‘We hebben weer een telefoongids!’, twitterde Ronald Prins heel gevat zaterdag. Van ruim een half miljard Facebookers zijn naam, geboortedatum, adres, telefoonnummer, geslacht, relatiestatus en voor een deel ook mailadres gelekt. Dit kunner oplichters bijvoorbeeld gebruiken voor de – zotte - telefonische check op identiteit die veel organisaties, zelfs banken, nog hanteren met het noemen van je geboortedatum en woonadres.
Het grootste lek ooit werd bekendgemaakt door Alon Gal, CTO van cybercrimebestrijder Hudson Rock. Hij berichtte al in januari 2020 dat een hacker een Telegram-bot maakte waarmee gebruikers tegen een geringe vergoeding de databank konden doorzoeken en zo de telefoonnummers van de Facebook-accounts kon achterhalen. Toen maakte Motherboard er al gewag van, maar dat viel weinigen op. De data lekten al in 2019 en zijn eerst te koop aangeboden, dus al langer in gebruik bij de Paashaas en andere criminele elementen.
Gegevens van 5,4 miljoen Facebook-deelnemers in Nederland zijn gelekt, ongeveer de helft van het totaal. In de 'Facebook leak checker' kun je met voornaam en achternaam checken of je gegevens zijn gelekt en via benikerbij.nl via het telefoonnummer. De ingeklopte gegevens worden volgens de makers niet opgeslagen.
Massaclaims op komst
Daar komen wellicht een of veel meer rechtszaken van, met een massaclaim. Facebook mag wel een oorlogskas gaan aanleggen, want heeft momenteel in steeds meer landen en staten te kampen met massaclaims. Die zijn mogelijk volgens de databeschermingswet AVG mogelijk zijn en via veel nationale wetten. In Nederland kennen we sinds 1 januari 2020 de Wet afwikkeling massaschade in collectieve actie (WAMCA). Bekend is de zaak versus Salesforce en Oracle.
Een investeerder financiert deze zaak, maar ook in de massaclaim van de Consumentenbond versus Facebook vanwege schending van de AVG blijkt een investeerder betrokken te zijn. De Data Privacy Stichting (DPS) die door de bond wordt gesteund, krijgt geld van het Amerikaanse advocatenkantoor annex premiejager Lieff Cabraser Heimann & Bernstein, die in Nederland Lemstra Van der Korst inhuurt. De investeerder claimt 18 procent van de eventuele opbrengst, maar bij verlies krijgt ze niets.
Het stichtingsbestuur van DPS bestaat uit Dick Bouma, partner van advocatenkantoor Pels Rijcken & Droogleever Fortuijn; Dame Elizabeth Gloster, voormalig Brits rechter, en Ira Rubinstein van het Information Law Institute van de NYU Law School. De Raad van Toezicht wordt gevormd door Ada van der Veer-Vergeer, ervaren bestuurder uit het bedrijfsleven, en Benk Korthals, voormalig minister van Justitie (Kok II) en van Defensie (Balkenende I). Deze personen krijgen een zakcentje voor hun inbreng.
Iedere Facebook-deelnemer kan zich aanmelden en meedelen met de Consumentenbond, ook achteraf nog. Gerekend wordt met tenminste 200 euro voor elk van de 10 miljoen Nederlandse deelnemers die tussen 2010 en 2020 Facebook gebruikten. Deze week begon de zaak met een voorfase vanwege betwiste bevoegdheden door Facebook:
1. De Data Privacy Stichting is niet ontvankelijk;
2. Niet de Nederlandse rechter maar de Ierse rechter is bevoegd, want het Europese hoofdkantoor van Facebook is in Dublin gevestigd;
3. Nederland moet wachten op de uitkomst van de zaak van de Belgische consumentenclub Test Aankoop versus Facebook, voor een schadevergoeding van 200 euro voor 61.000 Belgische deelnemers vanwege het misbruik van hun persoonsgegevens door Cambridge Analytica.
Kassa rinkelt al
Het eerste succes met het aanklagen van Facebook is geboekt. Eind februari 2021 heeft een federale rechter een massaclaim erkend van 650 miljoen dollar, te verdelen door 1,6 Facebook-deelnemers in de staat Illinois (Chicago). Die kunnen elk 345 dollar innen als ze zich uiterlijk 23 november 2020 hadden gemeld. Drie initiatiefnemers krijgen ieder 5.000 dollar. Facebook is ook bijna 100 miljoen aan juridische kosten kwijt.
De schikking is het gevolg van een reeds in 2015 begonnen actie vanwege het schenden van Illinois Biometric Information Privacy Act (BIPA). Facebook maakte sinds 2011 gebruik van gezichtsherkenning om gebruikers op foto’s te kunnen `taggen´, aanvankelijk zonder de benodigde toestemming te vragen noch te verklaren hoe lang de biometrische data werden bewaard.
De biometriewet van Illinois biedt de mogelijkheid van boetes tot 1.000 dollar voor elke nalatigheid en 5.000 dollar voor een bewuste overtreding. Met 7 miljoen Facebook-gebruikers in Illinois had de boete maximaal tot een kleine 50 miljard euro kunnen optellen. De rechter vond deze bedragen niet in verhouding staan tot de geleden schade.
Facebook kan nog het nodige tegemoet zien, maar niet alle zaken eindigen voor Facebook in verlies. Zo loopt een Amerikaanse zaak om gebruik van locatiedata vooralsnog spaak. Inwoner Brett Heeger van California specificeert de klacht niet afdoende. Hij beweert dat Facebook toch locatiedata gebruikt van personen die het volgen van de locatie hebben uitgezet. Facebook doet dit aan de hand van IP-adressen en wifi-signalen, zegt hij.
Inmiddels loopt ook voor de districtsrechtbank van de Northern District of California een zaak van ene Joe Kovacevich in Wisconsin die zijn geluk beproeft met de klacht dat dat Facebook met haar monopolie op de sociale mediamarkt miljoenen consumenten schaadt door middel van ‘roofzuchtig, uitsluitend en concurrentiebeperkend gedrag’.
Facebook verrijkt zich volgens deze klager door marktaandeel te winnen door consumenten ertoe aan te zetten zich bij Facebook aan te sluiten via een patroon van misleiding inzake privacybescherming en commercieel toezicht. Als dit soort schadeclaims wordt toegewezen, gaat Facebook er op termijn aan onderdoor.
Het verdient dus aanbeveling om nog enige tijd op Facebook te blijven gezien de mogelijkheden om mee te delen in de schadevergoedingen die mogelijk worden uitgekeerd. Dat deelnemers aan Facebook voornamelijk hun eigen privacy schenden met hun massale gekakel en delen van foto’s en video’s, doet er even niet toe…
En wie Facebook en het ‘delen’ als ultieme sociale daad altijd heeft gemeden, deelt niet mee en betaalt dan werkelijk een prijs voor privacy…
De auteur wijst fijntjes op de hypocrisie van Facebook-klagers: ze zijn als verstokte rokers die lekker blijven paffen terwijl ze de sigarettenindustrie aan laten klagen. Je kunt hen dat in de toekomst overigens maar beperkt verwijten: onder de Nederlandse WAMCA moet je je als gebruiker zowaar -afmelden - bij de aanklagende juristen.
Je doet namelijk zonder tegenbericht als gebruiker automatisch mee in een massa-aanklacht. De WAMCA heeft een opt-out systeem in plaats van een opt-in systeem. Opt-in werd namelijk te bezwaarlijk geacht voor wie massa wil maken. Hoezo "informationele zelfbeschikking" en waar hebben de aanhangers van "consent" zich geroerd?
Voor een goed begrip: de lopende procedure van Consumentenbond tegen Facebook is niet aangespannen onder WAMCA, dus daar geldt nog wel een opt-in regime. De claims tegen Salesforce en Oracle zetten daar een nieuwe toon. Als de rattenvanger van Hamelen.
Verder zorgt de systematiek voor een "lawyers paradise" met kans op binnenlopen zowel voor degenen die dat op basis van no-cure-no-pay financieren als voor degenen die de klagers en de verdediging bijstaan.
Ik gun een ieder zijn vak en inkomsten naar verdienste, maar de auteur laat scherp zien hoe het urenschrijven al begint met flink rekken van de rechtsgang op basis van procedurele argumenten om de inhoudelijke behandeling zo ver mogelijk uit te stellen.
Intussen gaan de gewraakte praktijken gewoon door, blijft iedereen zijn hebben en houwen, al dan niet met instemming, op Facebook (etc.) gooien en is privacy en nette omgang met gegevens nog steeds het kind van de rekening…Jammer…