Netflix-privacybeleid: Met wie wordt jouw data gedeeld?

De coronacrisis heeft Netflix geen windeieren gelegd. Het streamingplatform meldde de afgelopen maanden een recordaantal nieuwe abonnees. Het is dan ook een goed moment om te kijken hoe het bedrijf omgaat met de privacy van zijn gebruikers. Daarvoor nemen we hetNetflix-privacybeleid onder de loep.

Buiten de Europese Economische Ruimte (‘EER’) is de Europese privacywetgeving niet van toepassing. Het beschermingsniveau voor de betrokkene, wiens gegevens worden verwerkt, is dus buiten de EER in beginsel niet hetzelfde. Daar geldt immers de nationale privacywetgeving van het betreffende land.

Om de EU-burgers in die gevallen toch een passend beschermingsniveau te kunnen garanderen, gelden er aanvullende regels voor het doorgeven van persoonsgegevens. Voor de doorgifte buiten de EER kan een organisatie bijvoorbeeld modelcontracten van de Europese Commissie gebruiken. Ook kan het zijn dat de Europese Commissie de doorgifte van persoonsgegevens naar een specifiek land of gebied akkoord heeft bevonden via een adequaatheidsbesluit.

Zo bestond tot voor kort tussen de Europese Unie en de Verenigde Staten het zogenoemde Privacy Shield: een adequaatheidsbesluit waardoor doorgifte van persoonsgegevens van de EU naar de VS door de Europese Commissie was goedgekeurd. Het Hof van Justitie heeft het Privacy Shield onlangs ongeldig verklaard, omdat de rechten van de EU-burgers toch onvoldoende worden gewaarborgd in de VS. Daarmee is een belangrijke grondslag weggevallen voor de doorgifte van persoonsgegevens naar de Verenigde Staten.

Netflix is een van de vele techgiganten die zijn oorsprong kennen in de Verenigde Staten. Of het streamingplatform ook persoonsgegevens van EU-burgers doorgeeft naar de landen buiten de EER (zoals de VS) en op basis van welke grondslag, wordt uit de privacyverklaring niet duidelijk. Netflix vermeldt enkel dat als persoonsgegevens buiten de EER worden doorgegeven, dit gebeurt overeenkomstig de privacyverklaring en de toepasselijke privacywetgeving.

Netflix vermeldt dus niet of persoonsgegevens aan het buitenland worden verstrekt, en zo ja, naar welke landen en op basis van welke grondslag. Dit is onder de AVG wel verplicht.

Onoverzichtelijk

In veel gevallen is een gelaagde structuur van het privacystatement wenselijk. Volgens de European Data Protection Board (alle nationale privacytoezichthouders bij elkaar) voorkomt een gelaagde structuur informatiemoeheid bij de lezer. Instrumenten die daarbij helpen zijn bijvoorbeeld een samenvatting, inhoudsopgave en paragraafindeling met dropdown-functionaliteit.

Overigens kan men ook te ver doorschieten in het aanbrengen van structuur en gelaagdheid. Zo ontving Google in 2019 een miljoenenboete van de Franse privacytoezichthouder omdat de informatie onder andere niet meer overzichtelijk was. Bij Google was specifieke informatie soms pas na zes keer klikken inzichtelijk.

De privacyverklaring van Netflix is vrij uitgebreid; het document telt achttien pagina’s. Het platform heeft nauwelijks een gelaagde structuur aangebracht in de privacyverklaring. Zo ontbreken een samenvatting en inhoudsopgave. De informatie is verder voorzien van tussenkopjes, maar heel overzichtelijk is het niet.

Voor de gebruiker die op zoek is naar specifieke informatie zal het niet gemakkelijk zijn de informatie snel te vinden. Ten behoeve van de leesbaarheid en ter voorkoming van informatiemoeheid zou Netflix dus kunnen overwegen een gelaagde structuur aan te brengen in zijn privacyverklaring.

Bewaartermijnen

Het uitgangspunt in de AVG is dat persoonsgegevens niet langer worden bewaard dan nodig is. Concrete bewaartermijnen voor het bewaren van persoonsgegevens noemt de Europese privacywetgeving niet. Soms bestaat er op grond van andere wetgeving een wettelijke bewaartermijn. Zo geldt er voor ondernemers in Nederland een fiscale bewaarplicht van zeven jaar.

In de regel dient de organisatie zelf te bepalen welke termijnen redelijk zijn voor de persoonsgegevens die zij verzamelt. Daarbij moet in acht worden genomen met welk doel de gegevens zijn verzameld en voor welke duur deze gegevens nog relevant zijn. De gebruiker dient over deze bewaartermijnen geïnformeerd te worden.

Netflix geeft aan persoonsgegevens te bewaren volgens de toepasselijke wet- en regelgeving. Verder zegt het bedrijf de persoonsgegevens op een veilige manier te vernietigen of te anonimiseren als ze niet meer nodig zijn. Uit het gehele document blijkt niet wat nu concreet de bewaartermijnen zijn die Netflix voor de verschillende persoonsgegevens hanteert. Dit is dus onvoldoende informatie.

Conclusie

Opgesomd:

+/- Netflix laat weten de privacywetgeving te respecteren als het bedrijf persoonsgegevens doorgeeft buiten de EER, maar vermeldt niet of dit ook daadwerkelijk gebeurt en naar welke landen. Ook is er geen grondslag genoemd voor de doorgifte buiten de EER.

+/- Gezien de lengte van de privacyverklaring zou Netflix voor de leesbaarheid en ter voorkoming van informatiemoeheid een gelaagde structuur kunnen gebruiken. Ook ontbreken een samenvatting en inhoudsopgave.

- Netflix noemt geen concrete bewaartermijnen voor de persoonsgegevens die het bedrijf verwerkt.

Neflix is wereldwijd ontzettend populair en het aantal abonnees van het streamingplatform is door de coronacrisis alleen maar toegenomen. Ondanks al het succes zijn er nog zeker verbeterpunten als het gaat om de privacyverklaring. Zo laat Netflix concrete informatie over de bewaartermijnen en doorgifte van persoonsgegevens naar derde landen achterwege. Verder zou de privacyverklaring gebruiksvriendelijker kunnen worden ingericht door een gelaagde structuur erin aan te brengen.

Tekst: Jesse Vermeij en Lora Mourcous (SOLV advocaten)

Geschreven door: Redactie PCM op

Category: Nieuws, Streaming media

Tags: privacy, privacymeetlat, netflx