De European Data Protection Board (EDPB) komt binnenkort met wat waarschijnlijk zijn belangrijkste advies tot nu toe wordt: het zal bepalen of Europeanen nog steeds een realistische optie hebben om hun recht op privacy online te beschermen. In november 2023 heeft Meta een "Pay or Okay"-aanpak aangenomen. Sindsdien worden gebruikers gedwongen om ofwel een 'privacyvergoeding' van € 251,88 per jaar te betalen of ermee in te stemmen dat ze worden gevolgd. De Nederlandse, Noorse en Hamburgse gegevensbeschermingsautoriteiten (DPA's) hebben daarom om een bindend EDPB-advies over deze kwestie gevraagd. Als 'Pay or Okay' wordt gelegitimeerd, zouden bedrijven in alle sectoren het voorbeeld van Meta kunnen volgen - wat het einde zou kunnen betekenen van echte toestemming voor het gebruik van Europese gegevens. noyb heeft nu de krachten gebundeld met 27 andere NGO's (waaronder Wikimedia Europe, Bits of Freedom en de Noorse Consumentenraad) om er bij de EDPB op aan te dringen een advies uit te brengen dat het fundamentele recht op gegevensbescherming beschermt.
- Gezamenlijke brief aan het Europees Comité voor gegevensbescherming
- DPA's verzoek om een EDPB-advies over "toestemming of betalen"
Meta zegt "betalen voor je rechten". Nadat het Europees Hof van Justitie (HvJEU) afgelopen juli Meta's omgang met gebruikersgegevens illegaal verklaarde, sprong Meta naar de op één na beste optie om de GDPR te omzeilen en implementeerde een zogenaamd "Pay or Okay"-systeem. Sinds november 2023 worden Instagram- en Facebook-gebruikers gedwongen om ofwel een bedrag tot € 251,88 per jaar te betalen of ermee in te stemmen dat ze worden gevolgd voor gerichte reclame. Met andere woorden: In plaats van eindelijk ja/nee toestemming te vragen, vraagt Meta een vergoeding van € 251,88 voor het klikken op de knop "weigeren". In werkelijkheid hebben de meeste mensen gewoon geen andere keuze dan akkoord te gaan met het gebruik van hun gegevens wanneer ze geconfronteerd worden met een vergoeding. Het effect wordt duidelijk geïllustreerd door wetenschappelijke studies: De CEO van de "Pay or Okay"-provider contentpass verklaarde bijvoorbeeld dat 99,9% van de bezoekers akkoord gaat met tracking wanneer ze worden geconfronteerd met een vergoeding van € 1,99. Tegelijkertijd blijkt uit objectieve onderzoeken dat slechts 3-10% van de gebruikers wil dat hun persoonlijke gegevens worden gebruikt voor gerichte reclame.
Max Schrems: "Volgens de EU-wetgeving moeten gebruikers een 'vrije en eerlijke keuze' hebben wanneer ze toestemming geven om gevolgd te worden voor gepersonaliseerde advertenties. In werkelijkheid worden ze gedwongen om een vergoeding te betalen om hun fundamentele recht op privacy te beschermen."
Vooraf aangevinkte vakjes zijn illegaal, maar een vergoeding om te 'weigeren' is oké? De Nederlandse, Noorse en Hamburgse gegevensbeschermingsautoriteiten (DPA's) hebben nu een EDPB-advies gevraagd over deze aanpak, die de toekomst van vrije toestemming online zal bepalen. De mogelijke gevolgen van deze opinie gaan veel verder dan het verzamelen van gebruikersgegevens door Meta: Als 'Pay or Okay' wordt gelegitimeerd, zal de aanpak zich als een lopend vuurtje verspreiden. Dit is te zien in Duitsland, waar 30% van de top 100 websites "Pay or Okay" al gebruikt om het toestemmingspercentage op te drijven. Hoewel het HvJEU en de autoriteiten tot nu toe duidelijk zijn geweest dat bijvoorbeeld "vooraf aangevinkte vakjes" of afwijzingsknoppen op de tweede laag van een banner illegaal zijn, lijkt het erop dat het simpelweg vragen om geld niet als een duidelijk probleem wordt gezien. Als de gegevensbeschermingsautoriteiten hier geen duidelijk standpunt tegen innemen, kunnen Europeanen snel de 'echte of vrije keuze' verliezen om de verwerking van hun persoonlijke gegevens te accepteren of af te wijzen, wat een hoeksteen van de GDPR was en herhaaldelijk is bevestigd door het HvJEU.
Max Schrems: "Het is duidelijk dat de laissez-faire benadering van 'Pay or Okay' in sommige lidstaten een mislukking is. Duitsland werd bijvoorbeeld overspoeld met 'Pay or Okay'-systemen in slechts negen maanden nadat de autoriteiten het hadden toegestaan. De autoriteiten hebben nu de kans om hun nationale aanpak terug te draaien wanneer hierover gestemd wordt in Brussel."
Mislukte poging om de nieuwsmedia te steunen. De eerste 'Pay or Okay'-systemen werden geïntroduceerd door nieuwsorganisaties die het moeilijk hadden en steeds meer advertentie-inkomsten misliepen. Het lijkt er daarom op dat de gegevensbeschermingsautoriteiten groen licht hebben gegeven voor dergelijke systemen in de hoop de nieuwsindustrie te steunen. In werkelijkheid krijgen uitgevers echter alleen de overgebleven broodkruimels van advertentie-inkomsten als mensen tracking accepteren. Bovendien kiest 99,9% van de mensen voor de optie "Oké", wat leidt tot een minimale verkoop van betaalde abonnementen. De echte winst van gepersonaliseerde advertenties blijft bij grote bedrijven als Meta en Google.
Max Schrems: "De hoop was dat 'Pay or Okay' nieuwsmedia zou redden die hun advertentie-inkomsten verloren aan 'big tech'. Dit werkte niet, omdat 99,9% weigert te betalen om hun eigen gegevens terug te krijgen. De ironie is dat 'big tech' de maas in de wet nu voor zichzelf gebruikt."
Grondrechten als luxe goed? Als een aanzienlijk aantal bedrijven en websites zou overstappen op 'Pay or Okay', zouden de kosten snel uit de hand lopen. De gemiddelde Europeaan heeft 35 apps geïnstalleerd op zijn smartphone. Als al deze apps het voorbeeld van Meta zouden volgen en een bedrag zouden vragen dat vergelijkbaar is met € 251,88 per jaar, dan zou de prijs het budget van de meeste mensen te boven gaan. Om precies te zijn, een gezin van vier personen met slechts 35 apps per telefoon zou uitkomen op een rekening van € 35.263,20 per jaar. Dit zou het recht op gegevensbescherming grotendeels onbereikbaar maken, en niet alleen voor de 22,6% van de Europese bevolking die momenteel het risico loopt op armoede of sociale uitsluiting.
Max Schrems: "Gebruikers hebben elke maand te maken met honderden websites, apps en bedrijven. Ze zouden allemaal simpelweg een 'privacy fee' in rekening kunnen brengen als je er niet mee akkoord gaat dat je gegevens worden verzameld, gedeeld of verkocht. Als je de rekensom maakt, kan dit oplopen tot duizenden euro's per jaar."
28 NGO's roepen EDPB op om vrije toestemming online te beschermen. De ondergetekende 28 NGO's en consumentenrechtenorganisaties (waaronder Wikimedia Europe, Bits of Freedom en de Noorse Consumentenraad) dringen er daarom bij de EDPB en alle nationale gegevensbeschermingsautoriteiten op aan om zich krachtig te verzetten tegen 'Pay or Okay' om te voorkomen dat er een belangrijke maas in de GDPR wordt gecreëerd. Het advies van de EDPB zal de toekomst van gegevensbescherming en het internet voor de komende jaren bepalen. Het is van het grootste belang dat het advies betrokkenen echt een 'echte en vrije keuze' garandeert over de verwerking van hun persoonlijke gegevens.
Max Schrems: "28 maatschappelijke organisaties roepen de autoriteiten nu op om ervoor te zorgen dat grondrechten geen handelswaar of luxegoed worden. Dit is waarschijnlijk de belangrijkste beslissing over EU-privacyrechten in tien jaar."