Deze startup kreeg zo veel haat op haar privacypolicy dat ze hem aanpaste, advocaten staan versteld

Als Ars Technica clickbaitkoppen mag doen, mag ik het ook. “Ars readers hated this startup’s privacy policy—so the company changed it”, meldde men onlangs. De Amerikaanse technieuwssite had zoekmachine Neeva gereviewd, maar de reacties van lezers gingen massaal en zeer negatief los op de privacypolicy van het bedrijf. Tot veler verrassing leidde dat tot daadwerkelijke verandering: CEO Sridhar Ramaswamy liet de policy aanpassen. Een lesje in hoe het wel moet.

Hoe kon dit nou gebeuren? Nou ja, de bedoelingen waren natuurlijk goed maar ja toen gingen de juristen moeilijk doen:

Ramaswamy told Ars that the company’s intention was to provide a secure and privacy-respecting platform from the start. But, he added—and we’re paraphrasing here—”lawyers will be lawyers,” and it was “on him” that he had not inspected the policies drafted by the company’s legal counsel closely enough.

En ja, ik herken dat: heel veel ondernemers denken dat als een jurist of advocaat iets opstelt, het wel zo zal moeten van de wet dus dan nemen we het maar over. Of de tekst is zó lang, dicht en onnavolgbaar dat men het van pure ellende maar online zet. (Als je klant tegen je zegt “Fantastische tekst, ik heb er geen woord aan veranderd en hij gaat meteen online” dan bedoelt hij “Ik kom er niét doorheen dus het zal wel.” Ik heb drie klanten die nog steeds een “wie dit leest krijgt een fles champagne”-clausule in hun algemene voorwaarden hebben.)

Wat ging er nu mis? Neeva presenteert zichzelf als een privacyvriendelijke zoekmachine, waarbij je betaalt voor de dienst. En dat is een mooie insteek voor een nichedienst, alleen moet je dan wel extra goed nadenken hoe je in je privacyverklaring dingen uitlegt. Dit werkt bijvoorbeeld niet:

We have not sold consumers’ personal information in the preceding 12 months.

Ik begrijp dat dit bedoeld was als een kanarie – zodra men wel data zou gaan verkopen, was dit statement een leugen en dan kun je ze daarop ‘pakken’. Maar dat werkte niet: mensen dachten dat Neeva dus alleen maar 12 maanden hoefde te wachten en dan commercieel los kon gaan. Dat is dus nu gewoon “We do not and never have sold consumers’ personal information”.

Wat ook niet hielp, was een generiek statement dat men informatie kon delen met affiliated companies. Er stond niet bij wat dat waren – zuster en dochterbedrijven? Zakenpartners? Bedrijven die tegen vergoeding klanten aanbrengen? Dus dat gaf enige ophef, met name omdat er niets stond over waarborgen of beperkingen.

Ook niet fijn:

we store the personal information we receive as described in this Privacy Policy for as long as you use our Services or as necessary to fulfill the purposes for which it was collected… [including pursuit of] legitimate business purposes.

Dat kan dus wel héél ver oplopen als je een paar jaar de dienst gebruikt, en wat zijn legitieme bedrijfsbelangen? Plus, in de advertenties stond dat men alles maximaal 90 dagen zou bewaren, dus wat is er nou waar? Dit werd dus meteen aangepast: automatisch verzamelde data (zoals zoekgeschiedenis) weg na 90 dagen, en alleen informatie die langer nodig is voor de dienst (zoals profielinformatie) bewaard zo lang de dienst afgenomen wordt.

Wat ging hier nou mis? Mijn vermoeden is dat men ‘gewoon’ ergens een privacy policy bestelde, en dat de jurist in kwestie zijn of haar best deed een keurig document te maken. Maar als je niet in detail doorspreekt wat belangrijk is, of als jurist wel denkt dat je weet wat belangrijk is, dan krijg je dit soort discrepanties.

Die quote hierboven over bewaartermijnen is bijvoorbeeld een heel normale voor juristen, dingen moeten weg als niet meer nodig (artikel 17 AVG, bij ons) dus dat schrijf je dan netjes op. Maar als de klant niet zegt “zoekdata gaat na 90 dagen weg”, hoe kom je er dan achter dat je die uitzondering moet maken? Dat is dus waar je extra werk in moet steken als juridisch adviseur, alleen vereist dat vaak meer gedoe dan oorspronkelijk begroot of voorzien. En dan kom je op het punt dat je een CEO moet uitleggen waarom een privacypolicy geen standaardtekstje is dat je er achteraf even op kwakt.

Arnoud

6 reacties

  1. Die fles champagne gun ik de liefhebbers, meer dan lekkere witte wijn overgoten met veel marketing is het niet. En waarom bedrijven zoveel tijd en geld steken in het verzamelen van zoveel mogelijk informatie over de gebruikers van hun website lijkt me, behalve voor bepaalde daarop gerichte bedrijven, eigenlijk een verspilling van middelen die dan niet het primaire bedrijfsdoel dienen.

  2. We zijn op het punt aangekomen dat je bij een tekst als

    We have not sold consumers’ personal information in the preceding 12 months.
    moet gaan bedenken wat ze proberen te verbergen (Sold? Ze zullen het wel uitruilen of gewoon delen. ‘Personal’? Ze zullen het wel pseudonimiseren of aggregeren en dan verkopen. ‘Preceding 12 months’? Oudere data wordt schijnbaar wel verkocht).

    Bij levensmiddelen moet de lijst met ingrediënten zijn gesorteerd op hoeveelheid. Een bedrijf moet van de AVG melden hoe ze je data gebruiken. Waarom verlangen we niet dat een bedrijf duidelijk is wat ze precies met je gegevens doen en daarbij ook een sortering aanhoudt? De mate van inbreuk is niet helemaal objectief vast te stellen, maar als je ‘which we use to do things like recommend a YouTube video you might like’ noemt vóór ‘we may also show you personalized ads based on your interests’, gooi je er duidelijk met de pet naar. Je zou dan een duidelijke policy moeten die begint met:

    We gebruiken alle informatie die we over je verzamelen om labeltjes op je te plakken, zoals ‘werkt bij de overheid’ en ‘is zwanger’. Die labeltjes sturen we door naar adverteerders die daarmee bepalen hoeveel ze ons willen betalen om advertenties aan jou te tonen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.