Ledensessie met The Privacy Collective over zaak tegen Oracle en Salesforce

Slide uit presentatie van The Privacy Collective.

Op 30 november 2020 kwamen het bestuur van ISOC NL, enkele ISOC NL leden, en The Privacy Collective bijeen om te spreken over de rechtszaak die loopt tegen Oracle en Salesforce. Christiaan Alberdingk Thijm, de advocaat die vanuit Nederland betrokken is bij de zaak, presenteerde in detail de achtergrond en voortgang van de zaak.

De sessie kwam voort uit de beslissing van het bestuur van ISOC NL om het initiatief van Stichting The Privacy Collective te steunen in hun aanklacht tegen Oracle en Salesforce.

Het profileren van internetgebruikers – in dit geval ruim 10 miljoen Nederlandse internetgebruikers – door middel van cookies maakt inbreuk op de privacy van deze burgers. Dat geldt ook voor het verhandelen van die profielen, die gevoelige persoonlijke gegevens bevatten. Deze werkwijze, die een groot deel van de ad tech industrie kenmerkt, vormt een bedreiging voor het behoud van een open, veilig en eerlijk Internet, waardoor het regelrecht indruist tegen de missie en kernwaardes van de Internet Society. Daarnaast is het handelen van Oracle en Salesforce in strijd met de wet. The Privacy Collective wil deze zaak voor de rechter brengen, en eist compensatie.

De online sessie had de vorm van een open discussie, waarbij Christiaan Alberdingk Thijm een toelichting gaf op het onderwerp en de ISOC NL leden en het bestuur de mogelijkheid hadden hier vragen over te stellen en hun visie te delen. De deelnemers aan de sessie kwamen voornamelijk uit de digitale rechten hoek. Tessel Renzenbrink, ISOC NL bestuurslid, was de moderator van de sessie.

Aanleiding van de zaak

De presentatie begon met een uitgebreide toelichting over de aanleiding van de zaak, waarbij enkele actualiteiten rondom Oracle en Salesforce op het gebied van privacy schending ook aan bod kwamen.

Enkele punten die eruit sprongen waren de overname van Slack door Salesforce en de overname van Bluekai door Oracle. Beide gevallen wijzen op de continue uitbreiding van Salesforce en Oracle als data verwerkende bedrijven die een steeds preciezer gebruikersprofiel kunnen creëren van internetgebruikers, zonder dat die gebruikers er zelf bewust van zijn.

Slide over de verschillende soorten data die Oracle over internetgebruikers verzameld.

Daarbij onderstreepte Alberdingk Thijm ook nog de datalek die in juni bij Oracle plaatsvond, wat vergaande gevolgen heeft voor allen wiens gedetailleerde data opeens publiek te vinden waren. Het probleem met het handelen van Oracle en Salesforce gaat dus voorbij aan het feit dat deze organisaties rijk worden dankzij de verkoop van data van onwetende internetgebruikers: hun waardevolle data kunnen ook nog eens zomaar lekken waardoor hun privacy nog verder gevaar loopt te worden geschonden.

Slide over de datalek die bij Oracle plaatsvond in juni 2020.

Class action als primeur

Een ander belangrijk aspect van de zaak werd tijdens de presentatie nog eens belicht, namelijk het feit dat de Privacy Collective pionier is op het vlak van het aanspannen van een class action. Dit is een nieuw soort rechtszaak die sinds dit jaar mogelijk is in Nederland.

De schade waar de Privacy Collective het over heeft is niet eenmalig, maar geldt voor meerdere jaren, en de schade wordt bovendien geclaimd voor een grote groep Nederlanders. De cookies die bij die groep op de harde schijf zijn geplaatst door Oracle en Salesforce, zonder dat ze dat weten, vormen een tastbaar bewijs van die schending. Die gegevens worden gedeeld in flitsveilingen en via cookie syncing, of cookie matching, uitgewisseld, en zijn bovendien niet goed beveiligd, zoals we weten van de Oracle datalek.

De collectieve actie werkt op basis van opt-out: je hoeft als gedupeerde niet van tevoren aan te geven of je wilt dat deze stichting, speciaal voor dit doel opgericht, jouw belangen behartigt. Er wordt automatisch voor tien miljoen Nederlanders opgekomen, mits de rechtbank oordeelt dat de stichting representatief is. Dat is ook de directe reden waarom The Privacy Collective draagvlak nodig heeft en meerdere organisaties, waaronder ISOC NL, om steun heeft gevraagd.

Deze steun kan nog steeds gegeven worden, ook door particulieren, via theprivacycollective.eu en is cruciaal voor het slagen van de zaak.

Diepgaande vragen

De aansluitende vragenronde was interessant en diepgaand dankzij de meerdere experts op het gebied van digitale rechten die aanwezig waren. Deelnemers konden onder andere via een Miro bord hun vragen stellen, wat bijdroeg aan een dynamische vragenronde.

Screenshot van het Miro bord voor de vragenronde.

Een van de vragen die gesteld werd richtte zich op Facebook: waarom is The Privacy Collective niet achter Facebook aangegaan, ook al worden gebruikers met een Facebook account door pixels gevolgd? Komt dat doordat er nog niet een dergelijk datalek heeft plaatsgevonden zoals bij Oracle?

Het antwoord is tweeledig. Enerzijds loopt er nu een procedure tegen Facebook door een andere stichting, de Data Privacy Stichting. Deze zaak wordt door de Consumentenbond gesteund. Het gaat in dit geval om een andere soort zaak dan de class action die tegen Oracle en Salesforce loopt. Anderzijds wilde The Privacy Collective juist niet een household name aanspreken, maar juist Salesforce en Oracle, zodat internetgebruikers zich ook realiseren hoe andere partijen invloed hebben op privacy schending en daar meer bewustzijn over wordt gegenereerd.

Een vraag die daarop aansloot ging over de gevolgen van een dergelijke zaak op het data verdienmodel van data verwerkende bedrijven zoals Oracle en Salesforce. Hoe verstrekkend zullen die gevolgen zijn, en zullen die alleen in Nederland gelden of in heel Europa?

‘Interessante vraag, maar helaas kunnen we niet in een glazen bol kijken’, aldus Alberdingk Thijm. Wel is er nu al een groot aantal partijen die op andere manier advertenties gaat inrichten. In plaats van behavioral targeting wordt gekozen voor contextual targeting, de ‘ouderwetse’ manier van adverteren op basis van de inhoud van een website. ‘Het bizarre is dat dit succesvoller is dan personal targeting. De Ster en The New York Times doen het veel en met succes. Het zou kunnen dat andere partijen uit commercieel oogpunt ook zullen beslissen op deze manier verder te gaan.’

Daarnaast heeft The Privacy Collective ook op dit vlak expliciet gekozen om niet Facebook en Google als focus te nemen in de zaak. ‘Dit is zo’n grote tak van sport, met zoveel actieve partijen, dat de industrie too big to fail is. Google en Facebook zullen nooit stoppen met zulke diepe zakken. Maar op termijn, als deze uitspraak een duidelijke signaal kan afgeven en de industrie een tik krijgt, kunnen ook grote partijen als zij afgeremd worden. In dat geval zal het gelden voor heel Europa, want de AVG geldt in heel Europa.’

‘Wij zijn de eersten die zo’n zaak indienen in Nederland, maar in heel veel landen zijn dit soort klachten al ingediend. Die lopen veel vertraging op, maar het zou kunnen dat door een positieve uitspraak op onze zaak die klachtprocedures in een versnelling komen.’

Er staat dus niet alleen veel op het spel voor The Privacy Collective en de Nederlandse internetgebruikers die getracht worden te beschermd, maar ook voor Europese tegenhangers van The Privacy Collective die in hun respectievelijke landen iets vergelijkbaars proberen te bereiken.

ISOC NL steunt deze zaak volledig, al helemaal na deze deep dive waarbij de urgentie van de zaak nog sterker is gebleken. Via de site van The Privacy Collective kan de voortgang van de zaak verder gevolgd worden.