Massaclaim tegen Oracle en Salesforce wegens privacyschendingen

| AE 12145 | Privacy | 9 reacties

De Nederlandse claimstichting The Privacy Collective is een massaclaim tegen Oracle en Salesforce gestart omdat de bedrijven de persoonsgegevens van miljoenen Nederlanders zouden misbruiken. Dat meldde Security.nl onlangs. Oracle en Salesforce zijn beide zeer actief op de online advertentiemarkt en houden zich bezig met online advertentieveilingen, waarbij grootschalig in profieltoegang wordt gehandeld. Het is (na de Consumentenbond) de tweede massaclaim onder de AVG, en ik hoop natuurlijk dat er nog vele gaan volgen als dit een mooi uitgewerkt precedent gaat opleveren. Opmerkelijk voor sommigen is nog dat de claim wordt gefinancierd door het Britse Innsworth litigation funding, om zo het verbod op no cure no pay te omzeilen.

In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent. Hoe meer informatie je dan kunt combineren, hoe beter je dat kunt. Vervolgens kun je een bod uitbrengen om een advertentie te mogen tonen, en het hoogste bod wint dan. Zoals Emerce het uitlegt:

Elke keer wanneer iemand een website bezoekt die gebruik maakt van RTB, worden er via een zogenoemd bid request persoonlijke gegevens gedeeld met tientallen zo niet honderden bedrijven. Die gegevens kunnen onder andere bestaan uit informatie over je exacte locatie, wat je online leest, luistert of kijkt, gevoelige informatie over je gezondheid of seksueel gedrag, en unieke codes waarmee op lange termijn een uniek profiel kan worden opgebouwd.
Twee van die bedrijven zijn dus Salesforce en Oracle. En nee, ik heb ook nooit informatie van ze gehad dat ik met cookies werd ge-rtb’d, laat staan dat mij duidelijk is gemaakt onder welke grondslag hier werd geopereerd. Dus ik zie de AVG overtredingen wel.

Het probleem is natuurlijk de schade: welk geldbedrag kun je zetten op het leed dat ik heb ondervonden door dit proces? Daar kom je niet uit, en welk bedrag het ook is, een beetje procesadvocaat komt daar zijn bed niet voor uit. (Niet arrogant bedoeld want weinig ondernemers zijn bereid om voor 500 euro opbrengst tienduizend euro kosten te maken.) Dus het moet wel massaal, claims bundelen om zo massa te creëren waardoor er genoeg geld binnenkomt.

Dan kun je dus no-cure-no-pay opereren als advocaat, maar dat mag niet in Nederland. Je krijgt dan als advocaat belang bij de uitkomst, bijvoorbeeld omdat je niet wil schikken (dat levert dan minder op) terwijl dat voor de klant de beste uitkomst zou zijn. En dat is dus waar Innsworth om de hoek komt kijken: die betalen de proceskosten, zodat de advocaat gewoon op uurtje-factuurtje werkt en naar de beste uitkomst kan streven.

Daar staat tegenover dat Innsworth een percentage van de opbrengst krijgt, als compensatie voor het risico. Dat geeft ophef; is dat niet zelf óók dan rijk worden van datahandel? Zeker met getallen als 30% die langsvliegen. Hoogleraar Joris van Hoboken (tevens bestuurslid van de stichting die deze rechtszaak aanspande) wijst erop dat het effectief maar om 11% gaat. En ik vind het argument sowieso wat ver gezocht, procedures als deze hebben geen kans van slagen als er niet iemand met een zak geld de boel voorfinanciert. En omdat deze partij risico loopt (bij verlies krijgen ze geen cent) snap ik de wens tot meeropbrengst wel.

Arnoud