Facebook heeft illegaal persoonsgegevens van Nederlandse gebruikers verwerkt, zo heeft de rechtbank Amsterdam geoordeeld in een zaak die was aangespannen door de Data Privacy Stichting (DPS). Dat meldde Security.nl gisteren. De uitspraak betreft de periode van 2010 tot 2020: al die tijd had Facebook geen Wbp/AVG-grondslag én verwerkte ze bijzondere persoonsgegevens zonder daartoe gerechtigd te zijn. De zaak is nog niet ten einde, omdat de DPS onder het oude recht voor collectieve claims opereerde en dus niet meteen schadevergoeding mocht vorderen. Dat zal de volgende stap worden.
Het vonnis is zo lang dat de rechtbank een aparte overzichtssectie toevoegt. Deze laat geen spaan heel van daarna te behandelen verweren van Facebook:
Het oordeel van de rechtbank is dat Facebook Ierland onrechtmatig heeft gehandeld in de manier waarop zij met de persoonsgegevens van Nederlandse Facebookgebruikers is omgegaan. … Het onrechtmatig handelen bestaat onder meer uit het zonder rechtsgeldige grondslag verwerken van persoonsgegevens voor advertentiedoeleinden. … [Een en ander] vormde ook een oneerlijke handelspraktijk. Het onvoldoende voorlichten van de Facebookgebruiker als consument over het gebruik van persoonsgegevens voor commerciële doeleinden was misleidend. De gemiddelde consument kon namelijk geen goed geïnformeerd besluit nemen over het deelnemen aan de Facebookdienst.
Verder lezend zie ik een héleboel open deuren als conclusie, maar wel met een stevige juridische onderbouwing. Wat een verademing dat iemand (oké, drie iemanden) er eens goed voor is gaan zitten en gewoon de conclusies trekt die bijvoorbeeld op deze blog ook al door velen zijn getrokken, maar dan met het gezag van gewijsde, pardon gezag van de rechtbank want hoger beroep is zeker nog mogelijk.
Allereerst was er een hele discussie over toepasselijk recht en welke van de bedrijven uit het Meta-concern van bedrijven in diverse landen je moet hebben. Al eerder was beslist dat Nederlands recht zou gelden, en dat de vorderingen beperkt zouden zijn tot slachtoffers – pardon, gebruikers – in Nederland. En na een hele analyse over (verwerkings-)verantwoordelijkheid komt de rechtbank simpelweg uit bij Facebook Ierland als de aan te spreken partij.
De volgende taaie juridische discussie is of er wel schade is geleden. Dat is niet vanzelfsprekend: de “enkele inbreuk op een grondrecht” is te weinig om meteen van meetbare schade te mogen spreken. Het zou in juridische zin bij “niet meer dan ergernis” kunnen blijven, en dan valt er geen geld te claimen. Zie bijvoorbeeld de rechtspraak rond die 500 euro-claims uit 2020.
Hier gaat dat goed voor de stichting, want omdat het gaat om een massaclaim mag je alles een beetje abstraheren:
Bij een collectieve actie als de onderhavige past, onder andere ten aanzien van de belangvraag, een zekere abstracte toetsing. Dat betekent dat de vraag of de mogelijkheid van schade aannemelijk is, in algemene zin moet worden beantwoord, dat wil zeggen geabstraheerd van individuele omstandigheden van leden van de Achterban. Weliswaar kan niet worden gezegd dat de door de Stichting gestelde privacyschendingen en oneerlijke handelspraktijken zonder meer tot schade leiden, maar daar staat tegenover dat de mogelijkheid van schade ook niet op voorhand en in algemene zin is uitgesloten.
Een andere discussie die met datzelfde argument beslecht werd, ging over verjaring. Er is immers een termijn van 5 jaar voor onrechtmatig handelen, grofweg vanaf het moment dat je dat wist dat je schade had en wie je daarvoor kon aanspreken. Die was hier niet:
In algemene zin is er niet één specifiek moment aan te wijzen waarop de gevolgen van de gestelde onrechtmatige gebeurtenissen van vóór 30 december 2014 zich hebben geopenbaard. In zoverre is er dus niet één specifiek moment aan te wijzen waarop de (mogelijke) schade en de subjectieve bekendheid daarmee is of kan zijn ontstaan.
De hele discussie over wat er nu precies geschonden is (informatieplichten, grondslag) laat ik even voor wat deze is. Belangrijkste vind ik dat de rechter bevestigt dat zowel bij de Wbp als de AVG de bewijslast bij de verantwoordelijke ligt: toon aan dat je adequaat hebt geïnformeerd, anders ben je tekort geschoten. Bewijs dat je adequaat toestemming hebt verkregen (of andere grondslag), anders heb je onrechtmatig verwerkt. Dat is voor toekomstige procedures een flinke opsteker.
Maar waar had Facebook dan nadrukkelijk over moeten informeren? Allereerst over de Graph API versie 2, oftewel welke externe applicatie er toegang kon krijgen tot persoonsgegevens van Facebookgebruikers. Daarbij gebruikte Facebook een op zich duidelijk popupscherm, dat uitsplitste waar je toestemming voor gaf. Alleen:
Op basis van het (voorbeeld) pop-upvenster stelt de rechtbank vast dat aan de Facebookgebruiker toestemming werd gevraagd om de applicatie van de externe ontwikkelaar toegang te geven tot verschillende categorieën informatie over de Facebookgebruiker. Voor zover de rechtbank kan nagaan, blijkt uit het pop-upvenster echter niet dat daarin is vermeld met welk doel de applicatie toegang zal krijgen tot die informatiecategorieën. Dat betekent dat ervan uit moet worden gegaan dat de Facebookgebruiker in het pop-upvenster niet is geïnformeerd over de doeleinden van die gegevensverwerking.
Want ja, er stond dan wel “de app mag mijn profiel lezen” maar niet waarom de app dat zou doen of wat er dan zou gebeuren met de profielinformatie. “We stoppen je profiel in een set categorieën zodat we weten wie onze app gebruikt” is heel wat anders dan “we verpatsen je gegevens onder de tafel aan een Londense/New Yorkse dataminer die je politieke advertenties op maat gaat serveren” immers. En er zal in de privacyverklaring vast het nodige te lezen zijn geweest, maar ook dat vindt de rechter niet adequaat:
De rechtbank is van oordeel dat in het midden kan blijven of het Gegevensbeleid (voldoende concrete) informatie bevatte over de doeleinden van deze gegevensverwerking, omdat het Gegevensbeleid in dit geval niet de geëigende plek is om ten aanzien van deze specifieke vorm van gegevensverwerking de daarvoor relevante informatie te verschaffen.
Je moet dus IN je popup noemen wat je gaat doen en waarom, met hooguit “voor meer informatie, raadpleeg de bijsluiter” daar achter met een link naar je gegevensbeleid.
Een ander dingetje was dat men met het uitlezen van die informatie ook informatie van Facebookvrienden én van vrienden van vrienden te pakken kreeg. Dat ligt niet direct voor de hand bij een popup die zegt “Deze app wil toegang tot je profiel”. Dus dan moet je meer informeren, en dat ging niet helemaal goed:
Uit de door Facebook Ierland genoemde passages in de Gebruikersvoorwaarden blijkt niet dat de persoonsgegevens van gebruikers door hun Facebookvrienden konden worden gedeeld met externe applicaties. Voor het eerst in het Gegevensbeleid van 15 november 2013 is enige informatie te vinden waaruit een dergelijke gegevensverwerking indirect kan worden opgemaakt. Dat is echter niet in voldoende duidelijke en begrijpelijke bewoordingen gebeurd. Bovendien is het Gegevensbeleid van 15 november 2013 zeer omvangrijk; dat beslaat bijna dertig pagina’s aan informatie. Geconcludeerd moet dan ook worden dat op dit punt sprake is van mededelingen in verhuld taalgebruik tussen een grote hoeveelheid andere gedetailleerde informatie in een onderliggende informatielaag (het Gegevensbeleid). Dergelijke mededelingen voldoen niet aan de eisen van transparant, begrijpelijk en in gemakkelijk toegankelijke vorm informeren over een relevante gegevensverwerking.
Even voor de duidelijkheid: hier zegt dus een rechter dat een privacyverklaring van dertig pagina’s met wollig taalgebruik géén informatie-instrument onder de AVG is. Als je dertig pagina’s nodig hebt, dan gaat er sowieso al iets niet goed. En als daar dan ook nog “verhuld taalgebruik” (dit is geen compliment, ik zeg het even voor de juristen) bij staat, dan heb je helemaal een probleem.
Vervolgens maakt de rechter gehakt van de beroepen op grondslagen (toestemming, contractuele noodzaak en gerechtvaardigd belang). Met name die contractuele noodzaak is interessant, want Facebook zegt immers al een hele tijd dat het profileren erbij hoort en dus deel is van de overeenkomst. Ergens voelt het ook een raar criterium: als ik in de voorwaarden zeg dat ik iets ga doen, hoort het dan noodzakelijkerwijs bij de overeenkomst of niet? Zuiver verbintenisrechtelijk wel, pacta sunt servanda roepen alle contractsjuristen meteen. Maar binnen het gegevensverwerkingsrecht heb je de ‘echt’ noodzakelijke en de ja-op-papier-wel-maar-haha-nee-niet-echt noodzakelijke verbintenissen:
Gesteld noch gebleken is dat het aanbieden van een profiel op het sociale netwerk feitelijk niet kan worden uitgevoerd als de verwerking van persoonsgegevens voor advertentiedoeleinden niet plaatsvindt. Dat dat niet zou kunnen, staat dus niet vast. Voor het aanbieden van een profiel op het sociale netwerk van het Facebookplatform is dus niet objectief en daadwerkelijk noodzakelijk dat Facebook Ierland persoonsgegevens van een gebruiker verwerkt voor advertentiedoeleinden.
Ook de grondslag toestemming sneuvelt, onder meer met de constatering dat men wellicht toestemming geeft voor gebruik voor de dienst an sich, maar een gebruiker hoeft er
niet bedacht op te zijn dat zijn persoonsgegevens ook voor andere doeleinden worden verwerkt, zoals de door Facebook Ierland gebezigde advertentiedoeleinden. Om die reden kan ook niet worden gezegd dat op de gebruiker op dit punt een onderzoeksplicht rustte [waarbij je de privacy policy moet gaan lezen].
Ook bij latere, aangepaste registratie- of akkoordschermen ging het mis. Er werd dan akkoord gevraagd op de voorwaarden, met daarin een verwijzing naar het gegevensbeleid, wat een té indirecte manier van werken is.
Blijft over – zucht – het gerechtvaardigd belang, u weet wel van VoetbalTV. Zonder die uitspraak te noemen, merkt de rechtbank op dat je wel degelijk een commercieel belang als gerechtvaardigd zou kunnen zien. Maar je moet dat wel nader uitwerken, met name over de vraag over noodzaak van wat je van plan bent. Dat vertaalt zich naar transparantie:
Voor de vraag of in dit verband voldoende duidelijk is geïnformeerd, moet er rekening mee worden gehouden dat gebruikers van een dienst die als gratis wordt gepresenteerd zich vaak niet volledig bewust zijn van de mate waarin hun persoonsgegevens worden verwerkt en hun activiteiten worden bijgehouden. De (verwerkings)verantwoordelijke dient daarom transparant te zijn over die verwerking en over zijn bedrijfsmodel.
Die transparantie ontbreekt; wie wil uitpluizen wát Facebook nu allemaal doet qua profilering en datadelen moet op allerlei bronnen dit bij elkaar spitten. Ook had Facebook niet onderbouwd waarom ze perse nu gepersonaliseerde advertenties nodig zou hebben in plaats van gewone.
De overige AVG-aspecten laat ik even zitten, want ik vond het nog erg mooi om te zien dat de eisers ook inzetten op de regels van oneerlijke handelspraktijken. Want wat Facebook doet, is niet alleen een AVG-schending:
Het niet bij het aangaan van de overeenkomst (helder genoeg) op de hoogte brengen van de omstandigheid dat de (persoons)gegevens die de consument aan Facebook Ierland verstrekt om toegang tot de Facebookdienst te krijgen mede worden gebruikt voor advertentiedoeleinden op de wijze zoals dit gebeurt, moet als een misleidende omissie van essentiële informatie worden beschouwd die de gemiddelde consument – dat wil zeggen de redelijk geïnformeerde, omzichtige en oplettende consument – nodig heeft om een geïnformeerd besluit over het deelnemen aan de Facebookdienst te kunnen nemen als bedoeld in artikel 6:193d BW.
Een onduidelijke privacybijsluiter is dus net zo misleidend als het weglaten van ingrediënten of compatibiliteitsinformatie bij andere producten. Daar valt zeker wat voor te zeggen.
De volgende stap is nu een massaclaim naar nieuw recht. Volgens de Consumentenbond hebben al meer dan 185.000 mensen zich bij de massaclaim aangesloten. Ik ben heel benieuwd; zelfs al komt er maar een symbolische vijf euro uit, dan nog zou dat een enórme opsteker zijn voor de handhaving van de AVG.
Arnoud