Wijziging privacyverklaring zonder te informeren

privacy-statement.jpgRegelmatig zie ik in privacyverklaringen zinnen als deze:

    <li>Bedrijf kan deze Privacyverklaring wijzigen. Wij adviseren u daarom regelmatig deze Privacyverklaring na te lezen op eventuele wijzigingen.</li>
    <li>Bedrijf kan op elk gewenst moment de inhoud van deze privacyverklaring wijzigen indien wij bijvoorbeeld andere voorwaarden gaan hanteren.</li>
    <li>Als wij deze Privacyverklaring wijzigen, zullen wij maatregelen treffen om u te informeren door een bericht hierover op de site te plaatsen en door de gewijzigde</li>
    <li>Nu en dan kunnen wij deze On line Privacyverklaring wijzigen.</li>
    

En dan ga je je afvragen, kán dat eigenlijk wel?

De privacyverklaring is eigenlijk maar een raar beestje. Veel mensen denken dat als een site zo’n verklaring heeft, het wel goed zit met hun privacy. Maar dat is zeker geen automatisme. Een privacyverklaring legt uit wat je doet op het gebied van privacy en persoonsgegevens, en kan dus ook uitleggen dat je alle gegevens harvest die je kunt vinden en combineert tot een gedetailleerd profiel inclusief seksuele voorkeuren.

Tegelijkertijd stelt die verklaring niets voor omdat je niets mag doen als daar geen toestemming (of andere wettelijke grondslag) voor is. En die toestemming kun je niet bedingen in een privacyverklaring, ook niet als je daar akkoord op vraagt bij het inschrijven. De enige rol die de privacyverklaring kan spelen is mensen informeren over wat de toestemming gaat betekenen, maar je moet echt apart nog een keer die toestemming vragen.

In dat licht is het geen probleem dat een privacyverklaring zomaar te veranderen is. Wil je meer uitleggen of een tekst anders insteken, dan ga gerust je gang. Maar je krijgt er geen enkel aanvullend recht door. In je privacyverklaring zetten dat je vanaf nu Bonuskaartgegevens gaat gebruiken voor persoonsgebonden aanbiedingen is dus niet genoeg om dat ook werkelijk te moeten doen.

In 2009 werd het bedrijf Advance op de vingers getikt door het College bescherming persoonsgegevens, omdat ze geen uitdrukkelijke toestemming hadden gevraagd voor gebruik van diverse gegevens bij de dienst Je echte leeftijd. De zin “Je Echte Leeftijd behoudt zich het recht voor om wijzigingen aan te brengen in de privacyverklaring” hielp ze daar niets bij.

Ga je dus nieuwe dingen doen, dan zul je daar toestemming voor moeten verkrijgen én je privacyverklaring daarop moeten aanpassen. Alleen maar de tekst aanpassen is niet genoeg. En zelfs als je nieuwe dingen gaat doen die binnen een verkregen toestemming vallen, zul je meer moeten doen dan alleen die tekst aanpassen. Je zult echt mensen erop moeten wijzen dat je de tekst aangepast hebt, en wel zo dat zij afdoende geïnformeerd worden daardoor.

Arnoud

10 reacties

  1. De privacyverklaring is niet verplicht op zich. Waar het om gaat, is dat je duidelijk uitlegt wat je ‘verwerkingen van persoonsgegevens’ inhouden. Als je dat niet in één zin bij het invulformulier kunt, dan zul je een toelichting elders moeten plaatsen. En dat is dan de privacyverklaring.

    Bij dit reactieveld staat bijvoorbeeld “Let op: uw reactie wordt gepubliceerd” dus daarmee licht ik adequaat toe wat er gaat gebeuren met persoonsgegevens in je reactie. Bij e-mailadres staat dat het niet wordt gepubliceerd, dat is ook duidelijk. Eventueel zou er bij kunnen wat ik wél doe met het e-mailadres (niets eigenlijk, behalve bij problemen met de comment of om terugkerende reageerders te herkennen) maar ik vind dat niet nodig. Daarom heb ik geen privacyverklaring.

  2. Inderdaad betekent een privacy statement nog niet dat de site ook goed met je persoonsgegevens omgaat. Een paar maanden geleden ontstond er enige ophef over webdienst Skipity die dit uitgangspunt tot het uiterste heeft doorgevoerd in haar privacybeleid. Zoals ze schrijven in de inleiding daarvan:

    We firmly believe that privacy [is] both inconsequential and unimportant to you. If it were not, you probably would not have a Facebook, Twitter, or LinkedIn account: and you certainly wouldn’t ever use a search engine like Google.
    Volgen diverse nogal melige, en soms ronduit onzinnige, bepalingen die aangeven dat de gebruikers van Skipity geen enkel respect voor hun privacy hoeven te verwachten. Het zal vooral een gimmick zijn, en als webdienst stelt Skipity weinig voor, maar het is wel aardig als “wake up call” voor naïeve gebruikers die denken dat het wel goed zit zodra er een privacy statement is.

  3. Ik hoop dat ik hier aan het juiste adres ben met mijn vraag. Vanmorgen kregen wij tot mijn verbazing 7! enveloppen binnen met hetzelfde afzendersadres. Vol verbazing afvragend welk bedrijf 7 enveloppen nodig heeft om iets te melden maakte ik de enveloppen open. Blijken het garages te zijn die mij vertelden dat de apk van mijn auto binnenkort afloopt en hun diensten aanboden. Op de site van het RDW kan je als zakelijke klant blijkbaar voor 0,14 adressen en dus gegevens van mensen opvragen. Ik ben hier totaal niet van gediend en vraag mij af of ik hier iets tegen kan doen? Met vriendelijke groet. S van Meerbeek tot Dael

  4. Op 11 mei 2012 verdedig ik mijn proefschrift aan Tilburg University (TILT) getiteld ???Recht doen aan Privacyverklaringen???. In mijn onderzoek kijk ik naar de juridische status van online privacyverklaringen vanuit het perspectief van de Wbp en het BW. Tevens heb ik empirisch onderzoek gedaan onder 257 online Verzekering-, Reis- en Kledingwinkels. Mede op basis van onderzoek uit de Verenigde Staten naar privacyverklaringen destilleer ik een aantal elementen dat in acht moet worden genomen om te komen tot transparante privacyverklaringen. Tevens doe ik de aanbeveling op EU-niveau een gestandaardiseerde privacyverklaring te ontwikkelen, die vervolgens op lidstaatniveau per sector nader dient te worden ingevuld.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.