Twitter is sinds de overname door Elon Musk veel in het nieuws. Naast Donald Trump die weer mag terugkeren, duizenden ontslagen medewerkers en betaalde blauwe vinkjes, hangt Twitter ook een massaclaim boven het hoofd. Een Nederlandse privacystichting ‘Stichting Data Bescherming Nederland’ dreigt Twitter namelijk voor de rechter te slepen wegens schending van de privacy van haar gebruikers. Volgens de stichting heeft Twitter (via haar dochteronderneming Mopub) tussen 2013 en 2021 van miljoenen mensen de privacy geschonden door tracking-cookies te plaatsen op verschillende apps. Op die manier werden niet alleen persoonlijke gegevens van gebruikers van Twitter verzameld, maar ook van mensen die geen Twitter gebruiken. Deze gegevens zouden ook zijn door verhandeld aan derden.
Wat zijn cookies en waarom worden ze geplaatst?
Het 'internet' zelf heeft geen geheugen. Hoe wordt dan onthouden welke pagina's u heeft bezocht en wat uw voorkeuren en interesses zijn? Dat gebeurt via zogenaamde cookies. Een cookie is een klein bestand dat een browser of app eraan herinnert wat er eerder is gebeurd. Er zijn drie veelvoorkomende soorten cookies: analytische cookies (om bijvoorbeeld bij te houden hoeveel mensen een pagina hebben bekeken), functionele cookies (om de inhoud van het digitale winkelmandje bij te houden) en tracking-cookies (om bij te houden wat iemand heeft bekeken). De eerste twee soorten cookies mogen, mits er geen persoonsgegevens worden verzameld, geplaatst worden zonder toestemming van de gebruiker. Bij tracking-cookies is echter wel toestemming, vanwege de privacyrisico’s, vereist.
‘Gratis’-apps en tracking-cookies
Bij gebruik van gratis apps ‘betaalt’ de gebruiker vaak met zijn gegevens. De app plaatst tracking-cookies en verzamelt daarmee gegevens over de gebruiker, zodat de ontwikkelaar die gegevens bijvoorbeeld kan gebruiken om advertenties beter af te stemmen op de gebruiker. Gepersonaliseerde advertenties zijn tegenwoordig eerder regel dan uitzondering. Vaak krijgen mensen verschillende advertenties te zien bij dezelfde app.
In veel gebruikte apps als Shazam, Duolingo, Buienradar, Grindr, Vinted en Wordfeud werden door Mopub tracking-cookies geplaatst. Mopub had geen toestemming gevraagd aan de gebruiker om de gegevens te verzamelen.
Massaclaims
Dat veel ‘gratis’ apps grote hoeveelheden persoonsgegevens verzamelen is al langer bekend. Toch is het lastig om hier wat tegen te doen. Er komen veel klachten binnen bij de Autoriteit Persoonsgegevens (AP) over dit soort praktijken. De AP heeft echter aangegeven dat zij lang niet alle klachten die binnenkomen kan behandelen of pas heel laat (Zie: Aantal privacyklachten blijft zorgwekkend hoog | Autoriteit Persoonsgegevens). Daarnaast is het als individuele gebruiker haast niet te doen om een grote partij zoals Twitter voor de rechter te dagen. Iedere partij die een schadevergoeding wenst zou dit apart bij de rechter moeten vragen. Dit kost veel tijd en geld.
In Nederland is in 2020 echter een wet in werking getreden (Wet afwikkeling massaschade in collectieve actie), waardoor massaclaims mogelijk zijn. Door deze wet is het mogelijk om voor meerdere mensen tegelijk schadevergoeding te vorderen. Men hoeft dan dus niet meer apart naar de rechter voor een schadevergoeding.
Met deze mogelijkheid wil de stichting Twitter dus voor de rechter slepen (zie: Je staat te koop - Stichting Data Bescherming Nederland). Twitter is overigens niet de eerste waartegen men een massaclaim voorbereidt: Meta (Facebook) en TikTok zijn al voor de rechter gesleept met vergelijkbare claims. Het is door deze wet dus makkelijker geworden om collectief schadevergoeding te vorderen bij privacy-inbreuken, zoals het niet of onjuist vragen van toestemming bij het plaatsen van tracking-cookies.
Wat betekent dit voor organisaties die tracking-cookies plaatsen?
Plaatst uw organisatie ook tracking-cookies? Zorg dan dat u die verwerking in lijn met de AVG brengt. De AVG verbiedt het plaatsen van tracking-cookies in principe niet. Het geeft de kaders waarbinnen het plaatsen ervan juist is toe gestaan. Voor het plaatsen van de tracking-cookies is toestemming van de gebruiker vereist. Let er wel op dat veel mensen een verkeerd beeld hebben bij het begrip toestemming. De AVG stelt namelijk strenge eisen aan het begrip toestemming.
Zo moet de toestemming vrij, specifiek en ondubbelzinnig gegeven zijn. Gebruikers die de advertenties te zien krijgen moeten goed en duidelijk geïnformeerd worden welke specifieke gegevens voor welk doel verzameld worden. Ook moet de toestemming vrijelijk zijn gegeven. Dit betekent dat de gebruikers zich niet gedwongen moeten voelen om toestemming te geven. Een voorbeeld van geen vrije toestemming is bijvoorbeeld een werkgever die vraagt om toestemming van werknemers voor niet noodzakelijke gevallen (zoals het aanmelden voor de nieuwsbrief van het bedrijf). De werknemer kan hier vanwege de afhankelijkheid zich niet vrij voelen om toestemming te geven. Ook moet de toestemming weer ingetrokken kunnen worden wanneer de gebruiker dat wenst.
Naast de vereisten voor toestemming (vrij, specifiek en ondubbelzinnig) moet de organisatie die toestemming vraagt ook kunnen aantonen dat per geval (op de juiste wijze) toestemming is gegeven.
De toestemming bij het plaatsen van tracking-cookies is slechts een van de aspecten waarmee men rekening moet houden bij het verzamelen van persoonsgegevens. Zorg dat de vereisten van de AVG correct worden nageleefd en blijf zo (massa) claims voor! Heeft u vragen over het plaatsen van tracking-cookies of over de AVG in het algemeen? Neem dan gerust contact met ons op.