Instagram laat je betalen voor iets waar je al recht op hebt: privacy

Ot van Daalen
Gastcorrespondent Technologie
Illustratie door Ibrahim Rayintakath (voor De Correspondent).

Sinds vorig jaar geven Facebook en Instagram gebruikers een keuze. Óf je krijgt de dienst gratis, maar mét gerichte advertenties, óf je betaalt een maandelijks bedrag om niet getrackt te worden. Maar dit gaat voorbij aan een fundamenteel principe: privacy zou geen handelswaar moeten zijn.

Ben je benieuwd hoeveel je privacy waard is? Inmiddels kan je dat heel precies weten: dat is 9,99 euro per maand. Tenminste, Want zo veel kost een abonnement voor die diensten zónder en gerichte advertenties, zónder dat je je privacy weggeeft. Je kunt ook kiezen om de diensten gratis te gebruiken, maar dan trackt het bedrijf je wel, en stemt het advertenties daarop af.

Is 10 euro te veel? Of misschien juist te weinig? Moeilijk te zeggen. Toch is dat precies waar Europese privacytoezichthouders En de uitkomsten van dat onderzoek zijn belangrijk; niet alleen voor de verdienmodellen van bedrijven zoals Meta, maar ook voor het idee dat ‘wel of niet toestemming geven’ door gebruikers überhaupt een goede manier is om privacy te beschermen.

Zonder toestemming mag je de app niet gebruiken

Om dat onderzoek van de privacytoezichthouders beter te begrijpen, moeten we terug in de tijd. Want Meta introduceerde die betaaloptie weliswaar eind 2023 – aan dat besluit gingen flink wat juridische procedures vooraf. Die gingen allemaal over tracking, het maken van gebruikersprofielen op basis van je surfgedrag, en gericht adverteren, het vervolgens tonen van advertenties die zijn afgestemd op dat profiel.

Tracking kan behoorlijke impact hebben op je privacy: Meta leert immers veel over haar gebruikers. Verschillende privacytoezichthouders hebben dan ook in de afgelopen jaren geoordeeld dat Meta haar gebruikers alleen mag tracken als die gebruikers daarvoor

Zo gezegd, zo gedaan: gebruikers van Instagram en Facebook kregen de melding dat ze toestemming moesten geven voor de verwerking van hun gegevens. Als ze dat niet deden, werden ze uitgelogd en konden ze de apps niet gebruiken.

Nu is het punt dat de privacyregels ook aan die toestemming eisen stellen: toestemming moet namelijk ‘vrij’ zijn gegeven. Je moet, met andere woorden, een échte keuze hebben, dus ook de keuze om te weigeren.

Maar heb je wel echt de mogelijkheid om ‘nee’ te zeggen, als dit betekent dat je de dienst niet kan gebruiken? Facebook en Instagram zijn voor sommige gebruikers onmisbaar geworden – denk aan familieleden die aan verschillende kanten van de wereld contact met elkaar onderhouden, en ondernemers die hun producten online verkopen.

Als alle apps op je telefoon zo’n betaalmodel hanteren, zou je bijna 9.000 euro per jaar kwijt zijn

Precies die vraag, of je het leveren van een dienst überhaupt afhankelijk mag maken van toestemming voor tracking als je zo’n groot bedrijf als Meta bent, kwam aan de orde in een andere procedure, bij het Europese Hof van Justitie. De conclusie: toestemming aan Meta kan alleen ’vrij’ worden geacht als Meta haar gebruikers tegelijkertijd een gelijkwaardig alternatief zónder tracking aanbiedt – een privacyvriendelijke optie dus.

Maar het Hof realiseerde zich ook wel dat als je zo een bedrijf dwingt om een privacyvriendelijke optie aan te bieden, het niet voor de hand ligt dat die ook gratis is. Dus knoopte ze daar vervolgens nog een belangrijk zinnetje aan vast – zo’n privacyvriendelijk alternatief kon volgens het Hof ‘in voorkomend geval tegen een passende vergoeding’

Zo blijft toestemming verlenen voor tracking de meest aantrekkelijke optie

Vooral dat laatste zinnetje had veel impact. Want Meta las daarin de rechtvaardiging voor een tweesporenbeleid: óf je geeft toestemming voor tracking, óf je neemt een betaald abonnement zonder tracking. Eind oktober is dat beleid

Toch is daarmee de kous niet af, want juist in dat laatste zinnetje over die ‘passende vergoeding’ zit ook een wereld van juridische procedures besloten. Én ethische discussies, want wat je vindt van die ‘passende’ vergoeding zegt veel over hoe je naar privacy kijkt.

De Europese privacytoezichthouders, verenigd in het Europees Comité voor gegevensbescherming (EDPB), hebben inmiddels toegezegd dat ze hier En als je de Noorse toezichthouder moet geloven, is dat een onderzoek naar een behoorlijk principiële vraag: ‘Dit is een enorme tweesprong: is privacy een fundamenteel recht voor iedereen? Of een luxeartikel voor de rijken? Het antwoord op deze vraag

Europese privacy-ngo’s vroegen de EDPB, die deze vraag dus gaat beantwoorden, in een brandbrief alvast om Ze berekenden hoe rijk mensen eigenlijk moeten zijn om privé te zijn op het internet. Mensen hebben Als al die apps zo’n betaalmodel hanteren, dan zou je volgens hen De ngo’s zijn bang dat de prijs en andere voorwaarden van de privacyvriendelijke variant zo onaantrekkelijk worden gemaakt, dat iedereen uiteindelijk tóch voor het gratis model kiest.

Wat privacy mag kosten? Was dat niet een fundamenteel recht?

Het klinkt principieel – ‘privacy niet alleen voor de rijken’. Maar je kan er ook Want je kan veel zeggen van privacyschurk Meta, één ding is zeker: haar en dat geld moet ergens vandaan komen. Als bedrijf mag je daarvoor natuurlijk een vergoeding vragen. Stel dat Meta alleen een trackingvrije optie zou bieden, dan mag het toch ook zelf bepalen wat dat kost?

Zo bekeken is de vraag een stuk minder principieel, namelijk: wat mag dat dan kosten? Of, in de woorden van het Hof van Justitie: welke vergoeding is ‘passend’? En juist die vraag is nog niet zo eenvoudig te beantwoorden.

Kijk naar het mededingingsrecht. Mededingingstoezichthouders kunnen in Europa al decennia vaststellen dat een bedrijf met een dominante marktpositie te hoge prijzen rekent. Toch En de reden dat het niet zo veel voorkomt, is dat het moeilijk is vast te stellen wat een te hoge prijs is. Terwijl het juist de core business van mededingingstoezichthouders is om

Hoe belangrijker je toestemming binnen het privacyrecht maakt, hoe meer je het privacyrecht onderwerpt aan de druk van de markt

Ondertussen is privacy een fundamenteel recht, geen economisch raamwerk. Het is dan ook niet gek dat privacytoezichthouders nauwelijks economische expertise hebben. En het is eigenlijk onmogelijk om met het privacyrecht in de hand een antwoord te geven op de vraag welke vergoeding passend is voor het abonnement van Meta.

Dat we het hier nu toch over hebben, dat de privacytoezichthouders überhaupt een onderzoek hiernaar doen, heeft te maken met iets anders.

De discussie over Meta’s abonnement richt zich nu namelijk vooral op de vraag hoeveel geld een bedrijf mag verdienen. Terwijl het eigenlijk zou moeten gaan over hoe een bedrijf geld mag verdienen. Met andere woorden: de bezwaren tegen een betaald abonnement zónder tracking, zijn eigenlijk vooral bezwaren tegen de gratis optie, de optie mét tracking.

De belangrijkste reden dat toezichthouders zich toch op het abonnementsmodel zonder tracking richten, is dat ze maar weinig instrumenten hebben om de optie met tracking aan te pakken. En dat komt weer door een weeffout in het privacyrecht, die door de Nederlandse privacytoezichthouder de afgelopen jaren zelfs is omarmd. Dat zit zo.

De toestemmingconstructie is waar het verkeerd gaat

Een belangrijk beginsel van het privacyrecht is dat mensen via toestemming de verwerking van hun persoonsgegevens kunnen goedkeuren, zelfs als die verwerking alles bezien in hun nadeel is. Het is de logica van toestemming als geschikt instrument om privacy te beschermen.

Die logica is gebouwd op vier ideeën. Eén: mensen lezen de pop-ups. Twee: mensen begrijpen wat ze lezen. Drie: als mensen dan op ‘akkoord’ klikken, dan zijn ze ook ‘akkoord’. En vier: mensen kunnen de gevolgen van dat akkoord ook overzien.

Iedere internetter weet dat dit allemaal niet waar is. Neem tracking door cookies. Bedrijven vragen de internetgebruiker via pop-upbanners om toestemming voor tracking. Maar bijna iedereen klikt die dingen En ondertussen bleek uit de onthullingen van klokkenluider Edward Snowden dat ook de Amerikaanse geheime dienst NSA een toepassing waar gebruikers sowieso nooit toestemming voor hadden gegeven.

Toch blijft die logica van toestemming een enorme aantrekkingskracht uitoefenen op toezichthouders. Zo gaat de Autoriteit Persoonsgegevens dit jaar ‘vaker controleren of websites op de juiste manier toestemming vragen voor (tracking) cookies — een kostbare operatie, die je als toezichthouder alleen onderneemt als je denkt dat het eisen van toestemming in de kern een goede manier is om mensen te beschermen.

En ondertussen kiest de Autoriteit Persoonsgegevens voor een beleid dat erop neerkomt dat toestemming voor veel organisaties een

Verschuivende belangen

Hoe belangrijker je toestemming binnen het privacyrecht maakt, hoe meer je het privacyrecht onderwerpt aan de druk van de markt – aan de druk van bedrijven die allerlei economische prikkels hebben om toestemming voor verwerkingen te ontfutselen aan hun gebruikers, ook als die gebruikers dat eigenlijk niet willen. Het is een aanpak waarbij gebruikers het onderspit delven, en, belangrijker, een oplossing die geen recht doet aan het fundamentele rechtelijke karakter van privacy.

In die zin hebben de toezichthouders en ngo’s gelijk. Privacy is inderdaad een grondrecht. Maar daar moet je dan de conclusie uit trekken dat je het in sommige gevallen niet weg kan geven via toestemming.

In plaats daarvan moet het privacyrecht de voorwaarden bepalen, de ondergrens waaraan alle bedrijven moeten voldoen – of ze nu toestemming hebben gekregen voor een verwerking of niet. En een van die voorwaarden is dat het fenomeen van tracking op de schaal van Meta zo problematisch is, zich zo slecht verhoudt met het privacyrecht, dat het Dáár zou de wetgever de grens moeten trekken.

Dan hoeven toezichthouders zich niet te buigen over welk abonnementsmodel door de beugel kan.