AP geeft Netflix 4,75 miljoen euro AVG-boete voor slecht privacybeleid

De Nederlandse Autoriteit Persoonsgegevens geeft Netflix een AVG-boete van 4,75 miljoen euro. Het bedrijf maakte niet duidelijk waarom en hoe het data van gebruikers verzamelde. Netflix heeft zijn privacybeleid inmiddels verbeterd, waarmee de overtreding is opgelost.

De Autoriteit Persoonsgegevens startte een onderzoek nadat privacystichting noyb een klacht had ingediend. Die stichting, None Of Your Business, is een Oostenrijks initiatief van privacyactivist Max Schrems. De stichting diende de klacht in bij de Oostenrijkse Dataschutzbehörde, die de klacht weer doorstuurde naar de Autoriteit Persoonsgegevens, omdat Netflix' internationale hoofdkantoor in Amsterdam staat. Opvallend is dat de AP in het boetebesluit haar verontschuldigingen aanbiedt omdat het onderzoek en de uitkomst lang op zich lieten wachten. "De AP betreurt het dat dit onderzoek lang heeft geduurd en biedt hiervoor haar verontschuldiging aan aan zowel klagers als Netflix", schrijft de toezichthouder.

Noyb had namens twee personen een inzageverzoek gedaan bij Netflix om te weten te komen welke informatie de dienst over hen had. Volgens noyb informeerde Netflix die klanten onvoldoende over welke persoonsgegevens de dienst verzamelt. De AP concludeert dat ook en voegt toe dat Netflix ook in de privacyverklaring daar niet duidelijk over was.

De Autoriteit Persoonsgegevens onderzocht de privacyverklaring van Netflix en concludeerde dat die niet voldeed aan de AVG op meerdere punten. Netflix noemt een aantal redenen, zogeheten grondslagen, op basis waarvan het persoonsgegevens verzamelt. Gebruikers geven daarvoor toestemming, maar er wordt ook een overeenkomst afgesloten; er is een wettelijke verplichting en Netflix beroept zich op het 'gerechtvaardigd belang'. Vervolgens werden in het privacybeleid acht doelen gecategoriseerd die allemaal onder een van die grondslagen vielen. Die categorieën hadden ook weer subcategorieën. "Deze doeleinden zijn uitgebreider dan de doeleinden die Netflix in haar privacyverklaring heeft opgenomen", schrijft de AP.

Netflix gaf verder evenmin in het privacybeleid weer welke adverteerders toegang hadden tot die gegevens en met welk doel. De AP 'ziet niet in waarom Netflix de namen van ontvangers niet in haar privacyverklaring heeft gemeld', terwijl het aantal ontvangers van die gegevens 'beperkt' was. Die informatie werd ook niet in het inzageverzoek gezet.

Televisieverklaring

Netflix stelt dat het privacybeleid op televisies anders kan zijn dan in een browser.Opvallend aan de uitspraak is het verweer van Netflix. Dat zegt dat het zijn privacyverklaring zo heeft opgeschreven dat het op televisies begrijpelijk was. Op een televisie moet een privacybeleid volgens Netflix op een andere manier worden opgesteld: praktisch gezien op een makkelijkere manier met minder tekst. Die zogenaamde 'TV UI' heeft 'een beperktere functionaliteit dan een browser', stelt Netflix. De dienst gebruikte vervolgens 'uit het oogpunt van uniformiteit en transparantie' ook online dezelfde simpelere privacyverklaring als op televisies. Volgens Netflix was de informatievoorziening op tv's nog steeds 'gedetailleerd, zonder te lang of te ingewikkeld te zijn'. De Autoriteit Persoonsgegevens zegt met dat feit rekening te hebben gehouden, maar dat er desondanks te weinig informatie in het privacybeleid stond.

Netflix zegt verder dat het de namen van alle individuele ontvangers van persoonsgegevens niet had hoeven noemen, omdat dat niet zo expliciet in de AVG staat. Dat is een opvallende conclusie: artikel 13 van de AVG is juist ondubbelzinnig op dat gebied. Daarin staat dat bedrijven 'de identiteit en de contactgegevens' moeten tonen, al staat er elders ook dat 'in voorkomend geval' ook kan worden volstaan met enkel categorieën van dataverwerkers. Netflix zegt ook dat klanten voor meer vragen contact hadden kunnen opnemen met Netflix. In het algemeen vindt Netflix dat het privacybeleid niet zo uitgebreid had hoeven zijn. "Netflix heeft een bedrijfsmodel dat rechttoe rechtaan is; het gaat om een abonnementsdienst die gepersonaliseerde toegang geeft tot onder meer series. Er bestaat volgens Netflix daarom geen verplichting om de belangrijkste consequenties van de verwerking van persoonsgegevens te omschrijven."

Bewaartermijn

Er zijn meer problemen met de privacyverklaring van Netflix, zegt de AP. Zo wordt de maximale bewaartermijn 'niet op een behoorlijke en transparante wijze' opgenomen in het privacybeleid. Ook hekelt de AP dat Netflix gegevens naar internationale servers stuurt voor bijvoorbeeld betalingen en klantenservice, maar daarover niets in het privacybeleid zette. In dat beleid stond specifiek niets over de landen waar het om gaat, welke waarborgen het bedrijf heeft genomen om die gegevens te beschermen en wat gebruikers kunnen doen om die waarborgen zelf in te zien. Ook dat heeft Netflix in 2022 aangepast in het privacybeleid.

Netflix had de bewaartermijn en doorgifte naar het buitenland niet in zijn privacybeleid staan.
Sommige van die bovenstaande AVG-overtredingen slaan ook op inzageverzoeken. Daarmee begon het onderzoek in de eerste plaats. In die inzageverzoeken gaf Netflix in ieder geval tussen 25 oktober 2018 en 19 november 2019 niet genoeg informatie over de doorgifte van gegevens naar andere landen. Hetzelfde geldt voor de bewaartermijn en de namen van adverteerders; die werden beide niet genoemd in de uiteindelijke inzageverzoeken.

Netflix heeft daarmee de AVG op meerdere punten overtreden, stelt de Autoriteit Persoonsgegevens. Het gaat onder andere om artikel 5, artikel 12 over transparantie en artikel 15 over het inzagerecht, naast het eerdergenoemde artikel 13.

Inmiddels heeft Netflix de problemen wel opgelost. Het bedrijf paste op 7 juli 2022 zijn privacybeleid aan en zette daarin een link naar een ondersteuningspagina. Daarop stonden bijvoorbeeld alle adverteerders die gebruikersgegevens ontvingen, maar ook gedetailleerdere informatie over de gegevensverwerking.

Hoge, maar ook lage boete

Desondanks krijgt Netflix een flinke boete. Die stelt de AP op 4.750.000 euro vast. Het is daarmee de op een na hoogste boete die de Nederlandse privacytoezichthouder uitdeelde. Alleen de boete van 10 miljoen euro aan Uber begin dit jaar was hoger.

De Autoriteit Persoonsgegevens weegt naar eigen zeggen onder andere mee dat Netflix zo groot is. Eind 2022 had Netflix 231 miljoen klanten, 'waarvan een substantieel deel in de EU'. "Dit betekent dat de verwerking van persoonsgegevens een brede reikwijdte heeft en in potentie een groot aantal betrokkenen raakt", schrijft de AP. Netflix zet daartegenover dat de helpdesk jaarlijks ongeveer een miljoen vragen krijgt, maar een 'zeer gering deel' daarvan gaat over persoonsgegevens.

Netflix werkte goed mee met het onderzoek, waardoor de boete lager uitvalt.
De AP zegt dat dat een verzachtende omstandigheid is bij het bepalen van de hoogte van de boete. De overtredingen duurden volgens Netflix in ieder geval van 25 mei 2018, toen het onderzoek begon, tot zeker 30 juli 2020. Dat is lang, zegt de AP, maar het voegt daaraan toe dat het onderzoek ook lang duurde. "Gedurende deze periode heeft Netflix zich meermaals bereid verklaard om zijn privacyverklaring op aanbevelingen van de AP aan te passen", schrijft de toezichthouder. Na het rapport heeft Netflix ook direct het privacybeleid zelf aangepast, merkt de AP op.

Met dat meewerken is Netflix 'compliant' geweest, stelt de AP. Dat betekent dat de boete minder hoog is dan mogelijk is. "De AP is van oordeel dat, voorgaande omstandigheden in aanmerking nemende, in dit geval de zwaarte van de inbreuk op een laag niveau moet worden gekwalificeerd." Onder de AVG kan een boete oplopen tot maximaal vier procent van de jaaromzet van een bedrijf. Die lag bij Netflix in 2023 op 30,7 miljard euro. Daarmee zou de maximale boete 1,23 miljard euro mogen zijn. De AP zegt dat ze een lage boete uitdeelt omdat Netflix goed heeft meegewerkt met het onderzoek.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 18-12-2024 10:41
43 • submitter: SeenD

18-12-2024 • 10:41

43

Submitter: SeenD

Lees meer

NL geeft relatief veel uit aan privacy

23 dec 2024

NL geeft relatief veel uit aan privacy

Maar AP deelt niet de meeste boetes uit

87
Rechtbank EU: Ierse toezichthouder moet klacht tegen Meta toch onderzoeken
Rechtbank EU: Ierse toezichthouder moet klacht tegen Meta toch onderzoeken Nieuws van 30 januari 2025
Netflix verhoogt prijzen in VS en Portugal, en heeft 300 miljoen abonnees
Netflix verhoogt prijzen in VS en Portugal, en heeft 300 miljoen abonnees Nieuws van 22 januari 2025
Noyb dient Europese privacyklacht in over TikTok, AliExpress en Xiaomi
Noyb dient Europese privacyklacht in over TikTok, AliExpress en Xiaomi Nieuws van 16 januari 2025
RTL Nieuws: onschuldige mensen blijven structureel in databank van politie staan
RTL Nieuws: onschuldige mensen blijven structureel in databank van politie staan Nieuws van 30 december 2024
Netflix klaagt Broadcom aan wegens schenden patenten voor virtual machines
Netflix klaagt Broadcom aan wegens schenden patenten voor virtual machines Nieuws van 25 december 2024
Noyb dient klacht in bij Italiaanse toezichthouder over gezichtsscan van Ryanair
Noyb dient klacht in bij Italiaanse toezichthouder over gezichtsscan van Ryanair Nieuws van 19 december 2024
AP is kritisch op wetsvoorstel over delen van hypotheekgegevens met DNB
AP is kritisch op wetsvoorstel over delen van hypotheekgegevens met DNB Nieuws van 12 december 2024
Autoriteit Persoonsgegevens heeft moeite met AVG-boetes buiten de EU innen
Autoriteit Persoonsgegevens heeft moeite met AVG-boetes buiten de EU innen Nieuws van 5 december 2024
AP waarschuwt voor 'function creep' bij geplande centrale taxirittendatabase
AP waarschuwt voor 'function creep' bij geplande centrale taxirittendatabase Nieuws van 28 november 2024
LinkedIn krijgt AVG-boete van 310 miljoen euro vanwege verwerking persoonsdata
LinkedIn krijgt AVG-boete van 310 miljoen euro vanwege verwerking persoonsdata Nieuws van 24 oktober 2024
Rechter: AP-boete voor politie voor coronamaatregelauto's was te hoog
Rechter: AP-boete voor politie voor coronamaatregelauto's was te hoog Nieuws van 23 oktober 2024
AP dwingt acht vakantieparken gezichtsherkenning bij zwembad aan te passen
AP dwingt acht vakantieparken gezichtsherkenning bij zwembad aan te passen Nieuws van 23 oktober 2024
VoetbalTV eist schadevergoeding van Autoriteit Persoonsgegevens
VoetbalTV eist schadevergoeding van Autoriteit Persoonsgegevens Nieuws van 15 oktober 2024
Meer producten en artikelen
Privacy algemene verordening gegevensbescherming Autoriteit Persoonsgegevens Boete Netflix

Reacties (43)

-Moderatie-faq
43
42
24
1
0
9
Wijzig sortering
CH4OS
18 december 2024 10:59
Ergens natuurlijk heel goed dat we een toezichthouder voor onze privacy hebben, maar ik vraag me dan wel af hoe men een dergelijke boete bepaald. Laten we wel wezen, 4,75 miljoen euro boete, is voor een groot bedrijf als Netflix natuurlijk wel een lachertje. Ik kan mij voorstellen dat Netflix niet eens in beroep gaat en het maar gewoon aftikt, omdat het gewoon geen serieus te nemen bedrag is, voor een bedrijf zo groot als Netflix. Voor hen is dit gewoon wisselgeld.

[Reactie gewijzigd door CH4OS op 18 december 2024 10:59]

AuteurTijsZonderH Nieuwscoördinator @CH4OS18 december 2024 11:39
Ik heb het geprobeerd samen te vatten op het eind, maar in het boetebesluit staat wel heel goed gedefinieerd waar zo'n bedrag op is gebaseerd.

Uiteindelijk zijn die boetes vooral gebaseerd op wat een redelijke boete is voor deze specifieke overtreding. Ik probeer het altijd te vergelijken met verkeersboetes, die ook gebaseerd zijn op hoeveel kilometer je te hard rijdt en daarmee proberen aan te geven hoeveel gevaar je daarmee hebt veroorzaakt: niet veel te hard = niet heel gevaar, veel te hard = meer gevaar, dus hogere of lagere boetes.

Bedenk ook de twee belangrijke dingen die dit soort boetes ook doen: ten eerste dat ze ook afdwingen dat een overtreding wordt opgelost, ten tweede dat het duidelijkheid biedt aan alle andere bedrijven over wat wel en niet in een privacybeleid hoort. Boetes zijn een middel, zelden een einddoel.
CH4OS
@TijsZonderH18 december 2024 11:46
Maar het lijkt me dat je met een boete ook een bepaald gedrag wilt verbeteren / veranderen, in dat op zicht moet een boete dus ook afschrikken. Een boete van 4,75 miljoen euro zal een bedrijf als Netflix echt niet doen afschrikken.

Als een boete dan vervolgens (vrij) laag is, loont het niet om gedrag aan te passen, want de "straf" dat er op staat, is niet in verhouding (zowel voor de overtreding als de draagkracht van de ontvanger van de boete). Ik heb het dan dus niet zozeer aan de hoogte van de snelheid voor een boete, maar dat de hoogte van de boete (ook) bepaald moet worden naar de draagkracht van degene die de boete krijgt.

[Reactie gewijzigd door CH4OS op 18 december 2024 11:50]

AuteurTijsZonderH Nieuwscoördinator @CH4OS18 december 2024 11:47
Is het verplicht moeten aanpassen van het beleid niet genoeg gedragsverandering? Dat is toch exact wat je wil bereiken?
CH4OS
@TijsZonderH18 december 2024 11:52
Nee, want ze moeten immers al jaren aan de Wet (GDPR/AVG) voldoen en dat deden ze niet, dus dan is het logisch dat je een beleid hebt, wat binnen het speelveld is, toch? Mijns inziens ben je dan al verplicht om beleid te hebben dat wel voldoet. Dat de AP ze erop gewezen heeft en vervolgens geadviseerd doet daar toch niets aan af? Dus nee, dat de AP in dit geval Netflix "verplicht" heeft om het beleid aan te passen is daarbij niet direct (voldoende) gedragsverandering. Het zou in elk geval niet moeten leiden tot een lagere boete.

Om in jouw snelheidsovertreding analogie te blijven: als ik na die boete voor te snel rijden opeens wel mijzelf aan de snelheid houd, wordt de boete die ik kreeg, toch ook niet opeens lager, of vernietigd? Ook niet na consultatie met de toezichthouder (Politie).

[Reactie gewijzigd door CH4OS op 18 december 2024 11:58]

AuteurTijsZonderH Nieuwscoördinator @CH4OS18 december 2024 12:51
De AVG is wel veel meer aan interpretatie onderhevig, zoals wat er precies verstaan wordt onder een helder privacybeleid. Je ziet ook in het boetebesluit dat Netflix zelf vond dat ze er wel aan voldeden. Ze negeerden het niet en deden er niks mee, ze hebben het privacybeleid in lijn gebracht met hoe zij de AVG zagen.
CH4OS
@TijsZonderH18 december 2024 13:08
Je ziet ook in het boetebesluit dat Netflix zelf vond dat ze er wel aan voldeden.
Is dit iets speciaals dan? Natuurlijk vindt je als partij dat je wel overal aan voldoet, juist bij iets als de GDPR/AVG. Het zou Netflix sieren als ze hebben aangegeven dat ze inderdaad fout hebben gezeten, maar dat zou opzet impliceren, nu is dat er dus niet (althans, niet op papier) en dus een lagere boete.

Nogmaals, het gaat me niet om het beboeten an sich, maar dat de boete wel in schril contrast staat met de draagkracht van Netflix als bedrijf. Bij een winst van 140M USD in NL (naar schattig: Finraziel in 'AP geeft Netflix 4,75 miljoen euro AVG-boete voor slecht privacybeleid'), blijft het totale boete bedrag dus gewoon echt een peulenschil voor Netflix als geheel, met 14 miljard winst en dus is de 140M vanuit NL goed voor ~1 procent van de winst.

Het is en blijft nog geen deuk in een pakje boter.

[Reactie gewijzigd door CH4OS op 18 december 2024 13:12]

B64 @CH4OS18 december 2024 18:31
Nee, maar als je herhaaldelijk wordt betrapt op een (forse) snelheidsovertreding dan zal de OvJ je wel degelijk een zwaardere straf opleggen. Zo werkt het bij de AVG ook: als een bedrijf het gedrag niet aanpast en nogmaals bestraft wordt, wordt de volgende boete aanzienlijk hoger. Zo'n boete is dus wel degelijk een manier om bedrijven te dwingen gedrag aan te passen.
watercoolertje @TijsZonderH18 december 2024 13:55
Ik probeer het altijd te vergelijken met verkeersboetes, die ook gebaseerd zijn op hoeveel kilometer je te hard rijdt en daarmee proberen aan te geven hoeveel gevaar je daarmee hebt veroorzaakt: niet veel te hard = niet heel gevaar, veel te hard = meer gevaar, dus hogere of lagere boetes.
Veel te hard rijden zonder andere op de weg = niet veel gevaar.

Dat is ook het complexe, real live situaties bestaan nooit maar uit 1 variabel.
sjirafje @CH4OS18 december 2024 11:28
Aan de ene kant is het bedrag voor Netflix misschien een peulenschil maar aan de andere kant hebben ze wel meegewerkt aan het onderzoek en meermaals hun privacyverklaring aangepast op aanbevelingen van de AP en daarmee hun zaakjes nu, naar oordeel van de AP, wel op orde. Dus je zou ook kunnen denken dat het weldegelijk effect heeft op zo'n groot bedrijf.
CH4OS
@sjirafje18 december 2024 13:41
Tja, als je als verkeersovertreder een EMG krijgt, dien je die cursus ook zelf te betalen, want 'dan had je je maar moeten gedragen', dus om schappelijker te zijn bij de boete, omdat de partij heeft meegewerkt, voelt dan gewoon een beetje raar, waar dat dus niet altijd het geval is.

Verkeersboetes van snelheidsovertredingen worden dan ook niet kwijtgescholden als je daarna je 'beleid' of gedrag aanpast om het niet meer te doen. ;) Dus in dat op zicht is het wel raar dat we het hier opeens wel doen.
Finraziel
@CH4OS18 december 2024 11:47
Als ik zo even snel kijk had Netflix in 2023 14 miljard winst. Ze hebben ongeveer 3 miljoen klanten in Nederland van 300 miljoen wereldwijd. Dus beetje quick and dirty, 140 miljoen dollar winst uit Nederland. Een goede 3% van de jaar winst dan, deze boete. Niet heel erg veel maar ze lachen er echt niet om hoor.
Vergeet niet dat elk land dit ook weer kan doen hè, onze ap doet dat niet voor de hele wereld.
Wouterie @CH4OS18 december 2024 11:28
Netflix zal het vast eens zijn met de hoogte van de boete. Tja, ik weet ook niet zo goed hoe het anders moet eigenlijk. Netflix is erg slordig geweest maar hebben het aangepast en meegewerkt met de toezichthouder. Je kunt je afvragen of er kwade wil achter stak, maar zo relevant is dat eigenlijk ook allemaal niet.
Quintiemero 18 december 2024 12:05
Na het lezen van het besluit, vind ik het oordeel wederom niet waterdicht.
a) je bent verplicht om de naam van de partij te benoemen? Dit staat niet in de AVG maar volgt meer uit rechtspraak. De AP verwijst echter naar het behoorlijkheidsbeginsel omdat je informatie moet verstrekken die voor de betrokkene betekenisvol is. "Het is voor de AP daarom niet in te zien dat ze niet de namen hebben gegeven (want in aantal beperkt)." Ik betwijfel in hoeverre dit jurdisch stand houdt. De AP lijkt er weer haar eigen normen op na te houden.
b) De AP verwijst telkens naar guidelines van de EDPB, waarom verwijzen ze niet naar rechtszaken/rechtspraak van het Hof van Justitie? Dat is een veel sterkere bron dan 'een guideline'.
c) 'Onderdeel 32' De AP had het dus zelf ook niet goed en heeft het aangepast. Maar de AP vermeldt bewaartermijnen in een verwerkingsregister en dat maakt het wel goed? Verwijst de AP vanuit haar privacyverklaring naar haar verwerkingsregister? Wederom goed voorbeeld AP! Als organisatie wil je juist een voorbeeld nemen aan hoe de toezichthouder het doet. Zo is het verwerkingsregister van de AP eigenlijk ook heel basic.

[Reactie gewijzigd door Quintiemero op 18 december 2024 12:55]

jochemd @Quintiemero18 december 2024 15:49
Na het lezen van het besluit, vind ik het oordeel wederom niet waterdicht.
a) je bent verplicht om de naam van de partij te benoemen? Dit staat niet in de AVG maar volgt meer uit rechtspraak.
Aangezien de rechtspraak in kwestie een uitspraak van het Europees Hof is verwacht ik daar niet zo'n probleem mee:
... het in die bepaling bedoelde recht van de betrokkene om inzage te verkrijgen van de hem betreffende persoonsgegevens, meebrengt dat de verwerkingsverantwoordelijke, wanneer die gegevens aan ontvangers zijn of zullen worden verstrekt, verplicht is om aan de betrokkene de identiteit van deze ontvangers mee te delen, tenzij ...
b) De AP verwijst telkens naar guidelines van de EDPB, waarom verwijzen ze niet naar rechtszaken/rechtspraak van het Hof van Justitie? Dat is een veel sterkere bron dan 'een guideline'.
Ik zie niet in hoe dat de houdbaarheid van de uitspraak beinvloed tenzij er jurisprudentie is die aangeeft dat de guidelines van de EDPB het mis hebben.
c) 'Onderdeel 32' De AP had het dus zelf ook niet goed en heeft het aangepast.
Het 'hij doet het ook en hem bestraf je niet'-argument wordt regelmatig gebruikt omdat een handhaver gelijke gevallen gelijk moet beoordelen. Het is echter vaste jurisprudentie dat twee gevallen niet gelijke zijn als er in het ene geval wel en in het andere geval niet een handhavingsverzoek is ingediend. Tenzij Netflix kan aantonen dat er een handhavingsverzoek is ingediend tegen de AP en de AP daar niet op gehandhaafd heeft kan ik mij niet voorstellen dat dit tot vernietiging van het besluit gaat leiden.
R4gnax
@Quintiemero18 december 2024 19:49
je bent verplicht om de naam van de partij te benoemen? Dit staat niet in de AVG maar volgt meer uit rechtspraak.
Dat volgt uit een uitspraak van het Europese hooggerechtshof in het kader van een prejudicieel vraagstuk, waarin het Hof -- dat als enige hof gerechtigd is Europese wetgeving zoals Verordeningen en Richtlijnen te interpreteren -- gevraagd is om verduidelijking inzake het recht op inzage en de plicht van de verwerkingsverantwoordelijke om de ontvangers of categoriën van ontvangers van jouw gegevens te benoemen.

Het Hof is daarbij tot de conclusie gekomen, zoals @jochemd al aangeeft, dat er een redelijkheidsverplichting bestaat: de verwerkingsverantwoordelijke moet bij een verzoek tot inzage de individuele ontvangers benoemen tenzij zij deze niet kunnen identificeren, of wanneer de verwerkingsverantwoordelijke aan kan tonen dat het een ongegrond verzoek of een verzoek van buitensporige aard betreft. Alleen dan, in die uitzonderingen, kan men terugvallen op het mededelen van de categoriën van ontvangers.

Hierbij de kanttekening dat een verwerkingsverantwoordelijke verplicht is om gegevens alleen te laten onderverwerken door derde partijen die zich ook aan de AVG/GDPR houden, waar de facto een plicht bij zit om contactgegevens van deze partijen te hebben. Waardoor het dus legaal gezien onmogelijk is om zo'n soort ontvanger niet te kunnen identificeren. Onmogelijkheid tot identificeren speelt bijv. waar er sprake is van het open publiceren van gegevens aan het publiek. Zoals bijv. mensen die hun Facebook-profiel wagenwijd open zetten.

Overigens het arrest van het Hof bevat een saillant punt wat aangeeft dat dit wel degelijk in de AVG/GDPR zelf vastgelegd is.
Namelijk middels de niet-normatieve overwegingen, die de context aangeven waarbinnen de wet gemodeleerd is. Overweging 63 schrijft dat de betrokkene het recht moet hebben geinformeerd te worden over welke gegevens verwerkt worden, voor hoe lang, en welke partijen deze ontvangen hebben. Deze overweging bevat geen inperking naar 'categoriën van.' Het is de bedoeling dat men geinformeerd wordt over de daadwerkelijke ontvangers, zodat men ten alle tijden controle houdt over de gegevens en desgewenst bij deze partijen aan kan kloppen om verhaal te halen.
De AP verwijst telkens naar guidelines van de EDPB, waarom verwijzen ze niet naar rechtszaken/rechtspraak van het Hof van Justitie? Dat is een veel sterkere bron dan 'een guideline'.
De AP is vanuit de AVG/GDPR zelf, wettelijk verplicht om te handhaven in lijn met de uitleg van de EDPB. Dit is vastgelegd in de wetsartikelen die gaan over Unie-brede harmonisatie van de toepassing van de verordening.
De AP is daar alleen wel een beetje schizofreen in; want op andere punten gaan ze weer lijnrecht tegen de EDPB in. Bijv. op het onderwerp cookiemuren en toegang tegen betaling als wettelijk geldig alternatief. Volgens de uitleg van de AP mag dat. Volgens die van de EDPB niet.
'Onderdeel 32' De AP had het dus zelf ook niet goed en heeft het aangepast. Maar de AP vermeldt bewaartermijnen in een verwerkingsregister en dat maakt het wel goed? Verwijst de AP vanuit haar privacyverklaring naar haar verwerkingsregister? Wederom goed voorbeeld AP! Als organisatie wil je juist een voorbeeld nemen aan hoe de toezichthouder het doet.
Tu quo-que is een drogreden.

[Reactie gewijzigd door R4gnax op 18 december 2024 20:00]

Quintiemero @R4gnax18 december 2024 21:32
Heldere uitleg, alleen je hebt het nu over recht op inzage. Ik over art 12, de transparantieplicht. Conform de AP is er dus een treshhold. Klein aantal = omtvangers benoemen, groot aantal dan is categorieën voldoende. Goede manier om nog meer onduidelijkheid te scheppen.

Mbt wat de AP fout doet bedoel ik puur te zeggen dat de AP het juiste voorbeeld moet geven. Niet dat de overtreding dan onterecht was. De wet is vaak al zo grijs als wat en in veel gevallen praktisch niet haalbaar. En alsnog wel een juridische vraag die dan speelt, ben je wel in compliance met art. 12 als je niet de bewaartermijn in je privacyverklaring zet maar wel specifiek in een verwerkingsregister zonder er naar te verwijzen?

AP gaf elders immers aan ja het staat online, alleen niet in de verklaring, maar wel in het online verwerkingsregister dus betrokkene is op de hoogte.

[Reactie gewijzigd door Quintiemero op 18 december 2024 21:42]

CPV 18 december 2024 10:55
Op een televisie moet een privacybeleid volgens Netflix op een andere manier worden opgesteld - praktisch gezien een makkelijkere manier, met minder tekst. Die zogenaamde 'TV UI' heeft 'een beperktere functionaliteit dan een browser', stelt Netflix.
Nou, daar heeft niet iedereen last van. Samsung tovert zonder problemen 20 A4tjes op mijn TV.
ShadLink @CPV18 december 2024 11:27
In principe maakte Netflix daar geen fout in, op TV kan je niet een heel boekwerk lezen. Maar wat ze hadden moeten doen is doorlinken naar een versie die je bv op een telefoon of computer leest waar wel alle info in staat. Op de TV moeten wel de basiszaken gedekt zijn.
Marcel Br @ShadLink18 december 2024 12:05
Netflix maakt daar wel een fout in, het is namelijk geen argument.
Als ze dat graag willen hadden ze (van tevoren) een afspraak hierover moeten maken met de wetgever.
R4gnax
@ShadLink18 december 2024 20:05
In principe maakte Netflix daar geen fout in, op TV kan je niet een heel boekwerk lezen.
Hmm.. moet je me toch eens de 100 pagina's lange end-user license agreement van PlayStation Network uit leggen.

Goed-- dat is de exacte tegenpool; waar je zoveel tekst krijgt dat je er regelrecht in verzuipt. (En dat volstaat overigens in veel gevallen ook niet om aan de wet te voldoen.) Maar het punt blijft wel dat scrollbars bestaan. Ook op TVs. En afstandbedieningen van Smart TVs hebben ook gewoon vierpunts toetsen; die je überhaupt al nodig hebt om door de keuze menu's van een app zoals Netflix te navigeren om te kiezen wat je gaat kijken.

Dus je scherm heeft ruimte zat om een iets minder beknopte uitleg van het privacy beleid te tonen, waar daadwerkelijk nuttige informatie ook gewoon in vermeld staat.

Maar dat wil een bedrijf zoals Netflix helemaal niet als uitgangspositie nemen. Want als consumenten een tekst te zien krijgen die daadwerkelijk zinnig in elkaar steekt en niet één van de twee extrema 'nutteloos vacueuze priet' of 'gigantische muur' beslaat, dan zijn ze minder genegen om maar snel 'klik-klik-ja-okee-volgende' te doen. En dan gaan ze -- oh no; the horror ... -- daadwerkelijk lezen wat je beleid inhoudt.

[Reactie gewijzigd door R4gnax op 18 december 2024 20:11]

Alxndr @CPV18 december 2024 11:33
Wil je zeggen dat je dat 'praktisch en makkelijk vind'?
CPV @Alxndr18 december 2024 11:52
Nee, maar wel dat het gewoon kan.
watercoolertje @Alxndr18 december 2024 13:48
Wel makkelijker om boetes te voorkomen :)

Of je het nou 'praktisch en makkelijk vind' is niet zo heel relevant voor de wetgeving welke je verplicht je klanten voldoende te informeren...
Lisadr 18 december 2024 11:38
Om het in perspectief te brengen. Netflix has in 2023 een omzet van 33,7 miljard USD ofwel 32,1 miljard euro. Een boete van 4,75 miljoen euro is vergelijkbaar met Jan-Modaal die een boete krijgt van 6 euro voor het overtreden van een wet.

Zolang boetes lager zijn dan de winsten die te halen zijn met het niet volgen van wet- en regelgeving, zullen organisaties ervoor kiezen om wetten en regels niet te volgen.
Groningerkoek @Lisadr18 december 2024 13:00
"Zolang boetes lager zijn dan de winsten die te halen zijn met het niet volgen van wet- en regelgeving"

Hoeveel extra winst denk je dat Netflix heeft gecreëerd door een niet volledige informatievoorziening te bieden omtrent gegevensverwerking?

Als jij Netflix destijds had verteld dat dit het gevolg zou zijn van de mate van informatievoorziening hadden ze die graag destijds al aangepast.
Lisadr @Groningerkoek18 december 2024 13:18
AVG bestaat sinds 14 April 2016 met als implementatie datum 25 May 2018. Netflix had voldoende tijd om zich te houden aan wetgeving. Het is niet mijn taak om Netflix te vertellen hoe ze zicht aan de wet moeten houden, daarvoor horen zelf interne en externa juridische adviseurs te hebben.

Hoeveel winst halt Netflix uit data? Onderzoek is begonnen bij Oostenrijkse privacy autoriteit (de Datenschutzbehörde) en AP is het gaan overnemen omdat Netflix de Europese hoofdkantoor in Amstedam heeft. Het is een Europese breed boete.
In 2023 had Netflix Amsterdam 88,8 miljoen betalende klanten en 10,6 miljard USD omzet, met een wereldwijde marge van 21%. Dat is 1 jaar en Netflix heeft zich meerdere jaren niet gehouden aan AVG.

Alleen Netflix kan je vertellen hoeveel winst ze hebben gehaald uit het niet naleven van wet- en regelgeving gedurende meerdere jaren. Maar het is heel gebruikelijk dat organisaties een risk based aanpak hebben en uitrekenen wat de kosten en impact is ten opzichte van pakkans en boete. Daarvoor is het gebruikelijk om geld te reserveren voor eventuele boetes.
Groningerkoek @Lisadr18 december 2024 13:56
Kan allemaal zijn, in dit geval zie ik niet hoe de boete lager is dan de extra opbrengst van specifiek deze overtreding.
R4gnax
@Lisadr18 december 2024 19:35
AVG bestaat sinds 14 April 2016 met als implementatie datum 25 May 2018.
De AVG/GDPR mocht pas vanaf 25 mei 2018 toegepast worden; was al ondertekend en van kracht sinds 27 april 2016 (geen idee waar je 14 vandaan haalt?) -- maar bestond feitelijk in finale vorm al lange tijd daarvoor. Al sinds 2013 of 2014, geloof ik.
Lucb1e @Lisadr18 december 2024 22:06
vergelijkbaar met Jan-Modaal die een boete krijgt van 6 euro voor het overtreden van een wet
Wanneer Jan Modaal hoeveel van zijn inkomen in de EU heeft verdiend? Want bij de echte Jan Modaal is dat 100% en in Netflix' geval niet, dus de vergelijking gaat niet helemaal op, en enkele tientjes aan verkeersboetes schijnen ook genoeg te zijn om het merendeel van de weggebruikers zich redelijkerwijs aan de snelheid te laten houden dus schijnbaar is dat oké
Greatsword 18 december 2024 10:56
Grote bedrijven houden zich continue niet aan de regels/wetgeving.
Krijgen vervolgens een boete.
De gemiddelde consument boeit het blijkbaar niet, want ondanks de hierop volgende prijsverhoging blijven ze gewoon betalen en lid.

Lekker systeem!
watercoolertje @Greatsword18 december 2024 13:51
Grote bedrijven houden zich continue niet aan de regels/wetgeving.
Ja en nee, als je nagaat dat ze een miljoen dingen fout kunnen doen en eigenlijk maar enkele fouten maken, dan kan je best stellen dat die wetgeving erger voorkomt...
Lekker systeem!
Waarschijnlijk veel beter dan geen systeem, dus ik vind het een beetje simpel om dat te roepen zonder een beter alternatief te noemen...

[Reactie gewijzigd door watercoolertje op 18 december 2024 13:52]

proatjeboksem 18 december 2024 10:59
Een lap tekst, maar als ik het goed begrijp, toont Netflix nu wel met welke partijen mijn gegevens worden gedeeld en daarmee is het goed? Dit klinkt niet als een club die voor mijn privacy vecht, maar gewoon een deel van de buit wil.

En als Netflix toch mijn persoonsgegevens verzamelt, kunnen ze dan aub series en films die ik al gezien heb uit de lijst "aanbevolen voor jou" halen? Ik betaal er psvr voor met mijn gegevens.

/rant
Wouterie @proatjeboksem18 december 2024 11:29
Klopt. De toezichthouder checkt alleen of de wet- en regelgeving wordt gevolgd. Dat de wet- en regelgeving wellicht wat scherper mag, dat is niet echt aan de toezichthouder.
Quintiemero @Wouterie18 december 2024 12:10
Maar de transparantieverplichting staat los van of het mag. Het is meer, als je het doet, dan moet je daarover transparant zijn. En (als het goed is) heb je daarvoor al een belangenafweging gedaan, of toestemming gevraagd, waardoor je de gegevens mag delen/analyseren.
AuteurTijsZonderH Nieuwscoördinator @proatjeboksem18 december 2024 11:34
Dit klinkt niet als een club die voor mijn privacy vecht, maar gewoon een deel van de buit wil.
Het geld van deze boetes gaat niet naar de AP, maar naar de Nederlandse schatkist.

[Reactie gewijzigd door TijsZonderH op 18 december 2024 15:12]

izamani 18 december 2024 10:48
In het begin staat "toeizchthouder."
deknegt @izamani18 december 2024 10:50
Spelvoutjes kan je in deze forum-thread doorgeven aan de mods! ;)

forumtopic: Meld hier spel- en tikfoutjes - en dus *geen* andere foutjes
Nielssss @izamani18 december 2024 10:52
Daarvoor kan je hier zijn
forumtopic: Meld hier spel- en tikfoutjes - en dus *geen* andere foutjes
Database freak 18 december 2024 19:53
4,75 miljoen euro; 'pocketmoney' voor een bedrijf als Netflix.
Nark0tiX 18 december 2024 20:02
Ik heb bij menig bedrijf gewerkt waar dit als kosten gezien worden. Niet als boete. Het kost x miljoen om gegevens te misbruiken.
Floort
@yevgeny18 december 2024 12:10
De situatie bij de EC was feitelijk anders en de onderliggende wet is anders. Regulation (EU) 2018/1725 is een andere wet dan de AVG en heeft beperktere redenen waarvoor boetes opgelegd mogen worden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq