Internetrecht door Arnoud Engelfriet

Pijnlijk: de massaclaim van The Privacy Collective tegen Oracle en Salesforce is gestrand op een procedurefout, las ik bij VPNgids. Deze werd augustus 2020 gestart als grote poging om de online advertentieveilingen, waarbij grootschalig in profieltoegang wordt gehandeld, aan te pakken door van vele kleintjes één grote claim te maken. Dat kan in Nederland, maar je moet daarbij kunnen aantonen voldoende representatief te zijn voor je achterban. TPC gebruikte daarvoor een simpel en transparant mechanisme, dat nu door de rechtbank wordt afgekeurd: de vindikleuk-knop. (Geen grappen over dat die knoppen zelf ook zouden tracken.)

In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent. Hoe meer informatie je dan kunt combineren, hoe beter je dat kunt. Vervolgens kun je een bod uitbrengen om een advertentie te mogen tonen, en het hoogste bod wint dan. Maar geen hond wordt daar duidelijk over geïnformeerd, dus de AVG-schending zie ik wel.

Het probleem is natuurlijk de schade: welk geldbedrag kun je zetten op het leed dat ik heb ondervonden door dit proces?Daar kom je niet uit. Vandaar:  claims bundelen om zo massa te creëren waardoor er genoeg geld binnenkomt. Daar hebben we een wettelijke basis voor, de Wet afhandeling massaschade in collectieve actie (Wamca). Maar om te voorkomen dat iedereen een stichting opricht en claimt namens heel Nederland, eist die wet dat je moet aantonen voldoende representatief te zijn.

TPC deed dat zo (afbeelding uit vonnis):

Inderdaad, één klik was genoeg. Weliswaar met serverside ontdubbelen op basis van IP-adres en een onafhankelijke audit, maar geen inschrijfformulier, betaling of andere techniek om officiële NAW gegevens van je achterban te verzamelen.

De rechtbank heeft daar moeite mee, om twee redenen:

1. De tekst van de knop is te vaag: steunt men concreet de claimrechtszaak of enkel het abstracte idee van grote bedrijven aanpakken wegens inbreuk (“je stem laten horen”)? Die vond ik ook wat gezocht.
2. De organisatie dient nauwkeurig te omschrijven voor welke groep personen zij opkomt. “Zij die ons liken” is niet nauwkeurig genoeg, bijvoorbeeld omdat we nu niet weten of deze personen in de relevante periode een cookie van Oracle en Salesforce op hun apparatuur hebben gehad.

Voor de volledigheid (en dat is opmerkelijk, want als de zaak afgeschoten is dan hou je normaal op met vonnissen) komt de rechtbank nog met een juridische spitsvondigheid: kún je wel namens een achterban een AVG-claim indienen als stichting? Of moet je per benadeelde een procesvolmacht hebben? Ik dacht nooit dat dat een discussie was: het hele punt van zo’n stichting is immers een collectieve claim te kunnen doen. Als je dan alsnog van iedereen apart een formulier moet hebben, dan schiet dat niet bepaald op. Maar goed, de rechtbank houdt het bij de signalering en trekt geen conclusie.

Arnoud

Google wil binnen een aantal jaar stoppen met het individueel volgen van gebruikers, las ik bij Tweakers. Google wil alle unieke identifiers blokkeren, zowel van het bedrijf zelf als van adverteerders. “People shouldn’t have to accept being tracked across the web in order to get the benefits of relevant advertising”, aldus de toelichtingsblog van Google. Toch blijven er volgens Google manieren waarop websites gericht kunnen adverteren. Het bedrijf noemt ‘vooruitgang in aggregate, anonimisatie, on-device-verwerkingen en andere privacybehoudende technologieën’. Ik ben erg benieuwd.

Als je één bedrijf moet noemen dat je continu volgt, dan zullen veel mensen Google noemen. De stap voelt dan ook raar en onverwacht, en het bedrijf zal er zeker goede PR garen bij spinnen: kijk ons eens ineens pivotten naar een privacyvriendelijke webbelevenis. Maar de grap is natuurlijk dat Google dit soort tracking helemaal niet meer nodig heeft, ze kan met contextual advertising al meer dan genoeg mensen passende advertenties voorschotelen. Het zijn dus vooral Google’s concurrenten die hier last van gaan krijgen.

Daar komt bij dat Google ook een nieuwe technologie heeft ontwikkeld waarmee het beheren van persoonsinformatie privacyvriendelijker wordt. In de kern wordt alle data op de eigen computer geladen en in een machine learning model gevoegd. Data van andere mensen wordt op een privacyvriendelijke (want geanonimiseerde) manier gedeeld, zodat iedereen zijn of haar eigen profiel kan verrijken zonder dat ergens centraal álle gegevens (of zelfs maar de gegevens per cohort) beschikbaar zijn. Het is vrij nieuw, maar al getest met het Android-toetsenbord Gboard en lijkt te werken zoals beloofd.

In theorie wordt dit zelfs een open standaard, zodat concurrenten het ook over kunnen nemen. Maar de marktmacht van Google blijft wel zo groot dat het lange tijd vooral dit bedrijf een groot voordeel zal opleveren. En dat maakt het zorgelijk, ondanks de belofte van meer privacy en bescherming van persoonsgegevens.

Arnoud

Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google, las ik in de Volkskrant. Alex Bik van zakelijke internetprovider BIT onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren, en vond dat 236 sites deze dienst inzet. Dat is opmerkelijk, omdat er genoeg privacyvriendelijke alternatieven zijn die zelfs door de overheid worden gepromoot. Maar is het verboden?

In de kern komt de zorg van Bik erop neer dat er áltijd data naar Google gaat als je hun Analytics-dienst inzet, en dat is raar als het gaat om overheidswebsites. Als ik als burger de Nederlandse overheid bezoek, hoort niets van mijn bezoek bij een commerciële Amerikaanse partij terecht te komen, zou je zeggen.

Natuurlijk mag de overheid best meten hoe hun sites worden gebruikt, zodat ze deze kunnen verbeteren of leren waar mensen tegenaan lopen. Maar daarvoor is het hele geweld van Google Analytics niet nodig, er zijn genoeg alternatieven. Er is zelfs een standaard platform gebouwd dat met het vriendelijker, first-party analytics systeem Piwik werkt. Maar dat wordt slechts zeer beperkt ingezet, mede vanwege de wildgroei aan webbouwers die voor de overheid aan de slag is gegaan.

In theorie kan het best legaal zijn, ook wanneer de website geen toestemming vraagt voor de Analytics-cookies. Wanneer je als dienstverlener Analytics privacyvriendelijk configureert, voldoe je aan de richtlijnen van de Autoriteit Persoonsgegevens (en de uitzondering uit de cookiewet) en wordt je Analytics als “geen of geringe inbreuk op de privacy” aangemerkt. In dat geval is geen toestemming nodig – en is, althans op papier, Google niet toegestaan om die gegevens verder te gebruiken.

Het is precies dat “althans op papier” waar Bik terecht bezwaar tegen maakt. Want hoe zien wij dat? Er is bijvoorbeeld een vinkje in het Google Analytics dashboard nodig dat bepaalt dat data niet met andere Google diensten mag worden gedeeld. Van buitenaf is het onmogelijk om na te gaan of dat vinkje is gezet. Je moet de opsteller van de privacyverklaring maar geloven dat dit werkelijk zo doorgevoerd is. Ik vind dat best wel een grote stap, zeker bij een overheidsdienst.

Arnoud

De cookiebepaling die bepaalt dat websites om toestemming moeten vragen voor het gebruik van zogenoemde ‘tracking cookies’, is duur en zorgt voor een hoop ergernis. Dat las ik bij Nu.nl. De basis is een onderzoek van Actal, het Adviescollege toetsing regeldruk. Niet alleen zouden bedrijven 74 miljoen euro kwijt zijn voor cookietoestemmingspopups, ook zijn consumenten… Lees verder

Oh jee, de cookiewet is nóg erger dan we al dachten: “Van in vrijheid gegeven, rechtsgeldige toestemming is geen sprake” wanneer een website het geven van cookietoestemming verplicht, meldde het College bescherming persoonsgegevens tegenover Webwereld. Tenminste, als die site een “situationele monopoliepositie” heeft, zoals bij de Publieke Omroep die achter een cookiemuur zit. Maar eigenlijk,… Lees verder

Automatisch akkoord gaan met al die stomme cookievragen, het kan met de plugin CookiesOK. Omdat het web beter was vóór de cookiewet, roept de site enthousiast. Het komt erop neer dat deze plugin een database heeft van ‘alle’ sites in Nederland die een cookietoestemmingspopup hebben, en weet waar ie dan op moet klikken om die… Lees verder

Yahoo verklaart als één van de eerste grote internetnamen dat het de Do-Not-Track instelling van IE10 negeert, las ik bij Webwereld. Microsoft had eerder aangekondigd deze optie standaard aan te zetten, oftewel standaard mocht je niemand tracken die IE10 gebruikt. Volgens Yahoo veroorzaakte de browsermaker daarmee een gedegradeerde gebruikerservaring. En wanneer marketeers gaan spreken van… Lees verder

Alle websites van de Nederlandse Publieke Omroep zijn binnenkort alleen nog maar te bereiken als de gebruikers cookies accepteren, meldde Tweakers dinsdag. In een verklaring legt men uit dat de PO hiertoe verplicht zou zijn omdat men verantwoording moet afleggen over deze met publiek geld geleverde dienst. Op zich is het inderdaad legaal dat een… Lees verder

Er zit beweging in de handhaving van de cookiewet. Met een speciale tool, de ‘cookiemonitor’, wil de OPTA automatisch nagaan of websites zonder toestemming cookies plaatsen, zo meldde Tweakers vorige week. Sites die lastig verwijderbare cookies plaatsen, krijgen als eerste een boete. Andere sites krijgen “waarschijnlijk eerst een waarschuwing”. De cookiewet is een van de… Lees verder

De cookiewet. Weinig onderwerpen hebben zó veel reacties losgemaakt vanuit de branche. Je mag geen cookies meer zetten, geen browserdetails meer uitlezen en mensen niet meer volgen zonder hun toestemming. Meest gehoorde misverstand: de cookiewet gaat over tracking cookies, dus als je geen tracking doet (of op andere manier persoonsgegevens verwerkt) dan is er niets… Lees verder