Ziggo is door het CBP op de vingers getikt, vanwege het bijhouden van kijkgedrag van haar abonnees. De overtredingen zijn voor een groot deel inmiddels gestaakt. Ten aanzien van bepaalde gegevens concludeert het CBP echter dat Ziggo alsnog in overtreding is.
Ziggo verzamelt, aldus het CBP, gegevens over het kijkgedrag van haar abonnees ten aanzien van ‘gewoon’ tv kijken, ten aanzien van Video On Demand en ten aanzien van Pay per Event uitzendingen.
De door Ziggo verzamelde gegevens zijn persoonsgegevens in de zin van de Wet bescherming persoonsgegeven. Het CBP stelt zich op het standpunt dat het daarnaast ook nog eens om gevoelige gegevens gaat, nu op basis van het kijkgedrag een indringend beeld kan worden gevormd van iemands gedrag en belangstelling.
Kijkgedrag lineair tv kijken
Van een deel van haar abonnees verzamelde Ziggo gegevens over het kijkgedrag ten aanzien van ‘gewoon’ digitaal tv kijken. Ziggo’s doel met deze verwerking van persoonsgegevens is het uitvoeren van algemene kijkcijferanalyses. Deze gegevens worden nu nog wel verzameld, maar zijn door een technische maatregel van Ziggo niet langer herleidbaar tot de abonnees zelf.
Kijkgedrag Video on Demand
Van alle klanten die gebruik maakten van Video on Demand van Ziggo, verzamelde Ziggo gegevens over:
· Het unieke product ID van de film of uitzending
· De titels van de opgevraagde films
· Overige metadata, zoals genre en sleutelwoorden
· De transactie, zoals bijvoorbeeld of de transactie is inbegrepen in het abonnement of niet.
Ziggo gebruikte deze gegevens voor marketingdoeleinden, zoals het doen van persoonlijke aanbiedingen op basis van het kijkgedrag. Het CBP concludeert dat Ziggo voor deze verwerking van gevoelige persoonsgegevens zich alleen kan beroepen op de toestemming van de betrokkene. Een beroep op het gerechtvaardigd belang van Ziggo ging niet op, omdat Ziggo niet de benodigde waarborgen had ingebouwd om de inbreuk op de persoonlijke levenssfeer van de abonnees te mitigeren. Met name informeerde Ziggo gebruikers niet voldoende en was er geen adequate opt-out mogelijkheid. De belangenafweging viel dan ook in het nadeel van Ziggo uit.
Ziggo vroeg naar eigen zeggen wel toestemming voor deze verwerking. Dat bleek echter niet het geval, omdat abonnees alleen een akkoord knop kregen te zien, en niet op dat moment al konden aangeven dat ze geen toestemming gaven. Dat is geen specifieke en vrij gegeven toestemming, zoals wel nodig is op grond van de wet. Dat Ziggo verwees naar een mogelijke opt-out, was niet voldoende om toch te kunnen spreken van toestemming in de zin van de toepasselijke wet.
Deze inbreuk heeft Ziggo overigens nog niet beëindigd. Ziggo heeft weliswaar een ‘Niet Akkoord’-knop toegevoegd, maar de informatievoorziening daarbij is nog niet voldoende, en deze vraag wordt niet opnieuw aan alle bestaande abonnees voorgelegd.
Het blijkt maar weer dat het ingewikkeld is voor een bedrijf om op een goede manier met de privacy van klanten om te gaan. Aan de ene kant weet de legal afdeling misschien wel wat er wel en niet is toegestaan op het gebied van gegevensverzameling en –analyse, maar aan de andere kant is er ook de wens van een sales en marketingafdeling om de grens van het toelaatbare op te zoeken in de zoektocht naar meer omzet of een hogere conversie.
Lees het hele rapport hier.