IMY legt Klarna een boete van omgerekend 728.000 euro op. De Zweedse toezichthouder is van mening dat de online betaaldienst op verschillende punten de Algemene Verordening Gegevensbescherming (AVG) overtreedt. Zo attendeerde het bedrijf klanten onvoldoende op het recht om hun gegevens te laten wissen, en met welke landen hun gegevens worden uitgewisseld.
Dat schrijft IMY in een persverklaring.
Klarna wijzigde voortdurend informatie over gegevensverwerking
De privacywaakhond onderzocht hoe Klarna op zijn website klanten informeert over de verwerking van persoonsgegevens. Daaruit blijkt dat de betaaldienst zich op verschillende fronten niet aan de spelregels hield die in de AVG zijn vastgelegd. Om te beginnen wijzigde Klarna voortdurend de informatieverstrekking op de website hoe het bedrijf persoonsgegevens verwerkt.
In het voorjaar van 2020 vertelde de Zweedse betaaldienst volgens IMY niets over het doel waarvoor en op basis van welke juridische grondslag persoonsgegevens werden verzameld en verwerkt. Tevens verstrekte het bedrijf “onvolledige en misleidende informatie” over de partijen die klantgegevens kregen. Diverse Zweedse en buitenlandse kredietinformatiemaatschappijen kregen deze gegevens van Klarna, maar daar was het bedrijf dus niet open en eerlijk over.
Klarna wijst klanten niet op hun privacyrechten
Verder vertelde de Zweedse betaaldienst niets over welke landen buiten de EU persoonsgegevens van het bedrijf ontvingen. Of waar klanten informatie terecht konden voor inlichtingen over de beschermingsmaatregelen die van toepassing zijn bij de doorgifte van persoonsgegevens naar landen buiten de EU.
Tot slot was Klarna niet transparant over de privacyrechten van klanten. In de AVG is onder meer vastgelegd dat mensen het recht hebben om hun gegevens in te zien dat een bedrijf van ze bewaart (recht van inzage). Ook hebben ze recht om hun gegevens aan te passen (recht op rectificatie) en het recht dat het bedrijf hun gegevens wist (recht op vergetelheid).
Vanwege de veelvoud en de ernst van de overtredingen, vindt IMY een boete van omgerekend 728.000 euro op zijn plaats. De Zweedse betaaldienst kan in beroep gaan tegen de boete. Het is onbekend of Klarna dat ook daadwerkelijk doet.
‘Onvoldoende bescherming tegen identiteitsfraude’
IMY is niet de eerste instantie die een onderzoek instelt naar Klarna. In de zomer van 2021 deed de Finansinspektionen hetzelfde. De waakhond onderzocht of de betaaldienst het bankgeheim had geschonden nadat er zich een kortstondig datalek had voorgedaan. Klanten die ingelogd waren zagen een half uur lang niet hun eigen gegevens, maar die van een ander. Dat was het gevolg van een menselijke fout.
Begin vorig jaar claimde de Consumentenbond dat Klarna klanten onvoldoende beschermt tegen identiteitsfraude. De belangenorganisatie ontdekte in september 2020 dat het mogelijk was om via Klarna een bestelling te plaatsen op naam en rekening van een ander. De bestelling werd ondertussen netjes bij de fraudeur thuis bezorgd. Bij het afrekenen vroeg de betaaldienst niet om een wachtwoord. Het invullen van persoonsgegevens was volgens de Consumentenbond voldoende. Ook was er geen vorm van meerfactorauthenticatie.
Daarop besloot Klarna om extra beveiligingsmaatregelen in te voeren, waaronder ‘extra authenticatie’ en ‘hoogwaardige detectietechnologie, interne algoritmes en risicomodellen’ om fraude op te sporen.
Update (13 april 2022): Klarna gaat in beroep tegen de boete van IMY. Daarvoor draagt de betaaldienst twee redenen aan. Allereerst vindt ze het besluit van de Zweedse toezichthouder “dubbelzinnig”. Klarna vindt de tekst en uitleg van de toezichthouder in de door haar beoordeelde versie van het privacybeleid “ontoereikend” om een boete te rechtvaardigen. In de tweede plaats hoopt Klarna meer duidelijkheid te krijgen over de richtlijnen en best practices om naleving van de AVG in de toekomst te waarborgen.
“Wij hebben onze privacyverklaring aanzienlijk verbeterd sinds de versie die door de Zweedse toezichthouder werd beoordeeld, in werking is getreden en daarom is deze beslissing niet langer relevant. We hebben verbeteringen aangebracht op basis van de input van klanten om ervoor te zorgen dat onze privacyverklaring geschikt is voor het beoogde doel en dit is een gebied waarop we input blijven vragen om ervoor te zorgen dat het duidelijk en transparant is voor gebruikers”, aldus Klarna op haar blog.
Europese privacywetgeving bepaalt dat de informatievoorziening naar klanten toe beknopt, transparant en in begrijpelijke en eenvoudige taal is geschreven. “De AVG en nationale toezichthouders hebben echter geen richtlijnen over wat voldoende of onvoldoende is bij het overbrengen van dit soort informatie”, aldus Klarna. De betaaldienst heeft haar privacybeleid sinds de Zweedse toezichthouder haar onderzoek heeft gestart 11 keer aangepast. De conclusies van de privacywaakhond zijn dan ook niet langer actueel.
Hoe is het afgelopen met het beroep van Klarna?
Beste Harry,
In dit nieuwsbericht lees je meer over het beroep van Klarna. Ze hebben uiteindelijk toch de volledige boete moeten betalen.