15 februari 2024

Digitale transformatie

Schaduwprofielen en Real Time Bidding

Een korte samenvatting van de zaak: het gaat inhoudelijk over beschuldigingen tegen Oracle en Salesforce. Zij zouden zich op grote schaal en systematisch schuldig hebben gemaakt aan inbreuken op de privacy van Nederlandse internetgebruikers door de door hun aangeboden diensten. Het gaat hier om de Data Management Platforms (DMP's). Deze platforms worden ervan beschuldigd enorme hoeveelheden persoonsgegevens van internetgebruikers te verzamelen zonder hun toestemming, daarmee gedetailleerde profielen te creëren en deze informatie te gelde te maken door middel van Real Time Bidding (RTB). Dit alles zou volgens TPC leiden tot een schending van de AVG en de Telecommunicatiewet (1).

10 miljard

Ten eerste, hoe zit het met dat enorm hoge bedrag van 10 miljard? De dagvaarding beschrijft de ernst en reikwijdte van de vermeende privacyschendingen. In het 226 pagina tellende document vordert TPC een vergoeding op grond van de immateriële schade die zou zijn veroorzaakt door de onrechtmatige verwerking. De stichting eist een forfaitaire vergoeding, die dient als een praktische oplossing voor het vaststellen van schadevergoeding. De keuze voor een abstracte begroting van €500 per getroffen individu is gebaseerd op de ernst van de vermeende schendingen, de aard van de verwerkte persoonsgegevens en de mate van verwijtbaarheid. Een dergelijke begroting van de schade is met name relevant in de context van AVG-schendingen, waar immateriële schade niet precies te kwantificeren is. De forfaitaire vergoeding strookt echter niet met de aard van het Nederlandse schadevergoedingsrecht omdat een dergelijke vergoeding zou wijzen op een punitieve functie van dit recht. TPC beroept zich op de uitzondering op deze regel gezien de voor de hand liggende nadelige gevolgen die de schendingen van de fundamentele rechten veroorzaken. Zij wijst hierbij naar de prejudiciële beslissing van de Hoge Raad in de Groningerveld zaak (2) die een dergelijke uitzondering gedefinieerd heeft.

De positie van TPC, ondersteund door uitgebreid technisch onderzoek, waaronder onderzoek door Dr. Muhammad Ahmad Bashir (3), belicht de privacygevoelige aard van de trackingtechnologieën van Oracle, Salesforce en de Adtech industrie in het algemeen. De bevindingen uit het onderzoek onthullen het plaatsen van trackingcookies op een breed scala aan populaire Nederlandse websites, wat volgens TPC leidt tot de conclusie dat vrijwel elke Nederlandse internetgebruiker is getroffen. De omvang van de vermeende gegevensverzameling en -verwerking, gecombineerd met daaropvolgende inbreuken en lekken, onderstreept het potentiële gevaar voor de privacy en controle over persoonlijke informatie van Nederlandse internetgebruikers.

Ontvankelijkheid

Afgelopen donderdag vond de mondelinge behandeling van de zaak in hoger beroep plaats, waarbij de stichting opnieuw de kans kreeg haar ontvankelijkheid aan te tonen. De stichting komt op voor alle Nederlandse internetgebruikers die de trackingcookies van Oracle en Salesforce op hun computer hebben staan. Ondanks brede steun van verschillende NGO's en de Nederlandse Consumentenbond, staat de representativiteit van de stichting lang niet vast. De vraag of de stichting voldoende representatief is voor haar achterban is in eerste aanleg ontkennend beantwoord vanwege het door TPC gekozen 'Like' systeem (4). De rechtbank oordeelde dat de achterban niet bewust zou zijn van wat zij steunde door het enkele aanklikken van een steun knop. Verder zou de omstandigheid dat de stichting handelt vanuit het principe van Data-minimalisatie , volgens de rechtbank, interactie met de achterban onmogelijk maken nu TPC niet over haar contactgegevens beschikt. TPC stelt in hoger beroep dat de rechtbank de representativiteit niet juist heeft beoordeeld. Zij stelt dat de organisatie haar achterban wél kan bereiken, de achterban wél weet wat zij steunt en benadrukt het recht van Nederlanders om door middel van een opt-out systeem te worden vertegenwoordigd. TPC blijft hiermee principieel achter haar data-minimalisatiebeleid staan, iets waar het Hof de organisatie moeilijk voor kan straffen gezien de raison d'être van de organisatie. Bovendien wijst TPC naar de brede steun van een grote groep privacy gerichte NGO’s en de Consumentenbond als bewijs voor haar representativiteit.

De uitspraak van het gerechtshof Amsterdam volgt op 18 juni 2024. De uitkomst van de zaak kan een precedent scheppen voor de private handhaving van gegevensbescherming in heel Europa, al dan niet voor de ontvankelijkheidstoets van de WAMCA.

Wil je meer weten over de WAMCA en de ontvankelijkheidstoets voor belangenbehartigers? Lees dan het recente artikel van Anouck Bakhuis (SOLV Advocaten).

(1) https://theprivacycollective.nl/wp-content/uploads/2024/01/RBAMS-dagvaarding-collectieve-vordering-Oracle-Nederland-BV-SFDC-Netherlands-BV-Oracle-Corporation-Oracle-America-Inc-Salesforce-4.pdf

(2) https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:HR:2019:1278

(3) https://www.khoury.northeastern.edu/home/ahmad/publications/bashir-thesis.pdf

(4) https://www.rechtspraak.nl/SiteCollectionDocuments/RBAMS-eindvonnis-tpc-oracle-en-salesforce.pdf

Over de auteurs

  • Christian Cordoba Lenis

    Christian Cordoba Lenis is nieuwsredacteur voor PONT | Data & Privacy. Cordoba Lenis is geïntrigeerd door het raakvlak tussen technologie en recht. Cordoba Lenis heeft zowel een juridische als een technische achtergrond en waagt zich nu aan het journalistieke vak.

    PONT | Data & Privacy

Gerelateerd nieuws

NPD-monitor: partijen missen visie op uitvoerbaarheid beleid en publieke dienstverlening

Het Netwerk van Publieke Dienstverleners (NPD) concludeert in de nieuwste NPD-monitor dat veel politieke partijen in hun verkiezingsprogramma’s te weinig aandacht besteden aan de uitvoerbaarheid en eenvoud van beleid. Volgens het netwerk ontbreekt in tal van programma’s een samenhangende visie op hoe publieke organisaties beleid daadwerkelijk kunnen uitvoeren, en hoe regelgeving begrijpelijk blijft voor burgers.

Strijd tegen cybercrime krijgt mondiale vorm, maar tegen welke prijs?

De Europese Unie heeft aangekondigd de nieuwe VN-Conventie tegen cybercriminaliteit te zullen ondertekenen. Daarmee zet de EU een belangrijke stap in de internationale strijd tegen online misdaad en digitale aanvallen. De conventie – die op 25 oktober 2025 in Hanoi officieel wordt opengesteld voor ondertekening – is het eerste wereldwijde verdrag dat gemeenschappelijke regels vastlegt voor samenwerking, opsporing en bewijsdeling in de cyberwereld.

Data & Privacy

Cyberdreiging groeit, voorbereiding blijft achter: een wake-up call voor het mkb

De cyberweerbaarheid van Nederlandse bedrijven staat onder druk. Uit de meest recente cijfers van het International Business Report (IBR) blijkt dat het aantal significante cyberincidenten in het mkb en de mid-market fors toeneemt. Tegelijkertijd daalt het aantal bedrijven met een structureel cybersecuritybeleid. Lees hieronder de bijdrage van Grant Thornton.

Data & Privacy

Hoe digitale onafhankelijkheid organisaties helpt cyberdreigingen te weerstaan

De afgelopen jaren heeft een groot deel van de Nederlandse bedrijven hun data en bedrijfssoftware ondergebracht bij Amerikaanse Tech-reuzen. Hoewel deze samenwerking vaak innovatie en schaalbaarheid heeft gebracht, groeit de roep om digitale onafhankelijkheid. Politieke spanningen en toenemende cyberdreigingen benadrukken hoe kwetsbaar deze afhankelijkheid kan zijn. Wat betekent dit voor Nederlandse organisaties, en hoe kunnen zij zich voorbereiden op een toekomst waarin digitale soevereiniteit steeds belangrijker wordt? Lees hieronder de antwoorden van Kristian Mepschen, Senior Manager bij BDO.

Data & Privacy

Meer nieuws