De Facebookuitspraak ontleed: wat leren we van Meta’s onrechtmatige verwerking (1/2)?
Op 15 maart 2023 publiceerde de rechtbank Amsterdam een uitspraak tussen Data Privacy Stichting (de Stichting) en Facebook. Deze uitspraak ging over het onrechtmatig gebruik van persoonsgegevens en de oneerlijke handelspraktijk die Facebook, nu verdergaand onder de naam Meta, verrichtte tussen 2010 en 2020. Meta doet het vies fout volgens de rechter. Dat betekent nog niet dat ze geld moeten betalen. Dat is geen onderwerp in deze procedure, maar daar kan deze uitspraak uiteraard wel voor gebruikt worden (daarover later meer). Het feit dat Meta zo onrechtmatig handelt zal voor veel mensen niet nieuw zijn, maar de overwegingen daartoe zijn wel interessant. Eigenlijk zeggen ze dat hoe zij bezig zijn geweest, met informatie van miljarden mensen, “illegaal” is. En dat is nogal wat. Zeker omdat dat bedrijfsmodel van Meta inmiddels niet meer zo uniek is.
In twee verdiepende blogs leg ik je uit wat er gebeurde binnen in deze zaak en waarom. In de een ga ik in op waarom Meta met de Facebookdienst onrechtmatig persoonsgegevens gebruikte volgens de regels van de Algemene verordening gegevensbescherming (en haar wettelijke voorganger). In de tweede ga ik in op wat een oneerlijke handelspraktijk betekent, en waarom Meta dat volgens de rechter pleegt. Dit alles met het doel om hier weer lessen uit te trekken. Waar moeten we voor uitkijken? Hoe interpreteert de rechter de Algemene verordening gegevensbescherming (AVG) en het Burgerlijk Wetboek (BW) – dat “boek” dat al eeuwenlang (1838) bestaat en nu toegepast moet worden op de digitale wereld?
Facebook is een platform van Meta Ierland dat gebruikt wordt door consumenten voor onder meer contact met vrienden, familie en wie je maar wil. Facebook werd geïntroduceerd en gepromoot als een gratis platform. Iedereen kon zo maar een account aanmaken, gratis en voor noppes. In deze blogpost duiden we de organisatie (eerder bekend als Facebook Ierland en inmiddels als Meta Ierland) aan met “Meta”, en het platform zelf met “Facebook” of “de Facebookdienst”.
De Stichting die Meta voor de rechter sleepte is een collectieve belangenorganisatie die als doel heeft privacyrechten effectief te beschermen. In deze zaak willen zij de belangen behartigen van de gedupeerden (in Nederland) van Meta’s onrechtmatige privacyschending.
Eind 2014 heeft de Nederlands privacytoezichthouder, de Autoriteit Persoonsgegevens (AP) een onderzoek ingesteld naar het verwerken van persoonsgegevens (informatie over personen, zie artikel 4(1) AVG) door Meta in Nederland. In het rapport uit 2017 zegt de AP dat Meta de Wet bescherming persoonsgegevens (Wbp) schendt, de voorganger van de huidige privacywet. De AP ondernam geen actie meer tegen Meta naar aanleiding van de bevindingen, maar de Stichting wel.
De Stichting vordert in deze zaak dat de rechtbank oordeelt dat Meta toerekenbaar onrechtmatig handelde ten opzichte van haar gebruikers door:
Dat “toerekenbaar onrechtmatig” is relevant als consumenten vervolgens schadevergoeding willen gaan eisen. Het komt erop neer dat, als een handeling of situatie toerekenbaar onrechtmatig was, je echt een goede reden hebt om Meta als de slechterik aan te schrijven en knaken te vragen.
Ik loop één voor één door de (privacy)vorderingen van de Stichting heen, maar eerst nog wat achtergrondinformatie.
Iedereen die lid werd van de Facebookdienst maakte een account aan, vulde allerlei persoonsgegevens in, en ging aan de slag. Door de activiteiten die een gebruiker uitvoert op Facebook worden al vrij veel persoonsgegevens verzameld. Welke informatiepagina’s ze leuk vinden (“tuinieren voor ouderen”), met wie ze vrienden of familie zijn (“kusjes van oma”), of ze een relatie hebben en in welk gender ze qua liefdesrelatie geïnteresseerd zijn (“vrijgezel” “panseksueel”), of ze kinderen hebben en ga zo maar door. Dit geeft een vrij gedetailleerd plaatje van een persoon. Hieronder zet ik uiteen waarom en hoe bepaalde persoonsgegevens gebruikt werden door Facebook (NB: dit ziet alleen op het gebruik relevant voor deze zaak).
Vanaf 2010 gebruikte Facebook een API waarmee externe ontwikkelaars (bouwers van applicaties of websitebeheerders) hun applicatie konden aansluiten op de Facebookdienst. API staat voor Application Programming Interface, dat is kort gezegd een technologie gebruikt om gegevens uit te wisselen tussen apps. Deze API sloot games of quizzen aan op de Facebookdienst. Diezelfde technologie maakte het mogelijk dat mensen via Facebook konden inloggen bij andere diensten van derde partijen (zoals AirBnB, Spotify en Netflix). Voorafgaand aan het gebruik/installatie van de externe ontwikkelaar werd om toestemming gevraagd van de gebruiker. Daarna kreeg de externe ontwikkelaar toegang tot persoonsgegevens over de gebruiker en kon zelfs (persoons)gegevens zelf verzamelen. Die persoonsgegevens betroffen ook de Facebookvrienden van de gebruiker. Na 2014 kwam er een nieuwe versie van deze API die geen toegang meer gaf tot die persoonsgegevens (voor nieuw aangesloten ontwikkelaars). Whitelisted (fancy lijstje met speciale “oké”-bestempelde organisaties) developers konden gebruik blijven maken van de vorige versie. De gebruiker kon zelf in de instellingen aanpassen welke persoonsgegevens werden gedeeld.
Als een organisatie persoonsgegevens van iemand gebruikt, moet zij vertellen aan de betrokkene (over wie de persoonsgegevens gaan) wat daarmee gebeurt (art. 12 AVG). Op Afbeelding 1 zie je een voorbeeld van de informatievoering bij de Facebook/externe ontwikkelaar samenwerking. Een voorbeeld, omdat het per externe ontwikkelaar anders eruit zag. De gebruiker kreeg voorafgaand aan de installatie van een applicatie van een externe ontwikkelaar een pop-upvenster te zien. Over de toegang die externe ontwikkelaars kregen tot gegevens van Facebookvrienden van de gebruiker informeerde Meta onder andere op de manier zoals te zien in Afbeelding 2.
Buiten dit gebruikte Facebook de door de gebruikers ingediende persoonsgegevens en de tijdens gebruik verzamelde persoonsgegevens (dus het: wie zijn je vrienden, familie, wat vind je leuk etc.) ook voor gepersonaliseerde advertenties. Zo’n “advertentie bedrijfsmodel” als dat Meta gebruikt werkt als volgt. Ik, die robotstofzuigers verkoopt op www.hortusrobotanicus.nl, kan Facebook vragen: “hey joh, wil je heteroseksuele mannen tussen de 25-35 in Amsterdam Zuid met een inkomen van rond de 90K per jaar en interesse in hockey mijn advertentie laten zien? Bij voorkeur vrienden van elkaar, thanks.” Vervolgens scant Facebook door hun database van gebruikersprofielen, en als Facebook de gebruikers vindt die aan die vereisten voldoet, laat zij mijn mooie robotstofzuigers zien. Ik betaal Facebook vervolgens per aankoop die via hen doorkomt, en ik laat Facebook op mijn beurt ook weten als een Facebookgebruiker op mijn website komt. Om dat allemaal te bewerkstelligen, deelt Meta die persoonsgegevens met die adverterende derde partijen.
Verder verzamelde Facebook gegevens door informatie te delen met derde partijen die Facebook het “lieten weten” als een gebruiker bij hen op de website langs is geweest. Stel ik heb een Facebookaccount, dan geeft Meta mij een bepaald uniek tracking nummer dat vervolgens herkend wordt als ik zit te zoeken naar een treinreis naar Triberg im Schwarzwald, om maar even wat te zeggen. Zo krijg je een nog gedetailleerder plaatje van de bezoeker, want Caroline uit Amsterdam die jurist is wil ook graag met de trein reizen naar Duitsland. Die gegevens zijn waardevol om mij weer de juiste advertenties te laten zien, die zorgen dat ik producten en diensten koop: zoals een handig treinreiskussen, of een to-go mok.
Zoals in de introductie uiteengezet gaat het op meerdere punten volgens de Stichting mis bij Meta. Meta informeert onvoldoende over het gebruik van persoonsgegevens, heeft geen grondslag voor het delen van persoonsgegevens met externe ontwikkelaars of voor het advertentiegebruik. Hieronder leg ik per onderwerp uit wat, waarom mis gaat.
Meta heeft volgens de rechtbank wel goed geïnformeerd dat zij persoonsgegevens deelt met derde partijen en het was duidelijk om welke persoonsgegevens het ging. Maar dat is niet voldoende. Het waarom van het delen (doeleinden), deelde Meta niet (op de juiste manier), en dat is wel verplicht volgens artikel 13 en 14 AVG.
De rechtbank benadrukt: “Uitgangspunt is dat de (verwerkings)verantwoordelijke de relevante informatie over gegevensverwerking aan de betrokkene verstrekt op het moment dat het kennisnemen van die informatie voor de betrokkene het meest relevant is.” (§11.39). Dat betekent dat Meta de noodzakelijke informatie, die doeleinden dus, in een pop-up venster vóór het delen van de persoonsgegevens moet tonen, niet in een gegevensbeleid waarnaar je verder moet zoeken. Een verwijzing naar het gegevensbeleid in het pop-up venster had ook voldoende kunnen zijn, maar die was er niet. De algemene verwijzing naar het gegevensbeleid is onvoldoende.
Bovendien was Meta niet duidelijk over het doorspelen van persoonsgegevens van Facebookvrienden van de gebruiker naar de externe ontwikkelaars. Het stond op een gegeven moment wel ergens in hun openbare beleidstukken, maar heel erg onduidelijk en verhuld tussen 30 pagina’s aan wollige tekst. In de procedure wordt ook niet duidelijk waaróm die externe ontwikkelaars eigenlijk toegang kregen tot al die (persoons)gegevens. Voor de functionaliteit om via Facebook in te loggen op een externe app, is zeker niet alle informatie die gedeeld werd en getoond werd op het pop-upvenster noodzakelijk. Dat Meta gebruikers aanraadde het beleid te lezen (waar die informatie in zou staan), verandert niet de verplichting die Meta zelf had om op een juiste manier te informeren.
De Stichting zegt dat Meta ook niet aan gebruikers vertelde over het delen van persoonsgegevens met integratiepartners. Met “integratiepartners” werd bedoeld mobiele telefoon ontwikkelaars. Back in the day hadden we geen AppStore of Google Play Store en moest voor elk verschillend mobieltje een andere interface (ruw gezegd een gebruikerspaneel) gebouwd worden. Om dat te omzeilen vroeg Meta data aan de “integratiepartners” zelf, de ontwikkelaars van de verschillende mobieltjes. Meta gaf hen rechten voor het gebruik van API’s om de applicaties voor de Facebookdienst te bouwen. Daarmee kregen ze ook toegang tot dezelfde (persoons)gegevens als de externe ontwikkelaars, en dat wisten de gebruikers niet. Dat betekent nog een “Foei, Meta.” van de rechter.
Dus, wat gaan we vanaf nu wel doen:
Die hiervoor genoemde link met die API zou er ook – via weer andere organisaties – voor gezorgd hebben dat er gegevens onrechtmatig naar Cambridge Analytica zijn gestuurd, zegt de Stichting. De rechter is daar weinig in geïnteresseerd. Volgens de rechter is het niet relevant of dat al dan niet is gebeurd.
Het oordeel luidt dat niet goed is geïnformeerd over het gebruik van de hiervoor genoemde API en het delen van persoonsgegevens met externe ontwikkelaars, zoals ik uitlegde in §3.1. Hetzelfde geldt voor die onbekende organisaties die naar zeggen van de Stichting de gegevens weer doorstuurde naar Cambridge Analytica. Meta had toen ter tijd geen weet en/of zeggenschap over het (voorgenomen) door die partijen doorsturen van de persoonsgegevens naar Cambridge Analytica en kan hier dus ook niet (verwerkings)verantwoordelijk voor worden gehouden.
Meta heeft geen grondslag om de persoonsgegevens van gebruikers en hun Facebookvrienden te verwerken voor advertentiedoeleinden, stelt de Stichting. De rechter is het hiermee eens.
Om rechtmatig persoonsgegevens te gebruiken is een grondslag uit artikel 6 AVG nodig. Meta beriep zich op meerdere grondslagen:
Hieronder leg ik de overwegingen of de verschillende grondslagen toe te passen zijn verder uit.
De rechter vindt dat deze grondslag niet van toepassing kan zijn. Het gebruiken van de persoonsgegevens voor advertentiedoeleinden is niet (strikt) noodzakelijk voor de uitvoering van de overeenkomst tussen de gebruiker en Meta. Die overeenkomst ziet op het aanbieden van een profiel op een sociaal media-netwerk. Dat de verwerking van bepaalde gegevens valt onder een bepaalde overeenkomt, betekent niet dat het ook noodzakelijk is voor de uitvoering van die overeenkomst. Volgens de rechtbank is deze grondslag “geen geschikte rechtsgrond voor het opstellen van een profiel over de smaak en levensstijl van de gebruiker op basis van zijn klikgegevens op een website en de aangeschafte goederen.” (uit advies 06/24 van de Artikel 29 Werkgroep, §12.31.1 in de uitspraak). De voor de verwerking verantwoordelijke is namelijk niet aangesteld om een profiel op te stellen, maar om bijvoorbeeld bepaalde goederen en diensten te leveren. Oké, helder, geen contractuele noodzaak bij het opstellen van gedetailleerde gebruikersprofielen voor advertentiedoeleinden.
Onder de Wbp kon toestemming worden verkregen door de gebruikers te informeren over de gegevensverwerking in beleid en voorwaarden en te bewijzen dat ze dat hadden gelezen, zegt Meta. De rechter verduidelijkt dat juist stilzwijgende of impliciete toestemming ook toen onvoldoende was. Anders dan Meta vindt, kan de “leesbevestiging” van Facebook’s gegevensbeleid niet gezien worden als het verkrijgen van rechtsgeldige toestemming van een gebruiker. De gebruiker “bevestigde” (zie de afbeelding hiernaast) dat zij het gegevensbeleid gelezen had bij het registeren bij de Facebookdienst. Dat bij het registratieproces ook toestemming werd gevraagd voor het gebruiken van de verzamelde persoonsgegevens voor advertentiedoeleinden, werd niet duidelijk uit hoe Facebook’s registratieproces was ingericht. De pop-up op de afbeelding hiernaast zorgt ook niet voor rechtsgeldige toestemming.
Het aangevoerde “gerechtvaardigd belang” van Meta biedt ook geen oplossing. Om een geslaagd beroep te doen op de gerechtvaardigd belang-grond, moet het belang gerechtvaardigd zijn, zwaarder wegen dan de rechten en vrijheden van betrokkenen die in het gedrang zijn, en aan de noodzakelijkheidstoets (proportionaliteit en subsidiariteit) voldoen. Proportionaliteit komt erop neer dat het middel (de verwerking) in verhouding moet staan tot het doel (zeg, geen dik cameratoezicht toepassen als het gaat om het stelen van 1 snoepje door een kind van 4), en subsidiariteit betekent dat het belang niet op een minder vergaande wijze te behartigen is.
Het bedrijfsmodel van Facebook is gebaseerd op de verkoop van gepersonaliseerde advertentieruimte. Dat is de reden dat Facebook haar dienst gratis kan aanbieden. Volgens Meta is een dergelijk model inmiddels vrij gebruikelijk. Bij dit advertentiegedreven bedrijfsmodel “bestaat een legitiem economisch belang” (aldus de rechtbank). Dat is niet het gerechtvaardigd belang in casu, dat is volgens Meta het volgende: “Het gerechtvaardigde belang van Facebook Ierland om een gepersonaliseerde ervaring te kunnen bieden”. Volgens Meta doet haar “gerechtvaardigde belang [..] om een gepersonaliseerde ervaring te kunnen bieden” geen afbreuk aan de belangen of fundamentele rechten en vrijheden van gebruikers. Dat is een vereiste voor deze grondslag om te slagen. Als dat wel zo zou zijn, weegt het belang van Meta alsnog zwaarder volgens Meta. Gebruikers hadden immers moeten weten dat hun persoonsgegevens op deze manier werden gebruikt bij een gratis dienst. Hoe kunnen ze anders als bedrijf overleven?
De rechtbank is het niet eens met Meta. De rechter zegt dat het gerechtvaardigd belang van Meta dat “mede” bestaat uit gepersonaliseerde ervaring bieden (waaruit dan nog meer..?) samenhangt met het advertentiegedreven bedrijfsmodel van Facebook (monetair “gratis” aanbieden maar betalen met data), en Meta daarbij dus een commercieel belang heeft. De rechter vindt – voor nu in ieder geval - dat een commercieel belang een gerechtvaardigd belang kan zijn (dit ligt nu nog voor bij de hoogste Europese rechter of dat echt zo is) en gaat er “veronderstellenderwijs” (serieus? Wat een woord) vanuit dat Meta een gerechtvaardigd belang had. Een beetje een zwakke uitkomst, maar oke.
Dat gerechtvaardigd belang dat “mede” bestaat uit gepersonaliseerde ervaring aanbieden en waar het verder uit bestaat weten we niet, redt het niet door de rest van de toets. Het faalt op proportionaliteit en subsidiariteit. Meta is daar zelf in haar stukken niet op in gegaan en weerlegde de punten van de Stichting ook onvoldoende. Dat komt er dus op neer dat het volgens de rechter niet noodzakelijk is om de persoonsgegevens te gebruiken voor gepersonaliseerde advertenties, om de gepersonaliseerde ervaring (gerechtvaardigd belang) te realiseren.
Het teleurstellende van hoe sommige uitspraken zijn opgeschreven is dat het wat te wensen overlaat aan helderheid. Of misschien was het wel de zaak en de inbreng daarvan, dat weten we niet. In ieder geval wordt er in veel uitspraken en ook in discussies in de praktijk extreem veel aandacht besteed aan de f-grond en of het van toepassing is, maar tegelijkertijd geen duidelijke invulling gegeven aan de kernelementen van de afweging. Bladzijdenlange documentatie over de “afweging”, die werkt als een soort rookscherm aan verwarring zonder aandacht te besteden aan het invullen van de kernelementen.
Met kernelementen bedoel ik het volgende. De f-grond van artikel 6 AVG ziet op een situatie waarbij de verwerking (“A”) noodzakelijk moet zijn voor het realiseren van een gerechtvaardigd belang (“B”). Dat belang B moet zwaarder wegen dan de rechten en vrijheden van de betrokkenen (“C”). Het is een soort logica: A is, als B is, en als B groter is dan C = groen licht. Er zijn uiteraard meer haken en ogen aan deze formule, zoals of het belang gerechtvaardigd is, maar die laat ik even voor nu aangezien de rechter daar ook niet (substantieel) op in gaat. Het goed afkaderen van de verwerking zelf, en het gerechtvaardigd belang, is de kern van de afweging of deze grondslag geldt. De formule toont hoe nauw we het nemen in de Europese Unie met het begrip “noodzakelijkheid”: het gebruik van die gegevens moet echt strikt noodzakelijk zijn, anders dan gaat ’t f-feest niet door.
Helderheid is zeker noodzaak bij dit soort geschillen, zodat de juridische wereld weet waar ze aan toe zijn wanneer de rechter ons uitlegt hoe de wet te interpreteren. Die helderheid, daar ontbreekt het aan in deze afweging van de f-grondslag.
Wat is precies het gerechtvaardigd belang van Meta, of welk belang stelt zij te hebben? Of het nou alleen dat economische/commerciële belang is, of het gaat om de gepersonaliseerde ervaring aanbieden, of het breder is dan dat, wordt mij niet duidelijk uit de uitspraak. “Het belang dat Facebook Ierland stelt na te streven met die verwerking […] bestaat er mede uit dat aan de gebruikers een gepersonaliseerde ervaring kan worden geboden.” (r.o. 12.67) Aldus de rechtbank. Dat de rechtbank aangeeft dat het gerechtvaardigd belang “mede” het aanbieden van een gepersonaliseerde ervaring is, rijmt niet met hoe we de strenge formule moeten invullen. Als dat gerechtvaardigd belang nog te rekken valt, want het is “mede” iets, maar kan ook nog wat anders zijn, hoe kan je dan nagaan of het gebruik van de persoonsgegevens strikt noodzakelijk is daarvoor? Waaruit bestaat dat belang dan nog meer? Wat is exact het gerechtvaardigd belang dat hier strandt en dus niet opgaat?
We duiken de afweging in, het “mede” even wegdenkend, en “veronderstellenderwijs” ervan uitgaande dat het om het volgende gaat: de verwerking A [het gebruiken van de persoongegevens voor gepersonaliseerde advertentieruimte] moet noodzakelijk zijn voor het gerechtvaardigd belang B [een gepersonaliseerde ervaring aanbieden]. B mag je dus niet op andere, minder ingrijpende, manier kunnen bereiken.
Ongeacht de gelijkenis tussen de aangedragen A en B vindt de rechter A niet noodzakelijk voor het realiseren van B. Als je op het sociale media profiel een volledig gepersonaliseerde ervaring wil, lijken de persoonlijke advertenties hier wel een onderdeel van. Dat daarvoor persoonsgegevens voor dat doel worden gebruikt, lijkt mij wel 1 op 1 in verhouding met elkaar staan. Je zou het alleen ook op een andere manier kunnen bereiken, zoals iemand een vragenlijst laten maken waarin ze hun interesses moeten aangeven voor het gebruik van advertenties. Dat is een stuk minder indringend. Ook met deze strakker omlijnde analyse komt het belang er dus niet doorheen.
Het is opmerkelijk dat Meta kiest dít gerechtvaardigd belang te verdedigen. Als Meta had gezegd dat hun gerechtvaardigd belang het aanbieden van een gratis dienst zou zijn, zou dat mijns inziens meer kans van slagen hebben (als de rechter dat gerechtvaardigd vindt). Daarvoor zou je namelijk wel kunnen beargumenteren dat het noodzakelijk is om een toevlucht te nemen tot iets als persoonsgegevens lucratief maken voor gepersonaliseerde advertentieruimtes. Dan moet je wel zeker zijn dat, als je je persoonsgegevens inlevert, het aanbieden van die dienst nog gezien kan worden als gratis.
Al met al vind ik dat de rechtbank duidelijker had kunnen zijn in het afbakenen van het gerechtvaardigd belang. Op die manier was duidelijk geweest hoe streng de formule toegepast moet worden in deze commerciële gevallen, en bracht de gefaalde f-toets meer betekenis voor de juridische (privacy)wereld. Maar met het toevoegen van het woordje “mede”, valt de noodzakelijke strak omlijnde invulling van het gerechtvaardigd belang en de afweging, in het water.
Om de gepersonaliseerde advertenties te realiseren gebruikt Meta bijzondere persoonsgegevens. Uit profielvelden en iemands surfgedrag kan je (onder meer, ik kan er nog wel een aantal bedenken) iemands seksuele geaardheid afleiden. Dat is een bijzonder persoonsgegeven, en daar moet je ook een grondslag uit artikel 9 AVG voor hebben. Daar heeft Meta geen grondslag voor. Zij verwerkt dit dus (ook) onrechtmatig (§ 13.8).
Meta gebruikte cookies en andere volgtechnieken om informatie over het surfgedrag en appgebruik van gebruikers buiten de Facebookdienst te verzamelen. Meta kon een Facebookgebruiker een bepaald herkenningsnummer geven, en zo werd Meta automatisch geïnformeerd als diezelfde Facebookgebruiker bijvoorbeeld op de Puma website aan het loeren was, of Whatsapp gebruikte. De Stichting stelt dat Meta daarbij niet voldeed aan de cookieregels uit de Telecommunicatiewet (Tw). Daaruit volgt dat je toestemming voor zulk gebruik moet hebben, en dat die toestemming moet voldoen aan de eisen uit de AVG (of de voorloper daarvan). Dat betekent onder andere dat gebruikers goed vooraf geïnformeerd moeten zijn, en de toestemming vrij gegeven moet zijn. Meta zegt dat die informatieverzameling en de bijbehorende Tw verplichtingen niet aan hen zijn, maar de exploitant van de app of website waar ze die informatie van krijgen.
Daar gaat de rechter niet in mee. Uit het relevante wetsartikel – artikel 11.7a Tw – volgt dat degene die verantwoordelijk is voor het plaatsen van de gegevens in de apparaten zoals laptops en telefoons, en het verkrijgen van toegang tot die gegevens, aan de verplichtingen moet voldoen. Omdat de third party cookies op Meta haar verzoek worden geplaatst, is zij verantwoordelijk voor het naleven van de cookieregels.
Meta bood bij het inloggen van haar Facebookdienst 2FA aan, een extra verificatie van identiteit bij het aanmelden door een SMS-code naar een mobiele telefoon te sturen en die te checken. Daarvoor heeft Meta telefoonnummers van gebruikers nodig. Deze telefoonnummers gebruikte Meta daarnaast ook om gerichte advertenties te plaatsen. De onenigheid in de zaak (de Stichting zegt “welles” Meta zegt “nietes”) gaat om of Meta hierover duidelijk de gebruikers informeerde.
De rechtbank oordeelt dat Meta ook hiervoor geen grondslag had. Dat is volgens de rechtbank het meest verstrekkende oordeel mogelijk over een gegevensverwerking. Daarom is dat welles/nietes verhaal over of er goed is geïnformeerd niet meer relevant.
Er is veel gezegd en veel te leren uit deze zaak. Even alles wat mis ging op een rij:
In een volgend blog ga ik in op of Meta met de wijze waarop zij de Facebookdienst aanbood ook een oneerlijke handelspraktijk verrichtte.
Uiteraard moet Meta inmiddels haar zaakjes beter op orde hebben, en aan het bovenstaande voldoen. In Facebook’s huidige (6 juli 2023) gegevensbeleid lees ik “We gebruiken [..] om je een gepersonaliseerde ervaring te bieden, inclusief advertenties, samen met de andere doeleinden die we hieronder in detail uitleggen.” Lijkt mij helder. Ze leggen uit dat ze verschillende grondslagen gebruiken, en wijken naar de grondslag toestemming voor gepersonaliseerde advertenties. Of die op de juiste wijze wordt gevraagd, heb ik niet kunnen nagaan. Dat de grondslagen uit artikel 6 lid 1 onder b (contractuele noodzakelijkheid) en f (gerechtvaardigd belang) niet passen bij het gebruik van gepersonaliseerde advertenties, is op 4 juli 2023 ook bevestigd door de hoogste Europese rechter (Hof van Justitie van de Europese Unie). Zie hier de volledige uitspraak door het Hof (Meta/Bundeskartellambt).
Aangezien via artikel 82 AVG schadevergoeding gevorderd kan worden als schade is geleden door een inbreuk op de AVG, kan dit verhaal nog een (flinke) staart krijgen. Zeker in combinatie met de Wet afwikkeling massaschade in collectieve actie, waardoor een stichting bijvoorbeeld namens een massa consumenten schadevergoeding kan claimen. Maar alleen een inbreuk op je privacy, of verlies van controle over persoonsgegevens, levert nog geen vergoedbare schade op (zie deze uitspraak van het Hof van 4 mei 2023). Je moet wel aantonen dat er echt schade is, anders valt er niks te vergoeden. Desalniettemin is bijvoorbeeld in Duitsland al meerdere malen een aantal euro’s gehaald bij de rechter door het onrechtmatig gebruik van Google Analytics. Zo gemakkelijk gaat dat niet in Nederland, omdat (1) volgens civiel recht de immateriële schade moet worden aangetoond (in lijn met die voorgenoemde uitspraak van het Hof) en (2) een causaal verband bewijzen lastig is. Beiden zijn een uitdaging als het gaat om een inbreuk op privacy door onrechtmatig gebruik van persoonsgegevens. Een uitdaging, maar niet onmogelijk, en dat is zeker geen uitdaging die uit de weg wordt gegaan gezien het belang om privacy te verdedigen in de verder ontwikkelende digitale eeuw.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.