Massaclaim AppLovin: wat MKB nu moet weten over datadoorverkoop
Inhoud
Privacystichting The Privacy Collective diende deze week een massaclaim in tegen het Amerikaanse techbedrijf AppLovin. De aanklacht: AppLovin zou via slimme advertentietechnologie de gegevens van miljoenen Nederlanders verzamelen en doorverkopen aan honderden andere partijen, zonder dat die mensen daar weet van hebben.
Dat klinkt als een verhaal over grote techbedrijven ver weg. Het tegenovergestelde is waar. Als jij als MKB'er advertentienetwerken, retargeting-pixels of mobiele SDK's gebruikt, is de kans groot dat je zelf onderdeel bent van zo'n keten. En dat betekent dat je ook risico loopt onder de AVG.
Hieronder leg ik uit wat er speelt, waarom dit voor jouw bedrijf relevant is en hoe je in 30 minuten checkt of jouw marketingstack stiekem hetzelfde doet.
Wat is er precies aan de hand bij AppLovin?
AppLovin is een Amerikaans techbedrijf dat advertentietechnologie levert aan duizenden apps en websites wereldwijd. Volgens The Privacy Collective gebruikt het bedrijf trackingtechnologie die persoonsgegevens van Nederlandse gebruikers verzamelt en doorverkoopt aan honderden derde partijen.
De stichting stelt dat dit gebeurt zonder geldige toestemming en daarmee in strijd is met de AVG. De massaclaim is namens miljoenen Nederlanders die op hun telefoon of in apps met AppLovin-technologie in aanraking zijn gekomen. Schadevergoedingen kunnen flink oplopen als de rechter meegaat in het verhaal.
Waarom dit voor jouw MKB-bedrijf relevant is
Jij denkt misschien: ik ben geen techbedrijf, ik verkoop kozijnen of geef yogales. Toch zit AppLovin-achtige technologie waarschijnlijk in jouw marketingmix. Werk je met een marketingbureau dat campagnes draait via mobiele advertentienetwerken? Heb je een app voor klantenbinding? Gebruik je trackingpixels van partijen waar je nog nooit van gehoord hebt?
Onder de AVG ben jij als bedrijf verantwoordelijk voor de gegevens die via jouw kanalen lopen. Als een tool die jij hebt ingeschakeld data doorverkoopt zonder geldige basis, kan de Autoriteit Persoonsgegevens jou daarop aanspreken. Niet de leverancier in San Francisco.
Het is dus niet alleen een verhaal voor IT-juristen. Het raakt direct hoe jij omgaat met je klantenbestand, je advertentiebudget en je reputatie.
Zo check je in 30 minuten of jouw stack risico loopt
Pak een lijst van alle marketing- en analytics-tools die op je website of in je app draaien. Denk aan Google Ads, Meta Pixel, TikTok Pixel, e-mailmarketing, chatwidgets, A/B-testtools en mobiele SDK's. Vraag bij elk de Data Processing Agreement op. Geen DPA? Rode vlag.
Check vervolgens of er sub-verwerkers genoemd worden. Als een tool data deelt met 'partners' of 'affiliated networks' zonder dat helder is wie dat zijn, gebruik je waarschijnlijk een tool die het AppLovin-patroon volgt. Vraag schriftelijk om duidelijkheid of stap over.
Tot slot: kijk naar je cookiebanner. Als jij toestemming vraagt voor 'marketing cookies' maar in de praktijk worden er via die toestemming honderden partijen geactiveerd, is dat geen geldige toestemming volgens de AVG. De banner moet specifiek zijn.
Wat dit betekent voor de bredere AI- en advertentiemarkt
De AppLovin-claim staat niet op zichzelf. Met de EU-AI-Act die in fases ingaat en de strengere AVG-handhaving van de Autoriteit Persoonsgegevens, wordt de keten van advertentietechnologie steeds zichtbaarder. Wat jaren onder de motorkap gebeurde, komt nu in dagvaardingen terecht.
Voor het Nederlandse MKB betekent dit dat 'we doen gewoon wat het bureau zegt' geen verdediging meer is. Je moet kunnen aantonen welke data via jouw kanalen loopt en met welke grondslag. Dat is geen leuk werk, maar het scheelt boetes en het bouwt vertrouwen bij klanten die hier wel op letten.
Wat dit betekent voor jou
De massaclaim tegen AppLovin is een waarschuwingsschot. Niet zozeer voor AppLovin zelf, maar voor iedereen die zonder na te denken trackingtechnologie inzet. Pak deze week een uurtje om je marketingstack door te lichten. Vraag DPAs op, kijk kritisch naar je cookiebanner en wees streng tegen leveranciers die vaag doen over sub-verwerkers.
De AVG bestaat al jaren, maar de handhaving wordt nu pas serieus zichtbaar. Beter dat je het op orde hebt voordat een privacystichting of de Autoriteit Persoonsgegevens bij jou aanklopt.
Werkt deze AI-ontwikkeling door in jouw bedrijf? maatwerk website laten maken.
Wat is The Privacy Collective?
The Privacy Collective is een Nederlandse stichting die collectieve schadeclaims indient namens burgers tegen techbedrijven die volgens hen de AVG schenden. Eerder voerde de stichting actie tegen onder andere Oracle en Salesforce.
Kan mijn MKB-bedrijf aansprakelijk zijn voor wat een advertentienetwerk doet?
Ja. Onder de AVG ben je als verwerkingsverantwoordelijke aansprakelijk voor de gegevens die via jouw site of app worden verzameld, ook als een externe tool de feitelijke verzameling uitvoert. Daarom is een goede DPA en heldere cookiebanner essentieel.
Hoe weet ik welke trackers op mijn website staan?
Gebruik tools zoals Cookiebot, een browser-extensie als Ghostery of de developer tools van je browser. Je ziet dan welke domeinen data ophalen vanaf jouw site. Vergelijk die lijst met wat in je cookiebanner staat. Verschillen zijn een rode vlag.
Wat is een Data Processing Agreement?
Een Data Processing Agreement (DPA) is een verwerkersovereenkomst tussen jou en een leverancier die persoonsgegevens namens jou verwerkt. De AVG verplicht je deze te hebben. Krijg je er geen, dan voldoe je niet aan de wet.
Wanneer is toestemming voor cookies geldig?
Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Een bulk-knop 'accepteer alles' voor honderden onbekende partijen voldoet daar niet aan volgens de Autoriteit Persoonsgegevens. Specifieke categorieën met namen van partijen is wel oké.
Heeft de EU-AI-Act ook invloed op dit soort claims?
Indirect wel. De EU-AI-Act stelt extra eisen aan profilering en geautomatiseerde besluitvorming, vaak op basis van de data die advertentienetwerken verzamelen. De combinatie van AVG en AI-Act maakt het juridische risico voor advertentieketens groter.