Netflix en de boete van 4,75 miljoen euro: Wat bedrijven kunnen leren over privacy en de AVG

Wanneer je het iconische „Tadum“, het opstartgeluid van Netflix, hoort, denk je waarschijnlijk aan je favoriete tv-serie. Maar onlangs hoorde de Autoriteit Persoonsgegevens (AP) iets anders: een oproep tot strengere naleving van de privacywetgeving. Netflix kwam onder vuur te liggen vanwege zijn privacypraktijken, wat leidde tot een onderzoek en een boete van 4,75 miljoen euro.

Wat ging er mis? En belangrijker nog, wat kunnen bedrijven hiervan leren?

Feiten

Netflix verzamelt, zoals je wellicht weet, persoonlijke gegevens zoals namen, geboortedata, e-mailadressen en kijkgedrag om zijn contentaanbod te personaliseren. Privacytechnisch biedt het bedrijf een privacyverklaring en een helpcentrum om gebruikers te informeren over hoe hun gegevens worden verwerkt en om hen de mogelijkheid te geven inzageverzoeken in te dienen.

De privacyorganisatie noyb, diende klachten in bij de Oostenrijkse gegevensbeschermingsautoriteit, waarbij werd gesteld dat de reacties van Netflix op inzageverzoeken onvoldoende duidelijk maakten hoe persoonlijke gegevens werden verwerkt. De zaak werd doorverwezen naar de AP, die van 25 mei 2018 tot 30 juli 2020 onderzoek deed naar de transparantie en naleving van de Algemene Verordening Gegevensbescherming (AVG) door Netflix. Het onderzoek en de afronding namen aanzienlijke tijd in beslag, met de uiteindelijke beslissing en boete op 26 november 2024.

Belangrijkste bevindingen van de AP

De AP constateerde tekortkomingen in de privacypraktijken van Netflix, met name in de privacyverklaring en de reacties op inzageverzoeken. Deze tekortkomingen werden onderverdeeld in verschillende categorieën:

1. Gebrekkige transparantie in de privacyverklaring

Netflix slaagde er niet in om het volgende adequaat uit te leggen:

• Doeleinden en Rechtsgrondslag: De privacyverklaring gaf onvoldoende duidelijkheid over de doeleinden waarvoor persoonsgegevens werden verwerkt en de juridische gronden die deze activiteiten ondersteunden. Zo legde Netflix niet voldoende uit welke gegevens werden gebruikt voor contentaanbevelingen, publieksanalyses of fraudepreventie.
• Ontvangers van de Gegevens: Netflix noemde geen specifieke ontvangers van persoonsgegevens, ook al had het deze informatie voor online advertentiediensten. In plaats daarvan verwees het algemeen naar „partners“. Dit probleem werd opgelost op 7 juli 2022, toen Netflix zijn privacyverklaring bijwerkte met een link naar een lijst met gegevensontvangers.
• Bewaartermijnen: De privacyverklaring van Netflix gaf aan dat gegevens werden bewaard zoals vereist of toegestaan door toepasselijke wetten en regelgeving. Het gaf echter geen concrete bewaartermijnen of criteria voor het bepalen ervan. Toen de AP hierom vroeg, verstrekte Netflix een tabel met specifieke bewaartermijnen. De AP concludeerde dat het opnemen van deze informatie in de privacyverklaring geen onevenredige maatregel zou zijn geweest en dat het ontbreken ervan een schending van de AVG vormde.
• Internationale Doorgiften: De privacyverklaring verwees niet naar adequaatheidsbesluiten of andere waarborgen voor de bescherming van gegevens die buiten de Europese Economische Ruimte (EER) werden overgedragen. Ook werden de landen waar persoonsgegevens konden worden verwerkt niet gespecificeerd, noch werden gebruikers geïnformeerd over hun rechten bij internationale doorgifte van hun gegevens. Op 7 juli 2022 voegde Netflix een link toe naar een Q&A van de Europese Commissie over de rechten van individuen bij internationale doorgifte van persoonsgegevens en een lijst met landen waar gegevens konden worden overgedragen.

2. Onvoldoende transparantie in reacties op inzageverzoeken

De AP vond de reacties van Netflix op inzageverzoeken eveneens ontoereikend. Met name:

• Netflix verstrekte geen gedetailleerde informatie over de rechtsgrondslag en doeleinden van de verwerking per gegevenstype.
• Netflix specificeerde niet welke persoonsgegevens met ontvangers werden gedeeld of voor welke doeleinden. De AP stelde dat Netflix, in lijn met het behoorlijkheidsbeginsel, gebruikers duidelijke en zinvolle informatie moet bieden over de ontvangers van hun gegevens. Er was geen geldige rechtvaardiging voor het weglaten van ontvangersnamen, vooral gezien het beperkte aantal ontvangers.
• De verstrekte informatie over bewaartermijnen was vaag.
• De waarborgen voor gegevensoverdracht naar derde landen werden onvoldoende toegelicht in reacties op inzageverzoeken tussen 25 oktober 2018 en 19 november 2019.

Bredere context en kritiek

De zaak van Netflix staat niet op zichzelf, maar vormt onderdeel van een groeiende trend in de handhaving van de AVG in Europa. Toezichthouders leggen steeds vaker grote bedrijven ter verantwoording voor hun privacybeleid, met een sterke focus op transparantie en de bescherming van individuele privacyrechten.

Een vergelijkbare Nederlandse beslissing betrof Uber, dat in januari 2024 een boete van 10 miljoen euro  kreeg voor onder andere onvoldoende transparantie in zijn privacyverklaring. Beide zaken benadrukken een uitdaging voor bedrijven: het verstrekken van duidelijke, gedetailleerde en toegankelijke informatie over hun gegevenspraktijken.

De boete voor Netflix heeft echter tot discussie geleid. Terwijl Netflix de aanpak van de AP te streng vindt en spreekt van een te strikte interpretatie van de AVG, vragen anderen zich af of de boete van 4,75 miljoen euro niet te laag is, vooral gezien de miljardenomzet van het bedrijf en de hogere boetes in vergelijkbare zaken, zoals die van Uber. Daarnaast valt de lange tijd tussen de overtredingen (2018-2020) en de uiteindelijke boete in 2024 op, iets waarvoor de AP haar excuses heeft aangeboden.

Tijdens het onderzoek werkte Netflix samen met de AP en paste het zijn privacybeleid aan op basis van de aanbevelingen van de toezichthouder. Dit toont aan dat handhaving en onderzoek enig effect hebben gehad, ondanks de kritiek op het proces. De AP hield bij het bepalen van de boete onder andere rekening met de ernst en duur van de overtredingen, die als minder ernstig werden aangemerkt. De uiteindelijke boete van 4,75 miljoen, berekend op 2,5 miljoen euro per overtreding, bleef ruim onder het maximale bedrag van 4% van de wereldwijde omzet van Netflix (1,229 miljard euro).

Hoewel de AP de boete proportioneel en effectief acht, blijft de vraag of een bedrag van deze omvang voldoende is om grote bedrijven als Netflix blijvend aan te zetten tot naleving van de AVG. De publieke aandacht rondom de zaak en de aanpassingen die Netflix inmiddels heeft doorgevoerd, laten echter zien dat de impact verder kan reiken dan alleen de financiële sanctie.

Wat betekent dit voor andere bedrijven?

Deze beslissing van de AP benadrukt dus belangrijke gebieden waarop bedrijven hun AVG naleving kunnen verbeteren:

1. Transparantie is cruciaal: Geef duidelijke uitleg over de doeleinden en rechtsgronden voor gegevensverwerking. Vermijd vage taal en bied voldoende details.
2. Noem de ontvangers: Specificeer waar mogelijk de ontvangers van persoonsgegevens in plaats van algemene categorieën.
3. Specificeer bewaartermijnen: Geef duidelijke tijdsframes of criteria voor het bewaren van persoonsgegevens.
4. Geef inzicht in internationale waarborgen: Leg duidelijk uit welke maatregelen zijn genomen om gegevens te beschermen die buiten de EER worden overgedragen, inclusief adequaatheidsbesluiten of contractuele clausules.
5. Volledigheid bij inzageverzoeken: Zorg voor volledige en gedetailleerde reacties op inzageverzoeken van betrokkenen.

Conclusie

De zaak van Netflix laat zien hoe belangrijk het is voor bedrijven om hun privacybeleid serieus te nemen. Toezichthouders kijken steeds kritischer naar hoe organisaties omgaan met persoonsgegevens. Het gaat daarbij niet alleen om naleving van de AVG, maar ook om volledige transparantie over wat er met gegevens gebeurt.

Dus, terwijl het iconische ‚Tadum‘ het begin van je favoriete Netflix-serie aankondigt, is het ook een herinnering aan het belang van transparantie en verantwoordelijkheid in de wereld van privacy. Bedrijven moeten niet alleen voldoen aan de wet, maar ook helder communiceren over hoe zij persoonlijke gegevens verwerken. Transparantie is niet alleen een wettelijke verplichting, maar voorkomt ook strengere handhaving door toezichthouders.