Whatsapp krijgt een AVG-boete – Wat leren we hiervan?

Op 12 januari heeft de Ierse privacywaakhond aan WhatsApp een AVG-boete van 5,5 miljoen euro opgelegd. Het boetebesluit is genomen na consultatie van de andere Europese privacyautoriteiten.

Het onderstreept het belang van transparante en eerlijke gebruiksvoorwaarden. En de noodzaak van het hebben van een geldige reden voor gebruik van persoonsgegevens.

Meer weten over de geldige redenen? Download onze whitepaper

Veel gebruiksvoorwaarden van websites, apps en software verwijzen naar “verbetering van dienstverlening en beveiliging” als reden voor gebruik van gebruikersgegevens.

Ook de voorwaarden van WhatsApp vermeldden dit doel, en noemden als juridische basis voor de verwerking dat dit “noodzakelijk” is voor de “uitvoering van de overeenkomst”.

WhatsApp gaf daarmee geen transparante en eerlijke beschrijving van hoe de persoonsgegevens worden gebruikt. Ook de juridische basis is niet geldig.

Hieruit blijkt:

• Er moet duidelijk worden gemaakt hoe de persoonsgegevens worden gebruikt.
• Er moet een betere grondslag zijn voor het gebruik van de gegevens dan “noodzakelijk voor de uitvoering van de overeenkomst”.

Nu is het zo dat informatiebeveiliging en verbetering van een product in het een goede reden kunnen zijn voor het gebruik van bepaalde persoonsgegevens.

Hoe zorg je dan wel voor goede gebruiksvoorwaarden?

Het ligt voor de hand om gebruikers expliciet toestemming te vragen voor het gebruik van hun gegevens.

Let hierbij wel op twee zaken:

• Beschrijf voldoende specifiek waarvoor de gegevens worden gebruikt.

Dus, geef een voldoende duidelijke beschrijving van proces en doel. Stel jezelf de vraag: Vind je je beschrijving zelf transparant, duidelijk en eerlijk?

• Toestemming kan altijd worden ingetrokken.

Houd hier rekening mee bij de UX design: Is toestemming eenvoudig in te trekken?

Grondslag “gerechtvaardigd belang”

Behalve toestemming, kun je ook overwegen om de grondslag “gerechtvaardigd belang” te gebruiken: De informatiebeveiliging en verbetering van een product vormen in het algemeen een gerechtvaardigd belang voor de verwerking van persoonsgegevens.

Let er wel op dat dit niet altijd betekent dat alle gegevens gebruikt mogen worden voor dit doel.

De grondslag “gerechtvaardigd belang” vereist dat een belangenafweging plaatsvindt: Weegt het belang van gebruik van de gegevens zwaarder dan de privacy van de gebruikers?

Het risico voor de privacy kan beperkt worden door anonimisering, pseudonimisering en/of aggregatie van gegevens.

Er moet – kortom – verstandig en zorgvuldig worden omgesprongen met de persoonsgegevens van gebruikers.

Bij gebruik van “gerechtvaardigd belang” is ook altijd aan te bevelen een korte beschrijving van het doel en de gebruikte methode(n) op te nemen in de gebruiksvoorwaarden.

Krijg je nu een AVG-boete van € 5,5 miljoen als je niet aan deze voorwaarden voldoet?

Waarschijnlijk niet. Maar ook een onderzoek, een waarschuwing, negatieve publiciteit en een lage(re) boete kunnen een aanzienlijke impact hebben op je reputatie en business.

Wilt u meer weten over de AVG wetgeving, AVG-boete, hoe het in elkaar zit en welke zaken belangrijk zijn voor uw onderneming? Neem contact op met onze specialisten