Bedrijven volgen je bij elke klik. Deze rechtszaak moet daar een einde aan maken
Nederlandse juristen en privacyorganisaties slepen twee grote internetbedrijven voor de rechter wegens hun rol in het veilen van onze data voor gepersonaliseerde advertenties. Hun schadeclaim: ruim 10 miljard. Krijgen ze gelijk, dan zet dat de hele online advertentie-industrie op zijn kop.
Iedere dag vindt er tientallen keren een klein wonder plaats als je op internet zit. Stel, je gaat naar NU.nl. Op het moment dat de pagina laadt, gaat er een signaal naar een online veilingplatform waar adverteerders kunnen bieden om jou een advertentie te laten zien.
Om ze bij hun bod te helpen (is het relevant om jou te targeten?), krijgen ze van het veilingplatform informatie over welke pagina en site je bezoekt, je locatie, je browser en besturingssysteem, IP-adres en een aantal unieke codes (cookies) waarmee je eventueel kan worden geïdentificeerd.
Als die adverteerders nog steeds niet genoeg informatie hebben, kunnen ze terecht bij een aantal gespecialiseerde datahandelaren. Dit zijn de stofzuigers van het internet die al jouw datakruimels verzamelen. Ze volgen je dag in, dag uit over vrijwel alle grote websites. Ze wisselen data uit met andere online advertentiebedrijven en datahandelaren. Ook kopen ze offline data op, bijvoorbeeld wat je in de supermarkt hebt gekocht of betalingen die je met een creditcard hebt gedaan.
Op basis van al die datakruimels maken ze een gedetailleerd profiel van jou – wat voor soort consument je bent, wat je interesses zijn. En die profielen verkopen ze door aan adverteerders.
Gewapend met deze profielen bieden die tegen elkaar op op het veilingplatform. De winnaar mag de advertentie leveren. En op het moment dat NU.nl is geladen en je met lezen kunt beginnen, is dat hele veilingsproces, waar tientallen bedrijven bij betrokken zijn, alweer ten einde.
Een flitsveiling in de spanne van een hartslag, waar je helemaal niets van merkt.
'Een zaak die betrekking heeft op alle Nederlanders'
Dit wonderbaarlijk vernuftige proces heet real-time bidding (RTB) en is wijdverbreid. Verschillende marktonderzoeken* schatten dat er binnen de komende drie tot vier jaar ongeveer 25 miljard euro in deze datahandel zal omgaan.
Als het aan de nieuwe Nederlandse stichting The Privacy Collective* en enkele belangenorganisaties ligt, wordt die verwachte omzet nooit gehaald.
In een dagvaarding,* die begin deze week is gepubliceerd, eisen ze ruim 10 miljard euro schadevergoeding van Salesforce en Oracle, twee grote datahandelaren. Deze multinationals verdienen miljarden met datahandel op veilingplatformen. En ze eisen dat deze bedrijven met deze datahandel voor flitsveilingen stoppen. Later deze maand wordt in Engeland een soortgelijke zaak gestart.
Volgens bureau Brandeis, het advocatenkantoor dat de zaak voert, gaat het hier om ‘de grootste onrechtmatige gegevensverwerking in de geschiedenis van het internet’, die betrekking heeft op ‘alle Nederlanders’ en ‘onbeperkt is in tijd’. De zaak wordt daarom namens 10 miljoen Nederlandse internetgebruikers aangespannen, daarover zo dadelijk meer.
De advocaten beschuldigen Salesforce en Oracle ervan:
- gedetailleerde profielen van vrijwel alle internetters te maken op basis waarvan geautomatiseerde beslissingen worden genomen;
- geen toestemming te vragen om cookies te plaatsen;
- niet transparant te zijn over de persoonsgegevens die ze verzamelen en wat ze daarmee doen en hoe ze die met anderen delen;
- meer persoonsgegevens te verzamelen en te verwerken dan nodig is;
- en persoonsgegevens te gebruiken voor andere doeleinden dan waarvoor ze oorspronkelijk zijn vergaard, die gegevens niet goed te beveiligen en beschikbaar te maken in landen waar geen goede privacybescherming is.
Kortom, Salesforce en Oracle zouden in strijd handelen met de Algemene Verordening Gegevensbescherming, de vergaande privacywetgeving die twee jaar geleden van kracht is geworden.
Zonder dat je het weet komt jouw informatie op veel plekken terecht
Of hier inderdaad sprake is van ‘de grootste onrechtmatige gegevensverwerking in de geschiedenis van het internet’, durf ik niet te zeggen, maar al langer wordt door academici en activisten gewaarschuwd voor de grote hoeveelheid data die bij real-time bidding verzameld en uitgewisseld wordt.
Bedrijven in de advertentiesector schuiven de verantwoordelijkheid voor het verzamelen en verwerken van de data op elkaar af
Niet alleen wordt er veel informatie tussen advertentiepartijen uitgewisseld, ook zijn er heel veel bedrijven, soms wel honderden, aangesloten bij die veilingplatforms, zodat jouw informatie op potentieel veel plekken terechtkomt, zonder dat je daar iets van weet, laat staan iets over te zeggen hebt. Niet voor niets regent het de laatste jaren klachten bij Europese en Amerikaanse privacytoezichthouders.
Maar waarom worden dan alleen Salesforce en Oracle gedaagd en niet bijvoorbeeld Google en Facebook – nog veel grotere dataslurpers?
Desgevraagd noemt Christiaan Alberdingk Thijm van bureau Brandeis drie redenen. De eerste is dat toezichthouders al boven op de echte grote en bekende bedrijven zitten, zoals dus Google en Facebook, terwijl Salesforce en Oracle ook heel groot zijn, zonder dat ze bekend zijn bij het grote publiek.
De tweede reden is dat beide bedrijven de afgelopen jaren doelbewust heel veel data- en marketingbedrijven hebben opgekocht en dus een hele gerichte strategie hebben ontwikkeld om met deze datahandel verder te groeien.
Tot slot, zo vindt Alberdingk Thijm, schuiven bedrijven in deze advertentiesector de verantwoordelijkheid voor het verzamelen en verwerken van de data op elkaar af. Ze presenteren zich vaak als een radertje in een grote machine. Dat moet ergens een keer stoppen, aldus de advocaat.
Nieuw: massaschade regelen via een collectieve rechtszaak
De zaak tegen Salesforce en Oracle gaat dus nog een stap verder dan een simpele klacht en is mogelijk door een nieuwe wet die dit jaar van kracht is geworden: de Wet afwikkeling massaschade in collectieve actie (WAMCA). Hiermee is het mogelijk om in Nederland zogenoemde class-action lawsuits, oftewel collectieve rechtszaken, te voeren.
In plaats van dat je als gedupeerde zelf een rechtszaak moet beginnen om je recht te halen, kan een collectief dat doen. In dit geval is dat stichting The Privacy Collective. Als die stichting hard kan maken namens alle gedupeerden te spreken, kan die een zaak voeren en een schadevergoeding eisen en, indien toegekend, verdelen.
De stichting eist van elk bedrijf 500 euro schadevergoeding per gedupeerde internetgebruiker, in dit geval afgerond op 10 miljoen Nederlanders. Die 10 miljoen is gebaseerd op het maximaal aantal unieke bezoekers op Nederlandse sites (bol.com in dit geval) die door Salesforce en Oracle worden gevolgd. Van Oracle wordt nog een extra 100 euro per persoon geëist vanwege een datalek in juni van dit jaar, waarbij gedetailleerde profielen van internetgebruikers publiek toegankelijk bleken.*
Is dit niet erg veel? Op basis van eerdere rechtszaken denkt Alberdingk Thijm van niet. In een recente uitspraak van de Raad van State werd in een minder ernstig geval van privacyschending hetzelfde bedrag toegekend aan de gedupeerde.* Bij elkaar is het natuurlijk een enorm bedrag, erkent de advocaat, maar dat is naar zijn smaak ook de enige manier om gedragsverandering bij grote multinationals af te dwingen.
Oracle reageert geprikkeld op de dagvaarding. ‘The Privacy Collective heeft opzettelijk een niet-gefundeerde actie gestart op basis van een onjuiste voorstelling van de feiten. Oracle [heeft] geen directe rol in het proces van real-time bidding (RTB), heeft (...) een minimale data footprint in de EU en heeft (...) daarnaast een uitgebreid AVG-nalevingsprogramma’, zegt Oracle bij monde van General Counsel Dorian Daley. Bij Salesforce was deze week geen woordvoerder bereikbaar voor commentaar.
De komende maanden kunnen andere organisaties en eventuele gedupeerden zich voegen als belanghebbende bij de zaak. Vermoedelijk zal er in december een inhoudelijke zitting plaatsvinden.
Drie redenen waarom deze zaak nu al interessant is
Wat de uitkomst wordt, is natuurlijk nog onbekend, maar de zaak is nu al om een aantal redenen interessant.
Ten eerste is het een test hoe dit soort collectieve rechtszaken in Nederland gaan werken. In deze vorm is het nieuw en er zijn nog niet veel zaken die op deze manier gevoerd worden.
Als het inderdaad onrechtmatig is wat Salesforce en Oracle doen, dan geldt dat ook voor bedrijven als Google en Facebook
Ten tweede zou een overwinning verstrekkende gevolgen hebben voor de hele advertentie-industrie. Als het inderdaad onrechtmatig is wat Salesforce en Oracle doen, dan geldt dat voor alle bedrijven die zich met dit soort datahandel bezighouden, bedrijven als Google en Facebook. Die grote multinationals zouden dan heel anders moeten gaan opereren in de Europese Unie.
Daarnaast is deze zaak weer bewijs dat de Europese privacywetgeving, in combinatie met het massaal kunnen procederen, tanden begint te krijgen. Het zijn niet alleen toezichthouders die grote bedrijven bij de les houden, maar in toenemende mate, zo lijkt het, ook burgers die via de nationale rechter, al dan niet opklimmend naar het Europese Hof, handhaving afdwingen.
Afgelopen april nog torpedeerde Max Schrems, een Oostenrijkse privacy-activist, via de rechtszaal een belangrijk privacyverdrag tussen de EU en de Verenigde Staten, het zogenoemde Privacy Shield.* Dit betekent dat weer heel kritisch moet worden gekeken onder welke voorwaarden Amerikaanse bedrijven onze data mogen gebruiken. Dat wordt in ieder geval niet soepeler.
Zo langzaamaan kunnen dit soort rechtszaken ertoe leiden dat privacy in Europa steeds beter beschermd wordt en de macht van grote multinationals weer wat ingeperkt wordt. We zijn daarvoor steeds minder afhankelijk van onderbezette privacytoezichthouders. Ook burgers en belangenorganisaties kunnen immers via de rechter handhaving afdwingen.
Het is een zeer ambitieuze rechtszaak, maar de inzet is dan ook hoog. Kortom: eentje om nauw te blijven volgen.
Update 09:07. Verduidelijkt dat de Algemene Verordening Gegevensbescherming voor heel Europa geldt.
Meer weten?
Zes jaar geleden alweer publiceerden we een serie over online adverteren, waaronder ook een stuk over real-time bidding. Dat stuk is nog verrassend actueel. De bedragen die erin omgaan zijn inmiddels wat hoger en de praktijk lijkt vaker voor te komen. Daarnaast is een aantal genoemde bedrijven inmiddels overgekocht door onder meer Salesforce en Oracle. Hieronder vind je de stukken.