Op donderdag 7 december organiseerde The Privacy Collective een publieksbijeenkomst over de strijd tegen online tracking. Een volle zaal in Pension Homeland luisterde naar sprekers van Follow the Money, Bits of Freedom en The Privacy Collective. Ook waren er bijdragen van Europarlementariër Paul Tang en Midas Nouwens van de Autoriteit Persoonsgegevens.

Online tracking als bedreiging voor de nationale veiligheid

Sebastiaan Brommersma, onderzoeksjournalist bij Follow The Money, sprak over misbruik met data die via online tracking worden verzameld. Data geldt al geruime tijd als “het nieuwe goud”, maar is veel meer dan dat. Data kan een wapen zijn, een breekijzer, en een hefboom, bijvoorbeeld om mensen onder druk te zetten of te beïnvloeden.

In de hedendaagse datagoudkoorts komen onze gegevens in handen van vele verschillende partijen, zowel met goede als met kwade bedoelingen. Het wordt volgens hem met de dag moeilijker om bedrijven die het illegaal verhandelen van ons surfgedrag als verdienmodel hebben,te scharen onder de categorie “goede bedoelingen”. Inmiddels is helder dat deze praktijken neerkomen op een globaal datalek van informatie over alle aspecten van ons leven en groeit het besef dat dit een bedreiging voor ons privé-leven en onze nationale veiligheid kan vormen.

Brommersma illustreert hoe eenvoudig je met deze data een dossier met chantagemateriaal aan kunt leggen van hoge ambtenaren of politici, met informatie over zaken als een drank-, drugs- of gokverslaving, schulden en seksuele voorkeur. Hij sluit niet uit dat dit voor een verschuiving zal zorgen in de wijze waarop tegen online tracking wordt aangekeken: “Alles staat met elkaar in verbinding, dus data kan overal terechtkomen zonder dat we het door hebben.” Hij pleit voor dataminimalisatie, want de enige manier om hieraan te ontkomen, is het voorkomen dat deze data überhaupt worden gedeeld.

Online tracking en manipulatie op platforms

Lotje Beek is beleidsadviseur bij Bits of Freedom op  het onderwerp online platforms. Ze licht voorbeelden toe van hoe platforms als X (voormalig Twitter) en Facebook ervoor zorgen dat bepaalde boodschappen juist wel of niet in je timeline verschijnen.

Dat kan uiteenlopende redenen hebben, maar vaak worden die voor een gebruiker van een online platform niet kenbaar gemaakt. Niet zelden spelen politieke redenen een rol, zoals bij het censureren van activisten die naar aanleiding van een uitspraak van het Amerikaans Hooggerechtshof over abortus wezen op de beschikbaarheid van abortuspillen, of het verwijderen van posts die als ‘pro-Palestina’ worden aangemerkt.

Ook online tracking speelt een grote rol bij het manipuleren van de informatie op online platforms. Met de enorme hoeveelheid data die online over mensen worden verzameld, is het tot in detail duidelijk wat je voorkeuren en interesses zijn. Het wordt volgens haar daarmee ook veel makkelijker om mensen te beïnvloeden en manipuleren. “Met online targeting kun je ervoor zorgen dat je een bepaalde boodschap kunt laten aankomen bij precies de mensen die welwillend zijn om deze boodschap te geloven. En veel jonge mensen gebruiken deze platforms als enige nieuwsbron.”

“Ze verdedigen hun verdienmodel met hand en tand”

Paul Tang neemt volgend jaar afscheid als lid van het Europees Parlement en kijkt terug op de strijd tegen online tracking die hij daar sinds 2019 heeft gevoerd. Dat ging in kleine stapjes. “Platforms als Twitter en Facebook draaien bijna volledig op het verkopen van gepersonaliseerde advertenties en verdedigen hun verdienmodel met hand en tand.” Een poging van het Europarlement om deze advertenties te verbieden, werd door een tegenlobby verhinderd. “Organisaties die stelden op te komen voor het MKB - maar eigenlijk gefinancierd werden door Google en Facebook – voerden een campagne met als boodschap dat dit de nekslag zou zijn voor middelgrote en kleine bedrijven.”

Toch wordt online tracking en het advertentiemodel dat eraan ten grondslag ligt, stukje bij beetje aan banden gelegd. Daarbij moeten we volgens Tang niet alleen privacy-argumenten gebruiken. “Het gaat om geld en macht, en die macht is zo groot dat er niet slechts één manier is om die te breken.” Het voorbeeld van Brommersma, die vertelde hoe je via online tracking ambtenaren en politici kunt chanteren, illustreert volgens Tang hoe uiteenlopend de gevaren zijn. Een ander argument tegen targeted advertising is de advertentiefraude. “Partijen die Google en Facebook betalen voor gerichte advertenties, hebben helemaal geen zicht op hoe effectief die zijn. Dat wordt vastgesteld door Google en Facebook zelf.”

Ook de onlangs aangenomen Digital Services Act bevat geen direct verbod op gepersonaliseerde advertenties. Wel is targeting van minderjarigen verboden, evenals het gebruiken van gevoelige categorieën persoonsgegevens bij het richten van advertenties. Omdat zo ondoorzichtig is welke data voor targeting worden gebruikt, is het voor adverteerders onzeker of ze zich nog wel aan de wet houden bij het kopen van deze advertenties. Tang hoopt dat dit hen zal bewegen richting alternatieven. Hij wijst daarbij op ‘contextual advertising’. Daarbij worden advertenties niet gericht op het online profiel van internetgebruikers, maar op basis van steekwoorden en content op de pagina waar de adverteerder ruimte koopt. Zo kan gericht worden geadverteerd, zonder de privacy van internetgebruikers te schenden.

“Techbedrijven raken in hun portemonnee”

Christiaan Alberdingk Thijm is advocaat bij bureau Brandeis, dat The Privacy Collective vertegenwoordigt in de rechtszaak tegen datahandelaren Salesforce en Oracle die van het illegaal volgen en verkopen van ieders surfgedrag hun verdienmodel hebben gemaakt.

Ondanks dat de privacytoezichthouder zeer kritisch is op deze praktijken, heeft het niet de middelen om tegen de vele privacyschendingen van techreuzen te handhaven. Dit gat kan volgens Alberdingk Thijm worden opgevuld door burgers die samen acties ondernemen tegen de schending van hun privacy. De rechtszaak die The Privacy Collective voert tegen Salesforce en Oracle is de eerste privacyrechtszaak in Nederland waarbij er tevens een collectieve schadeclaim wordt gevorderd.

De zaak zet in op zogeheten “strooischade”. Dit komt erop neer dat er een schadevergoeding wordt gevorderd voor kleinschalige, maar talloze schendingen van de privacy van internetgebruikers. In het geval van Salesforce en Oracle gaat het om ongeveer tien miljoen Nederlanders die cookies hebben geaccepteerd van deze partijen en waarvan de gegevens zonder geldige toestemming aan derde partijen zijn doorverkocht; de totale schadevergoeding kan daardoor in de miljarden lopen.

Sinds TPC als eerste Nederlandse partij een claimzaak startte tegen Salesforce en Oracle, kwamen er veel andere organisaties die collectieve claims indienen bij techbedrijven en overheden. Er is dan ook veel beweging op dit terrein, waarbij de rechtszaak van The Privacy Collective een belangrijke voorloper is.

In eerste aanleg ging dat mis: TPC is door de rechtbank Amsterdam niet-ontvankelijk verklaard, waardoor het niet is gekomen tot een inhoudelijke behandeling van de schadeclaim. Tegen dat vonnis kondigde TPC hoger beroep aan, waarvan op 8 februari as. de mondelinge behandeling plaatsvindt. Het is volgens Alberdingk Thijm van cruciaal belang dat organisaties als The Privacy Collective in staat zijn om Nederlandse internetgebruikers te vertegenwoordigen in collectieve schadeclaims. “Ik ben het met Paul Tang eens dat we dit probleem via meerdere wegen moeten bestrijden, maar ik denk dat de portemonnee van Big Tech bedrijven een hele belangrijke manier is om ze aan te pakken.”

Autoriteit Persoonsgegevens positief over “civiele handhaving”

Midas Nouwens, werkzaam bij privacytoezichthouder Autoriteit Persoonsgegevens, besprak de visie van de AP op online tracking en de datahandel op de online advertentiemarkt. Er gelden voor de toezichthouder veel dingen die het aanpakken van deze praktijken complex maakt. Zo is de AP met een jaarlijks budget van 36 miljoen relatief klein vergeleken met andere toezichthouders.

Weliswaar komt er vanaf volgend jaar meer budget voor toezicht op online tracking, maar eenmaal ingezet kan een handhavingstrajectenkele jaren duren voordat daaruit een publiekelijk oordeel volgt van de toezichthouder. “Daarbij is het ook voor ons complex om in een handhavingsonderzoek uit te vinden wat er precies achter de schermen gebeurt bij dit soort praktijken.”

Ook Nouwens spreekt van een scheve machtsverhouding: “Bedrijven in de online tracking industrie beschikken over miljarden. Bovendien zijn de grote spelers voornamelijk gevestigd in Ierland, daar heeft de AP geen mandaat om handhavend op te treden. Gelukkig werken we goed samen met toezichthouders van andere EU-landen.”

Nouwens stelt dat hij daarbij tevens een belangrijke rol ziet voor maatschappelijke organisaties en burgers. Hij brak namens de privacytoezichthouder een lans voor “civiele handhaving” van de AVG: partijen die door het voeren van rechtszaken en campagnes bijdragen aan de bescherming van de persoonsgegevens van burgers. “Er is al langer discussie over wat de rol is van toezichthouders in de maatschappij”, vertelt Nouwens.“Daarin zie je dat toezichthouden nu als collectieve activiteit wordt gezien. Daar gaan wij als toezichthouder in mee: onze taakopvatting is dat wij samen met andere partijen werken aan gegevensbescherming. Alle middelen waarvan burgers of organisaties gebruik kunnen maken en die bijdragen aan een betere naleving van de AVG, zien we in dat licht als positief.”