Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Noorse privacywaakhond wil Disqus AVG-boete geven van 2,5 miljoen euro

De Noorse privacywaakhond is van plan het discussieplatform Disqus een boete te geven van omgerekend 2,5 miljoen euro. Disqus zou gebruikers onnodig tracken in het land, al houdt het zich in de rest van de EU wel aan de privacywet.

De Datatilsynet zegt dat het Disqus-moederbedrijf Zeta Global een AVG-boete van 25 miljoen Noorse kronen wil geven. Dat is omgerekend 2,5 miljoen euro. Disqus wordt volgens de toezichthouder gebruikt door verschillende Noorse kranten en websites. Het privacyonderzoek naar Disqus begon naar aanleiding van een serie artikelen van de Noorse publieke omroep. Die beschreef hoe websites waar het discussieplatform op was geïmplementeerd bezoekers onrechtmatig zouden tracken. De data werd vervolgens aan externe adverteerders doorgestuurd. De waakhond keek voor het onderzoek naar zeven websites waarop Disqus actief was.

Opvallend is dat Disqus volgens de Noorse publieke omroep in de rest van de EU wel degelijk aan de AVG voldeed. Zeta Global zou eerder in een interview met de omroep hebben gezegd dat het niet wist dat de AVG in Noorwegen van toepassing was. Noorwegen is geen lid van de Europese Unie, maar valt wel binnen het Europees Economisch Gebied. Dat zijn alle 27 Europese lidstaten, plus IJsland, Liechtenstein en Noorwegen. De AVG is ook in die laatste drie landen actief.

Desondanks beriep Zeta Global zich tegenover de Noorse privacywaakhond wel op het gerechtvaardigd belang. Dat is een van de zes grondslagen waarop een bedrijf onder de AVG persoonsgegevens mag verzamelen. Daar gaat de Datatilsynet niet in mee. "Op basis van ons voorlopige onderzoek geloven we dat Disqus geen gerechtvaardigd belang heeft voor het tracking over meerdere websites en het doorgeven van persoonlijke data", schrijft de toezichthouder. "Dit soort tracking vereist toestemming van de gebruiker.

Daarnaast is Disqus niet transparant over welke informatie het verzamelt. Het bedrijf zou gebruikers 'geen adequate informatie hebben gegeven' over hoe het data gebruikt. Tot slot zou Zeta Global het verantwoordelijkheidsbeginsel uit de AVG hebben geschonden door te stellen dat de privacywet niet van toepassing was op zijn Noorse gebruikers.

De toezichthouder noemt het een ernstige overtreding, en zegt dat de boete zo hoog is omdat de verzamelde informatie zo gevoelig was. Door de data over websitebezoek zou het bedrijf kunnen aggregeren wat iemands politieke voorkeuren zijn. Bovendien is het mogelijk dat minderjarigen werden getrackt. Die hebben onder de AVG een extra beschermde positie.

De boete is nog niet definitief. De Datatilsynet heeft Disqus eerst een brief gestuurd waar het bedrijf voor het einde van de maand op kan reageren. Daarna volgt een definitieve beslissing.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

06-05-2021 • 17:08

20 Linkedin

Submitter: himlims_

Reacties (20)

Wijzig sortering
Relevante normuitleg van de toezichthouder:
In the present case, we have focused our investigation on Disqus’ responsibility under the
GDPR as a controller being present on the websites mentioned above for the pertinent data
processing operations. However, there might be additional issues regarding e.g. the website
owners’ responsibility under the GDPR for admitting Disqus to their websites. The fact that
some issues have fallen outside the scope of our investigation does not preclude those issues
from being addressed in the future. We may decide to investigate additional issues later on,
following individual complaints or ex officio, see the tasks and powers of the supervisory
authorities laid down in Articles 57 and 58 GDPR.
De toezichthouder heeft er voor gekozen om Disqus aan te spreken, maar laat expliciet ruimte over voor het handhaven op de sites die Disqus gebruiken. Het is goed dat er in de handhaving de gemeenschappelijke verwerkingsverantwoordelijkheid benoemd blijft worden omdat ik merk dat best veel eigenaren van sites doen alsof ze niet verantwoordelijk zijn voor derde partijen die ze toelaten op hun sites. Ik heb Zeta Global vaker pogingen zien doen om toezicht en mediation te ontlopen. Tot voor kort best succesvol.
Kon Zeta Global zich niet even beter voorbereiden, iets met due diligence.
Noorwegen is geen lid van de Europese Unie, maar valt wel binnen het Europees Economisch Gebied. Dat zijn alle 27 Europese lidstaten, plus IJsland, Liechtenstein en Noorwegen. De AVG is ook in die laatste drie landen actief.
Vooral dit stuk. Hoe kan je dit als groot bedrijf niet weten, wat voor privacy professionals heb je dan in huis (als die er zijn :P)?
Zeta Global heeft genoeg kennis in huis om te weten wat ze doen. Ik heb wat contact met ze gehad in een traject waar ze onder Privacy Shield arbitration uit zijn gekomen door zich last minute uit te schrijven van Privacy Shield. De uitkomst van de arbitration was dat er een bulk persoonsgegevens onrechtmatig was verkregen maar na ene traject van vele maanden opeens niet meer binnen scope van Privacy Shield viel.
Privacy shield was een van de contructies dat doorgifte mogelijk maakte. Als hun doorgifte op grond van privacy shield niet geldig was, dan zijn ze nog steeds aansprakelijk op het overtreden van de AVG lijkt mij. Weet je ook waarom ze daarop dan niet zijn aangepakt?
Ik denk dat handhaving door de FTC vanwege het schenden van Privacy Shield in dit geval meer gepast was geweest. Maar ik heb vanwege veranderende juridische omstandigheden er zelf voor gekozen om er niet meer tijd in te stoppen.

Edit: wat overigens ook meespeelde was dat nu.nl de samenwerking met ze al had opgezegd vanwege de non-compliance van ze. Dat was toen de eigenaar van van nu.nl nog wel de juiste interpretatie van het begrip gemeenschappelijke verwerkingsveranwoordelijke hanteerde.

[Reactie gewijzigd door Floort op 6 mei 2021 18:07]

Wat ik nog kwalijker vind dan deze vergissing is dat Zeta Global kennelijk prima weet wat de AVG inhoudt en hoe het zich daaraan moet houden, maar er bewust voor heeft gekozen alle beginselen van de AVG overboord te gooien als de nationale wetgeving dat toelaat. Het bedrijf houdt zich aan de wet (behalve in Noorwegen), maar alleen omdat het moet en niet omdat het gelooft in privacy.

[Reactie gewijzigd door Tomatoman op 6 mei 2021 22:34]

Nouja, je kunt ook stellen dat er wel.onduidelijkheid was vanwege dat Noorwegen dus geen lid van de EU is, maar dus wel van de EEG, en dat dit dus echt een vergissing geweest kan zijn, immers in alle andere EU landen houden ze zich er wel netjes aan.
@SuperDre
Nou...
Dat bepaalde Europese regelgeving niet automatisch geldt een land, betekent nog niet dat datzelfde land geen regelgeving heeft. Dus als er ooit onduidelijkheid is of bepaalde regels wel/niet gelden voor dat land, dan hadden ze het beter op moeten zoeken. En als dat land heeft verklaard dat die specifieke regelgeving, in dit geval de AVG, wel van toepassing is, dan is dat gewoon zo.

Als je als bedrijf, het verdienmodel hebt, om de privacy van je bezoekers zo min mogelijk te respecteren en de wet negeert. Dan riskeert je een straf. 2,5 miljoen is in mijn ogen helemaal niet hoog; misschien heeft het bedrijf de gegevens wel voor meer verkocht en zo toch winst gemaakt.

(Te) Kort door de bocht is Noorwegen overigens slim genoeg om niet bij de EU te horen; zo kan het zelf beslissen om wel of niet mee te doen met bepaalde EU-zaken/regels en kan het naar willekeur deze regels aanpassen voor haar nationale regelgeving. Natuurlijk is dit niet altijd mogelijk met alle EU-zaken, maar er blijven genoeg zaken over om zelf over te beslissen.

[Reactie gewijzigd door vinnixx op 7 mei 2021 00:01]

Dat is toch ook niet gek. Het hele businessmodel van disqus is het schenden van de privacy van gebruikers. Meer privacy betekent minder winst voor hun. Logisch dus dat ze altijd net op het randje proberen te zijn.
Wat ik me afvraag en dan niet alleen voor Disqus, hoe zit het met die talloze trackers op alle websites ? Voldoet dat allemaal aan de AVG ? Zoja, dan mag er toch behoorlijk wat onder deze regelgeving.
Ik ben helaas niet helemaal ingevoerd hierin.
In principe mag er ook heel veel volgens GDPR. Zolang je beschrijft wat je verzamelt, met welke doel je het verzamelt en hoe lang je het verzamelt dan mag er heel veel. En heel veel bedrijven hebben dat ook heel goed beschreven. Als Google zou beschrijven dat ze emails scannen met als doel om (ik noem maar wat) spamfilters gaan verbeteren en dat ze na een week de data weggooien, en de gebruiker gaat er mee akkoord dan is het juridisch goed geregeld.
Toch zijn er menig verwerkingen waarbij voornamelijk mbt gerechtvaardigd belang niet door de proportionaliteits- en subsidiariteitstoets zal komen. Maarja, zolang er niet wordt gehandhaafd, kun je indd gewoon een random doel stellen voor gerechtvaardigd belang, of inderdaad toestemming fixen (waarbij die toestemming vaak niet helemaal vrijwillig is!).

Dus wel mee eens, veel kan, wellicht mag, maar het wordt alsnog gewoon gedaan. Blijft een grijs gebied.
Onzin. Transparantie is niet voldoende voor een rechtmatige verwerking. Zelfs als betrokkenen toestemming geven zitten er nog meer aanvullende eisen aan een rechtmatige verwerking. Dat wil niet zeggen dat er niet best veel mag. Bovendien is toestemming bij je voorbeeld over mails scannen al best complex omdat een e-mail over het algemeen persoonsgegevens van twee of meer betrokkenen bevat. Toestemming verkrijgen van betrokkenen is dan best complex.
Er mag meer dan ik zou willen, maar ga er van uit dat een flink deel van die trackers zich niet aan de AVG/GDPR houden. De meesten zeggen natuurlijk van wel, maar dan krijg je van die grappen als dat Zeta Global hier ook maakt.
Dan claimen ze een "gerechtvaardigd belang" waar hun belang is "we willen veel centjes verdienen". Zo werkt het natuurlijk niet want dan zou alles mogen als iemand er geld aan kan verdienen.

Ik hoop dat die anderen ook aan de beurt komen maar ik snap dat het er te veel zijn om ze allemaal tegelijk aan te pakken.

[Reactie gewijzigd door CAPSLOCK2000 op 6 mei 2021 19:47]

Dat klopt inderdaad. Onze eigen Autoriteit Persoonsgegevens zegt over gerechtvaardigd belang het volgende:
Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc.
Je komt voor deze soort verwerkingen helemaal niet aan een belangenafweging toe. De e-privacyrichtlijn (in Nederland verwerkt in de Telecommunicatiewet) staat dit soort verwerkingen alleen toe met toestemming van de betrokkenen. En bij toestemming horen alle eisen die onder de AVG vallen.
Er zijn heel veel websites die vergelijkbare overtredingen begaan. Vaak gaat dat over tracking zonder toestemming of tracking met niet geldige toestemming omdat veel van de toestemingsvragen niet voldoen aan alle eisen die de AVG eraan stelt. Er is inderdaad een grote behoefte aan handhaving. Ook voor de sites die het goed willen doen omdat het bijna niet te doen is om bijvoorbeeld compliant advertenties te implementeren in je website.
Disqus wordt inderdaad geblokkeerd door een of meerdere van mijn anti track addons.
Waar is die boete voor facebook en linkedin?
@Tijs Hofmans Kleine correctie:"Opvallend is dat Disqus volgens de Noorse publieke omroep in de rest van de EU wel degelijk aan de AVG voldeed." Noorwegen is nu eenmaal geen lid van de EU ook al werkt het dan zo nauw samen dat je het verschil meestal nauwelijks merkt.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True