Een toontje lager: de AVG-boete voor Spotify

De aanleiding

Op 18 januari 2019 heeft de belangenorganisatie van roemruchte privacyvoorvechter Max Schrems, Noyb (leuk weetje, dit acroniem staat voor None of Your Business), een klacht ingediend tegen onder meer Spotify. Deze klacht werd ingediend omdat Spotify, en andere grote technologiebedrijven waar het over klaagde, niet volledig zouden voldoen aan de Dit draait om de rechten van betrokkenen die door de AVG aan hen worden toegekend. Deze rechten zijn te vinden in hoofdstuk 3 (art. 12-23) van de AVG.In dit geval ging het om het recht tot inzage dat betrokkenen omtrent hun persoonsgegevens hebben. Concreet betekent dit dat je Zie voor alle elementen waar een verwerkingsverantwoordelijke informatie over moet verschaffen art. 15 van de AVG.kunt opvragen of een organisatie persoonsgegevens van je verwerkt, welke persoonsgegevens dat dan zijn, hoe deze gegevens worden verwerkt en wie de gegevens ontvangt. Een dergelijk verzoek tot inzage is door een beleidsadviseur, Rejo Zenger, van Bits of Freedom in 2018 gedaan. Hierop reageerde Spotify op een manier die ik het beste kan beschrijven aan de hand van de Engelse term Malicious compliance omschrijft het fenomeen je bewust instructies of regels naleeft op een manier (meestal letterlijk) die anderen schade, frustratie of ongemak bezorgt, vaak als een vorm van passief-agressief gedrag. Zo zag ik op internet eens een afbeelding van een restaurant dat geen water in flessen mocht verkopen doordat er een festival in de buurt werd gehouden. Vervolgens verkocht een een pinda voor 1 dollar, waar je vervolgens een gratis fles water bij kreeg.Want, hoewel de adviseur een kopie van vermoedelijk al zijn gegevens kreeg, waren deze “voor de veiligheid” versleuteld aan hem geleverd. En oh ja, de sleutel was om dezelfde reden ook niet meegeleverd. Dat was de reden dat meneer Zenger gelijktijdig met Noyb een handhavingsverzoek bij de privacytoezichthouder indiende. In zijn geval bij de Autoriteit Persoonsgegevens, in het geval van Noyb bij de Oostenrijkse Datenschutzbehörde. Echter, omdat Spotify’s hoofdkantoor in Zweden is gevestigd, zijn de klachten naar de Zweedse toezichthouder gestuurd, de Integritetsskyddsmyndigheten (IMY). Zeg dat eens drie keer achter elkaar. Deze organisatie heeft zich dan ook over de kwestie gebogen.

De grote lettertjes

Voor de fijnproevers, in de klachten ging het om een vermeende overtreding van art. 12 lid 1 en 15 AVG en art. 8 lid 2 van het Handvest van de EU. In die artikelen wordt respectievelijk geregeld hoe gehoor moet worden gegeven aan een uitgeoefend recht van een betrokkene, het recht op inzage uit de AVG en het recht op inzage uit het Handvest. Volgens de klagers was de door Spotify verstrekte informatie onvolledig, onjuist en/of onbruikbaar. Daarnaast miste zaken zoals de doeleinden waar de persoonsgegevens voor werden verwerkt (art. 15 lid 1 sub a AVG), de ontvangers van de gegevens van de klagers (art. 15 lid 1 sub c AVG) en werd niet vermeld dat de klagers een klacht in kunnen dienen bij de toezichthoudende autoriteit (art. 15 lid 1 sub f AVG). Kortom, de terugkoppeling van Spotify aan de betrokkenen schortte aan alle kanten. Een open-and-shut case voor iedere privacytoezichthouder, toch? Het feit dat de boete vijf jaar na de eerste klacht is opgelegd, verraadt het tegendeel. Na drie jaar (ietsje langer dan de maand die de AVG vereist…) had de IMY nog steeds niet op de klachten gereageerd, waarna Noyb gebruikmaakte van een Zweeds recht waarmee je – na zes maanden geen besluit te hebben ontvangen – een autoriteit kan verzoeken binnen vier weken een uitspraak te doen. Echter, de IMY stelde daarop dat er reeds een algemeen onderzoek naar Spotify loopt en betrokkenen geen partij in (de uitoefening van) hun eigen rechten zijn. Ja, hier krabde ik mijzelf ook even achter de oren. Dit heeft wel iets weg van hoe het in veel landen, zoals Nederland, werkt bij een aangifte in het strafrecht. Je wordt zelf geen partij in de zaak, maar maakt formeel melding van een strafbaar feit met de (impliciete) vraag aan de Officier van Justitie om tot vervolging over te gaan. Hoewel je dan in sommige gevallen zijdelings betrokken kan raken bij de zaak, ben je geen partij. Dat is iets tussen het Openbaar Ministerie en de verdachte. Volgens de interpretatie van de IMY zou je dus een klacht kunnen indienen, maar verder geen enkele invloed of betrokkenheid meer hebben bij de behandeling (of juist niet) van die klacht. Daarop stapte Noyb naar de Zweedse rechter, om (naar ik vermoed) op grond van art. 78 lid 2 AVG de IMY te dwingen op de klacht te reageren.

Het besluit van de IMY

In een knap staaltje juridische bulldozerij maakte de bestuursrechter van Stockholm korte metten met het argument van de IMY. Ergo, de toezichthouder moest alsnog de klacht van Noyb – en dientengevolge ook Bits of Freedom – behandelen, aangezien deze gewoon partij in de zaak is. Toegegeven, ondanks dat de zaak nog door de hoogste bestuursrechtbank van Zweden behandeld wordt is de IMY direct aan de slag gegaan om de klachten, naast zijn eigen algemene onderzoek, te onderzoeken. Daarop volgde op 16 juni jl. een boetebesluit voor Spotify. In dat besluit benoemde de IMY dat Spotify niet voldeed aan zijn plicht om volledige en juiste inzage aan betrokkenen te verschaffen. Op grond van art. 58 lid 2 AVG werd Spotify bevolen alsnog de volledige dataset te overhandigen en werd een boete van 58 miljoen Zweedse kronen opgelegd (het geld, niet de vergulde hoofddeksels van 58 miljoen koningen), bijna 5 miljoen euro.

Lessen voor de toekomst

De boete die aan Spotify is opgelegd benadrukt het belang om een verzoek tot inzage volledig en juist af te handelen. Met een simpel overzicht of incomplete verstrekking van informatie volsta je dus niet. Uit het boetebesluit zijn enkele lessen te trekken, die eigenlijk vanzelfsprekend zijn als je de voorgeschreven wijze van informatieverstrekking uit de AVG volgt. Deze lessen zijn:

1. Volledigheid en nauwkeurigheid: wanneer een verwerkingsverantwoordelijke (organisatie) een inzageverzoek ontvangt, moet deze volledige en nauwkeurige informatie verstrekken. Dit omvat alle persoonsgegevens die de organisatie over de betrokkene heeft, evenals informatie over hoe deze gegevens worden verwerkt, met wie ze worden gedeeld en voor welke doeleinden ze worden gebruikt (plus de andere vereisten uit art. 15 AVG).
2. Tijdigheid: de AVG vereist dat organisaties binnen een maand reageren op inzageverzoeken, met een mogelijkheid tot twee maanden verlenging bij veelvuldige of complexe verzoeken. Hoewel deze termijn in sommige gevallen dus kan worden verlengd, moeten organisaties nog steeds binnen een maand reageren en uitleggen waarom de verlenging nodig is.
3. Toegankelijkheid: de informatie die in reactie op een inzageverzoek wordt verstrekt, moet toegankelijk en begrijpelijk zijn voor de betrokkene; de betrokkene moet dus snappen wat hij/zij ontvangt. Het versleutelen van gegevens zonder de sleutel te verstrekken, zoals in het geval van Spotify, voldoet niet aan dit vereiste.
4. Recht om een klacht in te dienen: organisaties moeten betrokkenen ook informeren over hun recht om een klacht in te dienen bij de toezichthoudende autoriteit. Alhoewel je dan af en toe dus wel een lange adem nodig hebt, zoals deze zaak aantoont…
5. Toezichthouders handhaven: het besluit van de IMY toont aan dat toezichthouders bereid zijn om te handhaven en boetes op te leggen indien organisaties niet voldoen aan hun plichten onder de AVG. Zorg dus dat je een proces omtrent het afhandelen van verzoeken van betrokkenen (en ook voor de andere rechten van betrokkenen uiteraard) inricht, zodat je tijdig en volledig kan reageren. Een beroep op “het is te moeilijk/omvangrijk om alles te verzamelen” slaagt namelijk zelden bij de toezichthoudende autoriteit en rechter.