De Ierse Data Protection Commission (DPC) heeft op 27 september 2024 een boete van €91 miljoen opgelegd aan de Ierse bedrijfstak van Meta. Dit besluit is het gevolg van een onderzoek dat in april 2019 werd gestart, nadat het bedrijf had gemeld dat wachtwoorden van gebruikers onbedoeld in ‘platte tekst‘ waren opgeslagen op hun interne systemen, zonder daarbij cryptografische bescherming of versleuteling te hebben gebruikt.

Het onderzoek beoordeelde de naleving van de Algemene Verordening Gegevensbescherming (AVG), met name op het gebied van beveiligingsmaatregelen voor wachtwoorden en het melden van datalekken. De DPC constateerde vier inbreuken op de AVG:

1. Het niet melden van een datalek betreffende de opslag van wachtwoorden in platte tekst.
2. Het niet documenteren van datalekken met betrekking tot wachtwoorden.
3. Het niet gebruiken van passende technische of organisatorische maatregelen om de beveiliging van wachtwoorden te waarborgen.
4. Het niet implementeren van passende maatregelen om een beveiligingsniveau te garanderen dat past bij het risico.

Naast de boete heeft de DPC ook een berisping gegeven. De beslissing benadrukt het belang van correcte beveiliging bij het verwerken van persoonsgegevens, met name gevoelige gegevens zoals wachtwoorden. Hoewel de wachtwoorden niet toegankelijk waren voor externe partijen, wordt benadrukt dat de opslag in niet gecodeerde, platte tekst een aanzienlijk risico vormt.