Afbeeldingscredits: Jacob Borzycki/NurPhoto/Getty Images
In de laatste klap voor Meta’s gedragsgerichte spamactiviteiten in Europa heeft een Nederlandse rechtbank vastgesteld dat de Ierse dochteronderneming van de socialemediagigant geen wettelijke basis had voor het verwerken van lokale gebruikersgegevens om advertenties te targeten.
De Nederlandse Privacy Advocacy Groep Stichting gegevensbescherming (DPS), samen met de non-profit Binnenlandse Consumentenbescherming, Consumentenbondklaagde het bedrijf dat voorheen bekend stond als Facebook in 2019 aan – met het argument dat de sociale netwerkdienst de EU-regels voor gegevensbescherming schond door geen toestemming van gebruikers te verkrijgen om hun gegevens te verwerken voor advertentietargeting en lokale aansporing Gebruikers sluiten zich aan bij de actie voor collectieve compensatie voor de privacyschendingen van Facebook in de vorm van compensatie.
Facebook vocht om de rechtszaak op procedurele gronden te blokkeren. Maar in juli 2021 oordeelde de Rechtbank Amsterdam dat het door kon gaan en later dat jaar vond de zitting plaats. En in een heersen Vandaag vrijgegeven, oordeelde het Tribunaal dat Facebook Ierland de privacywetgeving schond toen het persoonsgegevens van Nederlandse Facebook-gebruikers verwerkte voor advertentiedoeleinden zonder een passende wettelijke basis (zoals toestemming) – tussen 1 april 2010 en 1 januari 2020 (de grens houdt verband met een wijziging in het lokale rechtssysteem voor dit soort procesvoering; en niet in wijzigingen in de manier waarop Meta de gegevens van mensen verwerkt).
Daarnaast oordeelde de rechtbank dat het bedrijf de gebruikers niet naar behoren informeerde of geen geldige rechtsgrondslag had voor het doorgeven van hun informatie aan derden.
Hof schreef in persbericht [which we’ve translated from Dutch with machine translation]. “Er was ook geen rechtsgeldige basis voor het verwerken van bijzondere categorieën van persoonsgegevens voor reclamedoeleinden, zoals informatie over de seksuele voorkeuren of religie van mensen. Dit heeft zowel betrekking op persoonlijke gegevens die door de gebruikers zelf zijn verstrekt als op speciale categorieën van persoonlijke gegevens die door Facebook Ierland zijn verkregen via gedrags-tracking Bladeren door Facebook-gebruikers buiten de Facebook-service.
Bovendien heeft Facebook Ierland Facebook-gebruikers onvoldoende geïnformeerd over het delen van hun persoonsgegevens met een aantal derde partijen. Daarbij werden niet alleen de persoonsgegevens van de Facebook-gebruikers zelf gedeeld, maar ook de persoonsgegevens van hun Facebook-vrienden.”
De rechtbank oordeelde ook dat de acties van Facebook een oneerlijke zakelijke praktijk vormden – door te zeggen dat het bedrijf de gebruikers niet voldoende had geïnformeerd over het commerciële gebruik van hun gegevens (wat het omschreef als misleidend), en schreef in de uitspraak. [which, again, we’ve translated into English] Dat: “De gemiddelde consument heeft geen weloverwogen beslissing kunnen nemen over deelname aan de Facebook-dienst.”
De rechtbank was het niet eens met de klagers op een secundaire argumentatie – met betrekking tot de rechtmatigheid van gegevensverzameling via cookies van derden. Hier accepteerden de rechters het argument van Facebook dat de verantwoordelijkheid voor het verzamelen van toestemming voor dit soort tracking berust bij de respectievelijke website-exploitant/beheerder die de door Facebook Ierland geleverde software installeert. (Hoewel dit aspect van het monitoren van advertenties ook onderhevig is aan cloudwetgeving in de Europese Unie.)
Maar de bottom line bevinding dat het geen wettelijke basis heeft voor zijn gedragstargeting is zeer problematisch.
Meta is gecontacteerd voor commentaar, maar heeft op het moment van schrijven nog niet gereageerd. updaten: Het bedrijf heeft nu gereageerd en bevestigt dat het in beroep zal gaan – zie hieronder voor zijn verklaring.
Woordvoerder De Consumentenbond liet ons weten blij te zijn met de uitspraak en omschreef deze als “belangrijk”. “We zijn heel blij met de uitspraak. De rechtbank oordeelt hard over Facebook. De rechtbank vond dat Facebook de gegevens van al die miljoenen gebruikers in Nederland niet had mogen gebruiken voor reclamedoeleinden.”
De woordvoerder merkte op dat het aantal Nederlandse gebruikers dat wordt getroffen door de metawetschending ongeveer 10 miljoen bedraagt (of meer dan de helft van de ongeveer 17 miljoen mensen die in het land wonen). Tijdens de eerste fase van de rechtszaak zei hij dat ze ongeveer 190.000 aanmeldingen hadden, maar iedereen met een Facebook-account tijdens de relevante periode kon nog steeds lid worden, dus het aantal zou exponentieel kunnen groeien als meer getroffen gebruikers inloggen op de actie. (de klachten site Het heeft een formulier waarmee gebruikers zich kunnen aanmelden om deel te nemen aan een compensatieclaim.)
“Het is een baanbrekende uitspraak die een heel sterk signaal afgeeft – niet alleen naar Facebook zelf, maar ook naar andere technologiebedrijven die de privacywetgeving schenden. Er staat dat schendingen niet onbestraft blijven. Dus dat is een heel sterke boodschap”, voegde hij eraan toe, ook beschrijvend haar aanvullende bevinding. De rechtbank vond dat Facebook consumenten misleidde door belangrijke informatie achter te houden als “een zeer grote overwinning”.
Hoewel de uitspraak van de Amsterdamse rechtbank vandaag een zogenaamde ‘verklaring van rechten’ is – de procederende partijen vroegen de rechtbank om te beslissen of Facebook de wet overtrad – hebben ze de rechtszaak aangespannen met de bedoeling Meta een vergoeding te vragen voor het schenden van de privacy van mensen. En nu zeggen ze dat hun aandacht zal gaan naar het ophoesten van Facebook.
Ofwel door haar zover te krijgen dat ze instemt met een schadevergoeding – of door verdere gerechtelijke procedures.
In een reactie op de uitspraak zei DPS-president Dick Puma in een verklaring:
Met deze uitspraak kunnen consumenten eindelijk verhaal halen voor jarenlange privacyschendingen door Facebook. Het is nu aan Facebook om daarin te voorzien. Hiertoe willen we samen met de Consumentenbond in gesprek gaan met het bedrijf.
Dit betekent dat het nog niet duidelijk is hoeveel (of eigenlijk wanneer) Meta zal moeten betalen voor de ontdekking van deze laatste privacyschending.
De class action-rechtszaak wordt gefinancierd door een Amerikaans advocatenkantoor, Lieff Cabraser Heimann & Bernstein, LLPop een “no profit, no fee”-basis – waardoor non-profitgroepen schadevergoeding kunnen eisen namens de getroffen Facebook-gebruikers.
De kern van de groepszaak is een langlopende klacht onder EU-wetgeving – ook wel “gedwongen toestemming” genoemd – die uiteindelijk begin dit jaar leidde tot handhaving door de belangrijkste toezichthouder op gegevensbescherming van de EU, Meta. Inclusief enkele opvallende boetes.
Maar De technologiegigant gaat in beroep tegen aanvragen die in januari door de Ierse Commissie voor gegevensbescherming zijn ingediend – en heeft nog steeds niets veranderd aan de manier waarop het in de regio werkt, ook al hebben de gegevensbeschermingsautoriteiten in het blok geconcludeerd dat de verwerking van advertentietargeting illegaal is. Dus – voor nu – gaat het volgen en profileren van wetsovertredingen gewoon door vanaf Facebook in de EU.
Maar met – vanaf vandaag – een rechterlijke uitspraak waarin ook de verwerking van meta-advertenties illegaal wordt bevonden, voorspelt dit niet veel goeds voor zijn beroep tegen de inhoud van het DPC-bevel.
De Nederlandse uitspraak zal waarschijnlijk ook leiden tot meer regionale privacygeschillen over Meta-tracking zonder toestemming.
Ook in Nederland zijn aanvullende juridische stappen onderweg: DPS-Consumentenbond klacht Het belicht een ander (lopend) juridisch probleem voor Facebook in de EU – gerelateerd aan het feit dat Meta doorgaat met het exporteren van gegevens van burgers naar de VS – een site waarvan de hoogste rechtbank van het blok eerder oordeelde dat deze het risico zou kunnen lopen door overheidsspionage.
Een definitief besluit over de opschorting van de overdracht van metagegevens tussen de EU en de VS blijft ook in afwachting van de DPC in Ierland. Maar de De Consumentenbond zit er niet op te wachten – en haar woordvoerder liet weten binnenkort een nieuwe procedure in te voeren gericht op dit onderwerp – en eist ook schadevergoeding voor privacyschendingen.
“We willen ook dat mensen onze claim onderschrijven en zich bij ons aansluiten – en we zullen ze compenseren in verband met de overdracht van gegevens naar de Verenigde Staten”, voegde hij eraan toe.
Dus één ding lijkt duidelijk: rekeningen voor Facebook’s lange geschiedenis van vijandigheid jegens privacy zullen blijven dalen.
updaten: Een woordvoerder van Meta stuurde nu deze verklaring:
We zijn blij dat de rechtbank in het voordeel van Meta heeft beslist over een aantal van deze historische beschuldigingen, waarvan sommige meer dan tien jaar geleden plaatsvonden. We zijn van plan in hoger beroep te gaan tegen andere aspecten van deze zaak. We weten dat privacy belangrijk is voor onze Nederlandse gebruikers en we willen dat ze controle hebben over hoe hun gegevens worden gebruikt. Daarom hebben we tools gebouwd zoals Privacy Checkup en Privacy Basics, waarin we uitleggen welke gegevens ze hebben gedeeld en welke instellingen ze kunnen gebruiken om deze te beheren.
“Reisliefhebber. Onruststoker. Popcultuurfanaat. Kan niet typen met bokshandschoenen aan.”