Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er gebeurt echter veel meer op het gebied van privacy, wat niet altijd het nieuws haalt. Aan de hand van jurisprudentie leren we veel over hoe de Algemene verordening gegevensbescherming (hierna: “AVG”) uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand juni op een rij.
Bedrijven die niet reageren op verwijderverzoeken, riskeren een boete van de Autoriteit Persoonsgegevens (hierna: “AP”). Dit komt voort uit een uitspraak waar een recruitmentbureau in beroep is gegaan tegen de boete van de AP. Het recruitmentbureau vindt de boete en het openbaarmakingsbesluit onredelijk. De Raad van State vindt daar wat anders van en concludeert dat de AP juist heeft gehandeld.
Negeren van verwijderverzoeken
Het recruitmentbureau heeft in 2018 een tweetal waarschuwingsbrieven van de AP ontvangen. Deze brieven zijn naar het recruitmentbureau verstuurd naar aanleiding van een aantal klachten van betrokkenen die bij de AP zijn ingediend. De betrokkenen zijn namelijk benaderd door het recruitmentbureau nadat de betrokkenen bij het recruitmentbureau verzocht hadden om de persoonsgegevens te laten verwijderen. De AP heeft vervolgens in een onderzoeksrapport geconcludeerd dat het recruitmentbureau in strijd met de AVG heeft gehandeld. Als gevolg hiervan heeft de AP, na een afweging van de omstandigheden en factoren, een boete opgelegd van 6.000 euro aan het recruitmentbureau en is dit boetebesluit niet-geanonimiseerd gepubliceerd op de website van de AP. Het recruitmentbureau is tegen deze besluiten in bezwaar gegaan en na een afwijzing van het bezwaar, in beroep gegaan bij de Raad van State.
Het recruitmentbureau is van mening dat de boete te hoog is en dat er had kunnen volstaan met een waarschuwing. Daarnaast vindt het bureau dat het boetebesluit geanonimiseerd had moeten bij publicatie omdat hier reputatieschade uit voortgekomen zou zijn. Ook geeft het recruitmentbureau aan dat het privacybeleid en de privacyverklaring op orde zijn en dat ze al meer dan 650 verwijderverzoeken succesvol heeft verwerkt. Het niet reageren op de betrokkenen van de verwijderverzoeken zou dan ook een menselijke fout zijn geweest.
De hoogte van de boete
De Raad van State kan zich niet vinden in de stellingen van het recruitmentbureau over de hoogte van de boete. Het gaat hier om meerdere verwijderverzoeken waar niet op gereageerd was, waardoor dit als een ernstige overtreding gezien wordt. Om hier een boete voor op te kunnen leggen, moet de overtreding opzettelijk zijn geweest of uit nalatigheid voortkomen. Het niet reageren op een verwijderverzoek wordt als nalatigheid beschouwd en dus is niet een waarschuwing, maar een boete op zijn plaats. De hoogte van de boete is door de AP al veel lager vastgesteld dan wat oorspronkelijk voor de overtreding staat. Er was weliswaar een privacybeleid intern aanwezig en een privacyverklaring op de website aanwezig, maar gebleken is dat de instructies uit deze stukken niet zijn opgevolgd door de medewerkers. De hoogte van de boete van 6.000 euro is volgens de Raad van State dan ook redelijk.
Het openbaarmakingsbesluit
Naast het boetebesluit vindt de Raad van State het ook terecht dat de het besluit openbaar is gemaakt zonder enige anonimisering. De AP heeft het besluit uit eigen beweging volgens de Wet openbaarheid van bestuur (nu de Wet open overheid) openbaargemaakt en bij dat besluit moet een belangenafweging gemaakt worden. De AP berust het besluit van openbaarmaking op haar eigen beleidsregels, waar onder andere is opgenomen dat het publiek geïnformeerd wordt over overtredingen die hen persoonlijk kunnen treffen. De AP geeft daarnaast aan dat het effect van een openbaarmaking van een boetebesluit groter is dan uitleg over een regeling op de website van de AP. De AP laat hierdoor blijken dat de naleving van de AVG ook daadwerkelijk wordt afgedwongen.
Procedures en bewustwording
Uit de zaak kan opgemaakt worden dat het van groot belang is dat iedere organisatie bewust is van het naleven van de verzoeken van de rechten van betrokkenen die voortkomen uit de AVG. Medewerkers van een organisatie moeten weten hoe zij een verwijderverzoek of inzageverzoek kunnen herkennen en wat de procedure is om hier gevolg aan te geven. Wanneer dit niet gebeurt, ligt er een boete als gevolg van een klacht door een betrokkene op de loer. Iedere organisatie doet er daarom verstandig aan om een procedure voor rechten van betrokkenen op te stellen en deze intern onder de aandacht te brengen bij de medewerkers. Op deze wijze wordt het risico op het niet reageren op een verwijderverzoek zeer verkleind.
Softwarebedrijven als Microsoft en LinkedIn zijn aansprakelijk wanneer tracking cookies op een website geplaatst worden zonder toestemming. De rechtbank concludeert dit in een uitspraak waar een particulier (hierna: “eiser”) de softwarebedrijven voor de rechter heeft gedaagd in een kort geding. Bedrijven die tracking cookies aanbieden om te laten plaatsen op andere websites, en vervolgens hier persoonsgegevens mee verzamelen, zullen zelf ook na moeten gaan of zij de persoonsgegevens rechtmatig hebben verkregen.
Tracking cookies en toestemming
In deze zaak worden drie softwarebedrijven, namelijk Microsoft, LinkedIn en Xandr (hierna: “cookie-aanbieders”) voor de rechter gedaagd door eiser om het plaatsen zonder toestemming van de tracking cookies te staken. Eiser heeft een bedrijf ingeschakeld om op onafhankelijke manier een analyse te maken van de websites die eiser heeft bezocht. De analyse laat zien hoe vaak een tracking cookie van de cookie-aanbieders geplaatst wordt voordat toestemming is gegeven. Tracking cookies zijn cookies die bij andere websites kunnen worden uitgelezen om het internetgedrag van mensen door de tijd heen te volgen. Hier kan een profiel van worden gemaakt, waardoor er sprake is van profilering. Deze tracking cookies verzamelen dan meestal persoonsgegevens. Deze tracking cookies mogen volgens de AVG en de Telecommunicatiewet (hierna: “TW”) alleen geplaatst worden als de websitebezoeker hier toestemming voor heeft gegeven.
Verantwoordelijkheid van de cookie-aanbieders
De cookie-aanbieders zijn van mening dat zij verwerker zijn wanneer hun cookies geplaatst worden op een website van een derde partij. Als verwerker krijg je de opdracht van een verwerkingsverantwoordelijke om persoonsgegevens te verwerken en bepaal je zelf niet het doel en de middelen voor de verwerking van deze persoonsgegevens. De rechtbank gaat hier niet in mee en geeft aan dat de cookie-aanbieders ook verwerkingsverantwoordelijke zijn voor de geplaatste cookies en de persoonsgegevens die daarmee verzameld worden. Reden hiervoor is dat de cookie-aanbieder zelf de cookies ontwikkeld heeft en zelf bepaalt met wie zij afspraken maken over de privacyregels. De cookie-aanbieder kan dus invloed uitoefenen op de verwerking van persoonsgegevens en kan mede het doel en de middelen bepalen. Zowel de cookie-aanbieder als de eigenaar van een website waarop de cookies geplaatst worden zijn dus verwerkingsverantwoordelijke.
Cookie-aanbieder ook verantwoordelijk voor het verkrijgen van de toestemming?
De cookie-aanbieders geven aan dat zij het verkrijgen van de toestemming hebben uitbesteed aan de eigenaar van een website waarop de cookies geplaatst worden. De cookie-aanbieders zijn daarentegen nog steeds verantwoordelijk voor het verkrijgen van de rechtsgeldige toestemming om de cookies te plaatsen en de persoonsgegevens te mogen uitlezen volgens de rechtbank.
Gevolgen voor de website-eigenaar?
Een website-eigenaar is, zo blijkt uit deze zaak, medeverantwoordelijk voor het verkrijgen van de toestemming voor tracking cookies van de websitebezoekers. Alhoewel de website-eigenaar de keuze maakt of er tracking-cookies geplaatst worden, bepaalt de cookie-aanbieder wat er met de persoonsgegevens gebeurt. De website-eigenaar moet er dus voor zorgen dat er een rechtmatige toestemming wordt verkregen op de website van de websitebezoeker. Dit kan de cookie-aanbieder niet regelen anders dan ervoor kiezen om een functionaliteit in de cookie in te bouwen dat de cookie niet geplaatst wordt als er geen toestemming verkregen is. De website-eigenaar zal dus moeten zorgen voor een juist werkende cookiebanner en de cookie-aanbieders zullen een effectieve functionaliteit moeten integreren dat plaatsing van tracking cookies verbiedt zonder toestemming.
Volgens de AVG kan een collectieve schadevergoeding geëist worden wanneer de AVG is overtreden en de betrokkene hieronder schade heeft geleden. Maar kan iedere organisatie in Nederland een dergelijke schadevergoeding namens de betrokkenen eisen? In een uitspraak tussen The Privacy Collective (hierna: “TPC”) en Oracle/Salesforce (hierna: “Oracle”) werd deze situatie besproken. De rechtbank oordeelde eerder dat TPC niet-ontvankelijk is om een schadevergoeding namens betrokkenen in te dienen. Het hof oordeelde, na aanpassingen door TPC binnen de organisatie, dat TPC wel ontvankelijk is om de schadevergoeding te kunnen indienen.
Overtreding van de AVG
TPC eist namens 10 miljoen Nederlandse internetgebruikers dat Oracle een schadevergoeding betaalt aan de 10 miljoen internetgebruikers. Het bedrag dat ze eisen is 500 euro per internetgebruiker, oftewel 5 miljard euro in totaal. De privacy belangengroep vindt namelijk dat Oracle de AVG overtreedt door profielen op te stellen van de internetgebruikers en deze door te verkopen aan adverteerders. Deze profielen worden opgesteld door het vergaren van persoonsgegevens uit cookies en deze persoonsgegevens te verrijken met andere persoonsgegevens uit alternatieve bronnen.
Criteria voor het indienen van een collectieve schadevergoeding
Inhoudelijk wordt nog niet op de bewering van TPC ingegaan in deze zaak, maar wel of TPC überhaupt de schadevergoeding mag vorderen namens de betrokkenen. In Nederland hebben we voor deze procedures een wet, namelijk de Wet afwikkeling massaschade in collectieve actie (hierna: “WAMCA”). Uit deze wet komt voort dat een organisatie niet zomaar een collectieve schadevergoeding kan indienen. Hiervoor zijn een aantal criteria aan verbonden. De belangrijkste criteria hierbij zijn dat de organisatie geen winstoogmerk mag hebben, dat de organisatie voldoende representatief is, dat uit de statuten blijkt welke belangen de organisatie nastreeft, dat de organisatie voldoende middelen heeft om een rechtsvordering te dragen en dat er een algemeen toegankelijke internetpagina aanwezig is.
TPC wel ontvankelijk?
Het hof oordeelt in een uitgebreide uitspraak dat TPC wel voldoet aan de criteria van de WAMCA om als organisatie aangemerkt te worden om de schadevergoeding namens de betrokkenen te kunnen eisen. Oracle vindt daarentegen dat de schade die gevorderd wordt, tot niet-ontvankelijkheid moet leiden. Niet iedere internetgebruiker zal immers schade hebben ondervonden van de inbreuk op de privacy. Het hof oordeelt dat de schade die geleden is zeer afhankelijk is van de persoon. De wetgeschiedenis van de WAMCA biedt hiervoor een oplossing, waarbij het niet hoeft vast te staan dat elke betrokkene dezelfde schade heeft geleden. Er kan in deze situatie met categorieën van betrokkenen gewerkt worden waardoor de hoogte van de schade niet voor iedereen gelijk hoeft te zijn. Door deze mogelijkheid oordeelt het hof dat TPC hierdoor wel ontvankelijk is in zijn eis om namens de groep betrokkenen schadevergoeding te eisen van Oracle.
Vervolg
Nu TPC wel ontvankelijk is verklaard, zal de zaak verder inhoudelijk behandeld moeten worden door de rechtbank of het hof. Mocht TPC aannemelijk kunnen maken dat de eis van 5 miljard euro terecht is, dan zal hier een uitspraak uit volgen met verregaande gevolgen voor grote softwarebedrijven. Het verzamelen van data met cookies, deze data verrijken met andere gegevens om vervolgens dit gemaakte profiel door te verkopen is dan niet meer toegestaan. Softwarebedrijven met een vergelijkbare constructie zullen dan ook veel inkomsten mis gaan lopen. Wanneer de uitspraak in deze zaak er is, zullen we hier zeker een update over geven.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.