Recent kwam in het nieuws dat sommige klanten van Bunq de aandelenhandel van hun contacten kunnen inzien via de app. Dit roept belangrijke vragen op over privacy en de naleving van de Algemene Verordening Gegevensbescherming (AVG). Wat zijn de verplichtingen van verwerkingsverantwoordelijken zoals Bunq, en waar moeten organisaties rekening mee houden?
De AVG verplicht organisaties om betrokkenen duidelijk en volledig te informeren over de verwerking van hun persoonsgegevens. In het geval van Bunq blijkt uit het artikel dat gebruikers niet altijd goed geïnformeerd zijn over het feit dat hun handelsactiviteiten zichtbaar kunnen zijn voor anderen. Deze informatieplicht betekent niet alleen dat informatie beschikbaar moet zijn, maar ook dat deze begrijpelijk en makkelijk vindbaar moet zijn voor gebruikers. Gebruikers moeten weten welke gegevens gedeeld worden, met wie, en met welk doel.
Een ander belangrijk punt uit de AVG is dat toestemming voor het delen van persoonsgegevens vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn. In het geval van Bunq stond de optie om handelsactiviteiten te delen standaard aan, zonder dat gebruikers hier expliciet toestemming voor hadden gegeven. Dit is in strijd met de AVG, die vereist dat gebruikers actief toestemming moeten geven voor het delen van hun gegevens. Het is niet voldoende om gebruikers de mogelijkheid te geven om zich af te melden (“opt-out”); er moet sprake zijn van een bewuste “opt-in”.
De AVG schrijft voor dat organisaties niet meer persoonsgegevens mogen verwerken dan noodzakelijk is voor het doel waarvoor ze verzameld zijn. In het geval van Bunq kan worden betwijfeld of het delen van handelsactiviteiten met contacten noodzakelijk is voor het gebruik van de app.
De situatie bij Bunq laat zien hoe belangrijk het is om als organisatie zorgvuldig om te gaan met persoonsgegevens. Transparantie, expliciete toestemming en dataminimalisatie zijn geen vrijblijvende adviezen, maar harde wettelijke verplichtingen onder de AVG. Door deze verplichtingen serieus te nemen, kunnen organisaties het vertrouwen van hun klanten behouden en juridische risico’s beperken.
Neem bij vragen contact op met Natascha van Duuren, partner & advocaat IT, Privacy & Cybersecurity of met één van onze andere specialisten binnen team IT, Privacy & Cybersecurity.
Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief!
