedrijf moet dus direct verbetermaatregelen doorvoeren.
Schending van AVG-regels
Kern van de zaak is de Algemene verordening gegevensbescherming (AVG). Die eist een specifieke, vrij gegeven en geĆÆnformeerde toestemming voor tracking en gepersonaliseerde advertenties. Ook gelden principes als dataminimalisatie en doelbinding: verzamel zo weinig mogelijk gegevens en gebruik ze alleen voor een duidelijk doel. De AEPD vond dat Meta hier niet aan voldeed.
Daarnaast speelt ePrivacy-regelgeving mee, die cookies en vergelijkbare technieken regelt. Een cookiebanner moet echte keuze bieden, zonder drempels of misleiding. Gebruikers mogen niet worden gedwongen tot tracking om een dienst te kunnen gebruiken. De toezichthouder toetste Meta op deze punten.
De boeteruimte in de EU is groot om naleving te stimuleren. Bij ernstige en langdurige overtredingen kan de sanctie fors uitpakken. Dat geldt zeker voor platforms met veel gebruikers en een complexe dataketen. De zaak onderstreept dat advertentiemodellen juridisch goed ingebed moeten zijn.
De maximale AVG-boete is op het moment van schrijven 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
Impact voor Nederlandse gebruikers
Meta opereert grensoverschrijdend; een Spaanse uitspraak werkt door in de hele EU. Nederlandse gebruikers vallen onder dezelfde AVG-standaarden en profiteren van verbeteringen die Meta breed doorvoert. Denk aan duidelijkere instellingen, minder tracking en betere uitleg per datadoel. Ook kan Meta de balans tussen gepersonaliseerde en niet-gepersonaliseerde diensten moeten herzien.
In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht en wisselt zij informatie uit met collegaās in de EU. Bij klachten kunnen Nederlanders terecht bij de AP of rechtstreeks bij Meta. De praktijk leert dat gecoƶrdineerde EU-handhaving sneller tot verandering leidt. Grote platforms passen hun beleid vaak in alle lidstaten tegelijk aan.
Voor publieke diensten en onderwijsinstellingen is dit relevant bij inkoop en gebruik van platformdiensten. Contracten moeten aansluiten op de AVG, met afspraken over dataminimalisatie en versleuteling. Ook logging, bewaartermijnen en het uitschakelen van tracking dienen expliciet geregeld te zijn. Zo wordt het risico voor burgers kleiner.
Verband met AI-training
Meta ontwikkelt AI-modellen zoals Llama, die trainen op grote hoeveelheden tekst en beelden. Het hergebruik van gebruikersdata voor het trainen van modellen is juridisch gevoelig. In de EU pauzeerde Meta het gebruik van Europese gebruikersdata voor AI-training na ingrijpen van de Ierse toezichthouder, op het moment van schrijven. Transparantie en een werkend bezwaarrecht zijn hierbij cruciaal.
De Europese AI-verordening (AI Act) stelt eisen aan transparantie en datakwaliteit voor systemen met hoger risico. Hoewel advertentie-algoritmen meestal niet in de hoogste risicoklasse vallen, geldt wel dat datasets representatief en rechtmatig moeten zijn. Onrechtmatig verzamelde gegevens kunnen een model en de uitkomsten ervan besmetten. Dat vergroot de juridische en ethische risicoās.
Voor bedrijven betekent dit dat privacy en AI-ontwikkeling hand in hand moeten gaan. Documentatie over datastromen en herkomst is nodig om audits te doorstaan. Ook moeten gebruikersrechten, zoals inzage en bezwaar, praktisch uitvoerbaar blijven. Anders stapelen boeterisicoās zich op.
Strenger toezicht op advertenties
De EU scherpt het kader rond politieke en commerciƫle advertenties aan. De nieuwe Europese regels voor politieke advertenties beperken microtargeting en verplichten meer transparantie. Gevoelige gegevens, zoals religie of gezondheid, mogen niet worden gebruikt voor targeting. Platforms moeten zichtbaar maken wie betaalt en waarom iemand een advertentie ziet.
Ook de Digital Services Act (DSA) verplicht grote platforms tot extra zorgplichten. Denk aan risicobeoordelingen en toegang voor toezichthouders tot data voor onderzoek. Advertenties gericht op minderjarigen zijn beperkt of verboden. Voor Meta betekent dit meer rapportage en aantoonbare beheersmaatregelen.
De Spaanse boete past in dit strengere handhavingsklimaat. Bedrijven die steunen op datagestuurde inkomsten zullen hun modellen moeten bijstellen. Minder afhankelijkheid van tracking en meer contextuele advertenties zijn logische richtingen. Dat kan ook de concurrentie op de advertentiemarkt veranderen.
Wat Meta nu moet doen
Op korte termijn zijn duidelijke opties: de cookiebanner aanpassen, tracking standaard uitzetten en toestemming verfijnen per doel. Daarnaast zijn technische maatregelen nodig, zoals het beperken van datadeling en het verkorten van bewaartermijnen. Interne controles moeten aantonen dat systemen werken zoals beschreven. Gebruikers moeten eenvoudig hun voorkeuren kunnen wijzigen.
Op middellange termijn is een privacy-by-design aanpak noodzakelijk. Dat betekent dat ontwerpen van producten en algoritmen beginnen bij minimale dataverzameling. Ook helpt het om aparte paden te maken voor betaalde, advertentievrije varianten en gratis, minder gepersonaliseerde diensten. Zo ontstaat een keuze zonder druk.
Tot slot zal Meta juridisch en publiek vertrouwen moeten herstellen. Heldere communicatie in eenvoudig Nederlands en Spaans helpt hierbij. Onafhankelijke audits en openbaar gemaakte samenvattingen vergroten de geloofwaardigheid. Daarmee wordt de kans kleiner op nieuwe boetes en procedures.
