Tiradeweek: Toestemming vragen gaat ‘m echt niet worden bij privacydingen

rantweek-tiradeweekEen vervolg op mijn tirade van gisteren: wat te doen tegen het probleem dat niemand echt graag zijn privacy opgeeft. De gebruikelijke oplossing bij zulke situaties is dan mensen om toestemming vragen. Toon er een kort tekstje bij dat uitlegt wat we doen, en wie dan ja zegt die zal het wel vrijwillig willen. Zo doen we dat bij de dokter ook, toch?

Maar nee, dat gaat niet werken. En niet alleen omdat dat tekstje door Legal is opgesteld en waarschijnlijk zonder al te veel overleg met de technische mensen. Ook niet omdat het in de weg zit van wat mensen eigenlijk willen – als iets belangrijks in de weg zit, dan lezen mensen het echt wel. Het gaat niet werken omdat mensen er geen reden voor zien. Wat kan er immers misgaan? Blabla, waar gaat dit over. Boeien. Klik.

Is dat dom van die mensen? Misschien wel. Misschien moet je je wel eerst goed informeren en juridisch advies inwinnen alvorens je een website gaat gebruiken. Je moet tenslotte ook een rijbewijs halen voor je de weg op mag met bromfiets of auto. Je moet ook een schriftelijke en mondelinge toets afleggen voordat je in een winkelcentrum wat mag kopen. Oh wacht, nee dat hoeft niet. Wat is dan het verschil? Oh ja. Bij winkels gaan we er vanuit dat die winkels het goed geregeld hebben en dat duidelijk is wat daar kan gebeuren. Kan weinig misgaan dus, afgezien van dat je ineens thuiskomt met een paar schoenen dat je eigenlijk niet wil hebben.

En dáár zit hem het probleem: Facebook en consorten zien eruit als winkels, als gewone eerlijke dienstverleners net als de Albert Heijn en dat grappige eetzaakje op de hoek waar ze heerlijke koffie en gratis wifi hebben. We projecteren dus ons vertrouwensmodel op die online diensten. Onterecht, oké, maar het gebeurt wel en zo massaal dat je niet kunt zeggen dat iedereen dom is. Oké, dit is een tirade dus ik kan nu 90% van de mensheid dom verklaren maar ik ben eigenlijk bozer op die mensen en bedrijven die er geen been in zien om daarvan te profiteren door na een pro forma “mag dat”-bordje van alles te doen en schaapachtig te lachen dat men nu eenmaal “ja” gezegd heeft en maar niet zo dom moet zijn.

Ik zeg het wel vaker: wil je dat mensen geen gekke dingen doen met privacy of persoonsgegevens, dan maak je een wet die zegt: blijf met je rotpoten van andermans persoonsgegevens af. Vind je dat dat óók weer wat te ver gaat, dan ga je in de wet opnemen wat er wel en vooral wat er niet mag en hou je toezicht op de naleving. Wat je alleen vooral NIET moet gaan doen is zeggen: weet je wat, we gaan de burger opvoeden dat ze moeten lezen wat er gebeurt. En al helemaal niet met een popup of tekst die ze moeten accorderen waarna “het in orde is”.

Wie denkt van wel, mag eerst verdedigen waarom de cookiewet een mooi functionerend voorbeeld van dit standpunt is. En daarna hetzelfde bij de “U gaat dood van deze sigaret”-sticker op rookwaarverpakkingen.

Ik wil geen popups met uitleg over wat men gaat doen. Ik wil geen toestemming hoeven geven voordat de door mij gewenste diensten allerlei leuke dingen gaat doen. Ik wil niet hoeven nádenken over hoe ver de privacy-inbreuk mag gaan door de adverteerder van een dienst die ik gratis gebruik. Net zo min als ik wil hoeven nadenken over de hygiëne in de keuken van waar ik eet. Of de productveiligheid van de spullen die ik in de winkel koop. Dat wordt voor mij geregeld door mensen die daar verstand van hebben. En zo zou het ook moeten zijn bij privacyzaken.

Waarom mag ik er wel op vertrouwen dat producten mij geen fysieke schade toebrengen – maar niet dat diensten mijn privacy schade toebrengen?

Arnoud

16 reacties

  1. Het verschil tussen een fysieke winkel en al de leuke diensten zoals facebook zit in de informatie die men opslaat en hoe men die verkrijgt.

    In plaats van de mens op te voeden wordt het tijd dat privacy statements, gebruiksvoorwaarden en weet ik veel wat allemaal in normale taal gesteld gaan worden en maximaal 1 A4 zouden mogen zijn in een lettergroote 12. Alles wat je wel en niet met informatie ga doen en hoe je eraan kom kan je daar prima in neerschrijven. Dan kan men bepalen of ermee te leven valt of niet, en niet zoals nu >40 pagina’s door te spitten om te zien wat men wel/niet vermits tenzij danwel eventueel vast wel en zeer zeker niet doet tenzij wanneer evenwel indien… De reden voor dit soort langdradige documenten is helder, behalve een enkele malloot leest niemand ze voordat er op akkoord wordt geklikt.

    Ga er voor het gemak vanuit dat alle grote (en zeker Amerikaanse) gratis dienstverleners je privacy schaden.. Dat lijkt mij een prima uitgangspunt. Bedenk dat google en facebook meer van jou weten dan je eigen moeder. En je eigen partner.. en vooral dat laatste kan pijnlijk worden als je na predictor ca 8.5 maand later ook babykleertjes, luiers e.d. online hebt gekocht en vervolgens een felicitatiedienst thuis krijg terwijl je partner niet pas is bevallen 😉 Leuk die koppeling van allerlei gegevens….

    1. “If you are not paying for it, you are the product!” Zo simpel is het en niet alleen op het internet.

      Overigens inzake de informatie die winkels verzamelen; weet iemand welke winkels in Nederland je mobiele telefoon tracken? Ze weten precies bij welke producten je langer stil staat en welke route je door de winkel loopt. And dat alles op basis van het MAC adres van je telefoon!

      Ze zullen niet lang data hoeven te verzamelen om je te koppelen aan een bankrekening nummer als je met pin betaalt.

      Hoezo normale winkels zijn ‘veilig’?

      1. Denk niet dat ze mij kunnen volgen, wifi zet ik namelijk standaard uit. Behalve als ik thuis of op kantoor ben. Ik vermoed/veronderstel menig winkel die gratis wifi aanbied, maar zeker weten doe ik dat niet. Match pin met mac adres lijkt mij nog niet zo simpel, in ieder geval niet als het een erg drukke winkel is..

        Ten tweede betaal ik zelden tot nooit met pin, behalve als het zakelijke aankopen zijn, dan is het belastingtechnish handiger. Ik vind contact geld namelijk aangenaam anoniem, zeker als je weet dat banken wellicht de informatie willen gaan verkopen. En ja, ik weet dat nu wordt beweerd dat ze het niet gaan doen.. Voorlopig.. In ieder geval hebben banken het ernaar gemaakt dat ik ze niet zo heel erg meer vertrouw.

        1. Denk niet dat ze mij kunnen volgen, wifi zet ik namelijk standaard uit.

          In de nieuwste Android (>4.3) zegt dat niets: wifi-scanning gaat default gewoon door, dat moet je ergens in de advanced settings wegmeuken (waar gewone mensen uiteraard nooit komen).

          Zo werkt Google tegenwoordig, mensen het idee geven dat ze iets kunnen uitzetten, maar ondertussen, en dat allemaal onder het mom van voor een betere gebruikservaring is het beter dat onze servers altijd weten waar u bent, zelfs als u het zelf niet wilt.

          In het heerlijke rijtje: 1e instelling Google Chrome:

          Sign in to Google Chrome with your Google Account to save your personalized browser features to the web and access them from Google Chrome on any computer. You’ll also be automatically signed in to your favorite Google services

          Klinkt leuk, maar is natuurlijk marketingpraat in de configuratie/settings van software (foute plek voor wervende teksten) . En het betekent natuurlijk: geef ons nu toestemming om u overal en altijd op internet te volgen, en alles wat we verzamelen mogen we dan koppelen aan uw account. En ook leugenachtig, want je bent ook ingelogd bij je non-favorite Google services.

          Amerikaanse internetbedrijven lijken de Bush-doctrine te gaan hanteren: You’re either with us, or against us.

          Dat voelt als valsspel: ik wil best mijn bookmarks synchroniseren tussen PC en telefoon, maar niet continue ingelogd bij Google het internet afsurfen. Die keuze is er niet (meer).

          Misbruik van marktmacht? Koppelverkoop. Daar schuurt het tegenaan, dunkt me, alleen, alles is/lijkt gratis.

    2. Ook dat is gewoon opvoeden. Als facebook hun voorwaarden in Algemeen Plat Nederlands zou schrijven zou nog steeds niemand ze lezen, en nog minder mensen zullen dan facebook de rug toekeren want je wil wel gewoon zo’n dienst gebruiken en facebook is de enige serieuze aanbieder.

  2. Misschien een idee dat Algemene Voorwaarden in de wet wordt opgenomen je kan kiezen uit 1, 2, 3 of 4 dan weten de mensen wat er in staat en dat het wettelijk door de beugel kan. Ook weet je dat iedere winkel gelijk is aangezien er niets aan de AV veranderd mag worden.

  3. @ Boudewijn Ik weet niet of het gaat helpen om het in ‘normale taal’ op te gaan stellen. Alsnog zal bijna niemand het lezen en daarnaast helpt het denk ik weinig tegen het daadwerkelijke probleem. Men wil gewoon iets gebruiken en verwacht daarbij zoals Arnoud ook al aan geeft in zijn blog dat de privacyzaken goed geregeld zijn.

    Mijn ouders hadden bijvoorbeeld laatst een tablet gekocht en vroegen mijn hulp bij het installeren van apps. De apps vroegen vergaande toestemming en ik gaf dan ook aan dat het geen goed idee was om dat te installeren. Wat bleek echter? Vrijwel elke app vroeg dat, ook die van grote bekende bedrijven. Uiteindelijk hebben mijn ouders maar besloten om de apps van bekende bedrijven te installeren aangezien ze anders weinig aan hun tablet hadden.

    En dat is ook het probleem bij veel (gratis) internetdiensten (en heel veel andere dingen). Je kan de voorwaarden nog zo kort en leesbaar maken, maar dat zal niet veel helpen. Veel mensen lezen het nog steeds niet en zelfs als ze het lezen dan hebben ze eigenlijk geen echte keuze. Als je het niet accepteert dan kan je het niet gebruiken. Dan kan je heel simpel stellen dat je het dan maar niet moet gebruiken, maar als elk bedrijf onredelijke dingen doet dan kan je op een gegeven moment niets meer. Daarom ben ik het ook eens met Arnoud dat je niet ‘de burger moet opvoeden’ maar moet zorgen voor goede wetgeving en naleving daarvan.

    1. Ik zie ook liever dat men gegevens niet meer mag verzamelen, laat staan gebruiken. Veronderstel dat tegen dergelijke wetgeving een forse lobby op gang zal komen die effectief zal zijn.

      En al zou dergelijke wetgeving er wel komen, hoet gaat men de naleving controleren.. Zeker als het een bedrijf in het buitenland is wat de data daar ook opslaat.. De overheid heeft daar geen enkele jurisdictie.. In een ideale wereld houd een ieder zich aan de wet. Dat is in de praktijk toch anders. Zeker als het op data van gebruikers aankomt wat voor bedrijven als google en facebook een goudmijn is..

  4. Er moet inderdaad gewoon betere wetgeving komen. De huidige wetgeving (voor het gemak cookiewet genaamd) schiet op veel punten tekort. Het enige wat het doet is dat een tussenpersoon toestemming moet gaan vragen voor het schenden van jouw privacy door derde partijen, maar dat gaat slaat natuurlijk nergens op. Dat is alsof je Rijkswaterstaat verantwoordelijk maakt voor het rijgedrag van alle automobilisten.

    Veel beter zou het zijn als ze gewoon expliciet dingen gingen verbieden. Ik heb dan wel een verbod wat redelijk snel een einde maakt aan de meeste privacy schendingen:

    Verbied het volgen van een gebruiker/browser over websites die niet direct door dat bedrijf beheerd worden (dus een advertentienetwerk mag niet bijhouden welke sites iemand allemaal bezoekt en hem daardoor in een bepaalde categorie plaatsen. Ook retargeting is verboden. Maar een website beheerder mag wel gewoon zijn eigen gebruikers volgen / analyseren waarbij hij duidelijk moet aangeven wat hij met die data doet).

    1. Ook retargeting is verboden.

      En wat is precies de schade hiervan? Als ze dit verbieden, dan zullen ze bij telegraaf.nl heus niet denken ‘oh, dan zetten we wel geen banner neer’, maar dan komt er gewoon iets anders te staan wat irritant is. Als je de adverteerders minder macht geeft, dan verdienen de websites minder en moeten die kosten op een andere manier worden gecompenseerd. Dus door meer advertenties, of mindere dienstverlening. Lijkt me in beide gevallen onwenselijk voor de consument. Maar hij heeft wel zijn online privacy terug…

      1. Het feit dat een online dienst advertenties laat zien hoeft totaal geen inbreuk te maken op je privacy. Als jij op tv reclame ziet dan denk je toch ook niet ‘hier gaat mijn privacy’?

        En als je de adverteerders minder mogelijkheden geeft dan moeten ze binnen die mogelijkheden adverteren. En aangezien alle adverteerders dat moeten doen heeft een bedrijf gewoon geen keuze en zal hij dezelfde prijs moeten betalen en krijgt een website gewoon evenveel inkomsten. Je krijgt inderdaad wel meer advertenties omdat ze minder goed kunnen targetten. Maar daar gaat deze discussie niet over. Reclame an sich is geen inbreuk op je privacy.

        In het beste geval zullen ze andere campanges opzetten die niet afhangen van bannering. Gewoon geen reclame meer op internet maken is niet slim.

        1. Wellicht zetten ze hun budgetten dan wel anders in, dus gaat er bijvoorbeeld meer naar TV dan naar internet. Retargetting is gewoon een manier waarop significant meer geld wordt verdiend dan ‘normale’ bannering, dus heeft de adverteerder er ook meer geld voor over. Als dat stopt, zal er minder worden betaald voor dezelfde banner, en dus zal de site in kwestie minder inkomsten hebben. De macht ligt hier namelijk bij de adverteerders, en niet bij de beheerder van de website.

          Daarbij, hoe wordt je privacy precies geschonden door retargetting? Wat merk ik daarvan in het dagelijks leven, anders dan de daadwerkelijke retargetting? En wat maakt dat schadelijk of hinderlijk voor mij?

        2. “Het feit dat een online dienst advertenties laat zien hoeft totaal geen inbreuk te maken op je privacy. Als jij op tv reclame ziet dan denk je toch ook niet ‘hier gaat mijn privacy’?”

          Daar zit wel en verschil in; bij TV-reclame ziet iedereen hetzelfde, omdat men nog niet je kijkgedrag vastlegt. Bij internet kan men je volgen en je op jou gerichte reclames laten zien. Ik adviseer iedereen dan ook ABP+, Ghostery, Selfdestructing Cookies en Better Privacy te installeren. Ik heb dat overigens ook eens voor iemand gedaan, maar de meeste mensen snappen niet eens, waar het omgaat en bij deze persoon was het de volgende keer, dat ik kwam, allemaal weer doodleuk gedeïnstalleerd.

  5. Mogelijk is de verwerking van privacygevoelige gegevens wel in strijd met het recht op privacy, ondanks dat de betrokkene expliciete toestemming heeft gegeven voor de betreffende verwerking.

    Voor de wbp is toestemming voldoende, maar voor art. 8 EVRM misschien wel niet. Het europees hof vereist voor het prijsgeven van je grondrechten door middel van toestemming namelijk dat die toestemming plaatsvindt op basis van informed consent. Als een individu niet in staat was om de gevolgen te overzien van het geven van toestemming, bijvoorbeeld door gebrekkige informatievoorziening of simpelweg door het gebrek aan een goede alternatieve keuze (en in de context van social networks is beide vaak het geval) is de toestemming alleen onvoldoende grond om een beperking acceptabel te laten zijn (Vgl. EHRM 13 november 2007, 57325/00 (DH and others v. Czech Republic) r.o. 202-203).

    Misschien moet de staat maar eens strengere wetgeving maken op dit gebied; iets analoogs aan productaansprakelijkheid voor fysieke schade is wat dat betreft zo gek nog niet (maarja, wat is je schade als facebook een profiel van je maakt?)

  6. Waarom mag ik er wel op vertrouwen dat producten mij geen fysieke schade toebrengen – maar niet dat diensten mijn privacy schade toebrengen?

    Schone vergelijking. Ik zie nu de digitale landmijnen helder voor de geest.

    Wat je alleen vooral NIET moet gaan doen is zeggen: weet je wat, we gaan de burger opvoeden dat ze moeten lezen wat er gebeurt.

    Ik zie dit niet zo binair. Waarom geen én-én in plaats van óf-óf?

    1. En we lichten burgers voor hoe ze de landmijnen kunnen ontwijken, wie ze kunnen waarschuwen bij constateren, en plaatsen bordjes met een zwarte rand: “Pas op! Landmijnen achtergelaten in dit gebied!”.
    2. En we maken wetten om plaatsen van landmijnen tegen te gaan. Geven strenge straffen en boetes tegen overtreders en roepen: Blijf met je poten van onze poten af!

    Overigens als Amerika hier landmijnen zou gaan plaatsen, zoals ze bijvoorbeeld in Vietnam deden, dan worden onze wetten gewoon met de voeten getreden, en komen die mijnen er te liggen. Meer van optie 2 zal uitgelachen worden. Voorlichten van de burger middels optie 1 zal mogelijk nog enig soelaas bieden.

    We kunnen economisch en militair niet tegen Amerika op. Waar is die Europese VKontakte en Facebook? De Europese Baidu en Bing? De strijd om privacy zal mogelijk een oorlog worden.

  7. De vergelijking tussen privacy bij online diensten en productveiligheid (en andere normen voor consumentenbescherming) is een goede. Het zou volgens mij een verbetering zijn als er solide privacy-berschermings-wetgeving zou komen. Alleen: * door het internationale karakter van het internet zal nationale (of zelfs Europese) wetgeving niet erg effectief zijn * one-size-fits-all wetgeving is echt een 20e-eeuwse oplossing. Ik denk dat we beter kunnen:

    Je kunt verschillende normen maken waar consumenten uit kunnen kiezen (vooraf en eenmalig, en niet elke keer opnieuw zoals bij algemene voorwaarden). Elke norm kan een korte beschrijving hebben ter informering van de consument, en een gedetailleerde lijst van regels voor de dienstverlener; enigszins vergelijkbaar met hoe de verschillende Creative Commons licenties werken. Dienstverleners kunnen dan al dan niet gecertificeerd zijn volgens de verschillende normen; een browser-plugin (of vergelijkbare technologie) kan de consument informeren of een bepaalde site (of andere online dienst) aan de door hem gekozen normen voldoet, of zelfs sites blokkeren die niet aan die normen voldoen.

    Een overheid kan dan heel goed haar eigen normen binnen zo’n systeem onderbrengen, en een certificerings-instantie in het leven roepen. Een overheid zou daarbij heel goed als norm kunnen stellen dat een bedrijf binnen haar jurisdictie opereert, zodat de andere normen goed gehandhaafd kunnen worden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.