Vrijdag 14 augustus jl. berichtte het Financieele Dagblad dat stichting The Privacy Collective een massaschadeclaim heeft ingediend tegen twee softwarebedrijven: Salesforce en Oracle. Volgens de dagvaarding van The Privacy Collective is aan de Claimcode voldaan (dagvaarding, p. 199-200). Deze blog beziet hoe in de dagvaarding geprobeerd is om te voldoen aan Principe III van deze Code. Dit principe is relatief nieuw en gaat over externe financiering, een fenomeen waarvan in Nederland steeds meer sprake is.

Aanleiding

Salesforce en Oracle zouden volgens The Privacy Collective persoonsgegevens van miljoenen Nederlanders hebben misbruikt, omdat zij zonder toestemming digitale profielen van Nederlandse internetgebruikers zouden verzamelen, bundelen, verrijken en verkopen. De bedrijven zouden daarmee in ieder geval in strijd met de AVG hebben gehandeld (dagvaarding, o.a. p. 13).

De claim is ingediend door The Privacy Collective, maar de procedure wordt gefinancierd door Innsworth. Innsworth is een Brits bedrijf, door het Financieele Dagblad omschreven als ‘een geldschieter gespecialiseerd in het voorschieten van dit soort procedures’. Innsworth zou voor de eerste fase van de procedure een ‘substantieel bedrag’ hebben toegezegd. Alberdingk Thijm, advocaat van The Privacy Collective, spreekt van ‘Een onderzoeksbudget waar een toezichthouder jaloers op zou zijn’.

The Privacy Collective maakt bij haar massaclaim tegen Salesforce en Oracle dus gebruik van een externe financier. Daarvan is in Nederland steeds meer sprake. Bauw en Voet spreken van ‘een snel om zich heen grijpende praktijk’ en Philips geeft aan dat externe financiering ‘in opkomst is’.

Externe financiering is onder andere geregeld in de Claimcode (Claimcode 2019, Principe III). De Claimcode is een governancecode voor stichtingen zoals The Privacy Collective. De code is bedoeld om aan degenen die zich daarbij  willen aansluiten garanties te bieden ‘dat het bestuur steeds de belangen van de collectief benadeelden centraal stelt’ (idem, cover). De Claimcode is niet-bindend, maar fungeert in de rechtspraak  als een belangrijk gezichtspunt om te beoordelen of belangen van benadeelden voldoende worden gewaarborgd in claims zoals die tegen Oracle en Salesforce (idem, p. 54). Dat is weer van belang om te bepalen of een organisatie zoals The Privacy Collective ontvankelijk is in haar vorderingen (art. 3:305a BW). De stichting zou dus niet-ontvankelijk kunnen worden verklaard als zij niet heeft voldaan aan de Claimcode.

Principe III, Uitwerking 1

 De Claimcode bestaat uit zeven ‘principes’. Elk principe heeft een aantal ‘uitwerkingen’. In Principe III staat dat een belangenorganisatie zoals The Privacy Collective een overeenkomst met een ‘solide’ externe financier kan aangaan, waarbij ‘solide’ vermoedelijk slaat op een aspect als de reputatie van desbetreffend financier (zie hierna). De overeenkomst moet bedoeld zijn om werkzaamheden te financieren die de belangenorganisatie op basis van haar statuten verricht. Principe III geeft ook aan wat de randvoorwaarden zijn voor een dergelijke samenwerking. Zo moet het bestuur van een belangenorganisatie erop toezien dat de afgesproken financieringsvoorwaarden ‘redelijkerwijs’ niet in strijd zijn met het collectieve belang van de personen ten behoeve waarvan de belangenorganisatie optreedt. Bij financieringsvoorwaarden gaat het bijvoorbeeld om de omvang van de vergoeding die de belangenorganisatie en de financier overeenkomen (vgl. p. 186-187 en 208 dagvaarding).

Het derde principe heeft acht uitwerkingen. De eerste uitwerking is dat de belangenorganisatie onderzoek moet doen naar de kapitalisatie, het eventuele trackrecord en de reputatie van de externe financier. Wat betekent dit in de praktijk? Dient een belangenorganisatie bijvoorbeeld onderzoek te doen naar de wijze waarop de financier gewoonlijk financiert (‘kapitalisatie’), hoeveel financieringen hij tot nog toe verricht heeft (‘trackrecord’) en hoe succesvol die zijn geweest (‘reputatie’)? Dat geeft de Claimcode niet aan. Jurisprudentie over deze uitwerking, die daarover duidelijkheid zou kunnen verschaffen, lijkt vooralsnog te ontbreken.

Het is begrijpelijk dat Uitwerking 1 vooralsnog tamelijk algemeen is. Zo is procesfinanciering nog volop in ontwikkeling. Dat zou het tot een uitdaging kunnen maken om nu al met concretere regels te komen. Wel lijkt het nu nog niet zo duidelijk te zijn wanneer een financier precies aan de eerste uitwerking heeft voldaan. Ervan uitgaande dat deze gedachte klopt, lijkt het evenmin helder te zijn wanneer de claimorganisatie op dit punt in lijn met de Claimcode heeft gehandeld en belangen van benadeelden dus voldoende gewaarborgd heeft.

Dagvaarding

Hoe is in de dagvaarding geprobeerd om aan Principe III, Uitwerking 1 van de Claimcode te voldoen? In de dagvaarding  staat dat het bestuur van The Privacy Collective onderzoek heeft gedaan naar de kapitalisatie, het eventuele trackrecord en de reputatie van haar financier (p. 207). In dat verband heeft het bestuur op haar verzoek nadere toelichting en toezeggingen van de financier en haar oprichters gekregen. Bij het onderzoek heeft The Privacy Collective zich laten adviseren en ondersteunen door haar eigen advocaten, zo blijkt uit de dagvaarding. De dagvaarding maakt verder niet duidelijk hoe het onderzoek precies was vormgegeven en wat precies de toelichting en toezeggingen van de financiers en haar oprichters waren.

De vorige paragraaf liet zien dat de Claimcode in Principe III, Uitwerking 1 geen nadere voorwaarden stelt waaraan het doen van onderzoek naar de kapitalisatie, het eventuele trackrecord en de reputatie van de financier moet voldoen. Het is daarom begrijpelijk dat de dagvaarding daarover weinig informatie bevat. De dagvaarding kan misschien wel aanleiding geven tot de vraag hoe het onderzoek nu precies was vormgegeven?

De dagvaarding geeft overigens wel antwoord op de vraag of The Privacy Collective voldoende financiële middelen heeft om de procedure tegen Salesforce en Oracle te kunnen voeren (vgl. art. 3:305a lid 2 onderdeel c BW). Daarover staat in de dagvaarding onder andere dat de financier ‘via aan haar gelieerde (project)vennootschappen ruime ervaring heeft met het financieren van class actions en massaschadezaken’ (p. 205). Verder blijkt uit de dagvaarding dat Innsworth een winstoogmerk heeft en over ‘expertise’ en ‘middelen’ beschikt (p. 207). Dergelijke gegevens zeggen wat over de reputatie en het trackrecord van de financier.

Ten slotte heeft de stichting voor deze procedure met de financier ‘een budget’ afgestemd, ruim voldoende om de procedure in eerste aanleg te kunnen voeren (p. 207 en 205, vgl. p. 187). De financier is vanwege de afspraak over het budget verplicht tot nakoming (p. 207). Dat zegt wat over de manier waarop de financiering is vormgegeven en dus over de kapitalisatie van de financier.

Conclusie

De Claimcode is – zoals in de eerste paragraaf al bleek – een gezichtspunt om te beoordelen of belangen van benadeelden voldoende worden gewaarborgd. Uitwerking 1 van Principe III Claimcode is vooralsnog tamelijk algemeen geformuleerd. Dat maakt het naleven en toetsen van de Claimcode op dit punt mogelijk tot een uitdaging. De uitwerking vermeldt weliswaar dat een belangenorganisatie onderzoek moet doen naar de kapitalisatie, het trackrecord en de reputatie van de financier maar niet aan welke nadere voorwaarden dat onderzoek precies moet voldoen.

In de dagvaarding van The Privacy Collective staat dat aan uitwerking 1 is voldaan. De onderbouwing van deze stellingname is summier. Dat is begrijpelijk gezien de manier waarop de eerste uitwerking is geformuleerd. De onderbouwing kan mogelijk wel aanleiding geven tot de vraag hoe het onderzoek naar bijvoorbeeld het trackrecord is vormgegeven. Het belang van een dergelijke vraag wordt genuanceerd doordat de dagvaarding over dergelijke aspecten wel wat informatie bevat.

Met dank aan prof. T.M.C. Arons, prof. J.W.A. Biemans en dr. P. Laaper voor opmerkingen op een eerdere versie van deze blog.