Claimclub niet ontvankelijk

Waardering The Privacy Collective na vonnis van 11.000.000.000 naar 0 euro

The Privacy Collectieve representeert geen 75.000 Nederlanders in de claim jegens Oracle en Salesforce, laat staan 10 miljoen Nederlanders. De rechter maakt gehakt van de eerste en belangrijkste claim inzake AVG en Wamca. En ziet ook een discrepantie tussen deze beide wetten, die nog spannend voer voor juristen wordt.
Wat vinden de experts?

Een koude douche vormt het vonnis van de rechtbank Amsterdam van 29 december 2021 voor The Privacy Collectieve (TPC). Salesforce en Oracle zijn met een eis tot schadevergoeding van 1 miljard euro gedaagd op grond van de Wet afwikkeling Massaschade in collectieve actie (Wamca).

TPC is volgens de rechters Jongeneel, Bockwinkel en Broesterhuizen van de rechtbank Amsterdam niet voldoende representatief, want kan een voldoende ondersteuning door belanghebbenden of gedupeerden niet hard maken.

Juristen onoplettend?

Ze konden eenvoudigweg meedoen met een klik op de button met het duimpje met de tekst ‘steun met 1 klik’. Dit leverde volgens TPC 75.000 ‘likes’ op, en faalt volgens de rechtbank op twee cruciale punten:

1. Het niet vastgesteld of de personen die de klik maken behoren tot de kring van benadeelden.

2. TPC registreerde geen contactgegevens, zodat TPC geen contact kan onderhouden met haar achterban, terwijl de Wamca dat wel vereist.

Lisa de Boer en Geert Potjewijd van De Brauw Blackstone namens Oracle en Salesforce winnen hun zaak winnen hun zaak voor het niet-ontvankelijk verklaren van de claimzaak even glansrijk als eenvoudig van Christiaan Alberdingk Thijm en Frank Peters bureau Brandeis, verdedigers van The Privacy Collective.

Ook juristen als Annelies van der Ploeg en Joris van Hoboken in het bestuur hebben het voeren van een claimzaak te lichtvaardig opgevat.

De rechtbank biedt TPC geen gelegenheid om deze gebreken nog te herstellen, zoals conform de Wamca wel mogelijk is, maar verklaart haar wegens gebrek aan representativiteit direct niet-ontvankelijk. Wel is nog hoger beroep mogelijk dat gevoerd zal worden op grond van een betere methode van registratie.

Inschrijving lijkt fraudegevoelig

Bij een test van Netkwesties met inschrijving vanaf één apparaat via verschillende browsers, zoals met Tor en Brave, telden kliks eenvoudig op tot deelname; , ook met afscherming van IP-nummer. Dus één persoon kan op veel verschillende wijzen registreren.

In de privacyverklaring staat dit als volgt: ‘Als u ervoor kiest om op de “Laat uw steun zien”-knop op onze website of op de direct support link in een advertentie op Facebook te klikken, wordt een cookie gebruikt om uw steun te registreren, inclusief de datum en tijd, en een unieke (gehashte) identifier om ervoor te zorgen dat uw steun maar één keer wordt meegeteld. Daarnaast zorgt de cookie ervoor dat de “Laat uw steun zien”-knop gedeactiveerd wordt bij toekomstige bezoeken aan de website.’

Maar bij het testen van de methode zagen we achter elkaar door de knop weer verschijnen in verschillende browsers. En na enkele dagen nog steeds, en werden steunbetuigingen wederom meegeteld.

Alberdingk Thijm zegt namens TPC dat de teller de kliks van steunbetuigingen wel optelt, maar dat dit achteraf wordt gecorrigeerd: ‘In de backend van het systeem vinden verschillende controles plaats waardoor dubbeltellingen zoveel mogelijk worden uitgesloten. Er kan vanaf een IP-adres maar één keer steun worden gegeven. Vanuit organisaties met een vast IP kan dus maar een keer gesteund worden.’

TPC heeft op deze methode van deelneming een onafhankelijke audit laten doen door Q-bit. Alberdingk Thijm: ‘De aantallen die we hebben gemeld in de procedure zijn met dat soort waarborgen geverifieerde en gecorrigeerde aantallen. Het gevolg is dat het opgegeven aantal conservatief is.’

Dat waren er 75.000, inmiddels staat de teller op 112.000. Volgens TPC is het niet nodig vast te stellen om welke personen het gaat, en dus strijdig zijn met de bepaling van de AVG dat je aan dataminimalisatie moet doen. E-mail adressen verzamelt TPC apart van de gegeven steun verzameld met een knop ‘Blijf op de hoogte’.

Andere claimzaken beter opgezet

TPC kan zich geen afgang veroorloven, dus zal in hoger beroep (moeten) gaan met een betere methode om representativiteit aan te tonen. Ook tegenover investeerder Innsworth moet TPC zich verantwoorden, ofschoon deze volgens de statuten inhoudelijk niets heeft in te brengen.

Dit vonnis zet andere partijen in massaclaimzaken even aan het denken over de representativiteit van wat ‘gedupeerden’ wordt genoemd. In de zaak tegen Facebook is de Consumentenbond wel ontvankelijk verklaard. In de drie zaken tegen TikTok lijkt de valide inschrijving veel beter geregeld dan door TPC.

Massaschade en Consument heeft een uitgebreide registratie. TikTokClaim van Somi heeft het ook zorgvuldig opgetuigd vanwege een noodzakelijke betaling na mailbevestiging. De registratie voor de Consumentenbond en Stichting Take Back Your Privacy leidt via een mailbevestiging tot het aanmaken van een account. (Maar er is geen controle van de ware identiteit van een inschrijvende persoon.)

Nog lang niet gewonnen

In de TPC-zaak is het de vraag nog of Salesforce en Oracle als tussenpersonen met hun (real-time bidding) reclameveilingen zelf de verantwoordelijke dataverwerker zijn of slechts tussenpersoon voor de exploitanten van websites die de cookies plaatsen en datavergaring in gang zetten. Dat wordt in de inhoud van de zaak.

Maar mochten Oracle en Salesforce de dans ontspringen met ‘vrijspraak’, dan kan de zaak verder worden voortgezet tegen de exploitanten die op grote schaal gebruikgemaakt hebben van de veilingen van Oracle en/of Salesforce zoals grote uitgever DPG Media en Bol.com. Of kijk voor de grap even naar de lijst met cookies/trackers van Marktplaats, mede een gevolg van het werken met veel derde partijen.

Momenteel gaan de uitgevers overigens vooral met first party cookies verder om zelf profielen op te bouwen, maar voor de praktijk maakt dat niet eens zo veel uit. Zo sloot Mediahuis, in Nederland uitgever van NRC en Telegraaf, in Ierland een overeenkomst met Oracle voor inzet van technologie voor gerichte digitale reclame.

Wamca en AVG

Voor juristen speelt nog een boeiende kwestie uit het Amsterdamse vonnis inzake TPC. Er zit een spanningsveld tussen de AVG en de Wamca. Wamca laat een claimstichting toe compensatie te eisen. De AVG laat een claimstichting toe alleen een rechtszaak te voeren over AVG-schending, de compensatie moeten betrokkenen individueel en zelf eisen. De AVG noemt namelijk het compensatie-artikel in AVG niet in het artikel over collectieve actie, de Wamca wel.

Dus speelt de vraag: geldt de Wamca of de AVG voor de wijze van financieel claimen? Hier zie je weer zo’n discrepantie tussen de ‘normale’ praktijk zoals mensen die ervaren en juridische haarkloverij waar de hele privacybescherming mee gepaard gaat. Dat toont ook de TPC-zaak. De enige winnaars tot nu toe zijn de advocatenkantoren Brandeis en De Brauw Blackstone.

Waardering The Privacy Collective na vonnis van 11.000.000.000 naar 0 euro
Waardering The Privacy Collective na vonnis van 11.000.000.000 naar 0 euro

Gepubliceerd

2 jan 2022

Wat vinden de experts?

2 jan 2022

Niet rouwig om

De eerste uitspraak in een Nederlandse privacy massaclaim zaak is een feit. Die van The Privacy Collective tegen Oracle en Salesforce, groots aangekondigd, is afgegaan als nat vuurwerk. Ik heb al eens eerder uitgelegd wat ik van privacy massa acties vind: een nuttige aanvulling op het nog (steeds) onvolwassen toezichtapparaat. Maar het rabiate verdienmodel van de specifieke claimsfunder achter deze actie zint me niet: hier zijn in mijn ogen grondrechten in de uitverkoop gedaan.

Daarom ben ik er eerlijk gezegd niet heel rouwig om, dat deze zaak nu afgeserveerd is op een procedureel issue. De rechter was strikt bij de eerste toepassing van de Wamca en wil aangetoond zien dat een claimvehikel de betrokkenen ook echt vertegenwoordigt. Dat The Privacy Collective dat met het vaststellen van een “like” met geringe privacy impact dacht te kunnen verbaasde me al: zelfs de petitie XS4ALL-moet-blijven die uiteindelijk leidde tot de oprichting van Freedom Internet, bepaald ook geen vrienden van datagraaien, deed het al beter door te vragen om een email registratie met bevestiging. 

Wel jammer is dat er nu enorm veel uren aan topadvocaten uitbetaald zijn door zowel The Privacy Collective als ook Oracle en Salesforce zonder enig positief effect op gegevensbescherming. Hun omzetten op dit dossier moeten nu al in de tonnen lopen. Ik gun advocaten hun brood, maar het begon in mijn ogen al uit de hand te lopen nog voordat een, ongetwijfeld langdurige verdere behandeling maar gestart was.

De rechter lijkt het ook jammer te vinden dat hij moest stoppen na dit procedureel verzuim geconstateerd te hebben: hij kon zich niet uitspreken over een ander juridisch heikel punt dat speelt tussen de AVG en de Wamca. De Wamca, lager Nederlands recht, stelt dat vertegenwoordigers ongevraagd schade kunnen claimen namens de mensen die zij stellen te vertegenwoordigen in een opt-out systeem. De AVG zegt dat de betrokkenen daarvoor opdracht moeten geven: dat is een bewust gekozen opt-in systeem. De vraag ligt dus nu voor: maakt de AVG de WAMCA tandeloos als het gaat om massa-schadevergoedingen voor privacy onrecht? 

Het laatste woord is daar dus nog lang niet over gezegd. Ik verwacht dat dit uiteindelijk naar het Europees Hof zal gaan. Er blijft voldoende werk voor de verleners van juridische bijstand. Al is de animo onder claimsfunders misschien wat afgenomen. Dat is toch winst.

Registreren en de nieuwsbrief ontvangen?

We gaan zorgvuldig met je gegevens om. Je krijgt ook gelijk toegang tot alle plusartikelen en je kunt reageren op de artikelen.

asdas sdf fs dfsdfsf sdffsd