Noorse toezichthouder legt Grindr AVG-boete van 6,3 miljoen euro op

De Noorse privacywaakhond heeft datingapp Grindr een boete van 6,3 miljoen euro gegeven voor overtreding van de privacywet. Grindr deelde op illegale wijze data met derde partijen voor marketingdoeleinden. De boete is lager dan de DPA een jaar geleden voorstelde om uit te delen.

Datatilsynet legde het bedrijf een boete van 65 miljoen kronen op. Dat is omgerekend zo'n 6,33 miljoen euro. De privacytoezichthouder zegt dat de app identificeerbare data over gebruikers doorspeelde naar adverteerders. Het ging om locatiegegevens, IP-adressen en informatie over de gebruiker, zoals zijn leeftijd en geslacht. Al die informatie werd gecombineerd via een advertentie-ID. Voor het verzamelen van de gegevens gaf de gebruiker wel toestemming, maar voor het delen van die data met adverteerders niet, zegt Datatilsynet. Gebruikers werden gedwongen het privacybeleid te accepteren. Daarin werd niet specifiek gevraagd naar toestemming om te delen. De overtreding vond plaats tussen juli 2018 en april 2020.

De boete komt ruim een jaar nadat de privacywaakhond de intentie had aangekondigd om de boete op te leggen. De waakhond begon een onderzoek nadat een Noorse consumentenorganisatie een klacht had ingediend. Die klacht ging over meer populaire apps, waaronder Tinder. Over het onderzoek naar die partijen heeft Datatilsynet nog niets naar buiten gebracht.

Het gaat om de hoogste boete die de Noorse privacywaakhond ooit heeft opgelegd, maar desondanks is het uiteindelijke bedrag lager dan wat de autoriteit eerder voorstelde. Dat is omdat Grindr veranderingen heeft doorgevoerd aan de gegevensverzameling nadat het onderzoek was begonnen. Ook zegt Datatilsynet dat het 'de grootte en financiële situatie van Grindr' meeneemt in de beslissing. Het bedrijf kan alsnog in beroep gaan tegen de boete, maar het is nog niet bekend of het dat gaat doen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 15-12-2021 13:39
36 • submitter: beautjweetj

15-12-2021 • 13:39

36

Submitter: beautjweetj

Lees meer

Grindr test AI-tool die gesprekken helpt opvolgen
Grindr test AI-tool die gesprekken helpt opvolgen Nieuws van 7 oktober 2024
Grindr moet AVG-boete van 5,7 miljoen euro betalen
Grindr moet AVG-boete van 5,7 miljoen euro betalen Nieuws van 2 juli 2024
Tinder gaat onder druk van ACM gebruikers informeren over persoonlijke kortingen
Tinder gaat onder druk van ACM gebruikers informeren over persoonlijke kortingen Nieuws van 7 maart 2024
Noorse privacywaakhond geeft Meta 88.000 euro boete per dag voor overtreden AVG
Noorse privacywaakhond geeft Meta 88.000 euro boete per dag voor overtreden AVG Nieuws van 17 juli 2023
Noorwegen pleit voor boete voor Meta voor negeren van Privacy Shield-verbod
Noorwegen pleit voor boete voor Meta voor negeren van Privacy Shield-verbod Nieuws van 23 augustus 2022
Tinder krijgt in VS optie voor antecedentenonderzoek
Tinder krijgt in VS optie voor antecedentenonderzoek Nieuws van 10 maart 2022
DPG Media krijgt AVG-boete van 525.000 euro voor onterecht vragen van ID-bewijs
DPG Media krijgt AVG-boete van 525.000 euro voor onterecht vragen van ID-bewijs Nieuws van 24 februari 2022
Wat gebeurt er als de overheid de AVG overtreedt en zichzelf een boete geeft?
Wat gebeurt er als de overheid de AVG overtreedt en zichzelf een boete geeft? Nieuws van 8 december 2021
Belastingdienst krijgt 2,75 miljoen euro AVG-boete voor rol in toeslagenaffaire
Belastingdienst krijgt 2,75 miljoen euro AVG-boete voor rol in toeslagenaffaire Nieuws van 7 december 2021
Britse privacywaakhond wil Clearview boete van 20 miljoen euro opleggen
Britse privacywaakhond wil Clearview boete van 20 miljoen euro opleggen Nieuws van 30 november 2021
Commissie van Europees Parlement stemt voor wet tegen dominantie techgiganten
Commissie van Europees Parlement stemt voor wet tegen dominantie techgiganten Nieuws van 23 november 2021
Stichting van Max Schrems dient corruptieklacht in tegen Ierse privacywaakhond
Stichting van Max Schrems dient corruptieklacht in tegen Ierse privacywaakhond Nieuws van 23 november 2021
Hacker brak in 2016 in bij Booking.com via slecht beveiligde server
Hacker brak in 2016 in bij Booking.com via slecht beveiligde server Nieuws van 11 november 2021
Meer producten en artikelen
Privacy algemene verordening gegevensbescherming Boete

Reacties (36)

-Moderatie-faq
36
36
16
6
0
14
Wijzig sortering
Floort
15 december 2021 14:10
Er mist nog een stukje relevante analyse over waarom de toestemming niet rechtmatig was. De toezichthouder heeft besloten dat de keuze tussen het betaalde abonnement of het geven van toestemming voor tracking door derde partijen geen vrije toestemming oplevert vanwege de financiële drempel. Ook heeft de toezichthouder geoordeeld dat het intrekken van de toestemming niet zo eenvoudig was als het geven van de toestemming. Zo bevat het gepubliceerde rapport nog wel een paar extra inhoudelijke analyses die informatief kunnen zijn voor anderen.
Higaphix @Floort15 december 2021 14:28
Dusse, eigenlijk een beetje zoals de cookiewall van Tweakers? :+
Of is er een nuance die ik mis??? Zo ja, hoor ik het ook graag
Floort
@Higaphix15 december 2021 15:34
Er zijn ontzettend veel bedrijven die niet aan de normen voldoen waaraan voor deze boete getoetst is. Daarom vind ik het zo belangrijk dat er ook wordt uitgelegd wat er dan niet mag. Dat is veel interessanter dan de boete op zich.

Als ik me puur op Tweakers zou richten zou ik bijvoorbeeld ook het volgende element eruit kiezen:
Disclosing personal data to advertising partners is a “processing” pursuant to article 4(2)
GDPR, and Grindr is the “data controller” in relation to such processing pursuant to Article
4(7) GDPR, as it decided the means and purposes of the processing at hand.
Dat is namelijk in directe tegenspraak met een vrij fundamenteel standpunt dat DPG inneemt, namelijk dat DPG geen (gezamenlijke) verwerkingsverantwoordelijke is voor de verstrekking van tracking data aan verschillende analytics- en advertentiepartijen. Ook de bevindingen van Datatilsynet over toestemming die specifiek gegeven moet zijn voor individuele doelen is relevant voor verbeteringen waar Tweakers nu mee bezig is.
The EDPB has also stated that consent mechanisms must not only be granular to meet the
requirement of “free”, but also to meet the element of “specific”.49 This means that a
controller that seeks consent for various different purposes should provide a separate opt-in
for each purpose, to allow users to give specific consent for specific purposes. As discussed
above in section 5.4.2, we have concluded that Grindr did not provide separate “opt-in” for
each purpose.
Eigenlijk is heel 5.4 wel leerzaam en helder opgeschreven en een leestip voor iedereen die iets van een toestemmingsvraag moet implementeren voor de verwerking van persoonsgegevens.
WillySis
@Floort15 december 2021 15:39
De analyse is correct, maar niet compleet.
De gegevens van de klanten worden ook verhandeld. Het gaat daarbij om IP aderes, locatie, leeftijd, geslacht en interesses van de gebruikers. Dit staat ook in de voorwaarden, maar er wordt nergens de expliciete toestemming gevraagd. Men kan het verhandelen van de gegevens ook niet weigeren of uitzetten. Dat is volgens de Noorse consumentenbond tegen de wet.

Voor de volledigheid: Noorwegen is geen lid van de Europese Unie, dus de AVG geldt daar niet. De Noren hebben de AVG wel grotendeels overgenomen, maar er kunnen verschillen zijn.
Floort
@WillySis15 december 2021 15:46
Dat wat je "verhandeld" noemt noemt men (onafhankelijk van een eventuele vergoeding) onder de AVG een verstrekking. Het rapport is er vrij duidelijk over:
The NCC’s inquiry showed that Grindr shared (“disclose” and “share” will be used
interchangeably throughout this decision to describe the same action) certain categories of
personal data to several advertising partners, including advertising ID, IP address, GPS
location, gender, age, device information and app name.3 The NCC stated that Grindr shared
such data through software development kits (“SDKs”) included in the Grindr app. According
to the NCC, in the case of mobile advertising, SDKs are often provided in order to facilitate
communication between the apps and the advertising vendors.
Voor de volledigheid: Noorwegen is geen lid van de Europese Unie, dus de AVG geldt daar niet. De Noren hebben de AVG wel grotendeels overgenomen, maar er kunnen verschillen zijn.
Dat klopt niet. Volgens de site van de toezichthouder zelf:
Although not a member of the EU, Norway is a member of the European Economic Area (EEA). The GDPR was incorporated into the EEA agreement and became applicable in Norway on 20 July 2018. Norway is thus bound by the GDPR in the same manner as EU Member States.
bron
En zie ook de uitleg van @Arnoud Engelfriet in de reacties onder dit artikel.

[Reactie gewijzigd door Floort op 24 juli 2024 07:42]

MachIV @Floort15 december 2021 14:29
Is dit dan vergelijkbaar met het cookiebeleid van Tweakers?
R4gnax
@MachIV15 december 2021 16:32
Is dit dan vergelijkbaar met het cookiebeleid van Tweakers?
Grofweg: ja.
De Noorse waakhond heeft correct in lijn met de richtlijnen van het EDPB geoordeeld dat de financiële drempel onder de noemer nadelige gevolgen valt en er daarmee geen sprake is van vrije keuze. Hier in Nederland heeft de AP haar eigen uitleg gehanteerd die tegen de richtlijn van het EDPB in gaat.

Uiteindelijk is het zo dat geen enkele waakhond gerechtigd is op eigen houtje enig aspect van de GDPR/AVG uit te leggen zonder dat deze uitleg goedgekeurd is door de EDPB (ja; dit staat in de wetstektst van de verordening opgenomen) en dat als er ooit twist over komt, de EDPB de beslissende stem heeft en de rest daar zich naar te voegen heeft.

Op het feit na dat die procedure nog niet gevoerd is zit de AP met haar uitleg dus gewoon fout; en Tweakers en DPG daarmee ook.

[Reactie gewijzigd door R4gnax op 24 juli 2024 07:42]

bartje 15 december 2021 13:51
In hoeverre komen de Noorse privacy eisen overeen met de GDPR? Noorwegen een geen EU land, zij zouden daardoor hele andere richtlijnen kunnen volgen. Of neemt Noorwegen in de geval de EU richtlijnen over?
Arnoud Engelfriet @bartje15 december 2021 14:08
Algemeen geldt dat Noorwegen alle regels van de EU moet overnemen, en dus ook de GDPR. Dit omdat ze lid zijn van de Europese Economische Ruimte (EER). En ja, dat betekent dus dat Noorwegen niet meestemt over die regels maar ze wel moet volgen.

Uitzonderingen zijn enkele gebieden zoals visserij en landbouwbeleid, daar mag Noorwegen eigen regels voeren. Ook mag Noorwegen eigen btw niveaus hanteren en iets strenger zijn bij import en mensen die het land in of uit willen, maar de details daarvan weet ik zo niet.
RoestVrijStaal @Arnoud Engelfriet15 december 2021 14:56
Uitzonderingen zijn enkele gebieden zoals (...) mensen die het land in of uit willen, (...)
Volgens Wikipedia garandeert het EER-verdrag juist een vrij verkeer van personen. En IANAL, maar enige vorm van "strenger zijn voor" lijkt mij dat er dan geen sprake meer is van vrij verkeer van personen.

Een van de reden waarom de Brexit is ontstaan, is juist omdat de Engelsen geen vrij verkeer van personen (met name asiel- en gelukzoekers) wilden bieden.

[Reactie gewijzigd door RoestVrijStaal op 24 juli 2024 07:42]

sprankel @RoestVrijStaal15 december 2021 21:01
De Brexit is ontstaan omdat lokale politiek maar al te graag de EU gebruikt als zondebok om hun eigen falen te maskeren. Dat in realiteit de EU een gigantisch probleem heeft dat als puntje bij paaltje komt de EU niets kan afdwingen word daarbij doorgaans goed verzwegen. Zo kan iedereen uitstappen wanneer men wilt maar de EU kan niemand buiten gooien. Volwaardige leden hebben veto recht en kunnen dus perfect iedere wijziging eenzijdig tegenhouden, dat excuus het moet van Brussel slaagt dus nergens op.

Asiel zoekers hebben geen recht op vrij verkeer en zijn verplicht asiel aan te vragen in het eerste EU land waar ze toekomen. In de praktijk doen ze dat niet en reizen ze volkomen illegaal door de EU, zolang men geen asiel aanvraagt kunnen ze de EU uitgezet worden.

De reden dat asiel zoekers naar de UK willen is met name omdat de UK in 2011 de ID-kaart afgeschaft heeft, je hebt daar enkel nog een internationaal paspoort. Dat klinkt als muziek in de oren voor iemand die geen papieren heeft maar dat willen ze in de UK niet horen.

Of Noorwegen of de UK nu wel of niet in de EU zit en wel of niet in een verdrag heeft, in de praktijk volgen ze toch de EU regels. De EU is groot en bedrijven schikken zich sowiezo naar de EU regelgeving waardoor de EU regelgeving toch ingevoerd word, iets waar de Britten nu achter aan het komen zijn.
bonzz.netninja 15 december 2021 13:48
Is het dan geen GDPR boete ipv een AVG boete? AVG is iets Nederlands toch?

[Reactie gewijzigd door bonzz.netninja op 24 juli 2024 07:42]

thahajemnireal @bonzz.netninja15 december 2021 13:51
Maar Noorwegen is niet eens lid van de EU, of is dat dan weer Europese Economische Zone?

Heb een error in m'n hoofd denk ik.
Arnoud Engelfriet @thahajemnireal15 december 2021 14:05
Noorwegen is inderdaad geen EU-lid, maar wel lid van de Europese Economische Ruimte (EER). Als gevolg daarvan moeten ze alle EU-regels overnemen, zoals dus de GDPR (de Engelse naam voor de AVG). Noorwegen heeft dus gewoon de GDPR en bijgevolg ook een toezichthouder die boetes kan opleggen.
badboyqxy @thahajemnireal15 december 2021 13:56
Eu bestaat uit tal van contracten waar men wel of niet aan kan deelnemen. Heb je alle contracten ben je volledig eu lid en paar zijn optioneel weet niet precies in detail.

Maar zo is bijv. Vrij reizen , euro, gezamenlijke wetgevingen alle losse blokjes die men wel of niet kan 'aannemen'
hottestbrain @bonzz.netninja15 december 2021 13:50
GDPR is de Europese regelgeving waarop de AVG-wetgeving is gebaseerd.
jochlig @hottestbrain15 december 2021 14:00
Niet waar. De EU heeft richtlijnen en verordeningen. Bij een richtlijn dienen lidstaten van de EU hun nationale wetten zo aan te passen zodat ze aan de richtlijnen voldoen.

De AVG is echter een verordeningen. Verordeningen worden rechtstreeks overgenomen. Deze verordeningen worden vertaald in alle officiële talen van de EU. De AVG is dus gewoon de Nederlandse naam, de Engelse naam voor die verordening is de GDPR, de Duitse DS-GVO, de franse RGPD, enz.

De AVG is dus niet gebaseerd op de GDPR. De AVG is de GDPR
Verwijderd @jochlig15 december 2021 14:14
De statement AVG = GDPR is niet juist. Er kunnen wel degelijk verschillen in zetten. Het is voor de lidstaten gewoon toegestaan aan hun lokale versie zaken toe te voegen. Waardoor het mogelijk is dat een website in Nederland voldoet maar in Duitsland niet.

Hiermee zeg ik niet dat hij per definitie niet gelijk is maar het is goed mogelijk dat er verschillen zijn.

https://www.verrassend-on...e-als-de-avg-regelgeving/
jochlig @Verwijderd15 december 2021 15:21
Ik weet niet wat dat voor bron is, maar hier een stuk tekst van de EC:

"Verordeningen zijn wetgevingshandelingen die vanaf hun inwerkingtreding automatisch en op dezelfde manier gelden in alle EU-landen. Ze zijn in hun geheel bindend in alle EU-landen."

https://ec.europa.eu/info...g-process/types-eu-law_nl

De AVG is een EU verordening. https://autoriteitpersoon...2016_-_679_definitief.pdf

Die verordening is in alle talen (ongeveer) hetzelfde. De AVG is dus de GDPR. Dat Nederland nog extra wetten heeft omtrent privacy dat zou best kunnen. Maar die zijn dus niet onderdeel van de AVG
Verwijderd @jochlig15 december 2021 15:29
Nee dat zeg je niet juist. De GDPR is een onderdeel van de AVG.

Die extra wetten die Nederland eventueel kan hebben kunnen dus gewoon in de AVG staan.
Alleen moet de AVG wel voldoen aan de GDPR , maar mag wel strengere regels maken of aanvullingen erop maken zolang ze niet in strijd zijn met de GDPR.
Spatienazi @Verwijderd15 december 2021 15:57
Wat je zegt klopt toch écht niet. Dat is een misvatting. Jochlig heeft gelijk. De AVG is een EU-verordening (specifiek verordening 2016/679) die in het Engels GDPR wordt genoemd.

Dat de GDPR de AVG is, kun je doodeenvoudig bewezen zien door terug te gaan naar de bron: EUR-Lex. Daar kun je deze algemene verordening over de bescherming van gegevens (of, zoals ze dat in het Engels zouden kunnen formuleren: a general regulation on the protection of data :V) in alle talen lezen.

Grappig om te zien hoe ze in alle talen hetzelfde heten:
  • Engels: General Data Protection Regulation
  • Duits: Datenschutz-Grundverordnung
  • Spaans: Reglamento general de protección de datos
  • Nederlands: Algemene Verordening Gegevensbescherming
Mocht je zoeken naar de Nederlandse implementatie, die had Marco al genoemd: De Uitvoeringswet Algemene verordening gegevensbescherming.

[Reactie gewijzigd door Spatienazi op 24 juli 2024 07:42]

R4gnax
@Verwijderd15 december 2021 16:23
Nee dat zeg je niet juist. De GDPR is een onderdeel van de AVG.

Die extra wetten die Nederland eventueel kan hebben kunnen dus gewoon in de AVG staan.
Alleen moet de AVG wel voldoen aan de GDPR , maar mag wel strengere regels maken of aanvullingen erop maken zolang ze niet in strijd zijn met de GDPR.
Nee. Jij zit fout.

De AVG is de GDPR. Punt.

Naast de AVG heeft Nederland net als vele andere lidstaten nog een eigen implementatiewet lopen waarin extra lidstatelijke bepalingen ondergebracht zijn, waar de AVG/GDPR dit toe staat. Maar die implementatiewet is geen onderdeel van de AVG en de AVG is geen onderdeel van die implementatiewet.

[Reactie gewijzigd door R4gnax op 24 juli 2024 07:42]

Iblies @jochlig15 december 2021 16:33
Europese richtlijnen is in beginsel een ondergrens. Daar mogen eu-staten niet van af wijken.
Marco076 @Verwijderd15 december 2021 14:40
En dat is in Nederland dus gebeurd in de Uitvoeringswet AVG.
De verordening heet de General Data Protection Regulation en dat is in het Nederlands Algemene Verordening Gegevensbescherming. Dus een op een hetzelfde.
Verwijderd @Marco07615 december 2021 14:41
Volgens mij zitten er wel degelijk verschillen tussen, maar kan zo zo even niet vinden.
Zenomyscus @bonzz.netninja15 december 2021 13:56
Volgens mij klopt het wel. De 'officiele website van de EU' spreekt ook over de AVG en zet daarachter "in het Engels GDPR". Zij gebruiken de term AVG vooral als Nederlandse vertaling van de term GDPR. Volgens mij zien zij dat los van de Nederlandse implementatie van de GDPR die bij ons AVG heet. Uiteindelijk is het hetzelfde ding, namelijk de Nederlandse implementatie van GDPR. Zowel de implementatie als de term is in het Nederlands de AVG.

Toevoeging: stel dat de wet bij ons "Wet Privacy Verplichtingen" zou heten, dan zou de vertaling van GDPR dus AVG zijn en de implementatie van die regulering WPV heten.

Verder is de AVG (de vertaling van de term GDRP, niet de Nederlandse wet ;) ) ook opgenomen in de EER-overeenkomst. Noorwegen is daar lid van.

Bron:
https://ec.europa.eu/info...ion/data-protection-eu_nl

[Reactie gewijzigd door Zenomyscus op 24 juli 2024 07:42]

Floort
@bonzz.netninja15 december 2021 14:06
De AVG is de afkorting van de Nederlandse naam van de GDPR. Het is Europa, dus alles wordt vertaald. Maar het is dezelfde verordening/regulation.
cracking cloud @bonzz.netninja15 december 2021 14:21
Dan is het een personvernforordningen (PVF)
Spatienazi @bonzz.netninja15 december 2021 15:41
AVG is iets Nederlands toch?
Klopt, "GDPR" is het Engelse woord voor wat wij in het Nederlands "AVG" noemen. Geen verschil verder.

Kun je ook op de pagina's van de AVG zien. Hier zie je hem in het Nederlands met bovenaan "Algemene Verordening Gegevensbescherming" en dit is de Engelse versie van het document met bovenaan "General Data Protection Regulation".
sir_huxley 15 december 2021 13:54
Noorwegen heeft dezelfde eisen als die in Europa: https://lovdata.no/dokume...PITTEL_gdpr#KAPITTEL_gdpr
Ben zelf als developer woonachtig in Noorwegen en ben hier dagelijks mee bezig.

[Reactie gewijzigd door sir_huxley op 24 juli 2024 07:42]

vDorst 15 december 2021 13:58
Dit met dank aan noyb!
https://noyb.eu/en/ncc-no...over-illegal-data-sharing
Fijn om te zien dat bedrijven worden aan gepakt.
Iblies @vDorst15 december 2021 16:44
Kwa boete staat ik enigzins verbaasd te kijken dat in casu van een relatief klein bedrijf een dergelijke hoge boete wordt opgelegd.

https://mobile.reuters.com/article/amp/idUSKBN247308
"This is a company that is doing well over $100 million of revenue (annually). It is highly profitable and growing quickly,"
Daarbij zitten niet alle gebruikers in Noorwegen en Noorwegen heeft ongeveer 5,5mln inwoners.

Als je dit gaat schalen naar de EU of VS dan is het bedrijf per direct failliet,
wat mijn inziens niet eens een slecht idee hoeft te zijn.
Zogeheten databrookers blijven buiten zicht en die koppelen veel meer data.
robvanwijk
15 december 2021 15:59
Gebruikers werden gedwongen het privacybeleid te accepteren.
Dat geldt toch voor letterlijk elke dienst? Ik kan me niet herinneren ooit een signup pagina gezien te hebben waar ik de mogelijkheid had om te onderhandelen over hun privacybeleid... Is dit misschien een ongelukkige vertaling!?
Floort
@robvanwijk15 december 2021 16:37
Ik vermoed dat dit een samenvatting is van paragraaf 5.4.2. uit het rapport dat gaat over niet "vrij" gegeven toestemming. Die analyse bevat een aantal elementen waarvan ik er een paar heb samengevat in een andere reactie onder dit artikel.
bonzz.netninja 15 december 2021 20:05
Elk lidstaat mag wel degelijk aanvullingen hebben op bepalingen in GDPR, in dit geval in de AVG. Zie bijv. https://www.twobirds.com/...n-regulation/gdpr-tracker dit overzicht.

Het punt is dat het licht verwarrend, en zeker niet nodig is om in dit artikel te verwijzen naar de AVG ipv GDPR.
mutley69 15 december 2021 23:02
Schrems Rulez.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq