Noorse privacywaakhond wil Disqus AVG-boete geven van 2,5 miljoen euro

De Noorse privacywaakhond is van plan het discussieplatform Disqus een boete te geven van omgerekend 2,5 miljoen euro. Disqus zou gebruikers onnodig tracken in het land, al houdt het zich in de rest van de EU wel aan de privacywet.

De Datatilsynet zegt dat het Disqus-moederbedrijf Zeta Global een AVG-boete van 25 miljoen Noorse kronen wil geven. Dat is omgerekend 2,5 miljoen euro. Disqus wordt volgens de toezichthouder gebruikt door verschillende Noorse kranten en websites. Het privacyonderzoek naar Disqus begon naar aanleiding van een serie artikelen van de Noorse publieke omroep. Die beschreef hoe websites waar het discussieplatform op was geïmplementeerd bezoekers onrechtmatig zouden tracken. De data werd vervolgens aan externe adverteerders doorgestuurd. De waakhond keek voor het onderzoek naar zeven websites waarop Disqus actief was.

Opvallend is dat Disqus volgens de Noorse publieke omroep in de rest van de EU wel degelijk aan de AVG voldeed. Zeta Global zou eerder in een interview met de omroep hebben gezegd dat het niet wist dat de AVG in Noorwegen van toepassing was. Noorwegen is geen lid van de Europese Unie, maar valt wel binnen het Europees Economisch Gebied. Dat zijn alle 27 Europese lidstaten, plus IJsland, Liechtenstein en Noorwegen. De AVG is ook in die laatste drie landen actief.

Desondanks beriep Zeta Global zich tegenover de Noorse privacywaakhond wel op het gerechtvaardigd belang. Dat is een van de zes grondslagen waarop een bedrijf onder de AVG persoonsgegevens mag verzamelen. Daar gaat de Datatilsynet niet in mee. "Op basis van ons voorlopige onderzoek geloven we dat Disqus geen gerechtvaardigd belang heeft voor het tracking over meerdere websites en het doorgeven van persoonlijke data", schrijft de toezichthouder. "Dit soort tracking vereist toestemming van de gebruiker.

Daarnaast is Disqus niet transparant over welke informatie het verzamelt. Het bedrijf zou gebruikers 'geen adequate informatie hebben gegeven' over hoe het data gebruikt. Tot slot zou Zeta Global het verantwoordelijkheidsbeginsel uit de AVG hebben geschonden door te stellen dat de privacywet niet van toepassing was op zijn Noorse gebruikers.

De toezichthouder noemt het een ernstige overtreding, en zegt dat de boete zo hoog is omdat de verzamelde informatie zo gevoelig was. Door de data over websitebezoek zou het bedrijf kunnen aggregeren wat iemands politieke voorkeuren zijn. Bovendien is het mogelijk dat minderjarigen werden getrackt. Die hebben onder de AVG een extra beschermde positie.

De boete is nog niet definitief. De Datatilsynet heeft Disqus eerst een brief gestuurd waar het bedrijf voor het einde van de maand op kan reageren. Daarna volgt een definitieve beslissing.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 06-05-2021 17:08
20 • submitter: himlims_

06-05-2021 • 17:08

20

Submitter: himlims_

Lees meer

Nederlandse AVG-boetes zijn hoog

13 mei 2021

Nederlandse AVG-boetes zijn hoog

AP straft niet veel, maar bovengemiddeld hard

83
Noorse privacywaakhond geeft Meta 88.000 euro boete per dag voor overtreden AVG
Noorse privacywaakhond geeft Meta 88.000 euro boete per dag voor overtreden AVG Nieuws van 17 juli 2023
Mag je geld verdienen met dataverkoop? Dat moet het Europese Hof nu bepalen
Mag je geld verdienen met dataverkoop? Dat moet het Europese Hof nu bepalen Nieuws van 30 september 2022
Noorwegen pleit voor boete voor Meta voor negeren van Privacy Shield-verbod
Noorwegen pleit voor boete voor Meta voor negeren van Privacy Shield-verbod Nieuws van 23 augustus 2022
WhatsApp krijgt Ierse boete van 225 miljoen euro voor overtreden van AVG
WhatsApp krijgt Ierse boete van 225 miljoen euro voor overtreden van AVG Nieuws van 2 september 2021
UWV krijgt 450.000 euro AVG- en Wbp-boete voor slechte beveiliging en datalekken
UWV krijgt 450.000 euro AVG- en Wbp-boete voor slechte beveiliging en datalekken Nieuws van 7 juli 2021
Duitse kartelwaakhond start onderzoek naar machtspositie Amazon
Duitse kartelwaakhond start onderzoek naar machtspositie Amazon Nieuws van 18 mei 2021
Canadese site LocateFamily.com krijgt AVG-boete van 525.000 euro van AP
Canadese site LocateFamily.com krijgt AVG-boete van 525.000 euro van AP Nieuws van 12 mei 2021
Gemeente Enschede krijgt AVG-boete van 600.000 euro wegens wifi-tracking
Gemeente Enschede krijgt AVG-boete van 600.000 euro wegens wifi-tracking Nieuws van 29 april 2021
Rechter verlaagt AVG-boete HagaZiekenhuis tot 350.000 euro
Rechter verlaagt AVG-boete HagaZiekenhuis tot 350.000 euro Nieuws van 15 april 2021
Booking.com krijgt boete van 475.000 euro voor te laat melden datalek - update
Booking.com krijgt boete van 475.000 euro voor te laat melden datalek - update Nieuws van 31 maart 2021
Privacywaakhond België beboet bedrijf dat 'roze dozen' aan nieuwe moeders levert
Privacywaakhond België beboet bedrijf dat 'roze dozen' aan nieuwe moeders levert Nieuws van 28 januari 2021
Meer producten en artikelen
Privacy algemene verordening gegevensbescherming Boete

Reacties (20)

-Moderatie-faq
20
20
18
2
0
1
Wijzig sortering

Sorteer op:

Weergave:
Floort
6 mei 2021 17:26
Relevante normuitleg van de toezichthouder:
In the present case, we have focused our investigation on Disqus’ responsibility under the
GDPR as a controller being present on the websites mentioned above for the pertinent data
processing operations. However, there might be additional issues regarding e.g. the website
owners’ responsibility under the GDPR for admitting Disqus to their websites. The fact that
some issues have fallen outside the scope of our investigation does not preclude those issues
from being addressed in the future. We may decide to investigate additional issues later on,
following individual complaints or ex officio, see the tasks and powers of the supervisory
authorities laid down in Articles 57 and 58 GDPR.
De toezichthouder heeft er voor gekozen om Disqus aan te spreken, maar laat expliciet ruimte over voor het handhaven op de sites die Disqus gebruiken. Het is goed dat er in de handhaving de gemeenschappelijke verwerkingsverantwoordelijkheid benoemd blijft worden omdat ik merk dat best veel eigenaren van sites doen alsof ze niet verantwoordelijk zijn voor derde partijen die ze toelaten op hun sites. Ik heb Zeta Global vaker pogingen zien doen om toezicht en mediation te ontlopen. Tot voor kort best succesvol.
alionfire 6 mei 2021 17:22
Kon Zeta Global zich niet even beter voorbereiden, iets met due diligence.
Noorwegen is geen lid van de Europese Unie, maar valt wel binnen het Europees Economisch Gebied. Dat zijn alle 27 Europese lidstaten, plus IJsland, Liechtenstein en Noorwegen. De AVG is ook in die laatste drie landen actief.
Vooral dit stuk. Hoe kan je dit als groot bedrijf niet weten, wat voor privacy professionals heb je dan in huis (als die er zijn :P)?
Floort
@alionfire6 mei 2021 17:31
Zeta Global heeft genoeg kennis in huis om te weten wat ze doen. Ik heb wat contact met ze gehad in een traject waar ze onder Privacy Shield arbitration uit zijn gekomen door zich last minute uit te schrijven van Privacy Shield. De uitkomst van de arbitration was dat er een bulk persoonsgegevens onrechtmatig was verkregen maar na ene traject van vele maanden opeens niet meer binnen scope van Privacy Shield viel.
2green @Floort6 mei 2021 17:52
Privacy shield was een van de contructies dat doorgifte mogelijk maakte. Als hun doorgifte op grond van privacy shield niet geldig was, dan zijn ze nog steeds aansprakelijk op het overtreden van de AVG lijkt mij. Weet je ook waarom ze daarop dan niet zijn aangepakt?
Floort
@2green6 mei 2021 17:59
Ik denk dat handhaving door de FTC vanwege het schenden van Privacy Shield in dit geval meer gepast was geweest. Maar ik heb vanwege veranderende juridische omstandigheden er zelf voor gekozen om er niet meer tijd in te stoppen.

Edit: wat overigens ook meespeelde was dat nu.nl de samenwerking met ze al had opgezegd vanwege de non-compliance van ze. Dat was toen de eigenaar van van nu.nl nog wel de juiste interpretatie van het begrip gemeenschappelijke verwerkingsveranwoordelijke hanteerde.

[Reactie gewijzigd door Floort op 25 juli 2024 01:58]

Tomatoman @alionfire6 mei 2021 20:19
Wat ik nog kwalijker vind dan deze vergissing is dat Zeta Global kennelijk prima weet wat de AVG inhoudt en hoe het zich daaraan moet houden, maar er bewust voor heeft gekozen alle beginselen van de AVG overboord te gooien als de nationale wetgeving dat toelaat. Het bedrijf houdt zich aan de wet (behalve in Noorwegen), maar alleen omdat het moet en niet omdat het gelooft in privacy.

[Reactie gewijzigd door Tomatoman op 25 juli 2024 01:58]

SuperDre @Tomatoman6 mei 2021 22:32
Nouja, je kunt ook stellen dat er wel.onduidelijkheid was vanwege dat Noorwegen dus geen lid van de EU is, maar dus wel van de EEG, en dat dit dus echt een vergissing geweest kan zijn, immers in alle andere EU landen houden ze zich er wel netjes aan.
vinnixx @SuperDre6 mei 2021 23:55
@SuperDre
Nou...
Dat bepaalde Europese regelgeving niet automatisch geldt een land, betekent nog niet dat datzelfde land geen regelgeving heeft. Dus als er ooit onduidelijkheid is of bepaalde regels wel/niet gelden voor dat land, dan hadden ze het beter op moeten zoeken. En als dat land heeft verklaard dat die specifieke regelgeving, in dit geval de AVG, wel van toepassing is, dan is dat gewoon zo.

Als je als bedrijf, het verdienmodel hebt, om de privacy van je bezoekers zo min mogelijk te respecteren en de wet negeert. Dan riskeert je een straf. 2,5 miljoen is in mijn ogen helemaal niet hoog; misschien heeft het bedrijf de gegevens wel voor meer verkocht en zo toch winst gemaakt.

(Te) Kort door de bocht is Noorwegen overigens slim genoeg om niet bij de EU te horen; zo kan het zelf beslissen om wel of niet mee te doen met bepaalde EU-zaken/regels en kan het naar willekeur deze regels aanpassen voor haar nationale regelgeving. Natuurlijk is dit niet altijd mogelijk met alle EU-zaken, maar er blijven genoeg zaken over om zelf over te beslissen.

[Reactie gewijzigd door vinnixx op 25 juli 2024 01:58]

Darkstriker @Tomatoman6 mei 2021 20:54
Dat is toch ook niet gek. Het hele businessmodel van disqus is het schenden van de privacy van gebruikers. Meer privacy betekent minder winst voor hun. Logisch dus dat ze altijd net op het randje proberen te zijn.
slaapkop 6 mei 2021 17:38
Wat ik me afvraag en dan niet alleen voor Disqus, hoe zit het met die talloze trackers op alle websites ? Voldoet dat allemaal aan de AVG ? Zoja, dan mag er toch behoorlijk wat onder deze regelgeving.
Ik ben helaas niet helemaal ingevoerd hierin.
Frame164 @slaapkop6 mei 2021 19:38
In principe mag er ook heel veel volgens GDPR. Zolang je beschrijft wat je verzamelt, met welke doel je het verzamelt en hoe lang je het verzamelt dan mag er heel veel. En heel veel bedrijven hebben dat ook heel goed beschreven. Als Google zou beschrijven dat ze emails scannen met als doel om (ik noem maar wat) spamfilters gaan verbeteren en dat ze na een week de data weggooien, en de gebruiker gaat er mee akkoord dan is het juridisch goed geregeld.
Quintiemero @Frame1646 mei 2021 20:06
Toch zijn er menig verwerkingen waarbij voornamelijk mbt gerechtvaardigd belang niet door de proportionaliteits- en subsidiariteitstoets zal komen. Maarja, zolang er niet wordt gehandhaafd, kun je indd gewoon een random doel stellen voor gerechtvaardigd belang, of inderdaad toestemming fixen (waarbij die toestemming vaak niet helemaal vrijwillig is!).

Dus wel mee eens, veel kan, wellicht mag, maar het wordt alsnog gewoon gedaan. Blijft een grijs gebied.
Floort
@Frame1646 mei 2021 21:03
Onzin. Transparantie is niet voldoende voor een rechtmatige verwerking. Zelfs als betrokkenen toestemming geven zitten er nog meer aanvullende eisen aan een rechtmatige verwerking. Dat wil niet zeggen dat er niet best veel mag. Bovendien is toestemming bij je voorbeeld over mails scannen al best complex omdat een e-mail over het algemeen persoonsgegevens van twee of meer betrokkenen bevat. Toestemming verkrijgen van betrokkenen is dan best complex.
CAPSLOCK2000
@slaapkop6 mei 2021 19:46
Er mag meer dan ik zou willen, maar ga er van uit dat een flink deel van die trackers zich niet aan de AVG/GDPR houden. De meesten zeggen natuurlijk van wel, maar dan krijg je van die grappen als dat Zeta Global hier ook maakt.
Dan claimen ze een "gerechtvaardigd belang" waar hun belang is "we willen veel centjes verdienen". Zo werkt het natuurlijk niet want dan zou alles mogen als iemand er geld aan kan verdienen.

Ik hoop dat die anderen ook aan de beurt komen maar ik snap dat het er te veel zijn om ze allemaal tegelijk aan te pakken.

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2024 01:58]

Tomatoman @CAPSLOCK20006 mei 2021 20:13
Dat klopt inderdaad. Onze eigen Autoriteit Persoonsgegevens zegt over gerechtvaardigd belang het volgende:
Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc.
Floort
@Tomatoman6 mei 2021 20:56
Je komt voor deze soort verwerkingen helemaal niet aan een belangenafweging toe. De e-privacyrichtlijn (in Nederland verwerkt in de Telecommunicatiewet) staat dit soort verwerkingen alleen toe met toestemming van de betrokkenen. En bij toestemming horen alle eisen die onder de AVG vallen.
Floort
@slaapkop6 mei 2021 17:46
Er zijn heel veel websites die vergelijkbare overtredingen begaan. Vaak gaat dat over tracking zonder toestemming of tracking met niet geldige toestemming omdat veel van de toestemingsvragen niet voldoen aan alle eisen die de AVG eraan stelt. Er is inderdaad een grote behoefte aan handhaving. Ook voor de sites die het goed willen doen omdat het bijna niet te doen is om bijvoorbeeld compliant advertenties te implementeren in je website.
bigbadbull 6 mei 2021 17:20
Disqus wordt inderdaad geblokkeerd door een of meerdere van mijn anti track addons.
kondamin 6 mei 2021 18:03
Waar is die boete voor facebook en linkedin?
batteries4ever 7 mei 2021 14:21
@TijsZonderH Kleine correctie:"Opvallend is dat Disqus volgens de Noorse publieke omroep in de rest van de EU wel degelijk aan de AVG voldeed." Noorwegen is nu eenmaal geen lid van de EU ook al werkt het dan zo nauw samen dat je het verschil meestal nauwelijks merkt.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq