Netflix werd op de vingers getikt voor verschillende schendingen van de AVG met betrekking tot de informatie voorziening in hun privacyverklaring én antwoorden op inzageverzoeken van klanten. Hier zijn de belangrijkste missers:
- Onvolledige doelen en grondslagen
- Netflix gaf niet per specifiek doeleinde aan welke persoonsgegevens verzameld en verwerkt werden en op welke juridische grondslag deze verwerking was gebaseerd.
- Onvoldoende transparantie over met wie persoonsgegevens gedeeld werden
- Hoewel Netflix gegevens deelde met externe partijen, zoals advertentiepartners, werden deze partijen niet bij naam genoemd. Alleen categorieën ontvangers werden vermeld, wat volgens de AP niet transparant genoeg is.
- Gebrek aan concrete informatie over de bewaartermijnen
- De privacyverklaring van Netflix vermeldde geen concrete termijnen voor het bewaren van persoonsgegevens. Hierdoor was het voor klanten onduidelijk hoe lang hun gegevens bewaard zouden blijven en waarom.
- Onduidelijkheid over internationale doorgifte
- Netflix gaf niet aan naar welke landen persoonsgegevens werden doorgegeven, nog welke maatregelen werden genomen om de gegevens te beschermen.
Wat betekent dit voor jouw bedrijf?
De boete voor Netflix benadrukt dat zelfs grote organisaties met uitgebreide juridische teams fouten kunnen maken op het gebied van privacy. Als kleiner bedrijf heb je niet dezelfde middelen als een multinational, maar daardoor verdwijnt het risico nog niet. Met de juiste kennis en juridische hulp kan ook jij jouw privacyverklaring updaten in lijn met de verwachtingen van de AP. Stel jezelf om te beginnen de volgende vragen om te controleren of jouw privacyverklaring op orde is:
- Zijn alle verwerkingsdoeleinden en juridische grondslagen duidelijk vermeld?
- Zorg dat je duidelijk vermeldt welke persoonsgegevens je verwerkt, waarom je dat doet, en op welke juridische basis dit mag. Gebruik hiervoor bijvoorbeeld een overzichtelijke tabel in plaats van een lang verhaal, zoals Netflix – dat maakt het begrijpelijker voor je klanten. Je verwerkingsregister is hiervoor een hele goede basis.
- Worden ontvangers van persoonsgegevens expliciet benoemd?
- Geeft expliciet aan met welke partijen je persoonsgegevens deelt, zoals advertentiepartners. Netflix heeft dit opgelost door een lijst met alle ontvangers op te nemen in de privacyverklaring.
- Zijn je bewaartermijnen concreet?
- Vage termen zoals “we bewaren persoonsgegevens zolang dit wettelijk verplicht is” zijn niet genoeg. In de privacyverklaring moet de concrete bewaartermijn per type persoonsgegevens worden benoemd.
- Hebben betrokkenen gemakkelijk toegang tot begrijpelijke informatie over hun rechten?
- Om te voldoen aan de eisen van de AVG is het niet voldoende om alle gegevens te verstrekken, de gegevens moeten ook begrijpelijk én gemakkelijk toegankelijk zijn. Daarnaast moeten mensen hun rechten (zoals recht op inzage, rectificatie, of gegevenswissing) zonder onnodige obstakels kunnen uitoefenen. Denk aan een laagdrempelig contactformulier of een helder e-mailadres.
Jurr helpt je vooruit
Een goed opgestelde privacyverklaring is geen overbodige luxe, maar een vereiste onder de AVG. Bij Jurr helpen we je graag. Of het nu gaat om een volledige check van je privacyverklaring of een snelle aanpassing – wij zorgen dat alles klopt.
Wil je zeker weten dat jouw bedrijf voldoet aan de regels? Vraag vandaag nog een contract review aan en voorkomen problemen met de toezicht houder? Heb je nog geen privacyverklaring? Stel er dan snel een op met onze handige contractgenerator.