Met één klik je privacyvoorkeuren juridisch bindend doorgeven, gaat dat ooit lukken?

Met de Global Privacy Control in je browser kun je straks met één muisklik instellen of je gevolgd en geprofileerd wil worden, las ik bij Ars Technica. Deze nieuwe optie, die echt niet hetzelfde is als de keihard gefaalde Do Not Track instelling in je browser (waarmee je met één muisklik kon instellen of je gevolgd en geprofileerd wilde worden), zou wel eens een heel groot dingetje kunnen gaan worden omdat zowel de GDPR als de Californische Consumer Privacy Act (CCPA) dergelijke instellingen juridisch bindend zouden verklaren. Vooralsnog zit de optie alleen in Brave en DuckDuckGo, Mozilla (van Firefox) houdt het bij een braaftaalpersverklaring en van Chrome is nog niets vernomen. Maar laten we optimistisch blijven en eens kijken hoe bindend dit is.

Beetje flauw natuurlijk om zo negatief over DNT te doen, want dat was een goed idee. Sowieso is het natuurlijk heel raar dat mensen gevraagd moeten worden of ze gevolgd en geprofileerd willen worden, want dat is geen beslissing waar je gewone mensen mee lastig moet willen vallen. Dat is gedrag dat we ofwel maatschappelijk aanvaardbaar vinden of niet, en dan verbied je het dus – of niet. En nee, het is geen kwestie van uitleggen of verwachten dat mensen de tijd nemen dit te begrijpen.

Maar goed, als het dan kennelijk gevraagd moet worden dan lijkt me een instelling in de browser heel wat beter dan iedere website zijn eigen supertrage popup met misleidende “eigen instellingen”-knop. Dat was ook waar DNT voor bedoeld was, en wat GPC ook moet gaan doen. DNT werd echter rijkelijk vroeg (2009) voorgesteld, en sneuvelde een stille dood omdat bedrijven geen zin hadden het te ondersteunen.

GPC zou een succes moeten worden omdat het wordt gepresenteerd als de implementatie van de GDPR en de Californische tegenhanger CCPA. Beiden kennen immers een juridisch kader voor toestemming geven (en intrekken) en wat daarbij komt kijken, dus als je GPC nu zo bouwt dat het een GDPR-compliant toestemming of intrekking geeft, dan moet je als bedrijf daar wat mee. Zou je zeggen, want de belangen zijn zo groot dat ik 100% verwacht dat advertentiebedrijven smoesjes zullen blijven verzinnen waarom je de AVG toch echt anders moet lezen.

In Californië pakken ze het harder aan. In een uitvoeringsregeling gekoppeld aan de CCPA staat expliciet dat bedrijven moeten luisteren naar browsergeconfigureerde toestemming:

The CCPA includes a mechanism for solving the one-by-one problem. The regulations interpreting the law specify that businesses must respect a “global privacy control” sent by a browser or device. The idea is that instead of having to change privacy settings every time you visit a new site or use a new app, you could set your preference once, on your phone or in a browser extension, and be done with it.
De AVG kent zo’n uitvoeringsregeling niet, en het is ook niet echt de Europese stijl van wetgeving dat we keihard opschrijven dat een bepaalde instelling of knop de wettelijke manier is om iets voor elkaar te krijgen. Wel zou de EDPB (de samenwerkende toezichthouders) een richtsnoer kunnen publiceren (artikel 70 AVG) waarin zonder veel mitsen en maren staat dat GPC rechtsgeldige toestemming (of weigering daarvan) oplevert en dat een bedrijf niet mag eisen dat je de eigen interface gebruikt. Een richtsnoer is geen wet maar je moet van goede huize komen wil je er zomaar van af kunnen wijken.

Uiteindelijk staat of valt dit natuurlijk met de handhaving. Zolang er geen concrete en directe prikkel is om je site aan te passen, zal GPC net zo hard sneuvelen als DNT. Maar ik begrijp niet waarom dit allemaal zo lang moet duren; we weten wat de eisen voor toestemming zijn en hoe dit kan worden gehandhaafd.

Arnoud

Mag Windows 10 je verplicht de keuze voor Edge blijven voorschotelen?

Het advies in het Windows 10-startmenu om Microsoft Edge te gebruiken, dat te zien is bij het zoeken naar andere browsers, is inmiddels niet meer weg te halen. Dat meldde Tweakers onlangs. Tot voor kort was dat wel het geval, en het lijkt ook wisselend bij mensen of het wel of niet weg te halen is. Nou heb ik zelf altijd een pesthekel aan software die mijn menu’s aanpast, dingen op desktops zet of zich bemoeit met zijn instellingen, dus ik was blij met de vraag: mag dat dan, gezien de marktmacht van Microsoft?

Microsoft is in het verleden juist veroordeeld onder de Europese concurrentiewetgeving voor het bundelen van Internet Explorer met Windows, waardoor de browser een veel makkelijker adoptie kreeg dan concurrentbrowsers zoals Sleipnir (wie? precies). Dat leidde tot onder meer de invoering van een browserkeuzescherm zodat je verplicht een keuze moest maken bij installatie van Windows (met dan weer een boete van 561 miljoen euro omdat dat scherm er sinds Windows 7 SP1 niet meer in zat). Je zou dus zeggen dat ze bij Microsoft nadenken over hoe browsers aan te bieden.

Bij mij kwam toen wel de vraag op, hoe zit het dan met de marktmacht van Microsoft tegenwoordig. Want je overtreedt pas de mededingingswet als je je marktmacht misbruikt. Wie geen macht heeft, kan die ook niet misbruiken. Een microspeler die zijn eigen browser afdwingt is dus geen probleem.

Ik vond het lastig goede cijfers te vinden, maar Wikipedia lijkt een goed overzicht bij te houden en is bovendien neutraal. Ik haal hieruit dat Windows in het algemeen rond de 70 procent marktaandeel op de desktopmarkt heeft. Maar, en dan wordt het interessant, als je de markt bekijkt als “personal computing platforms” dan gaat ineens mobiel meedoen en dan zijn er natuurlijk veel meer computers met Android dan met Windows. Een smartphone is een computer.

Dus: het mag als we desktops en tablets/smartphones als één markt zien. Even handenopsteken, wie is het eens met die samenvoeging? En waarom wel of niet?

Arnoud

Hoe lang moet een telefoonverkoper Android ondersteunen?

google-browser-androidEen lezer vroeg me:

Ik las dat Google het dichten van lekken in browser van oude Android versies niet haalbaar acht. Maar kunnen ze dat zomaar beslissen? Ik heb toch recht op een product conform de verwachtingen, en ik mag toch verwachten dat een telefoon een paar jaar goed functioneert?

Dat klopt, een telefoon moet voldoen aan de redelijke verwachtingen die bij jou als koper gewekt zijn. Dat het product perfect veilig is, is geen redelijke verwachting, maar dat (ernstige) fouten worden hersteld mag je vandaag de dag wel verwachten.

De vraag is dan hoe lang je die verwachting mag hebben. Bij een browser uit 1996 lijkt me dat niet redelijk meer, maar Android 4.3 (waar het over gaat) is uit juli 2013, dat is nog geen twee jaar geleden dus. En dat een telefoon inclusief browser zo’n twee jaar gewoon moet werken, dat lijkt

Nu kun je natuurlijk zeggen, ja maar dit is software, dat krijg je toch altijd zonder garantie? Nou, niet helemaal. In 2012 bepaalde de Hoge Raad dat software onder de kooptitel valt, met als motivatie kort gezegd dat dat handig is omdat dan de regels over conformiteit en zo daarop van toepassing zijn. En op producten die je koopt zit “wettelijke garantie”, dat is die eis van redelijke verwachtingen.

Er wordt gewerkt aan een wetsvoorstel om dit te formaliseren. Er komt dan expliciet in de definitie van consumentenkoop uit art. 7:5 BW te staan dat de koopregels ook gelden voor

digitale inhoud die niet op een materiële drager is geleverd, ongeacht of de digitale inhoud individualiseerbaar is en of er feitelijke macht over kan worden uitgeoefend.

Daarmee zijn dus kopersrechten in te roepen ook wanneer het gaat om software (of spellen of video’s).

Maar inderdaad, Google lacht je keihard in je gezicht uit als je dit tegen ze gaat zeggen. Juridisch hebben ze daar nog een grond voor ook, want zij zijn geen partij bij die koopovereenkomst. Die telefoon koop je bij je mobieletelefonieprovider, niet bij Google. Tenzij het gaat om software die je wél rechtstreeks van Google krijgt, zoals de door Google zelf gemaakte en verspreide browser. Alleen krijg je die gratis, dus of je dan van een ‘koop’ kunt spreken is nog maar de vraag. (Op schenkingen, art. 7:175 BW gelden niet de regels van koop, een cadeau krijg je zonder garantie.)

Daar staat tegenover dat ie deel is van een product, en geen duidelijk losse download is. Dus ik denk dat je wel mag zeggen dat de browser deel is van de gekochte telefoon.

Alleen, nu twijfel ik. Want ís het wel redelijk dat je nog twee jaar security updates kunt verlangen op een browser?

Arnoud