WhatsApp krijgt Ierse boete van 225 miljoen euro voor overtreden van AVG

De Ierse privacytoezichthouder heeft WhatsApp een boete van 225 miljoen euro gegeven. De chat-app zou niet transparant zijn over welke data wordt gedeeld met andere onderdelen van moederbedrijf Facebook. Het onderzoek begon al in 2018.

Het gaat om een van de hoogste AVG-boete die tot nu werden uitgedeeld in Europa. De Ierse Data Protection Commission trad daarbij op als hoofdtoezichthouder, maar werd ondersteund door verschillende andere nationale toezichthouders. De DPC keek naar de manier waarop WhatsApp informatie verzamelt en doorspeelt naar Facebook, het moederbedrijf.

De toezichthouder schrijft in het boetebesluit dat er ruwweg vier zaken zijn waarop WhatsApp de fout in gaat. De eerste daarvan is dat WhatsApp telefoonnummers verwerkt van niet-gebruikers als gebruikers hun adresboek uploaden naar de dienst. Daarbij wordt weliswaar een hashingalgoritme gebruikt, maar ook voor dat gebeurt zijn de gegevens omkeerbaar terug te leiden naar een specifieke niet-gebruiker. WhatsApp is daarmee zelf een verwerker van die gegevens, stelt de toezichthouder.

Een tweede overtreding is van artikel 13 uit de AVG. WhatsApp is op meerdere vlakken niet duidelijk en transparant genoeg over het doel waarmee data wordt verzameld. Facebook overtreedt daarnaast op dezelfde manier artikel 13 door gebruikers niet duidelijk te vertellen wat er met hun data gebeurt binnen Facebook. Data kan bijvoorbeeld worden gebruikt door andere Facebook-bedrijven zoals Instagram, maar dat is niet helder voor eindgebruikers. Die informatie staat volgens de toezichthouder in verschillende privacyverklaringen en 'een significante hoeveelheid van die informatie is zo high level dat het betekenisloos is'. Ook zegt de toezichthouder dat het voor eindgebruikers niet duidelijk is of ze het delen van data verplicht moeten accepteren om van de dienst gebruik te maken, of dat dat nodig is omdat de app anders niet werkt.

Niet alleen krijgt het bedrijf een boete voor de onduidelijkheid rondom het delen van data, maar WhatsApp moet in de tussentijd ook informatie hierover uit het privacybeleid halen. Dat moet totdat WhatsApp 'concrete plannen heeft, met een definitieve en aankomende aanvangsdatum, om te beginnen met het delen van persoonlijke data binnen Facebook-bedrijven voor beveiligingsdoeleinden'. Tot slot zou WhatsApp data niet 'eerlijk en transparant' verzamelen, waarmee het bedrijf artikel 5 van de AVG overtreedt.

Het onderzoek door de Ierse toezichthouder begon al in 2018, toen de AVG in werking trad. Het onderzoek keek dan ook naar beleid dat op dat moment actief was.

Meerdere toezichthouders

De Ierse privacytoezichthouder trad op namens verschillende andere Europese toezichthouders, waaronder de Nederlandse Autoriteit Persoonsgegevens. Onder de AVG kan één toezichthouder de hoofdtoezichthouder worden. Dat is doorgaans het land waar het hoofdkantoor van een bedrijf is gevestigd. Veel internationale techbedrijven hebben hun Europese hoofdkwartier in Ierland geplaatst, met name vanwege de gunstige belastingregels. Onlangs sprak het Europees Hof van Justitie zich uit tegen dat one-stop shop-mechanisme. In sommige gevallen mag een nationale toezichthouder een onderzoek nu overnemen. Dat is hier niet gebeurd, vermoedelijk omdat het onderzoek al in vergevorderde fase was.

De DPC had eerder al een voorlopige conclusie naar de deelnemende toezichthouders gestuurd. Die wezen dat af, omdat het onderzoek volgens hen te beperkt was en niet naar genoeg onderdelen van WhatsApps dataverzameling keek. Eind juli bekeek de Ierse toezichthouder daarom de uiteindelijke boete opnieuw en kwam het toch uit op een boete van 225 miljoen euro.

Recordboete

Het is de op eennahoogste hoogste boete die tot nu toe onder de AVG is uitgedeeld. Vorige maand kreeg Amazon een boete van 746 miljoen euro. Daarvoor kreeg Google een Franse boete van 50 miljoen euro.

WhatsApp noemt de boete tegen Reuters 'compleet disproportioneel'. Het bedrijf geeft aan in beroep te gaan tegen de boete. WhatsApp vindt niet dat het beleid uit 2018 moet worden afgestraft door zo'n hoog bedrag, omdat het sindsdien veel moeite heeft gedaan de privacyverklaring transparanter te maken. De boete is ook veel hoger dan verwacht. Vorig jaar zette WhatsApp nog 77,5 miljoen euro opzij om twee mogelijke boetes vanuit Ierland op te vangen.

Update: er stond in het stuk dat het om de hoogste AVG-boete tot nu toe ging. Dat is niet juist: die van Amazon was hoger. Dat is aangepast.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur

02-09-2021 • 13:36

142 Linkedin

Lees meer

Reacties (142)

Wijzig sortering
“De Ierse privacytoezichthouder trad op namens verschillende andere Europese toezichthouders, waaronder de Nederlandse Autoriteit Persoonsgegevens.”

Dat is heel interessant. Er is een joint-onderzoek tussen de Nederlandse (toen nog CBP) en Canadese toezichthouders geweest, waarin zij onderzoek hadden gedaan naar een aantal problematische punten in WhatsApp waar contact discovery onderdeel van was. (Het verwerken van die telefoonnummers.). Zij hebben toen geeist dat WhatsApp aanpassingen zou maken. Dat hebben ze gedaan met die hashfunctie en toen hebben ze groen licht gekregen om dit te doen op die manier, want die zou privacy vriendelijk zijn.

Ze schreven daarover:
WhatsApp biedt aanvullende bescherming aan niet-WhatsApp-gebruikers na onderzoek door het College bescherming persoonsgegevens (CBP). WhatsApp verwerkt de telefoonnummers van niet-gebruikers nu op een andere manier en heeft ook de bewaarmethode veranderd. Naar het oordeel van het CBP heeft het bedrijf hierdoor nu een wettelijke basis om deze gegevens te verwerken.
Ik ben benieuwd of dat nog gezeik gaat opleveren met deze boete voor het verwerken van exact diezelfde data op exact dezelfde manier. Het AP heeft gezegd dat het mocht en juridisch snor zit. Nu hebben ze zich aangesloten bij een zaak tegen diezelfde door hen goedgekeurde methode en wordt er een boete opgelegd. Ik vraag me af of een rechter, want natuurlijk gaat WhatsApp hiertegen in beroep, daar wat van gaat vinden; want je zou denk ik best het argument kunnen maken dat WhatsApp hierdoor dacht goed te zitten. Vervolgens mede door dezelfde partij die jou eerder toestemming heeft gegeven een boete opgelegd krijgen voor hetgeen je toestemming voor had klinkt wat dubieus?

Afijn ben benieuwd wat daarmee gaat gebeuren.
Heel vreemd dat de AP het verwerken van de telefoon nrs met een hash wel goed vind. Het is immers zeer eenvoudig om dit met een 'rainbow table' weer om te keren, omdat een telefoonnr zo weinig data bevat. Een mobielnr heeft in NL slechts 8 variabele digits: +316 12345678. Dat geeft 8^10 = 1.073.741.824 mogelijke nrs (1 miljard) 10^8= 100 Miljoen mogelijke nrs Klinkt veel, maar zelfs een raspberrypi kan deze lookup snel doen.

Het is voor Facebook dus kinderlijk eenvoudig om een hash weer in een telefoon nr om te zetten. De hash is dus tot de persoon herleidbaar. Mijn conclusie zou dan zijn dat een hash van een mobiel nr volgens de AVG ook gewoon een persoonsgegeven is.

edit: rekenfout gecorrigeerd, tnx @Digital-Punk

[Reactie gewijzigd door alwuzomondo op 2 september 2021 21:11]

Dat klopt, maar dat levert ook weer een keerzijde op waar ik altijd vraagtekens over heb gehad. WhatsApp verzamelt geen namen bij de contacten. Het pakt enkel het telefoonnummer en checkt of dat een user is ja of nee. That’s it.

Als ik wil kan ik binnen enkele seconden of sneller alle mogelijke telefoonnummers in Nederland genereren en in een database zetten. Ik weet net als WhatsApp niet wie die mensen zijn.

Ben ik dan in overtreding voor het hebben van die database of als deze “database met persoonsgegevens” gestolen wordt? Maar wat nou als ik enkel het scriptje geef om die database zelf te maken? Het eindresultaat is precies hetzelfde, maar dan heb ik geen nummers overhandigd.

Ik ben altijd dus een beetje verbaasd geweest of een losstaand telefoonnummer zonder verdere eigenschappen op zichzelf nou echt gezien kan worden als persoonsgegeven. Dat ik alle mobiele nummers in NL heb is leuk, maar ik heb geen flauw benul wie die mensen zijn. Misschien werkt het nummer niet eens meer…

Om die reden ben ik niet helemaal overtuigd van wat nou precies het probleem is met het hebben van (hashes van) telefoonnummers, omdat iedereen eigenlijk wel die lijst kan genereren. Is het probleem dan dat ze die verwerking doen van 1/0? Maar dat is ook al lokaal te doen door hun database naast een database met alle nummers te leggen; ze weten zo dus hetzelfde. Ik heb nooit begrepen hoe dat nou precies een overtreding zou zijn van de privacy wetgeving. Ze weten dat “iemand” geen WhatsApp heeft, maar dat wisten ze sowieso al omdat dat nummer niet in hun userbase voorkomt…

Anyway, waarom met een hash wel acceptabel was en zonder niet snap ik ook niet. Misschien dachten ze dat hash + salt net wat meer beveiliging opleverde bij een eventuele hack. Het ging er wellicht niet eens perse om dat WhatsApp zelf die nummers kent. Afijn, dit staat misschien ergens in dat rapport van de AP (die is integraal gepubliceerd destijds); maar het is lang geleden dat ik die gelezen heb. Zal hem zo eens opsnorren en doorlezen om te kijken of erin staat waarom ze precies die hash functie wilden en wat het idee was en waarom dat wel acceptabel/veilig zou zijn.

[Reactie gewijzigd door WhatsappHack op 2 september 2021 20:45]

De waarde van de telefoon nr is niet het hebben er van maar de relaties tussen mensen die je er kunt afleiden. Ik heb bijv geen whatsapp, maar al mijn vrienden wel reken maar dat facebook haar fijn weet wie mijn vrienden zijn. Ze weten misschien niet wie ik ben, maar wel tot welke groep ik behoor.
Stel dat ik nou wel een facebook account had gehad of op een andere manier in de db van facebook sta (als je bijv MTV mobile had werden je gegevens aan facebook door gespeeld daar kregen ze veel geld voor) weten ze heel goed wie ik ben en wie mijn vrienden zijn. Als je maar genoeg meta data hebt kun je hele correcte profielen maken van mensen.

Facebook heeft vrij waarschijnlijk een redelijk goed kloppend profiel van mijn zonder dat ik ook maar 1 keer een gebruikers overeenkomst ben aangegaan.
Ik vind het daarom niet on terecht dat daar nu een punt van gemaakt word.
Weet je wat vreemd is , dat we al 125 jaar telefoon boeken hebben met nummers en namen en straat adres er bij.. niemand heeft daar ooit een probleem van gemaakt en nu in 1 keer is het een probleem.... Als je een nummer zonder naam hebt 8)7 |:(
Stond in de afgelopen 125 jaar ook in dat telefoonboek welke telefoonnummers elkaar kenden? Dat is juist het probleem hier. Facebook kan die relaties leggen zonder dat de persoon waarvan een profiel gemaakt wordt gebruiker van Facebook is. Plus die persoon deelt zijn gegevens niet zelf, dat wordt door anderen gedaan en Facebook verwerkt ze.
Er is een belangrijk verschil tussen concluderen of iets een persoonsgegeven is en of er een grondslag is voor de verwerking. Het CBP heeft op beide punten geconcludeerd dat het zo is. De DPC heeft nu geconcludeerd dat daarbovenop Whatsapp niet transparant genoeg is (heel grof samengevat).
Om je punt te versterken: met 8 cijfers tussen 0 en 9 gebruik je 10^8 en kom je op 100 miljoen mogelijkheden. Oftewel een peulenschil om te achterhalen.
Het zijn er veel minder, een telefoon nummer begint sowieso nooit met een 0 en ik denk ook (maar dat weet ik niet zeker) dat er een structuur in zit. In het begin was het zo dat de provider te herkennen was aan de eerste paar cijfers. Later is dat verandert maar er zullen naar wat ik verwacht nog wel andere reeksen niet mogelijk zijn of gereserveerd.
Die verwerking met een hash wordt niet gezien als anonimisering, maar is (zoals bijna elke hash) een pseudonimisering. Dan betreft het nog steeds persoonsgegevens onder de AVG. En dat wordt onderschreven door het EDPB, dat daarmee de eerste beoordeling door de Ierse waakhond corrigeerde.

De Ierse waakhond had het wel als anonimisering beoordeeld omdat het niet louter een hash betrof, maar ook een aggregatie: 16 telefoonnummers krijgen dezelfde hash als uitkomst. Het EDPB oordeelde (als ik het besluit tenminste zo snel goed lees) dat dat geen anonimisatie oplevert omdat die 16 telefoonnummers telefoonreeksen zijn (kennelijk wordt het telefoonnummer verkort en dan gehasht), en de andere 15 nummers in die reeks wellicht helemaal niet uitgegeven zijn, niet in gebruik zijn, of niet bij WhatsApp bekend zijn.
Ik heb nog niet alles gelezen, maar het toenmalige CBP heeft beoordeeld dat het persoonsgegevens waren en dat er na aanpassingen voor een hele beperkte verwerking een grondslag was. De AP heeft nu de DPC gecorrigeerd die in eerste instantie van mening was dat het geen persoonsgegevens waren. De boete van de DPC gaat niet over de grondslag (art. 6), maar over artikelen 5, 12, 13, en 14. Dat is dus prima consistent.

Sterker nog: een flink deel van de onderbouwing voor die huidige boete is er na bezwaar van de van de AP door de DPC toegevoegd. Specifiek op het punt van de hashing en herleidbaarheid naar aanleiding van het onderzoek van het CBP in 2013.

[Reactie gewijzigd door Floort op 2 september 2021 15:08]

Weet je ook op basis van welke grondslag WhatsApp telefoon nrs verwerkt? Lijkt me vooral interessant in het geval van nrs van niet WA gebruikers.
Voor non-users is dat gerechtvaardigd belang.
Interessant!
De Ierse toezichthouder kan er natuurlijk tegenin brengen dat zij de boete oplegt en niet het CBP. Whatsapp is bovendien gevestigd in Ierland en niet in Nederland; als dat andersom was zou WA wel een stuk sterker staan.

Dit geeft overigens wel aan dat er een overkoepelende Europees 'CBP' zou moeten komen die binnen de hele EU mag opereren en zich dan wel enkel moet richten op de grote jongens met een omzet van pak 'm beet 500 miljoen euro of meer wereldwijd.
Zo'n "overkoepelende" organisatie heeft juist veel minder effect zonder dat de maximale boete voor dit soort geniepigheden wettelijk gigantisch verhoogd word.

Laat elk land maar een onderzoek starten en 200+ miljoen aan boetes opleggen dan 1 instantie die hetzelfde doet.

De macht en daarmee de middelen om overal mee weg te komen van dit soort bedrijven (en overheden) is gewoon te groot.
Er waren al eerder issues qua data delen . Facebook was de afgelopen jaren in de touw dat ze het niet akkoord waren en wilde gewoon data hebben om de dienst gratis te houden etc. ze hebben van alles aangegeven en zelfs gedreigd dat Europeanen anders voor de app zouden moeten betalen. Het is er nooit van gekomen, mede omdat er al vermoeden is dat er data van Nederlanders naar Facebook gaan. Deze gegevens worden ook gebruikt door de CIA en andere diensten ., De 225 Miljoen is op basis van niet transparantheid, maar ze mogen ook wel eens een forse boete geven voor data die data van gebruikers.

Volgens Facebook wilde ze 1-2 euro per maand vragen voor whatsapp en laten we ervan uitgaan dat ze dit al 3-5 jaar doen in Nederland, Belgie, Frankrijk en Duitsland dan hebben we het over 100 Miljoen whatsapp gebruikers x 48 maand gemiddeld x 1,50 gemiddeld dan hebben alle whatsapp gebruikers ook nog recht op 72 euro van Facebook, dus geef ze maar een boete van 7,2 Miljard , want we gaan er maar van uit dat de data minimaal 1,50 opbrengt per gebruiker per maand

Ik gebruik sinds een jaar whatsapp met een prepaid nummer die ik al 7 jaar gebruik voor two steps security (sms) en betalingen via bank en paypal . Ik gebruik het nergens anders voor en sinds 4-5 maanden wordt ik steeds gebeld door Engels en buitenlandse nummers en blame whatsapp

[Reactie gewijzigd door Noresponse op 2 september 2021 20:16]

Dat zou allemaal kunnen, maar verandert niet zoveel aan de specifieke kwestie die ik benoem :)

Overigens kan je telefoonnummer gejat zijn uit een database bij een van de bedrijven/diensten waar je die voor 2FA gebruikt. Je kan WhatsApp de schuld geven, maar daar heb je dan geen bewijs voor. Ik krijg zelf op een nummer dat niet gekoppeld is aan WhatsApp en dat ook nooit geweest is trouwens ook (robo)calls van vage Russen en tegenwoordig ook Amerikanen die bellen over m’n autogarantie (vaag verhaal…) of een zorgverzekering willen slijten, dus wat dat betreft… ;)
Het kan ook zijn dat mensen mijn nummer hebben opgeslagen op hun toestel zoals collega's vrienden, familie etc en die bepaalde apps draaien die toegang heeft tot de contacten. Dit kan ook en dat alleen maar doordat whatsapp met 06 nummers werkt , waarom niet met een code zoals BBM. Ach geeft het nog even dit jaar en wellicht dat ik whatsapp weer verwijder
Maar een boete alleen is toch niet genoeg? Sinds wanneer kan je het overtreden van de wet afkopen met een boete. Ze krijgen een boete omdat ze de wetgeving overtreden en kunnen na betalen vrolijk verder gaan? Er zouden toch meer gevolgen moeten zijn aan het overtreden van de AVG wetgeving?

Alsof ik 150 op de snelweg rijd, aangehouden word, de boete bij de agent betaal en weer lekker met 150 verder ga rijden.

*Edit.. Misschien is wat hier boven staat niet de beste vergelijking. Maar ik bedoel er mee te zeggen dat het overtreden van de wet niet door kan blijven gaan. Je kan niet alleen een boete geven, een tik op de vingers, facebook die beterschap beloofd en we gaan weer over tot op de orde van de dag. Ze overtreden een wet, en dat moet zo snel mogelijk gestopt wroden. Dus onregmatig verkregen data moet gewist worden. En er gevolgen aan hangen. Je krijgt 3 maanden om het op te lossen en anders mag je deze app niet meer exploiteren in het land waar je de AVG overtreed.

[Reactie gewijzigd door Senaxx op 2 september 2021 14:08]

Waar staat dan dat het alleen om een boete gaat?
En wat zou je dan graag zien als verdere straf?

Bij een particulier is een vrijheidsstraf een optie. Bij een bedrijf is dat een stuk lastiger. En zelfs dan wordt bij een particulier die vrijheidsstraf ook pas bij bijzondere gevallen ingezet. Is dit een dergelijk bijzonder geval?

Ga er maar rustig van uit dat bij die boete een "En dat moet nu anders of...." inbegrepen is. Zoals Facebook al aangeeft is er de afgelopen jaren al wat gedaan aan deze overtreding. Maar als de overtreding door gaat zal er zeker opnieuw een boete volgen en dit keer hoger.
Er zou zoiets moeten zijn als een "licentie om publieke apps te mogen uitgeven" of iets dergelijks. Daar moet je dan voldoen aan bepaalde wetten en eisen voordat je zo'n licentie krijgt. Zonder die licentie is het strafbaar om een applicatie of platform uit te geven in specifieke situaties. En bij overtreding wordt die licentie simpelweg ingetrokken en mag men dus niet doorgaan met wat ze doen.

Ik roep maar even wat hoor, ik weet ook niet of wat ik zeg enigszins haalbaar zou zijn.
Een licentie gaat wat ver maar een verbod op een app achteraf is geen gek idee.
Juist wel een gek idee, kun je je voorstellen dat WhatsApp een verbod zou krijgen en dat niemand meer WhatsApp zou kunnen gebruiken. Alle contacten die vallen weg, en de groepen die vele vrienden en organisaties gebruiken vallen weg. Dan moet iedereen ineens massaal overstappen naar een andere dienst. En dan maar hopen dat die niet de volgende maand verboden word.

Dan heb je niet zozeer het bedrijf te pakken maar veel meer de medemens.

[Reactie gewijzigd door Sluuut op 2 september 2021 14:39]

Ik denk dat het WA juist zou motiveren om de zaken op orde te krijgen.

Verder kun je als rechter/overheid natuurlijk aangeven dat ze de dienst binnen een maand moeten stilleggen. En geloof me maar dat er heel snel wordt overgestapt als WA wegvalt.
Dat denk ik inderdaad ook. Facebook zou in dit geval worden gedwongen zich aan de wet te houden. En dat de eindgebruiker 'hinder" ondervindt voor het gebruik van de dienst omdat het bedrijf de wet overtreden heeft... Tja.

Het is wel makkelijk praten vanaf de zijlijn, maar ik heb het geval dat die grote big-data cowboys gewoon vrolijk hun gang kunnen blijven gaan. Ik hoor om mij heen ook niet anders dan: "vervelend dat je geen WhatsApp hebt, nu vergeten we je vaak uit te nodigen als we weer eens een groepsapp sturen."Of: "Oh was je jarig vorige week? Ik heb niks op Facebook gezien..." En als ik dan probeer uit te leggen waarom ik geen gebruik wil maken van hun diensten krijg je de gedoodverfde: "ik heb toch niks te verbergen" of "bij mij valt niks te halen" voor je kiezen.

Dus hoe eerder er eens iemand wakker wordt en er goede wet voor komt, hoe beter. Dan kan ik ook gewoon met een gerust hart van alles installeren en gebruiken, net als de rest. (of andersom natuurlijk ;))
Too big to fail, dus het mag gewoon onwettig blijven opereren? Mocht toch hopen van niet?
We hebben volgens mij al millennia zonder WhatsApp gekund, dus dat redden we vast ook wel weer als dat nodig blijkt.
WhatsApp is een kloon van het open source project Signal.
Het zou 0 moeite kosten om over te stappen, nieuwe app installeren en je contacten worden automatisch gekoppeld. Alleen je history blijft natuurlijk in de oude app hangen en je zal je groepen opnieuw moeten aanmaken wanneer er voldoende deelnemers over gestapt zijn.
Oef. Dat betekent wel weer enorm veel bureaucratie. En het remt ook innovatie denk ik. Nee laat maar zitten dan kun je straks 8 weken wachten op één of andere ambtenaar tot je een keer je licentie krijgt.

Wat wel kan is gewoon de app verbieden. Boete betalen en als het binnen e.g. 6 maanden nog niet in orde is wordt de app verboden.

Maarja nu gaan ze weer in beroep natuurlijk en blijft het nog jarenlang door gaan.
Maar wie verbiedt de app dan? Google of Apple of een ander groot bedrijf? Ik denk dat de overheden hier hun verantwoordelijkheid moeten nemen en de burgers beschermen. Dit geldt natuurlijk ook voor de bedrijven; door goede richtlijnen te stellen en een licentiëring te behalen kun je een dergelijke impactvolle dienst draaien als WhatsApp.

Bekijk het als bijv. het verkopen van sterke drank: je mag niet zomaar sterke drank verkopen, hiervoor heb je een vergunning nodig, je wordt gescreened en je wordt periodiek getoetst of je nog voldoet aan de screening.

Voor een website of app heb je enkel een KvK nodig volgens mij. (of zelfs dat niet eens...)
Er zou zoiets moeten zijn als een "licentie om publieke apps te mogen uitgeven"
Dat betekent dus ook dat niemand meer een website kan beginnen zonder licentie. Ik denk niet dat je dat wilt (of moet willen).
Wat dacht je van "iedereen mag apps uitgeven, mist je je aan de wet houdt" en daarbij gaan we de AVG eens echt handhaven?
Dat klinkt inderdaad iets beter dan wat ik uit mijn duim gezogen heb. :p
Maar: "daarbij gaan we de AVG eens echt handhaven?" Wie is "we" in deze?
Met "we" bedoel ik de instantie die we in onze democratische rechtstaat daarvoor in het leven hebben geroepen: https://autoriteitpersoonsgegevens.nl/
Als je op de snelweg wordt aangehouden met 150 boete, rij je 150 door, weer aangehouden, weer boete, dat blijft eindeloos doorgaan.

Whatsapp en andere bedrijven gaan zo al jaren door.
Probleem is dat de boete zich vaak baseert op de jaaromzet en een % daarvan.
Het zou moeten zijn 4 jaar lang de boel overtreden dan kijken we naar de omzet van ieder jaar en rekenen daar een % van. Pas dan doet het echt pijn, net zo een pijn als je maar door blijft gaan met 150 rijden en boete op boete krijgt.
Als je op de snelweg wordt aangehouden met 150 boete, rij je 150 door, weer aangehouden, weer boete, dat blijft eindeloos doorgaan.

Whatsapp en andere bedrijven gaan zo al jaren door.
Probleem is dat de boete zich vaak baseert op de jaaromzet en een % daarvan.
Het zou moeten zijn 4 jaar lang de boel overtreden dan kijken we naar de omzet van ieder jaar en rekenen daar een % van. Pas dan doet het echt pijn, net zo een pijn als je maar door blijft gaan met 150 rijden en boete op boete krijgt.
urrrr... nee. Een percentage van omzet of winst doet veel meer pijn dan een boete in Nederland.

Als ik miljonair zou zijn zou zo'n boete voor 150 rijden me geen drol interesseren. Dat is peanuts en terug verdient met de tijd die gewonnen is door harder te rijden.
Wil je bedrijven op dezelfde manier straffen dan geef je ze een boete van 1000 euro. Interesseert ze ook geen biet.
Nee als je constant aangehouden wordt, gaat dit niet eindeloos door. Op een gegeven moment gaan ze aan je papiertje trekken.
Maar wel een goed punt en goede vraag. Nu lijkt erop dat bedrijven enkel een boete betalen en daarna proberen niet weer betrapt te worden.
Echter bij herhaalde overtredingen door een individu dan volgen andere straffen dan slechts een geld-boete. Al vind ik dat dit bij bepaalde 'vergrijpen' dan wel weer terecht (enkel een boete).
Wat dacht je van vervolging van het bestuur van de onderneming zoals bij andere delicten?

Als jij Croga BV start en jezelf tot bestuurder bombardeert en die BV gaat mensen oplichten, dan word jij persoonlijk aangepakt. Bestuurdersaansprakelijkheid heet dat...
En in de VS doen we dat in een LLC waar er weliswaar aansprakelijkheid is van het bedrijf maar, buiten grove opzet, geen aansprakelijkheid voor het bestuur.....

Ofwel: Nee, zo werkt het niet. Een bestuur is pas aansprakelijk als er sprake is van grove opzet of grove nalatigheid en dat is hier geen van beiden van toepassing. Bij een bedrijf wat de wet overtreed is het bestuur niet per definitie aansprakelijk.
In een LLC is toch je aansprakelijkheid beperkt tot de waarde van je eigen investering in het bedrijf (en niet geheel afwezig)? (Limited Liability en niet Absent Liability)
Dit valt onder het civiel recht, niet onder het strafrecht!
Onder civiel recht kun je wel schade verhalen op bestuurders (wanneer er aantoonbaar sprake is is van opzet en de kas bij het bedrijf leeg is) dat is hier echter beide niet aantoonbaar.
Eens maar je kunt de wet veranderen en het herhaaldelijk overtreden van de AVG omschrijven als een misdrijf. (Net zoals een aantal keer harder dan 30km/uur te hard rijden ook een misdrijf is geloof ik)
Ja dan kan zeker. Dan ga je richting het Amerikaanse "Criminal Negligence". Ik ben er niet perse van overtuigd dat dat een goede stap is.
Welk doel streef je na? En wat is het minst krachtige middel om dat doel te halen. Dat is de basis van ons rechtsysteem. Het gaat niet om de grootste stok om het hardst mee te slaan. Het straffen is in mijn beleving zeker geen doel.
Persoonlijk zie ik liever dat een er een grote speler failliet gaat (of tenonder gaat in een correntiestrijd vanwege geld tekort) dan dat een bedrijf door kan gaan met fout zijn zolang het af en toe een paar bestuurders voor de bus gooit.
Je zal de aandeelhouders moeten raken, want daar doet de bestuurder het voor. Wanneer de aandeelhouders het gevoel krijgen dat het geld gaat kosten, dan zullen zij de bestuurders wel tot de orde roepen...

[Reactie gewijzigd door Vogel666 op 2 september 2021 16:46]

Cel straf zou op zich best mogelijk zijn. Het bedrijf heeft zich gewoon aan de wet te houden en dus zouden de managers dus op zich moeten weten dat wat mag en niet mag. Die kan je dus best in de cel gooien. En ook het niet weten dat het niet mag is geen rede om de celstraf niet te gebruiken. Als ik 70 rij omdat ik het bordje 50 gemist heb ben ik gewoon onbewust verkeerd bezig en kan ik ook een boete krijgen.

Uiteraard wanneer een medewerker op eigen houtje een keuze maakt en de managers er niets van weten is het een ander verhaal. En dit zal gewoon lastig te bewijzen zijn. Hoe bewijs je dat iemand dit wel weet? Mogelijk dat er wel ergens documenten zullen zijn maar om die te verkrijgen is legaal natuurlijk lastig of zullen gewist / vernietigd worden wanneer er om gevraagd wordt. Uiteindelijk zal dit ook gaan leiden naar dat bepaalde afspraken gewoon niet mer gedocumenteerd worden en dat de programmeurs extra betaald worden om dit wel te doen met de risico's van celstraf (want de manager "wist van niets").
Alsof ik 150 op de snelweg rijd, aangehouden word, de boete bij de agent betaal en weer lekker met 150 verder ga rijden in principe hoef jij toch de cel niet in, dus die boete voor FB alleen is wel genoeg


Zij betalen ook niet aan een persoon die langskomt maar aan een instantie, net als jij aan een instantie betaald en niet aan die agent

[Reactie gewijzigd door Emin3m op 2 september 2021 13:48]

Dat bedoel ik ook niet, had misschien beter niet het voorbeeld kunnen geven.

Maar je kan niet alleen wegkomen met de boete. Ook moet de overtreding van de wet stoppen, dus aanpassing van het beleid van facebook en wat ze verzamelen.

* Dus niet meer het telefoonboek uploaden
* Niet meer data verzamelen dan nodig is en hier transparant over zijn
De contacten uploaden kan ik nog wel begrijpen (of i.i.g. de telefoonnummers) om feedback aan de app op de telefoon te geven of een contact whatsapp gebruikt of niet.
Maar daarna moeten die telefoonnummers (die geen whatsapp gebruiken) weer weggegooid worden. En ik vermoed dat daar ook gewoon profielen van worden gemaakt.
Neen, dat uploaden is juist het probleem. Dat jij toevallig een contact van mij bent geeft jou het recht niet om mijn gegevens maar te (laten) verspreiden. Ook niet als dat maar tijdelijk is.

Facebook wordt door het uploaden (door jou) verwerker van mijn gegevens terwijl ze daarvoor geen juridische overeenkomst met mij voor hebben. (Want ik ben geen lid van facebook).

Het wordt dan uiteraard lastiger om die match te maken, maar wat is er mis met het vragen aan jouw contact of hij toevallig facebook gebruikt en wat zijn accountnaam is.
Daar zit wat in, inderdaad. Weet jij of ik als particulier jouw gegevens mag uploaden naar facebook/WA?
Je geeft daar in android natuurlijk wel expliciet toestemming voor, door de app toegang te geven tot je contacten.

Aan de andere kant: stel dat jij mij zegt dat jij met telnr 06-12345678 geregisteerd bent bij whatsapp en dat ik je kan toevoegen in mijn WA contactenlijst, dan upload ik uiteindelijk alsnog jouw nummer naar WA om dat contact te leggen. En wat dan als jij je hebt vergist en je telefoonnr 06-12345687 is? Dan heeft WA dus een telefoonnr verwerkt van een derde die daar geen toestemming voor heeft gegeven.
Aangezien die gegevens niet van jou zijn, kan jij daar nooit toestemming voor geven. Ongeacht de expliciete vraag. Dat jij dat als particulier niet weet, pleit jou niet vrij, maar Facebook had de vraag niet moeten stellen.

Ik geef (als ik facebook gebruik) door dat mijn account Het.Draakje is. Als je mijn telefoonnummer als referentie gebruikt dan zou of

- facebook geen contact kunnen leggen met mij (als ik inderdaad het verkeerde nummer doorgeef, en het nummer verder onbekend is). Dat mogen ze terugmelden: naam / nummer klopt niet

- met de verkeerde persoon verbinden (als het toevallig het nummer is van abonnee De.Grote.Boze.Wolf). In beide gevallen wordt het nummer wel gewijzigd door jou. Ze mogen ook terugmelden naam / nummer klopt niet.

In geen geval mag Facebook aan de hand van jouw melding een record aanmaken van Het.Draakje met Fout_nummer. En de link Het.Draakje = De.Grote.Boze.Wolf mogen ze ook niet maken aan de hand van jouw opgave.

Het gaat er niet om dat het nummer niet opgeslagen wordt, het gaat erom dat de gegevens van een niet abonnee niet vastgelegd mogen worden.

@The_Woesh Klopt, de gebruiker is ook fout. De vraag is hoever dat de gebruiker is aan te rekenen. Enerzijds worden we allemaal geacht de wet te kennen, maar anderzijds zijn we geen juristen.

Facebook hoort te weten dat hun abonnee geen eigenaar is van de contactgegevens en dus nooit toestemming kan geven. Dat ze de abonnee daar wel toe verleiden is hun aan te rekenen. En dat ze vervolgens ook nog eens onrechtmatig verkregen gegevens verwerken is hun ook aan te rekenen.
Maar waarom betaald whatsapp dan een boete en niet de persoon die zonder toestemming gegevens upload?
Ik snap dat het in de praktijk lastig is maar het is toch de gebruiker die willens en wetens via machtiging op de telefoon toegang geeft tot zijn adresboek
Een wet waar bij overtreding een boete voor wordt uitgeschreven is een wet die alleen invloed heeft op kleinere spelers. Zulke boete bedragen zeggen niks zonder context. Ik denk niet dat dit bedrag ook maar een procent is van de jaarlijkse winst van Facebook, laat staan de omzet.
Natuurlijk schreeuwt Facebook moord en brand zodat het volk de indruk krijgt dat dit soort bedragen ze echt raakt. Dit bedrag aftikken om een wereldwijd verdienmodel een paar jaar langer in stand te houden is een no brainer. Het is zelfs handig - nu kunnen ze aan de hand van de wetgeving èn de gerechtelijke uitspraak precies zien hoe ver ze kunnen gaan. Er was nog bijna geen juresprudentie en tja, marktleider zijn heeft nou eenmaal als nadeel dat je niet van andermans fouten kan leren.
0.08% van Facebooks jaarlijkse omzet volgens Max Schrems (terwijl de GDPR boetes tot 4% van de jaaromzet toelaat).
Doe een dwangsom van zo'n bedrag per jaar dat er niet aan de wet voldaan wordt. Dan ga je pas resultaten krijgen.
Dat staat niet in het artikel want ze moeten nog aanpassingen doen.
Niet alleen krijgt het bedrijf een boete voor de onduidelijkheid rondom het delen van data, maar WhatsApp moet in de tussentijd ook informatie hierover uit het privacybeleid halen. Dat moet totdat WhatsApp 'concrete plannen heeft,...
Daarnaast hadden ze ook al de privacyverklaring transparanter gemaakt naar eigen zeggen sinds 2018.
WhatsApp vindt niet dat het beleid uit 2018 moet worden afgestraft door zo'n hoog bedrag, omdat het sindsdien veel moeite heeft gedaan de privacyverklaring transparanter te maken.

[Reactie gewijzigd door Emiel1984 op 2 september 2021 13:50]

Vaak is een betere vergelijking is dat jij 180 op de snelweg rijd, een boete van 500 euro hoort te krijgen en je rijbewijst hoort te raken, maar met de politie afspreekt dat je een boede van 100 euro betaald en je rijbewijs mag behouden. Zo gaat het vaak bij grote organisaties en welvarende personen.
Zoals Schatrijke eigenaren van farmareus Purdue buiten schot in opiatencrisis VS

225 miljoen euro voor Facebook is niets. Het zou pas impact maken als de maximale boete van 4% van de wereldwijde omzet van Facebook zou zijn. Ofwel 3 miljard euro boete.
225 miljoen euro voor Facebook is niets
De boete is geen afkoop.
225 miljoen euro boete voor geheel EU is niet zoveel. Het is geen afkoop, maar eerst kijken of Facebook de boete werklijk moet en gaat betalen. Zelfs als ze het betalen is het een gecalculeerde risico.
Ze moeten nu zaken gaan aanpassen. Bij het uitblijven van de aanpassingen kunnen er nog hogere boetes worden opgelegd. 225 mil is in ieder geval een goede incentive.
Alsof ik 150 op de snelweg rijd, aangehouden word, de boete bij de agent betaal en weer lekker met 150 verder ga rijden.
Je zou de eerste niet zijn. En dan krijg je gewoon nog een boete als het weer opvalt hoe hard je rijdt. Als dat in het reisbudget past, kan het een overweging zijn.

Van mijn baas heb ik een keer gehoord dat ik binnen X tijd (lees: te weinig) van punt 1 naar 2 moest zien te komen en dat evt boetes wel goed zouden komen (enkel zorgen dat ik mn rijbewijs niet kwijt raakte). Bedrijfsrisico dat in het budget is ingepast.

Zo ook met dit soort boetes. Misschien levert het overtreden van de wet gewoon meer op dan de boete, en kunnen ze zich een paar slippertjes veroorloven. Totdat er zwaardere sancties dreigen (wat dan bij herhaaldelijk overtreden zeker zal gebeuren op termijn)
Ik weet niet hoe de AVG in elkaar zit maar als het inderdaad een misdrijf is kan het bestuur aangeklaagd worden.
Maar het lijkt erop dat het alleen met een geldboete bestraft kan worden. Maximaal 4% van de wereldwijde omzet dus bij Facebook kan dat 2.8 miljard zijn.
Dat is ca 25% van hun jaarwinst dus dat zal wel pijn doen.

https://www.ictrecht.nl/b...-van-de-avg-deel-1-boetes
Wanneer maken wij nu eens met heel de EU een vuist naar bedrijven, Amerikaans of anders.

Voldoe je niet aan onze regels? Dan wordt jouw dienst voor heel Europa geblokkeerd. Dan zullen ze zich wel aanpassen.
Maar een boete alleen is toch niet genoeg? Sinds wanneer kan je het overtreden van de wet afkopen met een boete
een boete is straf, het ontslaat je niet van de verplichtingen te voldoen aan de wet. Datzelfde geld voor bijvoorbeeld een dwangsom. Je kunt die vrolijk betalen, maar je zal nog steeds moeten voldoen aan waarom je die dwangsom krijgt opgelegd. Dat kun je rekken, maar de gevolgen worden er niet leuker op voor je.
Je zei het misschien verkeerd maar ik denk dat je vooral bedoelde dat bij een te zware overtreding bijvoorbeeld ook je rijbewijs afgepakt kan worden. Bij 50 kilometer te hard op de snelweg bijvoorbeeld. En dat je bijvoorbeeld bij dronken rijden ook bijvoorbeeld een celstraf kan opleveren. Dus dat geldboetes alleen niet de enigste straf is voor rij overtredingen zijn.
Mooi tegenvoorbeeld voor wie denkt: grote bedrijven liggen niet wakker van 225 miljoen. Je ziet dat WhatsApp 'slechts' 77 had ingecalculeerd, en dat is dus een forse tegenvaller die de aandeelhouders heel erg niet waarderen. Natuurlijk hebben ze sinds 2018 best wat mooie woorden in de privacyverklaring erbij gezet, maar dat moet niet afdoen aan de overtreding waarvoor je wordt beboet.
Terwijl ik het met je eens ben, zouden duidelijk andere EU landen een veel hogere boete hebben gezien.

Een percentage van omzet/winst over de periode lijkt me veel passender.
Is dat niet gebruikelijk?
Uit: https://www.autoriteitper...caties/boetes-en-sancties
De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Sorry maar dat is een beetje naief.
225M is ca 2% van hun jaarwinst.
Ter vergelijk: Jan Modaal verdient 36.500 en 2% daarvan is 730 euro.
Heel leuk is dat niet voor Jan Modaal maar als hij met het criminele gedrag waar hij met 730 euro beboet wordt vele duizenden euro's heeft verdiend, is het nog steeds lucratief.
Mijn punt is dus dat deze zaak laat zien dat een bedrijf er wél wakker van ligt. En vergeet niet dat WA ook hun bedrijfsvoering moet aanpassen, het is niet "gaat u verder na overmaking van 730 euro" het is stoppen én 730 euro betalen.
Dit is het precies. Deze boetes hoeven niet eenmalig te zijn. Als dezelfde instantie volgend jaar nog eens controleert en dezelfde overtredingen zijn nog steeds aanwezig zal er nog een boete komen. Zoals je hier ook netjes aangeeft in je vorige post is zijn aandeelhouders hier alles behalve blij mee = management dus niet blij mee.
Die volgende boete zal dan ook hoger liggen. Het is een incentive en er is nu ook een precedent gezet.
Dat ze er wakker van liggen is natuurlijk ook precies de opzet van een boete, anders zouden ze gewoon doorgaan en de boetes op de koop toe nemen. Hoeveel winst ze met deze overtreding gemaakt hebben zou interessante informatie zijn. De boete zou hoger moeten liggen, anders heeft de boete geen zin natuurlijk. 50 cent per EU inwoner boete is waarschijnlijk laag ingeschat, maar dat is mijn mening.
anders zouden ze gewoon doorgaan en de boetes op de koop toe nemen
Dat is precies wat binnen hun bedrijfsmodel valt.

IF boete << jaarwinst then continue ELSE mitigate until acceptable costs
Jij hebt het over wakker liggen van de 225 miljoen, niet over het moeten aanpassen. Dat zullen ze inderdaad niet graag doen en zo lang mogelijk traineren en rekken.

Dat ze 77 hebben ingecalculeerd is gewoon een berekening van een accountant en eigenlijk natte vingerwerk net zoals banken in 2020 (corona jaar) heel veel geld stoppen in voorzieningen voor leningen die niet afbetaald worden ivm failissementen maar nu vallen die voorzieningen weer vrij omdat het wel meevalt.

Ik vergiste me verder in de jaarwinst: die is zo'n 30 miljard dus die 225M is nog geen procent dus dan zou het voor Jan Modaal 350 euro zijn.
En waarom zijn ze dan zo boos en gaan ze meteen in beroep?
Dat boos zijn is gespeeld en in beroep gaan ze omdat dat kan lonen.
Ze investeren - zeg - een miljoen euro aan advocaatkosten en als de boete daardoor met meer dan een miljoen omlaag gaat - uiteindelijk - dan is dat prima geinvesteerd geld.

En nog belangrijker dan die centen: als ze tot het hoogste orgaan doorprocederen weten ze precies wat wel en wat niet mag en kunnen ze tot het gaatje gaan...
En waarom zijn ze dan zo boos en gaan ze meteen in beroep?
Zoals @Lordy79 al noemt zijn emoties vanuit zo'n grote organisatie gespeeld en ingecalculeerd. Bij het beroep kunnen ze dit gebruiken door 'verbaasd' te zijn over het 'veel te hoge bedrag' dat zij 'echt niet aan konden zien aankomen'.

Voor het geld hetzelfde als dat @Lordy79 noemt, maar anders uitgelicht: als Facebook door in totaal 224 miljoen euro te investeren (in advocaten, imagoverlies, etc.) 1 miljoen euro minder hoeft uit te geven, dan zullen zij dat doen. Het is allemaal simpelweg koude kosten-batenanalyse.

Zoals gezegd, het is bedrijfsgeld waar gewoon een kosten-batenanalyse over berekend is. Investeerders krijgen een paar procent minder, maar niemand zal hier verder wakker van liggen. Het is het risico van de manier waarop Facebook zaken doet, en risico's zijn in te calculeren.

[Reactie gewijzigd door The Zep Man op 2 september 2021 18:44]

Mooi tegenvoorbeeld voor wie denkt: grote bedrijven liggen niet wakker van 225 miljoen. Je ziet dat WhatsApp 'slechts' 77 had ingecalculeerd, en dat is dus een forse tegenvaller die de aandeelhouders heel erg niet waarderen. Natuurlijk hebben ze sinds 2018 best wat mooie woorden in de privacyverklaring erbij gezet, maar dat moet niet afdoen aan de overtreding waarvoor je wordt beboet.
Het valt alsnog reuze mee de boete, Facebook boekte een winst van bijna 30 miljard in 2020.
Dat is onjuist:
edit: dat is wél juist

[quote]Zo komt het techbedrijf [in 2020] uit op 11,22 miljard dollar (ruim 9 miljard euro) nettowinst, een stijging van 53 procent tegenover het jaar voordien.[/quote]

Bron https://www.vrt.be/vrtnws...-11-miljard-dollar-winst/

[Reactie gewijzigd door Lordy79 op 2 september 2021 14:01]

Dat is alleen de winst uit Q4.
Volgens FB en mijn beperkte economische termen kennis, klopt die 30 miljard wel?
Die 11,22 miljard gaat over de laatste 3 maanden van 2020.

[Reactie gewijzigd door boschhd op 2 september 2021 14:06]

zie reactie Elp

[Reactie gewijzigd door LocoDenishr92 op 2 september 2021 13:58]

Blijkbaar de VRT want jij hebt gelijk. Ik heb even verder gegoogled.

Ik zal mijn post aanpassen.

Misschien dat de VRT alleen facebook telt, zonder instagram, whatsapp en weet ik wat niet meer.
Wat bedoel je precies met 'wakker liggen'? En waaruit leidt je af dat Facebook dit hierom doet?
Wie is er nog meer aan het protesteren door nog steeds niet de nieuwe voorwaarden te accepteren?!
Wie is er nog meer aan het protesteren door...
...geen WhatsApp meer te gebruiken? Ik
Jep. Whatsapp komt het hier nog steeds bijna dagelijks vragen.
Irriteert mij ook soms, ik heb FB en WhatsApp buitengekegeld begin dit jaar maar bijna niemand heeft Signal staan. Het enige wat ik echt mis is een groep waarop we met de vrienden zeggen als er ergens iets te doen is van lokale activiteiten qua uitgaan of een BBQ bij iemand thuis en zo.

Met de huidige tracking technologie en dergelijke weten ze bij de aanbieder van die reclame toch perfect wie je bent en wat je wil maar je mag nog zo veel keer zeggen dat dit product je niet interesseert of dat je dit niet meer wil zien, het heeft geen effect.
Als ik het niet accepteer kan ik niet meer WA'en. Als dat niet meer kan, mis ik een heleboel 'belangrijke' informatie uit WA-groepen zoals kinderdagverblijf, de buurt, etc.
Dat is het probleem.
Ik wel, ben je toevallig niet in de EU woonachtig? Ik heb namelijk gewoon een kruisje rechtsbovenin staan
Ik ben inderdaad niet in de EU woonachtig.
Dat verklaart het. Voor EU-gebruikers is Facebook er snel op teruggekomen. Ze zagen de bui al hangen denk ik.
Nee, dat is niet meer zo: https://tweakers.net/nieu...n-nieuwe-voorwaarden.html

Edit: in de EU, ik nam aan dat je daar woonde anders ben je SOL idd.

[Reactie gewijzigd door teek2 op 2 september 2021 15:14]

Ik… en zodra het niet meer weggeklikt kan vliegt WA er bij mij af
Ik heb mijn account zelfs verwijderd. De meesten zijn met me meegegaan naar Signal, de rest kan mij per sms bereiken.
Respect. Als ouders is het vrijwel onmogelijk, tenminste 1 van de ouders moet haast wel in sport, school, feestjes en speel appgroepen zitten. :'(
Kijk, dit zijn boetes. Komt het AP hier aan met hun ‘kleingeld’ boetes. Van mij mag het nog hoger.
Voor Facebook is dit nog steeds kleingeld
Misschien, maar dat hoeft niet gelijk te betekenen dat ze dat geld graag wegsmijten dankzij WhatsApp. Puntje bij paaltje komt dit hard aan, ongeacht de omzet van het totale bedrijf.
Het feit dat dit soort bedrijven dit keer op keer blijven flikken geeft toch aan dat ze er op zijn minst rekening mee houden.
Dat is een aanname. Het kan ook zijn dat de regels door WhatsApp gewoon anders zijn geïnterpreteerd. Net als de privacy policy van WhatsApp is wetgeving soms ook niet helemaal duidelijk. En voor een bedrijf dat persoonsgegevens verwerkt als primaire activiteit is het natuurlijk logisch dat ze de grenzen opzoeken. En dat is ook niet erg.
Meen je dit? Ik bedoel, Facebook c.s. is toch aardig vaak negatief in het nieuws gekomen betreffende dataverzameling en het niet zo netjes omgaan met gegevens dus het is een aanname, maar wel gebaseerd op resultaten uit het verleden.
Ja, ik meen het. Er worden in de rechtbanken dagelijkse honderden rechtszaken gevoerd om wetgeving te toetsen omdat die bijvoorbeeld niet duidelijk genoeg zijn, of omdat bij conflicterende wetgeving niet helder is welke prioriteit heeft.

Dat de privacypolicy niet 'duidelijk genoeg was' is een constatering van de waakhond. Het kan natuurlijk prima dat WhatsApp van mening is dat het wel duidelijk genoeg was. Wat "voldoende duidelijk" is staat waarschijnlijk niet in die wet geschreven. Gewoon andere interpretatie.

Ik geloof er persoonlijk geen hout van dat bedrijven als FB en Google opzettelijk de wet overtreden door bewust deze fouten te begaan. Je kan dan immers op je klompen aan voelen dat je vroeg of laat a) een boete moet betalen en b) je alsnog je werkwijze moet aanpassen. Op de lange termijn heb je daar naar mijn idee niet zoveel aan. Ik geloof wel dat de wetgeving ze belemmerd en dat die dus vervelend voor is ze, en ze daarom de grenzen opzoeken.
Ik voel op mijn klompen aan dat als een bedrijf hier miljarden mee kan verdienen, ze een boete van 225 miljoen op de koop toe nemen + een leger juristen inhuren die die boete minimaliseert én ervoor zorgt dat ze nog een tijdje door kunnen gaan met miljarden verdienen.
En als die weg dan eindelijk helemaal is afgesneden, hebben het leger juristen al een maas in de wet gevonden.
Hetzelfde werkt 't met belastingontwijking, patenten en al wat niet meer.
Ik geloof er persoonlijk geen hout van dat bedrijven als FB en Google opzettelijk de wet overtreden door bewust deze fouten te begaan.
Als die partijen daadwerkelijk zo amateuristisch zijn dat al die 'foutjes' uit het verleden ook echt foutjes waren dan zou ik ze al helemaal niet met mijn data vertrouwen.
Zo worden er ook rechtszaken gevoerd omdat de gedaagde partij gewoon niet wil inzien hoe dom die bezig is, eigenwijs, nalatig of wat dan ook.
Zelfs gemeenten flikken dit. Hele concrete vraag naar doel van dataverzameling gewicht container is nu al 8 maanden onbeantwoord. Privacy officier reageert helemaal niet meer, terwijl deze een dedicated functie heeft binnen onze gemeente
Als je nog vertrouwen in rechtspraak en politiek hebt zou ik eens naar opstandelingen kijken op NPO. Gemeentes krijgen van Den Haag vrij spel om bananenrepubliekachtige praktijken te ontwikkelen.
225 miljoen is voor niemand kleingeld, ook niet voor Facebook. Het is en blijft een grote smak geld, en de aandeelhouders gaan niet blij zijn met dit nieuws. En als de aandeelhouders er niet blij mee zijn, is Facebook er ook niet blij mee.
Het ligt er maan hoe dat gebracht wordt.

Als de aandeelhouders van te voren worden verteld dat de winstprognose 5 miljard winst bedraagt, waarin een post van 300 miljoen is opgenomen voor boetes en ander juridisch gezeur, dan worden de aandeelhouders blij als de prognose wordt gehaald met een lagere post voor boetes en juridisch gezeur.

225 miljoen is inderdaad veel, maar voor dit soort bedrijven nog steeds een te kleine druppel op de gloeiende laat. De boete is gewoon ingecalculeerd, net als de kosten voor het juridische getouwtrek eromheen.
Nee, maar misschien hebben ze door het overtreden van de regels wel méér dan 225 miljoen verdient; mocht dit het geval zijn is het dus nog steeds een winstgevende acitiviteit geweest.
Vergis je niet, dit was in maart vorig jaar nog maar BTC 71.000. De meeste mensen rekenen (nog) in Euris maar dat wordt rap minder.
Voor Facebook is dit nog steeds kleingeld
Ierland kent 6,5mln inwoners,
Europa ruwweg 450mln;

(450/6,5)*225 = 15 577 mln 🙂

Dit is alleen de EU nog,
in India en Brazilië hebben ze de regels al ook lang aangepast en sinds dit jaar wordt ze ook toegepast en was er een overgangsfase. Daarnaast zijn er nog kleinere landen die ook beseffen dat data geld is en dat het raar is dat dat klakkeloos naar het buitenland gaat zoals Indonesie en Vietnam wat extreem grote markten kunnen worden.

En zelfs in de VS begint het besef langzaam te dalen dat dergelijke bedrijven onderhand boven de wet staan, een kwartje dat al eerder is gevallen in China.


En dit is alleen nog whatsapp,
met zowel Facebook als Instagram wordt er ook heel veel gerommeld waar je niet weet waar het begint of eindigd.
Voor Facebook is dit nog steeds kleingeld
Ja helemaal na dat ze het eindelijk moeten betalen, want ze gaan dit zeker aanvechten met de beste advocaten die er zijn, en dan na vele jaren woord er gezegd hoe veel ze echt moeten betalen door een rechter, en zal zo goed als altijd minder zijn.
De Ierse privacytoezichthouder trad op namens verschillende andere Europese toezichthouders, waaronder de Nederlandse Autoriteit Persoonsgegevens.
nochtans ook betrokken partij in dit onderzoek
Nederland geeft vergeleken met andere EU-landen relatief hoge boetes reviews: Nederland deelt niet veel, maar wel heel hoge AVG-boetes uit (let op, Plus-artikel)
En terecht. Helaas zullen ze dit wel weer zo lang mogelijk proberen te rekken met hoger beroep etc. En ondertussen op de oude voet doorgaan.....
Wat ik altijd mis in dit soort zaken, is wat er met de reeds verzamelde data moet gebeuren. Lijkt mij onrechtmatig verkregen, dus zou gewist moeten worden (en wie checkt dit weer dat het echt gedaan wordt?)
Met je eens, en om het door te trekken: wat met machine learning algoritmes en modellen die evt worden getraind met deze data, die ze onrechtmatig hebben vergaard gedurende deze periode? Vind dat ze die ook mogen afstaan/vernietigen. Als ze al alle data hebben verwerkt kunnen ze het altijd "verwijderen" en zeggen dat ze zich eraan hebben gehouden, al verdienen ze rustig verder op die modellen.
Data onterecht verkregen lijkt mij niet. De data is niet helemaal in lijn met wetgeving verwerkt, maar dat maakt het bezit van de gegevens nog niet onrechtmatig.
Aangezien een abonnee van facebook niet de eigenaar is van (het telefoonnummer van) zijn contact kan en mag hij die niet verspreiden c.q. laten verwerken door een derde partij (facebook).

Voor Facebook zijn die gegevens illegaal verkregen. Facebook mag mijn telefoonnummer alleen verwerken (dat wil o.a. zeggen bewaren) als ik een verwerkingsovereenkomst met facebook afsluit (= lid wordt van facebook).
Dat klopt natuurlijk niet. Jij bent niet eigenaar van een nummerreeks dat jij een telefoonnummer noemt.

Als jij je rekening niet betaald krijg je een incassobureau op je dak. Jouw leverancier geeft dan jouw gegevens door aan het incassobureau. Dat mag, en daarvoor is het echt niet nodig dat jij daar eerst toestemming voor geeft.

Als jij een email stuurt naar een Gmail gebruiker heeft Google ook jouw e-mail adres. Daarvoor hoef jij niet eerst een overeenkomst af te sluiten met Google.

Facebook is hier de gegevensverwerker en de persoon die zijn adresboek upload is de gegevensverantwoordelijke. Tussen die persoon en FB zal een overeenkomst zijn (de voorwaarden die je moet goedkeuren). In die gegevens mogen best persoonsgegevens staan van derden die niet betrokken zijn bij die uitwisseling. Maar dat moet wel binnen de wettelijke beperkingen, en dat is hier blijkbaar niet gedaan.
Ik zou de derde paragraaf nog eens lezen. Met name: ze krijgen de boete ondermeer omdat

... de gegevens ... terug te leiden [zijn] naar een specifieke niet-gebruiker. WhatsApp is daarmee zelf een verwerker van die gegevens

Zodra die gegevens naar een persoon te herleiden zijn, die geen abonnee is mag je die gegevens niet verwerken (opslaan). De enige die die toestemming kan geven is de niet-abonnee. Dat ik die voor het gemak dat 'eigenaar van telefoonnummer' noem en niet in juristentaal vervat doet daar niets aan af. Het is in spreektaal gewoon mijn telefoonnummer, mijn email adres en alleen ik kan toestemming verlenen om dat te verwerken.

Een telecom provider mag wel de gegevens bewaren (heeft een verwerkingsovereenkomst dankzij het abonnement wat ik heb afgesloten) en in specifieke gevallen (niet betalen) doorgeven (aan een incassobureau) (gerechtvaardig belang). Dat is een heel andere situatie.

Een email adres wat Google ontvangt is gewoon een gegeven. Ik mag gewoon 'Hoofdstraat 12, 1234 AA Appingedam' vastleggen in mijn systeem. Of xxx@yahoo.com. Google mag echter niet vastleggen dat 'Jan Klaassen' op dat adres woont. Of dat email adres gebruikt. En dat kunnen ze ook niet want dat staat niet in mijn email vermeldt.

WA mag best controleren of nummer 020-1234567 in hun bestand voorkomt, dat is geen persoonsgegeven. Ze mogen best controleren of Het.Draakje in hun administratie voorkomt (niet dus). Ze mogen echter geen Het.Draakje met nummer 020-1234567 vastleggen, want dat is een persoonsgegevens en daarvoor hebben ze geen toestemming.
bedrijven werken nu op een manier dat ze liever de wet overtreden en de boete betalen dan gelijk de wet volgen. In mijn opinie moeten boetes zo hoog worden dat dit het niet meer waard word voor bedrijven en ze wel 2 keer denken voor ze zo met mensen hun gegevens omgaan.
Wat ik mij nou afvraag, hoeveel mensen mogen daadwerkelijk WhatsApp gebruiken volgens de voorwaarden van WhatsApp. Als je met hun voorwaarden instemt, beweer je dat je van iedereen toestemming hebt om ze toe te voegen aan WhatsApp. Persoonlijk ben ik nooit gevraagd of iemand mij mocht toevoegen. Ik heb dit zelf ook nooit gedaan.
"omdat het sindsdien veel moeite heeft gedaan de privacyverklaring transparanter te maken"
Welke verklaring moet ik tekenen zodat hun niets doen met mijn telefoonnummer. Dit omdat ik geen Whatsapp heb maar vrienden en collega's wel.
Ze krijgen een boete wat ze makkelijk kunnen betalen omdat de verdiensten vele malen hoger zijn.
Een verbod zou beter werken dan kijkt men wel 2 keer uit om het nog eens te doen.
Het zijn twee verschillende overtredingen.

- De eerste is dat ze jouw gegegevens illegaal verwerken.
- De tweede is dat ze duidelijk(er) moeten uitleggen wat er met legaal verkregen gegevens gebeurd.

De tweede overtreding gaat over gegevens van hun abonnees. Niet over die van jou.
Ze verzamelen veel te veel en linken alles aan elkaar, of je Facebook account heb of niet, maak niks uit. Ze zijn echt te groot geworden.

zie ook mn reactie hier: nieuws: Duitse privacywaakhond wil Facebook verbieden WhatsApp-data te gebruiken

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee