Een vindikleuk is geen steunbetuiging naar Nederlands recht

| AE 13094 | Privacy, Regulering | 3 reacties

Pijnlijk: de massaclaim van The Privacy Collective tegen Oracle en Salesforce is gestrand op een procedurefout, las ik bij VPNgids. Deze werd augustus 2020 gestart als grote poging om de online advertentieveilingen, waarbij grootschalig in profieltoegang wordt gehandeld, aan te pakken door van vele kleintjes één grote claim te maken. Dat kan in Nederland, maar je moet daarbij kunnen aantonen voldoende representatief te zijn voor je achterban. TPC gebruikte daarvoor een simpel en transparant mechanisme, dat nu door de rechtbank wordt afgekeurd: de vindikleuk-knop. (Geen grappen over dat die knoppen zelf ook zouden tracken.)

In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent. Hoe meer informatie je dan kunt combineren, hoe beter je dat kunt. Vervolgens kun je een bod uitbrengen om een advertentie te mogen tonen, en het hoogste bod wint dan. Maar geen hond wordt daar duidelijk over geïnformeerd, dus de AVG-schending zie ik wel.

Het probleem is natuurlijk de schade: welk geldbedrag kun je zetten op het leed dat ik heb ondervonden door dit proces?Daar kom je niet uit. Vandaar:  claims bundelen om zo massa te creëren waardoor er genoeg geld binnenkomt. Daar hebben we een wettelijke basis voor, de Wet afhandeling massaschade in collectieve actie (Wamca). Maar om te voorkomen dat iedereen een stichting opricht en claimt namens heel Nederland, eist die wet dat je moet aantonen voldoende representatief te zijn.

TPC deed dat zo (afbeelding uit vonnis):

Inderdaad, één klik was genoeg. Weliswaar met serverside ontdubbelen op basis van IP-adres en een onafhankelijke audit, maar geen inschrijfformulier, betaling of andere techniek om officiële NAW gegevens van je achterban te verzamelen.

De rechtbank heeft daar moeite mee, om twee redenen:

  1. De tekst van de knop is te vaag: steunt men concreet de claimrechtszaak of enkel het abstracte idee van grote bedrijven aanpakken wegens inbreuk (“je stem laten horen”)? Die vond ik ook wat gezocht.
  2. De organisatie dient nauwkeurig te omschrijven voor welke groep personen zij opkomt. “Zij die ons liken” is niet nauwkeurig genoeg, bijvoorbeeld omdat we nu niet weten of deze personen in de relevante periode een cookie van Oracle en Salesforce op hun apparatuur hebben gehad.
Deze twee punten zijn fundamenteel en TPC mag terug naar huis om na te denken over een volgende zaak. Dit alsnog herstellen vindt de rechtbank niet de bedoeling. Je moet op dit punt je zaken in één keer op orde hebben.

Voor de volledigheid (en dat is opmerkelijk, want als de zaak afgeschoten is dan hou je normaal op met vonnissen) komt de rechtbank nog met een juridische spitsvondigheid: kún je wel namens een achterban een AVG-claim indienen als stichting? Of moet je per benadeelde een procesvolmacht hebben? Ik dacht nooit dat dat een discussie was: het hele punt van zo’n stichting is immers een collectieve claim te kunnen doen. Als je dan alsnog van iedereen apart een formulier moet hebben, dan schiet dat niet bepaald op. Maar goed, de rechtbank houdt het bij de signalering en trekt geen conclusie.

Arnoud

Massaclaim tegen Oracle en Salesforce wegens privacyschendingen

| AE 12145 | Privacy | 9 reacties

De Nederlandse claimstichting The Privacy Collective is een massaclaim tegen Oracle en Salesforce gestart omdat de bedrijven de persoonsgegevens van miljoenen Nederlanders zouden misbruiken. Dat meldde Security.nl onlangs. Oracle en Salesforce zijn beide zeer actief op de online advertentiemarkt en houden zich bezig met online advertentieveilingen, waarbij grootschalig in profieltoegang wordt gehandeld. Het is (na de Consumentenbond) de tweede massaclaim onder de AVG, en ik hoop natuurlijk dat er nog vele gaan volgen als dit een mooi uitgewerkt precedent gaat opleveren. Opmerkelijk voor sommigen is nog dat de claim wordt gefinancierd door het Britse Innsworth litigation funding, om zo het verbod op no cure no pay te omzeilen.

In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent. Hoe meer informatie je dan kunt combineren, hoe beter je dat kunt. Vervolgens kun je een bod uitbrengen om een advertentie te mogen tonen, en het hoogste bod wint dan. Zoals Emerce het uitlegt:

Elke keer wanneer iemand een website bezoekt die gebruik maakt van RTB, worden er via een zogenoemd bid request persoonlijke gegevens gedeeld met tientallen zo niet honderden bedrijven. Die gegevens kunnen onder andere bestaan uit informatie over je exacte locatie, wat je online leest, luistert of kijkt, gevoelige informatie over je gezondheid of seksueel gedrag, en unieke codes waarmee op lange termijn een uniek profiel kan worden opgebouwd.
Twee van die bedrijven zijn dus Salesforce en Oracle. En nee, ik heb ook nooit informatie van ze gehad dat ik met cookies werd ge-rtb’d, laat staan dat mij duidelijk is gemaakt onder welke grondslag hier werd geopereerd. Dus ik zie de AVG overtredingen wel.

Het probleem is natuurlijk de schade: welk geldbedrag kun je zetten op het leed dat ik heb ondervonden door dit proces? Daar kom je niet uit, en welk bedrag het ook is, een beetje procesadvocaat komt daar zijn bed niet voor uit. (Niet arrogant bedoeld want weinig ondernemers zijn bereid om voor 500 euro opbrengst tienduizend euro kosten te maken.) Dus het moet wel massaal, claims bundelen om zo massa te creëren waardoor er genoeg geld binnenkomt.

Dan kun je dus no-cure-no-pay opereren als advocaat, maar dat mag niet in Nederland. Je krijgt dan als advocaat belang bij de uitkomst, bijvoorbeeld omdat je niet wil schikken (dat levert dan minder op) terwijl dat voor de klant de beste uitkomst zou zijn. En dat is dus waar Innsworth om de hoek komt kijken: die betalen de proceskosten, zodat de advocaat gewoon op uurtje-factuurtje werkt en naar de beste uitkomst kan streven.

Daar staat tegenover dat Innsworth een percentage van de opbrengst krijgt, als compensatie voor het risico. Dat geeft ophef; is dat niet zelf óók dan rijk worden van datahandel? Zeker met getallen als 30% die langsvliegen. Hoogleraar Joris van Hoboken (tevens bestuurslid van de stichting die deze rechtszaak aanspande) wijst erop dat het effectief maar om 11% gaat. En ik vind het argument sowieso wat ver gezocht, procedures als deze hebben geen kans van slagen als er niet iemand met een zak geld de boel voorfinanciert. En omdat deze partij risico loopt (bij verlies krijgen ze geen cent) snap ik de wens tot meeropbrengst wel.

Arnoud