Op 17 april scoorde privacy een belangrijke overwinning: de European Data Protection Board (dat wil zeggen, de organisatie die EU privacywaakhonden samenbrengt) verduidelijkte dat persoonlijke gegevens geen handelswaar zijn en nam een duidelijk standpunt in tegen Meta's pay-or-ok-benadering van GDPR-compliance. Dit is een stap voorwaarts voor de EU privacywetgeving en een grote stap voor de techindustrie.
Voordat je de champagne laat knallen, moet je weten dat het verhaal nog niet helemaal voorbij is. Meta zal de juridische strijd ongetwijfeld voorleggen aan het Hof van Justitie van de Europese Unie en het Hof zal het laatste woord hebben. Dat gezegd hebbende, is het een goed teken dat de EDPB de kant van Meta's critici kiest.
Hier is alles wat je moet weten over de mening van de EDPB en waarom het belangrijk is. Laten we erin duiken!
De achtergrond
Waar het niet om gaat
Voordat we uitleggen waar deze juridische strijd over gaat, moeten we eerst een mogelijk misverstand uit de weg ruimen: Meta wordt niet aangevallen omdat het een prijs op zijn platformen zet.
Meta is een entiteit met winstoogmerk en heeft het recht om de prijs van haar diensten te bepalen zoals zij dat wil, inclusief het verplicht stellen van abonnementen op voorheen "gratis" platformen. Niemand betwist dit recht, dus wat is het probleem?
Wel, Meta gebruikt abonnementen als argument om aan te tonen dat haar bedrijfsmodel in zijn geheel - en in het bijzonder het verzamelen en ontginnen van gegevens van gratis gebruikers - verenigbaar is met de GDPR. Met andere woorden, Meta's abonnementen zijn bedoeld om het bespioneren van gratis gebruikers te rechtvaardigen. Dit is wat problematisch is onder de GDPR, niet de abonnementen op zich.
Hier is het verhaal in detail, en waarom het een groot probleem is voor de privacywetgeving.
Meta vs. de GDPR
We hebben de pay-or-ok saga al uitgebreid besproken in een andere blog, dus hier is de korte versie.
Al meer dan tien jaar delft Meta op agressieve wijze gebruikersgegevens tegen betaling voor Facebook (en later Instagram). Dankzij dit intensieve onderzoek kan het bedrijf gebruikers profileren en behavioral advertising aanbieden, waarvoor het adverteerders laat betalen. Dit bedrijfsmodel is in strijd met de GDPR en privacyvoorvechters vechten het al een tijdje aan - vooral noyb, een Oostenrijkse NGO met een lange geschiedenis met Meta.
Commercieel toezicht is dus de manier waarop Meta het grootste deel van zijn inkomsten verdient. Door de compliance van de gerichte reclame aan te vechten, trekken privacy-voorvechters de rechtmatigheid van Meta's businessmodel onder de GDPR in twijfel. Dit heeft belangrijke gevolgen voor de hele tech-industrie, omdat veel andere bedrijven vertrouwen op een data-als-betalingsmodel.
Tot nu toe heeft Meta op deze uitdagingen gereageerd door het privacybeleid aan te passen, boetes van negen cijfers te betalen en gewoon door te gaan met zakendoen. Maar naarmate Meta juridische uitdagingen blijft verliezen, worden de opties steeds beperkter.
Betaalde abonnementen zijn de laatste stap in deze langlopende saga en de laatste wanhopige poging van het bedrijf om zijn bedrijfsmodel op de EU-markt te redden.
Betalen of niet
Meta stelt EU-gebruikers momenteel voor een keuze: ze kunnen toestemming geven voor behavioral advertising en gratis gebruik maken van de sociale platformen, of ze kunnen afzien van behavioral advertising en €120 per jaar betalen.
Natuurlijk weet Meta dat de overgrote meerderheid van de gebruikers niet zal betalen. Het punt is niet om centen te innen van een handjevol betaalde abonnees, maar om het bespioneren van alle anderen te rechtvaardigen. Abonnementen zijn een truc waarmee de advocaten van Meta kunnen beweren dat toestemming voor behavioral advertising voldoet aan de hoge toestemmingsnormen van de GDPR - in het bijzonder de vereiste dat toestemming uit vrije wil moet worden gegeven.
Deze pay-or-ok benadering is controversieel op het gebied van privacy. Sommigen zien het als een krachtig compliance-instrument dat mogelijk zeer invasieve datamining onder de GDPR zou kunnen rechtvaardigen. Ze hopen dat Meta's aanpak de wettelijke controle overleeft, zodat ze aan boord kunnen springen en pay-or-ok de nieuwe standaard voor de digitale economie kan worden.
Aan de andere kant stellen de critici van Meta dat gegevens geen handelswaar zijn omdat privacy en gegevensbescherming mensenrechten zijn (en het Handvest van de grondrechten is het daarmee eens). Ze wijzen er ook op dat niet iedereen in Europa het zich kan veroorloven om €10 per maand te betalen om in contact te blijven met zijn vrienden en familie op Facebook - laat staan €10 per maand per app, mocht pay-or-ok gemeengoed worden voor sociale platforms.
De EDPB werd opgeroepen om een standpunt in te nemen in de pay-or-ok controverse en stuurde een zeer duidelijke boodschap.
Wat zei de raad?
Het advies van de EPBP is vrij complex, maar in een notendop is het grotendeels eens met de critici van Meta. Gegevens zijn geen handelswaar en een prijskaartje hangen aan privacy is geen manier om geldige toestemming te verzamelen onder de GDPR.
Het advies van de EDPB is niet bindend, maar heeft wel veel gewicht. De leden van de Board zijn immers nationale regelgevers met de bevoegdheid om Meta te beboeten voor niet-naleving van de GDPR.
Pay-or-ok is niet voldoende
De EPBP heeft de compliance-strategie van Meta onder de loep genomen en was er helemaal niet blij mee.
Het College benadrukt dat Facebook en Instagram profiteren van krachtige lock-in en netwerkeffecten: hoe meer sociale contacten je hebt op deze platforms, hoe moeilijker het is om ze te verlaten (zoals een betere blogger schreef, sociale netwerken zijn inmiddels een gijzeling). Tegelijkertijd zorgt de dominante positie van Meta op de sociale mediamarkt ervoor dat consumenten geen alternatieven hebben.
Dit is de reden waarom de EDPB het uiteindelijk eens is met de critici van Meta en weigert om de door Meta verzamelde toestemming te erkennen als geldige, vrij gegeven toestemming. Kortom, Meta heeft niet het recht om gebruikers te profileren op basis van hun gedrag.
(Overigens is marktdominantie de reden waarom het veelgehoorde bezwaar dat "platforms niet vrij zijn om te verstrekken" niet opgaat voor Meta. In een concurrerende markt zouden de meeste gebruikers hun Facebook- of Instagram-account verwijderen en hun gegevens verhuizen naar een privacy-vriendelijke concurrent. In de echte wereld kopen techgiganten potentiële concurrenten op, waardoor gebruikers hun keuze moeten maken tussen Meta, X en ByteDance).
Er zijn alternatieven
Meta en andere adverteerders presenteren behavioral advertising graag als een zwart-wit kwestie: of jullie staan ons toe om het digitale leven van internetgebruikers van binnenuit te onderzoeken, of we gaan failliet en de digitale economie sterft (zie de brief van het IAB aan het bestuur).
Maar de kwestie is niet zwart-wit. De EDPB heeft zorgvuldig verduidelijkt dat platforms reclame kunnen aanbieden zonder toestemming. Dit betekent ook niet noodzakelijk contextuele reclame: Meta zou gebruikers bijvoorbeeld gewoon naar hun interesses kunnen vragen en hun antwoorden kunnen gebruiken om advertenties te richten. Volgens het College is het denkbaar dat deze minder ingrijpende vorm van reclame kan worden gemaakt zonder toestemming van de gebruiker en toch voldoet aan de GDPR.
Natuurlijk zou deze redelijke middenweg veel minder winstgevend zijn dan Meta's invasieve peilingen, en het bedrijf zal zich met hand en tand blijven verzetten tegen privacy in plaats van de surveillance een tandje lager te zetten.
De EDPB wijst er ook op dat het aanbieden van een derde, gratis optie aan gebruikers met minder opdringerige reclame Meta zou kunnen helpen om zijn bedrijfsmodel te rechtvaardigen onder de GDPR. Maar we verwachten niet dat Meta dit advies snel zal opvolgen: het bedrijf weet dat gebruikers niet van toezicht houden en meestal "nee, bedankt" zeggen wanneer ze een eerlijke, transparante keuze krijgen voorgelegd, zoals de keuze die de EDPB vereist.
(Ik wil ook wijzen op een andere voor de hand liggende en 100% GDPR-conforme manier voor Meta om geld te verdienen aan Facebook en Instagram: maak er betaalde diensten van, punt. Niemand eist een gratis maaltijd - de GDPR niet, de regelgevers niet, de privacyvoorvechters niet. Maar Meta zal deze eenvoudige oplossing nooit aannemen omdat een prijskaartje het bedrijf te veel gebruikers zou kosten).
Hoe zit het met kleinere spelers?
De boodschap voor Big Tech is heel duidelijk, maar geldt dezelfde logica ook voor kleinere websites en diensten?
Misschien.
Ja, dat is niet het meest bevredigende antwoord, maar dat is het antwoord dat we kregen.
De Opinion gaat alleen over grote platforms, maar de Board geeft aan dat een deel van de redenering ook van toepassing kan zijn op kleine spelers, wat nogal verwarrend is. Over het algemeen hebben we het gevoel dat het bestuur geen standpunt wil innemen over hoe de regels van toepassing zijn op kleinere spelers - voorlopig althans.
Wat gebeurt er nu?
Het is de moeite waard om te herhalen dat het verhaal nog niet voorbij is en dat het Hof van Justitie waarschijnlijk het laatste woord zal hebben.
Het is moeilijk te zeggen wanneer dit zal gebeuren. Noyb's klacht bij de Oostenrijkse autoriteit zal waarschijnlijk helemaal naar het Hof van Justitie gaan, maar dat zal nog wel even duren - vooral als de Ierse autoriteit zich ermee gaat bemoeien. In de tussentijd is het onwaarschijnlijk dat Meta zijn praktijken zal veranderen tenzij de boetes beginnen te vliegen.
Als het Hof EDPB gelijk geeft, zal de uitspraak een keerpunt betekenen in de privacywetgeving. Meta zal gedwongen worden om zijn bedrijfsmodel te herzien en zal waarschijnlijk gigantische boetes moeten betalen. Andere grote vissen zullen ook hun bedrijfsmodel moeten heroverwegen, want privacy-voorvechters zullen niet aarzelen om het Meta precedent tegen hen te gebruiken. Om een lang verhaal kort te maken, we zullen een stap dichter bij de langverwachte dood van behavioral advertising komen.
Aan de andere kant, als het Hof de kant van Meta kiest en zijn eigen interpretatie van de wet bekrachtigt, dan zal pay-or-ok waarschijnlijk de industriestandaard worden, zal de GDPR aanzienlijk worden afgezwakt tegen Big Tech en zullen we allemaal weinig tot geen verwachtingen van privacy hebben op de platforms die ons digitale leven beheersen.
Conclusies
Deze keer is het niet alleen Meta tegen de gebruikelijke verdachten (noyb) . Consumentenorganisaties van het Bureau of European Consumers (BEUC) dagen Meta-abonnementen ook uit en zelfs de Europese Commissie - de hoogste antitrusttoezichthouder van de EU - onderzoekt of pay-or-ok in overeenstemming is met de Digital Markets Act.
We zijn blij om te zien dat actoren de compliance poppenkast van Meta vanuit verschillende hoeken aanvechten. En we zijn nog blijer om te zien dat de EDBP een sterk standpunt inneemt.
Het belang van de pay-or-ok saga kan onmogelijk overschat worden. Wanneer de klacht van noyb tegen Meta (voorspelbaar) bij het Hof van Justitie belandt, zal het Hof een beslissing moeten nemen: moet de GDPR buigen voor de surveillance-economie, of moet het andersom zijn?
We hebben geen kristallen bol, maar het advies van de EDPB is een goede reden om optimistisch te zijn.
We bouwen Simple Analytics omdat we geloven in een privacy-vriendelijk web. We helpen onze klanten inzicht te krijgen in hun verkeer en hun publiek uit te breiden zonder ook maar één stukje persoonlijke gegevens te verzamelen. Onze webanalysetool is eenvoudig te leren, aanpasbaar en wordt geleverd met een AI-assistent. Als dit je aanspreekt, probeer ons dan gerust uit!