Mag een bedrijf zomaar alles in de privacyverklaring zetten?

“We may collect, use, transfer, sell and disclose non-personal information for any purpose.” Zomaar een zin uit zomaar een privacyverklaring? Nou nee, deze stond in de Unroll.me verklaring, een handig bedoelde nieuwsbriefafmeldapp die stiekem van taxibedrijf Uber afkomstig bleek. Uber gebruikte de app om te ontdekken wie er met concurrent Lyft reed, om zo het succes van Lyft te kunnen meten. Dat gaf de nodige ophef, omdat mensen dit best wel bespioneren vinden. Maar het stáát er toch gewoon, aldus Uber?

Uit diverse onderzoeken blijkt keer op keer dat mensen privacyverklaringen en algemene voorwaarden niet lezen. (En dat het 200 à 300 uur op een mensenleven zou kosten om dat wél te doen, en dat is dan zónder eventuele wijzigingen). Dat maakt de reactie van Uber (mooi gekarakteriseerd als “Sorry you’re upset”) maatschappelijk gezien wat twijfelachtig. Als je wéét dat mensen een tekst niet lezen, is het niet netjes om te verwijzen naar die tekst als enige rechtvaardiging.

Juridisch gezien klopte het natuurlijk wel, in ieder geval in de VS. Daar geldt: alles mag qua privacy, zolang je het vooraf maar netjes zegt. Privacyverklaringen putten zich daar ook altijd uit in lappen tekst met wat men doet en kan doen, en wijzigen wekelijks omdat ze wat nieuws erbij bedacht hebben.

In Europa mag dat niet zomaar: dingen met persoonsgegevens doen vereisen toestemming (of een rechtvaardiging onder een contract, plus nog wat uitzonderingen), en die kun je niet opeisen in een privacyverklaring of in algemene voorwaarden. Een privacyverklaring legt uit wat er gebeurt áls er toestemming is. Maar de toestemmingsvraag moet op zichzelf duidelijk en specifiek zijn. Dus ook “Ik geef toestemming voor alles uit de privacyverklaring” is niet genoeg.

Het probleem is vooral dat deze praktijken zijn ontstaan vanuit een tijd waar toestemming vragen – of privacyschendingen – een uitzondering was. Natuurlijk, in de jaren zestig ging je ook de openbare ruimte in: het café, de supermarkt en ga zo maar door. Logisch dat de caféeigenaar dan keek wat je deed, en de supermarkteigenaar kon wellicht bedenken dat als veel mensen bier kopen, het handig is de chips er naast te zetten. In die context is “hang even een bordje op als je rare dingen doet” heel begrijpelijk. En omdat het een uitzondering is, valt het op en dan leren mensen er ook weer wat van.

Met toestemming hetzelfde. Volgens mij is nooit voorzien bij het invoeren van wetgeving over persoonsgegevens dat iedereen dagelijks vele malen toestemming zou geven. Elke keer als ik de wettelijke eisen stel, moet ik denken aan het soort informed consent dat je als patiënt moet geven bij een medische behandeling. Duidelijke uitleg, een vrijwillige keuze en specifiek aangeven wat je wel of niet wilt. Bij internet-toestemming krijg je een folder van zes kantjes (met sticker “Let op: kan inhoudelijk afwijken van de werkelijkheid”) en blijken je nieren ineens tracking pixels te bevatten. Dat werkt niet helemaal, om het zachtjes te zeggen.

Alleen: hoe moet het dan wel? Wettelijke regulering, dus keihard opnoemen wat er wel en niet mag, lijkt me te blokkerend voor innovatie. De toezichthouder in abstracto laten oordelen over nieuwe ontwikkelingen? En dan vooraf of achteraf? Daar zie ik ook weer weinig in.

Arnoud

9 reacties

  1. Met de GDPR ben je snel genoeg het bokje als je een zin als “We may collect, use, transfer, sell and disclose non-personal information for any purpose.” wilt toepassen. Naast dat je moet vermelden met wie en waarom is het verspreiden van persoonsgegevens (ofwel, de controle erover kwijtraken) vanaf mei 2018 gewoon strafbaar met boetes die er toe doen, Uber heeft zogezegd nog een uitdaging in Europa 🙂 Ik geloof dat GDPR een goed voorstel is die niet per se botst met innovatie en zelfs innovatie kan bevorderen. En Uber lijkt vooralsnog Evil als je in de details duikt.

  2. Alleen: hoe moet het dan wel? Wettelijke regulering, dus keihard opnoemen wat er wel en niet mag, lijkt me te blokkerend voor innovatie. De toezichthouder in abstracto laten oordelen over nieuwe ontwikkelingen? En dan vooraf of achteraf? Daar zie ik ook weer weinig in.

    Het probleem is niet de(ze) wet en de toezicht houder. Het probleem is een totaal gebrek aan concurrentie. Er zijn praktisch één social network (facebook), één zoekmachine (google), twee telefoonplatformen met ieder hun eigen problemen (Apple en Google). Twitter, Instagram, WhatsApp allemaal praktisch alleen heerser door hun omvang.

    In een markt met concurrentie geef je een partij die te ver gaat de spreekwoordelijke middelvinger en ga je naar de concurrent. Maar wat heb je aan een concurrerende chat app als al je contacten op WhatsApp zitten, idem met facebook. Wat heb je aan die andere zoekmachines als Google nog steeds een completere index heeft?

    Als je echt wil dat er wat gebeurt moet je die platformen verplichten interoperabel te worden. Dus iedereen kan zijn eigen sociale netwerk aan Facebook koppelen, Iedereen heeft tegen redelijke vergoeding toegang tot Google search en WhatsApp moet 3rd party apps toelaten in zijn netwerk.

          1. Hm, dat is raar. Het is natuurlijk wel zo dat de meeste spammers zich richten op oude posts (omdat ze hopen dat het dan niet opvalt, in actieve discussies wordt spam eerder gesignaleerd). Maar 99% van mijn spam is Engelstalig. Kun je een reactie bij een oud bericht plaatsen en me zsm daarna mailen (arnoud@engelfriet.net) zodat ik meteen de spambox kan bekijken? Ik krijg 600 spams per dag dus wil er graag snel bij zijn.

    1. Precies. Iedere organisatie die zich in een machtspositie bevindt (overheden, socialemediabedrijven enz.) moet met strenge regels in bedwang worden gehouden; anderen (individuen, bedrijven zonder machtsmiddelen) moeten vrij zijn. Van de overheid eisen we dat het bestuur democratisch is, van de snackbar om de hoek eisen we dat niet. Een bedrijf als Facebook is in wezen een niet-democratische overheid, en dat is het probleem.

      De ideale oplossing is een open samenleving waarin niemand een machtspositie inneemt; een sociaal netwerk zou dan volledig de-centraal moeten werken. Voor zover dat niet mogelijk is, is de een-na-beste oplossing nodig: een democratisch bestuur.

  3. Volgens klopt het bericht van Arnoud niet helemaal als ik de genoemde link doorlees. Het is niet zo dat Unroll.me “stiekem van taxibedrijf Uber afkomstig bleek”. Uber heeft geanonimiseerde data van Unroll.me gekocht. Daardoor zijn ook de genoemde uitspraken “Maar het stáát er toch gewoon” en “Sorry you’re upset” niet van Uber maar van de CEO van Unroll.me.

    Het doet misschien niet ter zake in de juridische discussie rond dit geval maar in mijn ogen niet helemaal fair tegenover Uber.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.