Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die nu eenmaal even nodig is om bij die site te kunnen. Toch kent ook de nieuwe privacywet de toestemming als basisbeginsel, en blijft het op allerlei plekken opduiken als basis voor wat je maar wilt doen met iemands privé. Raar.
Het uitgangspunt was ongetwijfeld heel nobel en integer. Als je iemands persoonsgegevens wilt verwerken, dan vraag je die persoon om toestemming. Net zoals je zonder toestemming mensen niet gaat opereren of hun huis betreedt. Gewoon een kwestie van integriteit, van fatsoen. Dus dat zetten we dan ook in de wet: toestemming is de algemene grond, en natuurlijk pas te geven na adequate informatieverstrekking en in volstrekte vrijwilligheid.
Volgens mij was er daarbij wel altijd soort van de aanname dat het verwerken van persoonsgegevens een ietwat bijzondere gebeurtenis was. Iets om even bij stil te staan, iets dat mensen niet perse dagelijks doen dus iets waar je best even de tijd voor mag nemen. Zeg maar een poliklinische ingreep: geen operatie met drie dagen herstel daarna, maar wel iets om je even over te laten inlichten en goed bij stil te staan voordat je ja zegt.
Die aanname is echter volledig verdwenen in de informatiesamenleving. Toestemming vragen is aan de orde van de dag, en gebeurt zó veel en zó vaak dat niemand er meer van opkijkt of bij stilstaat. En dan gaat het hele effect er vanaf natuurlijk. Dan wordt het die droge klik zonder nadenken, zonder betekenis.
Is dat erg, kun je je afvragen. Ik denk het wel, omdat de wet nog steeds opereert onder de aanname dat je wél nadenkt. Wél jezelf even goed informeert. Juridisch advies inwint over wat die wollige taal betekent. En vooral: er vanaf zou zien als je denkt, dit is toch niets voor mij. En de constructie daarbij is dat als je in die situatie toestemming geeft, eigenlijk alles mag. Daar zit voor mij dan de pijn: mensen klikken murwgebeukt op elke Akkoord-knop en de gevolgen worden gebillijkt omdat ze geacht worden te hebben nagedacht en afgewogen alsof ze bij de huisarts een nieuw medicijn moeten uitkiezen.
Het onmiddellijke tegenargument is natuurlijk, dan moet je maar écht eens even nadenken en afwegen als je privacyvragen krijgt. (Bij voorkeur met de flauwe dooddoener dat je toch al je privacy opgeeft door alles op Instagram en Facebook te delen.) Maar dat vind ik niet reëel meer. Als de situatie is dat je elke vijf minuten een lap tekst moet lezen en ja moet zeggen (en anders hup terug naar Google), hoe kun je dan nog in redelijkheid suggereren dat mensen de tijd moeten nemen om goed na te denken?
Dus nee. Wat mij betreft schrappen we dus de toestemming als grondslag. Wie persoonsgegevens wil gebruiken, moet maar gewoon aantonen dat hij dat nodig heeft en waarom dat belang zwaarder weegt dan de privacy.
Arnoud
Lastig. Cookie notice is duidelijkste voorbeeld. Bijna niemand wil cookies (althans, niet per se 50 per site, waaronder allerlei tracking cookies), maar je geeft toch maar toestemming omdat je anders geen nieuws kan lezen of andere diensten afnemen. Daar zit gelijk ook een probleem. in wat jij voorstelt. Een site zal ongetwijfeld aangeven dat al die verwerkingen zwaarder wegen dan de privacy van de internetgebruiker. Meer in het algemeen zal een bedrijf bij de Artikel 8 sub f Wbp grondslag (in wezen wat je voorstelt) de balans vrij snel laten doorslaan in het nadeel van privacy. Het probleem zit heel diep: wat willen we nu eigenlijk als samenleving? Daar moeten we over moeten nadenken. Verwerken van persoonsgegevens en analyseren van data kunnen tot prachtige diensten e.d. leiden. Maar ergens moeten we een grens trekken, niet alles is in het licht van het grondrecht wat privacy (en zelfs gegevensverwerking in de EU) nog altijd (en terecht!) is toelaatbaar.
In het verlengde hiervan, ik accepteer cookies altijd, maar voor alle behalve gewhiteliste sites worden die na iedere sessie gewist. Als ik een site echt niet vertrouw start ik tegenwoordig een VM op die niets opslaat/kan slaan.
In het verlengde hiervan: waarom maken we het niet verplicht dat elke website het mogelijk maakt om via een standaard interface je persoonsgegevens te downloaden en eventueel aan te passen en te verwijderen. Hier kunnen dan tools op gemaakt worden die hiermee aan de slag kunnen. De banken moeten binnenkort volgens de PSD2 richtlijn financiële gegevens deelbaar maken; moeten we niet iets dergelijks verplicht stellen voor sociale netwerken, zodat je heel eenvoudig kunt overstappen naar een ander sociaal netwerk kunt overstappen, dan wel je gegevens in het vervolg zelf hosten (wat veel beter zou zijn).
Dat is net zoiets als zeggen laat iedereen zijn eigen auto onderhouden. Zelf je email/blog/etc hosten is bijna niet te doen. Alleen de techneut kan dat (goed doen) en is heel veel werk, om je servers up to date te houden, wat niet veel waarde brengt voor die paar emailtjes die je stuurt.
Het hangt er een beetje vanaf van wat je zelf hosten noemt. Een managed server kan je ook onder selfhosten vatten. Jouw persoongegevens liggen dan wel bij een derde, maar dit is niet facebook.
Twijfel zelf toch weer over een eigen blog icm Facebook. Om de facebook contacten te onderhouden de (relevante) blogposts met snippets linken op facebook. Dan host ik ook mijn eigen data en is die als ik het verwijder ook echt weg.
Nou, ik denk dat dat toch anders ligt. Ja, een eigen server opzetten en onderhouden kost wat werk en zul je moeten leren, maar i.t.t. het onderhouden van een auto heb je:
1 Meer vrije documentatie, danwel handleidingen over servers en e-mail hosten (als je je gehele auto zelf wilt onderhouden heb je een betaalde opleiding nodig én zul je heel veel moeten noteren). 2 Minder gevaar. Voor bijv. auto’s moet je een APK laten uitvoeren. Als je dat zelf gaat doen, dan gaat het geheid fout. Met een server kun je ook fouten maken maar in 99% van de gevallen is dat software-gerelateerd dus makkelijker op te lossen, danwel makkelijker hulp te vragen. En niet te vergeten dat je dan in 99,9% van de gevallen je medemens niet in gevaar brengt i.t.t. een verkeerd onderhouden auto, danwel verkeerd uitgevoerde APK. 3 Voor een server kun je zelfs nog kiezen voor een self-hosted-oplossing. Bijv. middels Amazon S3.
Als mensen de moeite niet nemen om de cookie notice te lezen, waarom zouden zij dan wel hun eigen gegevens hosten?
Geautomatiseerd? I.c.m. de gemiddelde beveiliging is dat een natte droom voor hackers. Facebook en Google hebben iets meer budget om ook over beveiliging na te denken dan een random social media startup.
Zowel Facebook als Google hebben overigens al een dergelijke dienst. Standaardisatie zie ik niet snel gebeuren, alleen al omdat de concepten en structuren van de diensten bepaald niet identiek zijn (PSD2 hergebruiken is makkelijker, die standaard was om andere redenen ontwikkeld). Hooguit dat dienst1 een verdienmodel ziet in het kunnen importeren van de export van dienst2.
Zie NVJ pre-advies Lokke Moerel en Corien Prins die hetzelfde zeggen, net als ik al sinds de ING big data casus trouwens. Door toestemming te vragen leg je de belangenafweging op het bordje van de consument. Die is niet of nauwelijks in staat om die afweging op een fatsoenlijke manier te maken, zelfs niet als je ‘m wel alle informatie zou geven. Bovendien zeg je daarmee eigenlijk dat je geen rechtvaardigd belang hebt, want dan had je geen toestemming nodig.
Het Duitse recht kent zo mooi het ‘Recht auf informationelle Selbstbestimmung’, dus dat je zélf mag bepalen wat er met gegevens over jou gebeurt. Dat is een grondprincipe van privacy: ik zeg altijd tegen mensen dat privacy inhoudt dat je zelf bepaalt wie jou naakt mag zien, en dat dat voor iedereen verschillend is. Wat jij feitelijk aanhaalt is dat verwerkers de grondslag toestemming niet op een manier inzetten die werkelijk invulling geeft aan dit principe. En ja, daar mag wel eens wat aan gedaan worden. Mogelijk helpt de AVG daarbij, waarbij je met de voeten zou kunnnen gaan stemmen (dataportabiliteit). Maar de toestemming afschaffen? Iets met kind en badwater.
Hij blijft leuk 🙂 http://www.bonkersworld.net/agreement/
Ik vraag me altijd af of ik mijn toestemming ook weer kan intrekken? En welke garanties heb ik dan wettelijk gezien?
Wat als ik bij een willeukeurige dienst akkoord ga met de voorwaarden en toestemming geef en een dag later mijn toestemming (per mail) weer intrek? Verliest dan die dienst het recht om mijn gegevens verder te verwerken? En mogen ze mijn gegevens van die ene dag nog wel bewaren of moeten ze die ook verwijderen?
Eens. En dan hebben we het trouwens nog niet over bedenktijd-sites. Op Facebook bijv. kun je achteraf je toestemming intrekken door je account te verwijderen, maar pas na 30 dagen is je account ook echt verwijderd. Dus hebben ze nog 30 dagen de tijd om informatie uit jou account op te slaan en weet-ik-veel-wat er mee te doen.
Twee bezwaren.
1) wat is het alternatief? Geen toestemming meer vragen? Dat websites helemaal geen cookies mogen plaatsen? Wat verwachten we nou eigenlijk als we een gratis website met nieuws bezoeken? Daar zit tijd en kosten in en dat moet toch terugverdiend worden? Dus we betalen met onze ‘persoonsgegevens’ want we zijn te gierig om gewoon een abonnement te nemen. Of beter gezegd, opgevoed met het idee dat het allemaal gratis kan. Dus de implicaties van het afschaffen van toestemming als grondslag voor het verwerken van persoonsgegevens zijn enorm, het hele verdienmodel van het www gaat daarmee op de schop. Worden we daar beter van?
2) eigenlijk is het wel pretentieus om te veronderstellen dat mensen niet snappen wat het allemaal inhoudt als ze toestemming geven voor privacy-inbreuken. Iedereen bestempelen als handelingsonbekwaam op het internet? We vinden dan dus dat mensen niet in staat zijn om te begrijpen wat het inhoudt als ze toestemming geven voor privacy-inbreuken maar ze kunnen kennelijk wel beslissen over zaken als zich diep in de schulden steken voor een nieuwe auto, een mobieltje of een vakantie, het nuttigen van grote hoeveelheden alcohol, het nemen van kinderen….. Hmmm, knelt een beetje.
“eigenlijk is het wel pretentieus om te veronderstellen dat mensen niet snappen wat het allemaal inhoudt als ze toestemming geven voor privacy-inbreuken.”
Ik weet niet of jij wel eens geprobeerd hebt die statements te lezen voor je akkoord gaat?
-> Ze zijn vaak onduidelijk geschreven, lijkt wel of ze zo algemeen mogelijk willen zijn. -> Ze zijn veel te lang, lijken bijna wel algemene voorwaarden tegenwoordig. -> Ze staan op vrijwel iedere website, tracking is de nieuwe nationale hobby. -> Ze worden zeer frequent aangepast, zonder duidelijke markering van de wijzigingen. Kunnen ze tegenwoordig geen besluiten meer nemen en zich daar aan commiteren?
Als jij wel weet waar je allemaal toestemming voor geeft dan ben je of werkloos of je besteed je volledige vrije tijd aan het lezen van privacy voorwaarden.
Hoho, niet iedereen over één kam scheren. Er zijn wel degelijk mensen, zoals ik, die een abonnement wel zien zitten. Gelukkig zijn er sites zoals Tweakers die dat dan ook aanbieden. Het probleem zit hem voor mij meer in het feit dat de keuze er vaak niet is. Je zegt wel lekker makkelijk dat men wil dat alles gratis is en er daarom geen abonnementskeuze is, maar daarmee geef je de mensen die wél bereid zijn een abonnement te nemen ook niet de keuze dat wel te doen.
Handelingsonbekwaam? Nee. Niet geïnformeerd? Ja. En geheel begrijpelijk. Niet iedereen is op de hoogte van de werking van technologie en wat er tegenwoordig allemaal wel niet mogelijk is. Helaas zou je zeggen, misschien, maar wel de werkelijkheid. De ontwikkelingen staan niet stil, steeds ingrijpender wordt er inbreuk gemaakt op de privacy; steeds meer gegevens worden verzameld. We krijgen een melding met een summiere boodschap dat er gegevens verzameld gaan worden als je accepteert en dan? Hoe worden de gegevens verzameld en wat dan precies, wat is al bekend, waar gaan de gegevens precies heen, wat wordt er allemaal mee gedaan en hoe kan het worden verwijderd? Om maar een paar vragen te benoemen. Tot slot, en dat heeft mij altijd verwonderd, is het volkomen onduidelijk hoe lang de gegevens bewaard worden. 5 jaar, 10 jaar, 100 jaar? De Wbp zegt:
Ik zou niet willen zeggen dat het pretentieus is om te zeggen dat mensen niet snappen wat het allemaal inhoudt.
Facebook is van mening dat de datr cookie noodzakelijk is om ddos aanvallen op hun netwerk te voorkomen. Met zo’n argument kun je volgens mij alles verantwoorden.
Wat betreft cookies zijn er browser extensies die automatisch ja klikken als om toestemming gevraagd wordt om cookies te zetten. Is het niet beter om zoiets te maken, maar dan met een goede api. Zodat je ook automatisch nee kunt klikken voor bepaalde soort (optionele) cookies. En je kunt terugkijken waar je overal toestemming voor hebt gegeven. Die toestemming zou je natuurlijk ook weer moeten kunnen intrekken.
Op zich een goed idee, maar die toestemming kun je makkelijk intrekken door de cookie ter verwijderen. Dan krijg je opnieuw de vraag of je de cookie wilt accepteren en kun je ditmaal weigeren.
Niet mee eens. Ik vind het heel goed dat mensen steeds die vragen gesteld krijgen. Het is irritant, maar zo blijven ze er zich bewust van dat je voor het gebruik van een dienst met persoonsgegevens betaalt, en zo krijgen ze altijd een logisch moment voorgeschoteld waarop ze kunnen gaan nadenken en nee zeggen als het ze te grijs wordt (en dat doe ik wel eens).
Blijven doen dus.
Zou het misschien helpen als er geen algemene omschrijving werd gegeven maar als de de vraag expliciet zou zijn. Gewoon weergeven welke informatie met wie gedeeld zal gaan worden. Immers pas als je weet wat er van je gedeeld wordt dan wordt het pas duidelijk wat je te verbergen hebt. Of, als dat vooraf nog niet te zeggen is de website verplichten om de info die ze verkopen ook in cc naar de betrokkene te sturen, dan weet je in ieder geval de volgende keer waar je ja op zegt.
Ik vind het veel beter voor de privacy om per verwerking (of ontvanger van de gegevens) toestemming te moeten geven, zoals bijvoorbeeld Xs4All doet: Wij geven bij aanvraag van een aansluiting aan KPN uw gegevens door, zodat zij de aansluiting in de centrale kunnen regelen en Uw adres aan onze koerier voor het bezorgen van het pakket met modem.
Veel beter dan “U geeft toestemming voor het delen van Uw gegevens met onze partners.”
Leuke blog Arnoud.
Allereerst een kleine nuancering (ja, ik weet het, daar wordt het verhaal gelijk minder “pakkend” van maar toch): het is niet helemaal correct dat het uitgangspunt altijd al was dat toestemming vereist is alvorens persoonsgegevens te verwerken. Zo kan een wettelijke plicht of een van de andere resterende vier grondslagen (naast toestemming) ook een rechtvaardiging vormen voor de verwerking. De toezichthouders (wp29) hebben in het verleden ook al betoogd dat niet te snel om toestemming gevraagd moet worden (juist ook om te voorkomen dat consumenten anders murw worden gebeukt met toestemmingsverzoeken).
Maar goed, dat even als klein uitstapje. Over naar de meer inhoudelijke reactie.
Naar mijn idee is – ietwat uitzoomend – het probleem dat de (Europese) wetgever zelf geen (iets beter: nauwelijks) keuzes maakt. Abstracte beginselen uit oude verdragen over hoe je zorgvuldig met persoonsgegevens zou moeten omgaan worden niet omgezet in concrete regels, maar overgepend als de regel. In de kern: wees zorgvuldig bij het verwerken van persoonsgegevens en veel succes bij de (eigen) afweging wat zorgvuldig zijn dan precies inhoudt. Als je dat in het verkeer zou doen dan krijg je een situatie met alleen maar artikel 5 Wegenverkeerswet en verder geen verkeersborden meer.
Als je als wetgever zelf geen keuzes maakt, is het m.i. juist wel logisch dat je als wetgever in ieder geval bepaalt dat iets is toegestaan als de consument er zelf mee instemt. In zoverre vind ik de toestemming als grondslag wel logisch.
We kennen dit verschijnsel van abstracte regels natuurlijk ook uit het onrechtmatige daadsrecht. Je kunt tot schadevergoeding veroordeeld worden voor gedragingen die in strijd zijn met de maatschappelijke betamelijkheid, maar wat daaronder precies wordt verstaan vind je nergens letterlijk in de wet terug. Ook daar geldt dat als iemand schade lijdt voor gedrag waar het slachtoffer zelf mee heeft ingestemd, dat de schade niet toerekenbaar is en dus niet voor vergoeding in aanmerking komt. Juridisch-dogmatisch noemen we dat geen toestemming, het eindresultaat is wel hetzelfde.
Waar ik persoonlijk in het privacyrecht veel meer moeite mee heb is het leggen van een zwaardere lat bij het vereiste van toestemming dan bij het verrichten van andere rechtshandelingen. Daardoor ontstaat de gekke situatie dat bijv. een werknemer en een werkgever wel een arbeidscontract kunnen sluiten, wijzigingen overeen kunnen komen ten aanzien van pensioenvoorzieningen of een (complexe) gouden handdrukregeling kunnen sluiten in samenhang met ontslag van de werknemer, maar dat de werknemer niet in vrijheid zou kunnen beslissen over de verwerking van persoonsgegevens die daar weer uit voortvloeit. Een soort privacyrechtelijke handelingsonbekwaamheid dus. M.i. een bizarre conclusie en niet goed te rijmen met hoe we in NL normaal omgaan met rechtshandelingen (zoals vernietiging op grond van bedrog of misbruik omstandigheden, waar overigens in de MvT bij de Wbp ook naar verwezen wordt).
Of dat een websitebezoeker geen toestemming zou kunnen geven bij een cookiewall, omdat de achterliggende website zo aantrekkelijk voor hem is en hij dus eigenlijk niet in vrijheid beslist. Dat zou impliceren dat zodra je “betaalt” met persoonsgegevens, de dienst opeens gratis moet zijn? Dat lijkt me op gespannen voet staan met de vrijheid van ondernemerschap (een grondrecht in de Unie).
Wel denk ik, en ik vermoed met jou, dat het in een informatiesamenleving logischer zou zijn om als wetgever juist wel bepaalde keuzes te maken. En bijvoorbeeld enkele duidelijke grenzen te stellen aan bepaalde verwerkingen van persoonsgegevens (bijv. de omvang van bepaalde big data profielen, het soort gegevens in dergelijke profielen, etc.) en bepaalde zaken gewoon hard te verbieden. Het is immers best gek dat EU consumentenrecht heel streng is en vanzelf door de rechter moet worden toegepast, terwijl het privacyrecht de bal bij de consument zelf legt (of de toezichthouder, maar die heeft – juist in een informatiesamenleving – een selectie te maken van alle dossiers).
Schot voor de boeg: als wettelijk wordt bepaald dat een juiste voorstelling van zaken ten aanzien van privacy vermoed wordt een relevant gegeven voor het sluiten van een overeenkomst te zijn, dan zijn alle overeenkomsten die onder een verkeerde voorstelling van zaken zijn gesloten opeens vernietigbaar op grond van dwaling. Dan staat er opeens een simpele economische sanctie op slecht privacybeleid, namelijk onzekerheid in de omzet. Al was het maar omdat concurrenten daarmee – mits transparant en geen “appels met peren vergelijking” – mogen adverteren en zo consumenten kunnen weglokken bij een privacyschendende concurrent. Dat kon wel eens veel beter werken dan boetes.
Ik ben het met Arnoud eens dat het toestemmingsvereiste een lege huls is geworden. Het moderne leven is vrijwel onmogelijk zonder gebruik te maken van veelal gratis cloud diensten die dan vervolgens worden vergeldelijkt (vroeg voorstel voor het woord van 2017: vergeldelijkt) door iets met de gebruikersdata te doen; slechts weinigen willen betalen voor een zoekmachine. Door toestemming van de gebruiker te vereisen heeft de wetgever geprobeerd het eigendom van de persoonsgegevens expliciet bij het individu te leggen die dan vervolgens in vrijheid zou kunnen beslissen om de ene wel en de andere niet toestemming te verlenen om die gegevens op te slaan en te verwerken. Dat plan is mislukt door de “feiten op de grond”. Je kan wel proberen om krampachtig aan de fictie vast te houden dat de gebruiker in vrijheid en met afweging van alle factoren toestemming heeft gegeven, maar dat is eenvoudigweg niet houdbaar. Dus: Afschaffen die toestemming en vervangen door een informatieplicht waarbij de verwerker een gebruiker moet informeren over de gegevensverwerking en de gebruiker de mogelijkheid geven om ergens op te vragen welke gegevens hoe worden verwerkt. Dat houdt de eikels eerlijk (“keeps the bastards honest”).
Ik zie een privacy-verklaring al als een vorm van informatievoorziening. Als je wil kan je daarin opzoeken wat voor dingen een dienstverlener zichzelf toe in staat acht. Dat die dingen nogal lang en onleesbaar zijn, daar verandert jouw voorstel volgens mij niets aan.
Goed voorstel! Tenminste… wat betreft toestemming die je op een website geeft, voor het gebruik van online diensten. We hebben natuurlijk ook de offline wereld nog, waarbij je ouderwets face-to-face kan vragen wat ze nou precies van plan zijn met je persoonsgegevens. De privacywetgeving borgt bv. ook, dat scholen of kinderopvangcentra toestemming moeten vragen voor het maken van foto’s van de kinderen. Ik bedoel dan niet per se voor publicatie op internet. Ook als we foto’s alleen delen met de ouders van de kinderen die op de foto staan, dan is dat evengoed de verwerking van een persoonsgegeven en is toestemming nodig. De meningen hierover verschillen nogal. Een deel van de ouders vindt het erg leuk om foto’s te kunnen bekijken van hun kind, van bijvoorbeeld tijdens een excursie. Daar vragen ouders soms zelf om. Andere ouders vinden het goed, maar onder voorwaarden (bijvoorbeeld alleen als de foto’s op een afgeschermd deel van de website worden geplaatst). Een klein deel wil het juist absoluut niet. Een algemene belangenafweging moet je hierbij niet willen maken.
Afspraken maken zonder toestemming te vragen per individu is een ding. Op een werkbare manier handhaven iets anders. Zie zowel meldplicht datalekken (nog nul keer boete) als Privacy Shield etc. Zou het worden gehandhaafd?
Uit de heup geschoten en kort door de bocht alternatieven voor de 500 pagina’s privacy agreements: – akkoord vragen in max. 50 woorden die de max breedte beschrijft. Verzachting/uitleg in het voordeel van het product eeuhm de klant mag in kleine letters. Dat levert tenminste op dat de privacy statements minder copypasteklaar zijn en iets meer toegespitst op de feitelijke situatie. Bonus voor externe juristen zoals ICTRecht is dat er dus wat meer creatieve denk-tijd in gaat zitten 😉
Een beetje handhaving is genoeg: 95% van de gegevensverwerkingen waar ik online toestemming voor geef, is volgens EU-recht illegaal. Bijna alle toestemmingsvragen die ik zie zijn incorrect gesteld. Als de AP daarop gaat handhaven (kassa!), dan komen we vanzelf in de situatie waarin toestemming veel minder belangrijk wordt als grondslag.
Op welke manier zijn die toestemmingsvragen incorrect gesteld?
Ze zijn zelden specifiek genoeg.
Of zelfs misleidend: “Wij gebruiken cookies om uw gebruikservaring te verbeteren” bijvoorbeeld, met alleen wat wollig taalgebruik in de privacyverklaring. Soms staat er zelfs niet de vraag of je akkoord gaat bij.
Of bedoel je “Met het gebruik van onze website gaat U akkoord met het zetten van cookies” en de cookies staan er al voordat je die mededeling kunt lezen.
Ik ben het helemaal eens met de opmerking dat de informatievoorziening te wensen over laat; ik was benieuwd waarin het volgens anderen zit. Ik hoor vaak als tegenargument dat het onmogelijk is om mensen écht van informatie te voorzien, omdat het allemaal veel te ingewikkeld is om uit te leggen in een pop-up en dat mensen het toch niet lezen (dus maakt het niet uit?). En ik moet toegeven dat ik ook niet altijd de cookie-melding lees als ik snel even wat wil bekijken. Handhaven op slechte meldingen is denk ik wel lastig, want wat is dan genoeg informatie? Afschaffen zonder alternatief lijkt me overigens niet verstandig.
Bij veel websites is de boodschap buitengewoon onplezierig: Onze adverteerders hebben lak aan de WBP en EU privacy regels en zullen Uw gegevens ook over Uw bezwaren hiertegen verwerken en delen met derde partijen. Ik weet dat de gemiddelde PR afdeling zo’n eerlijke melding slecht voor het imago vindt; daarintegen is echt liegen nog schadelijker voor het bedrijf. Gevolg: vage statements over partners en gegevensverwerking ten behoeve van gebruikerservaring. (Ja, het tonen van “relevantere” advertenties is een gebruikerservaring :-/ )
Ik ben het op zich hier wel mee eens, maar je moet onderscheid maken denk ik tussen wat mensen particulier met organisaties doen via sites e.d. en wat instellingen met persoonsgegevens doen, daar zal de toestemmingsvereiste toch wel zeker overeind moeten blijven (medische gegevens, overheid etc.) Zonder de toestemmingstoets heb je ook geen informatiepunt en manier om vertrouwenskwesties te bespreken en te toetsen.
Ik denk eerder dat je een probleem laat zien van het online toestemming geven.
Als alleen een muisklik niet genoeg is voor toestemming kom je al een heel eind.
1e optie Laat gebruikers die gevraagd worden wezenlijke rechten op te geven maar hun id ondertekend opsturen ofzo.
2e optie. Probleem is dat overeenkomsten online idioot lang zijn. De digitale wereld maakt misbruik van het feit dat er geen gebrek is aan papier. Stel de lengte van een overeenkomst zelf als onredelijk bezwarend en vernietig de hele overeenkomst. (Natuurlijk naar redelijkheid van het soort overeenkomst, ik zie dit vooral voor software eulas enz)
3e optie Stel een straf in op het opnemen van onwettige voorwaarden door de gehele overeenkomst te vernietigen als deze te veel onwettige voorwaarden bevat. Veel van die overeenkomsten bevatten idioot veel dingen die totaal niet mogen, je moet een goed ingelezen jurist zijn om ze allemaal te herkennen. Vaak ook omdat ze zijn opgesteld voor de VS en niemand de moeite doet ze aan te passen.
Het afschaffen van toestemming, en dus het ondergraven van keuzevrijheid, is een vrij grote stap. Maar het iets anders definiëren van toestemming geven is geen gek idee. Zoals het nu is wordt iedereen de hele dag met tomaten bekogeld, en als je met je ogen knippert als er een tomaat tegen aan komt is het “Ha! Je geeft toestemming!”
De 3e optie bestaat al, zij het in iets andere vorm. Het is verboden bedingen van de zogenaamde zwarte en grijze lijst te hanteren (http://wetten.overheid.nl/BWBR0020586/2016-08-11/0/Hoofdstuk8/Artikel8.3/). Daarop staat een maximale boete van 9 ton (http://wetten.overheid.nl/BWBR0020586/2016-08-11/0/Hoofdstuk2/Paragraaf2/Artikel2.15/).
Je daarmee zou ook kunnen stellen dat de overeenkomst nietig althans in ieder geval vernietigbaar is (immers in strijd met de wet), maar dat heb ik in rechte nog niet geprobeerd zien worden en voelt ook wel als een soort U-bocht constructie (want op gebruik van zwarte en grijze bedingen staat überhaupt al de sanctie van vernietigbaarheid in de regels over AV).