Stichting gaat in hoger beroep om massaclaim tegen Oracle en Salesforce

De stichting The Privacy Collective gaat in hoger beroep nadat de rechtbank in Amsterdam eind december een collectieve schadeclaim tegen Salesforce en Oracle niet-ontvankelijk verklaarde. De bedrijven zouden zich volgens de stichting aan privacyschendingen schuldig hebben gemaakt.

Dat schrijft The Privacy Collective in een nieuwsbericht. De stichting legt zich niet neer bij de uitspraak van de rechtbank Amsterdam en gaat in hoger beroep. De stichting eist een schadevergoeding van 500 euro voor elke gedupeerde van wie volgens The Privacy Collective onrechtmatig gegevens verzameld en gebruikt zijn door Oracle en Salesforce via cookies.

The Privacy Collective diende in augustus 2020 een massaclaim in tegen Oracle en Salesforce, omdat zij volgens het collectief met speciaal vervaardigde cookies op grote schaal gegevens verzamelden van bezoekers van hun sites en deze combineerden met andere data om miljoenen profielen van personen op te bouwen. Die worden onder meer gebruikt voor gepersonaliseerde advertenties en volgens de stichting 'onrechtmatig gedeeld met talloze commerciële partijen, waaronder advertentiepartijen'. Dit zou in strijd zijn met de AVG. Zowel Oracle als Salesforce spraken dit tegen.

Femke Hendriks, voorzitter van The Privacy Collective zegt nu: "Zonder rechtmatige grondslag verzamelen en verwerken Oracle en Salesforce de gegevens van miljoenen Nederlandse internetgebruikers. [...] Met dit hoger beroep willen wij ervoor zorgen dat die miljoenen mensen door de rechter gehoord kunnen worden."

De rechtbank in Amsterdam verklaarde de massaclaim in december niet-ontvankelijk. De rechtbank stelde dat er een 'gebrek aan representativiteit' is, vanwege de manier waarop steun voor de massaclaim werd vergaard. Nederlandse internetgebruikers konden de actie steunen door op een duimpje te klikken. Zo vergaarde het collectief 75.000 'likes' voor de claim, maar de rechtbank stelde onder meer dat alleen op basis hiervan niet kon worden vastgesteld dat de stichting opkomt voor een 'voldoende groot deel van de groep getroffen benadeelden'. Daarom besloot de rechter de zaak niet te behandelen.

Interessant is dat The Privacy Collective bij het indienen van de claim stelde dat Nederlandse internetgebruikers zich niet hoefden aan te melden of gegevens hoefden achter te laten om de zaak te steunen. Na een schikking of oordeel dat de claim terecht was, zouden ze zich kunnen aanmelden om een bedrag te ontvangen. De rechter in Amsterdam oordeelde echter dat hierdoor niet vast te stellen was dat de 75.000 internetgebruikers die de actie steunden ook daadwerkelijk gedupeerd waren. En omdat er geen gegevens van steunbetuigers werden verzameld, kon The Privacy Collective geen contact houden met ze. Dat is volgens de wet verplicht. De rechtbank bood geen mogelijkheid om dit gebrek te herstellen.

Sinds begin 2020 is er de mogelijkheid voor private partijen om een zogenoemde classactionzaak te beginnen bij inbreuken op de AVG. The Privacy Collective was de eerste partij die van dit juridische middel gebruikmaakte.

Door Stephan Vegelien

Redacteur

Feedback • 28-03-2022 13:43 25

28-03-2022 • 13:43

25

Lees meer

Microsoft moet blokkade Nederlands OneDrive-account opheffen van rechter
Microsoft moet blokkade Nederlands OneDrive-account opheffen van rechter Nieuws van 28 maart 2022
Nederlandse massaclaim tegen Oracle en Salesforce is niet-ontvankelijk verklaard
Nederlandse massaclaim tegen Oracle en Salesforce is niet-ontvankelijk verklaard Nieuws van 29 december 2021
Stichting dient massaclaim in tegen Salesforce en Oracle wegens overtreden AVG
Stichting dient massaclaim in tegen Salesforce en Oracle wegens overtreden AVG Nieuws van 14 augustus 2020
Politiek en recht Privacy Rechtszaak

Reacties (25)

-Moderatie-faq
25
24
15
2
0
8
Wijzig sortering
Arnoud Engelfriet
28 maart 2022 13:46
Op zich goed nieuws, want het schept jurisprudentie die voor toekomstige claims nodig zal zijn. Ik vind het wel jammer dat het nieuwsbericht nogal op de vlakte blijft met wat het argument dan zal zijn: "De rechtbank vindt onder meer dat de steun die The Privacy Collective heeft gekregen van de organisaties niet meetelt voor de representativiteit. Daar zijn we het niet mee eens."

Er is vast over nagedacht dat je dit strategisch beter in de rechtszaal kunt melden, maar het is zeg maar de kern van het vonnis tegen je. Dus dan had ik meer willen horen dan de algemene opmerkingen over rechtmatige grondslag en mensen met last van deze datahonger (hoe terecht op zich ook).
Floort
@Arnoud Engelfriet28 maart 2022 14:03
De zaak was een beetje onfortuinlijk gesneuveld dus ik ben blij als er nu jurisprudentie komt die wel over de inhoud van de claim gaat. Mijn eerste indruk was dat er een paar inhoudelijke zaken relatief makkelijk sterker onderbouwd hadden kunnen worden. Ik hoop dat dat ook rechtgezet gaat worden.
Baps @Floort29 maart 2022 09:20
Tenzij men in hoger beroep natuurlijk wederom op de ontvankelijkheid nat gaat. Het Hof zal ook daar eerst kijken naar of de stichting voldoende representativiteit heeft. Geen garantie dat eventuele inhoudelijke grieven daar wél aan de orde komen als men niet ontvankelijk is.
Floort
@Baps29 maart 2022 09:42
Geen garantie, maar relatief makkelijk te repareren denk ik. De formele reden waarom de rechter de stichting niet ontvankelijk heeft verklaard was wel een beetje voorspelbaar, maar toch leuk geprobeerd van de stichting. Het is relatief makkelijk om in dit soort zaken tegelijkertijd vrij hard bewijs te verzamelen van de omvang van het probleem, daarbij ook een koppeling aantonen tussen de aangemelde mensen en de verwerking, en ook het gebrek aan grondslag voor de verwerking zelf aantonen. In deze zaak is eerst een andere benadering gekozen waarvoor ik de overwegingen niet ken. Buiten de class-action context heb ik veel ervaring met dergelijke onderzoeken.

[Reactie gewijzigd door Floort op 23 juli 2024 08:45]

Sjaaksken @Arnoud Engelfriet28 maart 2022 14:14
Ik denk dat het inderdaad de strategie is om zo weinig mogelijk in hun kaarten te laten zien. De juridische argumentering zal toch duidelijker worden na het hoger beroep? Ik denk ook dat de rechtmatige grondslag van het verzamelen nog niet behandeld is (dus in principe heeft de stichting er alle belang bij om hun argumenten voor de rechter te houden).

Ergens is dit ook leergeld dat betaald wordt door de stichting, maar ze moeten wel zorgvuldig zijn om geen jurisprudentie te scheppen die de nieuwe 'class action' regels misschien toch weer wat minder gemakkelijk in het gebruik maakt voor private partijen door ondoordacht te werk te gaan.
whoeier @Arnoud Engelfriet28 maart 2022 15:05
Wat ik me werkelijk afvraag is.. hoe kan ik deze stichting steunen en hen verzoeken namens mij te acteren, als ik niet weet dat ik benadeeld ( of mogelijk benadeeld) ben door de betreffende partijen?

Ik kan nu natuurlijk wel heel kinderachtig elk mogelijk bedrijf die ook maar iets doet op het internet verzoeken om te openbaren wat zij van mij weten en wat zij hiermee doen, maar als elke Nederlander dat doet, kan het bedrijf vermoedelijk beter sluiten ( of al het personeel is enkel en alleen dergelijke informatie aan het uit mailen).

Dus de actie van het collectief vindt ik wel goed, het zet een precedent en een logistiek probleem in één keer.. Heimelijk data verwerking kan je niet openbaren, maar je kan ook geen massa claims starten in dat geval, gezien je niet weet wie je moet vertegenwoordigen (zonder maar random steun te verzoeken, zoals je ziet in de vele mobiele contract claims die in het verleden hebben gespeeld, waar de betreffende massa claims nog steeds "grijs" zijn, qua handel en wandel).

Ergo, er moet of een andere manier ontstaan, of overduidelijke jurisprudentie over hoe dit pad te bewandelen.

Ik ben voor een bel-me-wel register idee, waar ik kan aanvinken waar ik wel voor gevolgd mag worden en waar niet ( en dus bekend ben met wat dan wel of niet werkt etc.), maar goed dat is idealistisch denken.
Tozz @whoeier28 maart 2022 15:36
Ik kan nu natuurlijk wel heel kinderachtig elk mogelijk bedrijf die ook maar iets doet op het internet
verzoeken om te openbaren wat zij van mij weten en wat zij hiermee doen, maar als elke Nederlander dat doet, kan het bedrijf vermoedelijk beter sluiten ( of al het personeel is enkel en alleen dergelijke informatie aan het uit mailen).
Partijen als Facebook en Google bieden daar gewoon portals voor aan, waar je een download kan krijgen van alle data die men over je heeft. Dat kan dus best geautomatiseerd en als er genoeg aanvragen komen dan zal een partij zo'n portal wel ontwikkelen.

Bedrijf hoeft dus echt niet te sluiten als mensen hun recht uitoefenen.
whoeier @Tozz29 maart 2022 13:11
Dat is het geval, als je het enigerlei aannemelijk kan maken en middels account verificatie de identiteit kan bevestigen. Partijen die op heimelijke wijze data verzameld hebben, welke dan middels het verzoek moeten gaan openbaren, zullen in den beginnen om juridische redenen alle mogelijke indicaties van opzet zien te willen ontwijken.

Dus krijgen zij te maken met een zogeheten vloedgolf aan informatieverzoeken, totdat men openlijk gaat erkennen onwettig data te hebben verzameld en dan ben je pas rond.
WillySis
@Arnoud Engelfriet28 maart 2022 19:31
Ik kan de uitspraak van de rechter wel volgen. De claim is gedaan namens een aantal onbekenden die op een duimpje hebben geklikt. Voor een rechtszaak zijn normaal meer gegevens van de betrokken personen nodig. Over het algemeen volstaat in dit soort gevallen een lijst met namen en de opmerking dat de contactgegevens bij de klager bekend zijn.
Anoniem een rechtszaak beginnen is in Nederland niet mogelijk. De rechter oordeelt nu dat anonieme personen zich evenmin kunnen verenigen om namens hen een massaclaim in te dienen. Eigenlijk niet onverwacht.
Djordjo 28 maart 2022 13:49
Zonder rechtmatige grondslag verzamelen en verwerken Oracle en Salesforce de gegevens van miljoenen Nederlandse internetgebruikers.
Zou me niets verbazen dat ze daar een punt hebben.
Met dit hoger beroep willen wij ervoor zorgen dat die miljoenen mensen door de rechter gehoord kunnen worden
Ja leuk, maar hoe dan? Ze zijn niet-ontvankelijk verklaard omdat de rechter oordeelde dat een enkele 'like' niet aangeeft dat iemand gedupeerd is en ook geen onderbouwing is voor representie.

[Reactie gewijzigd door Djordjo op 23 juli 2024 08:45]

Dann74 @Djordjo28 maart 2022 14:37
En dat vind ik nou vreemd, waarom moet iemand per se gedupeerd zijn? Oracle en SF hebben zich (misschien) niet aan de wet gehouden, dus moeten ze hiervoor boeten lijkt me. Als ik via slinkse wijze een bank geld afhandig maak, maar niemand heeft dit door, dan is er dus geen gedupeerde, kom ik daar dan ook zomaar mee weg?
Djordjo @Dann7428 maart 2022 14:51
Als iemand zich niet aan de wet houdt dan kan die uiteraard vervolgd worden en daar kan je gewoon aangifte van doen (strafrecht, foei, je houdt je niet aan de wet). In dit geval gaat het om het indienen van een massaclaim (civiel recht, foei, je hebt mij benadeeld). Dan is het wel noodzakelijk dat je gedupeerd bent.
pepsiblik @Dann7428 maart 2022 14:46
Het ging de rechtbank niet over het al dan niet gedupeerd zijn. Het ging de rechtbank erom dat er geen lijst van gedupeerden is. Met een Like is iemand niet te identificeren. De rechtbank wil gewoon met een groep geïdentificeerde individuen aan de slag.
dok33 @Dann7428 maart 2022 14:49
Je tweede vraag: Ja, natuurlijk. Als niemand het merkt kom je er mee weg. Ik zou zelfs zeggen: DUH!

Maar zeker met je eens dat het vrij krom is dat je in veel situaties eerst iemand die gedupeerd is moet hebben die aangifte ergens van doet, voor je iets kan aanpakken dat duidelijk mis is. Zo komen veel criminelen ook weg met zaken, omdat mensen banger zijn dat die crimineel hen wat aandoet, dan dat ze vertrouwen hebben beschermd te kunnen worden door de politie en andere overheid. Vaak terecht ook.

Dus ja, vooral grote organisaties komen met van alles weg.
pepsiblik @Djordjo28 maart 2022 14:44
Met andere woorden, de rechtbank wil dus een handtekeningen lijst met namen zien. Da's best wel te regelen.
Razwer 28 maart 2022 13:55
Interessant om te zien hoe een privacy voorvechter zichzelf nu in de voet schiet door privacy te waarborgen. Alle lof dat ze het zo hebben geprobeert, maar het moge duidelijk zijn dat privacy niet altijd te verdedigen is.
Jammer in dit geval want nu krijgen Oracle en Salesforce niet de terechte tik op de vingers.
Sjaaksken @Razwer28 maart 2022 14:09
Maar nu kan men het collectief uiteraard niet verwijten dat ze zelf data verzameld hebben over hun achterban. Ze zullen namelijk verplicht zijn om het te doen (legal purpose), anders waren ze wel een heel gemakkelijk doelwit om aan te vallen: stel je voor een privacy steungroep die zelf zoveel mogelijk data moet verzamelen.
woutur @Sjaaksken28 maart 2022 14:43
Je bedoelt het bel-me-niet register? :P Privacy is niet iets dat alleen maar 1 kant op werkt (zo weinig mogelijk van jezelf blootgeven of ter beschikking stellen). Het is ook een framework waarbinnen geopereerd kan worden met garanties over hoe de data gebruikt wordt. Lijkt me dat een instelling als deze daarvan op de hoogte is en prima deze informatie had kunnen verzamelen en gelijk aan iedereen had duidelijk kunnen (en moeten!) maken hoe ze die informatie zouden gaan gebruiken.
zenlord @Razwer28 maart 2022 14:05
Ik ga akkoord met 95% van wat je zegt, maar niet met de stelling dat 'privacy niet altijd te verdedigen is'. De GDPR/AVG verbiedt niet dat persoonsgegevens worden verzameld, maar de verzamelaar en de verwerker moeten wel transparant en eerlijk meedelen aan het individu wat er met de gegevens gebeurt.

Mijns inziens had iedere deelnemer aan de class action perfect kunnen de persoonsgegevens nalaten, met het oog op het uitvoeren van een overeenkomst.

Knullig dat een organisatie als deze Privacy Collective (die ik overigens niet ken) inderdaad zo'n absoluut standpunt wilt innemen terwijl het zowel juridisch als praktisch vele beter ware geweest om de identiteit van de deelnemers te noteren en correct te beheren.
Robbierut4 28 maart 2022 13:45
Zo'n zonde. Ik ken niet de hele zaak, maar meer privacy is altijd goed. En dan gaat zo'n club het juridisch verkloten.
houwimmie @Robbierut428 maart 2022 13:55
dat begrijp ik, de meesten onder ons zullen zo denken.
Toch moet elke partij zich aan de wet houden, wat de beweegrede ook is, anders is het hek van de dam.
Boogie 28 maart 2022 21:10
Dus als ik het goed begrijp vereist de rechtbank: dat degene die namens een groep gedupeerden (van het onterecht verzamelen van persoonsgegevens) een bedrijf aanklaagt, dat diegene eerst persoonsgegevens van de gedupeerden moet verzamelen om de representativiteit te bewijzen?

Als het niet zo triest was, dan zou het bijna lachwekkend zijn.
MSalters
@Boogie29 maart 2022 09:54
Nee, dat is geen vereiste van de rechtbank, dat is een vereiste van de wet. Essentieel, want de GDPR staat expliciet toe dat persoonsgegevens verzameld worden om aan de wet te voldoen. (Art 6).
Niemand_Anders @Boogie29 maart 2022 10:16
Maar als de stichting niet weet wie die 75.000 mensen zijn, hoe moet de rechtbank dan controleren of al deze mensen benadeeld zijn? Het feit dat Oracle en Salesforce informatie verzamelde betekend niet automatisch dat iedere internetter benadeeld is...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq