Twee vliegen in één klap
Door IB6-2023 - Caroline van Ekeren 14 mrt 2024
Auteur: mw. mr. Caroline van Ekeren is werkzaam bij ICTRecht, kantoor Amsterdam in de functie van Legal Consultant IT & Privacy. Zij is bereikbaar via: c.vanekeren@ictrecht.nl
Op 15 maart 2023 publiceerde de rechtbank Amsterdam een uitspraak tussen de Data Privacy Stichting (de Stichting) en Facebook. Deze uitspraak ging over het onrechtmatig gebruik van persoonsgegevens en de oneerlijke handelspraktijk die Facebook, nu verdergaand onder de naam Meta, verrichtte tussen 2010 en 2020. Meta doet het goed fout volgens de rechter. Het feit dat Meta zo onrechtmatig handelt zal voor veel mensen niet nieuw zijn, maar de overwegingen daartoe zijn wel interessant.
In dit artikel leg ik je uit wat er gebeurde in deze zaak en waarom. Allereerst zet ik de feiten en de vorderingen van de zaak uiteen. Daarna ga ik in op waarom Meta onrechtmatig persoonsgegevens gebruikte volgens de regels van de Algemene verordening gegevensbescherming (AVG, en haar wettelijke voorganger), en behandel ik de vordering van de Stichting waarin ze stelt dat Meta een oneerlijke handelspraktijk verricht met de manier waarop zij de Facebookdienst in de markt zette. Dit alles met het doel om hier weer lessen uit te trekken. Waar moeten we voor uitkijken? Hoe interpreteert de rechter de AVG en het Burgerlijk Wetboek (BW) – dat ‘boek’ dat al eeuwenlang (1838) bestaat en nu toegepast moet worden op de digitale wereld?
1. De zaak
De Stichting die Meta voor de rechter sleepte is een collectieve belangenorganisatie die als doel heeft privacyrechten effectief te beschermen. Facebook is een online platform van Meta Ierland dat gebruikt wordt door consumenten voor onder meer contact met vrienden, familie en anderen. In dit artikel duiden we Meta Ierland (eerder bekend als Facebook Ierland) aan met ‘Meta’, en het platform zelf met ‘Facebook’ of ‘de Facebookdienst’.
Eind 2014 stelde de Nederlands privacytoezichthouder, de Autoriteit Persoonsgegevens (AP) een onderzoek in naar het verwerken van persoonsgegevens (informatie over personen) door Meta in Nederland. In het rapport uit 2017 zegt de AP dat Meta de Wet bescherming persoonsgegevens (Wbp) schendt, de voorganger van de huidige privacywet. De AP ondernam geen actie meer tegen Meta naar aanleiding van de bevindingen, maar de Stichting ziet het rapport als onderbouwing van haar stellingen.
1.1 Wat vordert de Stichting?
De Stichting vordert in deze zaak dat de rechtbank oordeelt dat Meta toerekenbaar onrechtmatig handelde ten opzichte van haar gebruikers door:
- artikelen 12, 13 en 14 AVG te schenden, doordat (1) externe ontwikkelaars toegang hadden tot persoonsgegevens van de gebruikers en die gebruikten zonder dat de consumenten dat wisten, (2) Meta telefoonnummers (afgegeven voor tweefactor authenticatie (2FA)) van gebruikers ook gebruikte voor gerichte advertenties;
- artikelen 5 en 6 AVG te schenden door (bijzondere) persoonsgegevens te verwerken van gebruikers zonder grondslag;
- de cookieregels uit artikel 11.7a Telecommunicatiewet (verplicht toestemming vragen en krijgen in lijn met artikel 7 AVG) te schenden;
- oneerlijke handelspraktijken te verrichten (artikel 6:193b-d BW) door
- consumenten (gebruikers) niet op tijd te vertellen over het gebruiken en delen met andere organisaties van persoonsgegevens over hen om daarmee winst temaken;
- onduidelijk te zijn over hoe groot het gebruik van die persoonsgegevens over de consumenten was; en
- de consumenten te vertellen dat het gebruik van Facebook volledig gratis was, terwijl in feite werd betaald door de consumenten met (vertrouwelijke) persoonsgegevens over zichzelf.
Dat ‘toerekenbaar onrechtmatig’ is relevant als consumenten na deze procedure, als is gebleken dat het handelen van Meta onrechtmatig was, schadevergoeding willen gaan eisen. Het komt erop neer dat, als een handeling of situatie toerekenbaar onrechtmatig was, er een juridische reden bestaat om Meta aan te schrijven en een schadevergoeding te eisen. Ik loop hierna door de vorderingen van de Stichting en het oordeel van de rechter heen, maar eerst nog wat achtergrondinformatie.
2. Wat deed Meta met persoonsgegevens?
Iedereen die lid werd van de Facebookdienst maakte een account aan en vulde daarvoor allerlei persoonsgegevens in. Die informatie had Facebook over de gebruikers, maar aanvullend worden door de activiteiten die een gebruiker uitvoert op Facebook ook nog veel persoonsgegevens verzameld. Welke informatiepagina’s ze leuk vinden (‘tuinieren voor ouderen’), met wie ze vrienden of familie zijn (‘kusjes van oma’), of ze een relatie hebben en in welk gender ze qua liefdesrelatie geïnteresseerd zijn (‘vrijgezel’, ‘panseksueel’), of ze kinderen hebben en ga zo maar door. Al deze informatie vormt een gedetailleerd plaatje van een persoon. Hieronder zet ik uiteen waarom en hoe bepaalde persoonsgegevens gebruikt werden door Facebook.
Delen met externe ontwikkelaars: Vanaf 2010 gebruikte Facebook een API waarmee externe ontwikkelaars (bouwers van applicaties of websitebeheerders) hun applicatie konden aansluiten op de Facebookdienst. API staat voor Application Programming Interface, dat is kort gezegd een technologie gebruikt om gegevens uit te wisselen tussen apps. Deze API sloot games of quizzen aan op de Facebookdienst. Diezelfde technologie maakte het mogelijk dat mensen via Facebook konden inloggen bij andere diensten van derde partijen (zoals AirBnB, Spotify en Netflix). Na toestemming kreeg de externe ontwikkelaar toegang tot persoonsgegevens over de gebruiker en zijn Facebookvrienden, en kon zelfs ook zelf (persoons)gegevens verzamelen.
Gebruik voor advertentiedoeleinden: Facebook gebruikte de door de gebruikers ingediende persoonsgegevens en de tijdens gebruik verzamelde persoonsgegevens (dus het: wie zijn je vrienden, familie, wat vind je leuk etc.) ook voor gepersonaliseerde advertenties. Meta exploiteert een ‘advertentie gedreven bedrijfsmodel’. Daarbij kan je als adverteerder vragen aan Meta om jouw advertentie te laten zien aan een (zeer) specifieke doelgroep. De adverteerder betaalt Facebook vervolgens per aankoop die via hen doorkomt, en de adverteerder laat het aan Facebook weten als een Facebookgebruiker op haar website komt (zie ‘Cookies’). Om dat allemaal te bewerkstelligen, deelt Meta persoonsgegevens over gebruikers met de adverterende derde partijen. Meta gebruikte hiervoor ook het telefoonnummer dat Facebookgebruikers indienden om 2FA in te stellen.
Cookies: Meta verzamelde gegevens door informatie te delen met derde partijen die Facebook informeerden als een gebruiker bij hen op de website langs is geweest. Als ik een Facebookaccount had, gaf Meta mij een bepaald uniek tracking nummer dat vervolgens herkend wordt als ik zit te zoeken naar een treinreis naar Triberg im Schwarzwald, bijvoorbeeld. Zo krijg je een nóg gedetailleerder plaatje van de bezoeker, want Caroline uit regio Amsterdam die jurist is (informatie van Facebookpagina) wil ook graag met de trein reizen naar Duitsland (informatie van derde partijen). Die gegevens zijn waardevol om mij weer de juiste advertenties te laten zien, die zorgen dat ik producten en diensten koop, zoals een kekke to-go mok.
3. Hoe ging ‘privacy’ mis bij Facebook?
3.1 Niet goed geïnformeerd
Meta was niet duidelijk genoeg over de reden dat de persoonsgegevens met derde partijen werden gedeeld. Dat is wel verplicht volgens artikel 13 en 14 AVG. Meta moest die noodzakelijke informatie (de doeleinden) in een pop-up venster tonen vóór het delen van de persoonsgegevens. Niet in een gegevensbeleid waarin je zelf moet zoeken, zoals Meta dat deed. Een verwijzing naar het gegevensbeleid in het pop-up venster had ook voldoende kunnen zijn, maar die was er niet. De algemene verwijzing naar het gegevensbeleid is onvoldoende. Dat Metagebruikers aanraadde het beleid te lezen (waar die informatie in zou staan), verandert niet de verplichting die Meta zelf had om de gebruikers, op een juiste manier, actief te informeren.
Bovendien was Meta niet duidelijk over het doorspelen van persoonsgegevens over de gebruikers en hun Facebook-vrienden naar de externe ontwikkelaars. Het stond op een gegeven moment wel ergens in hun openbare beleidstukken, maar heel erg onduidelijk en verhuld tussen 30 pagina’s aan wollige tekst.
In de procedure wordt ook niet duidelijk waaróm die externe ontwikkelaars eigenlijk toegang kregen tot al die (persoons)gegevens. Voor de functionaliteit om via Facebook in te loggen op een externe app, is het delen van al die persoonsgegevens zeker niet noodzakelijk.
3.2 Onrechtmatig gebruik voor advertentiedoeleinden
Om rechtmatig persoonsgegevens te gebruiken is een grondslag uit artikel 6 AVG nodig. Meta heeft geen grondslag om de persoonsgegevens van gebruikers en hun Facebookvrienden te verwerken voor advertentiedoeleinden. Meta beriep zich op meerdere grondslagen, die de rechter allemaal afwees. Op 4 juli 2023 is dit oordeel van onze Nederlandse rechter kracht bijgezet door de hoogste Europese rechter. Het Hof van Justitie van de Europese Unie oordeelde dat de grondslagen contractuele noodzakelijkheid en het gerechtvaardigd belang (komt hieronder aan bod) zelfs niet passen bij het gebruik van gepersonaliseerde advertenties. Alleen toestemming is mogelijk, maar het lukte Meta (in deze en de Europese zaak) niet om die op de juiste manier te verkrijgen.
Optie 1: artikel 6 lid 1 onder b AVG, contractuele noodzakelijkheid
Meta stelde dat het gebruik voor advertentiedoeleinden noodzakelijk is voor het contract met de gebruiker om hun Facebookdienst te leveren. De Facebookdienst is een gepersonaliseerde dienst, met gepersonaliseerde inhoud, inclusief advertenties. Gepersonaliseerde advertenties vallen zo onder de kern van Meta’s dienstverlening en zijn noodzakelijk voor het naleven van het contract, aldus Meta.
De rechter oordeelt dat deze grondslag niet van toepassing kan zijn. Het gebruiken van de persoonsgegevens voor advertentiedoeleinden is niet (strikt) noodzakelijk voor de uitvoering van de overeenkomst tussen de gebruiker en Meta. Die overeenkomst ziet op het aanbieden van een profiel op een sociaal medianetwerk. Dat de verwerking van bepaalde gegevens valt onder een bepaalde overeenkomst, betekent niet dat het ook noodzakelijk is voor de uitvoering van die overeenkomst. Volgens de rechtbank is deze grondslag “geen geschikte rechtsgrond voor het opstellen van een profiel over de smaak en levensstijl van de gebruiker op basis van zijn klikgegevens op een website en de aangeschafte goederen.” De voor de verwerking verantwoordelijke is namelijk niet aangesteld om een profiel op te stellen, maar om bijvoorbeeld bepaalde goederen en diensten te leveren.
Optie 2: artikel 6 lid 1 onder a AVG, toestemming
Meta zegt dat de gebruikers toestemming gaven doordat zij bij het aanmaken van een account bevestigden dat zij het gegevensbeleid van Facebook hadden gelezen, door op de knop ‘registreren’ te klikken. Meta zegt dat er duidelijk stond dat zij de verzamelde persoonsgegevens gebruikte om advertenties te personaliseren. Anders dan Meta vindt, kan de ‘leesbevestiging’ het gegevensbeleid van Facebook niet gezien worden als het verkrijgen van rechtsgeldige toestemming van een gebruiker, ook niet onder de Wbp. De rechter verduidelijkt dat zulke stilzwijgende of impliciete toestemming onvoldoende is om geldige toestemming te verkrijgen. Het registratieproces was niet zo ingericht dat het duidelijk was dat Facebook toestemming vroeg voor het gebruik van de persoonsgegevens voor advertentiedoeleinden.
Optie 3: artikel 6 lid 1 onder f AVG, gerechtvaardigd belang
Onder dit artikel kan je persoonsgegevens verwerken als het noodzakelijk is voor het behartigen van een gerechtvaardigd belang. Voor een geslaagd beroep op deze grondslag, moet het belang (1) gerechtvaardigd zijn, (2) zwaarder wegen dan de rechten en vrijheden van betrokkenen die in het gedrang zijn, en (3) aan de noodzakelijkheidstoets voldoen. Dat laatste betekent dat het middel (de verwerking) in verhouding moet staan tot het doel (proportionaliteit), en dat het belang niet op een minder vergaande wijze te behartigen is (subsidiariteit). Zo hoef je geen cameratoezicht in te zetten omdat een kind van 4 een snoepje stal. De intensiteit van die privacy- inbreuk staat niet in verhouding tot het doel en je kan ook gewoon kinderen wat beter in de gaten houden in de Kruidvat.
Meta gebruikt een advertentie gedreven bedrijfsmodel, waarbij ze de dienst alleen gratis kan aanbieden als ze gepersonaliseerde advertentieruimte verkoopt. Daarom heeft zij een gerechtvaardigd belang de persoonsgegevens te gebruiken voor advertenties, aldus Meta. Haar belang zou zijn om ‘een gepersonaliseerde ervaring’ aan te bieden (verschillende termen worden voor dat belang gebruikt in deze uitspraak). Volgens Meta doet haar belang behartigen, geen afbreuk aan de fundamentele rechten en vrijheden van gebruikers. Als dat wel zo zou zijn, weegt haar belang alsnog zwaarder. Gebruikers hadden immers moeten weten dat hun persoonsgegevens op deze manier werden gebruikt bij een gratis dienst. Hoe kunnen ze anders als bedrijf overleven?
De rechtbank is het niet eens met Meta.
De rechter zegt dat het gerechtvaardigd belang van Meta dat “mede” bestaat uit gepersonaliseerde ervaring bieden (waaruit dan nog meer..?) samenhangt met het advertentie gedreven bedrijfsmodel van Facebook. Zo “bestaat een legitiem economisch belang” (aldus de rechtbank). De rechter vindt dat een commercieel belang een gerechtvaardigd belang kan zijn (dit ligt voor bij de hoogste Europese rechter of dat echt zo is) en gaat er “veronderstellende wijs” vanuit dat Meta een gerechtvaardigd belang had.
Dat gerechtvaardigd belang dat ‘mede’ bestaat uit een gepersonaliseerde ervaring aanbieden, redt het niet door de rest van de toets. Het faalt op noodzakelijkheid. Meta is daar zelf in haar stukken niet op ingegaan en weerlegde de punten van de Stichting onvoldoende. Dat komt erop neer dat het volgens de rechter niet noodzakelijk is om de persoonsgegevens te gebruiken voor gepersonaliseerde advertenties, om de gepersonaliseerde ervaring (gerechtvaardigd belang) te realiseren - of misschien is dat niet de visie van de rechter, maar in ieder geval gaf Meta niet genoeg input aan de rechter om hun daarvan te overtuigen.
3.4 Onrechtmatig gebruik bijzondere persoonsgegevens
Uit profielvelden en iemands surfgedrag kan je bijzondere persoonsgegevens afleiden, zoals iemands seksuele geaardheid. Voor gebruik van bijzondere persoonsgegevens is aanvullend op artikel 6, ook een grondslag uit artikel 9 AVG nodig. Meta gebruikte bijzondere persoonsgegevens om de gepersonaliseerde advertenties te realiseren, zonder artikel 9 grondslag. Zij verwerkt dit dus (ook) onrechtmatig.
Een klein voorproefje van wat komen gaat, want vanaf 17 februari 2024 (voor de kleinere partijen, al sinds augustus 2023 voor de grootste partijen) mogen online platforms op basis van de Digital Services Act überhaupt geen bijzondere persoonsgegevens gebruiken voor het tonen van reclames op basis van profilering.
3.5 Onrechtmatig gebruik van volgtechnieken
Meta gebruikte cookies en andere volgtechnieken om informatie over het surfgedrag en appgebruik van gebruikers buiten Facebook te verzamelen. Voor zulk gebruik moet je toestemming verkrijgen volgens de (strenge) eisen uit de AVG. Meta zegt dat die verplichting niet aan hen is, maar aan de partij van wie ze die informatie krijgen (websites/apps). Daar gaat de rechter niet in mee. Degene die verantwoordelijk is voor het plaatsen van de tracking-gegevens in apparaten zoals laptops en telefoons, en het verkrijgen van toegang tot die gegevens, moet aan de toestemmingsverplichtingen voldoen. Omdat de third party cookies op Meta’s verzoek worden geplaatst, is zij verantwoordelijk voor het naleven van de cookieregels.
4. Hoe handelde Meta onrechtmatig?
4.1 Meta’s oneerlijke handelspraktijk uitgelegd
Oneerlijke handelspraktijken zijn situaties waarbij een handelaar misleidend of oneerlijk is tegenover een consument en daardoor de consument aanzet tot handelen, welke zij anders niet zou doen. Oneerlijke handelspraktijken zijn verboden, volgt uit de Richtlijn Oneerlijke Handelspraktijken (OHP) verankerd in de Nederlandse Wet oneerlijke handelspraktijken. Als een organisatie een oneerlijke handelspraktijk verricht tegenover een consument, handelt de organisatie onrechtmatig. Zo’n onrechtmatige daad kan leiden tot allerlei nare consequenties voor de organisatie, de consument kan bijvoorbeeld schadevergoeding eisen.
De Stichting stelt dat Meta met de Facebookdienst een oneerlijke handelspraktijk verrichtte. Er zijn verschillende manieren waarop een organisatie een oneerlijke handelspraktijk kan verrichten. De Stichting stelde dat het op de volgende twee manieren mis ging.
1) De handelaar presenteert informatie over zijn dienst(en) aan de consument die feitelijk onjuist is (6:193c lid 1 BW).
Hoewel Meta zei dat de Facebookdienst gratis was, betaalden consumenten met hun persoonsgegevens. De Facebookdienst is daarom níet gratis volgens de Stichting. Persoonsgegevens kunnen namelijk gezien worden als ‘een prijs’ in de zin van de Richtlijn OHP. Daarin is overigens geen gekaderde definitie te vinden van ‘een prijs’.
Deze gratis verklaring “kan [..] worden opgevat als de mededeling dat voor het gebruik maken van de dienst geen geldelijke tegenprestatie hoeft te worden verricht. Aangezien vaststaat dat er geen geld hoeft te worden betaald voor de Facebookdienst, is de gratis verklaring in de relevante periode op zichzelf beschouwd in zoverre dus niet misleidend.” (§17.16), aldus de rechter. Dat de persoonsgegevens gezien kunnen worden als een geldelijke prijs, vindt de rechtbank niet overtuigend genoeg.
2) De handelaar presenteert misleidende informatie over de dienst aan de consument. Door die misleidende informatie nam de consument een besluit dat hij anders niet had genomen, en ging een overeenkomst aan die hij anders niet was aangegaan (artikel 6:193d lid 2 en 3 BW).
In dit geval deed Meta dat volgens de Stichting doordat zij over verschillende essentiële onderwerpen onduidelijk was.
De rechter is het met de Stichting eens. Meta was te onduidelijk over hoe zij de informatie die gebruikers invulden gebruikte, en over het advertentie gedreven bedrijfsmodel. Meta verdiende geld door persoonsgegevens van Facebookgebruikers en hun vrienden te gebruiken voor gepersonaliseerde advertentieruimte en deelde die persoonsgegevens ook met derde partijen voor dat doel, terwijl dat niet per se nodig was. Daar had Meta duidelijker over moeten informeren zodat de consument een weloverwogen keuze kon maken om lid te worden.
Dat Meta ook nog riep dat de Facebookdienst helemaal gratis was, maakt het allemaal nog onduidelijker voor de gebruikers, vindt de rechter. Dat dat gebruik van persoonsgegevens wel érgens in Facebook ’s privacybeleid stond, verandert dat niet. De rechter vindt het privacybeleid van de Facebookdienst niet duidelijk genoeg. Meta gebruikte ‘verhuld taalgebruik’ en verstopte relevante punten over het gebruik van persoonsgegevens in een ‘onderliggende informatielaag’. Dat Meta niet vertelde dat ze de persoonsgegevens gebruikte voor gepersonaliseerde advertenties, ziet de rechter als een ‘misleidende omissie’. Dit was essentiële informatie om de gemiddelde consument een weloverwogen besluit te laten nemen volgens de rechtbank. Zeker door de schaalgrootte van het gebruik van (bijzondere) persoonsgegevens voor advertentiedoeleinden en het delen van die informatie met derden. Dergelijke essentiële informatie weglaten is misleidend. Meta pleegt zo een oneerlijke handelspraktijk.
4.2 Meta’s ongerechtvaardigde verrijking?
De Stichting vindt dat Meta zich ongerechtvaardigd verrijkte (artikel 6:212 lid 1 BW). Een ongerechtvaardigde verrijking is een situatie waarbij de een is verrijkt (rijker geworden) ten koste van een ander, die ‘verarmt’. Ook dat is in het civiel recht onrechtmatig. De vereisten voor een succesvol beroep op ongerechtvaardigde verrijking zijn de volgende:
1. Verarming (schade);
2. Verrijking (vermogensvermeerdering);
3. Een verband tussen de verrijking en de verarming;
4. De verrijking moet ongerechtvaardigd zijn in de zin dat er geen redelijke oorzaak of rechtvaardigingsgrond voorbestaat.
De Stichting stelde dat de persoonsgegevens die Meta gebruikte een economische waarde vertegenwoordigen (zonder economische waarde is er geen verrijken of verarmen). Dat kan je zien doordat Meta’s winst en vermogen met (het gebruik van) die persoonsgegevens toenam. Dat is ongerechtvaardigd volgens de Stichting omdat er geen grondslag was voor het gebruik van die persoonsgegevens (artikel 6 AVG).
De rechtbank legt uit dat deze persoonsgegevens overduidelijk waarde hebben voor Meta. Meta’s gehele dienst is erop gebaseerd winst te genereren met het gebruik van persoonsgegevens en haar vermogen en winst zijn ook door dat gebruik vergroot. Dat komt omdat Meta de informatie zo gebruikt, dat het tot een personalisatie komt die goed te verkopen is aan derde partijen.
Voor de gebruiker is de waarde van de persoonsgegevens anders. De gebruiker wordt niet ‘aangetast in haar vermogen’ (wordt niet armer) volgens de rechtbank, als Meta zich verrijkt met de persoonsgegevens. Daarom is een ongerechtvaardigde verrijking niet mogelijk. De gebruiker ‘verarmt’ namelijk niet.Hoewel Meta wel ‘verrijkt’.
5. Samenvattend vooruitkijken: transparantie viert zege
Meta gebruikte persoonsgegevens onrechtmatig. Ze had geen grondslag voor het gebruik van de betrokken persoonsgegevens voor advertentiedoeleinden, en informeerde gebrekkig en onduidelijk. Naast de inbreuken op de AVG, verrichte Meta – met hoe zij de Facebookdienst in de markt zette - een oneerlijke handelspraktijk. Meta was misleidend naar de Facebookgebruikers over hoe zij hun persoonsgegevens gebruikte om advertenties te verkopen en hoe groot die markt wel niet was. Zowel op basis van een oneerlijke handelspraktijk, als een inbreuk op de AVG, kan een consument schadevergoeding eisen.
Dit verhaal kan dus nog een staart krijgen, zeker als je kijkt naar de (enigszins nieuwe) Wet afwikkeling massaschade in collectieve actie (Wamca), waardoor een stichting namens meerdere consumenten schadevergoeding kan claimen. Verschillende stichtingen, digitale burgerrechtenorganisaties en de Consumentenbond zijn langzaamaan voorlopers aan het worden in het aankaarten van deze – (nog) naar het schijnt – shady praktijken: ze proberen aandacht te trekken voor de oneerlijke of onrechtmatige praktijken waar consumenten (onbewust?) slachtoffer van worden. Ze trekken alles uit de kast om de stoffige wetten op de digitale praktijk te plakken: privacywetten, grondrechten, creatieve en nieuwe interpretaties van het onrechtmatige daad verhaal in ons BW.
Maar alleen een inbreuk op je privacy levert nog geen vergoedbare schade op. Je moet wel aantonen dat er echt schade is, anders valt er niks te vergoeden. Desalniettemin is in Duitsland al meerdere malen schadevergoeding gehaald bij de rechter door het onrechtmatig gebruik van Google Analytics. Zo gemakkelijk gaat dat niet in Nederland, omdat (1) volgens civiel recht de immateriële schade aantoonbaar moet zijn (2) en een causaal verband bewezen. Beiden zijn een uitdaging als het gaat om een inbreuk op privacy door onrechtmatig gebruik van persoonsgegevens. Dat zal ook zo zijn bij een oneerlijke handelspraktijk, als persoonsgegevens voor de betrokkene geen economische waarde representeren.
Wat er gaat gebeuren met Meta daargelaten, zijn er belangrijke lessen te trekken uit deze uitspraak. Er is een overkoepelend onderwerp dat lijkt ten grondslag te liggen aan zowel de inbreuk op de AVG als op het BW: het gebrek aan transparantie.
Een van de kernpunten die belangrijk is als het gaat om het gebruik van persoonsgegevens, is transparantie: duidelijk vertellen wat je doet met persoonsgegevens. Met duidelijk bedoel ik echt duidelijk: liever een kern aan punten helder met een infographic, dan tientallen pagina’s aan privacybeleid.
Veel organisaties zijn terughoudend in vertellen over het werken met partijen uit de Verenigde Staten of het gebruiken van persoonsgegevens voor andere doeleinden dan alleen de overeenkomst te sluiten. Dit hoewel transparantie toch aan te raden is. Niet alleen omdat de AVG dat voorschrijft, maar vooral omdat consumenten niet voor verrassingen willen komen te staan. Je ziet in de praktijk dat veel consumenten het bijvoorbeeld best fijn vinden als ze zo nu en dan acties of kortingen hun kant opgestuurd krijgen. Maar als dat gebeurt zonder dat ze wisten dat ze marketing e-mails zouden ontvangen, is de nasmaak van zo’n e-mailtje enigszins bitter: hoe kwamen zij aan mijn e-mailadres? Wanneer heb ik ooit wat van deze organisatie gekocht? En zo’n gevoel is het laatste dat je wil creëren bij je doelgroep.
Deze uitspraak over Meta’s oneerlijke handelspraktijk benadrukt wederom de relevantie van transparantie als het gaat om het gebruik van informatie over consumenten. De uitspraak illustreert hoe transparantie de kern van bedrijfsvoering hoort te zijn als het gaat om werken met informatie over personen. Het is relevant vanuit een breder juridisch perspectief, en keert in specifieke regels terug in zowel de AVG als het BW. Eerlijkheid duurt het langst, ook in het geval van privacy. You have nothing to fear if you have nothing to hide…
Dit artikel verscheen in IB6-2023.
Voor het opgemaakte artikel (pdf), klik hier onder op 'Document downloaden'.