Noyb.eu, de organisatie van de Oostenrijkse privacy-activist en advocaat Max Schrems, klaagt het feit aan dat techgiganten Google, Facebook, WhatsApp en Instagram hun Europese gebruikers de afgelopen weken hebben gedwongen om in te stemmen met hun nieuwe privacybeleid. De bedrijven hebben gebruikers alleen de keus geboden om in te stemmen met de nieuwe privacyregels of hun account te verwijderen, aldus Schrems. “Dat is geen vrije keuze, maar doet eerder denken aan een Noord-Koreaans verkiezingsproces.” De klachten zijn ingediend bij privacytoezichthouders in België (tegen Instagram), Frankrijk (tegen Google), Duitsland (in Hamburg, tegen Whatsapp) en Oostenrijk (tegen Facebook).
Privacy à la “take it or leave it”? The new General Data Protection Regulation (GDPR) which came into force today at midnight is supposed to give users a free choice, whether they agree to data usage or not. The opposite feeling spread on the screens of many users: tons of “consent boxes” popped up online or in applications, often combined with a threat that the service can no longer be used if users do not consent. On the first day of GDPR noyb.eu has therefore filed four complaints against Google (Android), Facebook, WhatsApp and Instagram over “forced consent”.
Schrems en co wijzen erop dat de GDPR een dergelijke gedwongen toestemming uitdrukkeljk verbiedt, evenals elke vorm van bundeling van een dienst met de eis van toestemming. Daardoor kan de toegang tot diensten niet langer afhangen van de vraag of een gebruiker toestemming geeft voor het gebruik van gegevens. Een einde maken aan die gedwongen toestemming betekent echter niet dat bedrijven geen gebruik meer kunnen maken van klantgegevens. Maar daar is dan wel de vrije opt-in toestemming van de gebruikers nodig. Aangenaam neveneffect van die vrije keuze: het merendeel van die irritante pop-ups voor toestemming van een gebruiker zou eindelijk tot het verleden moeten behoren.
De klachten die noyb.eu heeft ingediend, zijn in ieder geval een eerste belangrijke test voor de GDPR. Dreigen met boetes tot 4% van de wereldwijde inkomsten van een bedrijf is één ding. Maar effectief overgaan tot het opleggen van een aanzienlijke boete aan Google of Facebook is nog helemaal iets anders. Het wordt afwachten of de GDPR haar tanden durft en kan laten zien.