Veelgestelde vragen

DE ZAAK

Waar gaat de zaak over?

Deze zaak heeft betrekking op één van de grootste onrechtmatige gegevensverwerkingen in de geschiedenis van het internet. Het gaat om de verwerking van persoonsgegevens van praktisch alle Nederlanders die informatie op het internet lezen of bekijken. De schending vindt iedere dag plaats.

Wat wordt Oracle en Salesforce primair verweten?

Oracle en Salesforce schenden stelselmatig de Algemene Verordening Gegevensbescherming (AVG) door zonder rechtmatige grondslag de gegevens van Nederlandse internetgebruikers te verzamelen en verwerken. Dat doen zij door profielen te bouwen van iedereen die online is, onder meer door gegevens te verzamelen via cookies die zonder geldige toestemming zijn geplaatst, en deze profielen te koop aan te bieden voor het targeten van advertenties.

Daarnaast:

  • zijn zij onvoldoende transparant over hun handelwijze, bijvoorbeeld ten aanzien van de uitwisseling van unieke identificatoren van cookies met andere partijen (cookie syncing);
  • handelen zij in strijd met het vereiste van dataminimalisatie door onbeperkt en bovenmatig persoonsgegevens te verzamelen, combineren en delen;
  • verwerken zij persoonsgegevens in strijd met de doeleinden waarvoor deze oorspronkelijk zijn verzameld, nemen ze onvoldoende passende beveiliging in acht nemen, handelen in strijd met hun verantwoordingsplicht en geven zij persoonsgegevens door aan landen zonder passend beschermingsregime.
Wat eist The Privacy Collective?

Door het handelen van Oracle en Salesforce hebben de circa tien miljoen Nederlandse internetgebruikers die The Privacy Collective vertegenwoordigt schade geleden, onder meer door verlies van controle over hun persoonsgegevens.

De schade wordt begroot op € 500 per persoon per gedaagde partij (wat Oracle betreft nog eens € 100 per persoon vanwege een datalek). Voor dit bedrag wordt o.a. aangehaakt bij een uitspraak van de Raad van State van 1 april 2020.

Van Oracle en Salesforce wordt geëist dat zij die schade vergoeden, vermeerderd met de kosten die The Privacy Collective moet maken in het kader van deze zaak.

Waarom is deze zaak specifiek aangespannen tegen Oracle en Salesforce? Er zijn toch (talloze) andere partijen die doen wat zij doen?

Een belangrijk argument om juist deze twee partijen in rechte aan te spreken is de omvang en impact van hun onrechtmatige handelingen in Nederland. Zij zijn prominent aanwezig.

Tegelijkertijd opereren ze veelal achter de schermen. Iedereen kent Google en Facebook, maar deze bedrijven zijn minder bekend, terwijl zij dagelijks op ongekende wijze handelen in onze persoonsgegevens. Er zijn al veel klachten ingediend bij toezichthouders over de ad-tech industrie, maar er gebeurt te weinig met die klachten. Iedereen is het erover eens dat dit moet stoppen, maar de wereld is zo complex dat toezichthouders het vooralsnog niet aandurven.

Onderzoek laat zien dat uit een geselecteerde lijst van 100 websites die door Nederlandse internetgebruikers veel bezocht worden, er 25 Oracle’s cookies en 31 Salesforce cookies plaatsen. Via de cookies op deze websites verzamelen de concerns gegevens over vrijwel iedere Nederlander die regelmatig het internet bezoekt.

Wat is The Privacy Collective?

The Privacy Collective is een non-profit organisatie die strijdt voor eerlijke en adequate vergoedingen voor mensen van wie de privacy online geschonden is. Samen met privacy-experts, een betrokken achterban en partnerorganisaties, binnen en buiten Nederland. The Privacy Collective heeft geen financieel belang bij vorderingen uit juridische procedures.

Door wie en hoe wordt deze zaak gefinancierd?

De stichting wordt gefinancierd door Innsworth Capital Limited, een ervaren procesfinancier gevestigd in Jersey.

De procesfinancier krijgt daarvoor een redelijke vergoeding als de door de stichting gevoerde procedure succesvol is. Afhankelijk van de mate van succes zal de vergoeding voor de procesfinancier aflopen van 25% naar 15% naar 10% van de eventueel toe te kennen schadevergoeding. Het percentage neemt dus af naarmate de schadevergoeding groter wordt. Als geen schadevergoeding wordt toegekend, krijgt de procesfinancier geen vergoeding.

In het Claim Code Compliance Statement dat op deze site te vinden is, wordt de relatie tussen de stichting en de procesfinancier nader toegelicht.

De dagvaarding is betekend op 14 augustus 2020. Wanneer verwachten jullie een eerste zitting?

Procederen in Nederland is grotendeels een schriftelijke aangelegenheid. De zaak begint te lopen bij de rechtbank op 9 december 2020. We verwachten dat Oracle en Salesforce in januari 2021 hun eerste reactie op de dagvaarding gaan indienen. Een zitting komt dan enkele maanden later.

CLASS ACTION

Waarom is gekozen voor een class action?

Het gaat hier om 10 miljoen gedupeerden. In een class action kan een grote groep mensen zich verenigen op grond van dezelfde vordering en zich laten vertegenwoordigen door een specifieke partij, zoals in dit geval een stichting. Het is de eerste keer dat er in Nederland een class action plaatsvindt op basis van inbreuk op de AVG.

Hoe meld ik mij aan en kom ik in aanmerking voor schadevergoeding / compensatie?

De stichting verzoekt Nederlandse internetgebruikers hun steun te betuigen via haar website. Dat helpt bij het aantonen van het belang van de door de stichting gevoerde procedure.

Er wordt geen financiele bijdrage gevraagd van de Nederlandse internetgebruikers.

De wijze waarop een eventuele schadevergoeding zal worden uitgekeerd, zal op een later moment door de rechtbank worden vastgesteld.

Wat is de hoogte van de schadevergoeding die een individu kan krijgen?

De schade wordt begroot op € 500 per persoon per gedaagde (wat Oracle betreft nog eens € 100 per persoon vanwege een datalek). Voor dit bedrag wordt aangehaakt bij een uitspraak van de Raad van State van 1 april 2020. Voor een individu is die schade te klein om te vorderen. In een collectieve actie is het wel mogelijk om voor iedereen een klein bedrag te vorderen.

De totale schade wordt geschat op zo’n 10 miljard euro.

Hoe toon je als individu aan dat je het slachtoffer bent geworden van de praktijken van Oracle en Salesforce?

Wij hebben praktische handleidingen gemaakt waarmee individuele internetgebruikers kunnen onderzoeken of er Oracle en / of Salesforce cookies aanwezig zijn op hun apparaten.

DE STICHTING

Wat is het doel van de Stichting?

Het doel van de Stichting luidt zoals dat in de statuten is verwoord. De statuten zijn vindbaar op deze site. Kort gezegd komt het doel erop neer dat de Stichting zich inzet voor de behartiging van de privacy belangen van met name Nederlandse internetgebruikers.

COOKIES & COOKIE SYNCING

Oracle en Salesforce maken voor het verzamelen gebruik van cookies. Hoe werkt dat?

De gegevensverzameling door Oracle en Salesforce begint met het plaatsen van een cookie op de randapparatuur van internetgebruikers. Het gaat dan om cookies uitgerust met een unieke identificator waarmee internetgebruikers van elkaar worden onderscheiden.

Wat is cookie syncing en wat heeft dat met Oracle en Salesforce te maken?

De informatie vergaard via de cookie wordt verrijkt met informatie uit alternatieve bronnen, zodat een zo volledig mogelijk overzicht ontstaat van de karaktereigenschappen en interesses van een persoon. De unieke identificatoren worden uitgewisseld met andere commerciële partijen en aan elkaar gekoppeld. Dit proces wordt cookie syncing genoemd. Oracle en Salesforce maken er op zeer grote schaal gebruik van.

Het plaatsen van cookies is toch niet onrechtmatig?

Op het plaatsen van cookies zijn belangrijke regels van toepassing. Eén daarvan is dat de consument toestemming moet geven. Die toestemming kan hij alleen rechtsgeldig geven als hij goed geïnformeerd wordt. Dat gebeurt hier niet. Bijna niemand weet dat er een schaduwprofiel van hem bestaat en dat hij dagelijks onderwerp is van een veilingproces.

Niemand weet dat zijn gegevens in dat veilingproces met duizenden partijen worden gedeeld.

Kunnen internetgebruikers zich beschermen tegen de praktijken van partijen als Oracle en Salesforce of andere ad-­‐tech bedrijven?

Een meerderheid van de internetgebruikers wil niet dat zijn of haar persoonlijke informatie door de ad-tech industrie wordt gebruikt. Het is echter vrijwel onmogelijk daar iets tegen te doen.

Als een internetgebruiker het gebruik van zijn gegevens door deze partijen wil beperken dan zal hij de instellingen van alle browsers op elk apparaat dat hij gebruikt, moeten wijzigen. De gebruiker moet dan bijvoorbeeld instellen dat third party cookies geweigerd worden.
Wanneer de gebruiker instelt dat ook first party cookies geweigerd worden, zullen veel websites niet meer goed of helemaal niet meer functioneren. De gebruiker kan in de browser ook instellen dat naar elke partij die gegevens opvraagt een zogenaamd do not track verzoek wordt verzonden. De gebruiker geeft daarmee dat hij niet getrackt wil worden.
Deze functie wordt echter door browsers niet technisch afgedwongen.

Browserinstellingen voorkomen niet andere tracking technologieën. De gebruiker zal op elke bezochte website en in elke gebruikte app in de informatie over cookies op zoek moeten gaan naar de optie om cookies en vergelijkbare technieken te weigeren. Dat kan zelden door het aanklikken van ‘weigeren’. Gezien het aantal websites en apps dat een gemiddelde Nederlander dagelijks gebruikt, is dat onbegonnen werk. Bovendien vraagt lang niet elke website/app op de juiste manier om toestemming. Het zorgt ervoor dat er regelmatig cookies geplaatst worden zonder dat de internetgebruiker dat door heeft.

DATA MANAGEMENT PLATFORM (DMP)

Oracle en Salesforce bieden een Data Management Platform (DMP) aan. Wat is dat?

Een DMP is een dienst gericht op het verzamelen en combineren van persoonsgegevens van internetgebruikers om bezoekers van websites specifieke, op het individu gerichte advertenties aan te kunnen bieden. Door de grote hoeveelheid gegevens die zij over internetgebruikers verzamelen en de (geautomatiseerde) analyses die zij daaraan toevoegen, creëren DMP’s een indringend en zeer persoonlijk beeld van het online leven van individuele personen.

REAL TIME BIDDING (RTB)

Wat is RTB?

Online advertenties zoals advertenties op websites worden meestal verkocht via RTB. Daarbij wordt advertentieruimte op bijvoorbeeld een website real time ‐ op het moment dat een persoon een website bezoekt ‐ geveild. Dit gebeurt volledig geautomatiseerd en DMP’s zijn hierbij onmisbaar. Een DMP stelt adverteerders in staat om op basis van specifieke informatie te bieden op advertentieruimte.

ALTERNATIEVEN VOOR ORACLE EN SALESFORCE

De huidige werkwijze van Oracle en Salesforce is buitengewoon lucratief. Daarnaast stellen veel partijen dat de inkomsten die websitehouders genereren met advertenties noodzakelijk zijn voor het gratis aanbieden van websites. Is er geen alternatief?

Het gebruik van persoonlijke informatie is niet de enige mogelijkheid om marketingcampagnes te optimaliseren. Zo kunnen advertenties ook worden getoond op basis van de inhoud van de content waar de advertentie bij wordt geplaatst, het zogenaamde contextueel adverteren genoemd. De New York Times is naar aanleiding van de AVG overgestapt op deze vorm van adverteren en haar inkomsten uit advertenties stijgen nog steeds.