Aanleiding voor de zaak tegen Twoo was de intussen stopgezette praktijk waarbij het sociaal netwerk zijn leden uitnodigde om vrienden of contacten toe te voegen. Als een gebruiker daarmee akkoord ging, verzamelde Twoo de namen en telefoonnummers van die personen om hen uit te kunnen nodigen om zich ook te registreren.

'Vergelijken en vergeten'

De Geschillenkamer van de GBA oordeelde echter dat de praktijk de GDPR schendt. Twoo mag de persoonsgegevens van niet-gebruikers niet opslaan om ze verder te verwerken met het oog op het versturen van een uitnodiging. Wel zou het platform ze kortstondig mogen verwerken voor een compare & forget-actie, waarbij al bestaande gebruikers uit de contactgegevens worden geselecteerd. Maar zelfs wat dat laatste betreft, ging Twoo volgens de GBA aanvankelijk in de fout. Het platform vroeg tot midden juli 2019 de toestemming aan gebruikers om uitnodigingen te e-mailen via vooraf aangevinkte vakjes. Ook dat is in strijd met de regels, luidt het.

In een reactie zegt CEO Joost Roelandts dat Twoo het 'grondig oneens' is met de beslissing. 'Er werd absoluut geen rekening gehouden met onze duidelijke procedures rond het verzamelen van de toestemming van onze leden. Die voldeden volledig aan de strenge toestemmingsvereisten van de GDPR', stelt hij.

Ook boete voor DKV

Naast Twoo legde de GBA ook een boete van 50.000 euro op aan DKV. Dat deed de privacywaakhond wegens een gebrek aan transparantie in de privacyverklaring van de verzekeringsmaatschappij. Het bedrijf benadrukt dat de GBA heeft aangegeven dat de gezondheidsgegevens van verzekerden niet zijn gebruikt voor doeleinden die niet zijn toegestaan.

De verzekeraar laat verder weten 'het grootste belang' te hechten aan privacybescherming en ziet de beslissing als 'een belangrijk signaal om de transparantie' te verbeteren. DKV zal zijn privacyverklaring naar eigen zeggen aanpassen waar nodig.

Aanleiding voor de zaak tegen Twoo was de intussen stopgezette praktijk waarbij het sociaal netwerk zijn leden uitnodigde om vrienden of contacten toe te voegen. Als een gebruiker daarmee akkoord ging, verzamelde Twoo de namen en telefoonnummers van die personen om hen uit te kunnen nodigen om zich ook te registreren.De Geschillenkamer van de GBA oordeelde echter dat de praktijk de GDPR schendt. Twoo mag de persoonsgegevens van niet-gebruikers niet opslaan om ze verder te verwerken met het oog op het versturen van een uitnodiging. Wel zou het platform ze kortstondig mogen verwerken voor een compare & forget-actie, waarbij al bestaande gebruikers uit de contactgegevens worden geselecteerd. Maar zelfs wat dat laatste betreft, ging Twoo volgens de GBA aanvankelijk in de fout. Het platform vroeg tot midden juli 2019 de toestemming aan gebruikers om uitnodigingen te e-mailen via vooraf aangevinkte vakjes. Ook dat is in strijd met de regels, luidt het. In een reactie zegt CEO Joost Roelandts dat Twoo het 'grondig oneens' is met de beslissing. 'Er werd absoluut geen rekening gehouden met onze duidelijke procedures rond het verzamelen van de toestemming van onze leden. Die voldeden volledig aan de strenge toestemmingsvereisten van de GDPR', stelt hij.Naast Twoo legde de GBA ook een boete van 50.000 euro op aan DKV. Dat deed de privacywaakhond wegens een gebrek aan transparantie in de privacyverklaring van de verzekeringsmaatschappij. Het bedrijf benadrukt dat de GBA heeft aangegeven dat de gezondheidsgegevens van verzekerden niet zijn gebruikt voor doeleinden die niet zijn toegestaan.De verzekeraar laat verder weten 'het grootste belang' te hechten aan privacybescherming en ziet de beslissing als 'een belangrijk signaal om de transparantie' te verbeteren. DKV zal zijn privacyverklaring naar eigen zeggen aanpassen waar nodig.