DPA beboet Netflix € 4,75 miljoen wegens AVG-overtredingen op het gebied van gegevenstransparantie

De Autoriteit Persoonsgegevens (AP) heeft woensdag video-on-demand streamingdienst Netflix een boete van 4,75 miljoen euro opgelegd omdat het consumenten niet voldoende informatie heeft gegeven over hoe zij hun gegevens tussen 2018 en 2020 hebben gebruikt.

Uit een onderzoek dat de DPA in 2019 lanceerde, bleek dat de technologiegigant klanten in zijn privacyverklaring niet duidelijk genoeg informeerde over wat het doet met de gegevens die het van zijn gebruikers verzamelt. Denk hierbij aan e-mailadressen, telefoonnummers, betaalgegevens, maar ook informatie over wat klanten op het platform bekijken.

“Bovendien kregen klanten niet voldoende informatie toen ze Netflix vroegen welke gegevens het bedrijf over hen verzamelt”, aldus de gegevensbeschermingsautoriteit, die eraan toevoegt dat dit schendingen van de Algemene Verordening Gegevensbescherming (AVG) vormen.

Naast het niet duidelijk maken van het doel en de juridische basis voor het verzamelen van de gegevens, wordt het bedrijf er ook van beschuldigd onduidelijk te zijn over welke soorten informatie met derden worden gedeeld en om welke redenen, de bewaartermijn van gegevens en de veiligheidsgaranties als deze komt. om de informatie naar landen buiten Europa te verzenden.

De Oostenrijkse privacy-non-profitorganisatie None of Your Business (noyb), die in januari 2019 de klacht tegen Netflix indiende, zei “blij” te zijn met de beslissing van de DPA, maar merkte op dat het bijna vijf jaar duurde om deze te verkrijgen.

“Netflix heeft niet alleen niet voldoende informatie verstrekt over waarom het gegevens verzamelt en wat het ermee doet”, aldus het bedrijf. “Het bedrijf slaagde er niet eens in om een ​​volledige kopie van de gegevens van klager te verstrekken.”

Hoewel het bedrijf sindsdien zijn privacyverklaring heeft bijgewerkt en de informatie die het aan gebruikers verstrekt heeft verbeterd, maakt het bezwaar tegen de boete, aldus de DPA.

“Zo’n bedrijf, met een omzet van miljarden en miljoenen klanten wereldwijd, moet zijn klanten goed uitleggen hoe het met hun persoonsgegevens omgaat”, zegt CBP-voorzitter Aleid Wolfsen. “Dat moet glashelder zijn. Zeker als de klant hiernaar vraagt. En dat was niet in orde.”

Noyb heeft ook soortgelijke klachten ingediend tegen Amazon, Apple Music, Spotify en YouTube, waarbij de zaak tegen Spotify ertoe leidde dat de muziekstreamer in juni 2023 een boete van ongeveer € 5 miljoen kreeg van de Zweedse gegevensbeschermingsautoriteit (IMY).

De ontwikkeling komt op het moment dat de Ierse Data Protection Commission (DPC) Meta een geldboete van € 251 miljoen (ongeveer $ 263 miljoen) oplegde voor een datalek in 2018 dat gevolgen had voor 3 miljoen gebruikers in de Europese Unie.

Thijs Van der Does