Bron: Het Financieele Dagblad

In het kort

• The Privacy Collective daagt Oracle en Salesforce voor de rechter
• De bedrijven hebben door overnames een belangrijke positie opgebouwd in de online advertentiemarkt
• De techbedrijven zouden de privacy van miljoenen Nederlanders schenden.
• Het Britse Innsworth financiert de rechtszaak.

De strijd tegen de illegale handel in digitale persoonsgegevens krijgt een nieuw Nederlands front. Een Nederlandse claimstichting van privacy-experts, gesteund door verschillende belangenorganisaties, heeft een officiële massaclaim ingediend tegen de Amerikaanse beursgenoteerde ondernemingen Salesforce en Oracle voor het misbruiken van persoonsgegevens van miljoenen Nederlanders. 

Dat heeft de stichting, The Privacy Collective, vrijdag bekendgemaakt. Volgens de advocaat van de stichting, Christiaan Alberdingk Thijm, is het de eerste collectieve schadeclaim voor privacyschendingen op basis van de nieuwe massaclaimregels die sinds begin dit jaar zijn ingevoerd.

AP overbelast

De stap naar de rechter is opvallend, omdat tot nu toe privacyschendingen aangepakt zijn door Europese toezichthouders op de AVG-regels. In Nederland is dat de Autoriteit Persoonsgegevens (AP), die door onderbezetting en een beperkt budget weinig grip krijgt op de massale datahandel. Sinds mei 2018, toen de AVG in werking trad, is er aan vijf bedrijven en organisaties voor ruim €3 mln aan boetes opgelegd, waaronder aan taxi-app Uber. 

Massaclaim

De Europese wetgeving laat echter ook ruimte voor groepen burgers om zelf naar de rechter te stappen, maar dat gebeurde tot op heden niet of nauwelijks. Wel besloot de Consumentenbond afgelopen juli een actie tegen Facebook te beginnen. Daar sloten zich tot nu toe bijna 170.000 mensen bij aan. 

De nieuwe stichting kiest met Oracle en Salesforce bewust voor twee minder bekende partijen in deze markt. Voor de hand liggende namen als Facebook en Google liggen al onder vuur van de autoriteiten en particulieren. 'Maar ook deze grote, beursgenoteerde tech-concerns zijn heel actief in de datahandel', zegt Alberdingk Thijm. 

The Privacy Collective kan door nieuwe Nederlandse wetgeving een rechtszaak starten, zonder eerst leden te moeten werven om de procedure bij de rechter te bekostigen. Nederland wijkt daarbij af van veel andere landen, waar het indienen van massaclaims wel heel bewerkelijk is. 

Miljarden schadevergoeding

De claim richt zich op het verzamelen, bundelen, verrijken en verkopen van digitale profielen van Nederlandse internetgebruikers, zonder dat zij daar toestemming voor hebben gegeven. Salesforce, verkoper van software voor relatiebeheer, en softwareleverancier Oracle hebben de afgelopen jaren hun positie verstevigd op de online advertentiemarkt. Zo nam Salesforce vier jaar geleden voor $700 mln datamanagementplatform Krux over. 

Data van klanten, zoals e-mailadressen en aankoopgeschiedenis. worden verrijkt met andere databronnen, van hondenbezit tot postcode en inkomen. Daarnaast worden er nog meer persoonsgegevens verzameld door 'cookies' op websites plaatsen te plaatsen die internetgebruikers volgen in hun surfgedrag. Ook veel apps geven op de achtergrond veel data door aan derden. 

Redenen voor organisatie Bits of Freedom, die opkomt voor digitale burgerrechten, om de claim te steunen. 'Deze praktijken zijn de kern van de grootschalige privacyschendingen op internet', zegt directeur Evelyn Austin.

Salesforce zegt in een reactie op de hoogte te zijn van de claim. 'We zijn het niet eens met de aantijgingen en van plan aan te tonen dat ze ongegrond zijn', stelt Salesforce Nederland-baas Michiel van Vlimmeren. Oracle zegt in een reactie maar beperkt data in de EU te verzamelen en 'geen directe rol' te spelen bij digitale advertentieveilingen. Het noemt de claim 'niet-gefundeerd' en spreekt van een misleidende rechtszaak.

Alberdingk Thijm schat de mogelijke claim op miljarden euro's. Hij baseert zich daarbij op een schadevergoeding die eerder dit jaar in Nederland is toegekend door de Raad van State. Die wees een claim van een patiënt van het Pieter Baan Centrum van €500 toe, nadat diens gegevens door de kliniek waren gedeeld met andere partijen, in het kader van een tuchtklacht. 

Omdat er volgens de advocaat minimaal 10 miljoen Nederlandse internetgebruikers zijn, moeten de techbedrijven in potentie ieder €5 mrd aan immateriële schade vergoeden.

Voordat het zover is, zal eerst voor de rechter duidelijk moeten worden of er sprake is van een overtreding van de privacyregels. De stichting heeft vrijdag een ruim 200 pagina's tellende dagvaarding ingediend. 

Britse procesfinancier

De financiering voor de zaak komt van het Britse Innsworth, een geldschieter gespecialiseerd in het voorschieten van dit soort procedures. De Britten, die 30% van de opbrengst krijgen, zijn eigendom van het Amerikaanse hedgefonds Eliott. Dat is in Nederland vooral bekend als activistische aandeelhouder van Akzo Nobel en Nationale Nederlanden. 

Innsworth heeft voor de eerste fase van de procedure 'een substantieel bedrag' toegezegd. 'Een onderzoeksbudget waar een toezichthouder jaloers op zou zijn' zegt Alberdingk Thijm.