gdpr
Data Act en GDPR zullen naast en met elkaar moeten werken. Image Credit: iStock

De Europese GDPR-richtlijnen zijn er zodat bedrijven al onze data mee beschermen, maar niet iedereen neemt het even nauw.

Advertentie

Tot 2018 was het zo dat elk land dat deel uitmaakte van de Europese Unie zijn eigen wetten had rond de bescherming van de persoonsgegevens van gebruikers. Op 25 mei, vier jaar geleden, kwam daar echter verandering in. Toen trad de General Data Protection Regulation in werking, wat een overkoepelende en uniforme Europese wetgeving is rond de verwerking van de online data van Europese burgers. Zowel betaalde als gratis diensten moeten sindsdien dus transparant, integer en verantwoordelijk met jouw data omgaan.

De wetgeving betekende niet enkel een aanpassing voor veel Europese bedrijven en organisaties, maar ook wereldwijd liet ze zich voelen. Ook ondernemingen uit niet-EU-landen die gegevens bijhouden of verwerken van EU-burgers moeten zich hieraan houden.

Ook al was er in veel gevallen twijfel bij veel gebruikers en bedrijven rond de mate waarin de wet bescherming zou bieden, toch hebben veel van de inbreuken in de wet laten zien dat de grote techbedrijven hun best doen om zoveel mogelijk data te verzamelen, soms op slinkse wijzen, en daar liefst niets voor terug te moeten geven. Voor de techreuzen betekende de komst van de GDPR-wetgeving vaak een financiële kater en een mogelijkheid om het beter te doen. Voor veel gebruikers is het dan weer een verademing, omdat het na jarenlang misbruik van gegevens eindelijk een andere kant op lijkt te gaan.

Dit zijn de 10 hoogste boetes die sinds 2019 zijn uitgesproken rond schendingen van de GDPR-wetgeving.

1. 746 miljoen euro – Amazon

Bovenaan de lijst prijkt techreus Amazon, met een monsterboete van 746 miljoen euro. Deze dateert van 2021. Toen werd het bedrijf op de vingers getikt door de National Commission for Data Protection (CNDP) van het Groothertogdom Luxemburg.

In 2018 diende de Franse privacygroepering La Quadrature du Net een klacht in, en eiste een onderzoek van Europa. Hieruit bleek dat Amazon persoonsgegevens zou hebben gebruikt, zonder dat er daar expliciete toestemming voor was gegeven door de gebruikers. Dit was natuurlijk in strijd met de GDPR-wetgeving, en resulteerde gezien de schaal van het probleem in een ongezien hoge boete.

2. 225 miljoen euro – WhatsApp

Op de tweede plaats staat WhatsApp, met een totaal te betalen bedrag van 225 miljoen euro. Deze is afkomstig van vorig jaar van de Ierse Data Protection Commission. Zij meenden dat WhatsApp niet voldoende communiceerde over wat het platform allemaal doet met de data van zijn gebruikers. Zo zouden ze niet voldoende geïnformeerd zijn over de mate waarop de data wordt gedeeld met andere diensten van Facebook.

Ierland zou in dit geval naar verluidt al tevreden zijn geweest met een boete van ‘slechts’ 50 miljoen euro, maar dit werd door Europa al snel teruggefloten. Zij pasten een andere berekeningsmethode toe, namelijk het feit dat boetes berekend kunnen worden aan de hand van de omzet van dat jaar, met een maximum van 4 procent van de totale omzet. Europa koos voor 0,8 procent van de omzet van toenmalig Facebook, en kwam hoger uit, wat hen relevanter leek.

Ierland staat bij veel technologiebedrijven bekend als een belastingparadijs met zijn gunstigere tarieven, en vormt zo ook een handige toegangspoort naar de rest van Europa. Ook al lijkt het wat gek, dat is de reden waarom veel van de Europese hoofdkwartieren van deze bedrijven zich daar bevinden, en je zal het land dus wel vaker in de lijst zien opduiken.

3. 90 miljoen euro – Google LLC

Als derde is er de boete van de Commission Nationale de l’Informatique et des Libertés (CNIL) ter waarde van 90 miljoen euro uit 2021. De Franse regulator was van mening dat Google het zijn YouTube-gebruikers te moeilijk maakte om cookies te weigeren. Ze zouden meer stappen moeten ondernemen om deze te weigeren dan om ze te accepteren. Deze techbedrijven zijn immers voor een groot deel afhankelijk van deze cookies voor hun inkomsten uit advertenties, maar volgens de GDPR-richtlijnen zou dit geen legitieme manier zijn om goedkeuring te vragen aan gebruikers.

Google LLC kreeg hiermee een flinke opdoffer, maar het was zeker niet de enige. Diezelfde dag werd de kater groter, zoals de onderstaande boete duidelijk maakt.

4. 60 miljoen euro – Google Ireland

Deze boete werd immers op dezelfde dag uitgegeven als die van 90 miljoen euro. Het bedrag ligt hier nu lager en is slechts 60 miljoen euro, maar draait wel om dezelfde kwestie. Nu ging het onder meer om de google.fr-website in plaats van YouTube. Twee verschillende websites vragen echter wel twee aparte onderzoeken.

5. 60 miljoen euro – Facebook Ireland

Het bemoeilijken om cookies te weigeren lijkt een wederkerend gegeven te zijn. In 2021 vond de Franse regulator CNIL dat niet enkel Google, maar ook het socialmediaplatform Facebook zich daar schuldig aan had gemaakt. Waar gebruikers met slechts één klik cookies konden accepteren, moesten ze meerdere keren doorklikken om deze te kunnen weigeren.

6. 50 miljoen euro – Google Frankrijk

In 2018 kreeg de Franse waakhond klachten binnen van de privacy-groep La Quadrature du Net rond het advertentiesysteem van Google. Het techbedrijf zou niet voldoende transparant hebben gecommuniceerd rond gerichte advertenties. De verwerking van persoonlijke informatie zou niet helemaal wettig zijn verlopen, en zou het ook niet goed communiceren rond hoe het bepaalde informatie van gebruikers zou verzamelen. Dit alles resulteerde in een nieuwe boete van 50 miljoen euro, waardoor de teller voor het bedrijf aardig begint op te lopen.

7. 35,25 miljoen euro – H&M

Een onverwachte speler in deze lijst is de Zweedse kledingwinkel H&M, met een ‘kleinere’ boete van 32,25 miljoen euro. Zij zouden onvoldoende snel hebben gehandeld bij een technische fout van hun bedrijf. Hierbij zouden alle gegevens van de werknemers voor iedereen binnen het bedrijf zichtbaar zijn geweest, al was het maar voor enkele uren. Op het eerste zicht misschien een kleien fout, of zat er toch meer achter?

De Duitse waakhond Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) vond alvast dat er meer aan de hand was. Niet enkel zou het bedrijf gevoelige informatie over de werknemers hebben verzameld, het zou dat ook via allerlei vreemde en clandestiene manieren hebben gedaan, waaronder onderlinge roddels. Zo bevatten de gegevens medische verslagen over gezinssituaties en ziektes van werknemers, wat voor de regulator op geen enkel vlak door de beugel kon.

GDPR europa

8. 27,8 miljoen euro – TIM

In januari van 2020 werd de Italiaanse telecomoperator TIM op het matje geroepen door de Italiaanse regulator Garante per la Protezione dei Dati Personali. Zij maakten zich schuldig aan allerlei illegale praktijken en kregen daarvoor een boete van 27,8 miljoen euro opgelegd. Ze zouden op een onrechtmatige data hebben verwerkt en toestemmingen hebben verzameld, en er een agressieve marketing op hebben nagehouden. Ze belden voortdurend mensen op, zelfs als ze zich eerder al hadden opgegeven om geen telefoontjes te ontvangen.

9. 26,5 miljoen euro – Enel Energia

In het begin van dit jaar trok de Italiaanse waakhond opnieuw ten strijde, maar dan dit maal tegen Enel Energia. Het bedrijf zou ook onrechtmatig aan telemarketing hebben gedaan en daar op een niet correcte manier met persoonlijke gegevens zijn omgesprongen. Gebruikers die toegang zochten tot hun persoonlijke data kregen een laat of geen antwoord, waardoor de regulatoren een boete van 26,5 miljoen euro vroegen.

10. 22,4 miljoen euro – British Airways

Onderaan de lijst staat de Britse luchtvaartmaatschappij British Airways. In 2018 kreeg de website van de maatschappij te maken met hackers. Hierbij werd het verkeer van gebruikers omgeleid naar een aparte website van de cybercriminelen. Met een sterk nagemaakte eigen website wisten ze meer dan 400.000 gebruikers om de tuin te leiden om zo hun persoonlijke data te bemachtigen. Het Britse Information Commissioner’s Office (ICO) was van mening dat British Airways niet voldoende bescherming had voorzien voor zijn website, waardoor het voorval kon plaatsvinden. Zij vroegen daarom een boete van 22,4 miljoen euro.

Origineel was het plan dat de boete veel hoger zou liggen. Deze werd echter bij het begin van de coronapandemie geëist, en toen de eerste impact daarvan op de luchtvaartsector werd gevoeld, besloten ze om deze aanzienlijk te verlagen.


LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here