De Meta/mega boete – 5 lessen voor het MKB

De Meta/mega boete – 5 lessen voor het MKB

De Ierse toezichthouder (DPC) heeft een megaboete uitgedeeld aan Meta van EUR 390 miljoen. Meta is het moederbedrijf van onder andere Facebook, Instagram en Whatsapp. Waarschijnlijk heb je hiervan wel iets voorbij zien komen in het nieuws of op LinkedIn. Want “dit is echt een mijlpaal voor de handhaving van de AVG!”. Maar waarom eigenlijk? Wat kan het jou als MKB-onderneming nu eigenlijk schelen wat er met Facebook gebeurt? Dat is toch de andere kant van de wereld? Klopt. Maar toch zijn er belangrijke lessen te trekken uit deze casus. Maar om dat te begrijpen, is het belangrijk te snappen waarvoor Meta is bestraft.

Gepersonaliseerde advertenties

Het draait allemaal om gepersonaliseerde advertenties. En meer specifiek: wanneer Meta die mag tonen. Want om je gepersonaliseerde advertenties te tonen, moet Meta persoonsgegevens van die persoon verwerken. Hoe kunnen ze namelijk anders de advertenties op jou afstemmen. Op zich mag dat van de AVG, als je hier maar een zogenaamde “juridische grondslag” voor hebt. En daar gaat het mis.

Tenminste dat vonden enkele privacy-activisten. Want de Ierse toezichthouder had helemaal niet zo’n zin in een onderzoek naar Meta. Maar omdat het iedereen vrij staat een klacht in te dienen, werden ze min of meer ‘gedwongen’ om toch te gaan kijken naar het verdienmodel van Meta.

Grondslagen

De AVG geeft 6 mogelijke juridische grondslagen. De 2 waar het hier om gaat zijn “toestemming” en “noodzakelijk voor het uitvoeren van een overeenkomst”. Bij “toestemming” hebben de meeste mensen wel een beeld. “Noodzakelijk voor het uitvoeren van een overeenkomst” gebruik je als grondslag op het moment je persoonsgegevens moet verwerken om een overeenkomst met de ander na te komen. Simpel voorbeeld is een webshop die jou een besteld artikel wil toesturen. De webshop heeft dan jouw adres nodig om dit te doen. Dus ze verwerken dat persoonsgegeven met de grondslag “noodzakelijk voor het uitvoeren van een overeenkomst”.

Noodzakelijk

Meta gebruikte ook de grondslag “noodzakelijk voor het uitvoeren van een overeenkomst” om de gepersonaliseerde advertenties te versturen. Wilde je gebruik maken van Facebook, Instagram, etc. dan moest je akkoord gaan met hun gebruikersvoorwaarden. En in die voorwaarden stond dat Meta je ook gepersonaliseerde advertenties mocht sturen. Eind goed al goed, toch? Want het staat in de overeenkomst, dus ja: Meta moet je wel die advertenties sturen om de overeenkomst na te leven!

Fout. Want het woordje “noodzakelijk” is hierin cruciaal. Noodzakelijk slaat namelijk niet alleen op de tekst van de overeenkomst, maar ook op de kern van de overeenkomst. Oftewel: wat is nu eigenlijk de onderlinge dienst of verplichting die wordt afgesproken? In het geval van Facebook en Instagram is het niet zo dat jij gebruiker wordt om gepersonaliseerde advertenties te zien. Nee, je wil graag in contact staan met jouw vrienden. Dus als Facebook of Instagram wil bijhouden wie jouw vrienden zijn, zodat jullie contact met elkaar kunnen hebben, dan doet Facebook dit omdat het noodzakelijk is voor de overeenkomst. De gepersonaliseerde advertenties worden er door Facebook “bij de haren bijgesleept”. Maar zouden deze advertenties er niet zijn, dan kun jij nog prima Facebook gebruiken.

Dus, was de conclusie van de toezichthouders: Meta schendt de AVG.

Gevolgen

De zakken van Meta zijn behoorlijk diep. Dus die EUR 390 miljoen gaat ze echt niet failliet maken. Maar er is een veel ergere straf die de toezichthouders kunnen uitdelen: Meta moet namelijk haar dienstverlening aanpassen. Ze moeten toestemming gaan vragen voor de gepersonaliseerde advertenties. En dat gaat wel enorm veel pijn doen bij Meta. Want toestemming kent veel vereisten. Waarschijnlijk kan Meta dan nog maar aan een fractie van de gebruikers gepersonaliseerde advertenties tonen. Terwijl hun hele verdienmodel daar op is gebouwd! Oftewel: Meta moet zichzelf opnieuw gaan uitvinden.

Lessen voor het MKB

Het klopt dat de kans dat jij als MKB-onderneming te maken krijgt met de Nederlandse toezichthouder klein is op dit moment. De meeste aandacht gaat uit naar de grote bedrijven en overheid. Toch?

1. Denk goed na over je juridische grondslagen en leg ze vast.
Waarom mag je volgens jou bepaalde persoonsgegevens verwerken? En heb je dat vastgelegd in een verwerkingsregister?

2. Iedereen kan een klacht tegen jouw organisatie indienen.
De toezichthouder hoeft jou niet zelf in het vizier te krijgen. Iedereen kan een klacht tegen je indienen. Het eerste wat een toezichthouder doet is jouw verwerkingsregister opvragen. Zorg dat je hierop bent voorbereid!

3. De boete is niet je grootste risico.
Reputatieschade en een verbod op het verder verwerken van persoonsgegevens zijn een grotere bedreiging. Wat zou het voor jouw organisatie betekenen als je bepaalde kernactiviteiten ineens niet meer (op deze manier) mag uitvoeren?

4. De Nederlandse toezichthouder loopt achter bij veel Europese collega’s.
Nederland kent 20 bekende AVG-boetes en doet het Europees gezien vrij slecht qua toezicht. Een vergelijkbaar land als België zit op het dubbele aantal boetes. Maar bijvoorbeeld Spanje en Italië zijn veel actiever en kennen honderden boetes. Spanje deelde alleen in december 2022 al 16 boetes uit. Vergelijk dat eens met de 20 boetes van Nederland sinds mei 2018. Het verschil? In Spanje en Italië richten de toezichthouders zich veel meer op het MKB en korte, duidelijke handhaving. Het is onze overtuiging dat Nederland ook die kant uit gaat. Als je dan nog iets moet gaan doen, ben je te laat.

5.  De AVG kun je niet blijven negeren.
Last but certainly not least. Struisvogelpolitiek werkt niet. Vroeg of laat word je ingehaald door de tijd. En dan zou je willen dat je eerder in de actie was geschoten. Wacht niet tot iemand anders (toezichthouder, boze klant, gefrustreerde ex-medewerker) voor jou bepaalt dat je iets aan AVG moet gaan doen. Want misschien moet je dan halsoverkop cruciale bedrijfsprocessen overboord gooien. Kunnen jullie dat opvangen?

Wat nu?

AVG is niet eng of moeilijk. Het is alleen onbekend. Maar niet voor ons. Wij zorgen dat jij de regie pakt op de AVG. Daar kun je op vertrouwen. Hoe? Dat leggen we graag persoonlijk uit.

Gerelateerde artikelen
Waarom privacy en de AVG
Waarom privacy en de AVG
Top 5 redenen om te voldoen aan de AVG
Top 5 redenen om te voldoen aan de AVG
Rapport Autoriteit Persoonsgegevens: onderwijs
Rapport Autoriteit Persoonsgegevens: onderwijs
Toestemming – Het ei van Columbus?
Toestemming – Het ei van Columbus?
Vraagje over veiligheid?
Pssst!