Klarna moet van het Zweedse bestuurlijke hof van beroep een boete van omgerekend zo’n 671.000 euro betalen voor het schenden van de Algemene Verordening Gegevensbescherming (AVG). De betaaldienst verzaakte om klanten voldoende te informeren over het verzamelen en verwerken van persoonlijke gegevens. Klarna kan nog niet zeggen of ze zich neerlegt bij het boetebesluit.
Dat schrijft het Amerikaanse persbureau Reuters (1).
Bedrijven en organisaties die actief zijn in Europa, zijn volgens de Europese privacywetgeving verplicht om klanten te informeren over hoe ze omgaan met hun gegevens. Ze moeten uitleggen welke gegevens ze verzamelen, voor welke doeleinden ze dat doen, of ze deze data delen met andere partijen en hoelang ze de gegevens opslaan.
Een lagere rechtbank oordeelde afgelopen jaar dat dat Klarna in privacyverklaringen die tussen maart en juni 2020 werden gebruikt, onvoldoende informatie verstrekte aan klanten over hoe hun persoonlijke gegevens werden opgeslagen. Daarvoor moest de Zweedse betaaldienst een boete van 6 miljoen kronen betalen, omgerekend ruim 537.000 euro.
Klarna was het niet eens met het besluit, omdat de privacyverklaringen sindsdien meerdere malen zijn bijgewerkt om te voldoen aan de AVG. Bovendien was er geen verband met de manier waarop het bedrijf gegevens verzamelde of verwerkte. De betaaldienst ging daarom in hoger beroep. Het Zweedse bestuurlijke hof van beroep deed maandag uitspraak in deze zaak.
Het hof stelde dat de boete die de lagere rechtbank oplegde terecht was. Ze voegde eraan toe dat de informatieverstrekking bovendien onduidelijk of moeilijk toegankelijk was. Zodoende verhoogde het hof het oorspronkelijke boetebedrag van 6 miljoen kronen naar 7,5 miljoen kronen, wat neerkomt op zo’n 671.000 euro. Dat is het oorspronkelijke boetebedrag dat de Zweedse gegevensbeschermingsautoriteit eiste.
Of Klarna de privacyboete accepteert of verdere actie onderneemt, is onduidelijk. “We hebben net de beslissing van de rechtbank ontvangen en het is te vroeg om commentaar te geven”, zo zei een woordvoerder van het bedrijf in een reactie tegenover Reuters.
Het is niet de eerste keer dat Klarna een boete opgelegd krijgt voor het overtreden van de AVG (2). In april 2022 oordeelde de Zweedse privacywaakhond IMY dat de financieel dienstverlener voortdurend informatie over gegevensverwerking op de website wijzigde. Informatie over de gegevens die het bedrijf verstrekte aan derden, was bovendien “onvolledig en misleidend”. Tot slot was Klarna niet transparant over de privacyrechten van klanten. Hiervoor kreeg het Zweedse bedrijf een boete van omgerekend 728.000 euro.
Begin 2021 claimde de Consumentenbond dat Klarna klanten onvoldoende beschermt tegen identiteitsfraude (3). De belangenorganisatie ontdekte in september 2020 dat het mogelijk was om via Klarna een bestelling te plaatsen op naam en rekening van een ander. De bestelling werd ondertussen netjes bij de fraudeur thuis bezorgd. Bij het afrekenen vroeg de betaaldienst niet om een wachtwoord. Het invullen van persoonsgegevens was volgens de Consumentenbond voldoende. Ook was er geen vorm van meerfactorauthenticatie.
Naar aanleiding van deze beschuldigingen nam Klarna extra beveiligingsmaatregelen en beloofde ze om slachtoffers van identiteitsfraude te compenseren.
(1) https://www.reuters.com/technology/swedens-klarna-fined-733000-over-data-protection-shortcomings-2024-03-11/
(2) https://www.vpngids.nl/nieuws/klarna-krijgt-boete-van-728-000-euro-voor-overtreden-avg/
(3) https://www.vpngids.nl/nieuws/klarna-beschermt-onvoldoende-tegen-identiteitsfraude/
