Kan iemand mij uitleggen waarom ik het gerechtvaardigd belang van anderen aan en uit kan zetten?

Via Reddit:

Al een tijdje krijgen we in de koekjesschermen een andere keuze. Het gaat niet alleen meer om waar ik toestemming voor geef, maar ook om gerechtvaardigd belang. … Wat ik niet snap, is waarom ik dan in de cookiebanner naast de toestemmingsvraag ook een vraag krijg over legitiem belang. Er staat legitiem belang en dan met een slider ernaast. Alsof ik het legitieme belang van een bedrijf aan en uit kan zetten. Wat doet die slider daar?

Adverteerders zijn een jaartje of zo geleden ineens massaal van de toestemming afgestapt en naar legitiem belang gegaan. Waarom is me nog steeds niet helemaal duidelijk, maar ik vermoed dat men de bui wel zag hangen dat met cookiemuren afgedwongen toestemming niet rechtsgeldig zou zijn.

Legitiem belang of gerechtvaardigd belang is een andere grondslag: je zegt dan eigenlijk, ik mag dit gewoon want mijn belang weegt zwaarder dan uw privacy. Daar horen dan bepaalde privacybeschermende maatregelen bij. En de marketeers hebben dan het voordeel dat in overweging 47 staat dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst ‘legitimate interest’ zegt.

Die slider heb ik ook altijd over zitten denken. Ik had altijd het beeld dat die er was omdat hij er bij toestemming ook stond, en dat daar verder niet over nagedacht is. Want het is niet logisch, dat je iemands belang aan of uit kunt zetten.

Als je even doorbladert in de AVG dan kom je uit bij het recht van bezwaar, artikel 21 AVG:

1. De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 6, lid 1, onder e) of f), van artikel 6, lid 1, met inbegrip van profilering op basis van die bepalingen. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
Bezwaar maken kan dus, maar het moet gaan om redenen vanwege zijn specifieke situatie, zeg maar persoonlijke redenen. En dan moet een afweging volgen: heeft de verwerkingsverantwoordelijke dwingende gronden om tóch door te gaan?

Maar voor direct marketing is het simpeler:

3. Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.
Je moet de slider dus zien als zo’n bezwaar tegen marketing. De slider op uit zetten is dus “I object”, ik maak bezwaar. Dat voelt ergens niet correct, UI-technisch gezien, maar het werkt wel.

Arnoud

Waarom hebben alle cookiepopups ineens een legitiem belang?

Een lezer vroeg me:

Sinds een tijdje valt me op dat allerlei cookiepopups niet alleen om toestemming vragen, maar ook opties aanbieden onder het kopje “legitiem belang”. Vaak kun je die opties niet uitzetten, maar soms wel alleen heet dat dan “bezwaar”. Wat is dit in vredesnaam?
Wie dit heeft bedacht, weet ik ook niet, maar ik vermoed dat diverse grote cookiepopuptechnologieleveranciers (dat is een branche) dit hebben ingevoerd op verzoek van organisaties zoals het Interactive Advertising Bureau (IAB). Iedereen die iets doet met cookies en tracking, ziet de bui namelijk wel hangen dat toestemming het niet lang meer uithoudt als reden (grondslag) om marketing en profiling te doen.

Toestemming was ooit het argument om persoonsgegevens te mogen verzamelen en om met cookies te kunnen werken. Dus iedereen zette lekker een dikke cookiemuur voor zijn site, waardoor we nu met het fenomeen jaklikmoeheid of consent fatigue zitten. En, belangrijker, waardoor toezichthouders eens beter zijn gaan kijken en de terechte vraag stellen waarom het eigenlijk vrijwillig is, dat mensen moeten klikken om je site te kunnen bekijken. Ja, het is jouw site en je mag mensen weigeren, maar in de AVG/GDPR staat nu eenmaal dat toestemming weigeren zonder gevolgen moet blijven – en weigeren is een gevolg, hoe je het ook wendt of keert.

Snel op zoek naar alternatieven, en dan komen we natuurlijk meteen uit bij artikel 6 lid 1 sub f AVG:

de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde,
waarbij iedereen dan meteen wijst op overweging 47 die zegt dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst ‘legitimate interest’ zegt.

Toen is er ergens een brainstorm gekomen over welke soorten cookies en profiling onder dit kopje gerechtvaardigd kunnen worden. Je ziet dat terug in die menu’s: dingen als security & monitoring, first-party analytics en het beperken van overlast door excessief cookiegebruik (ja, serieus heb ik gezien). Daar is dan dus geen toestemming voor nodig, dus die blijven dan buiten het lijstje met dingen waar je toestemming voor moet geven.

Wel staat in de AVG dat je de mogelijkheid tot bezwaar maken moet hebben, op basis van persoonlijke omstandigheden. Bij marketing is de bezwaarmogelijkheid onbeperkt, er hoeft dan geen omstandigheid te worden opgegeven. Daarom zie je dan weer afmeldknopjes bij veel “legitiem belang” opties. Maar een afmeldoptie is in het algemeen niet verplicht. Bij security-opties (monitoring van gedrag om inbrekers-in-spe te pakken) is het natuurlijk niet zinnig om mensen zich te laten afmelden.

Arnoud

Is Google Analytics zonder toestemmingspopup legaal onder de nieuwe cookiewet?

cookie-bril.jpgDe Tweede Kamer is dinsdagmiddag akkoord gegaan met een minder strenge cookiewet, meldde onder meer Tweakers. Cookies die geen inbreuk maken op de privacy, zoals first-party analytics en affiliatecookies, zullen legaal worden als dit wetsvoorstel de Eerste Kamer overleeft. Waarbij de hamvraag natuurlijk is: mag dan Google Analytics ineens zonder toestemming te vragen?

Al sinds de invoering van de cookiewet is deze hoogst controversieel. Het idee dat een wet zou bepalen welke (tracking of andere) cookies je mocht plaatsen, was voor vele webmasters buitengewoon stuitend en dom. Al snel verschenen dan ook overal popups en vooral cookiemuren: geen cookies, dan geen site voor jou. Buitengewoon ergerlijk, vooral ook voor mensen die wél geven om hun privacy en daarom tracking cookies willen uitschakelen.

Na veel gedoe is er dan nu een wetsvoorstel door de Tweede Kamer geaccepteerd: cookies die “geen of slechts geringe” inbreuk op de privacy van de bezoeker maken en dienen om informatie te verkrijgen over kwaliteit of effectiviteit van de dienst, zullen buiten het toestemmingsvereiste vallen als dit voorstel wet wordt.

Wanneer maakt nu zo’n cookie “geen of slechts geringe” inbreuk op de privacy? Dat staat er niet letterlijk bij. Er is ook nooit gesproken over de Analyticsdienst van Google als zodanig. Verder dan dat dat “sommige” analytic cookies geringe privacygevolgen opleveren. Het moet dan gaan om first party analytics, en het is niet toegestaan de informatie voor iets anders dan analytics te gebruiken, je mag dus geen bezoekersprofielen of iets dergelijks verrijken met analyticsdata.

Googles dienst lijkt hieraan te voldoen. Echter, Google is strikt gesproken niet first-party: niet de website-eigenaar verzamelt de data maar Google. Formeel weliswaar in opdracht (‘bewerker’) van de website-eigenaar, maar Google wordt eigenaar van de analyticsdata en de website-eigenaar kan niet zien wat Google ermee doet.

Bovendien worden met de Google-dienst analyticsgegevens naar buiten de EU geëxporteerd. Dat is op zichzelf een niet-geringe inbreuk op de privacy, aangezien ze in de VS geen adequate bescherming van persoonsgegevens hebben. Daarmee zal Google Analytics dus niet voldoen aan “geen of geringe inbreuk op de privacy”. Een eigen first-party analyticstool zoals Piwik zou wel voldoen aan deze eis, mits je het maar houdt bij zuiver meten en statistieken bedrijven en de analyticsdata niet gebruikt om persoonsgebonden siteveranderingen door te voeren.

En ik erger me rot aan media die meldt dat “de cookiewet gewijzigd is”. Dat. Is. Niet. Zo. De Tweede Kamer heeft ja gezegd, maar de Eerste Kamer moet dat ook nog doen. En juist de Eerste Kamer is meer gespitst op de principiële aspecten van wetten, en hoe dit binnen Europese regels past. Het is dus zeer zeker geen gegeven dat de EK dit zal goedkeuren.

Arnoud

Mag een dienst zomaar gewijzigde voorwaarden popuppen?

ie-aagree-ezelEen lezer vroeg me:

Op een forum waar ik vaak kom, werden ineens nieuwe voorwaarden doorgevoerd. Ik kreeg een groot scherm met de tekst en een knop “Ik ga akkoord”. Als ik die niet indruk, kan ik niets meer doen terwijl ik al jaren lid ben. Kan dat zomaar, zo eenzijdig en ineens?

Op zich is het toegestaan algemene voorwaarden te wijzigen, mits in de oude voorwaarden staat dat dit mag. Voorwaarden wijzigen zonder bevoegdheid daarvoor in de oude voorwaarden is een contractswijziging, die niet mag zonder toestemming van de wederpartij.

Bij het doorvoeren van zo’n wijziging gelden dezelfde regels als bij het initieel aanbieden van algemene voorwaarden. Ze hoeven niet gelezen te worden, maar ze moeten wel ter hand gesteld zijn zodat de wederpartij ze kan opslaan voor latere kennisname. Expliciet akkoord hoeft niet, maar een melding moet wel.

Bij popups is dat een probleem, want teksten in popups zijn niet eenvoudig op te slaan. En nee, “je kunt ze handmatig selecteren en dan via copy-paste in Word plakken” is wettelijk gezien niet ‘eenvoudig’. Die scrolvensters van drie centimeter hoog die sommige sites hanteren zijn dus óók niet rechtsgeldig. Een zinnetje met hyperlink naar een PDF-bestand is dat dan weer wél.

Het proces dat dit forum hanteert, lijkt dus legaal hoewel het buitengewoon eenzijdig en onvriendelijk is. Tenzij ze dus de oude voorwaarden niet nakomen (waar bijvoorbeeld in kan staan dat ze een maand van tevoren moeten worden gemeld), zie ik zo geen grond om dit aan te vechten. Als dat forum mijn klant was, dan had ik aangeraden om ruim van tevoren te beginnen met een banner of waarschuwing dat er nieuwe voorwaarden aankomen. Mensen kunnen dan akkoord gaan of nog een paar weken nemen om ze door te lezen. Pas ná die periode kun je dan een akkoord afdwingen.

Natuurlijk wil een akkoord op nieuwe algemene voorwaarden niet zeggen dat ze dús bindend zijn. Algemene voorwaarden mogen niet onredelijk bezwarend zijn, en het feit dat je instemt met de voorwaarden betekent niet dat je erkent dat ze redelijk zijn. Dit mechanisme staat zo in de wet precies vanwege dit soort grappen.

Arnoud

Ik kan niet eens meer gewoon een spelletje spelen

Installeer ik op mijn pad een nieuw spelletje – Quiz Battle – moet ik een account aanmaken en krijg ik dít voor mijn neus:

quiz-battle

Argh. Waar te beginnen.

“Ga je ermee akkoord Terms of Service en dat we je informatie”. Oké, nou, vooruit, iets te snel dat “Terms of Service” toegevoegd nadat een vriendje op de borrel zei “hee je moet wel akkoord op je voorwaarden vragen hè”.

Maar, eh waar zíjn die Terms of Service dan? Er staat niet eens een hyperlink in dat balkje. Plus, ik gok zomaar dat ik de tekst achter zo’n link niet had kunnen opslaan, waardoor die voorwaarden sowieso ongeldig (vernietigbaar) zijn.

Verder: ik ga -zo staat hier- akkoord met toezending van allerlei “informatie, aanbiedingen en nieuwsbrieven” van het programma zelf en van een of ander tijdschrift. Kan dat? Ja, dat is een leuke vraag.

Toestemming voor nieuwsbrieven en dergelijke moet specifiek en apart worden gegeven. Je kunt deze niet opeisen in algemene voorwaarden. Op zich doen ze het dus goed hier, door het in de popup zelf te vragen en niet in die niet-gelinkte voorwaarden. Wel vind ik “informatie, aanbiedingen” wat vaag – ik gok dat dit betekent dat ik allerlei reclame ga krijgen maar waarvan en waarover?

Ook gok ik (maar ik heb nog geen mail gehad) dat ik nu aanbiedingen ga krijgen van zorgvuldig geselecteerde partners van de app-aanbieder. En dát zou juridisch wel een probleem zijn, want dat staat niet in de popup en al helemaal niet in het specifieke formaat dat de OPTA eist. “Partners” is onvoldoende als aanduiding, je moet echt vermelden wíe het gaan zijn. Ik hoop dat binnenkort de rechtbank uitspraak doet in die opt-inzaak uit 2011 waarbij de OPTA zes ton boete oplegde voor een dergelijke constructie.

En ja, zo zit ik dan op zondagavond algemene voorwaarden van spelletjes te lezen.

Arnoud