De meeste grote techneuten zijn niet erg goed met privacy, en Meta is misschien wel de ergste. "Kijk wat Meta doet en doe precies het tegenovergestelde" zou wel eens de gouden regel voor gegevensbescherming kunnen zijn.
Zo bleek uit een lopende rechtszaak in Californië dat Meta nauwelijks weet hoe het met gegevens omgaat (de ICCL, die de zaak onder de aandacht van de Europese Commissie bracht, vatte het goed samen). En de Ierse toezichthouder heeft Meta onlangs een boete van 390 miljoen euro opgelegd voor de onrechtmatige verwerking van persoonsgegevens van miljoenen gebruikers in heel Europa.
In maart zagen we opnieuw een uitspraak tegen Meta, ditmaal van de rechtbank Amsterdam. Het is een belangrijke en in meerdere opzichten interessante uitspraak. We zullen u snel wat achtergrondinformatie geven over de uitspraken van de DPC's, omdat die helpen de uitspraak in de juiste context te plaatsen. Daarna duiken we erin!
Wat achtergrond
Het is nog niet zo lang geleden dat de Ierse DPC Meta 390M boete oplegde voor het opstellen van profielen van hun gebruikers zonder wettelijke basis onder de GDPR. De totale boete vloeide voort uit drie verschillende zaken waarbij Facebook, Instagram en Meta betrokken waren.
Onze blog gaat dieper in op de beslissingen, dus hier is de korte versie. Alle zaken gingen heen en weer tussen de DPC (de Ierse toezichthoudende autoriteit) en de EDPB (kort voor European Data Protection Board, de EU-instelling waar alle Europese privacyautoriteiten zetelen). De DPC was aanvankelijk niet happig op het beboeten van Meta, maar de Board heeft haar aanvankelijke besluiten in wezen teruggedraaid, wat tot de boetes heeft geleid.
De besluiten vormen een belangrijk precedent voor andere bedrijven en benadrukten de grote onenigheid tussen de DPC en haar Europese tegenhangers.
De zaak
Op 15 maart won de Data Privacy Foundation een class action tegen Meta in de rechtbank van Amsterdam. De rechtbank oordeelde dat Meta de persoonsgegevens van Facebook-gebruikers illegaal ver werkte voor reclamedoeleinden - met inbegrip van gevoelige gegevens. Deze uitspraak komt kort nadat de Ierse privacywaakhond (DPC) Meta een boete van 390 miljoen heeft opgelegd voor het onrechtmatig verwerken van persoonsgegevens.
De uitspraak is declaratoir van aard, dus schadevergoeding zal in een andere procedure worden geëist. Bij de class action zijn 190.000 mensen betrokken, dus Meta riskeert een hoop geld!
De uitspraak betreft verschillende claims1, dus we zullen ons concentreren op de belangrijkste: de verwerking van persoonsgegevens voor reclamedoeleinden, de verwerking van gevoelige gegevens en de schending van het consumentenrecht.
De onrechtmatige verwerking van persoonsgegevens
In de Nederlandse zaak stelde de Data Privacy Foundation dat Meta een wettelijke basis ontbeerde om Facebook-gebruikers gerichte reclame aan te bieden. Maar wat houdt dit precies in?
Gerichte reclame is gebaseerd op profilering. Met andere woorden, iemand (in dit geval het sociale netwerk Facebook) verzamelt uitgebreide gegevens over elke gebruiker op basis van hoe hij zich gedraagt op het platform en op basis van de gegevens die hij zelf uploadt. Deze gegevens worden gebruikt om een profiel van elke gebruiker op te bouwen om uit te zoeken met welke advertenties hij waarschijnlijk het meest in zee zal gaan.
Profilering vereist de verwerking van persoonsgegevens - anders kan een platform niet weten wat de interesses van een gebruiker zijn. Volgens de GDPR kunnen persoonsgegevens alleen worden verwerkt op basis van een rechtsgrondslag. Je kunt een wettelijke basis zien als een "wettelijke rechtvaardiging" voor het verwerken van iemands gegevens, zoals toestemming of een wettelijke verplichting(deze blog duikt dieper in het onderwerp, mocht je geïnteresseerd zijn).
In dit geval was de rechtsgrondslag van Meta voor de profilering van haar gebruikers de uitvoering van een contract2. Met andere woorden, Meta voerde aan dat gerichte reclame noodzakelijk was om haar Facebook-platform aan gebruikers aan te bieden en dat deze noodzaak de profilering van gebruikers rechtvaardigde (zoals we in onze blog hebben uitgelegd).
Het Hof oordeelde anders. Op basis van eerdere richtsnoeren van de EDPB (en de WP29, de voorganger van de Raad in het pre-GDPR tijdperk), onderschreef het Hof een strikte interpretatie van "noodzaak". Het oordeelde dat het profileren van gebruikers niet noodzakelijk is om een sociaal netwerk aan te bieden.
Dit is dezelfde juridische kwestie die de EDPB heeft onderzocht met betrekking tot drie verschillende Meta-diensten, waaronder Facebook, en de Raad kwam tot precies dezelfde conclusie. Bovendien lag die conclusie van meet af aan nogal voor de hand, aangezien de EDPB zelf al lang heeft verduidelijkt dat gerechtvaardigd belang geen profilering op sociale mediaplatforms rechtvaardigt3.
De rechtbank Amsterdam zegt dus niets nieuws. Toch is de Nederlandse beslissing belangrijk, omdat zij laat zien dat het precedent van de EDPB niet alleen voor gegevensbeschermingsautoriteiten, maar ook voor rechtbanken als leidraad kan dienen .
De verwerking van gevoelige gegevens
De Data Privacy Foundation stelde ook dat gevoelige gegevens werden verwerkt zonder een rechtmatige vrijstelling, wat een zware inbreuk is onder de GDPR.
De EDPB-beschikking had geen betrekking op de verwerking van gevoelige gegevens. De kwestie maakte deel uit van de noyb-klachten waarmee het allemaal begon, maar de DPC deed er geen onderzoek naar. Onnodig te zeggen dat noch de EDBP4 noch noyb daar erg blij mee zijn.
Maar laten we teruggaan naar de kwestie. Gevoelige gegevens zijn zeer gevoelige categorieën persoonsgegevens zoals seksuele geaardheid, gezondheidsgegevens, religieuze en politieke overtuigingen, enzovoort. De GDPR beschermt deze gegevens door extra eisen te stellen aan de verwerking ervan. Deze vereisten worden vrijstellingen genoemd en hebben een soortgelijke functie als rechtsgrondslagen - ze zijn in wezen een "rechtvaardiging" voor de verwerking van gevoelige gegevens, op dezelfde manier als rechtsgrondslagen een "rechtvaardiging" zijn voor de verwerking van persoonsgegevens.
Het is inmiddels een publiek geheim dat Facebook gevoelige gegevens verwerkt. Mocht dat niet duidelijk zijn geworden door het Facebook-Cambridge Analytica schandaal, de reclame op het platform maakt het duidelijk genoeg. Mensen met rugklachten krijgen eerder advertenties te zien voor fysiotherapie, aanhangers van een religie krijgen eerder content te zien die aansluit bij hun geloof, enzovoort. Facebook gebruikt door de gebruiker ingevoerde informatie om hem te "markeren" als iemand met bepaalde kenmerken, waaronder vrij gevoelige en onthullende kenmerken (en strikt beschermd onder de GDPR). Dit stelt Meta in staat een gebruiker te profileren en de advertenties die het op zijn platforms aanbiedt aan te passen.
Het wordt nog erger. Profilering op basis van gevoelige gegevens kan zelfs gebeuren wanneer de gebruiker geen gevoelige informatie vrijgeeft aan het sociale netwerk. Zo kunnen gebruikers met veel homoseksuele Facebook-vrienden door de algoritmen van Facebook worden bestempeld als zelf homoseksueel, en de advertenties en inhoud die zij te zien krijgen, worden daarop afgestemd.
In een notendop: Facebooks monetarisering van gevoelige gegevens is invasief en griezelig.
En volgens de Amsterdamse rechtbank is het ook onrechtmatig. Meta verloor haar zaak over gevoelige gegevens. Eerst verwierp de rechtbank Meta's onoprechte argumenten dat het bedrijf geen gevoelige gegevens verwerkt. Vervolgens keek het naar het artikel dat de regels voor de verwerking van gevoelige gegevens opsomt (artikel 9, lid 2, GDPR) en vond, niet verrassend, dat Meta de gegevens onrechtmatig verwerkte.
Het Hof ging dieper in op de regels voor de verwerking van gevoelige gegevens, wat op zich interessant is. De wettelijke vereisten om gemeenschappelijke persoonsgegevens en gevoelige gegevens rechtmatig te verwerken zijn cumulatief: als ik uw persoonsgegevens niet mag verwerken, dan mag ik uw gevoelige gegevens ook niet verwerken. Het Hof had al vastgesteld dat de persoonsgegevens onrechtmatig werden verwerkt, wat betekent dat ook de gevoelige gegevens onrechtmatig werden verwerkt.
Rechters zijn drukke mensen en lossen doorgaans zaken op door het minimum aantal logische stappen te nemen dat nodig is om het resultaat te rechtvaardigen. Waarom heeft het Hof dan extra werk verricht en artikel 9, lid 2, in detail behandeld? 9, lid 2, in detail te behandelen?
We weten het niet zeker, maar we kunnen er wel naar gissen. Misschien wilde het Hof zijn beslissing over gevoelige gegevens kracht bijzetten voor het geval zijn bevindingen over de rechtsgrondslagen in hoger beroep zouden worden vernietigd. Misschien wilde het een punt maken dat ook stand zou houden als Meta later zijn rechtsgrondslag voor de verwerking van gegevens zou wijzigen vanwege de boetes van de DPC(dit gebeurde twee weken later). Een andere mogelijkheid is dat het Hof gewoon wat licht wilde werpen op de manier waarop Meta omgaat met gevoelige gegevens, aangezien de DPC deze kwestie in haar onderzoek heeft genegeerd.
Hoe dan ook, we zijn blij dat het Hof een uitgebreide uitspraak heeft gedaan die de verdediging van Meta grondig ontkracht. De omgang met gevoelige gegevens op sociale netwerken is een dringend privacyprobleem. Hopelijk zal de uitspraak het bewustzijn vergroten over hoe agressief en invasief het te gelde maken van dergelijke gegevens kan zijn.
Facebook is niet gratis
Meta adverteert Facebook als een gratis dienst. Dat is het niet, want de gebruiker betaalt effectief met zijn persoonlijke gegevens.
De Stichting stelde dat het presenteren van Facebook als een gratis dienst een misleidende praktijk is. Het Hof was het daarmee eens en vond dit een oneerlijke handelspraktijk, en een schending van de Richtlijn Oneerlijke Handelspraktijken van de EU en de implementaties daarvan in de Nederlandse wetgeving.
Dit is helemaal niet verrassend. Zoals we allemaal weten, bestaat er geen gratis maaltijd. Als de maaltijd gratis lijkt, dan bent u de maaltijd.
Betalen met gegevens is een van de dominante bedrijfsmodellen in Web 2.0 diensten, maar toch adverteren talloze bedrijven hun diensten nog steeds als gratis terwijl hun einddoel het te gelde maken van persoonlijke informatie is. Het is verfrissend om te zien dat een rechtbank voorbij het vijgenblad van gratis dienstverlening kijkt en Meta's bedrijfsmodel noemt wat het is.
Conclusies
Het is de moeite waard om nogmaals te benadrukken dat bij de class action bijna tweehonderdduizend mensen betrokken waren. Privacywaakhonden en juridische nerds zijn niet de enigen die zich zorgen maken over digitale privacy en hoe grote techbedrijven die respecteren (of niet).
Het publiek maakt zich steeds meer zorgen over digitale privacy. Mensen beseffen dat veel online diensten in wezen gegevensverslindende machines zijn en dat privacy voor veel bedrijven een bijzaak of zelfs een regelrechte farce is.
Moet het internet zo zijn? Wij denken van niet. Daarom hebben we Simple Analytics gebouwd om organisaties van elke omvang in staat te stellen nuttige inzichten te verzamelen op een 100% privacy-compliant manier. Simple Analytics is gebouwd rond privacy vanaf het ontwerp. We volgen uw gebruikers niet en we verzamelen hun persoonlijke gegevens niet. Als dat u goed in de oren klinkt, probeer ons dan gerust eens uit!
#1 De beslissing betreft ook het delen van gegevens met derden partners, en het gebruik van cookies. De vorderingen inzake cookies werden door het Hof niet gehonoreerd. U kunt de samenvatting op de gdprhub raadplegen voor een uitgebreidere beschrijving van de zaak en de uitspraak [^2]: Meta/Facebook gebruikte verschillende rechtsgronden voordat de GDPR van kracht werd. Ze allemaal bespreken zou eeuwig duren, maar uiteindelijk werden ze allemaal ongeldig verklaard door het Hof in deze zaak [^3]: EDPB Guidelines 8/2020 on the targeting of social media users [^4]: Het College heeft de DPC opgedragen een onderzoek in te stellen naar het gebruik van gevoelige informatie door Facebook. De DPC is echter van mening dat het College niet bevoegd is haar te gelasten een onderzoek in te stellen en is voornemens het bevel aan te vechten bij het Hof van Justitie van de EU.