Nederlandse massaclaim tegen Oracle en Salesforce is niet-ontvankelijk verklaard

De rechtbank Amsterdam heeft een massaclaim van Nederlandse stichting The Privacy Collective niet-ontvankelijk verklaard. De stichting stelde vorig jaar dat Amerikaanse bedrijven Oracle en Salesforce de AVG-regels overtreden en eiste een schadevergoeding van 11 miljard euro.

Met het oordeel dat de rechtbank op woensdag velde, zal de zaak niet worden behandeld. De rechtbank constateert een 'gebrek aan representativiteit' en verklaart de zaak daarom niet-ontvankelijk. Dat gebrek aan representativiteit ligt volgens de rechtbank onder andere aan de manier waarop steun voor de massaclaim werd vergaard. Nederlandse internetgebruikers konden hun steun voor de claim betuigen door op een duimpje te klikken en op die manier werden 75.000 'likes' voor de actie verkregen. De rechtbank Amsterdam oordeelt echter dat op basis hiervan niet kan worden vastgesteld dat de stichting opkomt voor 'een voldoende groot deel van de groep getroffen benadeelden'.

De rechtbank schrijft ook dat niet is vast te stellen dat de 75.000 internetgebruikers die de actie digitaal steunden daadwerkelijk tot de groep benadeelden behoren. Er werden ook geen contactgegevens van de gebruikers vastgelegd en daarmee kan The Privacy Collective geen contact houden met de belanghebbenden. Volgens de wet is dit verplicht. De rechtbank biedt TPC geen mogelijkheid om dit gebrek te herstellen.

The Privacy Collective startte de massaclaim in augustus 2020. De stichting claimde dat Oracle en Salesforce via 'speciaal ontwikkelde cookies' op grote schaal gegevens van bezoekers van hun websites verzamelden en deze combineerden met andere data om miljoenen profielen van personen op te bouwen. Daarvoor zouden de bedrijven volgens TPC geen rechtmatige toestemming hebben gevraagd. De stichting claimde dat dit in strijd is met de AVG en eiste een schadevergoeding van 11 miljard euro. Oracle en Salesforce noemden de beschuldigingen vorig jaar ongegrond.

Door Daan van Monsjou

Nieuwsredacteur

29-12-2021 • 19:02

37

Submitter: wildhagen

Reacties (37)

37
37
22
4
0
10
Wijzig sortering
Aan een kant vind ik dat TPC het beter kon uitvoeren, maar dat de rechter dan geen mogelijkheid geeft voor herstel, vind ik dan weer raar. Tenzij TPC gewoon weer een nieuwe claim in kan dienen, dan lijkt mij de beslissing gewoon te kloppen.
Als ze het zo simpel en ondoordacht uitvoeren lijkt het mij volledig terecht dat de rechter hier (bij deze specifieke organisatie) een stokje voor steekt. Kom op zeg, dit klinkt als iets wat een paar dronken (rechten) studenten aan de bar hebben verzonnen en de volgende ochtend met hun te brakke kop hebben uitgevoerd - te brak om ook maar te kunnen bedenken dat je op z'n minst NAW gegevens nodig hebt.
Het is nieuwe wetgeving dat dit soort rechtszaken mogelijk maakt. Echter, nieuwe wetgeving is vaak vaag opgesteld, zie ook de AVG.

Wat daadwerkelijk wel en niet mag en wat wel en niet binnen de wetgeving valt, volgt uit rechtspraak. Zo ook met de AVG.

Je kunt een dergelijke rechtszaak zien als een eerste test om te bepalen waar rechters de eerste grenzen gaan leggen. Een rechter zal inhoudelijk moeten beargumenteren waarom de klagende partij niet ontvankelijk is. Uit die argumentatie kun je vervolgens opmaken wat wel kans maakt ontvankelijk te worden verklaard.

Dit betrof een 'simpele' aanklacht. Maar het resultaat kan erg waardevol zijn voor toekomstige rechtszaken.

Kortom, deze rechtzaak kan weleens minder ondoordacht zijn dat het op het eerste gezicht lijkt.
Nog nooit van onze privacy officer (juriste) gehoord dat de AVG vaag is.

Ik heb eerder het idee dat compliance een race to the bottom is. AP kan het nooit handhaven, dus ze pakken de excessen eruit. Als je dan een beetje je best lijkt te doen, schreeuwt dat de AVG vaag is, dan kom je weg met je dark patterns of datalek. Zo'n Pavlov manier van handelen is een keuze; het hoeft niet.
De AVG schetst kaders, de invulling is niet in detail uitgewerkt, bij lange na niet. Veel is onduidelijk, nog steeds. Iedere FG interpreteert de AVG weer net iets anders, nog steeds.

Het is aan de organisaties en bedrijven om concrete invulling te geven aan de AVG. Toetsing daarvan vindt pas achteraf plaats als er een conflict is en een rechter eraan te pas komt.

Dus ja, de AVG is nog altijd vaag in de details en concrete uitwerking. Hoe meer rechtszaken hierover zullen zijn, hoe concreter het wordt.

[Reactie gewijzigd door KoffieAnanas op 23 juli 2024 08:19]

Er is niets onduidelijk aan de AVG. Het ontbreekt echter structureel aan IT-kennis waardoor geen enkele organisatie zich aan de AVG kan houden op dit moment.

FGs zijn ontiegelijk dom en weten doorgaans niets van IT. Daardoor kunnen ze, wat mij betreft, ook nooit hun functie goed uitvoeren.
Je kunt over een jurist veel zeggen, maar domme juristen heb je denk ik niet. Een woord als bekrompen of kortzichtig of atechnisch zou de lading beter kunnen dekken (ik zeg niet dat ze de lading in dit geval dekken).

Wel moet een FG om de reden die je noemt constant schakelen met ITers (welke, dat weet ik niet precies, maar ik schakelde bij het vorige bedrijf waar ik werkte vanuit mijn rol (security gerelateerd) regelmatig met de FG). Dat lijkt misschien suboptimaal. Echter, je kunt niet overal specialist in zijn. Je kunt bijvoorbeeld niet verwachten dat een jurist ook een pentester is.

[Reactie gewijzigd door Jerie op 23 juli 2024 08:19]

Je kunt over een jurist veel zeggen, maar domme juristen heb je denk ik niet.
Ik wil wel een lijstje voor je maken.
Ok, misschien dan niet ondoordacht maar sensatiezoekend? Laten we een grote bekende internationale partij kiezen en heel veel nullen gebruiken.

Eind van het liedje is dat ze zichzelf buitenspel hebben gezet en het rechtssysteem, in mijn ogen, onnodig belast hebben. Zelfs als het doel het vaststellen/aftasten van de grenzen zit zijn geweest is dit wel een heel erg grove eerste stap.

Zelfs als niet juristen hier zijn we het er allemaal over eens dat dit zo geen enkele kans van slagen had of zou moeten hebben?
Dit is inderdaad niet goed doordacht.
Het is geen foutje dat je snel kan herstellen. Je moet ineens op zoek naar een grote groep benadeelden die zich willen registreren, en dus net hun gegevens moeten toevertrouwen aan die stichting, maar die ook nog eens moeten kunnen aantonen getroffen te zijn geweest door datgene waarvoor TPC deze bedrijven aanklaagt, en vooral dat laatste lijkt mij nog wel eens een uitdaging te kunnen worden.
Beetje ironisch ook wel. Deze stichting zou voor de privacy van de Nederlandse burger op moeten komen, maar om dat te doen moeten ze je contactgegevens registreren. Ik vraag me dus af of dat de reden is dat ze gekozen hebben voor die duimpjes - omdat ze misschien verdraaid goed weten dat juist de mensen die zo'n poll invullen, hun gegevens niet willen registreren?
Advocaat Christiaan Alberdingk Thijm was ook aanwezig tijdens de laatste Privacy en Security meet-up van Tweakers en ik vind het opvallend dat het artikel hier niet aan refereert.

Wat ik van de presentatie van Thijm begreep is dat deze zaak ook weer een soort proefcasus zou zijn om te zien op welke wijze zulke zaken gedaan zouden moeten worden, omdat juridisch aanwijzingen zijn maar geen letterlijke beschrijving van wat wel en niet voldoende is.

Thijm is volgens mij prima op de hoogte van wanneer iets een serieuze aanpak is, dus simpelweg "knullig aangepakt" lijkt mij niet. De beste man heeft hier best wel oog voor.

Meer Tweakers die hier aanwezig waren en mij nog kunnen aanvullen?
Ik was er ook bij aanwezig. Het is bepaald niet mijn indruk dat Alberdingk Thijs over één nacht ijs gaat. De eis is gebaseerd op de Wet afwikkeling Massaschade in collectieve actie, die op 1 januari 2020 van kracht is geworden. Er is dan ook nog geen of weinig jurisprudentie. De gedupeerden: iedereen in Nederland die gevolgd wordt door het systeem van Oracle en Salesforce. Dat zijn er miljoenen. Niet 75000. De wet maakt het mogelijk dat eiser optreedt namens alle gedupeerden en indien succesvol, er zorg voor draagt dat al die gedupeerden zich kunnen melden en hun schadevergoeding ontvangen.
Het is mij niet echt duidelijk hoe deze mensen gedupeerd zijn. Welke schade hebben zij ondervonden?

Ik lees alleen dat een klein groepje mensen denkt dat er heel veel mensen gedupeerd zijn. En wat dat betreft was dit een aanpak van likmevestje en een teken om ze niet heel serieus te nemen.
En aan wie zou die 11 miljard dan worden uitgekeerd, als het niet knullig was dan zou het geld gewoon opzettelijk niet uitgekeerd worden
duimpje up en je krijgt niks, zal maar snel gegevens door geven.
Klinkt mij als iets wat je toch best aannemelijk zou moeten kunnen maken als je een paar van die cookies in handen hebt en de bewijslast weet om te draaien. De gedaagden moeten op verzoek gewoon alle gegevens die ze over jouw hebben overhandigen wanneer je daarom vraagt voor zover ik heb meegekregen van m'n GDPR trainingen op werk.
Ja, TPC kan gewoon weer een nieuwe claim indienen als ze wél aan alle wettelijke vereisten voldoen. De vordering is namelijk nog niet inhoudelijk beoordeeld en dat kan dus in een latere procedure alsnog. Of ze daar nog zin in en geld voor hebben, is de vraag...
Veel kosten zullen er niet ingestoken zijn, wat betreft de zitting.
Alle tijd en kosten die in de voorbereiding is gegaan kan alsnog ingezet/gedeclareerd worden in een volgende zaak.
Dat is juridisch juist, er heeft geen inhoudelijke behandeling plaatsgevonden. Daarnaast is te overwegen om met een aantal (bewijsbaar en concrete schade) gedupeerden te procederen bij verschillende rechtbanken en dan horen hoe rechters er over denken. Overigens, wel slordig om onvoldoende (niet houden aan de duidelijke wettelijke vereisten) voorbereidt een procedure te starten.

[Reactie gewijzigd door SpiderOne op 23 juli 2024 08:19]

Je kan het moeilijk een massaclaim noemen wanneer je geen identificeerbare slachtoffers hebt natuurlijk. Die 75k likes zijn niet tot mensen terug te brengen en al helemaal geen bewijs dat deze mensen zich getroffen voelen. Lijkt mij dus niet onterecht dat de rechtbank deze claim afwijst. Spijtig dat men zulke serieuze claims op zo een luchtige manier opvat. Als er een claim ten gronde is had het zoveel interessanter geweest om wel voor die representativiteit te zorgen. Dan was de investering en de tijd niet verloren gegaan.
Enerzijds is het inderdaad spijtig, aan de andere kant is er nu ook duidelijk(er) dat er dus wel wat meer nodig is om aan te tonen dat er veel gedupeerden zijn. Dat hadden ze zich natuurlijk vooraf misschien ook wel bedacht, maar dacht men ook: als dit voldoende is, waarom meer moeite doen? :) Maar de rechter steekt er (gelukkig) terecht een stokje voor. ;)
Er werden ook geen contactgegevens van de gebruikers vastgelegd en daarmee kan The Privacy Collective geen contact houden met de belanghebbenden. Volgens de wet is dit verplicht.
Heel cynisch dit.
Wordt je verplicht verwerker van persoonsgegevens; doe je dat niet kun je nooit zo'n claim starten.
Maak je een fout wordt je zelf aangeklaagd.
Dat ze de investering kwijt zijn is alleen maar goed, maar denk dat de investering minimaal is, te klein om pijn te doen in ieder geval - klinkt als iets wat ze (ondoordacht) in een middagje hebben opgezet met dikke beblindende €-tekens voor ogen.

Maar wat je verder zegt klopt volgens mij niet, dmv de cookies (waar ze notabene actie tegen voeren) zijn de likes in het grootste gedeelte van de gevallen waarschijnlijk direct op individuen terug te voeren. Dat mensen zich getroffen "voelen" dat kan/zal voor iedereen gelden, maar wil niet zeggen dat ze getroffen "zijn".

Anyway, lekkere kansloze actie
Een cookie bevat geen naam of andere identiteitsgegevens van een persoon. Het is ook nog eens toestelafhankelijk, je moet cookies aanvaarden, je mag ze niet wissen, ... . Hoewel cookies een inbreuk kunnen vormen op je privacy is het niet zo dat een cookie op zich en automatisch een persoon identificeert.

En ik denk dat hier wel wat advocaten aan hebben meegewerkt die hun zaak er zo snel uitgeworpen zien worden. Al is het natuurlijk hun eigen fout. Maar als de stichting deze advocaten moet betalen voor het geleverde werk is dat geld dat niet aan andere privacy zaken besteed kan worden.
"Volgens de wet is dit verplicht".
Als je je al in de voorbereiding niet houdt aan de kennelijk voorgeschreven procedure, lijkt het op een beginnersfout. |:(
Ze hebben nu wel een hoop gratis publiciteit en aandacht. Mogelijk met het idee dat een tweede poging daar op voort kan borduren?
De hoogte van de claim en de manier van verzamelen van likes geeft mij het idee dat dit puur om het geld gedaan wordt. Lekker dure claim neerleggen bij een bedrijf, hopen dat ze voor een settlement gaan. Immers een x aantal jaar procederen kost Y geld, als je schikkingsvoorstel minder dan dat is, gaan bedrijven snel overstag...

Dit is net zo triest als een patenttrol,
Volgens mij is de aard van een class action suit dat niet alle benadeelden/slachtoffers van tevoren bekend zijn. Vandaar dat een class wordt vastgesteld. Als er een uitspraak is kunnen leden van die class zich melden.
Het lijkt me dat de rechter op deze manier de hele wet tamelijk krachteloos maakt.
Volgens mij klopt dat niet. Het gaat hier om Nederland, met het Nederlands recht. Ik zie niet zo snel staan dat een groepsvordering is om later slachtoffers te zoeken, al helemaal als je uitgangspunt is dat er zo veel schade is. Nu word er gezegd dat er 75k slachtoffers zijn, maar er is er geen een te identificeren.

In de VS zal dat misschien wel zo kunnen.
Ook in de VS zal je eerst enkele concrete benadeelden moeten hebben en 'schade' aannemelijk moeten maken. Zonder dat wordt je zaak net zo goed onontvankelijk verklaard.
Hadden ze bewijs dat deze bedrijven dit deden? Of legden ze bepaalde acties, zoals het bouwen van database technologie, uit als schending van pivacy?
Lekker naief om met een #thumbsup actie op een website, vervolgens een rechtszaak gaan voeren....

Dan gaan we toch weer terug naar het gladiator tijdperk, erop of eronder. Je zal toch met iets beters moeten komen...
Stichting Urgenda is nog minder representatief...

Maar ik kan me voorstellen dat de rechter geen genoegen neemt met duimpjes, maar vindt dat benadeelden zich daadwerkelijk moeten aansluiten.

Op dit item kan niet meer gereageerd worden.