GDPR: nieuwe gebruiksvoorwaarden Facebook en Google ‘illegaal’
Foto: AFP

Google en Facebook ‘dwingen’ hun gebruikers om in te stemmen met nieuwe gebruiksvoorwaarden. Volgens privacy-waakhond Noyb.eu is dat strijdig met de GDPR-wetgeving, die vandaag van kracht wordt.

De GDPR vereist onze ‘geïnformeerde toestemming’ alvorens onze gegevens kunnen worden vergaard en gebruikt. Maar is er wel sprake van ‘toestemming’ als je gedwongen bent om ‘ja’ te klikken? Dat was altijd al een van de grootste pijnpunten van de uiterst complexe nieuwe privacy-wetgeving.

De bekende Oostenrijkse privacy-activist Max Schrems richtte onlangs een nieuwe non-profit organisatie op, Noyb.eu, naar eigen zeggen om de toepassing van de nieuwe wet te bewaken, en hij laat er duidelijk geen gras over groeien: op dag één dient hij al klacht in tegen Google en Facebook, en tegen twee onderdelen van Facebook, namelijk Instagram en Whatsapp. Vier verschillende klachten zijn ingediend bij de Franse, Belgische, Hamburgse en Oostenrijkse privacy-autoriteiten. De klacht tegen Instagram landt bij de nieuwe (want pas vandaag officieel opgerichte) Belgische Gegevensbeschermingsautoriteit, die tot gisteren de Privacycommissie heette.

De argumentering van Schrems is onder meer dat toestemming niet ‘gedwongen’ mag zijn en dat toestemming voor verschillende zaken niet mag worden ‘gebundeld’. Noyb.eu verwijst daarvoor naar de tekst van de GDPR zelf en naar een toelichting daarbij van de Europese gegevensbeschermingsautoriteiten, die in november vorig jaar verscheen.

 

‘Dit gaat recht naar de essentie van de GDPR’, zegt Patrick Van Eecke, professor internetrecht aan de Universiteit Antwerpen. De GDPR stelt namelijk dat bedrijven alleen gegevens mogen bewaren die nodig zijn voor het leveren van hun dienst. Maar wat is de ‘dienst’ die, bijvoorbeeld, Google Maps levert? Is dat om je te helpen op je bestemming te geraken? Of is het vertonen van gerichte reclame er ook deel van? ‘Wat Facebook en Google zeggen, is dat ze hun gratis dienst niet kunnen leveren zonder gepersonaliseerde advertenties’, zegt Van Eecke. ‘Maar Max Schrems, en veel anderen, zeggen dat deze interpretatie niet kan.’

De auteurs van de GDPR hebben dit in het midden gelaten, en het zal dus eerst aan de gegevensbeschermingsautoriteiten en de rechtbanken zijn om uit te maken wie de juiste interpretatie heeft: Facebook en Google, of Max Schrems.

In theorie kunnen de aangeklaagde bedrijven veroordeeld worden tot een boete van 4% van hun wereldwijde omzet. ‘Waarschijnlijk komen er niet meteen miljardenboetes’, schrijft Schrems in een persmededeling. ‘Maar deze bedrijven hebben moedwillig de GDPR overtreden, dus wij verwachten een overeenkomstige straf.’ In het verleden haalde Schrems al verschillende keren gelijk tegen Facebook op basis van de vorige privacywet. Maar hij heeft ook al processen verloren. Eén van zijn wapenfeiten is dat hij het Europese systeem van de ‘safe harbor’, die Amerikaanse bedrijven toeliet om gegevens van Europese burgers te exporteren, onderuit haalde.