Tiradeweek: Ja, en die privacyverklaringen zelf dan dus

Ah ja, die privacyverklaring. Gisteren noemde ik het een verplicht nummer, en daar kreeg ik wat geïrriteerde reacties op. Het is toch een nuttig instrument, en mensen hebben toch een eigen verantwoordelijkheid als ze niet de moeite willen nemen zich te informeren over wat een site doet? Eh, ja, whatéver: iedereen weet dat die privacyverklaring niet werkt, niet gelezen wordt en geen enkele bijdrage levert aan de voortgang van de maatschappij. In de shredder ermee dus.

Het concept privacyverklaring kent zowel een Europese als een Amerikaanse achtergrond. De Europese achtergrond is dat mensen alleen toestemming voor verwerking van hun persoonsgegevens kunnen geven als ze zijn geïnformeerd over het wat en hoe. Je ziet het zo voor je: een deskundig adviseur met vlot jasje die twee enigszins onzeker kijkende mensen uitlegt wat er gaat gebeuren met hun per-soons-ge-gevens waarna deze “nou ja, dat moet dan maar hè Henk, we willen toch héél graag dat spelletje spelen” zeggen en hun handtekening zetten. De Amerikaanse visie is dezelfde, maar dan nog iets explicieter het idee dat je “too bad, je had het kunnen weten sucker” kunt zeggen als mensen komen klagen.

Met enige regelmaat verschijnen studies die aantonen dat mensen die teksten niet lezen. Het is te veel, het is niet relevant voor de actie waar ze mee bezig zijn, het boeit ze niet, het is te moeilijk, alle mogelijke verklaringen noem ze maar op. Maar je zou denken dat privacy als iets belangrijks voelt, dus waarom steken we daar dan toch geen energie in? Misschien is het wel naïef optimisme: ja het zal wel die hele uitleg, dit is toch wettelijk geregeld en er is toch een toezichthouder, dan zal het uiteindelijk wel meevallen toch?

Recent las ik nog een betoog dat de reden is dat we het simpelweg opgegeven hebben, het idee dat we onze privacy kunnen beschermen:

[P]eople feel they cannot do anything to seriously manage their personal information the way they want. Moreover, they feel they would face significant social and economic penalties if they were to opt out of all the services of a modern economy that rely on an exchange of content for data. So they have slid into resignation

Oftewel: je kunt die privacyteksten wel lezen, maar uiteindelijk maakt het toch geen bal uit want ze doen toch wat ze willen en je móet meedoen anders word je uitgelachen als Facebookloze nerd of ouderwetse huisvrouw (m/v) die niet eens haar eten op Instagram zet.

Mensen geven wel om hun privacy maar als je niets kunt veranderen en mee móet doen, ja dan sjok je wel achter de massa aan. En dan is wel het laatste wat je wilt, een privacyverklaring lezen want daar word je alleen maar moedeloos van: oh, gaan ze óók al mijn GPS-locatie meten elke minuut en dat verkopen aan Nike zodat die haar advertenties beter bij mijn buitenbeleving kan laten aansluiten?

En dat is het natuurlijk precies waar het om gaat. Persoonsgegevens zijn waardevolle informatie voor bedrijven, hoe meer hoe beter en er is toch niemand die er wérkelijk een punt van maakt. We verzamelen en doen wat we willen, en we schrijven een schaamlap die met mooie woorden ongeveer uitlegt wat we doen zodat we een “too bad, je had het kunnen weten sucker“-excuus bij de hand hebben als mensen klagen, en een deskundig adviseur kunnen schetsen naar de toezichthouder. En zolang die (en de politiek) denkt dat de privacyverklaring net zo werkt als een zorgvuldige uitleg bij de medisch specialist, gaat er geen bal veranderen.

Dus: weg met de privacyverklaring. Het is vanaf nu verboden in een aparte tekst uit te leggen wat je doet. Alles dat je doet met mensen hun privacy, moet direct en onmiddellijk duidelijk zijn bij de feature zelf. Als dat niet kan, mogen er maximaal 3 regels (van 72 tekens elk, slimmeriken) aan uitleg bij. Als daar je uitleg niet in past, dan is het vanaf nu illegaal.

Arnoud

20 reacties

    1. Dat kan, maar dan gaan toepassingen die nu gratis zijn ineens (veel) geld kosten, omdat ze een ander verdienmodel nodig hebben… en dan hebben veel mensen toch liever gratis, want ze hebben toch niks te verbergen.

      1. Dat doet de Buienalarm app ook gewoon hoor; het kan jouw locatie volgen, of je stelt een aantal locaties in. En ja, al is het zelden, ik heb wel eens het weer bekeken van een locatie waar ik niet in de buurt was).

      1. @Richard, de problemen met de cookiewet is niet zozeer de EU richtlijn maar,

        1. De Nederlandse implementatie ervan die erg streng is en
        2. dat de meeste bedrijven de standaardtactiek van grote lappen (vaak niet kloppende) teksten gebruiken om het lezen van die verklaringen af te schrikken en maar zo snel mogelijk op akkoord te klikken, ipv een optie bieden om zonder cookies te surfen. En dat zal wel zo blijven zolang het grootste deel van het internet op advertenties draait.
        1. Het probleem is dat de EU regelgeving en de Nederlandse implementatie gewoon niet streng genoeg is om onze privacy op het internet echt te beschermen. De wetgever had gewoon moeten vastleggen dat op een website alleen de 1st party (de verantwoordelijk bij elke bezochte URI) gegevens mag verzamelen van DIENS bezoekers/klanten en deze gegevens alleen met expliciete toestemming van de bezoeker/klant mogen doorgeven aan derden. 3rd parties waarmee de bezoeker van een website niets te maken heeft moet gewoon verboden worden om persoonsgegevens te verzamelen. Dus adverteerders of statistics sites die via een andere URI componenten in een sites hangen mogen daarbij dan gewoon geen persoonsgegevens vastleggen. Wel zouden ze dan bijvoorbeeld niet persoonsgebonden zaken als het aantal hits of kliks mogen tellen of de gebruikt toegangspaden mogen vastleggen maar dus niet gekoppeld aan zaken als IP adressen of andere tot een persoonherleidbare gegevens.

    1. Klinkt in eerste instantie misschien goed, maar ik vraag me af hoe we dat dan gaan handhaven: de politie en recherche hebben hun handen al vol aan de gewone criminaliteit en in het civiel recht maak je als arme burger natuurlijk al helemaal geen kans omdat je die advocaten toch echt eerst zelf moet betalen en dan maar moet hopen dat je dat na winst (als je al wint) terug kan krijgen van de andere partij.

      1. Inderdaad, en het is onmogelijk om aan te tonen dat je daadwerkelijk persoonlijk schade hebt geleden door privacyinbreuk, dus zelfs als je wint krijg je niks.

        Volgens mij, als je een miljoen forfaitaire schadevergoeding zou hangen aan privacyinbreuken, dan zouden veel meer mensen een rechtzaakje proberen.

  1. Ik lees ze zelf ook niet meer. Het zijn vervelende onleesbare ondingen. Ik accepteer die als ik de dienst wil gebruiken en dan geef ik ze zo weinig mogelijk info.

    Ik draaide facebook in een sandboxed internetexplorer, terwijl ik de rest van mijn browsing in chrome doe. Tijdelijk even niet mogelijk, sandboxie werkt nog niet fatsoenlijk onder Windows 10.

    Over windows 10 gesproken, alle tracking staat uit. Typisch dat je dat alleen maar voor elkaar kan krijgen met registry keys. En ze waren zo goed opweg bij Microsoft 🙁

    Het plan is om straks als ik alles weer up en runnign heb niet alleen een sandbox voor facebook te gebruiken, maar ook voor andere zaken. Voordeel van de sandbox is dat je itt incognito mode wel authenticatie cookies kan bewaren. Daarnast wil ik voor de sandboxed browser een proxy gaan gebruiken, dan is tracken op browser footprint, cookies en ip adres uitgesloten.

  2. Probleem is dat mensen snel hun doel willen bereiken en alles wat hen afleidt gewoon negeren. Dat geldt niet alleen voor hun privacy maar ook zoiets eenvoudigs als beveiliging. Je moet dan een wachtwoord kiezen en mensen kiezen dan “123abc” of “qwerty7” in plaats van “o$3wi3$ewo$3wi3$ewa11akri$4a11a” wat een stuk veiliger is, en toch enigszins makkelijk te onthouden is als je 1334 spreekt en toevallig ook dat irritante kinderliedje kent. 🙂

    Waarom? Simpel. Het duurt te lang om een veiliger wachtwoord in te typen. Net zoals het te lang duurt om de algemene voorwaarden of privacy verklaring te lezen. Zelfs handleidingen worden in het algemeen niet gelezen, toch?

    Maar wat leuk kan worden: welk recht is van toepassing? Immers, de meeste sites zijn Internationaal bezig en het is steeds maar weer de vraag welk recht van toepassing is. Denk daarbij ook aan b.v. een Youtube filmpje die alleen in de USA te zien is en een Nederlandse bezoeker die via een VPN-verbinding alsnog toegang krijgt tot dat filmpje. Welk recht is dan van toepassing? Of mooier, een Amerikaan gaat op vakantie in Amsterdam en bezoekt via een internet-cafe hier een website die vervolgens zijn privacy schendt. Welk recht is dan van toepassing? Hij is immers via een Nederlandse computer de site gaan bezoeken. Ik denk dan ook dat het eerst belangrijk is om op internationaal niveau een minimum aan regels vast te leggen. Want we kunnen hier dan van die hele mooe regels hebben maar buiten onze grenzen hebben die maar weinig invloed…

  3. Al die idioterie (cookiewetgeving, privacypolicy, algemene voorwaarden) is alleen relevant als je een keuze hebt. Maar dat heb je niet: het alternatief is om geen account te nemen, of de site niet te bezoeken. Maar dat is veel te rigoreus. Mensen willen een fatsoenlijke keuze. Wel de site bezoeken, maar bijvoorbeeld de keuze tussen relevantere (en dus minder irritantere?) reclame, of meer privacy. Of tussen minder betalen en een snellere levertijd. Op dit moment zijn de keuzes slechter dan de default (Google betalen, maar dan nog steeds getrackt worden), of veel te rigoreus (dan gebruik je toch geen Facebook). Kom op zeg, dat zijn toch geen keuzes, dat is alleen maar doen alsof je een keuze biedt.

  4. In real life gaat het ook al fout. Probeer jij maar eens te voorkomen dat eeen hotel ofzo je paspoort achterhoudt of er een copy van maakt. Als je dat terecht weigert slaap je op straat in ten hoogste een kartonnen doos.

    1. Ik huur eigenlijk overal en altijd een appartementje als ik in het buitenland ben. Heb nog nooit een kopie van mijn paspoort hoeven afgeven in europa. Mijn paspoort nummer invullen op een formulier is eigenlijk altijd voldoende. (Noorwegen, Zweden, Duitsland, Oostenrijk en Italië tot dusver)

      In Spanje wilden ze een kopie paspoort per e-mail vooraf, ik heb daarop mijn BSN zwartgemaakt en in een doorzichtig watermerk de naam van de verhuurder gezet. Dat werd gewoon geaccepteerd.

      Dus op straat slapen valt nogal mee.

      1. Nou, mijn ervaringen zijn anders, zowel in Nederland als in andere EU-staten (CZ, P, S, B, F, D, DK, A). In ieder geval is het niet ongebruikelijk dat men gewoon maar vraagt, niet alleen om kopietjes maar ook om afgifte van het reisdocument zelf, en je sterk in je schoenen moet staan om te weigeren. Kopietjes zonder BSN worden inmiddels (twee decennia geleden was het echt anders) wel breed geaccepteerd, maar dat wordt rap anders als je ook je pasfoto en geboorteplaats en -land (want: indicatoren voor etniciteit dus net als BSN bijzonder persoonsgegeven, en irrelevant voor het onderhavige doel) zwart maakt.

  5. Ik heb geen Facebook Ik heb geen WhatsApp Ik heb geen Instagram Applicaties krijgen standaard geen toestemming voor locatie gegevens enz En zo kan ik nog even doorgaan.

    Ik ben zeer actief op internet. Ik ben mij zeer bewust van mijn privacy. En hoewel volledige anonimiteit absoluut niet meer mogelijk is op Internet, zal iemand die op mijn volledige naam zoekt bar weinig kunnen vinden. Als iemand met mij in contact wil komen, dan kunnen ze dat doen op manieren die ik wil gebruiken, niet zoals zij willen. Als ze dat niet willen, jammer dan, dan communiceer je niet met mij, doei!

    Het is allemaal echt niet zo moeilijk. Het is zelfs makkelijker als op de middelbare school geen merkkleding of merkschoenen dragen. Maar het komt beiden op hetzelfde neer: zelfvertrouwen, eigenwaarde, zelfstandigheid, en staan voor je eigen normen en waarden in plaats van meewaaien in welke richting de wind vandaag toevallig waait.

    Maar ik geef toe, dat is voor veel mensen teveel gevraagd.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.