De GDPR is pas enkele uren in werking, maar de eerste miljardenklacht is al een feit. Max Schrems, de Oostenrijkse advocaat en privacyvoorvechter die het eerder al eens tegen Facebook opnam, klaagt het sociale netwerk nu opnieuw aan op basis van de nieuwe Europese privacywetgeving. Ook Google komt deze keer in het vizier van de Oostenrijker.
Schrems heeft met zijn non-profit NOYB (kort voor none of your business) een klacht ingediend tegen Google, Facebook, Instagram en WhatsApp, omdat ze volgens de privacyactivist “gedwongen toestemming” hebben opgelegd aan hun gebruikers. Dat is in strijd met de GDPR, die vereist dat toestemming vrijelijk wordt gegeven. Als de toestemming om persoonsgegevens te verwerken wordt gebundeld als een niet-onderhandelbaar onderdeel van de algemene voorwaarden, kan dat volgens de Artikel 29-werkgroep nooit vrije toestemming zijn. De Artikel 29-werkgroep is het orgaan van de Europese Unie dat advies geeft bij de interpretatie van de GDPR.
Noord-Koreaans verkiezingsproces
“De GDPR staat expliciet alle gegevensverwerking toe die strikt noodzakelijk is voor een goede werking van de dienst, maar aanvullend gebruik van de gegevens voor advertenties of om deze te verkopen, vereist de vrije opt-in toestemming van de gebruiker”, argumenteert Schrems. “Facebook heeft zelfs accounts geblokkeerd van gebruikers die geen toestemming hebben gegeven. Uiteindelijk hadden gebruikers alleen de keuze om het account te verwijderen of op de ‘Akkoord’-knop te drukken. Dat is geen vrije keuze, het doet meer denken aan een Noord-Koreaans verkiezinsproces.”
NOYB heeft de klachten bij vier verschillende databeschermingsautoriteiten neergelegd, zodat Europese coördinatie mogelijk is. De Belgische Data Protection Authority mocht de klacht tegen Instagram in ontvangst nemen. Verder werden ook de bevoegde autoriteiten in Frankrijk, Duitsland en Oostenrijk aangesproken. Wellicht zal ook Ierland betrokken worden aangezien de Europese hoofdzetel van Facebook, Instagram en WhatsApp zich hier bevindt.
GDPR-test
Deze eerste klachten zijn meteen ook een goede test hoe daadkrachtig de databeschermingsautoriteiten kunnen optreden onder de GDPR, en hoe torenhoog de boetes daadwerkelijk zullen oplopen. Onder de GDPR kunnen boetes tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet worden opgelegd, afhankelijk welk bedrag hoger is. Dat zou voor Google neerkomen op een boete van 3,7 miljard euro. Voor Facebook, Instagram en WhatsApp is dat elk 1,3 miljard euro. Al twijfelt Schrems dat het al meteen zo’n vaart zal lopen: “We zullen wellicht niet meteen dwangsommen hebben die in de miljarden oplopen, maar de bedrijven hebben de GDPR opzettelijk geschonden, dus verwachten we wel een overeenkomstige boete.”
Als NOYB zijn slag thuishaalt, heeft dat volgens Schrems ook een praktisch effect: “Als bedrijven zich realiseren dat vervelende pop-ups meestal niet leiden tot geldige toestemming, moeten we binnenkort ook vrij zijn van deze digitale plaag. GDPR is erg pragmatisch op dit punt: wat echt noodzakelijk is voor een app, is legaal zonder toestemming. Al de rest heeft een vrijwillige ‘ja’ of ‘nee’ nodig.”