Stichting The Privacy Collective begon op 14 augustus een zaak voor de rechtbank Amsterdam, terwijl mySociety later deze maand een zaak aanspant voor de High Court in Londen op grond van de Privacy of Electronic Communications Regulation (PECR).
In beide zaken wordt een te claimen bedrag van 5 miljard euro genoemd, 10 miljard samen. De Nederlandse zaak komt naar verwachting in december 2020 voor. Deelnemers kunnen intekenen op de claim en wellicht in aanmerking komen voor schadevergoeding. De schade wordt begroot op 500 euro per persoon (wat Oracle betreft 100 euro extra vanwege een datalek).
Het bedrag is gebaseerd op een uitspraak van de Raad van State van april 2020, die een patiënt van het Pieter Baan Centrum 500 euro toewees na illegaal datadelen. Voor een individu is de schade te klein om een advocaat te kunnen betalen, in een collectieve actie is het wel mogelijk om voor iedereen een klein bedrag te vorderen. De Stichting biedt handleidingen onderzoeken of er Oracle en/of Salesforce cookies aanwezig op apparatuur is geplaatst. Hoe de identificatie zal plaatsvinden is nog ongewis.
De Britse zaak wordt gedaan door mySociety, in de persoon van hoofdonderzoeker Rebecca Rumbul, tevens toezichthouder bij de Advertising Standards Authority (ASA) in Groot-Brittannië. Zij laakt de geniepigheid van de ingezette technologie. Oracle en Salesforce zijn zeker niet de enigen die met hun DMP op deze wijze datagraaien, maar ze behoren tot de grootste en hebben voldoende middelen om te betalen als de claim wordt toegewezen. De avocaat is Cadwalader.
Harde klachten en ontkenningen
Oracle en Salesforce verzamelen op ieder moment en op grote schaal gegevens van websitebezoekers. Dat doen ze via technologie van Krux Digital, eerder gekocht door Salesforce en BlueKai dat in 2014 onderdeel van Oracle werd. Beide partijen exploiteren een geavanceerd Data Management Platform (DMP) voor het verzamelen van persoonsgegevens voor derde partijen met third party cookies en fingerprinting technologie.
Deze verwerking en profilering van individuen voor het aanbieden van gepersonaliseerde online advertenties via flitsveilingen (Real-Time Bidding) die daarvan het gevolg is, is inzet van de rechtszaken. Volgens de klagers is het delen van de persoonsgegevens met talloze commerciële partijen, zowel adverteerders direct als ad-tech bedrijven die reclame real-time vertonen, illegaal. Gebruikers geven immers geen goed geïnformeerde toestemming voor het delen met derde partijen die volgens de AVG genoemd moeten worden in de privacyverklaringen.
Ondermeer Amazon en Spotify gebruiken de aangeklaagde dataplatforms en zijn als verwerker van de data medeverantwoordelijk, maar zijn zelf niet aangeklaagd. In deze markt gaat zo’n 6 miljard euro mondiaal om. Oracle beweert drie miljard profielen te hebben opgebouwd via 15 miljoen websites. De zaak zal draaien om de vraag of aangeklaagde partijen voldoen aan de informatieplicht en of de profilering met dataopslag illegaal is. Op de achtergrond speelt de vraag of de third party cookiemarkt hard geraakt kan worden op grond van de AVG.
Oracle en Salesforce reageerden fel met de bewering dat ze aan alle privacyregels voldoen. Dorian Daley, chefjurist van Oracle: ‘The Privacy Collective is bewust een ongerechtvaardigde actie begonnen op basis van een opzettelijk verkeerde voorstelling van zaken…Oracle heeft geen directe rol in het real-time biedproces (RTB), heeft een minimale data-operatie in de EU en heeft een uitgebreid GDPR compliance programma.’
Oracle heeft dit eerder uitvoerig geantwoord op vragen van The Privacy Collective, zo blijkt, maar die heeft de rechtszaken doorgezet. Salesforce kwam met de formele verklaring: ‘Niets is belangrijker voor ons dan de privacy en veiligheid van de gegevens van onze zakelijke klanten… Salesforce is het niet eens met de beschuldigingen en is van plan om aan te tonen dat ze ongegrond zijn.’
Kritiek op gehaaide investeerder
Innsworth, een investeerder in juridische claims die eigendom is van het Amerikaanse hedgefonds Elliott, financiert de rechtszaak. Elliott werd door Bloomberg de meest gevreesde investeerder genoemd. Bij succes met de Claim van Privacy Collective int dit bedrijf geen 30 procent van de opbrengst zoals het FD meldde maar via een staffel 25, 15 en 10 procent. Bij 5 miljard zou dat op 11 procent komen volgens Privacy Collective, nog altijd 500 miljoen euro.
500 Euro keer 10 miljoen internetters maakt 5 miljard. Maar het is twijfelachtig of genoemde bedragen worden gehaald. Zo heeft de massaclaim van Consumentenbond tegen Facebook 150.000 intekenaars ondanks het zicht op ‘gratis geld’. Immers, hedenmorgen had Privacy Collectiove een kleine 2.000 steunbetuigingen.
De investering van Innsworth behelst ook betaling voor de zaak. Dat geld gaat eerst naar Christiaan Alberdingk Thijm van bureau Brandeis, een van ’s lands beste advocaten in het digitale domein, die de Nederlandse zaak doet. Tegen FD zei hij over de hoogte van zijn inkomen: ‘Een onderzoeksbudget waar een toezichthouder jaloers op zou zijn.’
Er kwam kritiek van Marleen Stikker van De Waag: ‘Ik vind deze zaak zeer dubieus. Een hedgefund dat 30% van de claim van 5 miljard wil binnenhengelen door op te komen voor digitale burgerrechten met het argument dat persoonlijke data handelswaar is. Kapitalisme ten top.’
Joris van Hoboken van de The Privacy Perspective vindt het debat over deze nieuwe vorm van handhaving van privacyrechten ‘gezond en terecht’ en zegt ook: ‘Onze motieven, d.w.z. de motieven van de stichting zijn niet commercieel (zie ook statuten). Voor de funder ligt dat uiteraard anders, maar met een onafhankelijke stichting zit daar dus een cruciale check op. Ik zou niet betrokken zijn als dat niet zo was.’
Nu is principieel de vraag wat beter is: de belastingbetaler die niets aan jou heeft je salaris laten betalen (socialisme, De Waag) of belanghebbenden die opportunistisch geld willen verdienen aan bestrijding van een misstand (kapitalisme voor deze claim). Het gaat om keiharde datahandel van miljardenbedrijven terwijl Europese consumenten niet genegen zijn bij voorbaat een bedrag te betalen om mee te doen. Dat kan de inbreng rechtvaardigen van ‘vuil kapitaal’ om ‘vuil kapitaal’ te bestrijden. De zaak zal ook duidelijk maken of er een claimcultuur voor databescherming op komst is, waartoe de Nederlandse wet sinds kort mogelijkheden schept.
Nederlandse steun
Privacyclubs Bits of Freedom en Privacy First, provider Freedom Internet en Qiy Foundation voor persoonlijk databeheer hebben hun steun toegezegd, maar worden er bepaald niet rijk van. ‘Omdat wij vinden dat de handel in persoonlijke profielen achter de rug van de consument om het consumentenvertrouwen schaadt. Ieder mens wil controle hebben over zijn eigen leven en zelf beslissen welke gegevens met wie gedeeld worden’, aldus Marcel van Galen van Qiy
Op de website staan als bestuursleden van Privacy Collective genoemd Hugo Hollander van Impact Accountants en Annelies van der Ploeg van advocatenkantoor BarentsKrans en Joris Hoboken. De Raad van Toezicht telt nu twee leden, de juristen Inge-Lisa Toxopeus en Wil Tonkens-Gerkema.
De stichting conformeert zich aan de Claim Code die winstbejag moet uitsluiten. Uit de statuten van de oprichting op 5 augustus 2020 in Amsterdam blijkt dat het bestuur bestaat uit minstens drie leden die het bestuur zelf benoemt, onder goedkeuring van de Raad van Toezicht. Die kan hen belonen voor hun werk en daarover wordt in het jaarverslag gerapporteerd. Het bestuur vertegenwoordigt de stichting, met tenminste twee handelende bestuursleden. De RvT benoemt de eigen leden.
De stichting is opgericht door Jan Willem Broekema, voorheen lid van het bestuur van de voorganger van de Autoriteit Persoonsgegevens. De tweede oprichter is de onafhankelijke rechtswetenschapper Joris van Hoboken van de Vrije Universiteit Brussel (Microsoft-leerstoel), en voorheen werkzaam voor Bits of Freedom.
Voorop gesteld: ik ben voorstander van het recht op collectieve actie zoals de Europese GDPR en de aantrekkelijke Nederlandse WAMCA dat bieden. Ik juich het dan vanuit die optiek ook toe dat deze nieuwe mogelijkheden nu voor het eerst ingezet gaan worden voor privacyclaims.
Behalve dat het een middel is om handhaving beter ‘schaalbaar’ te maken in aanvulling op handhaving door autoriteiten, is het kunnen toekennen van financiële schadevergoeding een instrument dat bedrijven stevig kan aanzetten tot gedragsverandering.
Als voorstander van gegevensbescherming, privacy en bovenal het beschermen van individuen terwijl hun gegevens met hun medeweten verantwoord gebruikt worden, heb ik de hoop en verwachting dat deze instrumenten daar een stevige bijdrage aan kunnen leveren.
Maar: procederen met hoge inzet kost veel doorzettingsvermogen, tijd en geld. Ook als dat door niet-commerciële instellingen als NGO’s, stichtingen of vakbonden gebeurt.
Waar ik niet van gecharmeerd ben is als de benodigde financiering op Angelsaksische leest geschoeid gaat worden, waarbij investeerders of andere commerciële geldschieters een stichting (per definitie zonder winstoogmerk) gaan financieren - of zelfs optuigen - om tussen de 10 en 25 procent van de totale schadevergoeding op te strijken.
Ondanks alle waarborgen in GDPR en WAMCA: uiteindelijk geldt namelijk altijd: wie betaalt, bepaalt. En dan zouden de doelen op gebied van gegevensbescherming en privacy toch nog ondergeschikt kunnen worden aan de belangen van de financiers van de claim of op zijn best terzijde geschoven.
Dat kan bijvoorbeeld door, zoals gebruikelijk, op een schikking aan te sturen waarbij met geld of aandelen geschoven wordt, zonder dat er daadwerkelijk iets structureels verbetert aan de gegevensbescherming of privacy van de betrokkenen.
Het kan ook doordat de claim een domino-effect heeft op zakelijke klanten of afnemers van de gedaagde partij, waarbij de claimfinancier op de eerste rij zit om waardevolle kennis en inzicht op te doen en daar munt uit te slaan.
Ik geef toe: ik weet ook niet of deze zaak zich zo zal ontvouwen, want dit is allemaal nieuw. In elk geval ligt er, wat mij betreft, bij de claim stichtingen en hun supporters een stevige verantwoordelijkheid om de commerciële claimfinancier in de tang te houden. Ik wens de besturen en raden van toezicht daarbij oprecht wijsheid en kracht toe.
Is er een alternatief voor financiering die niet aan de schadevergoeding gekoppeld is? Ik denk het wel. We kennen in Nederland diverse goede doelen stichtingen die gelden ophalen (uit legaten, van schenkingen van bijvoorbeeld internetmiljonairs of van subsidies verstrekt door overheden) en die verdelen volgens een transparante en toetsbare methodiek. Dat, meer Rijnlandse, model inrichten voor privacyclaims lijkt me zeer wel mogelijk. En wenselijk…