MEER INFORMATIE

Kennis is macht

We hebben wat informatie voor u verzameld over de advertentie-technologie (ad-tech) sector om u te laten zien hoe bedrijven uw persoonsgegevens exploiteren voor financieel gewin. Voor meer informatie kunt u contact met ons opnemen.

FAQ

DE ZAAK

Waar gaat de zaak over?

Deze zaak heeft betrekking op één van de grootste onrechtmatige gegevensverwerkingen in de geschiedenis van het internet. Het gaat om de verwerking van persoonsgegevens van praktisch alle Nederlanders die informatie op het internet lezen of bekijken. De schending vindt iedere dag plaats.

Wat wordt Oracle en Salesforce primair verweten?

Oracle en Salesforce schenden stelselmatig de Algemene Verordening Gegevensbescherming (AVG) door zonder rechtmatige grondslag de gegevens van Nederlandse internetgebruikers te verzamelen en verwerken. Dat doen zij door profielen te bouwen van iedereen die online is, onder meer door gegevens te verzamelen via cookies die zonder geldige toestemming zijn geplaatst, en deze profielen te koop aan te bieden voor het targeten van advertenties.

Daarnaast zijn zij onvoldoende transparant over hun handelwijze, bijvoorbeeld ten aanzien van de uitwisseling van unieke identificatoren van cookies met andere partijen (cookie syncing); handelen zij in strijd met het vereiste van dataminimalisatie door onbeperkt en bovenmatig persoonsgegevens te verzamelen, combineren en delen; verwerken zij persoonsgegevens in strijd met de doeleinden waarvoor deze oorspronkelijk zijn verzameld, nemen ze onvoldoende passende beveiliging in acht nemen, handelen in strijd met hun verantwoordingsplicht en geven zij persoonsgegevens door aan landen zonder passend beschermingsregime.

Wat eist The Privacy Collective?

Door het handelen van Oracle en Salesforce hebben de circa tien miljoen Nederlandse internetgebruikers die The Privacy Collective vertegenwoordigt schade geleden, onder meer door verlies van controle over hun persoonsgegevens.

De schade wordt begroot op € 500 per persoon (wat Oracle betreft nog eens € 100 per persoon vanwege een datalek). Voor dit bedrag wordt aangehaakt bij een uitspraak van de Raad van State van 1 april 2020.

Van Oracle en Salesforce wordt geëist dat zij die schade vergoeden, vermeerderd met de kosten die The Privacy Collective moet maken in het kader van deze zaak.

Waarom is deze zaak specifiek aangespannen tegen Oracle en Salesforce? Er zijn toch (talloze) andere partijen die doen wat zij doen?

Een belangrijk argument om juist deze twee partijen in rechte aan te spreken is de omvang en impact van hun onrechtmatige handelingen in Nederland. Zij zijn prominent aanwezig. Tegelijkertijd opereren ze veelal achter de schermen. Iedereen kent Google en Facebook, maar deze bedrijven zijn minder bekend, terwijl zij dagelijks op ongekende wijze handelen in onze persoonsgegevens. Er zijn al veel klachten ingediend bij toezichthouders over de ad-tech industrie, maar er gebeurt te weinig met die klachten. Iedereen is het erover eens dat dit moet stoppen, maar de wereld is zo complex dat toezichthouders het vooralsnog niet aandurven.

Onderzoek laat zien dat uit een geselecteerde lijst van 100 websites die door Nederlandse internetgebruikers veel bezocht worden, er 25 Oracle’s cookies en 31 Salesforce cookies plaatsen. Via de cookies op deze websites verzamelen de concerns gegevens over vrijwel iedere Nederlander die regelmatig het internet bezoekt.

Wat is The Privacy Collective?

The Privacy Collective is een non-profit organisatie die strijdt voor eerlijke en adequate vergoedingen voor mensen van wie de privacy online geschonden is. Samen met privacy-experts, een betrokken achterban en partnerorganisaties, binnen en buiten Nederland. The Privacy Collective heeft geen financieel belang bij vorderingen uit juridische procedures.

Door wie wordt deze zaak gefinancierd?

De class action wordt volledig gefinancierd door Innsworth, een procesfinancier.

De dagvaarding is betekend op 14 augustus. Wanneer verwachten jullie een eerste zitting?

Die verwachten wij in december.

CLASS ACTION

Waarom is gekozen voor een class action?

Het gaat hier om 10 miljoen gedupeerden. In een class action kan een grote groep mensen zich verenigen op grond van dezelfde vordering en zich laten vertegenwoordigen door een specifieke partij, zoals in dit geval een stichting. Het is de eerste keer dat er in Nederland een class action plaatsvindt op basis van inbreuk op de AVG.

Hoe komen individuen in aanmerking voor schadevergoeding / compensatie?

De stichting verzoekt internetgebruikers via haar website hun steun te betuigen. Ze kunnen zich ook registreren om in aanmerking te komen voor schadevergoeding.

Wat is de hoogte van de schadevergoeding die een individu kan krijgen?

De schade wordt begroot op € 500 per persoon (wat Oracle betreft nog eens € 100 per persoon vanwege een datalek). Voor dit bedrag wordt aangehaakt bij een uitspraak van de Raad van State van 1 april 2020. Voor een individu is die schade te klein om te vorderen. In een collectieve actie is het wel mogelijk om voor iedereen een klein bedrag te vorderen. De totale schade wordt geschat op zo’n 10 miljard euro.

Hoe toon je als individu aan dat je het slachtoffer bent geworden van de praktijken van Oracle en Salesforce?

Wij hebben praktische handleidingen gemaakt waarmee individuele internetgebruikers kunnen onderzoeken of er Oracle en / of Salesforce cookies aanwezig zijn op hun apparaten.

COOKIES & COOKIE SYNCING

Oracle en Salesforce maken voor het verzamelen gebruik van cookies. Hoe werkt dat?

De gegevensverzameling door Oracle en Salesforce begint met het plaatsen van een cookie op de randapparatuur van internetgebruikers. Het gaat dan om cookies uitgerust met een unieke identificator waarmee internetgebruikers van elkaar worden onderscheiden.

Wat is cookie syncing en wat heeft dat met Oracle en Salesforce te maken?

De informatie vergaard via de cookie wordt verrijkt met informatie uit alternatieve bronnen, zodat een zo volledig mogelijk overzicht ontstaat van de karaktereigenschappen en interesses van een persoon. De unieke identificatoren worden uitgewisseld met andere commerciële partijen en aan elkaar gekoppeld. Dit proces wordt cookie syncing genoemd. Oracle en Salesforce maken er op zeer grote schaal gebruik van.

Het plaatsen van cookies is toch niet onrechtmatig?

Op het plaatsen van cookies zijn belangrijke regels van toepassing. Eén daarvan is dat de consument toestemming moet geven. Die toestemming kan hij alleen rechtsgeldig geven als hij goed geïnformeerd wordt. Dat gebeurt hier niet. Bijna niemand weet dat er een schaduwprofiel van hem bestaat en dat hij dagelijks onderwerp is van een veilingproces. Niemand weet dat zijn gegevens in dat veilingproces met duizenden partijen worden gedeeld.

Kunnen internetgebruikers zich beschermen tegen de praktijken van partijen als Oracle en Salesforce of andere ad-tech bedrijven?

Een meerderheid van de internetgebruikers wil niet dat zijn of haar persoonlijke informatie door de ad-tech industrie wordt gebruikt. Het is echter vrijwel onmogelijk daar iets tegen te doen.

Als een internetgebruiker het gebruik van zijn gegevens door deze partijen wil beperken dan zal hij de instellingen van alle browsers op elk apparaat dat hij gebruikt, moeten wijzigen. De gebruiker moet dan bijvoorbeeld instellen dat third party cookies geweigerd worden. Wanneer de gebruiker instelt dat ook first party cookies geweigerd worden, zullen veel websites niet meer goed of helemaal niet meer functioneren. De gebruiker kan in de browser ook instellen dat naar elke partij die gegevens opvraagt een zogenaamd do not track verzoek wordt verzonden. De gebruiker geeft daarmee aan dat hij niet getrackt wil worden. Deze functie wordt echter door browsers niet technisch afgedwongen.

Browserinstellingen voorkomen niet andere tracking technologieën. De gebruiker zal op elke bezochte website en in elke gebruikte app in de informatie over cookies op zoek moeten gaan naar de optie om cookies en vergelijkbare technieken te weigeren. Dat kan zelden door het aanklikken van ‘weigeren’. Gezien het aantal websites en apps dat een gemiddelde Nederlander dagelijks gebruikt, is dat onbegonnen werk. Bovendien vraagt lang niet elke website/app op de juiste manier om toestemming. Het zorgt ervoor dat er regelmatig cookies geplaatst worden zonder dat de internetgebruiker dat door heeft.

DATA MANAGEMENT PLATFORM (DMP) EN RTB

Oracle en Salesforce bieden een Data Management Platform (DMP) aan. Wat is dat?

Een DMP is een dienst gericht op het verzamelen en combineren van persoonsgegevens van internetgebruikers om bezoekers van websites specifieke, op het individu gerichte advertenties aan te kunnen bieden. Door de grote hoeveelheid gegevens die zij over internetgebruikers verzamelen en de (geautomatiseerde) analyses die zij daaraan toevoegen, creëren DMP’s een indringend en zeer persoonlijk beeld van het online leven van individuele personen.

Wat is RTB?

Online advertenties zoals advertenties op websites worden meestal verkocht via RTB. Daarbij wordt advertentieruimte op bijvoorbeeld een website real time - op het moment dat een persoon een website bezoekt - geveild. Dit gebeurt volledig geautomatiseerd en DMP’s zijn hierbij onmisbaar. Een DMP stelt adverteerders in staat om op basis van specifieke informatie te bieden op advertentieruimte.

ALTERNATIEVEN VOOR ORACLE EN SALESFORCE

De huidige werkwijze van Oracle en Salesforce is buitengewoon lucratief. Daarnaast stellen veel partijen dat de inkomsten die websitehouders genereren met advertenties noodzakelijk zijn voor het gratis aanbieden van websites. Is er geen alternatief?

Het gebruik van persoonlijke informatie is niet de enige mogelijkheid om marketingcampagnes te optimaliseren. Zo kunnen advertenties ook worden getoond op basis van de inhoud van de content waar de advertentie bij wordt geplaatst, het zogeheten contextueel adverteren. De New York Times is naar aanleiding van de AVG overgestapt op deze vorm van adverteren en haar inkomsten uit advertenties stijgen nog steeds.

Een korte geschiedenis van cookies en tracking

Cookies werden voor het eerst ontworpen halverwege de jaren negentig als een manier om e-commerce-winkelmandjes mogelijk te maken. Het gebruik van cookies begon als een simpele - vrijwel onzichtbare - oplossing om de online gebruikerservaring van consumenten te verbeteren, maar al snel werd ook een aantal nadelen en risico’s van cookies zichtbaar.

Soorten cookies:

Dit zijn de vier meest voorkomende soorten cookies en hun werking.

First-party cookies worden aangemaakt door de website die u momenteel bezoekt. Ze zijn een kernfunctie van de meeste websites en helpen met de fundamentele functionaliteiten en toegankelijkheid. Deze website gebruikt first-party cookies om te bepalen waar ter wereld u bent zodat we u de tekst in uw moedertaal kunnen aanbieden

Externe cookies zijn cookies die worden geplaatst door een ander domein dan de website die u momenteel bezoekt.Het meest veelvoorkomende gebruik van externe cookies is het volgen van gebruikers die op advertenties klikken. Als u bijvoorbeeld op een advertentie op een website klikt, wordt er een externe cookie gebruikt om uw surfgedrag te koppelen aan de website waarop de advertentie werd getoond

Sessiecookies zijn tijdelijke cookies opgeslagen in het geheugen van de browser totdat de browser wordt gesloten. Deze soort cookies vormen een kleiner veiligheidsrisico en worden gebruikt voor e-commerce-winkelmandjes, om de voorkeurslayout van een pagina aan te passen en voor andere kortdurende opslag.

Permanente cookies zijn cookies voor een langere termijn met een vervaldatum aangegeven door de uitgever. Deze cookies worden bewaard door de browser, zelfs nadat deze gesloten is, en versturen elke keer dat u ze gebruikt een signaal naar de uitgever.

Permanente cookies kunnen uw activiteiten niet alleen volgen op de site die de cookie heeft uitgegeven, maar ook op elke andere site met een object uitgegeven door dezelfdewebsite. Daarmee kunnen bedrijven zoals Google of Facebook een logboek met gebruikersactiviteiten op verschillende websites aanleggen. Als u op ‘Mij onthouden’ of een soortgelijke knop klikt als u zich aanmeldt op een online account wordt er een permanente cookie gebruikt omuw informatie in uw browser op te slaan.

Omdat permanente cookies langer worden bewaard dan sessiecookies en theoretisch uw activiteiten op verschillendesites over een langere periode kunnen volgen, vormen deze een veel groter risico voor de privacy van gebruikers dan sessiecookies

Real-time bidding (RTB)

RTB is een nieuw model voor het inkopen van online advertentie-inventaris. Statische advertenties werden vroeger gekocht per impressie: een mediabedrijf stemt ermee in om X aantal impressies te leveren voor een adverteerder gedurende een bepaalde periode.

Met RTB kan een inventaris softwarematig worden gekocht en verkocht per impressie. Geautomatiseerde servers zijn ontworpen om tegen elkaar op te bieden om advertenties te tonen op een bepaalde plek en, indien zij winnen, de advertentie aan de gebruiker te tonen. Dit betekent dat u terplekke verschillende advertenties kunt optimaliseren met het uiteindelijke doel het aanbieden van de meest gepersonaliseerde advertenties aan de grootste hoeveelheidmensen.

RTB toont in het algemeen minder impressies, maar elke impressie heeft een hogere verwachte waarde. In theorie kan RTB middels cookies advertenties specifiek richten op leeftijd, geslacht, locatie, voorkeursapparaat en interesses op een wijze die rekening houdt met de online activiteiten een dag, een week of een maand eerder.

Begrippenlijst

Collectieve juridische procedure (class-action)

Een collectieve actie (ook wel “class action” of “representative action”) is een type procedure waarbij een groep personen gezamenlijk vertegenwoordigd wordt door een stichting of een persoon uit die groep. In dit geval, vertegenwoordigt The Privacy Collective door middel van locale initiatieven de belangen van gedupeerden.

First-party cookie

Een HTTP-cookie – of een internetcookie of browsercookie – iseen fundamenteel onderdeel van de moderne online wereld.Het is eigenlijk een kleine hoeveelheid gegevens die wordenuitgewisseld tussen een website en een apparaat van eengebruiker via een webbrowser.Simpel gezegd: als u eenwebsite bezoekt, kan de site een cookie verstrekkenwaarmee u als X wordt geïdentificeerd. Als u de site verlaaten later weer bezoekt, wordt deze cookie gebruikt door desite om u te herkennen als dezelfde X die deze pagina aleerder had bezocht. Cookies zijn ontworpen om nuttigeinformatie over een gebruiker op een betrouwbare manier teonthouden (zoals de inhoud van een winkelmandje) of omhet surfgedrag van de gebruiker bij te houden (zoalsinloginformatie of eerder activiteiten op de pagina). Cookieskunnen ook worden gebruikt om eerder opgegeveninformatie zoals namen, adressen, wachtwoorden,loginnamen en creditcardnummers te onthouden. Veiligheidis duidelijk een probleem hier, waardoor cookies normaliterworden versleuteld zodat derden niet vrij toegang hebben totde informatie van de gebruiker. Meer informatie isbeschikbaar hieronder

Externe of tracking cookies

In het algemeen bekend als ‘externe cookies’, zijn dit cookiesdie niet bij de website horen die u bezoekt. Zij bieden u of uwapparaat geen ondersteuning maar zijn uitsluitend bedoeldom informatie over u te verzamelen, vrijwel altijd voormarketingdoeleinden.

Cookiesynchronisering

Cookiesynchronisering vindt plaats wanneer tweeadvertentiesystemen of -platformen de informatie die zijhebben verzameld over een persoon willen vergelijken

Gegevensbeheerplatform (GBP)

De belangrijkste aanpak van de advertentietechnologie-sector. Een GBP is een verbindingsplatform om first-party,second-party en third-party gegevens van personen uit welkebron dan ook te verzamelen, organiseren en activeren. GBP'szijn de drijvende kracht achter gegevensgebaseerdemarketing omdat zij bedrijven in staat stellen individueleklantenmodellen te verzamelen, te aggregeren en teexploiteren.

Vraagplatform (VP)

Een VP stelt adverteerders in staat om advertentie-inventaris aan te schaffen voor de best mogelijke prijs en omadvertenties te richten op gebruikers op basis vanverschillende categorieën, zoals locatie, leeftijd en geslacht,om de impact van een advertentiecampagne te vergroten.

Algemene Verordening Gegevensbescherming (AVG)

Privacywetgeving ingevoerd binnen de EU in 2018 met zevenkernprincipes voor de wettige verwerking vanpersoonsgegevens. Deze principes hebben, in grote lijnen,betrekking op het volgende:

  • Wetmatigheid, eerlijkheid en transparantie
  • Beperking van doeleinden
  • Dataminimalisatie
  • ANauwkeurigheid
  • SOpslagbeperking
  • Integriteit en vertrouwelijkheid (beveiliging)
  • Verantwoording

YMeer informatie is hier beschikbaar.

Persoonsgegevens

Alle gegevens – online of anderszins – die kunnen wordengebruikt om een specifiek individu te identificeren, zoals volledige naam, paspoortnummer, e-mailadres,rijbewijsnummer, bankrekeninggegevens enz.

Privacy- en elektronische communicatieregels

De PECR bestaan naast de AVG en de WetGegevensbescherming en bieden mensen specifiekeprivacyrechten op het internet en met betrekking tot allevormen van elektronische communicatie.

Deze regels hebben specifiek betrekking op:

  • Marketing-gerelateerde e-mails, tekstberichten en telefoongesprekken
  • Cookies (en vergelijkbare alternatieven)
  • Het waarborgen van de veiligheid van communicatiediensten
  • Privacy van klanten met betrekking tot internetverkeer en locatiegegevens, specifieke facturering, regelidentificatie en opname in lijsten

Real-time bidding (RTB)

Advertentie-inventarissen werden vroeger statischaangekocht op basis van een bepaald aantal impressies(directe weergaven en secondaire willekeurige weergaven).RTB-inventaris wordt softwarematig aangekocht en verkochtper impressie. Geautomatiseerde servers bieden live tegenelkaar op om hun advertentie-inventaris te tonen en hetwinnende bod toont een advertentie aan de gebruiker. Ditbetekent dat bedrijven direct hun advertenties kunnenoptimaliseren met verschillende uitingen en mensen demeest gepersonaliseerde advertenties kunnen tonen.

Aanbiedplatform (AP)

Een AP lijkt op een VP. Hier verkopen uitgevers hunadvertentie-inventaris voor de hoogst mogelijke winst,waardoor website-eigenaars, bijvoorbeeld, hunadvertentieruimte kunnen verkopen om gratis content aanhun gebruikers aan te bieden. Er bestaat een implicieteuitwisseling van waarde hier: de gebruiker ontvangt content,maar bekijkt eerst betaalde advertenties. AP's zijn vaakgekoppeld aan meerdere VP's waar verschillende media-inkopers hun inventaris proberen te verkopen. De uitgeverskunnen vragen om advertenties die aansluiten op huncontent – door first-party gebruikersgegevens te delen – wat,simpel gezegd, de reden is dat u vaak advertenties ziet voorsportmaterialen op sportwebsites.

Artikelen en onderzoeken

Corporate Surveillance in EveryDay Life: How Companies Collect, Combine, Analyze, Trade and Use Personal Data on Billions
door Cracked Labs, juni 2017

Korte samenvatting:: Netwerken van online platforms, advertentietechnologie-aanbieders, gegevenshandelaren en verschillende andere bedrijven kunnen nu verschillende onderdelen van het levenvan individuen controleren, herkennen en analyseren. Informatie over persoonlijke eigenschappen en gedragskenmerken worden live gekoppeld, gecombineerd ente gelde gemaakt tussen bedrijven, databanken, platformen,apparaten en diensten. Gebaseerd op gegevens en geleid door hun zakelijke belangen hebben multinationals een online omgeving opgezet die continu individuen bekijkt, beoordeelt, categoriseert, rangschikt, opneemt en uitsluit. Het continu volgen van gegevens en het aanmaken van profielen, in combinatie met gepersonaliseerde optimalisatieen A/B-testen, worden systematisch gebruikt om een daadwerkelijke impact op het online gedrag van mensen te hebben.

Meer informatie

Update report into adtech and real time bidding
door de Information Commissioner’s Office (UK), 20 juni 2019

Korte samenvatting: Een eenmalig bezoek aan een website is genoeg om een veiling van adverteerders te starten waardoor de persoonsgegevens van een individu tussen honderden verschillende bedrijven kunnen worden gedeeld. Aangezien deze biedingen normaliter niet via een enkele entiteit worden verstuurd, is er een kans dat elk van deze verzoekendoor iedereen kan worden bekeken en verzameld via algemeen beschikbare protocollen, ongeacht of ze op de lijstvan goedgekeurde dienstverleners staan. Of deze potentiële partijen persoonsgegevens verwerken in overeenstemming met de vereisten van de AVG wordt niet gecontroleerd. Hoewel maar één partij de veiling om de advertentie te tonen zal ‘winnen’, kunnen verschillende partijen informatie over een gebruiker ontvangen. Hoe deze persoonsgegevens worden verwerkt door de andere partijen wordt niet beheerdof beperkt – is de overdracht hiervan wel veilig? Worden de gegevens opgeslagen? Enzovoorts.

Meer informatie

Out of Control: How consumers are exploited by the online advertising industry
door Forbrukerradet (Noorse Consumentenorganisatie), 14 januari 2020

Korte samenvatting:Ons onderzoek beoordeelde 10 apps die gebruikersgegevensversturen naar ten minste 135 verschillende externe entiteiten die werkzaam zijn in het creëren van gedragsprofielen en/of gedrag-gebaseerde advertenties. HetAndroid Advertising ID, waarmee klanten kunnen worden gevolgd op verschillende diensten, werd naar ten minste 70 verschillende derden overgedragen. Deze identifier werd vaak overgedragen in combinatie met andere persoonsgegevens, zoals de locatie en het unieke IP-adres van de computer. Het uitgebreid verzamelen, combineren engebruiken van persoonsgegevens zorgt ervoor dat individuen op verschillende apps en apparaten kunnen worden gevolgd zonder hun medeweten. Hiermee kunnen adverteerders zeer uitgebreide profielen van individuen opstellen, waaronder hun leeftijd, geslacht en locatie. Deze informatie kan worden gebruik voor gerichte advertenties enom andere eigenschappen zoals seksuele voorkeur en religiete achterhalen.

Meer informatie

Report on the use of cookies and other tracking technologies
door de Irish Data Protection Commission, 6 april 2020

Korte samenvatting:Veel verwerkingsverantwoordelijken plaatsen een breed scala aan externe cookies zodra een gebruiker hun website bezoekt zonder toestemming van of kennisgeving aan de gebruiker. Dit geldt ook voor sociale media-platforms, betalingsdiensten en adverteerders, die allemaal het controleren van surfgedrag en het online (en mogelijk zelfs offline) gedrag van individuen mogelijk maken gedurende verschillende sessies en op verschillende apparaten. Een totaal van 15 van de 38 verwerkingsverantwoordelijken reageerden dat ze zich ervan bewust waren dat ze mogelijk niet voldeden aan de regelgeving, of dat ze verbeteringen hadden vastgesteld die ze willen invoeren om beter te voldoen aan de regelgeving.

Meer informatie