24 december 2024

Boete € 4.750.000 voor Netflix vanwege onvoldoende informeren over privacy

Weer een succesvolle actie van privacyorganisatie None Of Your Business (NOYB). In 2019 diende zij klachten in bij de Autoriteit Persoonsgegevens (AP) over streamingdienst Netflix. Uit onderzoek van de AP is vervolgens gebleken dat Netflix in strijd heeft gehandeld met verplichtingen uit de AVG. Zowel in het privacystatement als in reacties op inzageverzoeken werd onvoldoende of onduidelijke informatie aan klanten verstrekt.

Netflix verzamelt verschillende soorten persoonsgegevens van haar klanten, zoals naam, geboortedatum, bankrekeningnummer of kijkgedrag. Als je gegevens verwerkt, moet je per verwerking informeren over het doel en de grondslag daarvan. Netflix gaf enkel een algemene opsomming en dat is onvoldoende. De verwerkingen werden in het privacy statement apart vermeld, zonder koppeling aan het doel en de grondslag. Ook waren er een aantal doeleinden weggelaten.

Verder werden in de privacyverklaring geen bewaartermijnen voor de gegevens benoemd, terwijl dat verplicht is. Tot slot werd niet duidelijk gecommuniceerd welke derdepartijen toegang kregen tot welke gegevens, om welke redenen deze gegevens werden gedeeld, en welke beveiligingsmaatregelen waren genomen bij doorgifte buiten de EER.

Wil je meer informatie? Lees hier het boetebesluit van de AP.

Wat kun je hieruit meenemen bij het opstellen van je privacystatement en bij eventuele reacties op inzageverzoeken?

Koppel elke verwerking van persoonsgegevens aan een doel en een grondslag.
Als je bijvoorbeeld gegevens gebruikt om een passend aanbod aan te bevelen, en dit mag je doen omdat iemand cookies heeft geaccepteerd (grondslag toestemming), link dat dan aan elkaar.
Wees volledig in je informatieverstrekking.
Laat geen gegevens weg, zoals de gegevens die je van derden hebt ontvangen.
Benoem concreet met welke partners je gegevens deelt en waarom.
Als dit buiten de Europese Economische Ruimte (EER) is, ben je ook verplicht te vermelden welke passende maatregelen je hebt genomen ter beveiliging.
Zorg ervoor dat het privacystatement passend is, maar ook volledig.
Wanneer je de informatie uit je privacyverklaring inkort, bijvoorbeeld om het te laten passen op een aangepaste interface, zorg dan dat de volledige informatie ook gemakkelijk te vinden is. Dit kan bijvoorbeeld via een link naar een andere pagina.

Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Kim Moolenaar

Voormalig Assistent Legal Counsel | DDMA

Ook interessant

Lees meer

AI Act | 6 februari 2026

Update marketinggids Responsible AI voor de verantwoorde inzet van AI in marketing (2026)

VIA Nederland, DDMA en bvA, drie brancheverenigingen in de marketingsector, presenteren met trots de Marketinggids Responsible AI. Deze gids, ontwikkeld als een ‘levende’ leidraad, biedt marketeers concrete richtlijnen en principes…

Lees meer

AI Act | 20 januari 2026

Uitspraak van de maand | januari

Elke maand lichten we actuele juridische uitspraken uit die relevant zijn voor marketeers, dataspecialisten en privacyprofessionals. Praktijkvoorbeelden met heldere lessen om zelf toe te passen. In deze editie van Uitspraak…

Lees meer

AVG | 6 januari 2026

Wat je moet doen na een cookie-waarschuwing van de AP

Meer dan 200 organisaties kregen in 2025 een waarschuwing van de Autoriteit Persoonsgegevens over hun cookiebanner en het verkeerd inladen van scripts. Tijdens de Digital Talk Cookiehandhaving werd één ding…

Boete € 4.750.000 voor Netflix vanwege onvoldoende informeren over privacy

Kim Moolenaar

Ook interessant

Update marketinggids Responsible AI voor de verantwoorde inzet van AI in marketing (2026)

Uitspraak van de maand | januari

Wat je moet doen na een cookie-waarschuwing van de AP

Op de hoogte blijven?

Meer weten?