Hoe zit het met jouw privacy op WeTransfer?

Grote kans dat jij wel eens bestanden met WeTransfer hebt verstuurd. Het is immers gratis en de maximale bestandsgrootte is vrij riant. Maar tegelijkertijd vertrouw je de dienst heel wat toe, door ze als tussenpersoon in te schakelen. Hoe is het eigenlijk gesteld met jouw privacy op WeTransfer? Daarvoor beoordelen we het privacybeleid.

Op basis van de privacywet (Algemene verordening gegevensbescherming, AVG) is het verplicht om de identiteit en contactgegevens van de partij die verantwoordelijk is voor de verwerking van persoonsgegevens op te nemen in het privacystatement. Het doel daarvan is om ervoor te zorgen dat gebruikers van WeTransfer de identiteit van de organisatie makkelijk kunnen vaststellen en er op een eenvoudige wijze contact door hen kan worden gezocht. 

WeTransfer dient op basis van voornoemde verplichting aan te geven door welke entiteit persoonsgegevens worden verwerkt en onder andere haar telefoonnummer, e-mail en postadres te vermelden. In het privacystatement wordt inderdaad duidelijk door WeTransfer aangegeven op welke wijze contact met het bedrijf kan worden opgenomen. Het wordt echter niet duidelijk wie de verwerkingsverantwoordelijke is voor de gegevensverwerking en ook de identiteit van de organisatie lijkt nog te ontbreken.

Functionaris voor gegevensbescherming

Uit het privacystatement van WeTransfer blijkt dat er een functionaris voor gegevensbescherming (FG) is aangesteld. Een FG vervult een onafhankelijke rol binnen een organisatie en houdt toezicht op de naleving van de privacywet. Ook kan een FG adviseren over de toepassing daarvan. Op grond van de AVG is het aanstellen van een FG verplicht in een aantal situaties waarbij op grote schaal persoonsgegevens worden verwerkt. Denk daarbij aan organisaties die betrokkenen observeren of die veel bijzondere persoonsgegevens verwerken.

Enkel op basis van het privacystatement van WeTransfer kan niet worden beoordeeld of zij verplicht is om een FG aan te stellen. Als een organisatie niet verplicht is om een FG aan te stellen, kan een organisatie er alsnog voor kiezen om dat te doen. De FG moet dan vervolgens wel aan de wettelijke vereisten van deskundigheid en onafhankelijkheid voldoen. Om dat te voorkomen, kan een organisatie er overigens ook voor kiezen om een (informele) privacyfunctionaris aan te stellen voor wie deze vereisten niet gelden.

Indien een organisatie een functionaris voor gegevensbescherming aanstelt, dient deze te worden aangemeld bij de Autoriteit Persoonsgegevens (AP, de Nederlandse toezichthouder op de verwerking van persoonsgegevens). Ook dienen dan de contactgegevens van de FG in het privacystatement te worden opgenomen. Bij WeTransfer heeft de FG een afzonderlijk e-mailadres en staat deze ook in het privacystatement vermeld. Betrokkenen kunnen zich met hun vragen wenden tot de FG.

Wijzigingen in het beleid

WeTransfer heeft, net als veel andere partijen, onderaan in haar privacystatement een paragraaf opgenomen waarin wordt beschreven hoe gebruikers van wijzigingen in het beleid op de hoogte worden gebracht. WeTransfer doet dat door het privacystatement van een datum te voorzien. Wanneer het beleid wijzigt, zal de datum van het beleid ook veranderen. WeTransfer raadt daarom aan om de website regelmatig te bekijken, zodat kennis kan worden genomen van veranderingen in het privacystatement.

Volgens het comité van Europese privacy-toezichthouders, een adviesorgaan waarin alle Europese privacy-toezichthouders zijn verenigd, dienen gebruikers actief over veranderingen in het privacystatement te worden geïnformeerd. Dat geldt niet voor stilistische veranderingen of bijvoorbeeld het verbeteren van taalfouten, maar enkel als veranderingen ‘substantieel’ of ‘wezenlijk’ zijn.

 Voorbeelden zijn een verandering in het doel van de verwerking of een verandering in de wijze waarop betrokkenen hun privacyrechten kunnen uitoefenen. Op WeTransfer rust de verantwoordelijkheid om ervoor te zorgen dat communicatie over veranderingen in het privacystatement daadwerkelijk door de gebruikers wordt gezien. Dat kan bijvoorbeeld door de gebruikers daar per e-mail of in een pop-up op te wijzen. In ieder geval dient WeTransfer de mededeling effectief onder de aandacht te brengen.

Volgens het comité zijn vermeldingen in het privacystatement met de strekking dat de betrokkene regelmatig moet controleren of het privacystatement is gewijzigd onvoldoende en onbehoorlijk. Wij zijn er niet mee bekend of WeTransfer in de praktijk wel actief informatie verstrekt over de wijzigingen in haar privacystatement.

Conclusie

Opgesomd:

  • WeTransfer informeert gebruikers over de wijze waarop contact met de organisatie kan worden opgenomen (per e-mail), maar de identiteit van de verwerkingsverantwoordelijke lijkt nog te ontbreken.
  • WeTransfer heeft een functionaris voor gegevensbescherming aangesteld en informeert betrokkenen hoe zij met de functionaris in contact kunnen komen.
  • Als gebruikers willen weten of het privacystatement is gewijzigd, dienen zij het beleid regelmatig te raadplegen. Als WeTransfer substantiële of wezenlijke wijzigingen doorvoert, dient zij dat echter actief bij gebruikers onder de aandacht te brengen.

Door WeTransfer wordt op grote schaal gegevens verwerkt. Het is dan ook een prettig idee dat deze partij zichtbaar aandacht heeft besteed aan het opstellen van een privacystatement. Het privacystatement van WeTransfer biedt op enkele kleine onderdelen ruimte voor verbetering, waaronder het informeren over wijzigingen in het beleid en het verstrekken van de identiteit. Over het algemeen voldoet WeTransfer aan haar informatieverplichting onder de privacywetgeving.

Tekst: Jacintha van Dorp (SOLV Advocaten)

Geschreven door: Redactie PCM op

Category: Nieuws, Security

Tags: privacy, privacymeetlat