Double trick or treat?

Privacy is dead. Get over it." Dat heeft Scott McNealy, oprichter en ceo van Sun Microsystems, eens tegen een groepje gechoqueerde journalisten gezegd. McNealy krijgt steeds meer bijval. De redenering is simpel. Wie zich in een online omgeving beweegt, laat per definitie sporen achter en moet niet zeuren als zijn sporen worden geanalyseerd en gebruikt. Dat is nu eenmaal onderdeel van het spel. Bovendien brengt het uiteindelijk alleen maar voordelen met zich mee. Door de interesses en voorkeuren van internetgebruikers nauwkeurig in kaart te brengen, kunnen ondernemingen op maat gemaakte aanbiedingen doen.

Op papier doen deze redeneringen het goed, in de praktijk blijken ze niet te werken. Voor de gemiddelde consument is privacy nog springlevend. Volgens een recent rapport van onderzoeksbureau Forrester wordt privacybescherming zelfs steeds belangrijker. Business-to-consumer internetondernemingen hebben volgens Forrester alleen kans van slagen als ze privacy als hoogste prioriteit beschouwen.

Een bedrijf dat dit aan den lijve heeft ondervonden is het Amerikaanse DoubleClick. Het was een van de meest succesvolle internetondernemingen totdat het bekendmaakte te fuseren met postorderbedrijf Abacus Direct en daarbij aankondigde dat haar privacy-verklaring de prullenbak in ging. Vanaf dat moment geniet DoubleClick de bijnaam DoubleCross en wordt het geteisterd door rechtszaken.

Waar heeft het deze ellende aan te danken? DoubleClick heeft wereldwijd de grootste 'ad server' en beschikt over een uniek systeem waarmee met behulp van cookies surfgedrag wordt bijgehouden en geanalyseerd. Hoe het precies werkt kan iemand anders beter uitleggen, maar laten we het erop houden dat DoubleClick dankzij deze DART-technologie weet dat ik erg geïnteresseerd ben in juridische ongein. De server schotelt mij dus bij voorkeur banners van Casus.com en de Kluwer wetteneditie voor. Precies wat ik wil.

Nu had DoubleClick in haar privacy-verklaring beloofd dat de verzamelde informatie niet individueel herleidbaar zou zijn. Na de fusie met Abacus Direct wilde DoubleClick echter de door haar verzamelde niet-herleidbare informatie koppelen aan het adressenbestand van Abacus Direct. Daardoor zou zij de beschikking krijgen over miljoenen persoonsprofielen. Dat schoot privacyminnend Amerika in het verkeerde keelgat. Sindsdien kan het bedrijf geen goed meer doen. Het maakt niet uit hoeveel privacyfunctionarissen er worden benoemd of hoeveel privacyplannen er worden geschreven: het is allemaal fout.

Maar DoubleClick is bezig met een come-back. Onlangs heeft het bedrijf uit New York een belangrijke overwinning geboekt. Volgens de Amerikaanse rechter Buchwald maakt DoubleClick met haar dart-technologie geen inbreuk op de privacy van internetgebruikers. Verschillende privacygroeperingen hadden DoubleClick voor de rechter gedaagd en bepleit dat het verzamelen van informatie over surfers met behulp van cookies in strijd is met minstens drie federale wetten. In haar vonnis van 28 maart schrijft Buchwald dat de eisers dat niet hebben kunnen aantonen.

De uitspraak is interessant voor de Europese advertentiemarkt, waar ook overwegend met dart wordt gewerkt. Het is echter best mogelijk dat een Europese rechter anders zal oordelen. Op grond van de Europese Privacyrichtlijn is het verzamelen en verwerken van persoonsgegevens niet toegestaan. Het begrip 'persoonsgegeven' wordt ruim gedefinieerd en omvat ieder gegeven betreffende een identificeerbare persoon. De informatie die met behulp van dart wordt verzameld zou als 'persoonsgegevens' kunnen worden gekwalificeerd. Bovendien is deze richtlijn ook van toepassing op buitenlandse bedrijven die op Europese pc's cookies plaatsen.

De Nederlandse Wet Bescherming Persoonsgegevens (WBP), die de richtlijn in nationale wetgeving moet omzetten, moet op 1 september 2001 in werking treden. In Nederland zou de invoering van de WBP het bedrijfsleven 859 miljoen gulden gaan kosten, zo hebben VNO-NCW en de Consumentenbond voorgerekend. Ik ben benieuwd of ze bij die berekening ook rekening hebben gehouden met het faillissement van DoubleClick.

Christiaan Alberdingk Thijm is internetjurist en advocaat bij Lawformation, dat per 1 mei is gefuseerd met E-torneys@law