Consumentenbond wil dat Facebook gebruikers compenseert voor schenden privacy

De Consumentenbond en de Data Privacy Stichting hebben Facebook gedagvaard in een poging om het socialenetwerkbedrijf te dwingen gebruikers te compenseren voor het schenden van hun privacy. Dat meldde Tweakers dinsdag. Deelname is gratis, wel wordt 18% van de toe te kennen schadevergoeding aan een advocatenkantoor betaald dat op no-cure-no-pay basis (of nou ja, niet helemaal) de zaak doet. De exacte dagvaarding kan ik nog niet vinden maar de kern is natuurlijk geen toestemming (grondslag) en geen verplichte informatieverstrekking onder de AVG. Ik zeg #teamConsumentenbond.

De AVG is er natuurlijk al sinds 2018 maar de reden dat de Bond nu pas deze stap maakt, is dat het pas sinds kort mogelijk is om een massaclaim met schadevergoeding te brengen bij de Nederlandse rechter (art. 3:303a BW). Tot die tijd had de Bond alleen een verbod kunnen eisen, maar dat schiet niet zo op want dat zal Facebook niet echt pijn doen. Dan verzinnen ze weer wat nieuws. Een schadeclaim, en vooral heel veel vervolgclaims vanuit de rest van Europa, dát doet pijn.

Had dit nu niet beter via de toezichthouder kunnen gaan? Die is natuurlijk al naar Facebook aan het kijken en ik zie daar ook echt wel boetes vandaan komen. Alleen, het is voor de AP lastiger om een boete op te leggen dan voor de Consumentenbond om een schadeclaim te doen. Een boete vereist een heel bestuursrechtelijk traject: inspraak, reacties, concepten, toetsing aan boetekaders en richtlijnen, zorgvuldige besluitvorming et cetera. Dat duurt naar zijn aard twee jaar. (Plus AVG-gedoe over de competente leidende toezichthoudende autoriteit, juristen krijgen hoofdpijn van deze wetsartikelen, artsen staan versteld).

Terwijl een schadeclaim bij de burgerlijke rechter gewoon een jaartje is met een paar rondes verweerschriften en repliek/dupliek en dan een uitspraak. De onderbouwing kan makkelijker: een boete moet je gedetailleerd motiveren, de schadevergoeding kan -in theorie- zijn “wat uwedelachtbare billijk acht (artikel 6:97 BW)”. En ja, het grote probleem is natuurlijk dat de Bond geen harde getallen op de schade kan zetten. Wat is je schade doordat Facebook je profiel blootstelde aan rare advertenties of politieke manipulatie? Inderdaad, laat ik ook liever aan de dikke duim, pardon het rechtsgevoel van de rechter. Maar denk aan 50 tot 100 euro.

Per persoon ja. En we hebben in Nederland iets van 14 miljoen volwassenen die dus kwalificeren als consument. Ook Facebook vindt iets van 14 miljoen maal 50 euro, zeker als er een dwangsom achteraan komt én andere consumentenbonden deze zelfde claim btrengen vanuit hun land. (Dit is meer dan de 10,4 miljoen Nederlandse Facebookgebruikers want daar zitten ook minderjarigen tussen en bovendien volgt Facebook je ook als je geen lid bent.)

Het voornaamste voor mij is dat dit volgens mij is hoe de AVG moet werken. Toezichthouders zijn leuk en aardig maar naar hun aard te grofmazig en traag om elke overtreding aan te pakken. Massaal kleinschalig handhaven werkt veel beter (daarom was ik ook zo blij met die Belgen). Het kan natuurlijk uit de hand lopen – lees daarvoor mijn World of 2K38 of voorinteken voor de graphic novel.

Arnoud

15 reacties

  1. @Arnoud

    Aangezien we het hier hebben over het volgen van bezoekers: Nu er een correlatie bestaat tussen lezers van deze blog en lezers van World of 2K38, kun je aangeven of je iets met die informatie van plan bent te gaan doen (en wat)? 🙂

    1. Vraag is of Arnoud deze mogelijke correlatie daadwerkelijk analyseert, of zelfs maar de mogelijkheid heeft om die analyse te doen (qua beschikbaarheid van onderliggende data -> bezoekers World of 2K38 loggen?) . Zolang die analyse niet plaatsvindt heeft Arnoud die informatie niet.

      PS. World of 2K38 is ook een beetje een horrorverhaal, in 2035 blijkt de EU nog te bestaan…Angstzweet!

      1. Ik verwacht niet dat Arnoud er iets mee gaat doen, zelfs als hij er bij zou kunnen. Feit is echter wel dat uit de access log van World of 2K38 page access gelinked kan worden aan referrer informatie, en daarmee dus een verbinding gelegd kan worden tussen bezoekers van deze blogpost en vervolgbezoeken aan World of W2K38.

        Wat ik hiermee wilde illustreren is dat het niet altijd evident is wanneer en hoe surfgedrag gevolgd kan worden. Dit sluit denk ik redelijk goed aan op de opmerking die Arnoud plaatste in de blogpost hierboven over non-facebook gebruikers die toch gevolgd worden. Dit maakt ook dat het niet altijd evident is of er uberhaupt data geregistreerd/geanalyseerd wordt. En daar waar het niet zichtbaar is zal de kans ook kleiner zijn dat er iets aan zal/kan worden gedaan.

        In het geval van Facebook is het duidelijk, dus daar wordt werk van gemaakt…

        1. […] opmerking die Arnoud plaatste in de blogpost hierboven over non-facebook gebruikers die toch gevolgd worden. Dit maakt ook dat het niet altijd evident is of er uberhaupt data geregistreerd/geanalyseerd wordt.

          Dat gaat via pixelcookies toch? Simpele oplossing: geen third-party cookies toestaan in je browser. Waarom leren ze de mensen dat niet? Dat zou veel beter zijn dan dat eindeloze gezeik met toestemming voor ELKE site die je bezoekt.

    2. Volgens mij heb ik te weinig informatie om daadwerkelijk interessante informatie naar boven te halen. Ik zou in theorie van reageerders het IP-adres kunnen opzoeken in de access log van Worldof2k38, maar ik heb geen grondslag je dan te mailen met een aanbieding of je te retargeten met een advertentie of zo. Nog los van dat ik niets verkoop daar.

      Lastig is natuurlijk, dat zég ik wel maar ondertussen draait er toch een Cambridge Analytica kloon die je volledig door een neutral network getrainde AI profiling module haalt en de resultaten verkoop ik aan de meest gewetenloze datahandelaren die ik ken. Hoe weet je zeker ik dat niet doe?

      1. En dan ga ik er nog vanuit dat jij webspace huurt en of koopt bij een comerciëel bedrijf, wat wil je dan doen aan websites die draaien op privé servers en dus eigenlijk nergens geregistreerd staan muv de dns naam. die je gewoon kan afschermen? En ook nog een dynamisch IP adres hebben vanwege onze extreem goede ISP?

  2. Op tv werd ergens gesuggereerd (vaag, ik weet het) dat de Consumentenbond Facebook verwijt dat Facebook gegevens van deelnemers “doorgeeft aan adverteerders”. Maar dat doen ze niet, volgens mij. Althans bij het model van Google, via cookies, gebeurt dat niet. Het advertentieplatform (Google, Facebook) kan gerichter advertenties plaatsen, namens de adverteerder, bij gebruikers die meer kans hebben geïnteresseerd te zijn. Maar die adverteerder weet dan nog steeds niet wie dat zijn.

    Dat is reden waarom ik het persoonlijk zo erg niet vind.

    En ook juridisch lijkt me dat relevant. Iemand kan niet veroordeeld worden tot een schadevergoeding voor iets wat die niet doet.

    In de media wordt het verhaal vaak zo verteld, fout dus, omdat ze maar steeds niet snappen wat cookies zijn en hoe die werken.

    1. Zelf gooi ik regelmatig rigoureus al mijn cookies weg. Maar dan word ik dus wel dagenlang aan mijn kop gezeurd om toestemming. Ik vind dat een heel verkeerde aanpak van de EU. Een enorme zeperd, want het doel wordt er niet door bereikt.

      Op mijn eigen site zet ik helemaal geen cookies, want dat is nergens voor nodig. Ook niet voor een “beter werkende site”, zoals bijna iedereen liegt.

      1. Nou ja, het is in veel gevallen wel “ergens” voor nodig. Al was het maar omdat je als bedrijf bijvoorbeeld een CMS of een ander commercieel product of zoiets hebt dat er gebruik van maakt, of een gedeelte van je dienst extern afneemt bij een partij die ze gebruikt. Ik weet niet wat voor website jij zelf hebt, maar ik vermoed dat de opzet ervan voor een groot aantal bedrijven niet geschikt zal zijn, of in elk geval dat veel functionaliteit (denk aan persoonlijke voorkeuren of instellingen, winkelmandjes, productvergelijking etc) eenvoudiger of efficienter te implementeren is door middel van het gebruik van cookies. Het is niet zo dat veel bedrijven ten koste van veel geld, tijd, en moeite met alle geweld toch echt cookies willen gebruiken terwijl het zonder cookies allemaal beter, goedkoper en sneller is.

        1. Ja, logins en winkelmandjes, daar zijn cookies voor, en dat mag ook gewoon, zonder toestemming. Maar ik kom op tig sites waar ik never nooit ga inloggen, omdat dat helemaal niet hoeft, maar waar ik toch meteen gezeik krijg over cookies “voor een beter werkende site”.

  3. Deelname is gratis, wel wordt 18% van de toe te kennen schadevergoeding aan een advocatenkantoor betaald

    Op de site van de consumentenbond lees ik :

    als financier ontvangt LCHB alleen bij succes van onze actie een vergoeding van de gemaakte kosten en een vergoeding van maximaal 18% uit de opbrengst van de collectieve actie.
    Overigens wel hypocriet, Facebook aanklagen omdat ze roepen dat gebruik gratis is (‘maar je betaalt met je privacy’) om vervolgens zelf te ‘adverteren’ met
    Je verplicht je tot niets, je hoeft niets te betalen. Niet bij je aanmelding en niet daarna.
    Verrekenen van een deel van de schadevergoeding telt zeker niet als ‘betalen’?

    1. Dat is marketing! Je weet dat je potentiële klanten al een keer in de “gratis” val getrapt zijn, dus je kleedt het “gratis” een beetje anders in in de hoop dat de sukkels er voor een tweede keer intrappen.

      Ik ben niet tegen collectieve actie, maar van een advocatenkantoor dat op deze wijze klanten denkt te moeten winnen wordt ik niet zo’n beetje misselijk.

  4. De vraag die ik alleen heb is de vraag wat Facebook nou precies fout heeft gedaan want “privacy schenden” is niet genoeg. De consumentenbond noemt wel een aantal zaken maar de vraag is of Facebook mag meelezen met wat bezoekers er publiekelijk op plaatsen. En zo ja, of Facebook dat conform de voorwaarden met anderen mocht delen, in goed vertrouwen. Daar staat mogelijk wel iets over in hun reglementen die iedere bezoeker mee akkoord is gegaan, natuurlijk. (Huh?)

    Eerst en vooral de vraag of het publiekelijke gegevens betrof die Facebook deelde met adverteerders. Als je in je FB account neerzet dat je Internet-Jurist bent en al een tijdje getrouwd bent met twee kinderen en een kat dan kan iedereen dat toch zo lezen? Dus ook de adverteerders.

    Het volgen van bezoekers op andere sites buiten Facebook is wel wat twijfelachtiger, maar dan ligt de fout bij die andere sites want die moeten melden dat ze data delen met Facebook. Die sites kiezen daar ook immers voor…

    Maar goed, dan krijgen we dus een lijst van fouten die Facebook hebben gemaakt en welke schade dit dan heeft opgeleverd. Want dat je extra pampers-reclame krijgt nadat je net papa bent geworden is niet echt schade, toch? Die dingen zul je toch wel moeten kopen. Dus hoewel het lekken van data aantoonbaar zal zijn, is het nog niet duidelijk of dit ook schade heeft opgeleverd.

    Verder?

    Verder vraag ik mij af of mensen die meerdere accounts hebben gemaakt ook recht hebben op een dubbele vergoeding. En of mensen die een nep-account hebben aangemaakt ook recht hebben op een vergoeding. En mensen die door Facebook zijn verbannen om wat voor reden ook. En heeft iedereen recht op dezelfde vergoeding, of moet dit per persoon bepaald worden? Dat laatste is een forse klus…

  5. dan kan iedereen dat toch zo lezen? Dus ook de adverteerders.

    Alleen, dat doen ze niet, want zo werkt gericht adverteren niet. Wat wel gebeurt is dat een adverteerder zegt: ik wil mijn advertentie vooral tonen aan mensen met twee kinderen en een kat. En dat doet Facebook dan, voor zover ze dat weten, maar: ook zij weten dat niet, want zo werkt gericht adverteren niet.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.