De TikTok collectieve actie: private handhaving van privacy komt op gang

1. Het collectief actieprobleem en het handhavingstekort

Er is een handhavingsprobleem bij privacyschendingen. Deze problematiek ontstaat doordat dergelijke schendingen veelal veel personen treffen, maar de betrokkenen zelden juridische maatregelen nemen in reactie op het onrechtmatig handelen. De voorbeelden zijn snel te vinden. Denk aan een datalek, waardoor de persoonsgegevens van vele klanten in handen van hackers komen, of aan schijnbaar onschuldige applicaties op je telefoon die systematisch bijzondere persoonsgegevens blijken te verwerken zonder grondslag. Dit soort overtredingen is (helaas) alledaags, maar weinig mensen ondernemen vervolgens daartegen stappen.

Dit noemt men het “collectief actieprobleem”: het gegeven dat het voor getroffen betrokkenen ‘rationeel’ is om geen juridische maatregelen te ondernemen tegen de overtreder omdat dit teveel geld en tijd kost vergeleken met de maximaal te bereiken opbrengst van de procedure. Het voordeel van een goed vonnis en bescherming van de privacy weegt op individueel niveau niet op tegen de kosten van de procedure. Dit terwijl in totaal – bezien vanuit de gehele groep van getroffenen – sprake is van omvangrijke maatschappelijke schade.

Dit handhavingstekort kan niet worden opgelost door de waardevolle werkzaamheden van publieke (privacy)toezichthouders zoals de Autoriteit Persoonsgegevens (“AP”). Ten eerste omdat de AP ook niet de mensen, middelen en tijd heeft om het tekort teniet te doen. Er zijn teveel schendingen. Daar komt ten tweede bij dat privacyschendingen regelmatig worden begaan door partijen met aanzienlijke financiële middelen tot hun beschikking. Veel van de thans bestaande (gestelde) privacyschendingen zijn toe te rekenen aan vennootschappen zoals de onderneming achter TikTok (ByteDance, omzet over 2023 naar verwachting: 110 miljard dollar) of andere van ’s werelds grootste ondernemingen (Meta, Google, enzovoorts). De AP moet er in haar beleid rekening mee houden dat zij niet de middelen heeft om tegelijk strijd te voeren tegen al deze kapitaalkrachtige partijen. Ten derde is het zo dat benadeelde partijen niet voldoende profiteren van publieke handhaving. Meestal is publieke handhaving erop gericht om overtredingen te stoppen. De slachtoffers van de overtreding blijven dan dus zitten met de reeds geleden schade.

2. Private handhaving via de WAMCA

Daarom is het belangrijk dat ook private handhaving mogelijk is. Bij privaatrechtelijke handhaving vordert een civiele partij in een procedure een einde van de privacyovertreding, vaak aangevuld met een schadevergoedingsvordering voor door de overtreding geleden schade.

In Nederland is bovendien een oplossing voor het collectief actieprobleem voorhanden: private handhaving is tevens mogelijk via een collectieve actie op basis van de Wet Afwikkeling Massaschade in Collectieve Actie (“WAMCA”). Sinds 1 januari 2020 kunnen representatieve belangenorganisaties een vordering instellen namens een te vertegenwoordigen groep (of het algemeen belang) en daarbij ook een schadevergoeding vorderen voor de getroffen groepsleden (2). Om een dergelijke collectieve actie in te stellen moet de belangenbehartiger wel aan een reeks (strenge) ontvankelijkheidsvereisten voldoen. Het betreft dan voorwaarden die zien op onder meer de governance en expertise van de belangenbehartiger en de eiser moet ook aantonen dat het een achterban heeft (en dus “voldoende representatief” is).

Nadat een collectieve actie is ingesteld moet de betreffende belangenbehartiger een uittreksel van de collectieve actie inschrijven in het collectief actieregister (artikel 3:305a lid 7 BW en art. 1018c Rv). Dat wordt gedaan zodat andere belangenbehartigers de kans hebben een concurrerende vordering van soortgelijke aard in te dienen binnen de wachtperiode van in beginsel drie maanden (artikel 1018d Rv). Deze andere belangenbehartigers zullen veelal stellen dat zij meer geschikt zijn dan de partij die als eerste de vordering heeft ingesteld, maar het kan ook zijn dat de belangenbehartiger net andere vorderingen wil instellen of de belangen van een andere (of grotere) groep in de soortgelijke situatie wil behartigen.

De rechter dient vervolgens in de eerste fase van de procedure vast te stellen of sprake is van een ontvankelijke vordering. Uit de ontvankelijke representatieve belangenbehartigers dient de rechter een “exclusieve belangenbehartiger” aan te wijzen (artikel 1018e Rv). De personen die in de door de rechter vastgestelde nauw omschreven groep zitten worden daarop vertegenwoordigd door de exclusieve belangenbehartiger, tenzij je als persoon in de groep gebruik maakt van de mogelijkheid om uit de groep te stappen door middel van een “opt-out” verklaring. Personen die geen opt-out verklaring afleggen, die worden door de einduitspraak in principe gebonden(3).

In de tweede fase van de procedure is vervolgens het inhoudelijk debat van de zaak. In privacygerelateerde WAMCA’s zal het debat dan dus gaan over onder meer de vraag of er een privacyschending is en welke gevolgen daaraan moeten worden verbonden. In de WAMCA’s over privacyschendingen tot dusver wordt altijd ook een schadevergoeding gevorderd.

3. De TikTok zaak

In de TikTok zaak zijn representatieve belangenorganisaties voor het eerst erin geslaagd om voorbij de ontvankelijkheidsfase te komen (4). Een andere, eerder ingediende omvangrijke privacyzaak tegen Salesforce en Oracle liep vooralsnog schipbreuk in deze fase. De rechtbank oordeelde dat de belangenbehartiger niet voldoende representatief was (5).

De TikTok WAMCA is een steun in de rug voor private handhaving van privacyrechten, omdat in deze zaak verschillende belangrijke oordelen zijn geveld door de rechter die ook relevant zijn voor andere collectieve schadevergoedingsacties over privacy. Ik benoem een aantal van de geleerde lessen.

Internationale bevoegdheid rechter. Ten eerste volgt uit de TikTok WAMCA dat de Nederlandse rechter internationaal bevoegd kan zijn om over een zaak te oordelen, ook als de verwerkingsverantwoordelijke niet in Nederland is gevestigd. TikTok heeft uitgebreid verweer gevoerd dat de Nederlandse rechter geen rechtsmacht heeft omdat haar bedrijven niet in Nederland zijn gevestigd. Maar dit verweer is (terecht) om verschillende redenen door de rechtbank van de hand gewezen. In de kern geldt dat een belangenbehartiger op basis van artikel 79 lid 2 AVG bevoegd is omdat de Nederlandse betrokkenen (wiens persoonsgegevens worden verwerkt) gewoonlijk in Nederland verblijven (6). Een soortgelijke analyse en conclusie is te verwachten in veel andere privacyzaken.

Een routekaart voor anderen. Ten tweede: via de TikTok WAMCA heeft de rechtbank Amsterdam een routekaart gegeven die andere representatieve belangenorganisaties kunnen volgen om ontvankelijk te zijn in een soortgelijke privacygerelateerde WAMCA zaak (7). Uit die routekaart blijkt dat de rechtbank streng, maar eerlijk toetst of de belangenbehartiger onafhankelijk is, expertise heeft, haar governance op orde heeft en of er een voldoende grote groep zich heeft aangesloten om de belangenbehartiger voldoende representatief te maken. De routekaart is veel waard, want het biedt rechtszekerheid aan procespartijen (8).

Bundeling van materiële schadevergoedingsvorderingen is mogelijk. Ten derde heeft de rechtbank geoordeeld dat materiële schadevergoedingsvorderingen in een privacy-WAMCA procedure vooralsnog kunnen worden gebundeld (9). Dat wil dus zeggen dat in de inhoudelijke fase van de TikTok WAMCA de exclusieve belangenbehartigers zullen kunnen bepleiten dat een schadevergoeding moet worden betaald aan de TikTok gebruikers. Opvallend is overigens dat de rechtbank tegelijk oordeelde dat de vordering voor immateriële schade niet kon worden gebundeld (10). De rechtbank stelde daarover dat een eventuele vordering tot immateriële schadevergoeding teveel afhangt van de individuele situatie van de gebruiker en dat er ook gebruikers zullen zijn zonder schade. Ik voorspel dat hier nog niet het laatste woord over is gezegd en het lijkt mij dat het van de omstandigheden van het geval afhangt of bundeling van een immateriële schadevergoedingsvorderingen mogelijk is.

De exclusieve belangenbehartiger. Ten vierde en ten slotte is nuttig dat de rechtbank Amsterdam meer duidelijkheid heeft geboden over de manier waarop een exclusieve belangenbehartiger wordt geselecteerd. De rechtbank maakt allereerst (terecht) duidelijk dat de expliciet door de wet genoemde omstandigheden niet limitatief zijn (11). De wettelijke normen zijn immers slechts handvaten en het gaat erom dat de meest geschikte partij wordt geselecteerd. Ten tweede blijkt dat de rechter in elk geval kijkt naar: (i) de bij de stichting aanwezige kennis en ervaring, (ii) de omvang van de (Nederlandse) achterban en (iii) of er samenwerkingsverbanden zijn met relevante maatschappelijke organisaties.

In de TikTok WAMCA zijn uiteindelijk drie belangenbehartigers ontvankelijk: Take Back Your Privacy (“TBYP”), Stichting Massaschade en Consument (“SMC”) en SOMI. TBYP is de exclusieve belangenbehartiger geworden voor Nederlandse kinderen, SMC voor volwassen gebruikers van de TikTok applicatie(12). SOMI blijft een partij in de procedure, maar verricht in principe geen proceshandelingen meer (13). Dat komt vermoedelijk mede doordat TBYP haar vorderingen louter heeft ingesteld namens de minderjarige TBYP gebruikers en SMC als enige ook namens volwassenen. Overigens verwacht de rechtbank dat TBYP en SMC hun processtukken zo veel mogelijk met elkaar afstemmen, omdat volgens de rechtbank de posities van kinderen en volwassen vaak zullen overlappen(14).

4. Afronding

De TikTok zaak is de eerste collectieve schadevergoedingsactie die in een bodemprocedure de inhoudelijke fase bereikt, maar er zullen er vermoedelijk veel meer volgen. Naast de reeds genoemde Salesforce/Oracle zaak zijn op dit moment reeds collectieve acties ingesteld tegen Google (15), X (voorheen: Twitter) (16), Amazon (17), Meta (18), Adobe (19) en de GGD (20).

Het gaat hier telkens om zaken waarin systematische, veelsoortige gestelde privacyschendingen aan de orde zijn. Het gaat dan bovendien om privacyschendingen door in de markt toonaangevende partijen. Een eventueel oordeel dat (bijvoorbeeld) Google haar handelen moet aanpassen om niet langer de AVG te schenden zal een uitstralend effect hebben op andere marktpartijen, net zoals de zaak tegen TikTok dat zal hebben. De ‘kleinere’ marktpartijen doen er tegelijk goed aan om de ontwikkelingen goed in de gaten te houden. Want de representatieve belangenbehartigers die thans hun acties richten tegen (met name) Big Tech zullen vast en zeker het daar niet bij laten en hierna ook kijken naar andere marktpartijen. De AP in de gaten houden volstaat dus niet meer voor ondernemingen: private handhaving komt inmiddels echt op gang. De teerling is geworpen.

1. Rechtbank Amsterdam 10 januari 2024, ECLI:NL:RBAMS:2024:83. Voor de goede orde benoem ik dat ik als advocaat betrokken ben (geweest) bij de TikTok WAMCA en verschillende van de in deze bijdrage genoemde collectieve acties.

2. De collectieve actie ex artikel 3:305a BW bestond ook al voor de WAMCA, maar de WAMCA introduceerde belangrijke nieuwe elementen (waaronder een afschaffing van het verbod om in een collectieve procedure schadevergoeding te vorderen

3. Ik schrijf “in principe” omdat een tweede opt-out gelegenheid zich voordoet wanneer er een schikking tot stand komt (artikel 1018h lid 5 Rv), en er ook nog wat andere nuanceringen zijn op dit uitgangspunt

4. Een opmerking is daarbij gepast. Er zijn namelijk wel privacy-WAMCA’s geweest die reeds tot een vonnis zijn gekomen, zoals de zaak van Stichting Privacy First tegen de Staat der Nederlanden met de vordering tot buitenwerkinstelling van ANPR-regelgeving (rechtbank Den Haag, ECLI:NL:RBSHA:2021:13165) en de zaak van Stichting Privacy First tegen de Staat over het UBO-register (rechtbank Den Haag 18 maart 2021, ECLI:NL:RBDHA:2021:2457). Dit betreft echter kort geding procedures en deze bijdrage richt zich op private handhaving in (i) bodemprocedures (met een inhoudelijk debat ten gronde), (ii) waarin ook schadevergoeding wordt gevorderd.

5. Dat betreft een zaak van The Privacy Collective tegen Salesforce en Oracle: rechtbank Amsterdam, 29 december 2021, ECLI:NL:RBAMS:2021:7647. TPC is in hoger beroep tegen het vonnis.

6. Rechtbank Amsterdam 9 november 2022, ECLI:NL:RBAMS:2022:6488, r.o. 5.11 – 5.21.

7. Rechtbank Amsterdam 25 oktober 2023, ECLI:NL:RBAMS:2023:6694.

8. Hoewel ik verwacht dat over bepaalde rechtsoverwegingen van de rechtbank het laatste woord nog zeker niet is gezegd. Het gaat echter het bestek van deze korte blog te buiten om in meer detail te treden over de exacte voorwaarden die de rechtbank aanlegt wat betreft ontvankelijkheid en financiering van collectieve (privacy)acties.

9. Rechtbank Amsterdam 25 oktober 2023, ECLI:NL:RBAMS:2023:6694, r.o. 2.43.

10. Rechtbank Amsterdam 25 oktober 2023, ECLI:NL:RBAMS:2023:6694, r.o. 2.44.

11. Rechtbank Amsterdam 10 januari 2024, ECLI:NL:RBAMS:2024:83, r.o. 2.13.

12. Rechtbank Amsterdam 10 januari 2024, ECLI:NL:RBAMS:2024:83, r.o. 2.14 – 2.17.

13. Rechtbank Amsterdam 10 januari 2024, ECLI:NL:RBAMS:2024:83, r.o. 2.14.

14. Rechtbank Amsterdam 10 januari 2024, ECLI:NL:RBAMS:2024:83, r.o. 2.16.

15. https://www.rechtspraak.nl/SiteCollectionDocuments/Stichting-Bescherming-Privacybelangen-Alphabet-Inc.,-Google.pdf. Zie ook: https://www.rechtspraak.nl/SiteCollectionDocuments/Uittreksel-versie-20-maart.pdf

16. https://www.rechtspraak.nl/SiteCollectionDocuments/20230908-Stichting-Databescherming-Nederland-v.-X-Corp-uittreksel.pdf

17. https://www.rechtspraak.nl/SiteCollectionDocuments/Stichting-Databescherming-Nederland-Amazon.pdf

18. https://www.rechtspraak.nl/SiteCollectionDocuments/Uittreksel-dagvaarding-SOMI-vs-Meta-cs.pdf

19. https://www.rechtspraak.nl/SiteCollectionDocuments/Stichting-Data-Bescherming-Nederland-v.-Adobe-Inc.-en-Adobe-Systems-Software-Ireland-Limited.pdf

20. https://www.rechtspraak.nl/SiteCollectionDocuments/RBAMS-dagvaarding-ICAM-vs-de-Staat-der-Nederlanden-cs.pdf