“Een van de grootste onrechtmatige gegevensverwerkingen in de geschiedenis van het internet.” Zo vat Stichting The Privacy Collective de zaak samen die zij heeft gestart tegen de Amerikaanse bedrijven Oracle en Salesforce. Het is een zogeheten collectieve vordering of massaclaim, in de Verenigde Staten bekend als “class action”: een rechtszaak waarbij namens een grote groep mensen een schadevergoeding wordt geëist. Volgens de advocaat van The Privacy Collective is dit de eerste massaclaim wegens schending van privacyrechten.

The Privacy Collective, een Nederlandse stichting, is opgericht om een einde te maken aan de schending van privacyrechten van haar achterban. De eerste actie van de stichting richt zich tegen Oracle en Salesforce. Volgens The Privacy Collective verzamelen deze bedrijven namelijk op ongekend grote schaal persoonsgegevens van internetgebruikers. Daarbij gaan Oracle en Salesforce als volgt te werk:

• Door middel van een speciale cookie wordt de internetgebruiker gevolgd op meerdere apparaten, waardoor onder meer het online klikgedrag van de internetgebruiker in kaart gebracht. Daarnaast haalt de cookie informatie uit onlinebronnen die de internetgebruiker bezoekt.
• De verzamelde gegevens worden gecombineerd tot een individueel profiel van de internetgebruiker, dat vervolgens dagelijks wordt geupdate.
• Deze profielen, die volgens The Privacy Collective een nauwkeurig beeld schetsen van de interesses en karaktereigenschappen van de internetgebruiker, worden vervolgens aan de hoogste bieder verkocht. Die kan deze profielen gebruiken om gepersonaliseerde advertenties aan de internetgebruiker te tonen.

Het verzamelen, samenvoegen en verkopen gebeurt automatisch en zonder dat de internetgebruiker hiervan af weet.

The Privacy Collective stelt dat deze verwerkingen in strijd is met de Algemene verordening gegevensbescherming (“AVG”), omdat Oracle en Salesforce voor deze verwerkingen de toestemming van de internetgebruikers nodig hebben (voor meer informatie onder toestemming onder de AVG verwijzen we naar een eerder nieuwsbericht op onze website). Volgens The Privacy Collective hebben Oracle en Salesforce die toestemming niet of niet op de juiste manier verkregen. Deze schending van het privacyrecht raakt bijna alle Nederlandse internetgebruikers en vindt bovendien dagelijks plaats: namelijk elke keer als van het internet gebruik wordt gemaakt.

In deze zaak treedt the Privacy Collective daarom op namens alle Nederlandse internetgebruikers. Het gaat om ongeveer 10 miljoen individuen die volgens de stichting zijn gedupeerd door Oracle en Salesforce. Namens hen vordert the Privacy Collective een schadevergoeding van € 10 miljard wegens schending van de AVG en de Telecommunicatiewet. Dat komt neer op € 500 voor elk door Oracle gedupeerd persoon en € 500 voor elk door Salesforce gedupeerd persoon.

Ovidius volgt deze procedure op de voet en informeert u over de uitkomst. Zelf inlezen? De volledige dagvaarding is hier in te zien.