Hoe generiek mag je privacyverklaring zijn onder de AVG?

| AE 11148 | Privacy | 12 reacties

Een lezer vroeg me:

Een van mijn ‘leveranciers’ heeft in de Privacy Verklaring staan dat ze bij websitebezoek mijn IP-adres, Internetbrowser, besturingssysteem en apparaattype opslaan. Dat doen ze “Voor het onderzoeken van je (surf)gedrag op onze website, zo kunnen we bijvoorbeeld de website en onze tools nog beter maken.” Bij navraag blijkt dat ze zich beroepen op het gerechtvaardigd belang. Mag dat zo generiek? Als dat zo is, dan mag iedereen weer alles opslaan van de website bezoeker, want alles is bruikbaar voor verbetering van de website.

Het is inderdaad mogelijk om met een beroep op het gerechtvaardigd belang van alles te doen onder de AVG. Maar dat moet je wel onderbouwen, en een tekst als deze voelt wat magertjes.

Het eigen gerechtvaardigd belang is een grondslag voor de verwerking van persoonsgegevens. Als je je hierop beroept, heb je geen toestemming nodig maar alleen een gemotiveerde belangenafweging die in jouw voordeel uitkomt. Het is dus ten onrechte dat dingen “niet mogen” van de AVG of niet mogen zonder toestemming; deze grondslag (en er zijn er nog 4) is net zo goed als met toestemming werken.

Die belangenafweging is natuurlijk wel kern. Bij toestemming weet je dat het mag, omdat je hebt uitgelegd wat je gaat doen en de betrokkene daar expliciet mee instemt. Bij het gerechtvaardigd belang weet je dat niet, je moet zelf verzinnen wat men ervan zou vinden en hoe je de privacy van betrokkenen afweegt tegen jouw belang.

In de praktijk komt het erop neer dat je eerst op een rijtje zet wat je wilt doen en wat je daarvoor nodig hebt, en dat je daarna kijkt of het niet een onsje minder kan. In juridische taal: dat je privacybevorderende maatregelen neemt die eventuele inbreuken door jouw verwerking beperken of tot nul reduceren.

Bij de verwerking hierboven kun je je afvragen hoe lang daarbij is stilgestaan. Het is zeker een gerechtvaardigd belang om te kijken hoe je site wordt gebruikt zodat je deze beter kunt maken. Maar daarmee is niet gezegd dat je dus alles mag verzamelen. In dit geval vind ik wel dat inventariseren van besturingssysteem en apparaattype weinig kwaad kan, die gegevens zijn erg relevant in de aggregatie (moeten we Safari blijven ondersteunen, tablets gebruikt niemand meer) maar niet voor persoonsgebonden onderzoek (he daar heb je die Linuxgebruiker weer).

Natuurlijk kún je die gegevens ook voor heel persoonlijk volgen gebruiken (device fingerprinting) maar dat wordt hier niet genoemd en zou ook een hele andere belangenafweging eisen. Gegevens verzamelen voor doel X en dan inzetten voor niet-genoemd doel Y is AVG-technisch onder geen voorwaarde toegestaan (oké tenzij X en Y zeer dicht bij elkaar liggen), dus als jurist zou ik dan zeggen dat hier niets aan de hand is.

Ik had wel graag gezien dat in de privacyverklaring werd uitgelegd dát die gegevens alleen voor geaggregeerde gebruiksstatistieken werden ingezet. Dat had in ieder geval deze vraagsteller gerustgesteld vermoed ik.

Arnoud

Deel dit artikel

  1. In dit geval vind ik wel dat inventariseren van besturingssysteem en apparaattype weinig kwaad kan, die gegevens zijn erg relevant in de aggregatie (moeten we Safari blijven ondersteunen, tablets gebruikt niemand meer)

    Eigenlijk vind ik dit gek. Als ik bij de supermarkt kom, en zij doen een onderzoek naar hun bereik, dan vragen ze me of ze mijn postcode mogen weten. Ik kan dan gewoon “nee” zeggen. Natuurlijk is er voor hen ook geen alternatief, zeker gezien klantvriendelijkheid, maar toch. Waarom moet je meewerken aan die aggregatie? Mij persoonlijk boeit het niet dat ik in zo’n verzamelbak kom, maar als jij het niet wil zeggen, dan is dat toch jouw afweging? “Ik wil niet dat jullie weten waar ik vandaan kom (IP-adres) of wat ik gebruik (browser en OS), en snap dat hiermee de ondersteuning van mijn apparaat mogelijk lager wordt, of wordt opgeheven”.

    • Je hebt de mogelijkheid om via VPN te surfen (al kost dit je wel wat geld). Je kan ieder willekeurige user agent laten sturen. Kortom: je kan dit probleem oplossen, zonder opt-in schermen of ander lastig gedoe.

      Het klinkt mij als dezelfde problematiek rondom de cookiewet: elke browser geeft de mogelijkheid om cookies te blokkeren en-of te verwijderen na een sessie. Of bezoek zo’n website gewoon niet meer. De meeste websitebezoeken zijn geen recht dat je hebt. Daarmee los je bovendien zelf het probleem op. Door op de wet te leunen, veroorzaak je de cookiemuren.

      Iedere website kan zich beroepen op statistiek en veiligheid.

  2. Oh dat omfloerste taalgebruik toch.

    Ze schrijven ‘“Voor het onderzoeken van je (surf)gedrag op onze website, zo kunnen we bijvoorbeeld de website en onze tools nog beter maken.” En daarvoor hebben ze IP-adres, Internetbrowser, besturingssysteem en apparaattype nodig.

    Dikke onzin naar mijn mening.

    Ze willen helemaal niet de website en tools ‘beter’ maken. Ze willen ontdekken hoe de gebruikers de website en de tools gebruiken en zich misschien daaraan aanpassen. Dat is niet ‘beter’ maken, dat is marktonderzoek doen, waarvoor ze hun bezoekers moeten bespioneren.

    Wordt een website of tool beter als ze ontdekken dat hun potentiele klanten die (gemiddeld) anders gebruiken dan ze gedacht hadden? Nee, ze maken dan misschien een andere website en aangepaste tools waardoor ze een andere, grotere, lucratievere markt kunnen bereiken. En ze stoppen dan misschien met de oude versies omdat die oude markt ze niet zoveel kan schelen.

    Natuurlijk mag dat allemaal, maar noem het niet ‘verbeteren’ van het product, want dat is het niet. Het is verbeteren van hun business-model.

    Als ze inderdaad storingen willen opsporen/voorkomen hebben ze een punt. Maar daar hebben ze het IP adres niet voor nodig.

    • Beter kun je altijd claimen. Het product wordt zo, in het meest cynische geval, in ieder geval beter voor de aandeelhouders. IP adressen lijken me vooral om te kijken vanuit welke regio’s er veel gebruikers zijn (of misschien zelfs welke soort huishoudens of inkomens, bijvoorbeeld), de andere onderdelen zouden ook best kunnen zijn om eindelijk bepaalde support te stoppen.

      Als ik me niet vergis sluit deze verklaring wel uit dat ze de gegevens (legaal) doorverkopen aan derden, want “door het te verkopen, kan het product goedkoper, dus beter” komt vast niet door de giecheltoets.

    • Waarom zouden ze daar het IP adres niet voor nodig hebben? Als ze meerdere klachten krijgen dat de website niet goed werkt, en het blijkt dat al die bezoekers via t-mobile komen, dan is er mischien iets op het netwerk van t-mobile aan de hand waardoor het op jouw site mis gaat. Of iemand klaagt dat de website heel traag is.. omdat zijn ip adres via Australie loopt…

      En dat is echt geen theoretisch verhaal, dat heb ik in de praktijk meegemaakt.

      Zelfde met user-agent opslaan (wat ze bedoelen met het opslaan van browser/platform/apparaat). Ik heb ook wel eens klachten gehad van mensen die de site niet konden bereiken. Wat bleek? Ze gebruikten Firefox 3.6 op windows XP. Dat is zo oud dat er inderdaad op een gegeven moment dingen stuk gaan.

      Overigens is dit gewoon een standaard log voor een webserver dat ze hier beschrijven en dat is iets wat vrijwel elke website in de wereld opslaat

      • Waarom zouden ze daar het IP adres niet voor nodig hebben? Als ze meerdere klachten krijgen dat de website niet goed werkt, en het blijkt dat al die bezoekers via t-mobile komen, dan is er mischien iets op het netwerk van t-mobile aan de hand waardoor het op jouw site mis gaat. Of iemand klaagt dat de website heel traag is.. omdat zijn ip adres via Australie loopt…

        Ja, als je als website pro-actief de verbindingsproblemen van je bezoeker wilt gaan oplossen, dan heb je gelijk. Dat is heel sympathiek dat je dat wilt doen voor je bezoekers, maar het is niet ‘je website beter maken’.

        Zelfde met user-agent opslaan (wat ze bedoelen met het opslaan van browser/platform/apparaat). Ik heb ook wel eens klachten gehad van mensen die de site niet konden bereiken. Wat bleek? Ze gebruikten Firefox 3.6 op windows XP. Dat is zo oud dat er inderdaad op een gegeven moment dingen stuk gaan.

        Zelfde verhaal, dat is supergoede klantenservice bieden door hun problemen op te lossen, niet je website verbeteren.

        • (Performance) problemen met een site oplossen vind ik ook vallen onder het beter maken van een site.

          Maar specifiek een site beter maken? Zien dat er steeds meer bezoekers met een mobiel je site bezoeken en daarom het mobiel vriendelijk maken van de site hoger op de agenda zetten. Of zien dat je veel bezoekers uit een bepaald land krijgt en je site vervolgens in de taal van dat land aanbieden.

          • Ik blijf het randgevallen vinden. Zakelijk kan het inderdaad interessant zijn om de site mobiel-vriendelijker te maken. Maar misschien wordt hij daardoor wel slechter voor desktopgebruikers.

            Als desktopgebruiker heb ik toestemming gegeven om mijn gegevens te gebruiken om de site beter te maken. Als hij nu slechter wordt voor mij doordat ik mijn toestemming heb gegeven…. dan ben ik toch genept, of niet?

            Ik denk dat je ‘objectief technisch beter’ moet scheiden van ‘zakelijk interessanter voor de aanbieder’. En als je toestemming opeist voor het ene op basis van eigenbelang, moet je niet het andere gaan doen. Dan moet je het gewoon eerlijk zeggen: ‘We willen uw gegegevens om ons dienstenaanbod voor onszelf winstgevender te maken’

          • “Of zien dat je veel bezoekers uit een bepaald land krijgt en je site vervolgens in de taal van dat land aanbieden.”

            Dus als er 20 mensen met een VPN uit China de site bezoeken, terwijl ze eigenlijk gewoon in Nederland wonen maar die VPN gebruiken voor hun privacy, dan logt deze site dus dat buitenlandse IP-adres en gaan ze een Chinese vertaling doen voor niks omdat de bezoekers dus in werkelijkheid helemaal niet Chinees zijn?

            Ik snap je punt, maar ik vind het te kort door de bocht.

  3. Dit lijkt mij gewoon een omschrijving van een webserver log file. Dit is wat je in elke privacy verklaring zou moeten zien. Of ze moeten (imo) expliciet aangeven dat ze geen access log bijhouden in de webserver.

    De webserver log staat standaard aan in elke webserver die ik ken. Je moet moeite doen om het zo in te stellen dat je het niet in de privacy verklaring hoeft op te nemen. Een privacy verklaring die er dus niets over zegt lijkt mij dus incompleet. Want of je verzamelt het bewust niet (en dat mag je dan best melden) of je weet gewoon niet dat je het verzamelt (en is je verklaring dus niet compleet).

    Mag je technische incompetentie claimen voor een onvolledige privacy verklaring?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS