Een lezer vroeg me verzuchtend:
Of ik nu software installeer, een account aanmaak of een dienst afneem, overal moet ik akkoord gaan met een privacy policy. Vaak pagina’s lang en niet altijd even makkelijk leesbaar. Waar moet ik nu op letten als ik een privacy policy lees, wat is echt belangrijk?Ah, de privacy policy, privacyverklaring, privacy statement of GDPR notice. Weinig dingen zijn zó vol met oubollige geruststellende taal waar werkelijk niemand op zit te wachten. Maar het moet: artikel 13 en 14 AVG eisen toelichting in duidelijke taal bij ieder gebruik van persoonsgegevens door bedrijven of instanties.
De structuur van de meeste van deze teksten is dan ook dezelfde. Men benoemt wat de AVG voorschrijft. Welke categorieën gegevens verzamelt men, voor welke doeleinden en met welke AVG-grondslag is dat gerechtvaardigd. Je hebt rechten, zoals inzage en correctie. Gegevens worden goed beveiligd, en bij klachten kun je de functionaris gegevensbescherming benaderen. Oh ja, en de verklaring kan van tijd tot tijd wijzigen.
Mocht dit vrij algemeen klinken: dat klopt. Ik durf wel te zeggen dat het gros van deze teksten geschreven is zonder uitgebreid overleg met de technische en marketingmensen die de software of dienst aan de man brengen. En het helpt natuurlijk al helemaal niet dat ChatGPT en consorten in 3 seconden een “volledig AVG proof privacycverklaring” kan ophoesten, waardoor je als ondernemer niet eens meer naar de privacymensen hóeft te gaan.
Inderdaad, ik ben buitengewoon cynisch over het instrument. De vele vele onderzoeken (hier eentje uit 2019) bevestigen dat ook: het lezen kost enorm veel tijd en echt wijzer wordt je er niet van.
Het probleem is voor mij niet zozeer “waar moet je op letten” als wel “staat er iets in waar je wat mee kunt”. Wat vaak fijn is om te weten, is of je persoonsgegevens naar de VS gaan. Maar juist dat staat er zelden tot nooit hard in. (In de praktijk mag je gewoon aannemen dat dit gebeurt, gezien 99% van de diensten uiteindelijk tot Amerikaanse IaaS te herleiden is.) Ook hoe een en ander beveiligd is, kom je niet echt te weten. Met een beetje geluk wordt verwezen naar een beveiligingsbeleid of een opmerking over ISO 27001.
Het enige dat in de praktijk zinnig is, is de contactgegevens van degene bij wie je moet zijn bij klachten of je rechten inzake de omgang met persoonsgegevens.
Om het dan niet ál te cynisch te maken: Tuurlijk zijn er genoeg bedrijven en privacy officers die serieus hun best doen het goed uit te leggen. Maar bijsluiters zijn naar hun aard moeilijk specifiek te krijgen, zeker als je organisatie wat groter is en je toch meerdere producten en varianten moet dekken.
Wat wérkelijk helpt, is bij de plekken in je software of dienst waar je persoonsgegevens verkrijgt gerichte uitleg plaatsen over het hoe en waarom. Dus niet “Wij en onze 9157 partners respecteren uw privacy, lees de privacyverklaring voor details”, maar “Uw geboortedatum vinden wij handig om u op uw verjaardag een cadeautje te kunnen mailen”.
Oh ja en terzijde: wil iedereen stoppen met akkoord vragen op privacypolicies onder welke naam dan ook? De AVG is vrij duidelijk dat het gaat om een mededeling, een uitleg. Privacyverklaringen zijn bijsluiters, meer niet. Het is onzinnig en overbodig om te vragen of men het daarmee eens is. Ook als je meent persoonsgegevens te gebruiken onder de grondslag toestemming – toestemming vraag je apart en expliciet, niet in een lap tekst achter een hyperlink.
Arnoud
Toch jammer dat er, als ik deze blog post juist interpreteer, eigenlijk niets is dat een goedbedoelende privacy officer kan doen om uit het privacy statement te laten blijken dat de zaken op orde zijn. Beveiligingsmaatregelen staan vaak in een apart document, contactgegevens zijn een verplicht onderdeel en of persoonsgegevens naar de VS gaan is nogal afhankelijk van welk proces je vraag precies over gaat, dus dat is lastig om een algemeen statement over te maken. Hoe maak je dan het verschil?
Geef concrete en specifieke toelichting daar waar het relevant is. Dus in het bestelformulier zet je bij elk gegeven waarom je het vraagt (“We willen je geboortedatum voor de statistieken en om je op je verjaardag een cadeutje te geven”). Geef uitleg over de beveiliging in de FAQ sectie van de dienst. Zet bij een proces waar data naar de VS gaat een melding dat dit gebeurt. Dan is het contextueel relevant.
Het eerste wat de privacy officer kan doen is zorgen voor een begrijpelijke privacyverklaring zoals bijvoorbeeld deze van RISC OS Open. Wat mij enthousiast maakt is deze passage:
Ik geef toe, het is een heel stuk makkelijker als je geen excuus hoeft te verzinnen waarom de 666 advertentiepartners real-time op de hoogte gehouden moeten worden van iedere pagina die de bezoeker op de website bekijkt.Persoonlijk haal ik toch redelijk wat uit goede privacy verklaringen:
Standaard template tekst / tekst van voor 2018 –> geen interesse in privacy Een grote portie mist en onduidelijkheid erbij –> problematisch
Belangrijkste punten aangehaald met reden –> begint er op te trekken of ok Extra aanhalen waarom ze bepaalde zaken niet doen en eenvoudig contactpunt –> Er is over nagedacht en het geeft vertrouwen