Natuurlijk is het lezen van 150 privacy policies een totale ramp. Laten we ermee ophouden

Wij lazen 150 privacy policies en ze waren echt een totale onbegrijpelijke brij, aldus de NY Times vorige week. Het ging uiteraard om Amerikaanse sites; de policies stonden vol met juridisch jargon en braaftaal, met alles drie slagen om de arm en het taalgebruik zo moeilijk dat alleen Emmanuel Kant’s “Critique of Pure Reason” pittiger te lezen was. De strekking: deze dingen zijn niet bedoeld voor gewone mensen, maar voor bedrijven om zich in te dekken als ze weer eens je data verkopen of andere rare dingen doen waar wij gewoon niet op zitten te wachten. Inderdaad een totale ramp, en inderdaad zullen we daar gewoon mee ophouden?

De privacy policy is een raar ding. Waarom alle websites precies zo’n ding hebben is me nooit duidelijk geworden, maar al sinds jaar en dag loopt iedereen er mee te leuren. Het is waarschijnlijk te herleiden tot de FTC Fair Information Act, die eist dat je als eerlijk handelaar transparant bent over wat je doet met privacy en persoonlijke informatie. Dat gaan we dan even opschrijven, zal wel de gedachte zijn geweest.

Maar dan krijg je dus vrij massaal dat mensen lappen tekst posten (want niemand die eist dat het allemaal logisch en leesbaar moet zijn) en dat vervolgens niemand die leest. Totdat het misgaat, en dan is “ja maar in de privacyverklaring stond We respect your privacy en We may use data for certain purposes dus dan had u moeten begrijpen dat” een prima reactie in de praktijk.

In Europa hadden we altijd de eis van een informatieplicht onder de privacyrichtlijn (Wbp), en die is uitgebreid in de AVG: duidelijk en transparant, en in eenvoudige taal aangeven wat je doet met persoonsgegevens, waarheen waartoe en hoe lang. En stom genoeg zijn we dat allemaal gaan uitvoeren door privacyverklaringen te gaan (her-)schrijven. “Wees concreet”, zegt de wet. “Ik geef het woord nu aan mijn jurist”, zegt de ondernemer. Precies.

Wat mij betreft is het vrij simpel: zo’n onleesbare privacyverklaring is niets waard, en ik zou het werkelijk fantastisch vinden als de AP gewoon boetes van 5000 euro het stuk uitdeelt voor elke privacyverklaring die volgens een objectieve taalredacteur niet taalniveau B2 is. Zo moeilijk is dat niet. (Waarom maar 5000? Omdat in beroep gaan dan weinig zin heeft en de administratieve rompslomp voor de toezichthouder daardoor minder is.)

Nog geweldiger zou ik het vinden als we gewoon zouden stoppen met privacyverklaringen. Waarom moet je eigenlijk überhaupt een apart document hebben dat van alles gaat vertellen? Leg het gewoon uit op het moment dat het aan de orde is. Zet op je bestelformulier onder elk veld waarom je het nodig hebt (“Je geboortedatum gebruiken we voor een verjaardagscadeau en om je demografisch te kunnen categoriseren”) en je bent er eigenlijk al. Krijg je het verhaal daar niet rond, dan heb je meteen een check dat je het anders moet gaan aanpakken.

Dat laatste is denk ik nog het belangrijkste: door een aparte privacyverklaring te schrijven, koppel je het verhaal daaruit los van wat je werkelijk aan het doen bent. Dan krijg je indekken, braaftaal en slagen om de arm. Terwijl je op het moment zelf concreet moet zijn: waarom vragen wij eigenlijk om het geslacht van onze klanten?

Arnoud

13 reacties

  1. Dit vind ik een heel helder voorstel: tijdens het ontwikkelen/maken van een formulier per invulveld nadenken waarom je dat nodig hebt en wart je er mee gaat doen en dat er meteen bij zetten! Geniaal. Vanwege de beperkte ruimte wordt je gedwongen om dat kort en bondig neer te zetten.

    Voor alle duidelijkheid: als ik het zo doe, heb ik dan echt geen verklaring meer nodig? p.s. het invulformulier hieronder zou als voorbeeld kunnen dienen:-)

    1. Dat vraag ik mij dan ook af; als je dat doet, heb je dan geen privacyverklaring meer nodig?

      Ik zou het dan voor het overzicht voor me zien als een invoerveld met daarachter een knopje met een ‘?’ symbool o.i.d. (of in ieder geval iets dat het duidelijk is dat je daar kan vinden dat het over de te verwerken (persoons)gegevens gaat.

      Ik vind namelijk ook dat in een gemiddelde privacyverklaring alle grondslagen en doeleinden door elkaar staan, waarmee dus niet duidelijk is hoe wat waar voor dient.

      Dus een mooi voorbeeld voor Arnoud: waarom is mijn e-mail hieronder verplicht? Dat kan ik nu zelf uitvinden maar het zou dus mooi zijn als je dat hieronder vermeld. Werk het uit Arnoud! 🙂

  2. Eigenlijk zou niet alleen het taalniveau maar ook de inhoud en lengte beoordeeld moeten worden. Hetzelfde zou ook voor algemene voorwaarden van belang mogen worden.

    Wie leest er 50+ pagina’s voor een website bezoek of bestelling?

    1. Als iets in Jip en Janneke taal (Jip-en-Janneke-taal?) geschreven is dan lezen die 50 pagina’s natuurlijk wel veel sneller weg dan wanneer het een semi-academische juristen-brij is.

      Maar ik denk ook dat wanneer je het qua taalgebruik simpel houdt, je vermoedelijk veel meer ’to the point’ blijft en er een hoop standaard clausules wegvallen omdat dan blijkt dat die nergens op slaan.

      • “Deze alinea moeten we nog versimpelen”
      • “Wat zeggen we hier eigenlijk?”
      • “Goed punt, misschien niet zo veel. Kan weg”
  3. Dan voldoe je inderdaad aan het m.i. belangrijkste onderdeel van de informatieplicht. Vervelend is het echter de formele eis om ook nog allerlei andere dingen te moeten meenemen in je informatieplicht. Alsof een gemiddelde lezer gelukkig wordt als je hem de rechtsgrondslagen beschrijft.

  4. Wat ik zelf wel lastig vind, is bepalen wat je nou wel en niet in een Privacy Policy moet opnemen. Maar da’s de techneut in mij. 🙂

    Maar zo ben ik hobbymatig bezig om websites te maken om mijn kennis te vergroten als software developer en daarbij maak ik gebruik van koppelingen met Google, Disqus en Microsoft Azure. Daarnaast heeft mijn webserver ook zijn eigen logging en ben ik momenteel bezig om iets uit te werken om bij te houden welke links iedereen bezoekt om zo hackers tegen te kunnen houden en hun IP adres te verbannen van mijn server. Maar een IP adres is dan mogelijk ook een persoonsgegeven.

    Vooral dat laatste is wel lastig. Want als je merkt dat vanaf een IP adres de URL http://www.example.com/wp-config.php.backup, https://www.example.com/magento/index.php/admin/ of https://www.example.com/store/index.php/admin/ wordt benaderd, dan is dat toch duidelijk iets dat je in de toekomst wilt voorkomen door de betreffende hacker te verbannen. Moet je melden dat je bijhoudt welke links een bezoeker bezoekt om eventuele hackers te verbannen of valt dit onder “technische informatie” en hoef je dit dus niet te melden?

    1. Preventief kun je ook enkel toegang geven tot specifieke bestanden/mappen na een andere beveiliging te passeren (bv ip restrictie of een andere login van je web server). Met name die extra login (ook al geef je in de pop up om in te loggen de gebruikersnaam en het wachtwoord) helpt om 99% van alle ongewenste bezoekers tegen te houden.

      1. Meh. Ik gebruik ASP.NET Core 3.0 en daarmee kun je een pijplijn bouwen van acties. Daarnaast kunnen beheerders alleen via Azure Active Directory inloggen en zo bij de “authorized content” komen. Maar mooier is het dat je in het begin van die pijplijn al een filter kan toevoegen die kijkt naar de request, het IP adres van de bezoeker uitleest en controleert in de database. Als de bezoeker is verbannen dan kan ik hem ergens anders heen sturen of een foutmelding geven. Dat heb ik al getest en werkt perfect.

        Mooi is ook dat ik alle bezochte URL’s kan loggen en daarbij kan markeren dat als iemand een bepaalde URL bezoekt, dan wordt hij preventief verbannen. Dat is dan een tweede filter die voor de rest komt. Al die filters zijn op zich geen probleem…

        Dat betekent dat ik kan zien wie mijn site bezoekt, wat ze hebben bezocht (maar niet hoe vaak of wanneer) en de statuscode van de response. Da’s ook handig om fouten mee op te sporen… Ik overweeg ook om referrers op te nemen in het systeem zodat ik kan zien waar men vandaan kwam.

        Vraag is alleen of ik deze constructie moet vermelde in mijn privacy policy.

  5. Helemaal met je eens dat het beter is om bij inzameling te vermelden waarvoor de data verzameld wordt.

    Echter heeft een privacy policy vaak ook een tweede nut: als “naslagwerk”. Je kan teruglezen waarvoor je data wordt verwerkt (als je het formulier hebt ingevuld en op verzenden klikt is het weg), en het geeft extra informatie. Bijvoorbeeld over de contactpersoon waar je terecht kan met vragen (en verzoeken), en vaak een stukje over responsible disclosure. Ook werkt je redernatie niet als de gebruiker gegevens niet invoert (denk aan cookies).

    Dat die informatie leesbaar moet zijn lijkt me logisch.

  6. De privacy policy is een raar ding. Waarom alle websites precies zo’n ding hebben is me nooit duidelijk geworden, maar al sinds jaar en dag loopt iedereen er mee te leuren.

    Dat moet toch van de AVG? Heb ik dacht ik nota bene hier geleerd?! Het is niet erg, als je het maar uit kan leggen. Dus dat deed ik. Niet goed?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.