De Consumentenbond en de stichting Take Back Your Privacy (TBYP) eisen van TikTok een schadevergoeding van 2 miljard euro, zo las ik bij Nutech.nl. Het gaat om een bedrag van 1500 euro per kind onder de dertien, 1250 voor 13-16 jarigen en 1000 euro per zestienplusser (leeftijd toen je begon op TikTok). Het is natuurlijk nog vrij vroeg, maar wat is de kans van slagen?
De kern van de zaak is natuurlijk dat TikTok de AVG heeft overtreden. Bijvoorbeeld door kinderen zomaar toe te laten op haar platform, door niet transparant te zijn over wat ze met kindergegevens doet en door gepersonaliseerde advertenties te vertonen op basis van profielen van die kinderen. Ik geloof niet dat er serieuze discussie is over of TikTok zich aan de wet hield.
De hamvraag is natuurlijk: wat kost dat nou, zo’n schending? Daar geeft de AVG geen antwoord op. Die zegt alleen dat schade moet worden vergoed, maar niet dát er schade is laat staan hoe veel die zal zijn. Dat is iets voor het nationale recht, ieder land moet dat zelf bepalen.
Nederland is terughoudend daarbij. In “Amerikaanse toestanden” hebben wij heel lang geen zin gehad, het is pas vrij recent dat een belangenorganisatie zoals de Consumentenbond geldbedragen kan eisen namens haar achterban. Meer dan een “verklaring voor recht”, een rechterlijke conclusie dat iets niet mag, kon men niet voor elkaar krijgen.
Er is eigenlijk nog geen jurisprudentie over wat privacyschade, immateriële schade, zou moeten kosten. We hebben een aantal probeersels gehad, en daaruit is met name naar voren gekomen dat je meer moet doen dan je dikke duim in de lucht steken en een bedrag roepen. Voor gewone persoonsgegevens zijn diverse claims afgewezen, eigenlijk altijd met het argument dat onderbouwing ontbreekt.
In de context van medische persoonsgegevens is 500 euro eens toegewezen, en zeer recent maar liefst 2.500 euro voor structurele onzorgvuldige omgang met zulke gevoelige gegevens. En dat biedt misschien een haakje: gegevens van kinderen worden ook als gevoelig gezien, dus daar zou je eerder schade mogen aannemen dan bij gewone gegevens van grote mensen. (Maar het is natuurlijk niet zo dat gegevens van kinderen juridisch net zo gevoelig zijn als medische gegevens.)
Ik blijf erbij: tijd voor tabellen met schadebedragen, het liefst jaarlijks gepubliceerd door de Autoriteit Persoonsgegevens.
Arnoud
Goed praktijkvoorbeeld uit Zweden: de hoogste rechter oordeelde daar in 2013 dat voor een niet onbeduidende schending van de pre-AVG persoonsgegevenswet een standaardbedrag van SEK 3000 (ca. €300) geldt en voor serieuze schendingen SEK 5000 of meer (NJA 2013 s. 1046).
Arnoud,
Standaard tabellen met schadevergoedingen van de AP lijken mij ook een goed idee, ik zie wel een mogelijk probleem. Hoe kijk jij aan tegen het volgende: Stel, een bedrijf als tiktok begaat een overtreding. Het bijbehorende schadebedrag is, zeg, 500 euro. Als zo’n bedrijf dan een miljoen gebruikers heeft zou dat een totale som opleveren van een half miljard. Dat lijkt me als totaal bedrag onredelijk, als zo’n bedrijf al in staat is dat uberhaupt op te hoesten. Het lijkt me ook onredelijk om een bedrijf het faillisement in te beboeten. Als je de vergoeding per persoon lager maakt als er meer gebruikers zijn, dan krijg je weer het probleem dat giganten als Google en Facebook minder zwaar beboet worden voor een overtreding dan kleinere spelers.
Als jij als bedrijf een miljoen gebruikers hebt, dan hoor je adequaat te investeren om te voorkomen dat die gegevens allemaal lekken. Dat kan echt voor minder dan 500 euro per gebruiker, dus dat is gewoon je taak. Verzaak je die, en bezorg je zo een miljoen mensen de overlast van een datalek, dan zie ik geen reden om de boete te verminderen.
Als dat wel een reden is, dan begin ik in mijn achtertuin een asbest-opslag zonder investering in bescherming. De boete zal vast vele miljoenen zijn, dat kan ik niet betalen maar het is toch onredelijk dat ik failliet ga omdat ik boetes moet betalen?
Natuurlijk kun je met meer gebruikers meer besteden aan beveiliging.
Maar dat levert lang niet een lineaire verhoging van de veiligheid op. Denk maar eens aan stommiteiten van een medewerker of een kwaadwillende hack. Het risico daarop gaat niet een factor duizend omlaag wanneer je van tienduizend naar tien miljoen gebruikers gaat en dus in theorie duizend keer zoveel te investeren hebt.
Er is ergens een grens waarboven verdere investering in procedures en techniek niets noemenswaardigs bijdraagt, maar waar je wel duizendkeer zo hard gepakt wordt als je duizend keer zo groot bent. Daar zit wel een bepaalde oneerlijkheid in.
Er zit natuurlijk heel veel tussen je database met PI zonder authenticatie vereisten aan het publieke internet hangen en een kwaadwillende medewerker die ondanks screening en juiste protocollen wat data weet te lekken (beetje de 2 uitersten). Ik vermoed dat ook met tabellen een rechter een boete mag matigen/niet opleggen als een bedrijf er aantoonbaar alles aan heeft gedaan om een datalek te voorkomen, of een hogere boete op leggen als een bedrijf nalatig is geweest of een don’t care houding heeft mbt de GPPDR
Dit is wel een goede nuance op mijn voorstel. Als je zegt, een NAW-gegeven kost 5 euro schade, is die schade dan minder als het lek ondanks alle maatregelen gebeurde? Of erger als men grof nalatig was?
Normaal zeg je in het schadevergoedingsrecht niet dat de schade minder is omdat het slechts een beetje onrechtmatig was. Het is of overmacht of toerekenbaar, en bij toerekenbaar ga je de schade betalen. Logisch ook, want als mijn been eraf ligt of mijn auto total loss is dan heb ik dezelfde kosten ongeacht hoe voorzichtig of juist nalatig jouw handelen ook was.
En als je per ongeluk een auteursrechteninbreuk maakt met een foto’tje op je website is de schade wel ineens drie maal de prijs van de normale licentie, dus drie maal de normale schade …..?
“Daar zit wel een bepaalde oneerlijkheid in.”
En dat is waarom de rechter is uitgevonden. Als je als bedrijf het niet eens bent met een boete, kun je altijd naar de rechter en die kan dan evt. de boete matige of nihil verklaren.
Het is natuurlijk zo dat je gegevens adquaat dient te beschermen, maar het lijkt mij toch dat het niet zo zwart-wit is als je in je voorbeeld doet voorkomen. De regels, en de interpretatie daarvan, zijn in dit geval veel minder duidelijk, en dat leidt tot allerlei nuances die je met asbestopslag niet hebt. Het zijn zaken die op dit onvolprezen blog vaker langs zijn gekomen. Wat is precies geinformeerde toestemming? Als tiktok die toestemming vraagt op dezelfde manier als alle andere apps, is het dan redelijk alleen hen ermee aan te vallen. Hoe precies stel je vast dat een gebruiker volwassen is, hoe verweer je je tegen 13-jarigen die aanvinken dat ze in 2003 geboren zijn etc. Verder kan je natuurlijk niet ter goeder trouw je best doen terwijl je geen beschermende maatregelen neemt bij asbestopslag, maar het is wel degelijk mogelijk om alles te doen wat redelijkerwijs mogelijk is en nog data te verliezen, of een verkeerde inschatting te maken bij het beoordelen van leeftijd. Ik moet overigens wel bekennen dat ik geen enkel idee heb hoe tiktok uberhaupt leeftijd vaststelt; al dat soort apps komen mijn telefoon niet op, maar het lijkt me een bijzonder lastig probleem om op te lossen op een gebruikers- en privacy-vriendelijke manier (i.e. geen ingescande identiteitsbewijzen). Kortom, ik blijf het onredelijk vinden, en een bezwaar van standaard-vergoedingen, dat een bedrijf dat oprecht en aantoonbaar haar uiterste best heeft gedaan om alles binnen de grenzen der redelijkheid goed te doen, maar die het slachtoffer wordt van lekkende medewerkers of zero-day attacks het faillisement in beboet zou kunnen worden; daar zit iets scheef.
Laat ik het dan van de andere kant belichten: Al die gegevens die bewaard worden, doet dat bedrijf alleen voor eigen gewin, niet voor de kern dienstverlening. Aangezien ze die gegevens dus voor hun eigen belang verzamelen, moet de verantwoordelijkheid dus ook volledig bij hun liggen. Als je die gegavens niet adequaat kunt beveiligen, of als je failliet gaat van een boete als ze lekken, dan verzamel je ze toch gewoon niet? Jouw winst, jouw risico.
Het probleem dat ik heb met je stelling is de impliciete aanname die er in zit dat “gegevens verzamelen” == “slecht/ongewenst”. Dat kan soms het geval zijn, maar niet altijd en niet automatisch. Ten eerste is vrijwel alles wat een bedrijf doet dat niet volgt uit een wettelijke plicht voor eigen gewin. Ook sponsoring, schenken aan goede doelen e.d. is uiteindelijk voor eigen gewin (naamsbekendheid, goodwill e.d.). Alle gegevens die ze verzamelen zijn voor eigen gewin, want het is een commercieel bedrijf. Als dat niet zo is, dan is het een charitatieve instelling. Dat iets voor eigen gewin is, is niet automatisch slecht; de bakker bakt ook brood voor eigen gewin. Verder kunnen gegevens die verzameld moeten worden, om te voldoen aan een wettelijke plicht of omdat die gegevens absoluut noodzakelijk zijn voor de dienstverlening, ook heel gevoelig zijn en verloren raken. Denk bijvoorbeeld aan al jouw banktransacties die lekken uit je bank-app. Vooral bij social media en dergelijke bedrijven is het verzamelen van bepaalde gegevens onderdeel van de dienstverlening; denk aan je in contact brengen met vrienden door je contacts te vergelijken met die van anderen. Ik vind ook dat we af moeten van het idee dat het verzamelen van gegevens, profileren, tracken e.d. per definitie verkeerd is. Ook al zal ik daar nooit zelf voor kiezen, er zijn genoeg mensen die meer dan bereid zijn om met hun privacy te betalen voor bepaalde diensten. Zelf ben ik veel meer voorstander van context-gerelateerd adverteren in plaats van op basis van profilering, maar zolang het legaal is moeten bedrijven die keuze kunnen maken. En zoals ik zei, er zijn mensen (ik ken er zelfs een paar) die het prima vinden om getrackt en geprofileerd te worden, en die dol zijn op gerichte advertenties. Met andere woorden: verzamelen van gegevens kan gewoon het business-model zijn, en dat is volkomen legaal zolang ze zich aan de wet houden. Tegen het ene legaal opererende bedrijf met een datalek zeggen “ja dat kon je onmogelijk voorkomen, dus we schelden je de boete kwijt” terwijl je tegen het andere legaal opererende bedrijf zegt “ja dat kon je onmogelijk voorkomen, maar omdat ik het niet eens ben met de keuze van jouw businessmodel ga je maar lekker failliet” is oneerlijk. Dan moeten we echt eerst de wet zodanig aanpassen dat alle vormen van profilering/tracking/facebook-achtig adverteren onwetting wordt. Dat zou een goede stap zijn, maar dat is een andere kwestie.
De GDPR/AVG heeft als achtergrond dat privacy een grondrecht is. Dat impliceert automatisch dat alles wat de potentie heeft om de privacy te schaden, onwenselijk is.
Dus inderdaad: “gegevens verzamelen” == “slecht/ongewenst”.
Ik begrijp best dat dat voor bedrijven vervelend is. Zo is het ook vervelend voor sommige (potentiele) bedrijven dat moord niet mag. Maar c’est la vie.
Nu ja, kijk: 1) Het gebeurt. Zie social media trackers en apps en zo. Die bedrijven opereren binnen de wet, zie hier tik-tok wat juridisch aangepakt wordt wegens het overtreden van de wet, dus er is ook controle op. 2) De AVG heeft diverse grondslagen waaronder alle mogelijke gegevens verzameld mogen worden. Bijvoorbeeld toestemming die je geeft om “gratis” een of andere malle app te gebruiken. 3) Ook de meest minimale set aan gegevens, of de set die volgt uit een wettelijke plicht, kan bijzonder privacygevoelig zijn en kan lekken. Zelfs als ik meega met wat je zegt en we aannemen dat gegevens verzamelen slecht en ongewenst is, veranderd er verder weinig aan wat ik zei. Ook die meest minimale set kan gevoelig zijn, en ook die data kan lekken bij een datalek.
Gregorius; De meeste “trackers en apps en zo” opereren binnen de Amerikaanse wet en trekken zich niet veel aan van Europese richtlijnen. Probleem is dat de organisaties die achter de grootste privacyschendingen zitten moeilijk in EUropa aan te pakken zijn omdat ze hier geen vertegenwoordiging hebben. En toestemming afleiden uit vrijwel onleesbare “algemene voorwaarden” is dubieus, zeker naar minderjarigen toe.
Die aanname zit er helemaal niet in dus de rest van je verhaal raakt kant noch wal.