Autoriteit Persoonsgegevens bemoedigt private handhavingsinitiatieven

23-10-2020

De Autoriteit Persoonsgegevens (AP) bemoedigt private handhavingsinitiatieven zoals de class action door The Privacy Collective. De Nederlandse privacytoezichthouder ziet het feit dat burgers het recht in eigen hand nemen als een signaal dat de bescherming van privacy veel mensen aan het hart gaat. Dit laat de AP weten in reactie op vragen van Privacyweb over de class action tegen technologiebedrijven Oracle en Salesforce.

Auteur: Léonhard Weijmar Schultz

Stichting The Privacy Collective sleept technologiebedrijven Oracle en Salesforce voor de rechter wegens het onrechtmatig verzamelen en verwerken van gegevens van miljoenen Nederlandse internetgebruikers. Het is de eerste keer dat een collectieve schadeclaim wordt ingediend wegens de schending van privacy. De non-profitorganisatie roept Nederlanders op hun steun voor de class action te betuigen door naar de website van The Privacy Collective te gaan en daar een duimpje achter te laten. Inmiddels hebben ruim drieduizend Nederlanders dit gedaan. Quinten Snijders, woordvoerder van de AP laat weten dat de toezichthouder private handhavingsinitiatieven, waar de class action door The Privacy Collective een voorbeeld van is, bemoedigt: “Voor de privacy van iedereen is het goed dat burgers ook collectief via de rechter kunnen opstaan tegen schending van hun privacy. Publieke handhaving door de AP en private handhaving via claims voor de rechter kunnen elkaar versterken. Dat is goed nieuws voor de bescherming van de privacy van iedereen.”

Privacyadvocaat Christiaan Alberdingk Thijm is oprichter van en partner bij bureau Brandeis. Hij vertegenwoordigt The Privacy Collective in de class action over profilering en real-time bidding (RTB), waarbij ook nog eens per individu schadevergoeding wordt gevorderd. Alberdingk Thijm is verheugd over de zienswijze van de AP en beaamt de woorden van Snijders: “Ik ben het helemaal eens met de AP dat civiele handhaving zoals de class action en publieke handhaving door de AP naast elkaar kunnen staan, en elkaar ook kunnen versterken.” De keuze voor een class action in plaats van een handhavingsverzoek bij de privacytoezichthouder heeft dan ook weinig te maken met het handhavingsbeleid van de AP, benadrukt Alberdingk Thijm: “Het is eerder een gevolg van de introductie van de Wet afwikkeling massaschade in collectieve actie (WAMCA) en de mogelijkheid die de Algemene verordening gegevensbescherming (AVG) biedt om privaat te handhaven, in combinatie met recente uitspraken van de Raad van State waarin de hoogte van een mogelijke schadevergoeding is bepaald. Een andere interessante bijkomstigheid van de class action is dat de financiële vergoeding direct ten gunste van de gedupeerden komt in plaats van de staatskas. Het is dus eerder díe combinatie van factoren. We zien wel graag dat de toezichthouder dit domein ook kritisch onderzoekt en aanpakt. Een combinatie van civiele en publieke handhaving is extra krachtig.”

WAMCA

Volgens de AP staat de ad-techindustrie volop in de schijnwerpers bij alle Europese privacytoezichthouders: “Overal in Europa is aandacht voor de ad-techindustrie. Zo heeft de Britse toezichthouder Information Commissioner’s Office (ICO) een verkennend onderzoek naar real-time bidding en ad-tech verricht en blijft deze de sector volgen, net als de Ierse Data Protection Commission (DPC).” Ook het onderzoek naar aanleiding van het handhavingsverzoek van Bits of Freedom over RTB loopt nog: “De Ierse DPC doet in dit verband onderzoek naar Google en de Belgische Gegevensbeschermingsautoriteit (GBA) naar Interactive Advertising Bureau (IAB). In het handhavingsverzoek uit 2019 vroeg Bits of Freedom namelijk om onderzoek naar die twee partijen en omdat die in respectievelijk Ierland en België gevestigd zijn, zijn de toezichthouders in die landen leidend. Wij volgen die onderzoeken op de voet.”

Verdienmodellen

Profilering en RTB zijn inmiddels bij veel bedrijven zo’n groot onderdeel van de bedrijfsprocessen, dat handhaving onvoorzienbaar grote gevolgen kan hebben voor technologiebedrijven. Mocht de rechter meegaan in de argumentatie van The Privacy Collective en per individu een schadevergoeding toewijzen, dan staat Oracle en Salesforce volgens de non-profitorganisatie een schadepost te wachten van zo’n tien miljard euro. Een dergelijke uitspraak zal tevens betekenen dat bedrijven van over heel de wereld naar hun bedrijfsprocessen en verdienmodellen moeten gaan kijken. “Het internet is ontstaan in een tijd dat er nog niet zoveel acht werd geslagen op gegevensbescherming. Terwijl technologie voortschreed en er door kunstmatige intelligentie en big data steeds meer mogelijk werd, bleef de aandacht voor privacy achter. Pas sinds 2015 is men zich ten volle gaan realiseren hoe belangrijk de regulering van privacy is. Er is toen een tegenbeweging gekomen die later gestalte heeft gekregen in de AVG”, legt Alberdingk Thijm uit. “Het ‘gratis’ internet-businessmodel moeten we in zijn algemeenheid vanaf. Er zijn andere manieren waarop je reclames aan kunt bieden zonder dat je op grote schaal gegevens verwerkt. Kijk maar naar The New York Times, maar bijvoorbeeld ook naar de STER in Nederland: zij maken gebruik van contextual marketing. Veel bedrijven hebben echter zo lang hun gang kunnen gaan met profilering en RTB dat de werkwijze écht onderdeel is geworden van het internet, waarbij allerlei diensten ‘gratis’ worden aangeboden en de handel in persoonsgegevens een veelgebruikt verdienmodel is.”

Naar verwachting zal de class action tegen Oracle en Salesforce begin 2021 in behandeling worden genomen. “Omdat het om een opt-out-rechtszaak gaat hoeven mensen zich niet aan te melden om in aanmerking te komen voor een schadevergoeding. Wij moeten echter wel aan de rechter kunnen laten zien dat er voldoende steun is voor deze zaak.” Alberdingk Thijm hoopt dan ook dat nog veel meer mensen hun steun voor het initiatief zullen uitspreken. Dit kan op de website van The Privacy Collective.


Van onze partners

Datalekken voor bedrijfsjuristen

→ Lees meer

Privacy in perspectief

→ Lees meer

Privacy-aspecten in fusies en overnames in vogelvlucht

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer