Massaclaim tegen Oracle en Salesforce wegens privacyschendingen

De Nederlandse claimstichting The Privacy Collective is een massaclaim tegen Oracle en Salesforce gestart omdat de bedrijven de persoonsgegevens van miljoenen Nederlanders zouden misbruiken. Dat meldde Security.nl onlangs. Oracle en Salesforce zijn beide zeer actief op de online advertentiemarkt en houden zich bezig met online advertentieveilingen, waarbij grootschalig in profieltoegang wordt gehandeld. Het is (na de Consumentenbond) de tweede massaclaim onder de AVG, en ik hoop natuurlijk dat er nog vele gaan volgen als dit een mooi uitgewerkt precedent gaat opleveren. Opmerkelijk voor sommigen is nog dat de claim wordt gefinancierd door het Britse Innsworth litigation funding, om zo het verbod op no cure no pay te omzeilen.

In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent. Hoe meer informatie je dan kunt combineren, hoe beter je dat kunt. Vervolgens kun je een bod uitbrengen om een advertentie te mogen tonen, en het hoogste bod wint dan. Zoals Emerce het uitlegt:

Elke keer wanneer iemand een website bezoekt die gebruik maakt van RTB, worden er via een zogenoemd bid request persoonlijke gegevens gedeeld met tientallen zo niet honderden bedrijven. Die gegevens kunnen onder andere bestaan uit informatie over je exacte locatie, wat je online leest, luistert of kijkt, gevoelige informatie over je gezondheid of seksueel gedrag, en unieke codes waarmee op lange termijn een uniek profiel kan worden opgebouwd.
Twee van die bedrijven zijn dus Salesforce en Oracle. En nee, ik heb ook nooit informatie van ze gehad dat ik met cookies werd ge-rtb’d, laat staan dat mij duidelijk is gemaakt onder welke grondslag hier werd geopereerd. Dus ik zie de AVG overtredingen wel.

Het probleem is natuurlijk de schade: welk geldbedrag kun je zetten op het leed dat ik heb ondervonden door dit proces? Daar kom je niet uit, en welk bedrag het ook is, een beetje procesadvocaat komt daar zijn bed niet voor uit. (Niet arrogant bedoeld want weinig ondernemers zijn bereid om voor 500 euro opbrengst tienduizend euro kosten te maken.) Dus het moet wel massaal, claims bundelen om zo massa te creëren waardoor er genoeg geld binnenkomt.

Dan kun je dus no-cure-no-pay opereren als advocaat, maar dat mag niet in Nederland. Je krijgt dan als advocaat belang bij de uitkomst, bijvoorbeeld omdat je niet wil schikken (dat levert dan minder op) terwijl dat voor de klant de beste uitkomst zou zijn. En dat is dus waar Innsworth om de hoek komt kijken: die betalen de proceskosten, zodat de advocaat gewoon op uurtje-factuurtje werkt en naar de beste uitkomst kan streven.

Daar staat tegenover dat Innsworth een percentage van de opbrengst krijgt, als compensatie voor het risico. Dat geeft ophef; is dat niet zelf óók dan rijk worden van datahandel? Zeker met getallen als 30% die langsvliegen. Hoogleraar Joris van Hoboken (tevens bestuurslid van de stichting die deze rechtszaak aanspande) wijst erop dat het effectief maar om 11% gaat. En ik vind het argument sowieso wat ver gezocht, procedures als deze hebben geen kans van slagen als er niet iemand met een zak geld de boel voorfinanciert. En omdat deze partij risico loopt (bij verlies krijgen ze geen cent) snap ik de wens tot meeropbrengst wel.

Arnoud

 

9 reacties

      1. In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent.

        Dan moet je in je browser ” thirdparty cookies” uitzetten. Waarom vertelt niemand de mensen dat?

        En doe je dat, dan werken sites van de publieke omroepen niet meer, omdat die de cookies op een ander domein zetten dan waar je dan bent. Dat is een foute manier.

        (En ik vermoedde dat daardoor ook mijn gegevens op dit blog na elke reactie weer weg zijn, maar dat kan ik niet aantonen. Wel dat ze steeds weg zijn, dat is een feit. Het blog rammelt technisch aan allerlei kanten, dat staat vast.)

  1. Hoe staat een dergelijke zaak er inhoudelijk voor? Bijvoorbeeld: Is er goed bewijs dat ze werkelijk doen wat jij zegt dat ze doen, of zal daar ook nog veel energie ingestoken moeten worden? Met andere woorden: zal het vooral gaan om de grondslag/toestemmingen de schade?

    Verder schrijf je ‘Het probleem is natuurlijk de schade: welk geldbedrag kun je zetten op het leed dat ik heb ondervonden door dit proces? Daar kom je niet uit, en welk bedrag het ook is, een beetje procesadvocaat komt daar zijn bed niet voor uit.’

    Ik zie dat nog niet als groot probleem. Het is een inbreuk op grondrechtem, en je kunt daarbij gemakkelijk aanhaken bij andere inbreuken op grondrechten uit het verleden (ontrechte gevangenneming, kwijtraken/verkopen medische gegevens, ontzeggen stemrecht, discriminatie op basis van geslacht, onterecht verbieden van een vereniging of een manifestatie). En het duurt al een paar jaar voort, dus je kunt er gemakkelijk een hoge factor (700 dagen, dus maal 700) opplakken, en ze doen hun best het voor jou te verbergen dus, hup!, nog een factor 2 of 3.

    En zo kom je wel aan een mooi bedrag waar ook een procesadvocaat zijn bed voor uitkomt (Zeker als hij de aard van de activiteiten niet hoeft te bewijzen, maar alleen een AVG inbreuk moet betogen)

  2. Zou die constructie niet ook in Nederland kunnen? Een derde die de advocaat financierde, zodat hij geen belang heeft bij door procederen en in ruil voor het risico een bepaald percentage krijgt? Het doet mij denken aan een rechtsbijstandsverzekering, daar zijn m.i. overeenkomsten mee.

  3. Mijn beeld van grote bedrijven is dat alle winstgevende of twijfelachtige activiteiten ergens in een belastingparadijs of land met weinig regels zijn gevestigd en dat op andere plekken (inclusief Europa) alleen juridisch geïsoleerde sales takken zitten.

    Deze rechtzaak zal dus alleen kunnen lukken als de tak waar de reclame onder valt, een vestiging in Europa heeft. Als de RTB door Oracle Inc wordt gedaan en de vestigingen in Europa zijn van Oracle EU BV zijn, dan heb je mogelijk een probleem.

    1. Oracle Inc. heeft natuurlijk ook in de EU bepaalde “bezittingen”, denk aan merkrechten, auteursrechten, octrooien, e.d., waar je beslag op kunt leggen om schade uit te vergoeden. Natuurlijk raak je dan alleen die rechten binnen de EU, maar dat kan zeker veel pijn doen.

  4. In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent.

    Dan moet je in je browser ” thirdparty cookies” uitzetten. Waarom vertelt niemand de mensen dat?

    En doe je dat, dan werken sites van de publieke omroepen niet meer, omdat die de cookies op een ander domein zetten dan waar je dan bent. Dat is een foute manier.

    (En ik vermoedde dat daardoor ook mijn gegevens op dit blog na elke reactie weer weg zijn, maar dat kan ik niet aantonen. Wel dat ze steeds weg zijn, dat is een feit. Het blog rammelt technisch aan allerlei kanten, dat staat vast.)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.