Hoe zit het met jouw privacy op WeTransfer?

© PXimport

Hoe zit het met jouw privacy op WeTransfer?

Geplaatst: 11 juni 2021 - 06:57

Aangepast: 17 november 2022 - 08:56

Redactie PCM

Grote kans dat jij wel eens bestanden met WeTransfer hebt verstuurd. Het is immers gratis en de maximale bestandsgrootte is vrij riant. Maar tegelijkertijd vertrouw je de dienst heel wat toe, door ze als tussenpersoon in te schakelen. Hoe is het eigenlijk gesteld met jouw privacy op WeTransfer? Daarvoor beoordelen we het privacybeleid.

Op basis van de privacywet (Algemene verordening gegevensbescherming, AVG) is het verplicht om de identiteit en contactgegevens van de partij die verantwoordelijk is voor de verwerking van persoonsgegevens op te nemen in het privacystatement. Het doel daarvan is om ervoor te zorgen dat gebruikers van WeTransfer de identiteit van de organisatie makkelijk kunnen vaststellen en er op een eenvoudige wijze contact door hen kan worden gezocht. 

WeTransfer dient op basis van voornoemde verplichting aan te geven door welke entiteit persoonsgegevens worden verwerkt en onder andere haar telefoonnummer, e-mail en postadres te vermelden. In het privacystatement wordt inderdaad duidelijk door WeTransfer aangegeven op welke wijze contact met het bedrijf kan worden opgenomen. Het wordt echter niet duidelijk wie de verwerkingsverantwoordelijke is voor de gegevensverwerking en ook de identiteit van de organisatie lijkt nog te ontbreken.

Functionaris voor gegevensbescherming

Uit het privacystatement van WeTransfer blijkt dat er een functionaris voor gegevensbescherming (FG) is aangesteld. Een FG vervult een onafhankelijke rol binnen een organisatie en houdt toezicht op de naleving van de privacywet. Ook kan een FG adviseren over de toepassing daarvan. Op grond van de AVG is het aanstellen van een FG verplicht in een aantal situaties waarbij op grote schaal persoonsgegevens worden verwerkt. Denk daarbij aan organisaties die betrokkenen observeren of die veel bijzondere persoonsgegevens verwerken.

Enkel op basis van het privacystatement van WeTransfer kan niet worden beoordeeld of zij verplicht is om een FG aan te stellen. Als een organisatie niet verplicht is om een FG aan te stellen, kan een organisatie er alsnog voor kiezen om dat te doen. De FG moet dan vervolgens wel aan de wettelijke vereisten van deskundigheid en onafhankelijkheid voldoen. Om dat te voorkomen, kan een organisatie er overigens ook voor kiezen om een (informele) privacyfunctionaris aan te stellen voor wie deze vereisten niet gelden.

Indien een organisatie een functionaris voor gegevensbescherming aanstelt, dient deze te worden aangemeld bij de Autoriteit Persoonsgegevens (AP, de Nederlandse toezichthouder op de verwerking van persoonsgegevens). Ook dienen dan de contactgegevens van de FG in het privacystatement te worden opgenomen. Bij WeTransfer heeft de FG een afzonderlijk e-mailadres en staat deze ook in het privacystatement vermeld. Betrokkenen kunnen zich met hun vragen wenden tot de FG.

 

© PXimport

Wijzigingen in het beleid

WeTransfer heeft, net als veel andere partijen, onderaan in haar privacystatement een paragraaf opgenomen waarin wordt beschreven hoe gebruikers van wijzigingen in het beleid op de hoogte worden gebracht. WeTransfer doet dat door het privacystatement van een datum te voorzien. Wanneer het beleid wijzigt, zal de datum van het beleid ook veranderen. WeTransfer raadt daarom aan om de website regelmatig te bekijken, zodat kennis kan worden genomen van veranderingen in het privacystatement.

Volgens het comité van Europese privacy-toezichthouders, een adviesorgaan waarin alle Europese privacy-toezichthouders zijn verenigd, dienen gebruikers actief over veranderingen in het privacystatement te worden geïnformeerd. Dat geldt niet voor stilistische veranderingen of bijvoorbeeld het verbeteren van taalfouten, maar enkel als veranderingen ‘substantieel’ of ‘wezenlijk’ zijn.

 Voorbeelden zijn een verandering in het doel van de verwerking of een verandering in de wijze waarop betrokkenen hun privacyrechten kunnen uitoefenen. Op WeTransfer rust de verantwoordelijkheid om ervoor te zorgen dat communicatie over veranderingen in het privacystatement daadwerkelijk door de gebruikers wordt gezien. Dat kan bijvoorbeeld door de gebruikers daar per e-mail of in een pop-up op te wijzen. In ieder geval dient WeTransfer de mededeling effectief onder de aandacht te brengen.

Volgens het comité zijn vermeldingen in het privacystatement met de strekking dat de betrokkene regelmatig moet controleren of het privacystatement is gewijzigd onvoldoende en onbehoorlijk. Wij zijn er niet mee bekend of WeTransfer in de praktijk wel actief informatie verstrekt over de wijzigingen in haar privacystatement.

Conclusie

Opgesomd:

Door WeTransfer wordt op grote schaal gegevens verwerkt. Het is dan ook een prettig idee dat deze partij zichtbaar aandacht heeft besteed aan het opstellen van een privacystatement. Het privacystatement van WeTransfer biedt op enkele kleine onderdelen ruimte voor verbetering, waaronder het informeren over wijzigingen in het beleid en het verstrekken van de identiteit. Over het algemeen voldoet WeTransfer aan haar informatieverplichting onder de privacywetgeving.

Tekst: Jacintha van Dorp (SOLV Advocaten)

Deel dit artikel
Voeg toe aan favorieten
ID.nl logo

ID.nl, onderdeel van Reshift BV, is in 2022 gestart en uitgegroeid tot de meest toonaangevende en complete consumentensite van Nederland. Het doel van ID.nl is om de consument te helpen met alle technologie die hoort bij het dagelijks leven: van smart-health-meters tot e-bikes, van warmtepompen tot zonnepanelen - en alles daar tussenin!

Duidelijk, betrouwbaar en onafhankelijk: ID.nl maakt moeilijke dingen makkelijk.

Contact

ID.nl

Nijverheidsweg 18

2031 CP Haarlem

info@id.nl

Telefoon: 023-5430000