Houd eens op met akkoord vragen op privacyverklaringen

akkoord-privacyverklaring.pngBij registratie op websites is het een bekend verschijnsel dat je akkoord moet gaan met algemene voorwaarden. Nu hoeft dat vinkje op zich niet, maar het kan ook geen kwaad. Wat wél kwaad kan, althans fout is, is een akkoord vragen op een privacyverklaring. De wet op de privacy werkt namelijk net even anders dan de gewone wet.

Het idee achter algemene voorwaarden is dat je je klanten niet wilt lastigvallen met details (randvoorwaarden). Daarom zet je die in een apart documentje, en verwijs je daarnaar als mensen een contract met je komen sluiten. Wie dat wil, kan ze nalezen – want jij bent verplicht een kopie aan ze te geven – maar ook wie ze niet leest, zit eraan vast. Dat staat expliciet in de wet (art. 6:232 BW).

Omdat het zo wel erg makkelijk is om rare dingen in de voorwaarden te stoppen en klanten daaraan te houden, is de tegenpool van deze wettelijke deal dat je geen “onredelijk bezwarende” dingen in je voorwaarden mag zetten. Doe je dat toch, dan kan de wederpartij ze eenvoudig ongeldig verklaren. En er zijn zwarte en grijze (en blauwe) lijsten om hem daarbij te helpen.

Naast algemene voorwaarden hebben veel sites een privacyverklaring. Deze licht toe wat men voor persoonsgegevens verzamelt en wat daarmee gebeurt. Een privacyverklaring is verplicht op grond van de Wet bescherming persoonsgegevens (art. 33 Wbp). Maar akkoord vragen op de privacyverklaring is nergens voor nodig.

Natuurlijk moet je wel akkoord vragen voor het gebruik van die persoonsgegevens (tenzij ze nodig zijn om überhaupt de gevraagde dienst te leveren). En als je veel van plan bent, dan zou je als algemene-voorwaarden-hanteerder kunnen denken “die toestemming vraag ik wel in de algemene voorwaarden”. Maar dat mag niet. Toestemming onder de privacywet moet vrij en specifiek verkregen worden, en mag dus niet verstopt zijn in algemene voorwaarden.

Ook in een privacyverklaring kun je geen toestemming vragen. Dat is immers een informatietekst, en in informatieteksten kunnen geen juridisch bindende toezeggingen worden gevraagd – dat gaat tegen de verwachting van de bezoeker in. Je zult dus echt op de registratiepagina zelf moeten melden waar je toestemming voor vraagt, met eventueel een verwijzing náár de privacyverklaring voor wie de details wil weten.

Arnoud

eist toestemming voor zo ongeveer elk gebruik van persoonsgegevens (zoals naam, IP-adres of e-mailadres).

21 reacties

  1. Wat ik me eigenlijk afvraag: in hoeverre kun je iemand, die met een bepaald verzoek tot persoonsgegevens niet akkoord gaat, de dienst weigeren? En verschilt dat wanneer het om een commercieel bedrijf gaat in verhouding tot wanneer het om een publieke instantie (waar je niet om heen kan) gaat?

  2. Dat kun je gewoon, geen probleem. Zolang de toestemming maar in vrijheid wordt gevraagd. Het enige wat niet mag, is iemand al half verlokken tot de dienst en dan ineens “vrijwillige” toestemming gaan vragen. Bv. je geeft iemand een maand gratis gebruik en daarna moet ie zijn doopceel lichten anders wordt hij uit de dienst gegooid. Dan is de toestemming niet meer ‘vrij’ verkregen en dus ongeldig.

    Bij een publieke instantie geldt hetzelfde maar nog strenger, omdat zij als overheid ook nog eens rekening moeten houden met het algemeen belang. Zij moeten dus sowieso zo min mogelijk vragen.

  3. Hoe practisch is het om bij registratie de algemene voorwaarden per email toe te zenden (als PDF) met daarin een bevestigings-link voor de gebruiker? De klant kan dan alleen de registratie afronden indien hij op de bijbehorende link klikt en daarmee dus ook bevestigd dat hij de algemene voorwaarden ontvangen zou moeten hebben. (Tenzij zijn mailserver “gevaarlijke” attachments verwijderd uit alle binnenkomende emailtjes, zoals PDF bestanden.)

    Goed, het hoeft niet maar lijkt mij de mooiste oplossing. De klant hoeft de PDF ook niet te openen maar je kunt wel aantonen dat je de algemene voorwaarden hebt aangeleverd voordat de klant de registratie heeft afgerond.

  4. @Stas: Als ze het hebben opgeschreven als een contractuele plicht, dan is dat wanprestatie ja. Maar je kunt weinig meer dan het contract opzeggen om die reden, dwingen tot nakoming lijkt me moeilijk omdat het gaat om grondrechten. Het naakstrand kan wel bij de rechter afdwingen dat jij de toegangsprijs betaalt (contractuele plicht) maar niet dat jij je alsnog uitkleedt (ook contractuele plicht maar raakt aan grondrecht). BIj overtreding van die laatste plicht mogen ze je wel van het strand gooien.

  5. @Arnoud: Dus, Facebook mag, als ik ze duidelijke toestemming geef en daarne Ghostery blijk te gebruiken, mij wel van de website afgooien? Dit omdat het naaktstrand je wel mag verwijderen. (Overigens zou ik ook liever aangeklede dan naakte mensen verwijderen, als ik een uitsmijter zou zijn, maar dat terzijde.)

  6. @Stas: ja, dat mag. Ik ken sites die advertentieblokkers detecteren en dan een boze boodschap tonen. Bij reddit.com werd je zelfs één dag een keer geweerd als je dat deed. De reactie was erg heftig dus dat doen ze niet meer, maar het mag wel.

    (Het enige wat niet mag is iemand eraf gooien op basis van verboden discriminatie. Dus je mag niet vragen naar bv. etnische afkomst en dan mensen weren die dat niet invullen. Dat zou discriminatie opleveren.)

  7. @Stas, de AV als attachment is handiger dan als tekst in een emailtje. Mailtje is dan wel groot maar gebruikers kunnen deze makkelijker locaal opslaan, afdrukken en bewaren. En de email zelf heeft dan een korte tekst.

    Een lange AV heeft als voordeel dat de meeste klanten deze dan toch niet zullen lezen en indien er niets in staat uit de zwarte, grijze, blauwe of paars-met-gele-stippen lijst is er niets aan de hand. Kun je toch heel wat voorwaarden doorvoeren… 🙂

  8. In een recent Duits vonnis had het akkoord vragen op hun privacyverklaring grote gevolgen voor Apple; De rechter vond daardoor dat de privacyverklaring als algemene voorwaarden beschouwd moesten worden, en dus ook direct getoetst kon worden aan de wetten die daarvoor gelden;

    (…) Aufgrund dieser Darstellungsweise muss nach der verbraucherfeindlichsten Auslegung davon ausgegangen werder, dass der in den Bestellvorgang involvierte Verbraucher den Hinweise auf die “Datenschutz-Vereinbarung von Apple” dahingehend versteht, als seien dies vorformulierte Bestimmungen, die Gegenstand der zu tätigen Bestellung werden würden. Damit handelt es sich hierbei jedoch um Allgemeine Geschäftsbedingungen.

    Het verweer van Apple dat een privacyverklaring verplicht was, hielp daarbij niet;

    Sie sieht in den (…) Bestimmungen, die Teil ihrer “Datenschutzrichtlinie” sind, keine Allgemeinen Geschäftsbedingungen, die in Verträgen zwischen ihr und deutschen Verbrauchern einbezogen würden. Die darin enthaltene Informationen von Verbrauchern sei nach den Bestimmungen der Richtlinie 95/46/IG (…) erforderlich.

    En in die privacyverklaring waren dingen mis zoals het niet specificeren aan welke partners persoonsgegevens doorgegeven werden. En het was niet duidelijk dat het mogelijk was zich te verzetten tegen bepaalde verwerkingen van persoonsgegevens. Omdat het om algemene voorwaarden ging, was het niet nodig om te bewijzen dat ook daadwerkelijk in strijd met de wet gehandeld is.

  9. Ik reageer op een oud artikel, maar ik vraag me af of onderstaande wel mag.

    Korte toelichting: Vodafone verkoopt haar vaste diensten (internet,TV en bellen) aan T-Mobile. T-Mobile geeft aan de algemene voorwaarden niet te veranderen en dat het dus niet mogelijk is om op te zeggen. Echter het privacy statement is wél veranderd.

    Dit is een zin uit het privacy statement van Vodafone Thuis: “Speciaal voor TV bewaren we een uniek nummer in de settopbox (Interactieve Box) die je van Vodafone krijgt. Dit unieke nummer is gekoppeld aan je Vodafone Thuis account. Hiermee registreren we bijvoorbeeld welke films of tv-programma’s je via Uitzending Gemist of Video on demand hebt bekeken, om ze bij je in rekening te brengen.”

    Bij T-Mobile is dit veranderd in: “Speciaal voor TV bewaren wij een uniek nummer in de interactieve TV Box die je hebt gekregen. Dit unieke nummer is gekoppeld aan je account en hiermee registreren wij bijvoorbeeld de duur, het tijdstip en de datum waarop je tv programma’s kijkt en ook de bekeken kanalen…”

    Volgens het Privacy Statement van T-Mobile kun je je verzetten tegen het gebruik van je gegevens voor marketing- en verkoopdoeleinden. Echter noch Vodafone noch T-Mobile kunnen me vertellen hoe. Beiden wijzen naar elkaar.

    Het staat mij bij dat het bijhouden van het kijkgedrag van de klanten helemaal niet mag. Ziggo is hiervoor vorig jaar nog door het CBP op de vingers getikt.

    Ik mag niet opzeggen omdat de algemene voorwaarden niet zijn veranderd, maar ik ben het er niet mee eens dat vanaf nu mijn kijkgedrag wordt bijgehouden. Wat kan ik doen?

    1. @Fred, misschien had je al gezien dat er vandaag een blog specifiek over algemene voorwaarden verschenen was. Maar lees ook eens dit artikel over de privacyverklaring.

      Jouw beschrijving wekt de indruk dat het Privacy Statement ook algemene voorwaarden bevat. Als die gewijzigd zijn, zijn dus de algemene voorwaarden gewijzigd. Indien dat in jouw nadeel is, moet je ook nakijken of in de algemene voorwaarden ook staat dat vodafone/t-mobile de algemene voorwaarden eenzijdig mogen veranderen. Als daarin staat dat ze dat mogen, schiet je er nog niet veel mee op.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.