2min Security

Extreem hoge Nederlandse GDPR-boete voor Netflix

Extreem hoge Nederlandse GDPR-boete voor Netflix

Toezichthouder Autoriteit Persoonsgegevens (AP) legt Netflix een boete op van 4,75 miljoen euro, een van de hoogste Nederlandse GDPR-boetes ooit.

De boete is opgelegd omdat Netflix gebruikers van 2018 tot 2020 onvoldoende informeerde over wat er met hun persoonsgegevens gebeurde. In de privacyverklaring stond niet duidelijk beschreven hoe het bedrijf gegevens zoals e-mailadressen, telefoonnummers, betaalinformatie en kijkgedrag verwerkte. Daarnaast kregen klanten die wilden weten welke gegevens Netflix over hen had verzameld, onvoldoende inzicht in deze informatie.

Overtredingen

In 2019 startte de AP een onderzoek naar de praktijken van Netflix. De toezichthouder concludeert nu dat er sprake was van meerdere overtredingen van de GDPR. Het was niet duidelijk welke doelen Netflix nastreefde bij het verzamelen en gebruiken van persoonsgegevens, of wat de wettelijke basis hiervoor was. Ook gaf het bedrijf geen heldere uitleg over welke gegevens met andere partijen werden gedeeld en waarom, en bleef onduidelijk hoe lang deze gegevens werden bewaard. Bovendien ontbrak informatie over hoe Netflix de veiligheid van persoonsgegevens garandeert bij overdracht naar landen buiten Europa.

Volgens AP-voorzitter Aleid Wolfsen is het onacceptabel dat een groot internationaal bedrijf, met een miljardenomzet en miljoenen klanten wereldwijd, niet helder communiceert over het gebruik van persoonsgegevens. “Dat moet glashelder zijn. Zeker als de klant ernaar vraagt. En dat was niet op orde.”

Inmiddels heeft Netflix de privacyverklaring aangepast en de informatievoorziening verbeterd, stelt de AP. Het bedrijf heeft echter bezwaar gemaakt tegen de opgelegde boete. Dit bezwaar wordt door de toezichthouder in behandeling genomen. Mocht Netflix het niet eens zijn met de uitkomst, dan kan de zaak worden voorgelegd aan de rechter.

Als de boete van 4,75 miljoen euro overeind blijft, stoot Netflix de boete uit 2022 van het ministerie van Financiën een positie omlaag in de lijst van hoogste Nederlandse GDPR-boetes. De beruchte boete van 3,7 miljoen euro aan de fiscus volgde wegens het bijhouden van een zwarte lijst met persoonsgegevens van mogelijke fraudeurs. Overigens kreeg Uber in 2024 ook een nog veel hogere boete opgelegd wegens GDPR-overtredingen. Het taxibedrijf kreeg een sanctie van 290 miljoen euro voor het doorsturen van persoonsgegevens van Europese taxichauffeurs naar de Verenigde Staten.

Tip: AP beboet Belastingdienst voor ‘ongekende’ privacyschending