/dc-useruploads-images/726ddf2a345a4645b45c02a91cf8ace7.png)
Ben je benieuwd hoeveel je privacy waard is? Inmiddels kan je dat heel precies weten: dat is 9,99 euro per maand. Tenminste, volgens Meta, het moederbedrijf van Facebook en Instagram. Want zo veel kost een abonnement voor die diensten zónder tracking en gerichte advertenties, zónder dat je je privacy weggeeft. Je kunt er ook voor kiezen om de diensten gratis te gebruiken, maar dan trackt het bedrijf je wél, en stemt het advertenties daarop af.
Is 10 euro te veel? En is gratis wel écht gratis? Over die vragen hebben Europese toezichthouders zich onlangs gebogen. De uitkomsten van die onderzoeken zijn belangrijk; niet alleen voor de verdienmodellen van bedrijven zoals Meta, maar ook voor de vraag of ‘wel of niet toestemming geven’ door gebruikers überhaupt een goede manier is om privacy te beschermen. Én voor de vraag of persoonsgegevens een waarde vertegenwoordigen.
Zonder toestemming mag je de app niet gebruiken
Om de onderzoeken van de toezichthouders beter te begrijpen, moeten we terug in de tijd. Want Meta introduceerde de betaaloptie weliswaar eind 2023 – maar aan dat besluit gingen flink wat juridische procedures vooraf. Die gingen allemaal over tracking, over het maken van gebruikersprofielen op basis van surfgedrag en over gericht adverteren (het vervolgens tonen van advertenties die zijn afgestemd op dat profiel).
Tracking kan behoorlijke impact hebben op je privacy: Meta leert daarmee immers veel over zijn gebruikers. Verschillende privacytoezichthouders hebben dan ook in de afgelopen jaren geoordeeld dat Meta zijn gebruikers alleen mag tracken als die gebruikers daarvoor toestemming hebben gegeven.
Zo gezegd, zo gedaan: gebruikers van Instagram en Facebook kregen de melding dat ze toestemming moesten geven voor de verwerking van hun gegevens. Als ze dat niet deden, werden ze uitgelogd en konden ze de apps niet gebruiken.
Nu is het probleem dat de privacyregels ook aan die toestemming eisen stellen: toestemming moet namelijk ‘vrij’ zijn gegeven. Je moet, met andere woorden, een échte keuze hebben, dus ook de keuze om te weigeren.
Maar heb je wel echt de mogelijkheid om ‘nee’ te zeggen, als dit betekent dat je de dienst daarna niet meer kan gebruiken? Facebook en Instagram zijn voor sommige gebruikers onmisbaar geworden – denk aan familieleden die aan verschillende kanten van de wereld contact met elkaar onderhouden, of aan ondernemers die hun producten online verkopen. En hoe zit het eigenlijk als je ‘ja’ zegt? Kan je een dienst wel gratis noemen als je gegevens worden verzameld?
Als alle apps op je telefoon zo’n betaalmodel hanteren, zou je bijna 9.000 euro per jaar kwijt zijn
Die eerste vraag, of je het leveren van een dienst überhaupt afhankelijk mag maken van toestemming voor tracking als je zo’n groot bedrijf als Meta bent, kwam aan de orde in een juridische procedure, bij het Europese Hof van Justitie. De conclusie: toestemming aan Meta kan alleen ‘vrij’ worden geacht als Meta zijn gebruikers tegelijkertijd een gelijkwaardig alternatief zónder tracking aanbiedt – een privacyvriendelijke optie dus.
Maar het Hof realiseerde zich ook wel dat als je zo een bedrijf dwingt om een privacyvriendelijke optie aan te bieden, het niet voor de hand ligt dat die ook gratis is. Dus knoopte het Hof daar vervolgens nog een belangrijk zinnetje aan vast – zo’n privacyvriendelijk alternatief kon ‘in voorkomend geval tegen een passende vergoeding’ worden aangeboden.
Zo blijft toestemming verlenen voor tracking de meest aantrekkelijke optie
Vooral dat laatste zinnetje had veel impact. Want Meta las daarin de rechtvaardiging voor een tweesporenbeleid: óf je geeft toestemming voor tracking en hoeft niet te betalen, óf je neemt een betaald abonnement zonder tracking. Eind oktober is dat beleid uitgerold in Europa.
Toch is daarmee de kous niet af, want juist in dat laatste zinnetje over die ‘passende vergoeding’ zit ook een wereld van juridische procedures besloten. Én ethische discussies, want wat je vindt van die ‘passende’ vergoeding zegt veel over hoe je naar privacy kijkt.
De Europese privacytoezichthouders, verenigd in het Europees Comité voor gegevensbescherming (EDPB), hebben hiernaar onderzoek gedaan. En als je de Noorse toezichthouder moet geloven, was dat een onderzoek naar een behoorlijk principiële vraag: ‘Dit is een enorme tweesprong: is privacy een fundamenteel recht voor iedereen? Of een luxeartikel voor de rijken? Het antwoord op deze vraag bepaalt het internet van de toekomst.’
Europese privacy-ngo’s vroegen de EDPB, die dit onderzoek deden, in een brandbrief om dit soort modellen af te wijzen. Ze berekenden hoe rijk mensen eigenlijk moeten zijn om privé te zijn op het internet. Mensen hebben gemiddeld 35 apps op hun telefoon. Als al die apps zo’n betaalmodel hanteren, dan zou je volgens hen bijna 9.000 euro per jaar kwijt zijn. De ngo’s zijn bang dat de prijs en andere voorwaarden van de privacyvriendelijke variant zo onaantrekkelijk worden gemaakt dat iedereen uiteindelijk tóch voor het alternatieve model kiest.
Wat privacy mag kosten? Was dat niet een fundamenteel recht?
Het klinkt principieel – ‘privacy niet alleen voor de rijken’. Maar je kan er ook anders naar kijken. Want je kan veel zeggen van privacyschurk Meta, één ding is zeker: de infrastructuur van het bedrijf kost geld, en dat geld moet ergens vandaan komen. Als bedrijf mag je daar natuurlijk een vergoeding voor vragen. Stel dat Meta alleen een trackingvrije optie zou bieden, dan mag het toch ook zelf bepalen wat dat kost?
Zo bekeken is de vraag een stuk minder principieel, namelijk: wat mag dat dan kosten? Of, in de woorden van het Hof van Justitie: welke vergoeding is ‘passend’? En juist die vraag is nog niet zo eenvoudig te beantwoorden.
Kijk naar het mededingingsrecht. Mededingingstoezichthouders kunnen in Europa al decennialang vaststellen dat een bedrijf met een dominante marktpositie te hoge prijzen rekent. Toch doen ze dat maar mondjesmaat. En de reden dat het niet zo veel voorkomt, is dat het moeilijk is vast te stellen wat een te hoge prijs is. Terwijl het juist de core business van mededingingstoezichthouders is om economische en financiële afwegingen te maken.
Hoe belangrijker je toestemming binnen het privacyrecht maakt, hoe meer je het privacyrecht onderwerpt aan de druk van de markt
Ondertussen is privacy een fundamenteel recht, geen economisch raamwerk. Het is dan ook niet gek dat privacytoezichthouders nauwelijks economische expertise hebben. En het is eigenlijk onmogelijk om met het privacyrecht in de hand een antwoord te geven op de vraag welke vergoeding passend is voor het abonnement van Meta. De privacytoezichthouders omzeilden die vraag in de conclusies van hun onderzoek dan ook gewiekst: ze concluderen vooral dat platforms zoals Meta gebruikers ‘een echte keuze’ moeten bieden.
Wat dat betekent in de praktijk, daar zeggen ze nauwelijks iets over. De platforms moeten slechts ‘overwegen’ om een privacyvriendelijk alternatief te bieden waarvoor je niet hoeft te betalen, maar ze zijn hiertoe niet verplicht. Dat we het hier nu toch over hebben, dat de privacytoezichthouders hier überhaupt onderzoek naar deden, heeft te maken met iets anders.
De discussie over Meta’s abonnement richt zich nu namelijk vooral op de vraag hoeveel geld een bedrijf mag verdienen. Terwijl het eigenlijk zou moeten gaan over hoe een bedrijf geld mag verdienen. Met andere woorden: de bezwaren tegen een betaald abonnement zónder tracking, zijn eigenlijk vooral bezwaren tegen de optie mét tracking.
De belangrijkste reden dat privacytoezichthouders zich toch op het abonnementsmodel zonder tracking richten, is dat ze maar weinig instrumenten hebben om de optie met tracking aan te pakken. En dat komt weer door een weeffout in het privacyrecht, die door de Nederlandse privacytoezichthouder de afgelopen jaren zelfs is omarmd.
De toestemmingconstructie is waar het verkeerd gaat
Dat zit zo. Een belangrijk beginsel van het privacyrecht is dat mensen via toestemming de verwerking van hun persoonsgegevens kunnen goedkeuren, zelfs als die verwerking alles bezien in hun nadeel is. Het is de logica van toestemming als geschikt instrument om privacy te beschermen.
Die logica is gebouwd op vier ideeën. Eén: mensen lezen de pop-ups. Twee: mensen begrijpen wat ze lezen. Drie: als mensen op ‘akkoord’ klikken, dan zijn ze ook ‘akkoord’. En vier: mensen kunnen de gevolgen van dat akkoord ook overzien.
Iedere internetter weet dat dit allemaal niet waar is. Neem tracking door cookies. Bedrijven vragen de internetgebruiker via pop-upbanners om toestemming voor tracking. Maar bijna iedereen klikt die dingen ongelezen weg door op ‘OK’ te drukken. En ondertussen bleek uit de onthullingen van klokkenluider Edward Snowden dat ook de Amerikaanse geheime dienst NSA diezelfde cookies gebruikte om mensen te tracken, een toepassing waar gebruikers sowieso nooit toestemming voor hadden gegeven.
Toch blijft die logica van toestemming een enorme aantrekkingskracht uitoefenen op toezichthouders. Zo gaat de Autoriteit Persoonsgegevens dit jaar ‘vaker controleren of websites op de juiste manier toestemming vragen voor (tracking) cookies of andere volgsoftware’ − een kostbare operatie, die je als toezichthouder alleen onderneemt als je denkt dat het eisen van toestemming in de kern een goede manier is om mensen te beschermen.
En ondertussen kiest de Autoriteit Persoonsgegevens voor een beleid dat erop neerkomt dat toestemming voor veel organisaties een steeds belangrijkere grond wordt om privégegevens te verwerken.
Verschuivende belangen
Hoe belangrijker je toestemming binnen het privacyrecht maakt, hoe meer je het privacyrecht onderwerpt aan de druk van de markt – aan de druk van bedrijven die allerlei economische prikkels hebben om toestemming voor verwerkingen te ontfutselen aan hun gebruikers, ook als die gebruikers dat eigenlijk niet willen. Het is een aanpak waarbij gebruikers het onderspit delven, en, belangrijker, een oplossing die geen recht doet aan het fundamentele rechtelijke karakter van privacy.
En daarom is het onderzoek van die andere toezichthouders, de consumentenautoriteiten in Europa, zo belangrijk. Die richten namelijk hun pijlen niet op de betaalde variant, maar hebben Meta laten weten dat je een dienst niet ‘gratis’ mag noemen als je betaalt met je persoonsgegevens. Een belangrijke stap in de goede richting, want je maakt hiermee duidelijk dat tracking het probleem is, niet de prijs voor het privacyvriendelijke alternatief. Toch is ook dat nog niet de hele oplossing, want als Meta het alternatief waarbij je niet hoeft te betalen een andere naam geeft, dan mag Meta het nog steeds aanbieden.
Nee, in plaats daarvan moet het privacyrecht de voorwaarden bepalen, de ondergrens waaraan alle bedrijven moeten voldoen – of ze nu toestemming hebben gekregen voor een verwerking of niet, en ongeacht welke naam ze eraan geven. En één van die voorwaarden is dat het fenomeen van tracking op de schaal van Meta zo problematisch is, zich zo slecht verhoudt met het privacyrecht, dat het verboden zou moeten worden. Dáár zou de wetgever de grens moeten trekken.
Dan hoeven toezichthouders zich niet te buigen over welk abonnementsmodel door de beugel kan of hoe dat moet heten.
Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.
Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.
Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!
Je bent niet ingelogd. Log in om andere verhalen te lezen, verhalen op te slaan, bijdragen te lezen en plaatsen, correspondenten te volgen en meer.
Meer lezen?
Baas in eigen cloud – het kan, maar Europa doet het niet
Waarom het beheer van het .nl-domein in Nederland moet blijven
