Spring naar content

Aanleiding voor het onderzoek

Het onderzoek naar de praktijken van LinkedIn werd gestart na een klacht vanuit Frankrijk. De focus lag op de vraag of het platform onder de GDPR (ofwel AVG) een geldige rechtsgrond had voor het verwerken van gegevens van eigen leden in de EU (first-party data) en gegevens van derde partijen (third party data).

Gebrek aan geldige rechtsgrond

Geldige rechtsgronden voor verwerking van persoonsgegevens kunnen bijvoorbeeld toestemming, gerechtvaardigd belang of uitvoering van een overeenkomst zijn. Volgens DPC voldeed LinkedIn niet aan de vereisten voor deze grondslagen, omdat:

  • De gebruikers van het platform te weinig informatie ontvingen om daadwerkelijk ‘vrije’ toestemming te geven. De toestemming was niet op een vrije, voldoende geïnformeerde en specifieke manier verkregen door LinkedIn.
  • Gerechtvaardigd belang voor de verwerking van persoonsgegevens niet voldoende was, aangezien LinkedIn’s belangen werden overschreven door de belangen en fundamentele rechten en vrijheden van de gebruikers. De DPC maakte hier dus een belangenafweging: de zorgvuldige afweging tussen de belangen van de betrokkenen en de verwerkingsdoeleinden. 
  • Er geen sprake van contractuele noodzaak was om first party data van haar leden te verwerken voor gedragsanalyse en gerichte advertenties.

Kortom, de DPC concludeerde dat een geldige grondslag voor deze verwerking ontbrak.

Een recordboete voor LinkedIn

De gegeven boete staat in de top vijf van hoogste boetes die ooit zijn opgelegd onder de GDPR. Deze kwam voor LinkedIn overigens niet geheel onverwachts: het platform had in juni 2023 al bijna 400 miljoen euro opzijgezet. Verder heeft de DPC LinkedIn opgedragen om de gegevensverwerkingspraktijken in overeenstemming te brengen met de GDPR.

In reactie op de uitspraak verklaarde LinkedIn dat ze ervan overtuigd zijn te voldoen aan de GDPR. Wel gaat het platform direct maatregelen nemen om ervoor te zorgen dat de advertentiepraktijken voor de deadline in overeenstemming zijn met het besluit van de DPC.

Breder toezicht in de EU op privacy en persoonsgegevens

De uitspraak is onderdeel van een grotere beweging in de EU. Privacywaakhonden, zoals de DPC, handhaven streng op het naleven van de GDPR en het juist verwerken van persoonsgegevens door platformen en techbedrijven, zoals op het vlak van gepersonaliseerd adverteren. Hieruit blijkt ook weer hoe belangrijk de belangenafweging is bij de beoordeling van gerechtvaardigd belang.

Als je wilt weten welke rechtsgrond het meest geschikt is voor jouw verwerkingsactiviteiten, stuur ons dan gerust een e-mail via legal@ddma.nl.

Allisha Hosli

Junior Legal Counsel

Ook interessant

Lees meer
Cookies |

Rechters over GTM en TC-string: marketeers klem tussen cookiewet en consent-paradox

De cookieregels zijn hopeloos verouderd: door de recente uitleg van rechters lijkt toestemming nu ook vereist voor het vastleggen van de cookievoorkeuren. Dat leidt tot een ongemakkelijke paradox: wat als…
Lees meer
AI Act |

Gebruik van AI-foto’s op websites, printed folders of socials? Vermelden of niet?

Wil je gebruikmaken van AI-gegenereerde foto’s of video’s ter promotie van producten of diensten? Snel en effectief content creëren met AI-modellen, zoals ChatGPT, Zora of sinds kort Google’s Nano Bananas:…
Lees meer
E-mail |

Herziene Code E-mail goedgekeurd door Stichting Reclamecode

De herziene Code E-mail is officieel goedgekeurd door de Stichting Reclamecode (SRC). Dat betekent dat de veranderingen in de Code vanaf 15 augustus 2025 voor alle organisaties in Nederland gelden.