Met één klik je privacyvoorkeuren juridisch bindend doorgeven, gaat dat ooit lukken?

Met de Global Privacy Control in je browser kun je straks met één muisklik instellen of je gevolgd en geprofileerd wil worden, las ik bij Ars Technica. Deze nieuwe optie, die echt niet hetzelfde is als de keihard gefaalde Do Not Track instelling in je browser (waarmee je met één muisklik kon instellen of je gevolgd en geprofileerd wilde worden), zou wel eens een heel groot dingetje kunnen gaan worden omdat zowel de GDPR als de Californische Consumer Privacy Act (CCPA) dergelijke instellingen juridisch bindend zouden verklaren. Vooralsnog zit de optie alleen in Brave en DuckDuckGo, Mozilla (van Firefox) houdt het bij een braaftaalpersverklaring en van Chrome is nog niets vernomen. Maar laten we optimistisch blijven en eens kijken hoe bindend dit is.

Beetje flauw natuurlijk om zo negatief over DNT te doen, want dat was een goed idee. Sowieso is het natuurlijk heel raar dat mensen gevraagd moeten worden of ze gevolgd en geprofileerd willen worden, want dat is geen beslissing waar je gewone mensen mee lastig moet willen vallen. Dat is gedrag dat we ofwel maatschappelijk aanvaardbaar vinden of niet, en dan verbied je het dus – of niet. En nee, het is geen kwestie van uitleggen of verwachten dat mensen de tijd nemen dit te begrijpen.

Maar goed, als het dan kennelijk gevraagd moet worden dan lijkt me een instelling in de browser heel wat beter dan iedere website zijn eigen supertrage popup met misleidende “eigen instellingen”-knop. Dat was ook waar DNT voor bedoeld was, en wat GPC ook moet gaan doen. DNT werd echter rijkelijk vroeg (2009) voorgesteld, en sneuvelde een stille dood omdat bedrijven geen zin hadden het te ondersteunen.

GPC zou een succes moeten worden omdat het wordt gepresenteerd als de implementatie van de GDPR en de Californische tegenhanger CCPA. Beiden kennen immers een juridisch kader voor toestemming geven (en intrekken) en wat daarbij komt kijken, dus als je GPC nu zo bouwt dat het een GDPR-compliant toestemming of intrekking geeft, dan moet je als bedrijf daar wat mee. Zou je zeggen, want de belangen zijn zo groot dat ik 100% verwacht dat advertentiebedrijven smoesjes zullen blijven verzinnen waarom je de AVG toch echt anders moet lezen.

In Californië pakken ze het harder aan. In een uitvoeringsregeling gekoppeld aan de CCPA staat expliciet dat bedrijven moeten luisteren naar browsergeconfigureerde toestemming:

The CCPA includes a mechanism for solving the one-by-one problem. The regulations interpreting the law specify that businesses must respect a “global privacy control” sent by a browser or device. The idea is that instead of having to change privacy settings every time you visit a new site or use a new app, you could set your preference once, on your phone or in a browser extension, and be done with it.
De AVG kent zo’n uitvoeringsregeling niet, en het is ook niet echt de Europese stijl van wetgeving dat we keihard opschrijven dat een bepaalde instelling of knop de wettelijke manier is om iets voor elkaar te krijgen. Wel zou de EDPB (de samenwerkende toezichthouders) een richtsnoer kunnen publiceren (artikel 70 AVG) waarin zonder veel mitsen en maren staat dat GPC rechtsgeldige toestemming (of weigering daarvan) oplevert en dat een bedrijf niet mag eisen dat je de eigen interface gebruikt. Een richtsnoer is geen wet maar je moet van goede huize komen wil je er zomaar van af kunnen wijken.

Uiteindelijk staat of valt dit natuurlijk met de handhaving. Zolang er geen concrete en directe prikkel is om je site aan te passen, zal GPC net zo hard sneuvelen als DNT. Maar ik begrijp niet waarom dit allemaal zo lang moet duren; we weten wat de eisen voor toestemming zijn en hoe dit kan worden gehandhaafd.

Arnoud

7 reacties

  1. Uiteindelijk staat of valt dit natuurlijk met de handhaving. Zolang er geen concrete en directe prikkel is om je site aan te passen, zal GPC net zo hard sneuvelen als DNT.

    Eens, maar als ik ooit van een mooi gevalletje voor private handhaving heb gehoord dan is dit het wel. Een keer precedent scheppen en daarna gewoon namens alle GPC gebruikers op websites gaan jagen die je instellingen niet accepteren. Gezien hoe rete- pardon, merde irritant die eindeloze popups zijn moet er vast genoeg animo zijn, denk je niet?

  2. Een verplichting om te luisteren naar standaard instellingen van de client, inclusief een verbod op vragen als dat in die standard instellingen niet expliciet is toegestaan klinkt mij als muziek in de oren. Zo had de cookiewet vanaf het begin moeten werken: nu wordt je knettergek van pop-ups, en moet je veel moeite doen met extensies die elke keer moeten updaten om in een wapenwedloop die pop-ups weg te krijgen.

  3. Is het aan hebben van DNT niet eigenlijk al een expliciete intrekking/weigering van enige toestemming van tracking? Lijkt mij dat de authoriteiten daar óók al gewoon op kunnen handhaven bij bedrijven die dat niet respecteren.

    1. Het probleem is een beetje dat de AVG niet expliciet zegt dat je op elke manier je voorkeur mag uitspreken. De wettelijke basisregel is dan dat jij moet bewijzen dat de ontvanger je bericht gekregen heeft. Ik twijfel of je dat lukt met het argument dat je een HTTP regel stuurde die geen enkele webserver verwerkt (onbekende headers worden genegeerd). En ik vrees dat een verantwoordelijke zelfs kan zeggen, wij hebben een eigen interface die is heel makkelijk dus het is redelijk dat men die gebruikt. Als je die site in isolatie bekijkt, dan is dat ook lastig te weerleggen. (Wat de rest van de wereld doet, mag je niet als bewijs aandragen.)

      1. Ze hoeven dat alleen maar te bewijzen als je die toestemming geeft, niet als die toestemming niet gegeven is, en je bij voorbaat al aangeeft die niet te gaan geven met een bericht van de door jouw gemachtigde agent (de browser in dit geval). Dan moet je als bedrijf niet zo onredelijk zijn het nogmaals te willen vragen via een ander kanaal. Nee blijft dan nee, en nog een keer vragen is onredelijk.

        Het vervelende is dat de cookiewet een slecht compromis is gemaakt door mensen die niet veel kaas van de techniek hebben gegeten, of daar geen moeite voor willen doen. Dan blijf je natuurlijk ellende houden.

        Soms ook is het nadeel van “techniek neutrale” wetgeving, dat er ieder keer weer discussie kan ontstaan of die wetgeving wel of niet van toepassing is, en voordat dat door de juridische molens is gegaan, zijn we weer twee jaar verder — dat zien we ook steeds met de “Cloud Shield wetgeving”. Een concrete wet laat veel minder ruimte voor dit soort discussies, maar vergt inderdaad wat meer onderhoud.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.