LinkedIn krijgt AVG-boete van 310 miljoen euro vanwege verwerking persoonsdata

De Ierse Data Protection Commission heeft Microsoft-dochterbedrijf LinkedIn een AVG-boete van 310 miljoen euro opgelegd voor diverse privacyovertredingen. Het zakelijke sociale netwerk zou zonder geldige reden gebruikersgegevens verzameld hebben voor persoonlijke advertenties.

Volgens de DPC had LinkedIn geen 'gerechtvaardigd belang' om de persoonsgegevens van zijn gebruikers te verzamelen voor gedragsanalyse en gepersonaliseerde advertenties. Dat was wel de grondslag waarop het netwerk zich beriep. Daarnaast maakte LinkedIn niet voldoende duidelijk waarom het platform de gegevens van gebruikers verzamelt. Ook stelt de DPC dat gebruikers geen 'vrije toestemming' konden geven, aangezien ze niet goed werden geïnformeerd. Volgens de autoriteit is 'het verwerken van persoonlijke gegevens zonder goede grondslag een duidelijke en ernstige schending van het fundamentele recht op gegevensbescherming'.

De DPC heeft LinkedIn de op vijf na hoogste AVG-boete tot dusver opgelegd. Naast de boete van 310 miljoen euro beveelt de waakhond LinkedIn ook om zijn persoonsgegevensverwerking in lijn te brengen met de Europese privacyregels. In een verklaring aan TechCrunch laat een woordvoerder van LinkedIn weten dat het bedrijf van mening is dat het de AVG niet heeft geschonden. "Desondanks zijn we bezig om ervoor te zorgen dat ons advertentiebeleid tijdig voldoet aan het besluit van de DPC."

De privacyautoriteit begon in 2018 met zijn onderzoek naar LinkedIn, dat sinds 2016 onderdeel is van Microsoft. In juni vorig jaar zette het bedrijf al 396 miljoen euro opzij in afwachting van een mogelijke boete. Microsoft zei destijds bezwaar aan te gaan tekenen tegen de boete, maar het is niet duidelijk of het bedrijf dat nog steeds van plan is.

Door Kevin Krikhaar

Redacteur

Feedback • 24-10-2024 13:53
62 • submitter: mhwsmits

24-10-2024 • 13:53

62

Submitter: mhwsmits

Lees meer

NL geeft relatief veel uit aan privacy

23 dec 2024

NL geeft relatief veel uit aan privacy

Maar AP deelt niet de meeste boetes uit

87
BNR: Bloeddrukmeters van Omron verzamelden locatiegegevens van gebruikers
BNR: Bloeddrukmeters van Omron verzamelden locatiegegevens van gebruikers Nieuws van 4 maart 2025
Microsoft moet LinkedIn-gebruiker 50.000 euro betalen na inzet trackingcookies
Microsoft moet LinkedIn-gebruiker 50.000 euro betalen na inzet trackingcookies Nieuws van 13 februari 2025
AP geeft Netflix 4,75 miljoen euro AVG-boete voor slecht privacybeleid
AP geeft Netflix 4,75 miljoen euro AVG-boete voor slecht privacybeleid Nieuws van 18 december 2024
Autoriteit Persoonsgegevens: aantal datalekmeldingen daalt licht
Autoriteit Persoonsgegevens: aantal datalekmeldingen daalt licht Nieuws van 11 december 2024
Omzet Microsoft stijgt door groei in cloudcomputing en AI
Omzet Microsoft stijgt door groei in cloudcomputing en AI Nieuws van 31 oktober 2024
AP gaf kredietverzamelaar Experian boete en sancties na overtreden privacywet
AP gaf kredietverzamelaar Experian boete en sancties na overtreden privacywet Nieuws van 31 oktober 2024
LinkedIn mag geen trackingcookies plaatsen zonder toestemming
LinkedIn mag geen trackingcookies plaatsen zonder toestemming Nieuws van 18 juni 2024
Microsoft zet 396 miljoen euro opzij voor mogelijke AVG-boete voor LinkedIn
Microsoft zet 396 miljoen euro opzij voor mogelijke AVG-boete voor LinkedIn Nieuws van 2 juni 2023
LinkedIn gebruikte 18 miljoen mailadressen van niet-gebruikers voor Facebook-ads
LinkedIn gebruikte 18 miljoen mailadressen van niet-gebruikers voor Facebook-ads Nieuws van 26 november 2018
Meer producten en artikelen
Politiek en recht Privacy AVG Microsoft Advertenties algemene verordening gegevensbescherming Boete Ierland Linkedin persoonsgegevens Tracking

Reacties (62)

-Moderatie-faq
62
60
19
3
0
28
Wijzig sortering

Sorteer op:

Weergave:
latka 24 oktober 2024 14:35
Dus de tennisbond mag het wel en linkedin niet. Kunnen we gerechtvaardigd belang niet uit de wet halen als de juristen het al niet snappen hoe moeten bedrijven het dan goed doen.
Quintiemero @latka24 oktober 2024 15:29
Nee de uitkomst van de tennisbond is nog onbepaald!. DPC heeft de complete toets van het gerechtvaardigd belang gedaan. Bij de zaak met de tennisbond is slechts gekeken naar of commercieel belang een legitiem belang kan zijn’. Stap 2 en 3 moeten mog worden beoordeeld (was het noodzakelijk en hoe valt de belangenafweging uit). Dat ligt nu weer bij de NL rechter.

Los daarvan gaat het hier meer over gebruik van advertenties, Je kan je dan niet beroepen op gerechtvaardigd belang, want die belangenafweging valt negatief uit. Deze zaak is meer vergelijkbaar met recente zaak tegen Meta. Die eerst advertentieprofielen onder overeenkomst schaarden en toen ook onder het gerechtvaardigd belang

[Reactie gewijzigd door Quintiemero op 24 oktober 2024 15:29]

WouterL @latka24 oktober 2024 15:29
Dan heb je de uitspraak niet goed begrepen.
Het Hof zegt niet dat tennisbond deze gegevens mocht doorverkopen, maar de essentie van het boete besluit van de AP is niet goed. Het Hof stelde dat een financieel belang onder omstandigheden zeker een gerechtvaardigd belang kan opleveren. Dat “onder omstandigheden” is hier niet getoetst. De AP stelde namelijk dat een louter financieel belang nooit een gerechtvaardigd belang kan zijn. Het standpunt van de AP de afgelopen jaren is daarom erg jammer; het had ook bezig kunnen gaan met de vraag: “maar wanneer is het dan wel geoorloofd”. Want die vraag, en de grenzen, zijn op dit moment best ingewikkeld.

[Reactie gewijzigd door WouterL op 24 oktober 2024 15:30]

latka @WouterL24 oktober 2024 16:01
Dus mijn stelling: " Kunnen we gerechtvaardigd belang niet uit de wet halen als de juristen het al niet snappen" is van toepassing. De juristen van het AP dachten er anders over. Dus de wet is al niet heel helder op dat vlak dat dit ruis op kan leveren.
WouterL @latka24 oktober 2024 17:12
Tja er is ook niet een one size fits all oplossing. Eruit halen zal ook zeker problematisch worden, omdat de gerechtvaardigd belang grondslag een vangnet bepaling is. Erg veel
verwerkingen (ook zonder financiële belangen) vallen onder deze grondslagen.

Ik denk eerder aan heldere richtlijnen/richtsnoeren over wanneer wel, en wanneer niet in relatie tot commerciële belangen.

[Reactie gewijzigd door WouterL op 24 oktober 2024 17:12]

dasiro @WouterL24 oktober 2024 17:37
wat ook niet helpt is dat er op verschillende niveau's (lokaal, nationaal, europees) telkens weer andere interpretaties mogelijk zijn, waardoor je zoals nu rechtzaken hebt die ondertussen al 6 jaar aanslepen zonder einde in zicht.
bytemaster460 @latka24 oktober 2024 20:00
Wetten worden meestal vaag opgesteld omdat je anders allerlei randgevallen creëert en gaten in de wet kunt krijgen. Het is juist de bedoeling dat juristen zich gaan buigen over de inhoud van de wetten zodat er jurisprudentie ontstaat.
artslart 24 oktober 2024 14:37
Let op: LinkedIn is een tijd geleden campagne gestart om gebruikers te bewegen hun identiteit te verifiëren, o.a. door het uploaden van een kopie van je ID of paspoort.

De voorwaarden voor deze verificatie stemmen niet vrolijk. Bovendien is er altijd een risico van gegevensdiefstal. Zie voor details deze Reddit post.
latka @artslart24 oktober 2024 16:02
En daarbij is het verificatie systeem kapot omdat met het verschil tussen doop- en roepnamen niet kent. Dus verificatie verloopt slecht.
Bender @artslart24 oktober 2024 16:47
Regelmatig als ik op LinkedIn kom krijg ik die melding ook gepushed, dat ik me moet verifieren.

Het verbaast me ook dat iemand zijn ID/Paspoort naar Linkedin of welk bedrijf dan ook sturen voor een online smoelenboek.
De vraag is meestal ook niet of er gehacked wordt, maar wanneer dit gebeurt. Met die gedachtegang is het erg onverstandig dit soort dingen te doen voor iets als een online profiel.
cripto 24 oktober 2024 21:09
De titel van het bericht klopt niet helemaal. De AVG is iets wat we alleen in Nederland hebben; het is vrijwel gelijk aan de GDPR, maar niet 100%. De enige die AVG boetes op kan leggen is de Autoriteit Persoonsgegevens. Door te stellen dat linkedIn een AVG boete heeft gekregen wordt er dus geïmpliceerd dat de Autoriteit Persoonsgegevens hier een hand in had, wat enigszins misleidend is.
Arjan P @cripto25 oktober 2024 01:51
Nee, de AVG (vertaling van GDPR, niets meer) is een Europese verordening en heeft als zodanig rechtstreekse werking - en die werking is in alle Europese lidstaten identiek. Dit in tegenstelling tot een Europese richtlijn, waarop lidstaten hun eigen implementatie (moeten) maken in eigen wetgeving. Dus nee, de AVG is niet iets dat we alleen in Nederland hebben, de titel klopt gewoon.
La1974 24 oktober 2024 14:41
We klagen wel eens over Google maar LinkedIn is minstens zo’n grote datazuiger.

In de iOS Appstore zie je hier al een voorbeeld van. Klik op App Privacy en trek je conclusies.
Z80 @La197424 oktober 2024 14:58
In android net zo erg. Ze willen toegang tot alles.
Cloxxki 24 oktober 2024 14:08
Krijg ik daarom al die onzin notificaties van Academia.edu dat iemand met mijn EXACTE naam zou hebben genoemd in een onderzoek terwijl het er niet eens op leek?
Wilglide 24 oktober 2024 15:04
Blijft moeilijk om niks met gedragsdata van gebruikers te doen. Voor mij is het een publieke cv, maar ga niet denken dat je te weten kan komen uit LinkedIn statistiekjes (posts en sporadische likes) welke advertenties ik interessant vind, zul je toch altijd te weinig en achterhaalde data voor hebben, locatie en leeftijd vind je waarschijnlijk toch overal wel. Misschien je gebruikers gewoon vragen welke technieken en bedrijven je ècht interessant vind voor advertenties? Terechte boete, nu nog echt er iets van leren en dingen echt veranderen.
jigalvh @Wilglide25 oktober 2024 00:37
[...] maar ga niet denken dat je te weten kan komen uit LinkedIn statistiekjes (posts en sporadische likes) welke advertenties ik interessant vind,[...]
Dat zal je verbazen. Het gaat daarbij echt niet om inhoudelijke zaken, maar uit correlaties. Als je reacties leest onder een post ben je daarin meer geïnteresseerd dan iemand die dat niet doet. Na een zeer beperkt aantal acties (likes, lezen, reageren) kan dit een correlatie hebben met profielen waarvan zaken als inkomen, politieke voorkeur, leeftijd, enzovoort bekend zijn. De kans is groot dat jij dan overeenkomt met zo'n eigenschap. Dan kun jij interessant zijn voor bepaalde advertenties.
Correlaties betekenen natuurlijk geen causaal (oorzakelijk) verband. Maar als jouw lees-/klikgedrag grotendeels overeenkomt met VVD-stemmers en een bepaald automerk vaak verkocht wordt aan VVD-stemmers dan ben jij interessant om een advertentie voor dat merk te tonen.
Wilglide @jigalvh25 oktober 2024 09:16
In theorie, in praktijk krijg je enkel mobile game advertenties, omdat ik één mobile game heb geïnstalleerd of ergens geliked. Ook omdat ze de markt verzadigen, omdat ze er (veel) geld voor over hebben.

Geef mij kickstarter advertenties en tech, gadgets. Maar nee, want die stoppen daar minder geld in.

De auto advertenties krijg je als je de auto al 'gekocht' hebt. Die LinkedIn had kunnen weten dat je die waarschijnlijk toch leased... 8)7 Geen causatie en zwakke correlaties.
Dromedaris 24 oktober 2024 15:44
Als ik het bericht van de Ierse toezichthouder lees wordt hier niet gezegd dat het probleem het niet of wel hebben van een gerechtvaardigd belang is:
Did not validly rely on Article 6(1)(f) GDPR (legitimate interests) for its processing of first party personal data of its members for behavioural analysis and targeted advertising, or third party data for analytics, as LinkedIn’s interests were overridden by the interests and fundamental rights and freedoms of data subjects.
Dus het probleem is hier de belangenafweging die zit ingebakken bij het willen gebruik van gerechtvaardigd belang:
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Het verschil met de recente uitspraak over de tennisbond en gepersonaliseerde reclame is dat de AP had gesteld dat deze gang van zaken niet kon simpelweg omdat een puur commercieel belang niet een gerechtvaardigd belang zou zijn. De AP had namelijk in het algemeen gesteld gesteld dat een puur commercieel belang niet een gerechtvaardigd belang kan zijn. Het Hof oordeelde dat dat te kort door de bocht is en een commercieel belang ook een gerechtvaardigd belang kan zijn.

Maar met alleen een gerechtvaardigd belang ben je er dus nog niet. Daarnaast heb je nog steeds de belangenafweging en de noodzakelijkheidstoets (proportionaliteit en subsidiariteit; staat de verwerking in verhouding met het beoogde doel en kan het ook op een minder inbreuk makende manier) die zitten ingebakken in de bepaling over het gebruik van een gerechtvaardigd belang. De Ierse toezichthouder zegt dat het bij deze stappen verkeerd gaat. Als de AP ook gelijk alle stappen had doorlopen was mijns inziens de gang van zaken van de tennisbond gewoon daar stukgelopen.
jigalvh @Dromedaris25 oktober 2024 10:06
Als ik het bericht van de Ierse toezichthouder lees wordt hier niet gezegd dat het probleem het niet of wel hebben van een gerechtvaardigd belang is
Klopt. Over het belang en of dat gerechtvaardigd is heeft men geen oordeel geveld. Er is een toets gedaan of het belang van de privacy van de personen waarvan de data werd verwerkt groter of kleiner is dan het geclaimde belang van LinkedIn.
Het verschil met de recente uitspraak over de tennisbond en gepersonaliseerde reclame is dat de AP had gesteld dat deze gang van zaken niet kon simpelweg omdat een puur commercieel belang niet een gerechtvaardigd belang zou zijn. De AP had namelijk in het algemeen gesteld gesteld dat een puur commercieel belang niet een gerechtvaardigd belang kan zijn. Het Hof oordeelde dat dat te kort door de bocht is en een commercieel belang ook een gerechtvaardigd belang kan zijn.
De AP stelde dat alleen in de wet genoemde redenen een gerechtvaardigd belang konden zijn en omdat commercieel gebruik van data niet als reden is genoemd zou dit per sowieso geen gerechtvaardig belang kunnen zijn.
Het Europese Hof heeft dat afgekeurd. Het woordje "kan" dat je gebruikt zou als zekerheid gelezen kunnen worden. Het EH heeft alleen gezegd dat het niet bij voorbaat afgekeurd mag worden. De complete toets moet uitgevoerd worden voor elke toepassing van gerechtvaardigd belang. Tot nu toe lijkt het vrij kansloos om gerechtvaardigd belang als grond voor commercieel gebruik op te voeren.
Als de AP ook gelijk alle stappen had doorlopen was mijns inziens de gang van zaken van de tennisbond gewoon daar stukgelopen.
Dat vermoed ik ook. Maar dat is aan de Nederlandse rechtbank om te beslissen. Zeker omdat de tennisbond de leden niet heeft geïnformeerd en er geen mogelijkheid voor bezwaar is ingebouwd staan ze wel heel zwak.
Bedrijven hebben de AVG/GDPR nog niet echt geaccepteerd als een voldongen feit. Aan de ene kant roepen ze heel snel "Nee, want privacy" als iemand gegevens nodig heeft die de betrokkene voordeel zal opleveren, aan de andere kant proberen behoorlijk wat bedrijven "gerechtvaardigd belang" op te voeren als de andere grondslagen sowieso niet kunnen passen.
Accretion 24 oktober 2024 15:13
Ik maak tegenwoordig voor elke nieuwe website een nieuwe identiteit aan.

Alleen qua email-en postadres is het onhandig, maar Bol.com hoeft niet te weten hoe ik heet, dat slaat ook nergens op.
Minute mail werkt wel, maar dan krijg je daarna natuurlijk geen mails meer binnen.
Naast mijn prive-mailadres heb ik echter wel een mailadres wat ik gebruik voor 'websites' en ook daarin zou je natuurlijk ook verschillen kunnen maken.
goosehunt @Accretion24 oktober 2024 19:58
"Bol.com hoeft niet te weten hoe ik heet"

Dat lijkt me wel wat kort door de bocht.
Een bestelling zal toch juist geadresseerd moeten worden. Ook al komt het in veel gevallen ook wel aan zolang het adres klopt, puur juridisch kan het wel degelijk problemen opleveren. Bijvoorbeeld indien verkeerd bezorgd werd. En jij moet aantonen dat het voor jou bedoeld was.

Ook zou je in theorie problemen kunnen krijgen bij eventuele geschillen. Als de koopovereenkomst niet onder jouw naam gesloten is, ben je geen partij in die overeenkomst.
En jij kunt dat risico willen accepteren: maar dat betekent niet dat bol.com dat ook moet doen.

[Reactie gewijzigd door goosehunt op 24 oktober 2024 20:00]

R4gnax
@goosehunt24 oktober 2024 20:09
Als de koopovereenkomst niet onder jouw naam gesloten is, ben je geen partij in die overeenkomst
Als je een koopovereenkomst sluit door iets bij de lokale super te gaan kopen, dan geef je ook geen NAW gegevens af. Toch is dat een koopovereenkomst. En jij hebt bewijs partij te zijn geweest in die koop door de kassabon in bezit te hebben. Dat is een afschrift van de transactie.

Een zelfde soort afschrift als er bij koop op afstand wettelijk verplicht aan jou door de handelaar verstrekt moet worden middels een duurzaam medium. Meestal een e-mail. (Die tellen als duurzaam, zolang de bereikbaarheid van de email account niet onder controle van de handelaar ligt. Google zou zich er bijv. niet op kunnen beroepen indien het opgegeven email account een Gmail account zou zijn.)
obimk1 24 oktober 2024 14:16
weer een VS bedrijf.

Alsof oude VS "politici" geen idee hebben over deze "High tech" bedrijven.

Het Internet was een "series of pipes"

[Reactie gewijzigd door obimk1 op 24 oktober 2024 14:17]

polord1 24 oktober 2024 14:22
En de gebruikers krijgen er natuurlijk een gedeelte van… :)
wildhagen
@polord124 oktober 2024 16:17
Eh nee. Jij verwart nu een schadevergoeding met een boete, wat twee heel verschillende zaken zijn.

Een toezichthouder legt (waar nodig) boetes op. Het is niet hun taak om schadevergoeding aan consumenten te bedingen.

Als je een schadevergoeding wil zul je zelf als gedupeerde, of eventueel groep van gedupeerden (massaclaim), een rechtzaak moeten starten en die vergoeding eisen.

Echter, toch profiteert wel iedereen van deze boetes, zei het indirect. Immers, die boetes vloeien de staatskas in, waar het weer gebruikt kan worden voor diverse nuttige zaken waar de bevolking, als geheel of als bepaalde groep, ook weer beter van kan worden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq