Adresboekjatten beoordeeld door de Belgische privacy autoriteit

Een van de meest storende fenomenen van IT is dat datagraaiende ‘social media’ niet alleen de gegevens van hun eigen klanten/gebruikers/’leden’ naar zich toe halen. Het is een ‘normale’ praktijk dat de eigen klanten andermans gegevens aan de datagraaiers verschaffen. Één van de manieren waarop dat gebeurt, is via het adresboek van de gebruiker op de smartphone of tablet.

Zo bestookt Microsoft-dochter LinkedIn de gebruikers eens in de zoveel tijd met deze mededeling:

 

Als je hier op ingaat, verschaf je andermans gegevens aan Microsoft/LinkedIn en gaat deze internetgigant er zijn ‘ding’ mee doen, waar de personen in het adresboek uiteraard niet om hebben gevraagd.

Het stoort me al lange tijd, ik heb er bij Microsoft/LinkedIn over geklaagd (nietszeggend antwoord gekregen), maar ben niet toegekomen aan verdere stappen tegen deze internetgigant.

In België is dit onderwerp aan de orde geweest in een beslissing van de Geschillenkamer van de Gegevensbeschermingsautoriteit, de Belgische privacy-toezichthouder (‘de autoriteit’), in een zaak over een niet met naam genoemd sociaal platform, hierna ‘het Platform’. Net als de hierboven vermelde onderneming vroeg het Platform gebruikers om toegang tot het adresboek. De personen uit het adresboek (‘non-users’ personal data‘ of niet-gebruikers) konden uiteraard geen toestemming geven. Toch beriep het Platform zich er op dat de adresboekgegevens verwerkt mochten worden op grond van toestemming, dan wel een ‘gerechtvaardigd belang’. Dat standpunt werd door de Gegevensbeschermingsautoriteit niet gedeeld.

Toestemming
De autoriteit stelt vast dat een gebruiker van het Platform geen toestemming kan geven voor de verwerking van de persoonsgegevens van niet-gebruikers van het Platform.

Gerechtvaardigd belang
Vervolgens komt de AVG-grondslag ‘gerechtvaardigd belang’ aan de orde en bespreekt de autoriteit de wijze waarop getoetst moet worden, wat er op neer komt dat het Platform dient aan te tonen dat:

1) de belangen die het Platform met de verwerking nastreeft, als gerechtvaardigd kunnen worden erkend (de “doeltoets”);
2) de beoogde verwerking noodzakelijk is voor de verwezenlijking van deze belangen (de “noodzakelijkheidstoets”); en
3) de afweging of deze belangen ten opzichte van de belangen, fundamentele vrijheden en grondrechten van betrokkenen (de personen uit het adresboek) doorwegen in het voordeel van het Platform of van een derde (de “afwegingstoets”).

Aan de doeltoets wordt door het Platform voldaan, want direct marketing kan daar onder vallen.

Maar bij de noodzakelijkheidstoets komt het Platform in de problemen:

  • Er werden te veel persoonsgegevens uit de adresboeken geïmporteerd.
  • De persoonsgegevens werden te lang bewaard. De autoriteit oordeelt dat alleen met inachtneming van de noodzakelijkheidstoets wordt gehandeld als de persoonsgegevens onmiddellijk na initieel gebruik worden gewist.
  • Ten onrechte wordt geen onderscheid gemaakt tussen personen in het adresboek die al gebruiker zijn van het Platform en degenen die dat niet zijn. Het gerechtvaardigd belang van het Platform kan betrekking hebben op degenen in het adresboek die al gebruiker zijn en het Platform mag aanbieden hen contactverzoeken te zenden.

De autoriteit concludeert dat het opslaan van contactgegevens van niet-gebruikers van het Platform slechts is toegestaan in de context van “compare and forget” onder strikte vereisten en waarborgen, waarin in casu niet wordt voldaan.

De afwegingstoets loopt eveneens verkeerd af voor het Platform: personen in een adresboek horen er geen rekening mee te hoeven houden dat hun gegevens via een dienst als het Platform elders terecht komen. Ook hier speelt dat er teveel gegevens worden verwerkt en deze te lang worden bewaard.

Compare & forget
Het Platform mocht de persoonsgegevens van niet-gebruikers uit de adresboeken van de gebruikers in de gegeven situatie niet verwerken op basis van gerechtvaardigd belang. Dat zou alleen anders zijn geweest, als het Platform zich zou hebben beperkt tot een strikte “compare & forget” aanpak, waarbij de autoriteit opmerkt dat geen argument is dat ‘iedereen het doet’.

Wat is toegestaan wordt als volgt beschreven:

103. De Geschillenkamer oordeelt voorts in dit geval dat het gerechtvaardigd belang in dit geval enkel toelaat om gegevens van niet-gebruikers te verwerken met het oog op een “compare & forget” actie, ten einde bestaande gebruikers onder de contactgegevens te selecteren en eventuele uitnodigingse-mail aan die bestaande gebruikers te versturen.

104. Meer in het bijzonder is de Geschillenkamer in dit geval van oordeel dat de verwerking beperkt moet worden tot de gegevens die strikt noodzakelijk zijn voor het doeleinde “uitnodiging tot de website” en voor zover het technisch onmogelijk is om in het adresboek van een gebruiker een onderscheid te maken tussen leden en niet-leden zonder deze gegevens eerst minimaal te verwerken. Verweerder zou bovendien conform artikel 32 AVG gepaste technische en organisatorische maatregelen moeten treffen om de verwerking naar behoren te beveiligen. Slechts onder deze voorwaarden zou deze verwerking op basis van het gerechtvaardigd belang van de verweerder kunnen verlopen.  

De eindconclusie is dat het Platform in strijd met de AVG heeft gehandeld door persoonsgegevens van niet-gebruikers te verwerken. Voorts is in strijd met de AVG gehandeld door de geadresseerden van berichten aan bestaande gebruikers van het Platform vooraf aan te vinken (strijd met het dataminimalisatiebeginsel).

Het Platform krijgt een boete van 50.000 euro opgelegd.

Deze uitspraak geeft aan dat bij de verwerking van persoonsgegevens altijd zorgvuldig moet worden nagegaan of de verwerking op grond van de AVG is toegestaan. Het is goed mogelijk dat een handelswijze gewoon is geworden, die in strijd is met diezelfde AVG. Denk dus goed na – zeker als het om marketing gaat – en win tijdig advies in bij een privacy-deskundige.

 

Meer informatie:

 

Een verkorte versie van dit artikel verscheen op de privacy-site van Pellicaan Advocaten privacy-recht.com onder de titel Adresboekgegevens van niet-gebruikers van sociaal platform mochten niet worden verwerkt | beslissing Belgische privacy autoriteit.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce en getagged met , , , , , . Maak dit favoriet permalink.

2 reacties op Adresboekjatten beoordeeld door de Belgische privacy autoriteit

  1. r grootveld zegt:

    Dit is ernstig ontmoedigend. Zouden ze wakker liggen van 50.000? En ze zullen natuurlijk steeds weer de grenzen van de wet opzoeken. Waarom de handel in persoonlijke gegevens niet gewoon verbieden? En dan elke aparte overtreding als strafzaak behandelen. Dat gaat natuurlijk niet gebeuren. Daarvoor heeft de overheid vast wel sluitende argumenten. Ondertussen zitten we met ingewikkelde, veeleisende en soms ondoorgrondelijke wetgeving (en niet alleen hier) waarmee het MKB wordt opgescheept op straffe van zware sancties (relatief: 20.000 voor een boekhoudkantoor -ander artikel- en 50.000 voor een multinationale onderneming).
    Ik heb de indruk dat men in Den Haag vooral daadkracht wenst uit te stralen met die praktijk van de samenleving te overspoelen met wetgeving. Wetgeving die nauwelijks functioneert en scheve verhoudingen schept. Maar daarom niet getreurd. Morgen komen we weer met wat nieuws.

    • De privacy wetgeving komt uit Europa en mijn indruk is dat de Autoriteit Persoonsgegevens vooral bezig is met grote ondernemingen. De Autoriteit Persoonsgegevens is ook bezig met voorlichting, dat is voor het MKB belangrijk.

      De Wwft-boetes vallen in een heel andere categorie: daar gaat het om misdaadbestrijding door kleine ondernemingen, waarvan diezelfde Europese wetgever heel grote verwachtingen heeft. Financieel recht (waar de Wwft onder valt) werkt anders dan de privacy regels. Daar waar het financiële recht voorrang heeft, speelt privacy ook geen rol meer. Dat wordt geïllustreerd door middel van onder meer het ubo-register.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s