Als Ars Technica clickbaitkoppen mag doen, mag ik het ook. “Ars readers hated this startup’s privacy policy—so the company changed it”, meldde men onlangs. De Amerikaanse technieuwssite had zoekmachine Neeva gereviewd, maar de reacties van lezers gingen massaal en zeer negatief los op de privacypolicy van het bedrijf. Tot veler verrassing leidde dat tot daadwerkelijke verandering: CEO Sridhar Ramaswamy liet de policy aanpassen. Een lesje in hoe het wel moet.
Hoe kon dit nou gebeuren? Nou ja, de bedoelingen waren natuurlijk goed maar ja toen gingen de juristen moeilijk doen:
Ramaswamy told Ars that the company’s intention was to provide a secure and privacy-respecting platform from the start. But, he added—and we’re paraphrasing here—”lawyers will be lawyers,” and it was “on him” that he had not inspected the policies drafted by the company’s legal counsel closely enough.
En ja, ik herken dat: heel veel ondernemers denken dat als een jurist of advocaat iets opstelt, het wel zo zal moeten van de wet dus dan nemen we het maar over. Of de tekst is zó lang, dicht en onnavolgbaar dat men het van pure ellende maar online zet. (Als je klant tegen je zegt “Fantastische tekst, ik heb er geen woord aan veranderd en hij gaat meteen online” dan bedoelt hij “Ik kom er niét doorheen dus het zal wel.” Ik heb drie klanten die nog steeds een “wie dit leest krijgt een fles champagne”-clausule in hun algemene voorwaarden hebben.)
Wat ging er nu mis? Neeva presenteert zichzelf als een privacyvriendelijke zoekmachine, waarbij je betaalt voor de dienst. En dat is een mooie insteek voor een nichedienst, alleen moet je dan wel extra goed nadenken hoe je in je privacyverklaring dingen uitlegt. Dit werkt bijvoorbeeld niet:
We have not sold consumers’ personal information in the preceding 12 months.
Ik begrijp dat dit bedoeld was als een kanarie – zodra men wel data zou gaan verkopen, was dit statement een leugen en dan kun je ze daarop ‘pakken’. Maar dat werkte niet: mensen dachten dat Neeva dus alleen maar 12 maanden hoefde te wachten en dan commercieel los kon gaan. Dat is dus nu gewoon “We do not and never have sold consumers’ personal information”.
Wat ook niet hielp, was een generiek statement dat men informatie kon delen met affiliated companies. Er stond niet bij wat dat waren – zuster en dochterbedrijven? Zakenpartners? Bedrijven die tegen vergoeding klanten aanbrengen? Dus dat gaf enige ophef, met name omdat er niets stond over waarborgen of beperkingen.
Ook niet fijn:
we store the personal information we receive as described in this Privacy Policy for as long as you use our Services or as necessary to fulfill the purposes for which it was collected… [including pursuit of] legitimate business purposes.
Dat kan dus wel héél ver oplopen als je een paar jaar de dienst gebruikt, en wat zijn legitieme bedrijfsbelangen? Plus, in de advertenties stond dat men alles maximaal 90 dagen zou bewaren, dus wat is er nou waar? Dit werd dus meteen aangepast: automatisch verzamelde data (zoals zoekgeschiedenis) weg na 90 dagen, en alleen informatie die langer nodig is voor de dienst (zoals profielinformatie) bewaard zo lang de dienst afgenomen wordt.
Wat ging hier nou mis? Mijn vermoeden is dat men ‘gewoon’ ergens een privacy policy bestelde, en dat de jurist in kwestie zijn of haar best deed een keurig document te maken. Maar als je niet in detail doorspreekt wat belangrijk is, of als jurist wel denkt dat je weet wat belangrijk is, dan krijg je dit soort discrepanties.
Die quote hierboven over bewaartermijnen is bijvoorbeeld een heel normale voor juristen, dingen moeten weg als niet meer nodig (artikel 17 AVG, bij ons) dus dat schrijf je dan netjes op. Maar als de klant niet zegt “zoekdata gaat na 90 dagen weg”, hoe kom je er dan achter dat je die uitzondering moet maken? Dat is dus waar je extra werk in moet steken als juridisch adviseur, alleen vereist dat vaak meer gedoe dan oorspronkelijk begroot of voorzien. En dan kom je op het punt dat je een CEO moet uitleggen waarom een privacypolicy geen standaardtekstje is dat je er achteraf even op kwakt.
Arnoud