Met één klik je privacyvoorkeuren juridisch bindend doorgeven, gaat dat ooit lukken?

| AE 12269 | Privacy | 7 reacties

Met de Global Privacy Control in je browser kun je straks met één muisklik instellen of je gevolgd en geprofileerd wil worden, las ik bij Ars Technica. Deze nieuwe optie, die echt niet hetzelfde is als de keihard gefaalde Do Not Track instelling in je browser (waarmee je met één muisklik kon instellen of je gevolgd en geprofileerd wilde worden), zou wel eens een heel groot dingetje kunnen gaan worden omdat zowel de GDPR als de Californische Consumer Privacy Act (CCPA) dergelijke instellingen juridisch bindend zouden verklaren. Vooralsnog zit de optie alleen in Brave en DuckDuckGo, Mozilla (van Firefox) houdt het bij een braaftaalpersverklaring en van Chrome is nog niets vernomen. Maar laten we optimistisch blijven en eens kijken hoe bindend dit is.

Beetje flauw natuurlijk om zo negatief over DNT te doen, want dat was een goed idee. Sowieso is het natuurlijk heel raar dat mensen gevraagd moeten worden of ze gevolgd en geprofileerd willen worden, want dat is geen beslissing waar je gewone mensen mee lastig moet willen vallen. Dat is gedrag dat we ofwel maatschappelijk aanvaardbaar vinden of niet, en dan verbied je het dus – of niet. En nee, het is geen kwestie van uitleggen of verwachten dat mensen de tijd nemen dit te begrijpen.

Maar goed, als het dan kennelijk gevraagd moet worden dan lijkt me een instelling in de browser heel wat beter dan iedere website zijn eigen supertrage popup met misleidende “eigen instellingen”-knop. Dat was ook waar DNT voor bedoeld was, en wat GPC ook moet gaan doen. DNT werd echter rijkelijk vroeg (2009) voorgesteld, en sneuvelde een stille dood omdat bedrijven geen zin hadden het te ondersteunen.

GPC zou een succes moeten worden omdat het wordt gepresenteerd als de implementatie van de GDPR en de Californische tegenhanger CCPA. Beiden kennen immers een juridisch kader voor toestemming geven (en intrekken) en wat daarbij komt kijken, dus als je GPC nu zo bouwt dat het een GDPR-compliant toestemming of intrekking geeft, dan moet je als bedrijf daar wat mee. Zou je zeggen, want de belangen zijn zo groot dat ik 100% verwacht dat advertentiebedrijven smoesjes zullen blijven verzinnen waarom je de AVG toch echt anders moet lezen.

In Californië pakken ze het harder aan. In een uitvoeringsregeling gekoppeld aan de CCPA staat expliciet dat bedrijven moeten luisteren naar browsergeconfigureerde toestemming:

The CCPA includes a mechanism for solving the one-by-one problem. The regulations interpreting the law specify that businesses must respect a “global privacy control” sent by a browser or device. The idea is that instead of having to change privacy settings every time you visit a new site or use a new app, you could set your preference once, on your phone or in a browser extension, and be done with it.
De AVG kent zo’n uitvoeringsregeling niet, en het is ook niet echt de Europese stijl van wetgeving dat we keihard opschrijven dat een bepaalde instelling of knop de wettelijke manier is om iets voor elkaar te krijgen. Wel zou de EDPB (de samenwerkende toezichthouders) een richtsnoer kunnen publiceren (artikel 70 AVG) waarin zonder veel mitsen en maren staat dat GPC rechtsgeldige toestemming (of weigering daarvan) oplevert en dat een bedrijf niet mag eisen dat je de eigen interface gebruikt. Een richtsnoer is geen wet maar je moet van goede huize komen wil je er zomaar van af kunnen wijken.

Uiteindelijk staat of valt dit natuurlijk met de handhaving. Zolang er geen concrete en directe prikkel is om je site aan te passen, zal GPC net zo hard sneuvelen als DNT. Maar ik begrijp niet waarom dit allemaal zo lang moet duren; we weten wat de eisen voor toestemming zijn en hoe dit kan worden gehandhaafd.

Arnoud

Yahoo negeert privacy-instelling IE10

| AE 4631 | Privacy | 26 reacties

cookiewet-trackingYahoo verklaart als één van de eerste grote internetnamen dat het de Do-Not-Track instelling van IE10 negeert, las ik bij Webwereld. Microsoft had eerder aangekondigd deze optie standaard aan te zetten, oftewel standaard mocht je niemand tracken die IE10 gebruikt. Volgens Yahoo veroorzaakte de browsermaker daarmee een gedegradeerde gebruikerservaring. En wanneer marketeers gaan spreken van gebruikerservaringen dan moet je uitkijken.

Het is natuurlijk overduidelijk dat Yahoo bedoelt “dan kunnen wij niet goed meer iedereen op individueel niveau tracken, profileren en in nette segmentjes te koop aanbieden aan onze adverteerders”. En ik geloof onmiddellijk dát dat hun probleem is, maar met dit soort omfloerste braaftaal schiet het debat rond tracken en privacy niet op. Sterker nog, dit soort acties zijn een domme zet want het is zó transparant dat het iedere geloofwaardigheid van andere argumenten van pro-advertentie en pro-tracking partijen onderuit haalt.

Sinds de invoering van de cookiewet staat dat debat sowieso al zwaar op scherp. Vrijwel iedereen, ook de meest rabiate pro-privacymensen die ik ken (en geloof me die zíjn me een partij rabiaat) vind het een onzinnige regel. Mensen worden op het verkeerde moment lastig gevallen met een privacyvraag. Sterker nog, op een moment dat ze eigenlijk gewoon iets anders willen en dan gaan ze dús gewoon “ja” zeggen op alles dat je vraagt. Dom, ja, ongetwijfeld maar zo werkt het wel en dat ga je écht niet met een cookiewet oplossen.

(Ik ga op 1 april in onze cookiepopup zeggen dat men toestemming geeft voor afboeken van 49,95 via automatische incasso na bezoeken site en dan eens zien hoe veel akkoords ik krijg.)

Do Not Track is een veel betere oplossing, en eigenlijk had de cookiewet dan ook pas ingevoerd moeten worden nadat DNT was uitgerold. Dan geef je het systeem tanden: ik wil niet worden gevolgd had ik ingesteld, je volgt me toch, kom maar op met die 100 euro. Per cookie.

Maar niet geheel onbegrijpelijk verzet de advertentieindustrie zich tegen DNT. Of beter gezegd, tegen een DNT die default op “ja” (==”nee ik wil niet getrackt”, argh dubbele ontkenningen) staat. Want tachtig procent van de mensen verandert nooit iets aan defaults, dus een default ja op DNT betekent dat 80% van je bezoekers niet getrackt mag worden. En alle zinnen over zorgvuldig gerespecteerde privacy in privacyverklaringen daargelaten: dát is natuurlijk ook weer niet de bedoeling. Want zonder tracking geen profielen en dus keldert de effectiviteit van advertenties naar nul. En de inkomsten dus ook.

Alleen: onder de huidige wet móet DNT bij default aan omdat de gebruiker een keuze moet maken. Mensen zelf de DNT naar uit (==”track me”) laten zetten is de beste manier om die keuze te laten maken. Ja, je zou het ook als open vraag bij installatie kunnen stellen maar wat doe je dan bij preinstalled software?

Gebruikers opvoeden dan maar? Mensen uitleggen wát tracken is en ze een geïnformeerde keuze laten maken of ze dat willen en in welke mate. Een prachtig ideaal, en ja zo hoort de maatschappij te werken. Maar het is wel een beetje naïef gezien de praktijk van vandaag de dag om te denken dat dát gaat lukken. Wie heeft er nooit een familielid aan de telefoon gehad met “de computer gaf een fout, nee ik weet niet welke want ik heb het maar weggeklikt en nu doet ‘ie het niet meer”? En hoe veel handige handleidingen en tips heb je die al niet vruchteloos aangeboden?

Eigenlijk is de enige werkbare oplossing dat de politiek zélf gaat bepalen wat er nog wel en niet wenselijk is op het gebied van tracking en privacy. En dan bedoel ik niet “beslissen dat gebruikers na zorgvuldige afweging een keuze maken” maar gewoon botweg zelf de grenzen bepalen. Die gebruikers gaan dat echt niet doen, en van strooptaalpratende marketeers hoeven we heus geen vrijwillige verbetering te verwachten. Een wet met “tracking mag maar je moet daarnaast een betaald advertentievrij abonnement aanbieden” lijkt mij een prima praktisch compromis, om eens wat te noemen.

Maar eerlijk gezegd zou ik mijn geld eerder zetten op “we modderen gewoon voort tot er nóg rampzaliger wetgeving komt”.

Arnoud