Sinds 2018 geldt in heel Europa dezelfde privacywetgeving, namelijk de Algemene Verordening Gegevensbescherming (AVG). In datzelfde jaar begon de Irish Data Protection Commission (DPC), op verzoek van verschillende Europese landen een onderzoek naar gegevensverwerking door WhatsApp. Dit leidde ertoe dat WhatsApp begin september een boete van 225 miljoen euro op de mat kreeg. De op één na hoogste privacy boete ooit. In haar 266 pagina’s tellend boetebesluit concludeert de Ierse privacywaakhond dat de berichtendienst de normen van de AVG schendt. De DPC spreekt zelfs van een “zeer ernstig vergrijp”. Maar wat zijn de redenen voor deze miljoenenboete?
Whatsup
WhatsApp verzamelt veel gegevens van gebruikers. Denk aan telefoonnummers en informatie over iemands locatie, gewoontes en contacten. Volgens de toezichthouder moet een techbedrijf dat zo veel gegevens van mensen verzamelt meer toelichting daarover geven dan dat WhatsApp nu doet. Daarnaast is het platform niet duidelijk over het delen van data met Facebook en andere diensten zoals Instagram. Tenslotte gaat er iets mis met de contactgegevens van mensen die de app niet gebruiken. Deze gegevens kunnen via adresboeken van gebruikers namelijk tóch bij WhatsApp belanden. De niet-gebruikers kunnen echter geen beroep doen op rechten uit de AVG zoals het recht op gegevenswissing. Ook daar klopt iets niet volgens de Europese toezichthouders.
One-stop-shop
Waarom startte de Ierse toezichthouder het onderzoek naar WhatsApp, en niet bijvoorbeeld de Nederlandse of de Duitse? Dat zit zo: WhatsApp is sinds 2014 onderdeel van Facebook. Het Europese hoofdkantoor van Facebook zit – net als dat van veel andere techbedrijven – in Dublin. De Ierse DPC is daardoor de ‘leidend toezichthouder’ en namens de gehele EU verantwoordelijk voor het toezicht op WhatsApp. In de EU geldt namelijk het zogenoemde ‘one-stop-shop’ mechanisme. Dit houdt in dat organisaties die gegevens verwerken in verschillende landen alléén te maken hebben met de toezichthouder van het land waar hun hoofdkantoor zit.
Een kwart miljard
De Europese toezichthouders werden het onderling niet eens over de boete en zijn daarom naar het overkoepelend orgaan, de European Data Protection Board (EDPB), gestapt. De EDPB nam eind juli het bindende besluit. Het boetebedrag viel een stuk hoger uit dan in eerste instantie verwacht werd. In januari werd nog uitgegaan van een boete van 50 miljoen euro, maar dit bedrag werd door de EDPB opgehoogd naar 225 miljoen euro. De boete die WhatsApp krijgt is de op één na hoogste ooit. Amazon gaat aan kop met een boete van 746 miljoen euro, uitgevaardigd door de Luxemburgse toezichthouder.
Een AVG boete moet doeltreffend, proportioneel en bovenal afschrikwekkend zijn. Ondanks het feit dat het om een enorm bedrag gaat, kan men zich afvragen of de boete wel hoog genoeg is. Op grond van de AVG mag een toezichthouder namelijk een boete van maximaal 4% van de wereldwijde jaaromzet geven. In dat opzicht is het boetebedrag best een meevaller voor moederbedrijf Facebook, dat in 2020 een omzet van 86 miljard dollar (74 miljard euro) behaalde.
Disproportioneel?
Grote techbedrijven zoals Facebook en Google liggen steeds vaker onder vuur vanwege privacyschandalen. Veel van deze bedrijven houden hun privacyvoorwaarden namelijk expres vaag om zo conflicten te voorkomen. Ondertussen verzamelen zij zoveel mogelijk gegevens om hun service beter te maken, zonder dat gebruikers daar enig idee van hebben. WhatsApp moet nu, naast het betalen van de boete, ook maatregelen gaan nemen om te voldoen aan de AVG-regelgeving. Zo zal het platform bijvoorbeeld duidelijker moeten maken hoe gebruikers een klacht kunnen indienen bij een toezichthouder.
WhatsApp houdt – niet geheel onverwachts – voet bij stuk en zegt het niet eens te zijn met de beslissing. Ondanks dat het bedrag een schijntje ten opzichte van de jaarlijkse omzet van Facebook lijkt te zijn, gaat WhatsApp in beroep. Volgens een woordvoerder van de app is de boete namelijk “volkomen disproportioneel”. Daarover is het laatste woord nog niet gezegd.