De Commission Nationale de l’Informatique et des Libertés (CNIL) heeft Discord een boete van 800.000 euro opgelegd. Na onderzoek concludeert de Franse toezichthouder dat het platform gegevens van inactieve accounts te lang bewaarde. Ook het wachtwoordbeleid was niet in orde. Inmiddels voldoet Discord wel aan de Europese privacywetgeving.
Dat laat CNIL weten in een persbericht (1).
Discord is een platform dat voornamelijk door gamers wordt gebruikt om met anderen te chatten. Dat gebeurt via tekst en spraak in zogeheten videokamers. Het hoofdkantoor is gevestigd in de Verenigde Staten.
De Franse toezichthouder heeft geconstateerd dat Discord diverse Europese privacyregels heeft overtreden. Om te beginnen had het platform geen data-retentiebeleid, oftewel een beleid voor het bewaren van gebruikersgegevens. Het bedrijf had gegevens van 2.474.000 Franse gebruikers in haar database die al drie jaar niet meer gebruikt waren. Daarnaast waren er 58.000 accounts die ten minste vijf jaar inactief waren. Dat is in strijd met artikel 5.1.e van de Algemene Verordening Gegevensbescherming (AVG).
CNIL meldt dat Discord inmiddels wel een geschreven data-retentiebeleid heeft. Daarin staat onder meer dat accounts die twee jaar inactief zijn worden verwijderd.
CNIL had ook kritiek op het wachtwoordbeleid van Discord. Gebruikers die een account aanmaakten op het gamingplatform, konden enkel een wachtwoord van zes karakters instellen. Een wachtwoord met slechts zes tekens is volgens de privacywaakhond niet goed genoeg om de gegevens van gamers te beschermen, wat in strijd is met artikel 32 AVG. Voortaan moeten gebruikers een wachtwoord van minimaal acht karakters opgeven. Na tien mislukte inlogpogingen verschijnt er een CAPTCHA in beeld die opgelost moet worden om te kunnen inloggen.
Een gamer die was ingelogd op een voicekanaal en de applicatie afsloot door op he X-icoontje rechtsboven in de hoek te drukken, was in werkelijkheid nog altijd actief. Dat komt omdat de applicatie ongemerkt op de achtergrond bleef draaien. Daarmee heeft Discord gamers op het verkeerde been gezet. Het platform had gebruikers moeten informeren dat hun stem nog steeds gehoord kon worden door anderen. Dat is in strijd met artikel 25.2 AVG.
Gebruikers die voor de eerste keer op het X-icoontje drukken, krijgen voortaan een pop-upvenster te zien. Daarin vertelt Discord ze dat het mogelijk is om in te stellen dat de applicatie volledig wordt afgesloten als ze op deze knop drukken.
Tot slot vond het gamingplatform het niet nodig om een Data Protection Impact Assessment (DPIA) of gegevensbeschermingseffectbeoordeling uit te voeren. CNIL was het daar niet mee eens, omdat Discord grote hoeveelheden persoonsgegevens verwerkt, vooral van minderjarigen. Artikel 35 AVG stelt dat bedrijven en organisaties dan verplicht zijn om een analyse uit te voeren. Inmiddels heeft het platform meerdere DPIA’s uitgevoerd en geconcludeerd dat er geen individuele rechten en vrijheden worden geschonden.
Vanwege deze overtredingen vond CNIL het passend en proportioneel om een boete van 800.000 euro op te leggen aan Discord. Het bedrag van de boete werd bepaald op basis van de vastgestelde inbreuken en het aantal betrokken personen. De Franse toezichthouder hield rekening met de inspanningen die het bedrijf tijdens de het onderzoek leverde om te voldoen aan de Europese privacyregels “en het feit dat zijn bedrijfsmodel niet gebaseerd is op de exploitatie van persoonsgegevens”.
https://www.cnil.fr/en/discord-inc-fined-800-000-euros
