De rechtszaak die the Privacy Collective aanspande tegen techreuzen Oracle en Salesforce krijgt steeds meer steun. De zaak gaat om compensatie voor grootschalige binnenslepen en verkopen van de data van miljoenen Nederlanders. Dit gebeurt zonder geldige toestemming.
Inmiddels sloten Access Now, Internet Society Nederland (ISOC) en De Datavakbond zich aan bij de zaak. Ook de Autoriteit Persoonsgegevens (AP) meldde vorige week dat ze achter de zaak stond.
De claim is dat Oracle en Salesforce circa tien miljoen Nederlandse internetgebruikers schade laten lijden. Zo verliezen ze door hun manier van handelen de controle over hun persoonsgegevens. Dat is in strijd met de AVG.
Schade
De schade zou neerkomen op 500 euro per persoon. Wat Oracle betreft komt daar nog eens 100 euro per persoon bij vanwege een datalek. Dit laatste is op basis van een uitspraak van de Raad van State van april dit jaar.
Oracle en Salesforce moeten de schade vergoeden, plus de kosten die The Privacy Collective moet maken voor deze zaak. De eerste zitting vindt in december plaats. De financiering is in handen van procesfinancier Innsworth.
Volgens the Privacy Collective gaat het om een van de grootste onrechtmatige gegevensverwerkingen in de geschiedenis van het internet. Het gaat om de verwerking van persoonsgegevens van praktisch alle Nederlanders die informatie op het internet lezen of bekijken. De schending vindt iedere dag plaats.
Oracle en Salesforce
Oracle en Salesforce schenden stelselmatig de Algemene Verordening Gegevensbescherming (AVG), zegt het collectief. Zonder toestemming verzamelen en verwerken ze gegevens van Nederlandse internetgebruikers. De bedrijven bouwen daarmee profielen van iedereen die online is. dit gaat via cookies die zonder geldige toestemming zijn geplaatst. De bedrijven bieden deze profielen vervolgens aan voor het targeten van advertenties.
De beide bedrijven zijn daar ook niet transparant in. Dat geldt bijvoorbeeld bij de uitwisseling van unieke identificatoren van cookies met andere partijen (cookie syncing). Ze handelen volgens het collectief in strijd met het vereiste van dataminimalisatie door onbeperkt en bovenmatig persoonsgegevens te verzamelen.
De bedrijven combineren en delen die gegevens en verwerken ze in strijd met de oorspronkelijke doeleinden. Volgens de AVG is dit verboden. Verder zouden beide bedrijven geen tot weinig passende beveiliging in acht nemen. Ze handelen in strijd met hun verantwoordingsplicht door persoonsgegevens aan landen zonder passend beschermingsregime aan te bieden.
Waarom Oracle en Salesforce?
The Privacy Collective pikte deze twee bedrijven eruit vanwege de omvang en impact van hun handelingen in Nederland. Tegelijkertijd opereren ze meestal achter de schermen. Iedereen kent Google en Facebook, maar deze bedrijven zijn minder bekend terwijl ze het zelfde doen.
Onderzoek laat zien dat uit een geselecteerde lijst van 100 websites die door Nederlandse internetgebruikers veel bezocht worden, er 25 Oracle’s cookies en 31 Salesforce cookies plaatsen. Via de cookies op deze websites verzamelen de concerns gegevens over vrijwel iedere Nederlander die regelmatig het internet bezoekt.
Class action
De keuze voor een class-actionzaak is vanwege de vele gedupeerden: zeker 10 miljoen. In een class action kan een grote groep mensen zich verenigen op grond van dezelfde vordering. Ze kunnen zich laten vertegenwoordigen door een specifieke partij, zoals in dit geval een stichting. Het is de eerste keer dat er in Nederland een class action plaatsvindt op basis van inbreuk op de AVG.
Lees ook:
- The Privacy Collective start rechtszaak tegen Oracle en Salesforce
- The Key Threats and Risks That Third-Parties Create to Websites
