Aanbieders van interactieve televisie XS4ALL en KPN hebben diverse overtredingen van de Wet bescherming persoonsgegevens (“Wbp”) beëindigd. De overtredingen werden geconstateerd naar aanleiding van het onderzoek van de Autoriteit Persoonsgegevens (“AP”) inzake de verwerking van persoonsgegevens door XS4ALL en moedermaatschappij KPN.
Door de aansluiting van televisie op internet is het voor aanbieders van digitale televisie mogelijk om het kijkgedrag van hun kijkers te observeren en om profielen van hen te maken. Gegevens over kijkgedrag zijn gevoelige persoonsgegevens, omdat de gegevens een beeld kunnen geven van iemands voorkeuren en interesses. Wanneer kijkgedrag op individueel identificeerbaar niveau wordt bewaard kunnen mensen zich belemmerd voelen om bepaalde zenders of programma’s te kijken.
Indien aanbieders gegevens over kijkgedrag willen verwerken dienen zij – op grond van de Wbp – hun kijkers te informeren over het soort gegevens, de doeleinden en de bewaartermijnen. Op deze manier kunnen de kijkers geïnformeerd aangeven of zij akkoord gaan met de verwerking en dus of zij gebruik willen maken van de dienst.
XS4ALL en KPN verwerken kijkgedrag van de klanten die digitale televisie en webtelevisie kijken, die gebruik maken van interactieve mogelijkheden als Video On Demand en die gebruik maken van de persoonlijke opslagruimte op servers van KPN via een netwerkvideorecorder. Tijdens haar onderzoek constateerde de AP onder meer dat XS4ALL en KPN hun klanten onvoldoende informeerden over het verzamelen en gebruiken van de gegevens over het kijkgedrag bij deze diensten. Zonder toestemming stelden de bedrijven kijkcijfers op over het kijkgedrag van hun klanten, terwijl deze gegevens nog herleidbaar waren tot individuen. Ook oordeelde de AP dat de bedrijven de gegevens langer bewaarden dan noodzakelijk voor het doel van de verwerking.
Inmiddels is de informatievoorziening in de privacyverklaringen van XS4ALL en KPN aangepast en zijn de bewaartermijnen ingekort. Ook is de herleidbaarheid van de gegevens aangepast, bijvoorbeeld dat de gegevens over de gratis dienst Video On Demand pas na 30 dagen worden vertaald in kijkcijfers, nadat de oorspronkelijke persoonsgegevens zijn vernietigd. Ten slotte hebben de bedrijven hun systemen aangepast, waardoor de gegevens over het kijkgedrag alleen nog voor technisch strikt noodzakelijke doeleinden worden verwerkt, zoals het overbrengen van communicatie.