Britse privacywaakhond ICO legt boete op van 460.000 euro aan zwangerschapsclub Bounty

Britse privacywaakhond ICO legt boete op van 460.000 euro aan zwangerschapsclub Bounty
De Britse privacywaakhond ICO heeft een boete opgelegd aan de Britse zwangerschapsorganisatie Bounty. Het bedrijf verkocht als ‘databroker’ persoonlijke informatie door aan derde partijen. Het bedrijf verzamelde persoonsgegevens via de website, hun app of direct bij zwangere moeders in het ziekenhuis.

Schending Britse privacywet
Tussen juni 2017 en april 2018 verkocht het bedrijf maar liefst 34,4 miljoen ‘records’ van meer dan 14 miljoen mensen aan kredietbeoordelaars en marketingbureaus. De organisaties stelde gebruikers onvoldoende op de hoogte over het feit dat hun persoonlijke informatie met deze organisaties gedeeld kon worden. In totaal deelde Bounty persoonsgegevens met maar liefst 39 verschillende organisaties.  De verzamelde persoonlijke data varieerde van persoonsgegevens van de moeder, tot geboortedata en geslacht van het kind.

Verwijt
Het Britse ICO verwijt Bounty dat het onvoldoende transparant is geweest tegenover zijn gebruikers. Daarnaast was de gegeven toestemming onvoldoende ‘geïnformeerd’. Het belang van Bounty bij het delen van deze persoonsgegevens was gedreven door een financiële motivatie. De ICO vindt het dan ook verwijtbaar dat Bounty op deze onachtzame manier gevoelige informatie heeft gedeeld, zonder rekening te houden met de eventuele gevolgen die het voor de betrokkene had. Daarbij nam de ICO in overweging dat het gaat om een potentiele kwetsbare groep van nieuwe moeders en zeer jonge kinderen. De privacy verklaring liet weliswaar weten dat data gedeeld kon worden met derde partijen, maar noemde niet welke partijen dit dan waren.

Toestemming
Gebruikers van die diensten van Bounty werden tijdens de registratie weliswaar om toestemming gevraagd om hun gegevens te gebruiken voor direct marketing, maar deze toestemming was volgens de ICO niet geïnformeerd, en kon bovendien (tijdens offline registratie) niet in vrijheid worden gegeven. Gebruikers werden namelijk niet voldoende op de hoogte gesteld met wie Bounty hun data deelde. Er was namelijk geen lijst beschikbaar. Daarnaast kregen gebruikers die offline persoonlijke data verstrekten niet de mogelijkheid om hun gegevensdeling met derde partijen te weigeren. Tijdens de overtredingen was de AVG nog niet in werking getreden. De opgelegde boete is dus gebaseerd op de Britse voorloper van de AVG. En dat is maar goed ook voor de Britse organisatie. Boetes onder de AVG liggen namelijk een stuk hoger: tot 20 miljoen euro of 4% van de wereldwijze jaarlijkse omzet.

Direct Marketing en de AVG
Ook onder de AVG is direct marketing doorgaans nog toegestaan. Daarvoor moet een organisatie wel rekening houden met de wettelijke vereisten. Zo maakt de wetgeving onderscheid tussen digitale marketing en ‘papieren’ marketing. Digitale direct marketing is in principe alleen toegestaan met de toestemming van de betrokkene. De toestemming moet daarnaast ook nog eens geïnformeerd en vrijelijk zijn gegeven. De enige uitzondering op deze regel is het benaderen van bestaande klanten voor soortgelijke diensten en waren.  Wil je als organisatie gebruik maken van digitale direct marketing, dan is het dus heel verstandig om goed te nadenken over de beperkingen die de wet hier aan stelt.

 

 

 

Terug naar overzicht