AVG en het transparantiebeginsel AVG en het transparantiebeginsel
IT-recht
IT-contracten en continuïteitsregelingen voor on-premise software en cloudsystemen
Privacy
Privacyrecht, AVG en het treffen van daaraan gerelateerde maatregelen binnen je organisatie
Intellectueel eigendom (IE)
Vaststellen, vastleggen, waarderen, verpanden en overdragen van IE-rechten en software

AVG en het transparantiebeginsel
20 december 2024

Privacyverklaring Netflix niet op orde: Netflix betaalt de prijs voor onvoldoende transparantie

De Nederlandse privacytoezichthouder, de Autoriteit Persoonsgegevens (AP), heeft Netflix een boete van 4.75 miljoen euro opgelegd wegens het schenden van het transparantiebeginsel van de AVG. Het bedrijf was tussen 2018 en 2020 onduidelijk tegenover klanten over wat er gebeurde met hun persoonsgegevens, zelfs nadat klanten daar expliciet naar vroegen. In deze blog geven we uitleg over het transparantiebeginsel en het boetebesluit van de AP.

Het transparantiebeginsel

Wanneer je persoonsgegevens verwerkt, moet je duidelijk en helder zijn over welke gegevens verwerkt worden om te voldoen aan de verplichtingen en beginselen van de AVG. Eén van deze beginselen is het transparantiebeginsel, dat op twee manieren in de AVG tot uitdrukking komt. Allereerst moeten de betrokkenen van tevoren door de verwerkingsverantwoordelijke worden ingelicht over de verwerking (de informatieplicht).

Daarnaast mogen betrokkenen een verzoek indienen om in te zien welke persoonsgegevens van hun worden verwerkt (het recht op inzage). Naast de duidelijke verplichtingen in de AVG, geldt het transparantiebeginsel ook op de achtergrond bij iedere vorm van communicatie over de verwerking: je moet duidelijk en in heldere taal communiceren. De informatie die je geeft moet dus ook volledig zijn en mag niet dubbelzinnig zijn of in (juridisch) jargon worden geschreven.

De informatieplicht

Als de persoonsgegevens bij de betrokkene worden verzameld, zoals in dit geval, moet de verwerkinsgverantwoordelijke aan de betrokkenen de volgende algemene informatie verstrekken:

  • de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en zijn vertegenwoordiger;
  • de contactgegevens van de functionaris voor gegevensbescherming, indien aanwezig;
  • de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de grondslag voor de verwerking;
  • de gerechtvaardigde belangen, wanneer de verwerking is gebaseerd op het gerechtvaardigd belang;
  • indien persoonsgegevens worden doorgegeven aan andere partijen, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
  • wanneer de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens buiten de EER te verwerken op welke wettelijke basis dat gebeurt.

Daarnaast moet er nog specifieke informatie worden verstrekt:

  • de bewaartermijn;
  • de rechten uit de AVG die de betrokkene kan uitoefenen;
  • wanneer een verwerking is gebaseerd op toestemming, dat de betrokkene de toestemming te allen tijde kan intrekken;
  • dat de betrokkene een klacht kan indienen bij de AP;
  • of de verstrekking van persoonsgegevens een contractuele of wettelijke plicht is, dan wel een voorwaarde om een overeenkomst te sluiten, of de betrokkene verplicht is om de persoonsgegevens ook te verstrekken én wat de gevolgen zijn als hij dat niet doet
  • of er gebruik wordt gemaakt van geautomatiseerde besluitvorming en zo ja, informatie over de logica daarachter.

Al deze informatie moet vóór de verwerking al duidelijk zijn voor de betrokkenen. Vaak wordt deze informatie getoond in een privacyverklaring (ook wel privacy statement genoemd), voordat je gebruik gaat maken van een dienst. Dat kan bijvoorbeeld bij het aanmaken van een account, maar in sommige gevallen al bij het bezoeken van een website doordat cookies ook persoonsgegevens kunnen verzamelen.

Het recht op inzage

Volgens de AVG hebben betrokkenen bepaalde rechten ten aanzien van hun persoonsgegevens, waaronder het recht op inzage, correctie, verwijdering en overdraagbaarheid. Het recht op inzage is erg belangrijk, omdat de betrokkene kan zien of zijn persoonsgegevens op een juiste manier worden verwerkt. Zo is de betrokkene in staat om een beslissing te nemen of hij een van de andere rechten uit wil oefenen, zoals rectificatie of verwijdering van zijn persoonsgegevens. De betrokkene hoeft geen redenen op te geven voor het verzoek. Een verwerkinsgverantwoordelijke is verplicht om het gebruik van deze rechten mogelijk te maken en mag een verzoek om een recht uit te oefenen niet zomaar weigeren. Ten slotte mag een verzoek in beginsel geen kosten met zich meebrengen voor de betrokkene, alleen wanneer het verzoek buitensporig is of de betrokkene herhaaldelijk verzoeken indient mogen er kosten in rekening worden gebracht.

Bij uitoefening van het recht op inzage moet de verwerkingsverantwoordelijke de betrokkene voorzien van een uittreksel van de bij hem aanwezige persoonsgegevens en daarnaast van de volgende informatie:

  1. de doeleinden van de verwerking;
  2. de categorieën van persoonsgegevens;
  3. de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  4. de bewaartermijn;
  5. dat de betrokkene het recht op rectificatie, verwijdering, beperking en bezwaar heeft;
  6. dat de betrokkene een klacht kan indienen bij de AP;
  7. indien de persoonsgegevens niet van de betrokkene zelf afkomstig zijn, alle informatie over de bron van de persoonsgegevens;
  8. of er gebruik wordt gemaakt van geautomatiseerde besluitvorming, waaronder profilering, en informatie over de onderliggende logica daarvan.

Veel van deze informatie overlapt met de informatieplicht, maar dat betekent niet dat het verstrekken van die informatie achterwege kan worden gelaten bij een verzoek op inzage. De verwerkingsverantwoordelijke moet de informatie dan nog een keer delen.

Het boetebesluit

Netflix gebruikt voor haar dienstverlening verschillende persoonsgegevens. Om gebruik te maken van het platform, moeten klanten zich registreren en een betaald account aanmaken. Bij het registreren verstrekken zij persoonsgegevens aan Netflix, waaronder naam, geboortedatum, e-mailadres, telefoonnummer en bankrekeningnummer. Met het account krijgen klanten toegang tot het aanbod van films en series van Netflix. Ook het kijkgedrag van een account wordt bijgehouden, deze informatie wordt gebruikt om aanbevelingen te doen en content aan te bieden die aansluit bij de interesses van de accounthouder. Dit kijkgedrag geeft informatie over een persoon en is daarom ook zeker een persoonsgegeven.

De AP stelt dat Netflix onvoldoende informatie heeft gegeven ten aanzien van een aantal punten uit de informatieplicht en het recht op inzage, namelijk: 1) de grondslagen en doeleinden van verwerking van persoonsgegevens, 2) de ontvangers van persoonsgegevens, 3) de bewaartermijnen, en 4) of en hoe er sprake is van internationale doorgifte.

Doeleinden en grondslag

Wat allereerst de doeleinden en grondslagen betreft, moet elke verwerking een vooraf bepaald, uitdrukkelijk omschreven doeleinde dienen. Per verwerking moet dus worden gecommuniceerd in de privacyverklaring welk doel de verwerking heeft. Daarnaast moet er een grondslag zijn voor de verwerking. De AVG kent zes verschillende grondslagen voor de verwerking van persoonsgegevens:

  1. toestemming van de betrokkene;
  2. noodzakelijk voor de uitvoering van een overeenkomst waar de betrokkene partij bij is;
  3. noodzakelijk voor de uitvoering van een wettelijke plicht
  4. noodzakelijk voor de bescherming van vitale belangen van de betrokkene;
  5. noodzakelijk voor een publieke taak;
  6. noodzakelijk voor het gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde.

De verwerking moet gebaseerd zijn op één van deze grondslagen en in de privacyverklaring moet bij de verwerking specifiek worden genoemd welke verwerking welke grondslag heeft. Lees meer over de grondslagen in onze blog hierover.

In het onderzoek van de AP naar Netflix kwam naar voren dat er meer doeleinden waren dan in de privacyverklaring werd uiteengezet; betrokkenen werden dus niet volledig geïnformeerd. Daarnaast had Netflix nagelaten om te communiceren welke persoonsgegevens werden gebruikt voor bepaalde doeleinden uit haar privacyverklaring, namelijk het aanbevelen van haar aanbod, het analyseren van doelgroepen en het voorkomen van fraude. De AP onderstreept hiermee een belangrijk punt: het loskoppelen van de persoonsgegevens van de doeleinden waarvoor ze verwerkt worden heeft als gevolg dat de informatie niet wordt verstrekt in beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal. Oftewel, het is niet in lijn met het transparantiebeginsel. Ook had Netflix per doeleinde niet specifiek genoeg informatie verstrekt over de grondslag van de verwerking.

Ontvangers van persoonsgegevens

Persoonsgegevens mag je niet zomaar delen met derde partijen. Dit is meestal een aparte verwerking waarvoor je ook een aparte grondslag nodig hebt. Uit het onderzoek van de AP bleek dat Netflix in haar privacyverklaring had opgenomen dat zij gebruik maakt van advertentiediensten van derden en in het kader daarvan persoonsgegevens van klanten kunnen verwerken en openbaar kunnen maken. Er werd echter niet gespecificeerd om welke partijen het ging, terwijl Netflix dat wel wist. De AP stelt dat dit onbehoorlijk is en dat Netflix deze informatie gewoon had moeten verstrekken van tevoren en bij een inzageverzoek, zeker aangezien het niet om enorm veel derde partijen ging.

Bewaartermijnen

In haar privacyverklaring stelde Netflix zeer algemeen dat persoonsgegevens werden bewaard ‘zoals vereist of toegestaan volgens wet- en regelgeving’. Hierbij werden wel enkele voorbeelden genoemd, maar geen concrete bewaartermijnen. In het kader van het onderzoek kon Netflix wel informatie overleggen over concrete bewaartermijnen, alleen werd die informatie dus niet aan betrokkenen gegeven. Nog een schending van de informatieplicht dus, zeker gezien het volgens de AP een kleine moeite was om dit ook in de privacyverklaring te zetten.

Internationale doorgifte

Wanneer je persoonsgegevens doorgeeft naar een land waar de AVG niet geldt, dan moet je voldoen aan aanvullende regels. Er zijn bepaalde mechanismen om te voldoen aan die regels, bijvoorbeeld door bepaalde standaardcontracten te gebruiken die zijn goedgekeurd voor doorgifte. De verwerkingsverantwoordelijke die persoonsgegevens buiten de EER verwerkt, zal de betrokkenen zowel vooraf als bij een inzageverzoek moeten informeren over welke waarborgen er zijn en hoe hij daarvan een kopie kan raadplegen. Bijvoorbeeld een link naar een dergelijk goedgekeurd standaardcontract. Netflix verwerkte persoonsgegevens in twaalf verschillende landen buiten de EER en verschafte daarover geen informatie.

Alle schendingen opgeteld had de boete veel hoger kunnen uitvallen (max 4% van de jaaromzet), maar omdat Netflix bereid was mee te werken aan het onderzoek en aan verbetering werd de boete beperkt tot €4,75 miljoen. Inmiddels is de privacyverklaring van Netflix al lang geüpdatet om de bovenstaande gebreken te verhelpen, het onderzoek had immers alleen betrekking op een periode tussen 2018 en 2020. Dit (verlate) boetebesluit onderstreept echter wel weer dat het belangrijk is om te allen tijde je privacyverklaring op orde te hebben en bij te houden. Daarnaast laat het zien dat het niet makkelijk is om te voldoen aan de eisen van de informatieplicht, je moet elke verwerking juridisch kunnen verantwoorden.

Hulp of advies nodig?

Hulp nodig bij het opstellen of updaten van een privacyverklaring? Of alleen met bepaalde onderdelen daarvan, zoals de grondslagen? De IT-Jurist kan je helpen met het opstellen of het beoordelen van je privacyverklaring. Neem contact met ons op!

Tags

 

Neem contact op

Meer informatie of een afspraak maken? Bel 050-5344574 of laat hier een bericht achter via ons contactformulier.

Ook interessant om te lezen

Van product naar dienst – servitization en contracten
Vaak is het contract voor het leveren van je product geregeld, maar hoe zit dat met het aanbieden van de dienst eromheen?
Handelsnaam en het merk: de verschillen
Voor het beschermen van de goede naam van jouw bedrijf zijn er twee IE-rechten zeer geschikt.
De precontractuele fase: hoe mitigeer je de risico’s?
Hoe voorkom je aansprakelijkheden tijdens de onderhandelingsfase? Lees het in onze nieuwste blog.