Rechtbank Amsterdam: advertentiemodel Meta onrechtmatig

Rechtbank Amsterdam heeft 15 maart 2023 uitspraak gedaan in de massaclaimzaak tegen Meta (eigenaar van Facebook), waarbij de Consumentenbond en de Data Privacy Stichting (DPS) het bedrijf aanklaagden. Meta zou gedurende een periode van bijna 10 jaar onrechtmatig persoonsgegevens van Nederlandse gebruikers via het Facebookplatform gebruiken voor onder andere advertentiedoeleinden. In een eerder artikelover de opkomst van massaclaims in social medialand hebben we al gewezen op de toename van dit soort zaken tegen grote techbedrijven in Nederland.

Geen rechtsgeldige grondslag en gebruikers onvoldoende geïnformeerdMeta stelt zich op het standpunt dat zij persoonsgegevens rechtsgeldig verzamelen op grond van toestemming van, en/of uitvoering van de gebruikersovereenkomst gesloten met gebruikers van Facebook. De rechtbank heeft echter bepaald dat Meta persoonsgegevens verwerkte voor advertentiedoeleinden zonder dat daar een rechtsgeldige grondslag voor was. Verder heeft Meta de gebruikers van het Facebookplatform onvoldoende geïnformeerd over het doel en het gebruik van de persoonsgegevens.

ToestemmingOm toestemming te kunnen gebruiken als verwerkingsgrondslag moet er vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming zijn verkregen (opt-in). Uit de uitspraak volgt dat het verkrijgen van een ‘leesbevestiging’ geen geldige toestemming oplevert voor de verwerking van persoonsgegevens voor advertentiedoeleinden. Verder wordt ‘verborgen’ toestemming in de gebruikersovereenkomst niet als geldige toestemming beschouwd, omdat toestemming op specifieke informatie gebaseerd moet zijn. De algemene 'instemming' aan het einde van de gebruikersovereenkomst is niet specifiek genoeg.

Uitvoering van overeenkomstDaarnaast bevestigt de uitspraak (nogmaals) dat de verwerkingsgrondslag ‘uitvoering van de overeenkomst’ niet kan worden opgerekt voor advertentiedoeleinden. Volgens de rechtbank is het gebruik van persoonsgegevens voor advertentiedoeleinden niet noodzakelijk voor de uitvoering van de gebruikersovereenkomst tussen Facebook en de gebruiker van het platform, aangezien de belangrijkste doelstelling van de gebruikersovereenkomst het aanbieden van een profiel op een sociaal netwerk is. Meta heeft niet kunnen aantonen dat het aanbieden van een profiel op het sociale netwerk van Facebook feitelijk niet kan worden uitgevoerd als de verwerking van persoonsgegevens voor advertentiedoeleinden niet plaatsvindt.

Gebruikers onvoldoende geïnformeerdVolgens de rechtbank heeft Meta de gebruikers daarnaast onvoldoende geïnformeerd over het doel en gebruik van hun persoonsgegevens. Hierdoor kon de gemiddelde consument geen goed geïnformeerd besluit nemen over het deelnemen aan het Facebookplatform.

Cookies op sites derdenDe Consumentenbond en Data Privacy Stichting stelden daarnaast dat Meta onrechtmatig Facebookcookies plaatste op websites van derden, maar hier ging de rechtbank niet in mee. Dit komt doordat Meta de verplichting om gebruikers te informeren over het plaatsen van cookies en toestemming te vragen heeft overgedragen aan de exploitant van de betreffende website. Dit neemt niet weg dat als Meta advertenties personaliseert met persoonsgegevens die zijn verkregen door middel van cookies, Meta verantwoordelijk blijft voor het aantonen van een verwerkingsgrondslag voor de personalisatie. Zoals hiervoor besproken kan Meta dat op dit moment niet.

Hoe nu verderDe procedure is gestart voor 1 januari 2020 en valt daarom onder het oude collectieve actierecht waarin geen schadevergoeding kon worden gevorderd. De Consumentenbond en DPS vorderde daarom een verklaring voor recht, waarin enkel wordt vastgesteld dat Meta onrechtmatig persoonsgegevens heeft verwerkt. Het doel van DPS en de Consumentenbond is om in de toekomst schadevergoeding te krijgen voor de gebruikers, wat mogelijk kan worden vastgesteld in een schikking of vervolgprocedure. Meta heeft al aangekondigd in beroep te gaan tegen de uitspraak. Inmiddels hebben DPS en de Consumentenbond aangekondigd een tweede zaak tegen Meta te beginnen, omdat Meta persoonsgegevens van zijn Europese gebruikers naar de Verenigde Staten zou doorsturen.

Belang adverteerdersDe verschillende uitkomsten van de lopende zaken zijn ook relevant voor partijen die adverteren op de verschillende platforms van Meta. Adverteerders zijn namelijk gezamenlijk met het platform verantwoordelijk voor de persoonsgegevens die worden verwerkt bij het personaliseren van advertenties. Aangezien de Nederlandse rechter in deze zaak tot de conclusie komt dat Meta onrechtmatig persoonsgegevens verwerkt, betekent dit dat de adverteerder op het Facebookplatform daar (op zekere hoogte) ook verantwoordelijk voor kan worden gehouden. Over deze gezamenlijke verantwoordelijkheid hebben we eerder een artikel geschreven. Deze kun je hierlezen.

Gerelateerde artikelen

Autoriteit Persoonsgegevens gaat strenger toezicht houden

De Autoriteit Persoonsgegevens (AP) heeft met een brief aan de VIA aangekondigd in 2024 strenger toezicht te houden. Eerder al uitte het kabinet haar zorgen over het gebruik van cookies en online tracking, waardoor een extra budget van 500.000 euro per jaar aan de AP werd toegewezen voor het toezicht hierop. Dit extra budget zal de AP gebruiken om vaker te controleren of organisaties op de juiste manier toestemming vragen voor het plaatsen van onder andere tracking cookies. De AP heeft vuistregels op haar website gepubliceerd met uitleg hoe organisaties hun cookiebanner moeten inrichten en toestemming voor het plaatsen van tracking cookies gevraagd moet worden. De AP heeft deze brief naar de VIA gestuurd met het verzoek om de inhoud ervan onder de aandacht te brengen bij onze leden. Het is van belang dat jij, als lid van de VIA, hiervan op de hoogte bent. Zodat er nu de mogelijkheid is om eventuele aanpassingen uit te voeren. – Saskia Baneke-Delfgaauw, VIA-directeur Lees hieronder de brief van het AP. Via deze mail houden we onze leden op de hoogte van belangrijke juridische ontwikkelingen. Als contactpersoon van jouw organisatie vragen we je om deze e-mail door te sturen naar degenen binnen de organisatie voor wie deze updates van belang zijn. Alvast bedankt! Mochten er vragen zijn of hebben jullie hulp nodig, neem dan contact op met Saskia Baneke, [email protected] of Guido Grevink [email protected] Relevante links:Autoriteit Persoonsgegevens publiceert richtlijnen voor het opstellen van een correcte cookiebannerHeldere en misleidende cookiebanners | Autoriteit PersoonsgegevensLegal Digital Advertising Checklist VERSTERKT TOEZICHT OP TRACKING TECHNOLOGIEËN EN NORMUITLEG RONDOM COOKIES De Autoriteit Persoonsgegevens (AP) gaat vanaf dit jaar vaker controleren of websites op de juiste manier toestemming vragen voor het vragen van (tracking) cookies en andere volgsoftware. In de praktijk komt het namelijk regelmatig voor dat er misleidende cookiebanners worden gebruikt, waardoor de toestemming voor de verwerking van persoonsgegevens niet juist wordt verkregen. De AP wijst u middels deze brief graag op de normuitleg die de AP hier recent over heeft uitgebracht. Cookies en de AVGBij het gebruik van tracking cookies of vergelijkbare technieken kan ervan uit worden gegaan dat er persoonsgegevens worden verwerkt. Dit geldt ook voor sommige functionele en beperkte analytische cookies. Aangezien het gaat om een verwerking van persoonsgegevens moet er ook worden voldaan aan de Algemene verordening gegevensbescherming (AVG). Belang van een heldere cookiebannerDoor middel van tracking technologieën kunnen organisaties meekijken met het internetgedrag van hun websitebezoekers. Echter, dit is alleen toegestaan als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de optie hebben om cookies te weigeren, zonder nadelige gevolgen. Door het inzetten van een heldere cookiebanner kunnen websitebezoekers een weloverwogen keuze maken om wel of geen toestemming te geven. AP normuitlegNaast het versterkte toezicht brengt de AP ook normuitleg uit, zodat organisaties aan de hand van praktische regels kunnen voldoen aan de wettelijke vereisten met betrekking tot (tracking) cookies en andere technologieën. Inmiddels heeft de AP twee uitgebracht: normuitleg voor het maken van een heldere cookiebanner en normuitleg voor het intrekken van toestemming bij cookies. Voor verdere uitleg en voorbeelden verwijzen we u graag naar onze website. De volgende vuistregels helpen bij het opstellen van een correcte cookiebanner: Geef informatie over het doel; Zet vinkjes niet automatisch aan; Gebruik duidelijke tekst; Zet verschillende keuzes op één laag; Verberg bepaalde keuzes niet; Laat iemand niet extra klikken; Gebruik geen onopvallende link in de tekst; Wees helder over het intrekken van toestemming; Verwar toestemming niet met gerechtvaardigd belang. De volgende regels verduidelijken waaraan voldaan moet worden bij intrekken van toestemming bij cookies: Toestemming intrekken moet op ieder moment kunnen; Toestemming intrekken moet net zo gemakkelijk zijn als het aangeven; Toestemming intrekken mag geen nadelige gevolgen hebben voor uw websitebezoekers; Geef informatie over hoe websitebezoekers toestemming kunnen intrekken vóórdat zij toestemming geven; Zorg voor een vindbare plek voor het intrekken van toestemming; Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken.

Lees verder

Whitepaper Data-Cleanrooms: Wat zijn het en hoe zet je ze effectief in?

Het landschap van digitale marketing is flink veranderd. Firefox en Safari ondersteunen geen cookies van derden meer, Chrome is ze aan het uitfaseren en de ePrivacy Richtlijn en GDPR vereisen dat uitgevers en adverteerders toestemming van consumenten krijgen om hun data te verzamelen en te gebruiken. En dat zorgt voor de nodige uitdagingen op het gebied van data en privacy. Gelukkig bieden data-cleanrooms een oplossing. Cleanrooms maken het voor bedrijven mogelijk om samen te werken en data te analyseren met behoud van privacy en naleving van regelgeving. Ze zijn vooral nuttig in situaties waarin meerdere partijen de collectieve kracht van hun gegevens willen benutten zonder de individuele privacy of gegevensbeveiliging in gevaar te brengen. Klantgegevens worden zorgvuldig geanonimiseerd en ontdaan van alle persoonlijke of identificeerbare informatie. Deze gegevens kunnen vervolgens worden geanalyseerd en gebruikt om nieuwe inzichten te krijgen over gebruikers op een geaggregeerd niveau. Dit whitepaper geeft marketeers die nog geen of weinig ervaring hebben met data-cleanrooms inzicht in alle mogelijkheden. Van het definiëren van doelstellingen tot juridische zaken, uploaden van data en verbinding met andere bronnen tot het uitvoeren van data-analyses. De theorie wordt aangevuld met cases uit de Nederlandse reclame-industrie en aanbevelingen die betrekking hebben op de beperkingen en kosten van data-cleanrooms. Bijdragen van: Birgit Boing, Emmelijn Hermens, Weiwei Liu-Schröder, Bastiaan Spaans, Bernard de Vreede, Mark Wilmont.

Lees verder