Oracle en Salesforce aangeklaagd in massaclaim voor privacyschending

Abonneer je gratis op Techzine!

De Nederlandse stichting The Privacy Collective begint twee grote rechtszaken tegen Oracle en Salesforce. De rechtszaken zijn ingediend in Amsterdam en Londen. Volgens de stichting maken de bedrijven zich schuldig aan grove privacyschending. Daarom wordt ingezet op een massaclaim die kan oplopen tot 10 miljard euro.

Volgens de Stichting is de privacy van miljoenen Nederlanders en Britten in het geding en overtreden Oracle en Salesforce de lokale GDPR-wetgeving, in Nederland de AVG.

Volgens de advocaat van de Stichting, Christiaan Alberdingk Thim, zou het gaan om een van de grootste gevallen van onrechtmatige verwerking van persoonsgegevens in de geschiedenis van het internet. Een redelijk grove beschuldiging die hij in de rechtbank denkt waar te kunnen maken.

Waar gaat het precies om?

Zowel Oracle als Salesforce hebben CRM- en marketingproducten in hun portfolio, waarbij gegevens worden verzameld en websitebezoekers kunnen worden gevolgd. Op die manier kan bijvoorbeeld een klant of bezoeker van een webwinkel worden gevolgd. Bij een klant kunnen via de e-mail bijvoorbeeld persoonlijke aanbiedingen worden gedaan op basis van interesses. Bij een bezoeker (geen klant), kunnen gepersonaliseerde advertenties worden getoond.

Dit zijn aan de ene kant gescheiden en en andere kant gecombineerde werelden. Er is uiteraard een overlap tussen bezoekers en klanten. The Privacy Collective stelt dat Oracle en Salesforce van elke bezoeker een persoonlijk profiel opbouwen en die delen met derden, zonder dat hiervoor expliciet toestemming is gegeven, wat volgens de GDPR-richtlijn noodzakelijk is.

De rechter mag zich nu buigen over deze zaak en gaat vertellen of de aantijging van de stichting klopt, of dat het technisch toch anders in elkaar zit.

Een stukje technische duiding

De ervaring die we bij Techzine hebben, is dat het vaak gaat om verschillende datasets, bijvoorbeeld één dataset met klantgegevens en één dataset met geanonimiseerde bezoekersgegevens. Voor die eerste wordt toestemming verleend bij de eerste online bestelling, het “ik ga akkoord met de algemene voorwaarden”. Voor die tweede dataset wordt over het algemeen akkoord gegeven middels een cookiemelding op de website, waarbij men akkoord gaat met de privacyverklaring en allerlei individuele trackers en cookies.

Die laatste dataset is als het goed is geanonimiseerd en wordt bijvoorbeeld gedeeld met advertentieveilingen, waarmee gepersonaliseerde advertenties kunnen worden getoond.

Volgens The Privacy Collective is het hele Real Time Bidding proces wat op advertentieveilingen plaatsvindt al niet conform de GDPR-regelgeving. Daarnaast zouden Oracle en Salesforce veel bredere dataprofielen opbouwen die niet gescheiden zijn. Wat opmerkelijk is, is dat de Stichting geen RTB-marktplaats heeft aangeklaagd.

Oracle en Salesforce hebben inmiddel beide gereageerd richting Techzine.

Reactie Oracle

“The Privacy Collective heeft opzettelijk een niet-gefundeerde actie gestart op basis van een onjuiste voorstelling van de feiten. Zoals Oracle eerder aan The Privacy Collective heeft medegedeeld, heeft Oracle geen directe rol in het proces van real-time bidding (RTB), heeft het een minimale data footprint in de EU en heeft het daarnaast een uitgebreid AVG-nalevingsprogramma. Ondanks de complete uitleg van Oracle, heeft The Privacy Collective besloten om hun strijd verder voort te zetten middels een misleidende rechtszaak. Oracle zal zich krachtig verdedigen tegen deze ongegronde claims.”, aldus Dorian Daley, Oracle EVP en General Counsel.

Reactie Salesforce

“Bij Salesforce is vertrouwen onze topprioriteit. Niets is belangrijker dan de privacy en veiligheid van de data van onze zakelijke klanten. Bij het bouwen en ontwerpen van onze diensten staat privacy centraal, zodat we onze zakelijke klanten kunnen helpen met het naleven van de op hen toepasselijke privacyregelgeving, waaronder de AVG, om de privacy van hun eigen klanten te waarborgen.

Salesforce heeft, samen met een andere Data Management Platform dienstverlener, een privacy-gerelateerde klacht ontvangen van een Nederlandse groep genaamd The Privacy Collective. De klacht is uitsluitend gericht op de Salesforce Audience Studio dienst en niet op andere Salesforce diensten.

Salesforce is het niet eens met de aantijgingen en is van plan aan te tonen dat ze ongegrond zijn.”, aldus Michiel van Vlimmeren, SVP & General Manager van Salesforce Nederland.