De Gegevensbeschermingsautoriteit (GBA) heeft een boete van 50.000 euro opgelegd aan Family Service, de onderneming die de “roze dozen” verdeelt. Het bedrijf heeft jarenlang gegevens van meer dan 1 miljoen klanten en hun kinderen gedeeld met zakenpartners, zonder dat ze een geldige toestemming van de klant hadden en zonder daarover voldoende informatie te verstrekken.
Na een klacht startte de GBA een onderzoek naar de praktijken van Family Service. De privacywaakhond stelde daarbij verschillende inbreuken op de GDPR vast. Zo verkocht en/of verhuurde Family Service onder meer persoonsgegevens voor commerciële doeleinden. Deze praktijk werd in de communicatie met de klanten echter niet op een duidelijke en begrijpelijke manier aangegeven. Bovendien wekt het feit dat de dozen verspreid worden via gynaecologen en ziekenhuizen de indruk dat het om een officieel initiatief gaat en niet om een commercieel bedrijf waarvan de kernactiviteit de handel in gegevens is. Dat het bedrijf zichzelf ook voorstelt als een “nationale dienst voor de promotie van kinderartikelen” maakt de verwarring alleen maar groter.
Met de boete van 50.000 euro wil de Gegevensbeschermingsautoriteit een duidelijk signaal geven. Hielke Hijmans, voorzitter van de Geschillenkamer: “Van een onderneming waarvan de kernactiviteit bestaat uit de verwerking (en in dit geval met name de handel) van persoonsgegevens, mag worden verwacht dat zij alles in het werk stelt om de beginselen inzake gegevensbescherming en de regels van de AVG na te leven. Het is van essentieel belang dat de zogeheten data brokers (data handelaars), vanwege hun invasieve businessmodel, volledig transparant te werk gaan zodanig dat de burgers de controle kunnen behouden over hun gegevens. Een onvolledige en misleidende voorstelling van hoe gegevens zullen worden gebruikt, is in strijd met de Belgische en Europese regels over gegevensbescherming. Dit is een belangrijke reden waarom de Geschillenkamer deze relatief hoge sanctie heeft opgelegd.”