IMY legt Klarna een boete van omgerekend 728.000 euro op. De Zweedse toezichthouder is van mening dat de online betaaldienst op verschillende punten de Algemene Verordening Gegevensbescherming (AVG) overtreedt. Zo attendeerde het bedrijf klanten onvoldoende op het recht om hun gegevens te laten wissen, en met welke landen hun gegevens worden uitgewisseld. Dat schrijft IMY in een persverklaring.
De privacywaakhond onderzocht hoe Klarna op zijn website klanten informeert over de verwerking van persoonsgegevens. Daaruit blijkt dat de betaaldienst zich op verschillende fronten niet aan de spelregels hield die in de AVG zijn vastgelegd. Om te beginnen wijzigde Klarna voortdurend de informatieverstrekking op de website hoe het bedrijf persoonsgegevens verwerkt.
In het voorjaar van 2020 vertelde de Zweedse betaaldienst volgens IMY niets over het doel waarvoor en op basis van welke juridische grondslag persoonsgegevens werden verzameld en verwerkt. Tevens verstrekte het bedrijf “onvolledige en misleidende informatie” over de partijen die klantgegevens kregen. Diverse Zweedse en buitenlandse kredietinformatiemaatschappijen kregen deze gegevens van Klarna, maar daar was het bedrijf dus niet open en eerlijk over.
Verder vertelde de Zweedse betaaldienst niets over welke landen buiten de EU persoonsgegevens van het bedrijf ontvingen. Of waar klanten informatie terecht konden voor inlichtingen over de beschermingsmaatregelen die van toepassing zijn bij de doorgifte van persoonsgegevens naar landen buiten de EU.
Tot slot was Klarna niet transparant over de privacyrechten van klanten. In de AVG is onder meer vastgelegd dat mensen het recht hebben om hun gegevens in te zien dat een bedrijf van ze bewaart (recht van inzage). Ook hebben ze recht om hun gegevens aan te passen (recht op rectificatie) en het recht dat het bedrijf hun gegevens wist (recht op vergetelheid).
Vanwege de veelvoud en de ernst van de overtredingen, vindt IMY een boete van omgerekend 728.000 op zijn plaats. De Zweedse betaaldienst kan in beroep gaan tegen de boete. Het is onbekend of Klarna dat ook daadwerkelijk doet.
IMY is niet de eerste instantie die een onderzoek instelt naar Klarna. In de zomer van 2021 deed de Finansinspektionen hetzelfde. De waakhond onderzocht of de betaaldienst het bankgeheim had geschonden nadat er zich een kortstondig datalek had voorgedaan. Klanten die ingelogd waren zagen een half uur lang niet hun eigen gegevens, maar die van een ander. Dat was het gevolg van een menselijke fout.
Begin vorig jaar claimde de Consumentenbond dat Klarna klanten onvoldoende beschermt tegen identiteitsfraude. De belangenorganisatie ontdekte in september 2020 dat het mogelijk was om via Klarna een bestelling te plaatsen op naam en rekening van een ander. De bestelling werd ondertussen netjes bij de fraudeur thuis bezorgd. Bij het afrekenen vroeg de betaaldienst niet om een wachtwoord. Het invullen van persoonsgegevens was volgens de Consumentenbond voldoende. Ook was er geen vorm van meerfactorauthenticatie.
Daarop besloot Klarna om extra beveiligingsmaatregelen in te voeren, waaronder ‘extra authenticatie’ en ‘hoogwaardige detectietechnologie, interne algoritmes en risicomodellen’ om fraude op te sporen.