Stichting The Privacy Collective begon op 14 augustus een zaak voor de rechtbank Amsterdam, terwijl mySociety later deze maand een zaak aanspant voor de High Court in Londen op grond van de Privacy of Electronic Communications Regulation (PECR).

In beide zaken wordt een te claimen bedrag van 5 miljard euro genoemd, 10 miljard samen. De Nederlandse zaak komt naar verwachting in december 2020 voor. Deelnemers kunnen intekenen op de claim en wellicht in aanmerking komen voor schadevergoeding. De schade wordt begroot op 500 euro per persoon (wat Oracle betreft 100 euro extra vanwege een datalek).

Het bedrag is gebaseerd op een uitspraak van de Raad van State van april 2020, die een patiënt van het Pieter Baan Centrum 500 euro toewees na illegaal datadelen. Voor een individu is de schade te klein om een advocaat te kunnen betalen, in een collectieve actie is het wel mogelijk om voor iedereen een klein bedrag te vorderen. De Stichting biedt handleidingen onderzoeken of er Oracle en/of Salesforce cookies aanwezig op apparatuur is geplaatst. Hoe de identificatie zal plaatsvinden is nog ongewis.

De Britse zaak wordt gedaan door mySociety, in de persoon van hoofdonderzoeker Rebecca Rumbul, tevens toezichthouder bij de Advertising Standards Authority (ASA) in Groot-Brittannië. Zij laakt de geniepigheid van de ingezette technologie. Oracle en Salesforce zijn zeker niet de enigen die met hun DMP op deze wijze datagraaien, maar ze behoren tot de grootste en hebben voldoende middelen om te betalen als de claim wordt toegewezen. De avocaat is Cadwalader.

Harde klachten en ontkenningen

Oracle en Salesforce verzamelen op ieder moment en op grote schaal gegevens van websitebezoekers. Dat doen ze via technologie van Krux Digital, eerder gekocht door Salesforce en BlueKai dat in 2014 onderdeel van Oracle werd. Beide partijen exploiteren een geavanceerd Data Management Platform (DMP) voor het verzamelen van persoonsgegevens voor derde partijen met third party cookies en fingerprinting technologie.

Deze verwerking en profilering van individuen voor het aanbieden van gepersonaliseerde online advertenties via flitsveilingen (Real-Time Bidding) die daarvan het gevolg is, is inzet van de rechtszaken. Volgens de klagers is het delen van de persoonsgegevens met talloze commerciële partijen, zowel adverteerders direct als ad-tech bedrijven die reclame real-time vertonen, illegaal. Gebruikers geven immers geen goed geïnformeerde toestemming voor het delen met derde partijen die volgens de AVG genoemd moeten worden in de privacyverklaringen.

Ondermeer Amazon en Spotify gebruiken de aangeklaagde dataplatforms en zijn als verwerker van de data medeverantwoordelijk, maar zijn zelf niet aangeklaagd. In deze markt gaat zo’n 6 miljard euro mondiaal om. Oracle beweert drie  miljard profielen te hebben opgebouwd via 15 miljoen websites. De zaak zal draaien om de vraag of aangeklaagde partijen voldoen aan de informatieplicht en of de profilering met dataopslag illegaal is. Op de achtergrond speelt de vraag of de third party cookiemarkt hard geraakt kan worden op grond van de AVG.

Oracle en Salesforce reageerden fel met de bewering dat ze aan alle privacyregels voldoen. Dorian Daley, chefjurist van Oracle: ‘The Privacy Collective is bewust een ongerechtvaardigde actie begonnen op basis van een opzettelijk verkeerde voorstelling van zaken…Oracle heeft geen directe rol in het real-time biedproces (RTB), heeft een minimale data-operatie in de EU en heeft een uitgebreid GDPR compliance programma.’

Oracle heeft dit eerder uitvoerig geantwoord op vragen van The Privacy Collective, zo blijkt, maar die heeft de rechtszaken doorgezet. Salesforce kwam met de formele verklaring: ‘Niets is belangrijker voor ons dan de privacy en veiligheid van de gegevens van onze zakelijke klanten… Salesforce is het niet eens met de beschuldigingen en is van plan om aan te tonen dat ze ongegrond zijn.’

Kritiek op gehaaide investeerder

Innsworth, een investeerder in juridische claims die eigendom is van het Amerikaanse hedgefonds Elliott, financiert de rechtszaak. Elliott werd door Bloomberg de meest gevreesde investeerder genoemd. Bij succes met de Claim van Privacy Collective int dit bedrijf geen 30 procent van de opbrengst zoals het FD meldde maar via een staffel 25, 15 en 10 procent. Bij 5 miljard zou dat op 11 procent komen volgens Privacy Collective, nog altijd 500 miljoen euro.

500 Euro keer 10 miljoen internetters maakt 5 miljard. Maar het is twijfelachtig of genoemde bedragen worden gehaald. Zo heeft de massaclaim van Consumentenbond tegen Facebook 150.000 intekenaars ondanks het zicht op ‘gratis geld’. Immers, hedenmorgen had Privacy Collectiove een kleine 2.000 steunbetuigingen.

De investering van Innsworth behelst ook betaling voor de zaak. Dat geld gaat eerst naar Christiaan Alberdingk Thijm van bureau Brandeis, een van ’s lands beste advocaten in het digitale domein, die de Nederlandse zaak doet. Tegen FD zei hij over de hoogte van zijn inkomen: ‘Een onderzoeksbudget waar een toezichthouder jaloers op zou zijn.’ 

Er kwam kritiek van Marleen Stikker van De Waag: ‘Ik vind deze zaak zeer dubieus. Een hedgefund dat 30% van de claim van 5 miljard wil binnenhengelen door op te komen voor digitale burgerrechten met het argument dat persoonlijke data handelswaar is. Kapitalisme ten top.’

Joris van Hoboken van de The Privacy Perspective vindt het debat over deze nieuwe vorm van handhaving van privacyrechten ‘gezond en terecht’ en zegt ook: ‘Onze motieven, d.w.z. de motieven van de stichting zijn niet commercieel (zie ook statuten). Voor de funder ligt dat uiteraard anders, maar met een onafhankelijke stichting zit daar dus een cruciale check op. Ik zou niet betrokken zijn als dat niet zo was.’

Nu is principieel de vraag wat beter is: de belastingbetaler die niets aan jou heeft je salaris laten betalen (socialisme, De Waag) of belanghebbenden die opportunistisch geld willen verdienen aan bestrijding van een misstand  (kapitalisme voor deze claim). Het gaat om keiharde datahandel van miljardenbedrijven terwijl Europese consumenten niet genegen zijn bij voorbaat een bedrag te betalen om mee te doen. Dat kan de inbreng rechtvaardigen van ‘vuil kapitaal’ om ‘vuil kapitaal’ te bestrijden. De zaak zal ook duidelijk maken of er een claimcultuur voor databescherming op komst is, waartoe de Nederlandse wet sinds kort mogelijkheden schept.

Nederlandse steun

Privacyclubs Bits of Freedom en Privacy First, provider Freedom Internet en Qiy Foundation voor persoonlijk databeheer hebben hun steun toegezegd, maar worden er bepaald niet rijk van. ‘Omdat wij vinden dat de handel in persoonlijke profielen achter de rug van de consument om het consumentenvertrouwen schaadt. Ieder mens wil controle hebben over zijn eigen leven en zelf beslissen welke gegevens met wie gedeeld worden’, aldus Marcel van Galen van Qiy

Op de website staan als bestuursleden van Privacy Collective genoemd Hugo Hollander van Impact Accountants en Annelies van der Ploeg van advocatenkantoor BarentsKrans en Joris Hoboken. De Raad van Toezicht telt nu twee leden, de juristen Inge-Lisa Toxopeus en Wil Tonkens-Gerkema.

De stichting conformeert zich aan de Claim Code die winstbejag moet uitsluiten. Uit de statuten van de oprichting op 5 augustus 2020 in Amsterdam blijkt dat het bestuur bestaat uit minstens drie leden die het bestuur zelf benoemt, onder goedkeuring van de Raad van Toezicht. Die kan hen belonen voor hun werk en daarover wordt in het jaarverslag gerapporteerd. Het bestuur vertegenwoordigt de stichting, met tenminste twee handelende bestuursleden. De RvT benoemt de eigen leden.

De stichting is opgericht door Jan Willem Broekema, voorheen lid van het bestuur van de voorganger van de Autoriteit Persoonsgegevens. De tweede oprichter is de onafhankelijke rechtswetenschapper Joris van Hoboken van de Vrije Universiteit Brussel (Microsoft-leerstoel), en voorheen werkzaam voor Bits of Freedom.