Veelgestelde vragen

DE ZAAK

Waar gaat de zaak over?

Deze zaak heeft betrekking op één van de grootste onrechtmatige gegevensverwerkingen in de geschiedenis van het internet. Het gaat om de verwerking van persoonsgegevens van praktisch alle Nederlanders die informatie op het internet lezen of bekijken. De schending vindt dagelijks  op grote schaal plaats.

Wat wordt Oracle en Salesforce primair verweten?

Oracle en Salesforce schenden stelselmatig de Algemene Verordening Gegevensbescherming (AVG) door zonder rechtmatige grondslag de gegevens van Nederlandse internetgebruikers te verzamelen en verwerken. Dat doen zij door gedetailleerde profielen op te stellen en te onderhouden van internetgebruikers, onder meer door gegevens te verzamelen via cookies die zonder geldige toestemming zijn geplaatst, en deze profielen te koop aan te bieden voor het targeten van advertenties.

Daarnaast schenden Oracle en Salesforce de AVG door:

  • onvoldoende transparantie in acht te nemen over hun handelwijze, bijvoorbeeld ten aanzien van de uitwisseling van unieke identificatoren van cookies met andere partijen (cookie syncing);
  • in strijd te handelen met het vereiste van dataminimalisatie door onbeperkt en bovenmatig persoonsgegevens te verzamelen, te combineren en te delen;
  • persoonsgegevens te verwerken in strijd met de doeleinden waarvoor deze oorspronkelijk zijn verzameld. Hierbij nemen ze onvoldoende passende beveiliging in acht, handelen zij in strijd met hun verantwoordingsplicht en geven zij persoonsgegevens door aan landen zonder passend beschermingsregime.
Wat eist The Privacy Collective?

Door het handelen van Oracle en Salesforce hebben de circa tien miljoen Nederlandse internetgebruikers die The Privacy Collective vertegenwoordigt schade geleden, onder meer door verlies van controle over hun persoonsgegevens.

De schade wordt begroot op € 500 per persoon per gedaagde partij (wat Oracle betreft nog eens € 100 per persoon van wie de gegevens (mogelijk) toegankelijk zijn geweest gedurende een recent datalek).

The Privacy Collective heeft een verklaring voor recht gevorderd dat Oracle en Salesforce aansprakelijk zijn jegens de Nederlandse internetgebruikers. Zij vordert dat Oracle en Salesforce veroordeeld worden om de schade en de kosten (proceskosten en buitengerechtelijke kosten) te vergoeden. The Privacy Collective vordert ook dat Oracle en Salesforce bepaalde informatie verstrekken.

Waarom is deze zaak specifiek aangespannen tegen Oracle en Salesforce? Er zijn toch (talloze) andere partijen die doen wat zij doen?

Een belangrijk argument om juist deze twee partijen in rechte aan te spreken is de omvang en impact van hun onrechtmatige handelingen in Nederland. Zij zijn prominent aanwezig.

Tegelijkertijd opereren ze veelal achter de schermen. Iedereen kent Google en Facebook, maar deze bedrijven zijn minder bekend, terwijl zij dagelijks op ongekende wijze handelen in onze persoonsgegevens. Er zijn al veel klachten ingediend bij toezichthouders over de ad-tech industrie, maar er gebeurt te weinig met die klachten. Iedereen is het erover eens dat dit moet stoppen, maar de wereld is zo complex dat toezichthouders het vooralsnog niet aandurven.

Onderzoek laat zien dat uit een geselecteerde lijst van 100 websites die door Nederlandse internetgebruikers veel bezocht worden, er 25 Oracle’s cookies en 31 Salesforce cookies plaatsen. Via de cookies op deze websites verzamelen de concerns gegevens over vrijwel iedere Nederlander die regelmatig het internet bezoekt.

Wat is The Privacy Collective?

The Privacy Collective is een non-profit organisatie die strijdt voor eerlijke en adequate vergoedingen voor mensen van wie de privacy online geschonden is. Samen met privacy-experts, een betrokken achterban en partnerorganisaties, binnen en buiten Nederland. The Privacy Collective heeft zelf geen financieel belang bij  de vorderingen die zij instelt in de juridische procedures.

Door wie en hoe wordt deze zaak gefinancierd?

De stichting wordt gefinancierd door Innsworth Capital Limited, een procesfinancier gevestigd in Jersey.

De procesfinancier krijgt daarvoor een redelijke vergoeding als de door de stichting gevoerde procedure succesvol is. De commissie van de procesfinancier is afhankelijk van de mate van succes en loopt af van 25% naar 15% naar 10% van de toegekende schadevergoeding. Het percentage neemt dus af naarmate de omvang van de schadevergoeding groter wordt. De uiteindelijke vergoeding zal redelijk en adequaat zijn gelet op de risico’s die door de procesfinancier worden gedragen. De commissie die aan de procesfinancier moet worden betaald, zal het bedrag dat beschikbaar is voor de Gedupeerden verminderen, tenzij de kosten van de Stichting (inclusief de commissie die de procesfinancier heeft bedongen voor de financiering) zijn aanvullend door Oracle en Salesforce zullen moeten worden betaald.

In het Claim Code Compliance Statement dat op deze site te vinden is onder ‘Documenten’, wordt de relatie tussen de stichting en de procesfinancier nader toegelicht.

De dagvaarding is betekend op 14 augustus 2020. Wanneer verwachten jullie een eerste zitting?

Procederen in Nederland is grotendeels een schriftelijke aangelegenheid. De zaak begint te lopen bij de rechtbank op 9 december 2020. We verwachten dat Oracle en Salesforce in januari 2021 hun eerste reactie op de dagvaarding gaan indienen. Een zitting komt dan enkele maanden later.

CLASS ACTION

Waarom is gekozen voor een class action?

Het gaat hier om 10 miljoen gedupeerden. In een class action kan een grote groep mensen zich verenigen op grond van dezelfde vordering en zich laten vertegenwoordigen door een specifieke partij, zoals in dit geval een stichting. Het is de eerste keer dat er in Nederland een class action plaatsvindt op basis van inbreuk op de AVG.

Hoe meld ik mij aan en kom ik in aanmerking voor schadevergoeding / compensatie?

De stichting verzoekt Nederlandse internetgebruikers hun steun te betuigen via haar website. Dat helpt bij het aantonen van het belang van de door de stichting gevoerde procedure.

Er wordt geen financiële bijdrage gevraagd van de Nederlandse internetgebruikers. Indien een schadevergoeding wordt toegekend, zal er wel een commissie aan de procesfinancier moeten worden betaald, die in mindering op de aan de internetgebruikers te betalen schadevergoeding wordt gebracht, tenzij de rechtbank beslist dat Oracle en Salesforce daarvoor een aanvullend bedrag moeten betalen.

De wijze waarop een eventuele schadevergoeding zal worden uitgekeerd, zal op een later moment door de rechtbank worden vastgesteld.

Wat is de hoogte van de schadevergoeding die een individu kan krijgen?

De schade wordt begroot op € 500 per persoon per gedaagde (wat Oracle betreft nog eens € 100 per persoon van wie de gegevens (mogelijk) toegankelijk zijn geweest gedurende een recent datalek). Voor een individu is die schade veelal te klein om te vorderen. In een collectieve actie is het wel mogelijk om voor iedereen een  schadebedrag te vorderen.

De totale schade wordt geschat op zo’n 10 miljard euro.

Hoe toon je als individu aan dat je het slachtoffer bent geworden van de praktijken van Oracle en Salesforce?

Wij hebben praktische handleidingen gemaakt waarmee individuele internetgebruikers kunnen onderzoeken of er Oracle en / of Salesforce cookies aanwezig zijn op hun apparaten. Deze handleiding is te raadplegen onder de kop ‘Documenten’ op de site.

Hoe kan ik mijn stem laten horen, zodat jullie daarmee rekening kunnen houden?

Wij zijn zeer actief op het gebied van bescherming van persoonsgegevens, in de media, op social media, door deel te nemen aan congressen, en sommige van onze bestuurders staan bijna dagelijks in de collegezaal om thema’s zoals deze te doceren en te bespreken.

Daarnaast onderhouden wij als stichting regelmatig en intensief contact met privacy organisaties in binnen- en buitenland, waarbij duizenden mensen zijn aangesloten die geven om hun privacy.

Verder doen opiniepeilingen onder Nederlandse internetgebruikers, over thema’s die in deze zaak centraal staan. Alle inzichten die we zo opdoen, nemen wij mee bij onze besluitvorming. Op belangrijke momenten zullen we bovendien panels van Nederlandse internetgebruikers raadplegen.

Heb je specifieke punten die je onder onze aandacht wilt brengen? Mail ons dan op info@theprivacycollective.nl.

DE STICHTING

Wat is het doel van de Stichting?

Het doel van de Stichting luidt zoals dat in de statuten is verwoord. De statuten zijn vindbaar op deze site. Kort gezegd komt het doel erop neer dat de Stichting zich inzet voor de behartiging en de bescherming van de privacy belangen van met name Nederlandse internetgebruikers.

Hoe streeft de Stichting haar doel na?

De Stichting streeft haar doel onder meer na door campagne te voeren, (technisch) onderzoek te (laten) doen naar de privacyaspecten bij de grootschalige verzameling en verwerking van persoonsgegevens van internetgebruikers en naar de partijen die daarin een rol spelen, zoals Oracle en Salesforce, en onderzoek te doen naar samenwerkingsverbanden met andere organisaties.

Wat krijgen de leden van het bestuur en de raad van toezicht betaald?

De leden van het bestuur ontvangen voor hun werkzaamheden een vergoeding van € 200 per uur tot een maximum van € 25.000 voor de eerste fase van de procedure. Er is een mogelijkheid voor leden van het bestuur om indien nodig extra tijd in rekening te brengen. Reiskosten en overige onkosten worden naar redelijkheid vergoed.

De gewone leden van de raad van toezicht ontvangen een vergoeding van € 5.000 per jaar en de voorzitter een vergoeding van € 6.250 per jaar. Reiskosten en overige onkosten worden naar redelijkheid vergoed. Gezien de complexiteit van de zaak kunnen de leden van de raad van toezicht onder bepaalde omstandigheden een beperkte aanvullende vergoeding verkrijgen op basis van een uurtarief van € 250.

COOKIES & COOKIE SYNCING

Oracle en Salesforce maken voor het verzamelen gebruik van cookies. Hoe werkt dat?

De gegevensverzameling door Oracle en Salesforce begint met het plaatsen van een cookie op de randapparatuur van internetgebruikers. Het gaat dan om cookies uitgerust met een unieke identificator waarmee internetgebruikers van elkaar worden onderscheiden.

Wat is cookie syncing en wat heeft dat met Oracle en Salesforce te maken?

De informatie vergaard via de cookie wordt verrijkt met informatie uit alternatieve bronnen, zodat een zo volledig mogelijk overzicht ontstaat van de karaktereigenschappen en interesses van een persoon. De unieke identificatoren worden uitgewisseld met andere commerciële partijen en aan elkaar gekoppeld. Dit proces wordt cookie syncing genoemd. Oracle en Salesforce maken er op zeer grote schaal gebruik van.

Het plaatsen van cookies is toch niet onrechtmatig?

Op het plaatsen van cookies zijn belangrijke regels van toepassing. Eén daarvan is dat de consument toestemming moet geven. Die toestemming kan hij alleen rechtsgeldig geven als hij goed geïnformeerd wordt. Dat gebeurt hier niet. Bijna niemand weet dat er een schaduwprofiel van hem bestaat en dat hij dagelijks onderwerp is van een veilingproces.

Niemand weet dat zijn gegevens in dat veilingproces met duizenden partijen worden gedeeld.

Kunnen internetgebruikers zich beschermen tegen de praktijken van partijen als Oracle en Salesforce of andere ad-­‐tech bedrijven?

Een meerderheid van de internetgebruikers wil niet dat zijn of haar persoonlijke informatie door de ad-tech industrie wordt gebruikt. Het is echter vrijwel onmogelijk daar iets tegen te doen.

Als een internetgebruiker het gebruik van zijn gegevens door deze partijen wil beperken dan zal hij de instellingen van alle browsers op elk apparaat dat hij gebruikt, moeten wijzigen. De gebruiker moet dan bijvoorbeeld instellen dat third party cookies geweigerd worden.
Wanneer de gebruiker instelt dat ook first party cookies geweigerd worden, zullen veel websites niet meer goed of helemaal niet meer functioneren. De gebruiker kan in de browser ook instellen dat naar elke partij die gegevens opvraagt een zogenaamd do not track verzoek wordt verzonden. De gebruiker geeft daarmee dat hij niet getrackt wil worden.
Deze functie wordt echter door browsers niet technisch afgedwongen.

Browserinstellingen voorkomen niet andere tracking technologieën. De gebruiker zal op elke bezochte website en in elke gebruikte app in de informatie over cookies op zoek moeten gaan naar de optie om cookies en vergelijkbare technieken te weigeren. Dat kan zelden door het aanklikken van ‘weigeren’. Gezien het aantal websites en apps dat een gemiddelde Nederlander dagelijks gebruikt, is dat onbegonnen werk. Bovendien vraagt lang niet elke website/app op de juiste manier om toestemming. Het zorgt ervoor dat er regelmatig cookies geplaatst worden zonder dat de internetgebruiker dat door heeft.

DATA MANAGEMENT PLATFORM (DMP)

Oracle en Salesforce bieden een Data Management Platform (DMP) aan. Wat is dat?

Een DMP is een dienst gericht op het verzamelen en combineren van persoonsgegevens van internetgebruikers om bezoekers van websites specifieke, op het individu gerichte advertenties aan te kunnen bieden. Door de grote hoeveelheid gegevens die zij over internetgebruikers verzamelen en de (geautomatiseerde) analyses die zij daaraan toevoegen, creëren DMP’s een indringend en zeer persoonlijk beeld van het online leven van individuele personen.

REAL TIME BIDDING (RTB)

Wat is RTB?

Online advertenties zoals advertenties op websites worden meestal verkocht via RTB. Daarbij wordt advertentieruimte op bijvoorbeeld een website real time ‐ op het moment dat een persoon een website bezoekt ‐ geveild. Dit gebeurt volledig geautomatiseerd en DMP’s zijn hierbij onmisbaar. Een DMP stelt adverteerders in staat om op basis van specifieke informatie te bieden op advertentieruimte.

ALTERNATIEVEN VOOR ORACLE EN SALESFORCE

De huidige werkwijze van Oracle en Salesforce is buitengewoon lucratief. Daarnaast stellen veel partijen dat de inkomsten die websitehouders genereren met advertenties noodzakelijk zijn voor het gratis aanbieden van websites. Is er geen alternatief?

Het gebruik van persoonlijke informatie is niet de enige mogelijkheid om marketingcampagnes te optimaliseren. Zo kunnen advertenties ook worden getoond op basis van de inhoud van de content waar de advertentie bij wordt geplaatst, het zogenaamde contextueel adverteren genoemd. De New York Times is naar aanleiding van de AVG overgestapt op deze vorm van adverteren en haar inkomsten uit advertenties stijgen nog steeds.