Datagedreven businessmodellen staan op gespannen voet met de AVG en privacy, maar er gloort hoop aan de horizon.
Data zijn het nieuwe goud. En betalen met je data is big business. Recent las ik dat een autofabrikant bestuurders met cryptomunten wil belonen voor het delen van data. Fascinerende ontwikkelingen!
Maar datagedreven businessmodellen staan op gespannen voet met privacy. Het probleem: de ‘vrije’ toestemming onder de AVG.
De AVG bevat in artikel 7.4 het zogenaamde bundelingsverbod: ‘Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.’
In de overwegingen bij de AVG (om precies te zijn: overweging 43) wordt een en ander als volgt toegelicht: ‘De toestemming wordt geacht niet vrijelijk te zijn verleend indien (…) het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering.’
Ik noem dit ook wel de ‘vrije weigering’. Het is bepaald niet duidelijk of ‘geen toestemming’ betekent:
• geen datadelen, maar wel de dienst mogen gebruiken, of
• simpelweg de dienst niet gebruiken.
U snapt dat de eerste variant veel impact heeft op een ‘datadriven’ business case, zoals die van Facebook. De Oostenrijker Max Schrems heeft hierover direct na de inwerkingtreding van de AVG, in mei vorig jaar, al klachten ingediend bij een aantal Europese privacy-waakhonden. U voelt het ongetwijfeld al aan uw water: Schrems gaat voor de conservatieve uitleg. Bij geen toestemming voor datadelen, moet je de dienst wel gewoon kunnen gebruiken.
Die conservatieve lijn is niet al te lang geleden doorgezet door, nota bene, de Duitse mededingingsrecht-waakhond, in haar beslissing tegen – wederom – Facebook. In de toelichting staat letterlijk het volgende: ‘‘Voluntary’ means that the use of Facebook’s services must not be subject to the users’ consent. If users do not consent, Facebook may no longer combine data (…), or only to a highly restricted extent.’ Ik schreef hierover bij AG Connect destijds: ‘Dat biedt een somber perspectief, vrees ik. Ik vind het persoonlijk ook wel heel ver gaan, deze conservatieve lijn.’
Maar er gloort hoop aan de horizon! Met dank aan de advocaat-generaal (‘AG’) bij het Europees Hof van Justitie. Het betreft een zaak tussen de Duitse consumentenbond en een loterij-organisator, Planet49. De AG heeft onlangs zijn advies aan het Europese Hof afgegeven. Het geschil ziet op de toelaatbaarheid van aangevinkte cookies. Planet49 had bij een online-registratieformulier nog twee tickboxen geplaatst met teksten voor toestemming. In één van die twee teksten, vraagt Planet49 de gebruiker toestemming voor de benadering door sponsoren en partners via e-mail of sms. U voelt ‘m al aankomen: deelname aan de loterij zonder het aanvinken van deze tickbox was níet mogelijk. De vraag die voorligt is: is deze toestemming geldig?
De AG zegt hierover het volgende: ‘Article 7(4) of Regulation 2016/679, therefore, now codifies a ‘prohibition on bundling’. As transpires from the terms ‘utmost account shall be taken of’, the prohibition on bundling is not absolute in nature. (…) In this respect it should be kept in mind that the underlying purpose in the participation in the lottery is the ‘selling’ of personal data (i.e. agreeing to be contacted by so-called ‘sponsors’ for promotional offers). In other words, it is the providing of personal data which constitutes the main obligation of the user in order to participate in the lottery. In such a situation it appears to me that the processing of this personal data is necessary for the participation in the lottery.’
De AG geeft allereerst dus aan dat het niet om een ‘absoluut’ verbod gaat. En ten tweede erkent de AG expliciet dat betalen met privacy onder omstandigheden is toegestaan. Vooral dit laatste is heel goed nieuws, en ik juich deze commercieel-juridische benadering van harte toe. Het laatste woord is nu aan het Europees Hof zelf, dus fingers crossed dat het advies van de AG wordt overgenomen.
Menno Weij is Legal Counsel bij BDO