LinkedIn is binnen het recruitment domein niet alleen een heel grote vis, en een zo mogelijk nog grotere data grabber:
In 2016 lanceerde LinkedIn Recruiter System Connect (RSC) en dat is het startmoment van LinkedIn’s data grab. Inderdaad, deze praktijk is al tien jaar aan de gang! De hoeveelheid informatie die LinkedIn ondertussen moet hebben verzameld is vrijwel onvoorstelbaar.
Opvallend genoeg is er vanuit de EU slechts oorverdovende stilte te horen, met niet meer dan één (niet-geïnde) boete mbt LinkedIn:
Overtedingen LinkedIn – GDPR Enforcement Tracker
De Ierse DPA publiceerde op 24 oktober hierover de volgende informatie:
This decision relates to a complaint-based inquiry, which was commenced on 20 August 2018, following a complaint made by the French non-profit organisation, La Quadrature Du Net. The complaint was initially made to the French Data Protection Authority and thereafter provided to the DPC in its role as the lead supervisory authority for LinkedIn, which acts as the controller for the processing of personal data at issue.
Verder laat DPC het verhaal ook in een soort infographics zien, waarbij je goed op de pijtljes moet letten:
LinkedIn boete – DPC
Dus, op 20 augustus 2018 begint een onderzoek dat op 22 oktober 2024 uitmondt in een finaal besluit van de DPC. Het heeft meer dan 6 jaar gekost om binnen de burelen van de EU tot een uitspraak te komen… In de tussenliggende tijd heeft LinkedIn overanderd door kunnen gaan met de onrecthmatig bevonden handelingen. En hoewel ik dit niet zeker weet hoeft LinkedIn volgens mij ook nu nog niets te veranderen omdat het bedrijf (via Microsoft) in november 2024 een hoger beroep heeft ingesteld bij de Ierse High Court. Hun belangrijkste argument is dat een boete van €310 miljoen zo hoog is dat het geen ‘administratieve maatregel’ meer is, maar een strafrechtelijke sanctie. Als de rechter hen hierin gelijk geeft, moet de hele procedure opnieuw worden doorlopen, maar dit keer volgens het strafrecht. Zo’n proces kan weer jaren kan duren.
Zolang deze procedure loopt, wordt de betaling opgeschort of in depot gehouden. Het bedrag staat ‘geparkeerd; Microsoft heeft al in 2023 ongeveer $425 miljoen opzijgezet voor deze zaak. Ze hebben het geld dus klaarliggen, maar ze dragen het niet af zolang de rechter geen definitieve uitspraak heeft gedaan.Binnen de EU hoef je een AVG-boete meestal pas daadwerkelijk over te maken als alle beroepsmogelijkheden zijn uitgeput. Dit traject kan, inclusief een eventuele gang naar het Europees Hof van Justitie, nog tot ver in 2027 of 2028 duren.
Dus, een overtreding die wordt geconstateerd in 2018, kan mogelijk 10 jaar na dato nog altijd ongestraft blijven… Een wassen neus, maar dat is mijn oordeel.
Doet onze eigen DPA dan helemaal niets? Nou, dat nou ook weer niet, eind november 2025 was er dit bericht: AP bezorgd over AI-training LinkedIn en roept gebruikers op om instellingen aan te passen. De Autoriteit Persoonsgegevens is bezorgd… En roept gebruikers op om wat te doen. In plaats van zelf actie te ondernemen. Check…