Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Grindr krijgt AVG-boete van bijna 10 miljoen euro opgelegd in Noorwegen

Datingapp Grindr hangt een boete boven het hoofd van omgerekend 9,6 miljoen euro van de Noorse privacywaakhond. Volgens de autoriteit heeft Grindr AVG-regels geschonden door gebruikersgegevens met reclamediensten te delen.

De Noorse Datatilsynet heeft Grindr op de hoogte gebracht van de boete, maar geeft het bedrijf nog kans om te reageren voor het de boete definitief oplegt. De datingapp, die populair is in de lhbti-gemeenschap, heeft volgens de autoriteit gebruikersgegevens gedeeld met een aantal verschillende derde partijen, terwijl ze hiervoor geen instemming hebben van gebruikers. Data van onder meer de gps-locatie, gebruikersprofielen en het feit dat iemand op Grindr actief is, werd door de app gedeeld met derden voor marketingdoeleinden. Data werd gedeeld met marketingpartijen MoPub, onderdeel van Twitter, Xandr, OpenX Software, AdColony en Smaato. Tegen hen heeft de data-autoriteit ook een klacht ingediend.

De autoriteit concludeert dat Grindr instemming nodig heeft voor het delen van deze persoonlijke gegevens en dat de app dat nu onvoldoende heeft. Daarnaast stelt de autoriteit dat het gegeven dat iemand actief is op Grindr beschermd moet worden als bijzonder persoonsgegeven, omdat het iets zegt over de seksuele geaardheid van een persoon. Volgens de Datatilsynet hebben gebruikers niet de mogelijkheid om echt invloed uit te oefenen op het wel of niet delen van hun data. Gebruikers moeten de privacyvoorwaarden accepteren van Grindr om de app te kunnen gebruiken. Ze hebben daarbij niet de keuze om gebruikersgegevens niet te delen met derden.

Grindr krijgt een boete opgelegd van 10 procent van de jaarlijkse omzet. Omdat Grindr volgens de autoriteit jaarlijks een omzet heeft van zeker 100 miljoen dollar, komt de boete neer op 100 miljoen Noorse kronen, omgerekend 9,6 miljoen euro. De boete is nog niet definitief. Grindr heeft tot 15 februari om te reageren op de boete en eventueel de voorwaarden aan te passen.

Volgens de Nederlandse Autoriteit Persoonsgegevens is het zeer waarschijnlijk dat ook Nederlandse gebruikers getroffen worden door deze privacyschending. De AP doet geen mededelingen over of het ook onderzoek gaat doen naar Grindr, maar zegt wel dat de AP gedurende het gehele onderzoek contact had met de Noorse toezichthouder.

De Autoriteit Persoonsgegevens reageert kritisch op de privacyschending van Grindr: "Het zonder jouw toestemming verkopen van zaken als je locatie, is een zeer ernstige schending van de privacywet", vertelt de woordvoerder. "Zonder medeweten van de gebruikers surveilleerde Grindr hen, om die informatie door te verkopen aan advertentiebedrijven. Nog ernstiger is dat Grindr in feite ook handelde in seksuele voorkeur van mensen, door tegen betaling te laten weten wie de app had geïnstalleerd. Jij moet zelf kunnen beslissen aan wie jij vertelt dat je bijvoorbeeld homoseksueel bent. Dat mag geen handelswaar zijn."

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Stephan Vegelien

Redacteur

26-01-2021 • 10:59

52 Linkedin

Reacties (52)

Wijzig sortering
Dit is voor het eerst dat ik lees dat de maximale boete – 10% van de jaaromzet – ook daadwerkelijk lijkt te worden opgelegd door een toezichthouder. Dat bedrag lijkt in Noorwegen (geen EU-land) een stuk hoger dan in de EU, waar de toezichthouder organisaties die de AVG overtreden een boete kan opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Echter: in Noorwegen gaat het om de omzet in dat land, terwijl het in de EU-regelgeving om de wereldwijde omzet gaat. Dat neemt niet weg dat de voorgenomen boete voor Grindr niet misselijk is.
Die 10% is geen maximum aan de boetehoogte (en de 4% ook niet). Artikel 83 AVG spreekt van "administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is". Je mag dus méér dan 20 miljoen opleggen als je dat dan tot 4% van wereldwijde jaaromzet beperkt. Maar 20 miljoen mag sowieso, ook als 4% van de wereldwijde jaaromzet minder is dan dat bedrag.

Je moet wel aantonen dat je boete proportioneel etc is natuurlijk, maar dat doen ze: zie pagina 21 van het voorgenomen besluit, https://www.datatilsynet....n-administrative-fine.pdf
Ergens wel gek als ik het zo lees. Dit suggereert een beetje dat 4% van de jaaromzet een maximaal richtbedrag is? Waarom anders de beperking tot 4% van de jaaromzet?

En ook wel vreemd dat een klein bedrijf dus kapot kan gaan door een boete tot max 20 miljoen euro, maar dat een groot bedrijf beschermd wordt door de 4%-regel.
Iedereen kan een boete tot 20 miljoen krijgen, als die proportioneel is voor de overtreding. De jaaromzet van het bedrijf of haar concern is daarbij irrelevant.

Als 20 miljoen te weinig voelt, dan mag de toezichthouder overstappen naar de 4% van de wereldwijde jaaromzet. Dat was in de eerste teksten 20%, maar dat vond de politiek dus een te pittig maximum ondanks dat je daar de grote techreuzen echt veel pijn mee zou doen.
dit is maar een gok, maar misschien doen ze dat om te voorkomen dat een groter bedrijf zijn illegale praktijken bij een kleiner bedrijf kan onderbrengen?

en in het geval dat het daadwerkelijk een zelfstandig klein bedrijf is, zal de boete ook niet zo snel op €20 miljoen uitkomen. er moet immers ook nog een legitieme reden zijn voor de hoogte van het boete bedrag.
Of Noorwegen lid van de EU is, is in deze niet eens zo relevant, aangezien de scope van de GDPR de EEA (waar Noorwegen onderdeel van uit maakt) is en niet de EU :). Kortom, Noorwegen beschikt op het boete-front over alle mogelijkheden binnen de GDPR wetgeving.
Ik denk dat hier iets niet klopt. Het zou wel een topprestatie zijn als een niche-app als Grindr in Noorwegen alleen al een omzet van 100 miljoen USD zou hebben. Een land met nog geen 5,4 miljoen inwoners!

Hoe het wel zit weet ik niet, maar volgens het artikel legt Noorwegen dus een boete op van 10% van de wereldwijde omzet van Grindr. Gaat een moeilijk jaar voor ze worden, als andere europese landen gaan volgen..
Nou ja, Google levert diensten voor niks, er zit dus blijkbaar veel geld in het verkopen van persoonsgegevens. Het is maar de vraag wat ze allemaal verkopen en wie ervoor wil betalen (en hoeveel). Als je rekent met alleen het abonnementsgeld van de actieve gebruikers klinkt het zeker als veel, maar persoonsgegevens kunnen keer op keer verkocht worden en deze inkomsten vallen gewoon onder de omzet van de onderneming.
Er wordt naar de wereldwijde jaaromzet gekeken.
Als ik hier kijk zie ik dat je maximaal 10 miljoen euro boete mag geven, of 2% van de jaarlijkse werelwijde omzet. Lijkt erop dat ze hier voor de maximale boete zijn gegaan van dus 10 miljoen.

Alsnog kunnen samenwerkende Europese waakhonden samen dus een bedrijf helemaal kapot maken, als ze allemaal apart 10 miljoen of 2% bij mega bedrijven gaan innen. Ik vind het dus knap dat de GDPR zulke boetes toestaat, en ik vraag me af wat het geweest zou zijn zonder lobbyisten...
In de huidige tijd zijn boetes in mijn ogen niet meer dan een aflaat in de middeleeuwen, waarmee rijkeren hun zonden kon 'afkopen'. 10% van de omzet is niet weinig, maar 10% = 10%. Met een beetje creatief boekhouden, zou het mij niets verbazen als die 10% uiteindelijk een stuk minder is dan écht 10%.
Met omzet kan je niet creatief boekhouden, tenzij je keihard gaat frauderen. En dat vinden de aandeelhouders weer niet leuk.
De shell-company die de overtreding maakt en boete krijgt hoeft niet de shell-company te zijn die de omzet genereert.
Dat soort trucjes werken niet. De EU kijkt hier doorheen. Bijvoorbeeld: Een BV expres failliet laten gaan werkt niet. Hetzelfde voor het bepalen van de omzet, de EU kijkt naar meer dan alleen 1 BV. Elk groot bedrijf heeft al namelijk ontiegelijk veel BV's (per land meestal minimaal 1).
En nu ga je te makkelijk door de bocht door te zeggen dat het een truc is. Natuurlijk kijkt de EU naar het grote plaatje. Maar een bedrijfsstructuur is niet altijd een truc. Vaak is het noodzakelijk en zijn zaken/werkwijzen ook echt gescheiden. Dan is het niet vanzelfsprekend dat je de moedermaatschappij kan betrekken.
Omzet is het geld dat er binnenkomt, voordat je kosten gaat voldoen of salarissen gaat betalen. Als jij na aftrek van alle kosten 10% overhoudt dan doe je het niet gek als internetbedrijf. Geloof me, 10% van je omzet doet écht pijn bij ondernemingen. Tegelijk is het ook weer niet de bedoeling dat je van een boete failliet gaat.
Tegelijk is het ook weer niet de bedoeling dat je van een boete failliet gaat.
Dat risico is wel aanwezig wanneer individuele landen boetes uitdelen op basis van de wereldwijde omzet (en niet de omzet in dat land). Dan hoeven er maar een paar landen voor hetzelfde probleem een boete uit te delen en dan kun je alsnog stoppen.
Tegelijk is het ook weer niet de bedoeling dat je van een boete failliet gaat.
Niet? wel een beetje denk ik. uiteindelijk moet het risico er zijn, misschien niet meteen de genadeslag maar wel de muilkorving die het langzaam doet bezwijken aan de competitie.
Waarom de boete niet meteen opleggen? Als ik een verkeersboete rijdt, dan wordt mij toch ook niet lief gevraagd of ik eerst wil reageren alvorens de boete definitief wordt? :s

Wat mij betreft mag er streng(er) opgetreden worden tegen dit soort praktijken. Straks denken bedrijven nog dat ze ermee weg kunnen komen. |:(
Verkeersboetes zijn dan ook zo'n beetje de enige uitzondering op de regel. In alle andere gevallen komt er een rechter aan te pas.
Dat gaat dan ook alleen om de kleine verkeersboetes (wet Mulder).
Als je in Belgie geflitst word, krijg je mooi een brief thuis waarin je kan reageren. Niet dat het helpt, maar je kan wel. (De enige reactie die helpt : ik reed niet maar persoon xxx wel. Maar als xxx de boete toch niet betaalt, krijgt de eigenaar van de auto alsnog de boete aangesmeerd)
Toch wel? Je hebt namelijk tijd om te reageren via een bezwaar.

Daarnaast is een verkeersovertreding ook meestal wel iets dat daadwerkelijk bewezen heeft plaatsgevonden. In dit geval lijkt het niet onomstotelijk bewezen te kunnen worden als ik het artikel lees en kan het dus nog zijn dat Grindr wel een verweer heeft die het ontkracht.

[Reactie gewijzigd door mrdemc op 26 januari 2021 13:45]

Grindr is ook niet meer wat het was. Tegenwoordig zit het vol met fouten en werken de meeste functies niet (meer). Het enige wat ze willen, is dat je een dure abonnement neemt op functies (die waarschijnlijk ook niet werken). De web versie heeft al weken onderhoud en is niet bereikbaar.

Het verbaast mij niet dat ze privacy gevoelige informatie hebben verkocht, was namelijk een tijd lang in Chinese handen. Daarnaast geven mensen best veel informatie over zichzelf in de app: lengte, kilo, hiv-status, ras, relatie status enz.
Of het is nog niet ontdekt dat de data verkocht wordt.
Ik zou mij eerder zorgen maken over de vele naaktfoto's die er waarschijnlijk slecht-beveiligd opgeslagen zijn.
Ach tja, ik denk dat niet dat mensen snel herkend worden aan hun dick-pics. Als je die al maakt, dan ga je er ook vanuit dat de ontvanger ze kan verspreiden
Het verbaast mij niet dat ze privacy gevoelige informatie hebben verkocht, was namelijk een tijd lang in Chinese handen.
Daarmee suggereer je dat het verkopen van data vooral een Chinese aangelegenheid is? Dat vind ik een boude uitspraak, gezien de eindeloze reeks schandalen op dat vlak van voornamelijk bedrijven uit de Bay Area...
De titel zegt dat ze de boete krijgen, tekst zegt dat het boven hun hoofd hangt.
clickbait.... Alles voor de adverteerders.
Volgens de autoriteit heeft Grindr AVG-regels geschonden door gebruikersgegevens met reclamediensten te delen.
En daarom maak ik nooit accounts aan, bij welke website of app ook (met uitzondering van Dig-ID en mijn bank, want daar ontkom je niet aan!), met mijn échte gegevens. Ik vertrouw niks online. En keer-op-keer wordt dat ook bevestigd. Met andere woorden: ik was niet eens verbaasd toen ik het las (want allang door mezelf voorspeld...) ;)
Dus online aankopen doen en/of online met credit card betalen is voor jou niet weggelegd?
Gebruikers moeten de privacyvoorwaarden accepteren van Grindr om de app te kunnen gebruiken. Ze hebben daarbij niet de keuze om gebruikersgegevens niet te delen met derden.
Nou, dat is toch met een hele hoop app's, volgensmij is dat met Tinder ook.
De methodes en de technische informatie over wat er op de achtergrond gebeurt met de gegevens staat in het onderzoeksrapport "out of control" goed uitgelegd: https://www.forbrukerrade...ri/report-out-of-control/

Grindr: Sends a lot of user data, including GPS location, IP address, gender, and age, to a large variety of third parties including AdColony, AppNexus (Xandr), Bucksense, MoPub, OpenX, PubNative, and Smaato. Uses MoPub for ad mediation. Sends user information including “relationship type” to Braze.

[Reactie gewijzigd door MiZtraL op 26 januari 2021 22:39]

Oeh, dat zal schuren.
Grindr ligt al lang onder vuur - het gegeven dat er niet te veel verandert is - maakt dat men meteen de zware middelen boven haalt. Terecht.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True