Mag een bedrijf zomaar alles in de privacyverklaring zetten?

| AE 9408 | Contracten | 9 reacties

“We may collect, use, transfer, sell and disclose non-personal information for any purpose.” Zomaar een zin uit zomaar een privacyverklaring? Nou nee, deze stond in de Unroll.me verklaring, een handig bedoelde nieuwsbriefafmeldapp die stiekem van taxibedrijf Uber afkomstig bleek. Uber gebruikte de app om te ontdekken wie er met concurrent Lyft reed, om zo het succes van Lyft te kunnen meten. Dat gaf de nodige ophef, omdat mensen dit best wel bespioneren vinden. Maar het stáát er toch gewoon, aldus Uber?

Uit diverse onderzoeken blijkt keer op keer dat mensen privacyverklaringen en algemene voorwaarden niet lezen. (En dat het 200 à 300 uur op een mensenleven zou kosten om dat wél te doen, en dat is dan zónder eventuele wijzigingen). Dat maakt de reactie van Uber (mooi gekarakteriseerd als “Sorry you’re upset”) maatschappelijk gezien wat twijfelachtig. Als je wéét dat mensen een tekst niet lezen, is het niet netjes om te verwijzen naar die tekst als enige rechtvaardiging.

Juridisch gezien klopte het natuurlijk wel, in ieder geval in de VS. Daar geldt: alles mag qua privacy, zolang je het vooraf maar netjes zegt. Privacyverklaringen putten zich daar ook altijd uit in lappen tekst met wat men doet en kan doen, en wijzigen wekelijks omdat ze wat nieuws erbij bedacht hebben.

In Europa mag dat niet zomaar: dingen met persoonsgegevens doen vereisen toestemming (of een rechtvaardiging onder een contract, plus nog wat uitzonderingen), en die kun je niet opeisen in een privacyverklaring of in algemene voorwaarden. Een privacyverklaring legt uit wat er gebeurt áls er toestemming is. Maar de toestemmingsvraag moet op zichzelf duidelijk en specifiek zijn. Dus ook “Ik geef toestemming voor alles uit de privacyverklaring” is niet genoeg.

Het probleem is vooral dat deze praktijken zijn ontstaan vanuit een tijd waar toestemming vragen – of privacyschendingen – een uitzondering was. Natuurlijk, in de jaren zestig ging je ook de openbare ruimte in: het café, de supermarkt en ga zo maar door. Logisch dat de caféeigenaar dan keek wat je deed, en de supermarkteigenaar kon wellicht bedenken dat als veel mensen bier kopen, het handig is de chips er naast te zetten. In die context is “hang even een bordje op als je rare dingen doet” heel begrijpelijk. En omdat het een uitzondering is, valt het op en dan leren mensen er ook weer wat van.

Met toestemming hetzelfde. Volgens mij is nooit voorzien bij het invoeren van wetgeving over persoonsgegevens dat iedereen dagelijks vele malen toestemming zou geven. Elke keer als ik de wettelijke eisen stel, moet ik denken aan het soort informed consent dat je als patiënt moet geven bij een medische behandeling. Duidelijke uitleg, een vrijwillige keuze en specifiek aangeven wat je wel of niet wilt. Bij internet-toestemming krijg je een folder van zes kantjes (met sticker “Let op: kan inhoudelijk afwijken van de werkelijkheid”) en blijken je nieren ineens tracking pixels te bevatten. Dat werkt niet helemaal, om het zachtjes te zeggen.

Alleen: hoe moet het dan wel? Wettelijke regulering, dus keihard opnoemen wat er wel en niet mag, lijkt me te blokkerend voor innovatie. De toezichthouder in abstracto laten oordelen over nieuwe ontwikkelingen? En dan vooraf of achteraf? Daar zie ik ook weer weinig in.

Arnoud

Deel dit artikel

  1. Met de GDPR ben je snel genoeg het bokje als je een zin als “We may collect, use, transfer, sell and disclose non-personal information for any purpose.” wilt toepassen. Naast dat je moet vermelden met wie en waarom is het verspreiden van persoonsgegevens (ofwel, de controle erover kwijtraken) vanaf mei 2018 gewoon strafbaar met boetes die er toe doen, Uber heeft zogezegd nog een uitdaging in Europa 🙂 Ik geloof dat GDPR een goed voorstel is die niet per se botst met innovatie en zelfs innovatie kan bevorderen. En Uber lijkt vooralsnog Evil als je in de details duikt.

  2. Alleen: hoe moet het dan wel? Wettelijke regulering, dus keihard opnoemen wat er wel en niet mag, lijkt me te blokkerend voor innovatie. De toezichthouder in abstracto laten oordelen over nieuwe ontwikkelingen? En dan vooraf of achteraf? Daar zie ik ook weer weinig in.

    Het probleem is niet de(ze) wet en de toezicht houder. Het probleem is een totaal gebrek aan concurrentie. Er zijn praktisch één social network (facebook), één zoekmachine (google), twee telefoonplatformen met ieder hun eigen problemen (Apple en Google). Twitter, Instagram, WhatsApp allemaal praktisch alleen heerser door hun omvang.

    In een markt met concurrentie geef je een partij die te ver gaat de spreekwoordelijke middelvinger en ga je naar de concurrent. Maar wat heb je aan een concurrerende chat app als al je contacten op WhatsApp zitten, idem met facebook. Wat heb je aan die andere zoekmachines als Google nog steeds een completere index heeft?

    Als je echt wil dat er wat gebeurt moet je die platformen verplichten interoperabel te worden. Dus iedereen kan zijn eigen sociale netwerk aan Facebook koppelen, Iedereen heeft tegen redelijke vergoeding toegang tot Google search en WhatsApp moet 3rd party apps toelaten in zijn netwerk.

  3. Volgens klopt het bericht van Arnoud niet helemaal als ik de genoemde link doorlees. Het is niet zo dat Unroll.me “stiekem van taxibedrijf Uber afkomstig bleek”. Uber heeft geanonimiseerde data van Unroll.me gekocht. Daardoor zijn ook de genoemde uitspraken “Maar het stáát er toch gewoon” en “Sorry you’re upset” niet van Uber maar van de CEO van Unroll.me.

    Het doet misschien niet ter zake in de juridische discussie rond dit geval maar in mijn ogen niet helemaal fair tegenover Uber.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS