Met één klik je privacyvoorkeuren juridisch bindend doorgeven, gaat dat ooit lukken?

| AE 12269 | Privacy | 7 reacties

Met de Global Privacy Control in je browser kun je straks met één muisklik instellen of je gevolgd en geprofileerd wil worden, las ik bij Ars Technica. Deze nieuwe optie, die echt niet hetzelfde is als de keihard gefaalde Do Not Track instelling in je browser (waarmee je met één muisklik kon instellen of je gevolgd en geprofileerd wilde worden), zou wel eens een heel groot dingetje kunnen gaan worden omdat zowel de GDPR als de Californische Consumer Privacy Act (CCPA) dergelijke instellingen juridisch bindend zouden verklaren. Vooralsnog zit de optie alleen in Brave en DuckDuckGo, Mozilla (van Firefox) houdt het bij een braaftaalpersverklaring en van Chrome is nog niets vernomen. Maar laten we optimistisch blijven en eens kijken hoe bindend dit is.

Beetje flauw natuurlijk om zo negatief over DNT te doen, want dat was een goed idee. Sowieso is het natuurlijk heel raar dat mensen gevraagd moeten worden of ze gevolgd en geprofileerd willen worden, want dat is geen beslissing waar je gewone mensen mee lastig moet willen vallen. Dat is gedrag dat we ofwel maatschappelijk aanvaardbaar vinden of niet, en dan verbied je het dus – of niet. En nee, het is geen kwestie van uitleggen of verwachten dat mensen de tijd nemen dit te begrijpen.

Maar goed, als het dan kennelijk gevraagd moet worden dan lijkt me een instelling in de browser heel wat beter dan iedere website zijn eigen supertrage popup met misleidende “eigen instellingen”-knop. Dat was ook waar DNT voor bedoeld was, en wat GPC ook moet gaan doen. DNT werd echter rijkelijk vroeg (2009) voorgesteld, en sneuvelde een stille dood omdat bedrijven geen zin hadden het te ondersteunen.

GPC zou een succes moeten worden omdat het wordt gepresenteerd als de implementatie van de GDPR en de Californische tegenhanger CCPA. Beiden kennen immers een juridisch kader voor toestemming geven (en intrekken) en wat daarbij komt kijken, dus als je GPC nu zo bouwt dat het een GDPR-compliant toestemming of intrekking geeft, dan moet je als bedrijf daar wat mee. Zou je zeggen, want de belangen zijn zo groot dat ik 100% verwacht dat advertentiebedrijven smoesjes zullen blijven verzinnen waarom je de AVG toch echt anders moet lezen.

In Californië pakken ze het harder aan. In een uitvoeringsregeling gekoppeld aan de CCPA staat expliciet dat bedrijven moeten luisteren naar browsergeconfigureerde toestemming:

The CCPA includes a mechanism for solving the one-by-one problem. The regulations interpreting the law specify that businesses must respect a “global privacy control” sent by a browser or device. The idea is that instead of having to change privacy settings every time you visit a new site or use a new app, you could set your preference once, on your phone or in a browser extension, and be done with it.
De AVG kent zo’n uitvoeringsregeling niet, en het is ook niet echt de Europese stijl van wetgeving dat we keihard opschrijven dat een bepaalde instelling of knop de wettelijke manier is om iets voor elkaar te krijgen. Wel zou de EDPB (de samenwerkende toezichthouders) een richtsnoer kunnen publiceren (artikel 70 AVG) waarin zonder veel mitsen en maren staat dat GPC rechtsgeldige toestemming (of weigering daarvan) oplevert en dat een bedrijf niet mag eisen dat je de eigen interface gebruikt. Een richtsnoer is geen wet maar je moet van goede huize komen wil je er zomaar van af kunnen wijken.

Uiteindelijk staat of valt dit natuurlijk met de handhaving. Zolang er geen concrete en directe prikkel is om je site aan te passen, zal GPC net zo hard sneuvelen als DNT. Maar ik begrijp niet waarom dit allemaal zo lang moet duren; we weten wat de eisen voor toestemming zijn en hoe dit kan worden gehandhaafd.

Arnoud