Pijnlijk: de massaclaim van The Privacy Collective tegen Oracle en Salesforce is gestrand op een procedurefout, las ik bij VPNgids. Deze werd augustus 2020 gestart als grote poging om de online advertentieveilingen, waarbij grootschalig in profieltoegang wordt gehandeld, aan te pakken door van vele kleintjes één grote claim te maken. Dat kan in Nederland, maar je moet daarbij kunnen aantonen voldoende representatief te zijn voor je achterban. TPC gebruikte daarvoor een simpel en transparant mechanisme, dat nu door de rechtbank wordt afgekeurd: de vindikleuk-knop. (Geen grappen over dat die knoppen zelf ook zouden tracken.)
In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent. Hoe meer informatie je dan kunt combineren, hoe beter je dat kunt. Vervolgens kun je een bod uitbrengen om een advertentie te mogen tonen, en het hoogste bod wint dan. Maar geen hond wordt daar duidelijk over geïnformeerd, dus de AVG-schending zie ik wel.
Het probleem is natuurlijk de schade: welk geldbedrag kun je zetten op het leed dat ik heb ondervonden door dit proces?Daar kom je niet uit. Vandaar: claims bundelen om zo massa te creëren waardoor er genoeg geld binnenkomt. Daar hebben we een wettelijke basis voor, de Wet afhandeling massaschade in collectieve actie (Wamca). Maar om te voorkomen dat iedereen een stichting opricht en claimt namens heel Nederland, eist die wet dat je moet aantonen voldoende representatief te zijn.
TPC deed dat zo (afbeelding uit vonnis):
Inderdaad, één klik was genoeg. Weliswaar met serverside ontdubbelen op basis van IP-adres en een onafhankelijke audit, maar geen inschrijfformulier, betaling of andere techniek om officiële NAW gegevens van je achterban te verzamelen.
De rechtbank heeft daar moeite mee, om twee redenen:
- De tekst van de knop is te vaag: steunt men concreet de claimrechtszaak of enkel het abstracte idee van grote bedrijven aanpakken wegens inbreuk (“je stem laten horen”)? Die vond ik ook wat gezocht.
- De organisatie dient nauwkeurig te omschrijven voor welke groep personen zij opkomt. “Zij die ons liken” is niet nauwkeurig genoeg, bijvoorbeeld omdat we nu niet weten of deze personen in de relevante periode een cookie van Oracle en Salesforce op hun apparatuur hebben gehad.
Voor de volledigheid (en dat is opmerkelijk, want als de zaak afgeschoten is dan hou je normaal op met vonnissen) komt de rechtbank nog met een juridische spitsvondigheid: kún je wel namens een achterban een AVG-claim indienen als stichting? Of moet je per benadeelde een procesvolmacht hebben? Ik dacht nooit dat dat een discussie was: het hele punt van zo’n stichting is immers een collectieve claim te kunnen doen. Als je dan alsnog van iedereen apart een formulier moet hebben, dan schiet dat niet bepaald op. Maar goed, de rechtbank houdt het bij de signalering en trekt geen conclusie.
Arnoud
Dit hadden de makers van de site ook zelf kunnen bedenken. Ten eerste zal je duidelijk moeten maken, wie je vertegenwoordigd en dan is een stapel IP-nummers niet voldoende, die kunnen ook gegenereerd worden. Ten tweede heb je straks bereikt dat er schade vergoed wordt en dan zal je moeten zorgen, dat deze gelden terechtkomen bij de rechthebbenden, dus degenen die je vertegenwoordigt.
Ik heb als thuisgebruiker (uitzondering dat wel) 9 IPv4 adressen tot mijn beschikking en 2^48 IPv6 adressen. Ik snap wel dat de rechter ontdubbeling van IP adressen niet voldoende vind. Het voelt ook wat knullig aan, het is zeker niet de eerste massa (privacy gerelateerde) zaak, en al die andere massazaken hiervoor hebben gewoon netjes minstens NAW verzameld met een verklaring dat diegene tot de doelgroep behoort.
Een lastige: in de VS zijn “class action suits” verworden tot een money-grab voor advocaten, en dat wil je niet. Aan de andere eind heb ik wel eens meegemaakt dat voor een petitie ondertekenen je het hem van het lijf werd gevraagd (naam, adres, nationaliteit, leeftijd) onder het mom dat dat moest omdat alleen kiesgerechtigde inwoners zouden meetellen. Tja, zo’n petitie teken ik niet, en als er zulke regels zijn, dan zijn die er om petities te ontmoedigen. Dus waar leg je de grens?
Wat mij betreft is het tijd voor een attestatie functie voor de overheid: bij elke dienst die een kenmerk moet bevestigen om aan wettelijke regelgeving te voldoen (leeftijd 18+, Nederlander, kiesgerechtigd, heeft rijbewijs, eigenaar van bepaald huis, enz.) zou je de gegevens die je bloot wilt geven via je DigID app aanvinken, waarna er een handtekening van de overheid overheen komt — zonder dat verdere gegevens nodig zijn. Om dubbeltellen te voorkomen kun je dan ook een token mee genereren die de persoon uniek identificeerd, maar verder niet herleidbaar is tot jouw persoon. Natuurlijk ook andersom blind, zodat ook de overheid niet kan zien waarvoor je die gegevens nodig hebt.