Social media-liefhebbers zullen ongetwijfeld gedacht hebben dat Meta, het moederbedrijf achter onder andere Instagram, Facebook en WhatsApp, in november 2023 vroegtijdig voorsorteerde op 1 april. De tech gigant kondigde in die maand namelijk aan dat gebruikers de social media platforms in de toekomst ofwel tegen betaling konden gebruiken, ofwel persoonsgerichte en gedrag gebaseerde advertenties moesten dulden. Meta bood dus twee keuzes aan, waarna de term ‘Pay or OK-model’ in het leven geroepen werd: of je betaalt een bijdrage (‘betaalde dienst’), of je gaat akkoord met persoonsgerichte advertenties ('behavourial advertising-dienst'). Dit zorgde voor ophef bij gebruikers en klachten van diverse toezichthoudende instanties, die vreesden dat het merendeel van de gebruikers de advertenties zou accepteren, om maar niet in hun portemonnee geraakt te worden. Onder andere Max Schrems, de Robin Hood van de privacy, maakte zich hard voor het feit dat het tracken van social mediagebruikers een ondubbelzinnige toestemming vereist, zonder dat daaraan consequenties verbonden zijn. De European Data Protection Board (‘EDPB’) heeft recent in een Opinie perk en paal gesteld aan deze vorm van platform dienstverlening. In dit blog wordt allereerst de totstandkoming van die Opinie besproken. Vervolgens zoomen we in op een aantal kernelementen uit de Opinie, zoals de begrippen ‘groot online platform’ en de (machts)verhouding tot de gebruiker, ‘vrije toestemming’ en het aanbieden van een ‘equivalent alternatief’ voor het gebruik van het platform. Tot slot bespreekt dit blog wat dit nu concreet voor de praktijk betekent.
In de inleiding kwam kort Max Schrems aan bod, Schrems zou Schrems niet zijn als hij niet uit naam van social media-gebruikers op de barricade stond om op te komen tegen privacy-inmenging van grote platforms. Daarnaast verenigden een aantal consumentenorganisaties zich in de Europese consumentenorganisatie BEUC (Bureau Européen des Unions de Consommateurs). De organisaties dienden namelijk ieder afzonderlijk een klacht in bij hun nationale toezichthouder. Reden genoeg voor de Nederlandse Autoriteit Persoonsgegevens, de Noorse toezichthouder en de toezichthouder van de Duitse deelstaat Hamburg om de EDPB om duidelijkheid te vragen. Die duidelijkheid kwam er op 17 april, toen de EDPB haar Opinie inzake het gebruik van ‘toestemming of betaling-modellen’ (in de volksmond bekend als het ‘Pay or OK-model’) door grote online platforms publiceerde.
De EDPB gebruikt in de Opinie de term ‘groot online platform’ om de dienstverleners op wie de Opinie van toepassing is aan te duiden. Die term houdt verband met de definitie van een ‘online platform’ uit de Digital Services Act, maar ook met de definitie van een ‘very large online platform’ uit dezelfde Verordening. Daarnaast wijst de EDPB op het begrip ‘poortwachter’ uit de Digital Markets Act. Een aantal definities die hier en daar overlap vertonen, maar de betekenis van het ‘groot online platform’ wordt uit die overlap niet duidelijk. De EDPB stelt in de Opinie in ieder geval dat de schaal waarop gegevens verwerkt worden relevant is voor de begripsomschrijving ‘groot online platform’. Die schaal kan worden uitgedrukt in het aantal gebruikers, het volume aan verwerkte gegevens en de geografische omvang van het gebruik.
De verhouding tussen het platform en de gebruiker speelt vervolgens een belangrijke rol. Een platform kan op zo’n manier geïntegreerd zijn in een bepaalde sector binnen de maatschappij of in de maatschappij als geheel, dat gebruikers tot op zekere hoogte afhankelijk zijn van het platform. De marktpositie van het platform, het publiek van het platform en de mate van afhankelijkheid zijn hiervoor van belang. Daarnaast kunnen lock-in- en netwerkeffecten een rol spelen. Een lock-in effect houdt in dat een gebruiker een tijd lang het platform gebruikt heeft en bepaalde tijd en moeite in het platform geïnvesteerd heeft. De drempel om afscheid te nemen van dit platform kan hierdoor groter worden voor een gebruiker, omdat hij het platgezegd zonde vindt om zijn profiel te verwijderen. Netwerkeffecten treden daarnaast op wanneer een gebruiker nadeel kan ervaren van het feit dat hij niet actief is op een platform. Denk bijvoorbeeld aan platformen gericht op de arbeidsindustrie: niet deelnemen kan ervoor zorgen dat een gebruiker een hoop baankansen mist en een achterstand heeft ten opzichte van personen binnen zijn vakgebied die wel actief zijn op het platform.
De behavourial advertising-dienst uit het Pay or OK-model kan alleen verleend worden na toestemming van een gebruiker. De EDPB onderstreept het belang van de vrijheid om wel of geen toestemming te geven en benadrukt dat ‘Pay or OK-modellen’ deze vrijheid in gevaar brengen. Volgens de Europese toezichthouder moet de toestemming van een betrokkene een ‘blijk van zijn wensen’ zijn. Een aantal criteria zijn volgens de EDPB bepalend voor een vrij gegeven toestemming. Dit blog bespreekt de belangrijkste van die maatstaven: 1) de kans op nadeel; 2) de (machts)verhouding tussen platform en gebruiker; 3) toestemming voor een specifiek doel (‘granulariteitvereiste’ en ‘specifieke toestemming’); en 4) de mogelijkheid om toestemming vrij te weigeren voor bijkomstige diensten die niet noodzakelijk zijn voor de primaire dienstverlening (‘conditionaliteit’).
Een vrije toestemming houdt in dat je als gebruiker geen nadeel mag ondervinden van het feit dat je geen toestemming verleent. Bij een Pay or OK-model ligt nadeel op de loer, aangezien een gebruiker in de buidel zal moeten tasten wanneer hij geen toestemming verleend, maar het platform toch wil blijven gebruiken. De hiervoor besproken lock-in- en netwerkeffecten ziet de EDPB eveneens als nadeel voor een gebruiker die besluit zijn profiel te verwijderen.
De machtsverhouding tussen een verwerkingsverantwoordelijke en een betrokkene is een volgend algemeen leerstuk dat effect heeft op vrije toestemming. Tussen de werkgever en de werknemer wordt een onevenwichtige verhouding aangenomen, net als tussen overheidsorganen en burgers. In de regel komt het erop neer dat een machtsverhouding wordt aangenomen wanneer een betrokkene een bepaalde druk vanuit de hoedanigheid van de verwerkingsverantwoordelijke kan ervaren om toestemming te geven. Een ‘dominante marktpositie’ van een groot online platform kan een aanwijzing zijn voor een onevenwichtige machtsverhouding.
Toestemming kan daarnaast enkel vrijelijk gegeven worden voor doeleinden die specifiek genoeg omschreven zijn. Op die manier weet de gebruiker waar hij mee instemt. Hiermee hangt samen dat een platform voor iedere afzonderlijke verwerking die hij aanbiedt toestemming van de gebruiker moet verkrijgen. Het kan niet zo zijn dat een gebruiker bij toestemming voor een algemene nieuwsbrief opeens ook gepersonaliseerde pushberichten ontvangt waarin specifieke, persoonlijke acties aan de man worden gebracht. De AVG omschrijft dit als het granulariteitsvereiste: toestemming kan niet vrij worden gegeven wanneer er meerdere verwerkingsdoeleinden gezamenlijk worden aangeboden.
Het granulariteitsvereiste en behavourial advertising zijn moeilijk te rijmen. Bij behavourial advertising wordt gebruikgemaakt van complexe techniek, waarin personalisatie, optimalisatie van het proces en statistische doeleinden gedurende het hele proces plaatsvinden. De EDPB stelt dat al deze processtappen van elkaar gescheiden moeten worden, om vervolgens voor iedere stap toestemming te vragen. Een lastige horde voor platforms, aangezien iedere processtap onderdeel is van behavourial advertising en er dus alsnog overal toestemming voor verkregen moet worden.
Tot slot moet een gebruiker toegang tot een dienst kunnen krijgen wanneer hij toestemming heeft gegeven voor de verwerkingen die essentieel zijn voor die dienst. Voor iedere aanvullende dienst die niet strikt noodzakelijk is zou een gebruiker zonder consequenties voor het gebruik van de dienst toestemming moeten kunnen weigeren. Dit noemen we het conditionaliteitsvereiste: een gebruiker kan op geen enkele manier worden gedwongen om in te stemmen met zaken die niet noodzakelijk zijn voor het bereiken van het verwerkingsdoeleinde.
Gelet op het voorgaande zijn er dus nogal wat hoepels die grote online platforms door moeten voordat ze de toestemming voor behavourial advertising aan elkaar gebreid hebben. Een binair Pay or OK-model lijkt in ieder geval niet aan de voorwaarden te voldoen: de gebruiker die geen toestemming verleent ondervindt hier direct nadeel van, de machtsverhouding drukt op een vrije toestemming en het is een uitdaging om verwerkingsdoeleinden goed te scheiden. Als oplossing introduceert de EDPB het ‘equivalent alternatief’: wanneer het platform naast het ‘Pay or OK-model’ nog een gebruikswijze aanbiedt die dezelfde functionaliteit biedt zonder dat een gebruiker toestemming voor de verwerking van zijn persoonsgegevens moet verlenen of moet betalen, kan het platform de dienst blijven aanbieden. Een gratis dienst waarbij geen persoonsgegevens worden verwerkt geldt in ieder geval als equivalent alternatief. In andere gevallen zal individueel moeten worden beoordeeld of de dienst dezelfde functionaliteiten bevat.
Equivalentie wordt aangenomen voor diensten die ‘dezelfde waarde’ hebben. Dit zal per geval moeten worden beoordeeld: wanneer een groot online platform erin slaagt een dienst te ontwikkelen die qua waarde dicht genoeg bij de Pay or OK-diensten ligt, dan heeft het platform een equivalent alternatief in handen. Ieder alternatief dat te veel verschilt, is niet equivalent genoeg. Om een passend alternatief te bereiken, moet een platform zich volgens de EDPB beperken tot de noodzakelijk (oftewel: onmisbare) functionaliteiten. Dit betekent slecht nieuws voor de persoonsgerichte advertenties. Een platform functioneert namelijk wel degelijk zonder het gebruik van zulke advertenties. In een equivalent alternatief lijkt er voor de persoonsgerichte advertenties zodoende geen plaats. Het levert voor platformen bovendien problemen op bij de doorontwikkeling en statistische analysering van de dienst. Een bepaalde mate van doorontwikkeling van een systeem is noodzakelijk om het systeem draaiende te houden, maar voor een groot deel vindt doorontwikkeling plaats ten behoeve van (niet-noodzakelijke) optimalisatie. Het platform zal zelf moeten bepalen welke vorm van ontwikkeling noodzakelijk is. Alleen deze vorm van ontwikkeling mag worden toegepast bij een equivalent alternatief. Het gebruik van trackingtechnieken ziet de EDPB daarnaast niet per se als niet noodzakelijk, zolang dit maar in het belang van de gebruiker of het systeem is. Tracking ten behoeve van beveiligingsdoeleinden mag ook in een equivalent alternatief plaatsvinden, tracking ten behoeve van behavourial advertising daarentegen niet.
Hoewel de EDPB dus geen rode streep door het Pay or OK-model zet, lijkt het erop dat het model praktisch gezien niet meer te hanteren is. De EDPB eist meer van platforms als het gaat om het verkrijgen van toestemming, wat in de basis natuurlijk een goed streven is. Het equivalent alternatief is een passende oplossing voor gebruikers, maar platforms vrezen ongetwijfeld dat ieder equivalent alternatief dat zij ontwikkelen hun betaalde optie of behavourial advertising-optie uit de markt drukt. De gemiddelde consument kennende kiest hij in veel gevallen voor het equivalent alternatief. Bij het bereiken van equivalentie wordt er daarnaast veel aan de platforms overgelaten met betrekking tot de invulling. Zelfs voor de hoogte van de vergoeding bij de betaalde dienst dient het platform te beoordelen of die hoogte dermate in verhouding tot de dienst staat dat gezegd kan worden dat deze vergoeding het geven van toestemming voor de behavourial advertising-dienst niet beïnvloedt. Het voorgaande doet natuurlijk niks af aan het feit dat de EDPB met recht het korset rondom het Pay or OK-model heeft aangetrokken. De toekomst zal echter uitwijzen hoe uitvoerbaar deze Opinie in de praktijk is.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.