Waarschuwing: de blog die volgt is vrij opiniërend.
Wanneer er over GDPR-boetes wordt gesproken, is dat meestal vanwege de cijfers. De juridische gemeenschap in het algemeen is inmiddels bekend met de beruchte GDPR-maxima van €20M of 4% jaaromzet.
Maar hoewel geld natuurlijk een belangrijk aspect van boetes is, zijn er andere belangrijke en interessante aspecten die soms onder de radar verdwijnen. Daarom volgt hier een korte lijst met boetes die er op de een of andere manier uitspringen. Sommige waren waanzinnig duur, sommige waren een tik op de vingers, sommige waren ronduit dom, en allemaal bevatten ze op de een of andere manier een waardevolle les.
- De grootste boetes
- De meest impactvolle boete
- De meest teleurstellende boete
- De domste boete
- De dreiging
Laten we erin duiken!
De grootste boetes
Laten we beginnen met de bekendste vermelding op de lijst: Meta's boete van 1,2 miljard euro in 2023 voor gegevensoverdracht.
Deze recordboete kwam in de nasleep van de historische Schrems II-beschikking. De beslissing was het resultaat van een zeer lange juridische saga waarbij Facebook (nu Meta), Max Schrems, de Ierse privacywaakhond, de European Data Protection Board en zelfs het Hof van Justitie van de EU betrokken waren.
Amazon staat tweede op de lijst met zijn boete van 2021 €746M voor gerichte reclame.
De motivatie is nog niet openbaar door een aantal eigenaardigheden in de Luxemburgse wet. Tegen de tijd dat de boete openbaar wordt, zegt deze misschien iets wat we al weten van nieuwere beslissingen over het gebruik van gegevens - of dat nu de boetes voor Meta's advertenties zijn (zie hieronder) of de historische uitspraak van het Bundeskartellamt.
De meest impactvolle boete
Meta kreeg in 2023 nog twee grote boetes voor gepersonaliseerde reclame op Facebook en Instagram, voor een totaal van *€390 miljoen*.*
Ja, dat was in hetzelfde jaar als de €1,2B boete. 2023 was niet vriendelijk voor Meta.
Deze boetes gingen over de rechtsgrondslagen voor Meta's gerichte reclame. Met andere woorden, de zaken draaiden om één kernvraag: hoe rechtvaardigt Meta het verzamelen en analyseren van persoonlijke gegevens voor zijn gerichte reclame?
Op dat moment was het antwoord van Meta (volgens zijn privacybeleid) dat het verzamelen van de gegevens noodzakelijk was om zijn Servicevoorwaarden uit te voeren. Dit is iets waar GDPR mensen naar verwijzen als de "wettelijke basis" van "contractuele noodzaak".
Privacy-voorstanders waren niet blij met deze rechtvaardiging. De rechtvaardiging van "contractuele noodzaak" zou Meta in staat stellen om zo ongeveer alles te rechtvaardigen, zolang het maar vermeld staat in de Servicevoorwaarden van haar platformen. Het leidde ook tot de grappige conclusie dat Meta het recht had om ons te profileren omdat wij, als gebruikers van haar platformen, gerichte reclame willen zien.
De DPC en het Europees Comité voor gegevensbescherming kozen de kant van de critici: ze vonden dat Meta de gegevens niet echt nodig had om het contract uit te voeren en dat de rechtvaardiging van contractuele noodzaak niet van toepassing was.
(Om precies te zijn, de DPC was niet echt bereid Meta een boete op te leggen, maar de EDPB dwong Meta om actie te ondernemen. Er was nogal wat onenigheid tussen de handhavers over deze zaak!)
De beslissingen zijn cruciaal omdat deze "rechtsgrondslagen" geen klein compliance-detail is dat de juridische teams van Meta kunnen oplossen. Het extraheren van persoonlijke gegevens voor gerichte reclame is moeilijk te rechtvaardigen onder de GDPR, en dat is de bedoeling. Het is een functie, geen bug.
Meta is ook niet het enige bedrijf dat persoonlijke gegevens te gelde maakt. Denk maar aan TikTok, X en de talloze "gratis" apps op je telefoon. Daarom hebben de beslissingen gevolgen voor veel bedrijven die actief zijn in de EU.
De juridische strijd over het te gelde maken van gegevens is nog niet helemaal voorbij. Na de boetes is Meta van de ene rechtsgrondslag naar de andere gesprongen om te proberen zijn bedrijfsmodel in leven te houden onder de GDPR. Uiteindelijk zal het Hof van Justitie zich erover buigen en verduidelijken onder welke voorwaarden (als ze dat al doen!) pay-with-your-data bedrijfsmodellen zijn toegestaan onder de GDPR.
De meest teleurstellende boete
De €390M boetes van Meta zijn ook mijn favoriet als de meest teleurstellende, om twee redenen.
Ten eerste lijkt het bedrag van de boetes op een tik op de vingers voor de overtredingen in kwestie.
De EDPB oordeelde dat gepersonaliseerde reclame via het sociale platform van Meta werd uitgevoerd door middel van onrechtmatig verzamelde gegevens. De overtreding duurde jaren, betrof honderden miljoenen Europese burgers en genereerde miljarden aan inkomsten voor Meta. Alsof dit nog niet genoeg was, vonden er tussen de klachten en de uitspraak elf grote datalekken plaats.
Dus: Meta heeft jarenlang illegaal onze gegevens verzameld, er miljarden aan verdiend en ze onderweg een tiental keer gelekt. Wat moet een bedrijf nog meer doen om de maximale boete te krijgen?
Ten tweede werd een cruciaal punt van de zaken niet onderzocht door de DPC.
De oorspronkelijke klachten beweerden dat Meta op onwettige wijze gevoelige gegevens verzamelde. Dit zijn speciale soorten gegevens die een betere bescherming krijgen onder de GDPR, zoals politieke overtuigingen, gezondheidstoestand en seksuele geaardheid. Het onrechtmatig verzamelen van deze gegevens is een van de ergste overtredingen die ik kan bedenken. En toch werd deze kwestie niet genoemd in de beslissingen van de DPC!
Deze omissie werd niet alleen genoemd door privacyvoorvechters, maar ook door andere privacyautoriteiten in de EU. Hoe ingrijpend de beslissingen ook waren, ze hadden nog veel meer effect kunnen hebben als de klachten integraal waren onderzocht.
Tot op de dag van vandaag doen Meta en talloze andere bedrijven alsof de gegevens die ze gebruiken voor profilering niet gevoelig zijn, of ze bagatelliseren systematisch hoeveel van die gegevens als gevoelig kunnen worden aangemerkt. De beslissingen van de DPC tegen Meta zijn een gemiste kans om een groot privacyprobleem aan te pakken.
De domste boete
Net als Meta kreeg ook Uber een hoge boete voor het doorgeven van gegevens: de Nederlandse gegevensbeschermingsautoriteit legde het bedrijf een boete op van €290M. Maar er is een belangrijk verschil: De boete van Uber was ongelooflijk dom. Niet dom als in "verkeerd", let wel. Dom als in "vermijdbaar".
Multinationals hadden te maken met rechtsonzekerheid over de doorgifte van gegevens tussen de EU en de VS tussen 2020 (Schrems II) en 2023 (besluit toereikendheid VS). Dit was dus zeker een breder probleem.
Maar Uber besloot het op de meest verkeerde manier aan te pakken. In plaats van te doen wat iedereen op dat moment deed (= Standaard Contractuele Clausules voor gegevensoverdracht implementeren), vertrouwden ze op een enigszins niet-mainstream interpretatie van de GDPR en gaven ze gegevens door via een ander mechanisme.
Er is alleen één probleem. Ubers interpretatie van de GDPR was in tegenspraak met wat alle Europese DPA's al jaren zeiden. En DPA's zijn degenen die bedrijven beboeten voor gegevensoverdracht.
De echte vraag is waarom. Waarom moest Uber zijn eigen (en voorspelbaar verkeerde) ding doen in plaats van zich te houden aan de de-facto industriestandaard? Wat waren de voordelen van zijn nalevingsstrategieën?
Daar heb ik geen antwoord op. Het enige denkbare voordeel van de strategie van Uber is dat het de juridische staf (vermoedelijk) wat werk heeft bespaard. Aan de andere kant zou ik verwachten dat een reus die meer dan honderd miljard dollar waard is, niet de kantjes ervan afloopt.
De dreiging
Clearview AI heeft in de loop der jaren boetes gekregen van de Italiaanse, Griekse en Nederlandse autoriteiten voor het illegaal verzamelen van persoonlijke gegevens. Inmiddels bedragen de boetes €110M.
ClearviewAI is een bedrijf dat gezichtsherkenningstechnologie aanbiedt aan overheidsinstanties en wetshandhavers buiten de EU. Het bedrijf traint zijn producten voornamelijk op foto's die van het open web zijn geschraapt.
Tot zover gaat het goed. Maar het zit zo**: grootschalig, niet-consensueel schrapen van** het web is de manier waarop Big Tech gegevens verzamelt voor het trainen van generatieve AI.
Het is geen toeval dat Open AI in Italië wordt onderzocht en in de hele EU onder de loep werd genomen. De hele zaak trok vorig jaar zelfs de aandacht van de media toen de Italiaanse DPA ChatGPT een maand lang uitschakelde.
Ontwikkelaars van generatieve AI-systemen volgen grotendeels hetzelfde draaiboek: ze hamsteren alle gegevens die ze kunnen verzamelen en beweren dat ze deze kunnen zuiveren door gevoelige of gevaarlijke gegevens uit de dataset te verwijderen. Tot nu toe is er geen overtuigend bewijs dat zo'n opschoning mogelijk is - laat staan op databases die zo groot zijn als het internet.
Het is moeilijk te zeggen hoe het zal gaan met scraping. De gegevensbeschermingsautoriteiten zijn zeker eerder geneigd om een constructief gesprek aan te gaan met OpenAI dan met surveillance griezels zoals Clearview AI. Maar de meest recente ontwikkelingen zijn niet veelbelovend.
Een recent EDPB-document over de OpenAI-zaak wijst op een enigszins strenge houding van de gegevensbeschermingsautoriteiten. Bovendien is Meta onlangs teruggekomen op een deel van zijn AI-beleid na overleg met de Ierse gegevensbeschermingsautoriteit en vraagt nu om opt-in toestemming van EU-gebruikers voordat het AI op hun gegevens traint.
Als je tussen de regels door leest, zou de Ierse gegevensbeschermingsautoriteit toestemming als een niet-onderhandelbare vereiste kunnen zien voor het trainen van AI op persoonlijke gegevens. Maar vertrouwen op toestemming is vrijwel onmogelijk voor bedrijven die geen enkele directe relatie hebben met de mensen van wie de gegevens worden verzameld (denk aan OpenAI of Anthropic). Sterker nog, het vertrouwen op toestemming zou zelfs voor Meta lastig kunnen zijn, afhankelijk van hoe het zit met pay-or-ok.
Kortom, het probleem van het schrapen van gegevens is nog niet opgelost en kan de toekomst van generatieve AI op de EU-markt in gevaar brengen.
Wij bij Simple Analytics geloven in een web dat open en privacyvriendelijk is. Daarom hebben we onze webanalysesoftware zo gebouwd dat er geen persoonlijke gegevens worden verzameld en u toch alle inzichten krijgt die u nodig hebt om uw online aanwezigheid te laten groeien. Onze software is privacyvriendelijk, eenvoudig te leren en wordt geleverd met een innovatieve AI-assistent.
Als dit je aanspreekt, probeer Simple Analytics dan eens uit met onze gratis proefversie met alle functies !