Meta's 'betaal of oké' model' in strijd met DMA oordeelt Brussel
Het 'betaal of oké' model dat Meta hanteert voor Facebook en Instagram is in strijd met de DMA-wetgeving, zo stelt de Europese Commissie op basis van voorlopige bevindingen. De 'binaire keuze' dwingt gebruikers om toestemming te geven voor het gebruik van hun persoonlijke gegevens voor gerichte advertenties of het betalen van een maandelijks bedrag, aldus Brussel.
"Online platforms verzamelen vaak persoonlijke data op hun eigen en third-party diensten om online advertentiediensten te bieden. Vanwege hun positie in digitale markten, kunnen gatekeepers allerlei voorwaarden aan hun grote aantallen gebruikers opleggen, waardoor ze grote hoeveelheden persoonlijke data kunnen verzamelen. Dit geeft ze voordelen ten opzichte van concurrenten die geen toegang tot dergelijke hoeveelheden data hebben, wat barrières opwerpt voor het aanbieden van online advertentiediensten en sociale netwerkdiensten", aldus de Europese Commissie.
De DMA-wetgeving verplicht dat gatekeepers, platforms met grote aantallen gebruikers, toestemming vragen aan gebruikers voor het combineren van hun persoonlijke data op verschillende platforms en andere diensten. Wanneer gebruikers weigeren zouden ze nog steeds toegang moeten kunnen hebben, alleen dan tot een minder gepersonaliseerd alternatief. "Gatekeepers kunnen het gebruik van de dienst of bepaalde functionaliteiten niet afhankelijk maken van de toestemming van gebruikers", laat de Europese Commissie verder weten.
In het geval van Meta's 'betaal of oké' model voldoet dit advertentiemodel niet aan de DMA. Zo kunnen gebruikers niet kiezen voor een dienst die minder van hun persoonlijke data gebruikt maar gelijk is aan de 'gepersonaliseerde advertenties' gebaseerde dienst. Daarnaast kunnen gebruikers hun rechten niet uitoefenen met betrekking tot het vrijelijk geven van toestemming voor het combineren van hun persoonlijke data.
"Om aan de DMA te voldoen, moeten gebruikers die geen toestemming geven nog steeds toegang krijgen tot een gelijkwaardige dienst die minder van hun persoonlijke data gebruikt, in dit geval voor gerichte advertenties", stelt Brussel. Meta mag nu op de voorlopige bevindingen reageren, waarna de Europese Commissie met een definitief oordeel komt. Als blijkt dat Meta in strijd met de DMA heeft gehandeld kan het een boete krijgen die tien procent van de wereldwijde omzet bedraagt. Als het bedrijf vaker op de vingers is getikt kan dit oplopen tot twintig procent.
Daarnaast is recht op je eigen data ook vaak een wassen neus. Als je dit opvraagt krijg je bij lange niet alles of soms helemaal niks. Je kan ook niet eens bewijzen dat het zo is omdat alles achter gesloten deuren blijft.
Juridisch was dit allang geregeld. De AVG vereist namelijk dat toestemming vrijelijk wordt gegeven, en overweging 42 van de AVG bevat dit:
Waarom komt Meta er dan toch mee weg? Dat komt ten eerste omdat de AVG werkt met landelijke toezichthouders, problemen moeten worden afgehandeld via de landelijke toezichthouder van de hoofdvestiging van het bedrijf, en die Amerikaanse bedrijven kiezen dan allemaal voor het land waar ze verreweg het meeste voor elkaar krijgen: Ierland.
Dat Ierland zo'n twijfelachtige rol speelt heeft een historische achtergrond. Ierland is een Engelse kolonie geweest. Dat is geen overdrijving, dat waren ze echt. Tijdens de industriële revolutie heeft Engeland er doelbewust voor gezorgd dat in Ierland zich geen industrieën ontwikkelden. Toen Ierland (op Noord-Ierland na) onafhankelijk werd was het straatarm en had het niks om een economische inhaalslag op te baseren. Dat hebben ze (met succes!) opgelost door zichzelf superaantrekkelijk te maken als Europese vestigingsplaats voor Amerikaanse bedrijven, met het instellen van belastingvrije zones en dat soort maatregelen. Dat ze zo zwak optreden tegen Amerikaanse bedrijven is omdat die voor hun de kip met de gouden eieren zijn, de motor van hun economie.
Meta heeft, net als andere Amerikaanse tech-reuzen, zijn Europese hoofdvestiging in Ierland, waardoor ze onder een toezichthouder vallen die zijn werk domweg niet doet. Voor een deel is de DMA een reactie op die situatie. Voor bedrijven die tot "poortwachter" zijn gebombardeerd, waaronder Meta en andere tech-reuzen, is een deel van het toezicht dat eigenlijk al onder de AVG viel nu een DMA-aangelegenheid geworden, en dat toezicht gebeurt niet door een landelijke toezichthouder maar een Europese.
Een tweede reden dat Meta er tot nu toe mee wegkomt is omdat ze al vanaf dat Facebook bij ons beschikbaar kwam een heel slinks en sluw spel hebben gespeeld. Ze doen consequent alsof ze helemaal niets van de Europese privacywetgeving begrijpen (de AVG én de landelijke voorgangers daarvan). Als ze daarop worden aangepakt, via een toezichthouder of via een rechter, dan vechten ze dat tot de hoogste Europese rechter uit, een procedure waar veel tijd overheen gaat. Zo'n rechtszaak verliezen ze uiteindelijk, dus stoppen ze met hun overtreding, maar wat ze dan in plaats daarvan doen is niet zich aan de wet houden maar net iets anders dat net zo goed op een totaal "onbegrip" van de Europese wetgeving gebaseerd is. En dan zijn ze weer een paar jaar verder voordat dat weer door iets anders vervangen moet worden. En rechters kunnen niet anders dan het behandelen zoals ze het nou eenmaal moeten behandelen, die moeten zich aan de regels houden, anders corrumpeert de rechtspraak.
Toen dit patroon me voor het eerst begon op te vallen, toen ze nog Facebook heetten en Meta nog lang niet was opgericht, hield ik nog voor mogelijk dat ze werkelijk niet begrepen hoe de EU ertegenaan kijkt, maar na inmiddels vele jaren van consequent hetzelfde patroon geloof ik dat niet meer. Hoe goed de DMA hiertegen opgewassen is overzie ik nog niet, maar met een toezichthouder op Europees niveau hebben de zwaargewichten nu ook een zwaargewicht tegenover zich, dus ik hoop dat dat het verschil maakt.
Als je het recht zelf als een wassen neus beschouwt dan kan je het afschaffen en heb je helemaal niets meer. Als je de handhaving als wassen neus beschouwt dan valt er juist veel te verbeteren. Dat zal best voeten in de aarde hebben en niet van de ene op de andere dag geregeld zijn, zelfs niet van het ene op het andere jaar, maar richt je desondanks op verbetering in plaats van op alles maar op te geven.
Juridisch was dit allang geregeld. De AVG vereist namelijk dat toestemming vrijelijk wordt gegeven, en overweging 42 van de AVG bevat dit:
Waarom komt Meta er dan toch mee weg? Dat komt ten eerste omdat de AVG werkt met landelijke toezichthouders, problemen moeten worden afgehandeld via de landelijke toezichthouder van de hoofdvestiging van het bedrijf, en die Amerikaanse bedrijven kiezen dan allemaal voor het land waar ze verreweg het meeste voor elkaar krijgen: Ierland.
Dat Ierland zo'n twijfelachtige rol speelt heeft een historische achtergrond. Ierland is een Engelse kolonie geweest. Dat is geen overdrijving, dat waren ze echt. Tijdens de industriële revolutie heeft Engeland er doelbewust voor gezorgd dat in Ierland zich geen industrieën ontwikkelden. Toen Ierland (op Noord-Ierland na) onafhankelijk werd was het straatarm en had het niks om een economische inhaalslag op te baseren. Dat hebben ze (met succes!) opgelost door zichzelf superaantrekkelijk te maken als Europese vestigingsplaats voor Amerikaanse bedrijven, met het instellen van belastingvrije zones en dat soort maatregelen. Dat ze zo zwak optreden tegen Amerikaanse bedrijven is omdat die voor hun de kip met de gouden eieren zijn, de motor van hun economie.
Meta heeft, net als andere Amerikaanse tech-reuzen, zijn Europese hoofdvestiging in Ierland, waardoor ze onder een toezichthouder vallen die zijn werk domweg niet doet. Voor een deel is de DMA een reactie op die situatie. Voor bedrijven die tot "poortwachter" zijn gebombardeerd, waaronder Meta en andere tech-reuzen, is een deel van het toezicht dat eigenlijk al onder de AVG viel nu een DMA-aangelegenheid geworden, en dat toezicht gebeurt niet door een landelijke toezichthouder maar een Europese.
Een tweede reden dat Meta er tot nu toe mee wegkomt is omdat ze al vanaf dat Facebook bij ons beschikbaar kwam een heel slinks en sluw spel hebben gespeeld. Ze doen consequent alsof ze helemaal niets van de Europese privacywetgeving begrijpen (de AVG én de landelijke voorgangers daarvan). Als ze daarop worden aangepakt, via een toezichthouder of via een rechter, dan vechten ze dat tot de hoogste Europese rechter uit, een procedure waar veel tijd overheen gaat. Zo'n rechtszaak verliezen ze uiteindelijk, dus stoppen ze met hun overtreding, maar wat ze dan in plaats daarvan doen is niet zich aan de wet houden maar net iets anders dat net zo goed op een totaal "onbegrip" van de Europese wetgeving gebaseerd is. En dan zijn ze weer een paar jaar verder voordat dat weer door iets anders vervangen moet worden. En rechters kunnen niet anders dan het behandelen zoals ze het nou eenmaal moeten behandelen, die moeten zich aan de regels houden, anders corrumpeert de rechtspraak.
Toen dit patroon me voor het eerst begon op te vallen, toen ze nog Facebook heetten en Meta nog lang niet was opgericht, hield ik nog voor mogelijk dat ze werkelijk niet begrepen hoe de EU ertegenaan kijkt, maar na inmiddels vele jaren van consequent hetzelfde patroon geloof ik dat niet meer. Hoe goed de DMA hiertegen opgewassen is overzie ik nog niet, maar met een toezichthouder op Europees niveau hebben de zwaargewichten nu ook een zwaargewicht tegenover zich, dus ik hoop dat dat het verschil maakt.
Als je het recht zelf als een wassen neus beschouwt dan kan je het afschaffen en heb je helemaal niets meer. Als je de handhaving als wassen neus beschouwt dan valt er juist veel te verbeteren. Dat zal best voeten in de aarde hebben en niet van de ene op de andere dag geregeld zijn, zelfs niet van het ene op het andere jaar, maar richt je desondanks op verbetering in plaats van op alles maar op te geven.
Ik kan me nog goed de bordjes herinneren langs de snelwegen daar in 1998 "this road has been sponsored by the European Union for 95%" en nu zetten ze de hele EU qua privacy in de uitverkoop aan de Amerikanen.
Handhaving ontbreekt inderdaad bij de DPC Ireland, niet voor niets zijn ze al meerdere malen terug gefloten, niet alleen door de rechter maar ook door hun collega toezichthouders (art. 65 AVG) en recent heeft zelfs de Noorse toezichthouder het voortouw genomen rond gedrhagsgebaseerde advertenties. Dit laatste is nu precies wat het huidige privacy schending model van Meta is en waar de DMA denkt op basis van economische product bescherming via de commissie een stokje voor te steken. Overigens gaat nu precies hetzelfde juridische steekpsel spelen als rond de AVG en schieten we er alsnog niets mee op.
Dan kun je toch niet verwachten "als ik geen persoonlijke info geef dan wordt het minder op mij aangepast"?
De situatie is dan "als ik geen info wil geven EN niet wil betalen, dan heb ik geen site". Lijkt me.
Er zijn ook merken waar je "geld terug" kunt krijgen na aankoop door je aankoop te registreren bij de fabrikant.
Mag dat ook niet? Want daar geldt hetzelfde: ofwel je levert je informatie, ofwel je betaalt meer.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!