:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data80185517-a5113d.jpg)
Een stichting die namens 10 miljoen Nederlandse internetgebruikers 11 miljard euro schadevergoeding eiste van softwarebedrijven Oracle en Salesforce, is niet-ontvankelijk verklaard. The Privacy Collective (TPC) kan niet aantonen dat ze de veronderstelde benadeelden voldoende vertegenwoordigt, zo oordeelde de rechtbank Amsterdam woensdag.
TPC begon in augustus 2020 een procedure tegen Oracle en Salesforce vanwege schending van de Algemene verordening gegevensbescherming (AVG). De Amerikaanse bedrijven zouden data van zeker 10 miljoen Nederlandse internetters hebben verzameld voor reclamedoeleinden, zonder hun de wettelijk verplichte toestemming te hebben gevraagd. Volgens de stichting maakten de twee bedrijven zo van elke websurfer een persoonlijk profiel, dat ze konden verhandelen.
Op grond van deze privacyschending claimde TPC per getroffene bij Salesforce en Oracle 500 respectievelijk 600 euro. De laatste zou ook data hebben gelekt.
'Steun met 1 klik’
Op internet wierp TPC zich op als aanvoerder in een zaak op grond van de Wet afwikkeling massaschade in collectieve actie (Wamca). Door op een icoon te klikken met de tekst ‘steun met 1 klik’ konden internetters zich achter de claim scharen. Het initiatief – ‘Hoeveel is je privacy je waard?’ – kreeg op die manier 75.000 steunbetuigingen.
Volgens de rechtbank is met deze ‘likes’ echter niet vast te stellen of de stichting werkelijk opkomt voor voldoende benadeelden. Van de internetters die ‘klikten’ zijn geen contactgegevens geregistreerd. Zo is niet te zien of het daadwerkelijk gedupeerden betreft. Bovendien kan TPC nu geen contact onderhouden met haar achterban, en dat is een belangrijke voorwaarde van de wet. Ook noemde de rechtbank de verstrekte informatie over de te voeren procedure „te vaag”.
Advocaat Geert Potjewijd, namens De Brauw Blackstone Westbroek raadsman van Salesforce, is tevreden met de uitspraak. Hij vindt die ook inhoudelijk van belang: „Massaclaims hebben een belangrijke functie voor gedupeerden. Maar dan moet de claimende partij hen wel afdoende representeren. Dat heeft de rechter goed uitgelegd. The Privacy Collective beweerde namens alle internetgebruikers in Nederland op te treden, maar kon dat niet voldoende hard maken.”
De advocaat van TPC, Christiaan Alberdingk Thijm van Bureau Brandeis, ziet dit anders. „We hadden ook de steun van veel privacyorganisaties. Die heeft de rechtbank genegeerd.”
Kans op hoger beroep
TPC staat de mogelijkheid van hoger beroep open. Dan zou de stichting nog een betere methode kunnen optuigen om supporters in te schrijven. Joris van Hoboken, hoogleraar in Brussel, verbonden aan het Instituut voor Informatierecht in Amsterdam en TPC-bestuurder, ziet goede mogelijkheden. „Maar we moeten eerst grondig met bestuur, raad van toezicht en advocaten overleggen.”
Douwe Linders, partner van advocatenbureau Solv en specialist in IT-recht, noemt het oordeel van de rechtbank „heel zuur. The Privacy Collective was een pionier met deze massaclaim inzake de AVG.” Toch is hij niet verbaasd over de uitspraak: „De stichting nam een groot risico door alleen likes te verzamelen. Dat wist iedereen tevoren. Die methode was ook fraudegevoelig, want in principe kon één persoon vele malen steun betuigen.”
Linders voert zelf ook massaclaimzaken wegens privacyschendingen: tegen filmpjes-app TikTok namens stichting SOMI, en tegen de staat vanwege het GGD-datalek namens Stichting ICAM. Het vonnis raakt deze procedures niet, vermoedt hij. „Consumenten en burgers gaan in die zaken akkoord met duidelijke voorwaarden. Maar we zullen de overeenkomst nog eens tegen het licht houden, nu de rechtbank Amsterdam daar zo de nadruk op legt.”
De Amsterdamse rechtbank maakte overigens een kritische kanttekening over de verhouding tussen massaclaimwet Wamca en databeschermingswet AVG. Beide willen de positie van burgers versterken, maar de privacywet zou de mogelijkheden voor massaclaims juist beperken.