Italiaanse Post krijgt miljoenenboete voor appcontrole op Androidtelefoons

In dit artikel:

Poste Italiane en dochter Postepay zijn door de Italiaanse privacytoezichthouder GPDP beboet voor samen 12,5 miljoen euro vanwege een app-controle die ze op Androidtelefoons lieten uitvoeren. Het gaat om de bancaire apps Bancoposta en PostePay; gebruikers moesten toestemming geven voor toegang tot telefoongegevens voor zogenoemde malware- of fraudedetectie, en wie weigerde werd uiteindelijk van de apps buitengesloten. Klachten van klanten in 2024 leidden tot het onderzoek.

De controle gebeurde via een externe leverancier, ThreatMetrix. GPDP constateerde dat Poste Italiane en Postepay zonder juiste grondslag en zonder voldoende transparantie toegang tot telefoongegevens haalden en dat er sprake was van onrechtmatige verwerking. Gebruikers waren niet geïnformeerd over het gebruik van ThreatMetrix en dat er hashes van alle geïnstalleerde apps werden gemaakt en teruggestuurd. Ook ontbraken volgens de toezichthouder adequate technische en organisatorische beschermingsmaatregelen, was er geen verplichte DPIA uitgevoerd en werden gegevens langer bewaard dan toegelicht.

Poste Italiane kreeg een boete van 6,6 miljoen euro; Postepay moet circa 5,9 miljoen betalen. Beide partijen moeten duidelijker publiceren welke data via ThreatMetrix worden verwerkt en hoelang die bewaard blijven. Ze laten weten in beroep te gaan. Context: onder de AVG/GDPR zijn transparantie, proportionaliteit en risicobeoordelingen bij beveiligingsverwerkingen verplicht, vooral bij grootschalige monitoring via derden.