Deze zaak heeft betrekking op één van de grootste onrechtmatige gegevensverwerkingen in de geschiedenis van het internet. Het gaat om de verwerking van persoonsgegevens van praktisch alle Nederlanders die informatie op het internet lezen of bekijken. De schending vindt dagelijks  op grote schaal plaats.

Oracle en Salesforce schenden stelselmatig de Algemene Verordening Gegevensbescherming (AVG) en andere wetten door zonder rechtmatige grondslag de gegevens van Nederlandse internetgebruikers te verzamelen en verwerken. Dat doen zij door gedetailleerde profielen op te stellen en te onderhouden van internetgebruikers, onder meer door gegevens te verzamelen via cookies die zonder geldige toestemming zijn geplaatst, en deze profielen commercieel te exploiteren voor het targeten van advertenties.

Daarnaast schenden Oracle en Salesforce de AVG door:

• onvoldoende transparantie in acht te nemen over hun handelwijze, bijvoorbeeld ten aanzien van de uitwisseling van unieke identificatoren van cookies met andere partijen (cookie syncing);
• in strijd te handelen met het vereiste van dataminimalisatie door onbeperkt en bovenmatig persoonsgegevens te verzamelen, te combineren en te delen;
• persoonsgegevens te verwerken in strijd met de doeleinden waarvoor deze oorspronkelijk zijn verzameld. Hierbij nemen ze onvoldoende passende beveiliging in acht, handelen zij in strijd met hun verantwoordingsplicht en geven zij persoonsgegevens door aan landen zonder passend beschermingsregime.

Door het handelen van Oracle en Salesforce hebben de circa tien miljoen Nederlandse internetgebruikers die The Privacy Collective vertegenwoordigt schade geleden, onder meer door verlies van controle over hun persoonsgegevens.

De schade wordt begroot op € 500 per persoon per gedaagde partij.

The Privacy Collective heeft een verklaring voor recht gevorderd dat Oracle en Salesforce aansprakelijk zijn jegens de Nederlandse internetgebruikers. Zij vordert dat Oracle en Salesforce veroordeeld worden om de schade en de kosten (proceskosten en buitengerechtelijke kosten) te vergoeden. The Privacy Collective vordert ook dat Oracle en Salesforce bepaalde informatie verstrekken en dat zij hun onrechtmatig handelen staken.

Een belangrijk argument om juist deze twee partijen in rechte aan te spreken is de omvang en impact van hun onrechtmatige handelingen in Nederland. Zij zijn prominent aanwezig.

Tegelijkertijd opereren ze veelal achter de schermen. Iedereen kent Google en Facebook, maar deze bedrijven zijn minder bekend, terwijl zij dagelijks op ongekende wijze handelen in onze persoonsgegevens. Er zijn al veel klachten ingediend bij toezichthouders over de ad-tech industrie, maar er gebeurt te weinig met die klachten. Iedereen is het erover eens dat dit moet stoppen, maar de wereld is zo complex dat toezichthouders het vooralsnog niet aandurven.

Onderzoek laat zien dat uit een geselecteerde lijst van 100 websites die door Nederlandse internetgebruikers veel bezocht worden, er 25 Oracle’s cookies en 31 Salesforce cookies plaatsen. Via de cookies op deze websites verzamelen de concerns gegevens over vrijwel iedere Nederlander die regelmatig het internet bezoekt.

The Privacy Collective is een non-profit organisatie die strijdt voor eerlijke en adequate vergoedingen voor mensen van wie de privacy online geschonden is. Samen met privacy-experts, een betrokken achterban en partnerorganisaties, binnen en buiten Nederland. The Privacy Collective heeft zelf geen financieel belang bij  de vorderingen die zij instelt in de juridische procedures.

De stichting wordt gefinancierd door Innsworth Capital Limited, een procesfinancier gevestigd in Jersey.

De procesfinancier krijgt daarvoor een redelijke vergoeding als de door de stichting gevoerde procedure succesvol is. De commissie van de procesfinancier is afhankelijk van de mate van succes en loopt af van 25% naar 15% naar 10% van de toegekende schadevergoeding. Het percentage neemt dus af naarmate de omvang van de schadevergoeding groter wordt. De uiteindelijke vergoeding is redelijk en adequaat gelet op de risico’s die door de procesfinancier worden gedragen. De commissie die aan de procesfinancier moet worden betaald, zal het bedrag dat beschikbaar is voor de Gedupeerden verminderen, tenzij de kosten van de Stichting (inclusief de commissie die de procesfinancier heeft bedongen voor de financiering) zijn aanvullend door Oracle en Salesforce zullen moeten worden betaald.

In het Claim Code Compliance Statement dat op deze site te vinden is onder ‘Documenten’, wordt de relatie tussen de stichting en de procesfinancier nader toegelicht.

Het gaat hier om 10 miljoen gedupeerden. In een class action kan een grote groep mensen zich verenigen op grond van dezelfde vordering en zich laten vertegenwoordigen door een specifieke partij, zoals in dit geval een stichting. Het is de eerste keer dat er in Nederland een class action plaatsvindt op basis van inbreuk op de AVG.

The Privacy Collective verzoekt Nederlandse internetgebruikers hun steun te betuigen voor de stichting en de procedure die zij voert via haar website. Dat helpt bij het aantonen van het belang van de door de stichting gevoerde procedure en om rechtstreeks te communiceren, in aanvulling op de website.

Er wordt geen financiële bijdrage gevraagd van de Nederlandse internetgebruikers. Indien een schadevergoeding wordt toegekend, zal er wel een commissie aan de procesfinancier moeten worden betaald, die in mindering op de aan de internetgebruikers te betalen schadevergoeding wordt gebracht, tenzij de rechtbank beslist dat Oracle en Salesforce daarvoor een aanvullend bedrag moeten betalen.

De wijze waarop een eventuele schadevergoeding zal worden uitgekeerd, zal op een later moment door de rechtbank worden vastgesteld.

De schade wordt begroot op € 500 per persoon per gedaagde. Voor een individu is die schade veelal te klein om te vorderen. In een collectieve actie is het wel mogelijk om voor iedereen een  schadebedrag te vorderen.

Wij hebben praktische handleidingen gemaakt waarmee individuele internetgebruikers kunnen onderzoeken of er Oracle en / of Salesforce cookies aanwezig zijn op hun apparaten. Deze handleiding (Supporter’s Handbook) is te raadplegen onder de kop ‘Documenten‘ op de site.

Wij zijn zeer actief op het gebied van bescherming van persoonsgegevens, in de media, op social media, door deel te nemen aan congressen, en sommige van onze bestuurders staan bijna dagelijks in de collegezaal om thema’s zoals deze te doceren en te bespreken.

Daarnaast onderhouden wij als stichting regelmatig en intensief contact met privacy organisaties in binnen- en buitenland, waarbij duizenden mensen zijn aangesloten die geven om hun privacy.

Verder doen opiniepeilingen onder Nederlandse internetgebruikers, over thema’s die in deze zaak centraal staan. Alle inzichten die we zo opdoen, nemen wij mee bij onze besluitvorming. Op belangrijke momenten zullen we bovendien panels van Nederlandse internetgebruikers raadplegen.

Heb je specifieke punten die je onder onze aandacht wilt brengen? Mail ons dan op info@theprivacycollective.nl.

Het doel van de Stichting luidt zoals dat in de statuten is verwoord. De statuten zijn vindbaar op deze site. Kort gezegd komt het doel erop neer dat de Stichting zich inzet voor de behartiging en de bescherming van de privacy belangen van met name Nederlandse internetgebruikers.

De Stichting streeft haar doel onder meer na door campagne te voeren, (technisch) onderzoek te (laten) doen naar de privacyaspecten bij de grootschalige verzameling en verwerking van persoonsgegevens van internetgebruikers en naar de partijen die daarin een rol spelen, zoals Oracle en Salesforce, en onderzoek te doen naar samenwerkingsverbanden met andere organisaties.

Het bestuur brengt een marktconform uurtarief voor verrichtte werkzaamheden in rekening van EUR 300 voor de voorzitter en EUR 250 voor de leden. Aan de voorzitter en leden van de raad van toezicht wordt een vaste vergoeding betaald van EUR 12.000 per jaar voor de voorzitter en EUR 10.000 per jaar voor de leden. Eventuele meer dan vooraf ingeschatte uren kunnen onder omstandigheden in rekening gebracht voor een tarief van EUR 250 per uur.

Daadwerkelijk betaalde vergoedingen aan (leden van het) bestuur en raad van toezicht worden jaarlijks bij de vaststelling van de balans en staat van baten en lasten opgenomen en op de website gepubliceerd.

De gegevensverzameling door Oracle en Salesforce begint met het plaatsen van een cookie op de randapparatuur van internetgebruikers. Het gaat dan om cookies uitgerust met een unieke identificator waarmee internetgebruikers van elkaar worden onderscheiden.

De informatie vergaard via de cookie wordt verrijkt met informatie uit alternatieve bronnen, zodat een zo volledig mogelijk overzicht ontstaat van de karaktereigenschappen en interesses van een persoon. De unieke identificatoren worden uitgewisseld met andere commerciële partijen en aan elkaar gekoppeld. Dit proces wordt cookie syncing genoemd. Oracle en Salesforce maken er op zeer grote schaal gebruik van.

Op het plaatsen van cookies zijn belangrijke regels van toepassing. Eén daarvan is dat de consument toestemming moet geven. Die toestemming kan hij alleen rechtsgeldig geven als hij goed geïnformeerd wordt. Dat gebeurt hier niet. Bijna niemand weet dat er een schaduwprofiel van hem bestaat en dat hij dagelijks onderwerp is van een veilingproces.

Niemand weet dat zijn gegevens in dat veilingproces met duizenden partijen worden gedeeld.

Een meerderheid van de internetgebruikers wil niet dat zijn of haar persoonlijke informatie door de ad-tech industrie wordt gebruikt. Het is echter vrijwel onmogelijk daar iets tegen te doen.

Als een internetgebruiker het gebruik van zijn gegevens door deze partijen wil beperken dan zal hij de instellingen van alle browsers op elk apparaat dat hij gebruikt, moeten wijzigen. De gebruiker moet dan bijvoorbeeld instellen dat third party cookies geweigerd worden.
Wanneer de gebruiker instelt dat ook first party cookies geweigerd worden, zullen veel websites niet meer goed of helemaal niet meer functioneren. De gebruiker kan in de browser ook instellen dat naar elke partij die gegevens opvraagt een zogenaamd do not track verzoek wordt verzonden. De gebruiker geeft daarmee dat hij niet getrackt wil worden.
Deze functie wordt echter door browsers niet technisch afgedwongen.

Browserinstellingen voorkomen niet andere tracking technologieën. De gebruiker zal op elke bezochte website en in elke gebruikte app in de informatie over cookies op zoek moeten gaan naar de optie om cookies en vergelijkbare technieken te weigeren. Dat kan zelden door het aanklikken van ‘weigeren’. Gezien het aantal websites en apps dat een gemiddelde Nederlander dagelijks gebruikt, is dat onbegonnen werk. Bovendien vraagt lang niet elke website/app op de juiste manier om toestemming. Het zorgt ervoor dat er regelmatig cookies geplaatst worden zonder dat de internetgebruiker dat door heeft.

Een DMP is een dienst gericht op het verzamelen en combineren van persoonsgegevens van internetgebruikers om bezoekers van websites specifieke, op het individu gerichte advertenties aan te kunnen bieden. Door de grote hoeveelheid gegevens die zij over internetgebruikers verzamelen en de (geautomatiseerde) analyses die zij daaraan toevoegen, creëren DMP’s een indringend en zeer persoonlijk beeld van het online leven van individuele personen.

Online advertenties zoals advertenties op websites worden meestal geëxploiteerd via RTB. Daarbij wordt advertentieruimte op bijvoorbeeld een website real time ‐ op het moment dat een persoon een website bezoekt ‐ geveild. Dit gebeurt volledig geautomatiseerd en DMP’s zijn hierbij onmisbaar. Een DMP stelt adverteerders in staat om op basis van specifieke informatie te bieden op advertentieruimte.

Het gebruik van persoonlijke informatie is niet de enige mogelijkheid om marketingcampagnes te optimaliseren. Zo kunnen advertenties ook worden getoond op basis van de inhoud van de content waar de advertentie bij wordt geplaatst, het zogenaamde contextueel adverteren genoemd. De New York Times is naar aanleiding van de AVG overgestapt op deze vorm van adverteren en haar inkomsten uit advertenties stijgen nog steeds.