Tag: privacy policy

About privacy policy

Subscribe Feeds

Deze startup kreeg zo veel haat op haar privacypolicy dat ze hem aanpaste, advocaten staan versteld

Geplaatst op in Privacy, 6 reacties

Als Ars Technica clickbaitkoppen mag doen, mag ik het ook. “Ars readers hated this startup’s privacy policy—so the company changed it”, meldde men onlangs. De Amerikaanse technieuwssite had zoekmachine Neeva gereviewd, maar de reacties van lezers gingen massaal en zeer negatief los op de privacypolicy van het bedrijf. Tot veler verrassing leidde dat tot daadwerkelijke verandering: CEO Sridhar Ramaswamy liet de policy aanpassen. Een lesje in hoe het wel moet.

Hoe kon dit nou gebeuren? Nou ja, de bedoelingen waren natuurlijk goed maar ja toen gingen de juristen moeilijk doen:

Ramaswamy told Ars that the company’s intention was to provide a secure and privacy-respecting platform from the start. But, he added—and we’re paraphrasing here—”lawyers will be lawyers,” and it was “on him” that he had not inspected the policies drafted by the company’s legal counsel closely enough.

En ja, ik herken dat: heel veel ondernemers denken dat als een jurist of advocaat iets opstelt, het wel zo zal moeten van de wet dus dan nemen we het maar over. Of de tekst is zó lang, dicht en onnavolgbaar dat men het van pure ellende maar online zet. (Als je klant tegen je zegt “Fantastische tekst, ik heb er geen woord aan veranderd en hij gaat meteen online” dan bedoelt hij “Ik kom er niét doorheen dus het zal wel.” Ik heb drie klanten die nog steeds een “wie dit leest krijgt een fles champagne”-clausule in hun algemene voorwaarden hebben.)

Wat ging er nu mis? Neeva presenteert zichzelf als een privacyvriendelijke zoekmachine, waarbij je betaalt voor de dienst. En dat is een mooie insteek voor een nichedienst, alleen moet je dan wel extra goed nadenken hoe je in je privacyverklaring dingen uitlegt. Dit werkt bijvoorbeeld niet:

We have not sold consumers’ personal information in the preceding 12 months.

Ik begrijp dat dit bedoeld was als een kanarie – zodra men wel data zou gaan verkopen, was dit statement een leugen en dan kun je ze daarop ‘pakken’. Maar dat werkte niet: mensen dachten dat Neeva dus alleen maar 12 maanden hoefde te wachten en dan commercieel los kon gaan. Dat is dus nu gewoon “We do not and never have sold consumers’ personal information”.

Wat ook niet hielp, was een generiek statement dat men informatie kon delen met affiliated companies. Er stond niet bij wat dat waren – zuster en dochterbedrijven? Zakenpartners? Bedrijven die tegen vergoeding klanten aanbrengen? Dus dat gaf enige ophef, met name omdat er niets stond over waarborgen of beperkingen.

Ook niet fijn:

we store the personal information we receive as described in this Privacy Policy for as long as you use our Services or as necessary to fulfill the purposes for which it was collected… [including pursuit of] legitimate business purposes.

Dat kan dus wel héél ver oplopen als je een paar jaar de dienst gebruikt, en wat zijn legitieme bedrijfsbelangen? Plus, in de advertenties stond dat men alles maximaal 90 dagen zou bewaren, dus wat is er nou waar? Dit werd dus meteen aangepast: automatisch verzamelde data (zoals zoekgeschiedenis) weg na 90 dagen, en alleen informatie die langer nodig is voor de dienst (zoals profielinformatie) bewaard zo lang de dienst afgenomen wordt.

Wat ging hier nou mis? Mijn vermoeden is dat men ‘gewoon’ ergens een privacy policy bestelde, en dat de jurist in kwestie zijn of haar best deed een keurig document te maken. Maar als je niet in detail doorspreekt wat belangrijk is, of als jurist wel denkt dat je weet wat belangrijk is, dan krijg je dit soort discrepanties.

Die quote hierboven over bewaartermijnen is bijvoorbeeld een heel normale voor juristen, dingen moeten weg als niet meer nodig (artikel 17 AVG, bij ons) dus dat schrijf je dan netjes op. Maar als de klant niet zegt “zoekdata gaat na 90 dagen weg”, hoe kom je er dan achter dat je die uitzondering moet maken? Dat is dus waar je extra werk in moet steken als juridisch adviseur, alleen vereist dat vaak meer gedoe dan oorspronkelijk begroot of voorzien. En dan kom je op het punt dat je een CEO moet uitleggen waarom een privacypolicy geen standaardtekstje is dat je er achteraf even op kwakt.

Arnoud

Natuurlijk is het lezen van 150 privacy policies een totale ramp. Laten we ermee ophouden

Geplaatst op in Privacy, 13 reacties

Wij lazen 150 privacy policies en ze waren echt een totale onbegrijpelijke brij, aldus de NY Times vorige week. Het ging uiteraard om Amerikaanse sites; de policies stonden vol met juridisch jargon en braaftaal, met alles drie slagen om de arm en het taalgebruik zo moeilijk dat alleen Emmanuel Kant’s “Critique of Pure Reason” pittiger te lezen was. De strekking: deze dingen zijn niet bedoeld voor gewone mensen, maar voor bedrijven om zich in te dekken als ze weer eens je data verkopen of andere rare dingen doen waar wij gewoon niet op zitten te wachten. Inderdaad een totale ramp, en inderdaad zullen we daar gewoon mee ophouden?

De privacy policy is een raar ding. Waarom alle websites precies zo’n ding hebben is me nooit duidelijk geworden, maar al sinds jaar en dag loopt iedereen er mee te leuren. Het is waarschijnlijk te herleiden tot de FTC Fair Information Act, die eist dat je als eerlijk handelaar transparant bent over wat je doet met privacy en persoonlijke informatie. Dat gaan we dan even opschrijven, zal wel de gedachte zijn geweest.

Maar dan krijg je dus vrij massaal dat mensen lappen tekst posten (want niemand die eist dat het allemaal logisch en leesbaar moet zijn) en dat vervolgens niemand die leest. Totdat het misgaat, en dan is “ja maar in de privacyverklaring stond We respect your privacy en We may use data for certain purposes dus dan had u moeten begrijpen dat” een prima reactie in de praktijk.

In Europa hadden we altijd de eis van een informatieplicht onder de privacyrichtlijn (Wbp), en die is uitgebreid in de AVG: duidelijk en transparant, en in eenvoudige taal aangeven wat je doet met persoonsgegevens, waarheen waartoe en hoe lang. En stom genoeg zijn we dat allemaal gaan uitvoeren door privacyverklaringen te gaan (her-)schrijven. “Wees concreet”, zegt de wet. “Ik geef het woord nu aan mijn jurist”, zegt de ondernemer. Precies.

Wat mij betreft is het vrij simpel: zo’n onleesbare privacyverklaring is niets waard, en ik zou het werkelijk fantastisch vinden als de AP gewoon boetes van 5000 euro het stuk uitdeelt voor elke privacyverklaring die volgens een objectieve taalredacteur niet taalniveau B2 is. Zo moeilijk is dat niet. (Waarom maar 5000? Omdat in beroep gaan dan weinig zin heeft en de administratieve rompslomp voor de toezichthouder daardoor minder is.)

Nog geweldiger zou ik het vinden als we gewoon zouden stoppen met privacyverklaringen. Waarom moet je eigenlijk überhaupt een apart document hebben dat van alles gaat vertellen? Leg het gewoon uit op het moment dat het aan de orde is. Zet op je bestelformulier onder elk veld waarom je het nodig hebt (“Je geboortedatum gebruiken we voor een verjaardagscadeau en om je demografisch te kunnen categoriseren”) en je bent er eigenlijk al. Krijg je het verhaal daar niet rond, dan heb je meteen een check dat je het anders moet gaan aanpakken.

Dat laatste is denk ik nog het belangrijkste: door een aparte privacyverklaring te schrijven, koppel je het verhaal daaruit los van wat je werkelijk aan het doen bent. Dan krijg je indekken, braaftaal en slagen om de arm. Terwijl je op het moment zelf concreet moet zijn: waarom vragen wij eigenlijk om het geslacht van onze klanten?

Arnoud

AI-lawyerbot visualiseert gebruiksvoorwaarden

Geplaatst op in Innovatie, 5 reacties

Onderzoekers van de Zwitserse technische Universiteit EPFL hebben een ai-bot online gezet die gebruiksvoorwaarden leest en omzet in een overzichtelijk stroomdiagram, las ik bij Tweakers. Er is ook een chatbot-interface waarmee je vragen kunt stellen, en de bot zoekt de meest relevante zinen er dan bij. Het nut van het stroomdiagram ontgaat me, maar het idee van eenvoudiger leesbaar en bladerbaar maken van gebruiksvoorwaarden zie ik zeker wel zitten.

Het onderzoeksrapport van de Pribot en Polisis bot geeft aan dat de focus primair ligt op de privacyaspecten van de dienst. Men analyseerde zo’n 130.000 privacyverklaringen en extraheerde daaruit de tekstuele informatie, die vervolgens met een deep learning neuraal netwerk werd geanalyseerd. (Het idee dat er 130.000 privacyverklaringen op internet staan, geeft me soort van koude rillingen.)

De analyse zelf vind ik best slim opgezet. Zo wordt de onderliggende betekenis van termen geanalyseerd, zodat bijvoorbeeld “erase” en “destroy” als eenzelfde concept wordt aangemerkt. Ook werd op woordcombinatieniveau (3-grams tot 6-grams) getraind in plaats van zoals vaak op individuele woorden (bag of words). Het is me niet helemaal duidelijk hoe de training set haar labels kreeg.

De tekst wordt vervolgens op zinsniveau geclassificeerd (precies hoe mijn NDA Lynn werkt) en in een categorie gestopt. De uitkomst is een classificatie op hoog niveau waarbij men precies de tekst kan tonen die gaat over dat onderwerp, zodat je bijvoorbeeld iconen kunt tonen of een visualisatie van welke concepten waar aan de orde komen. De kwaliteit is best goed: 88% van de bevindingen komen overeen met menselijke inschatting.

Technisch is het geen ingewikkelde toepassing, de innovatie zit (zoals vaker bij legal tech) in het inzicht dat het in dit domein wat kan opleveren. Dat komt helaas nog veel te weinig voor. Een mogelijke reden daarvoor is dat je een héle grote berg data nodig hebt om de training goed te doen, en dat is in de juridische sector nog best ingewikkeld. Haal maar eens ergens 130.000 documenten over één onderwerp vandaan.

Een andere mogelijke verklaring is dat je bij een lawyerbot precies kunt zien hoe betrouwbaar ze zijn (in dit geval 88%) en dat er daarmee een heel concreet vraagteken komt te hangen bij of je erop kunt vertrouwen. Zeker omdat áls er fouten zijn, die meestal behoorlijk in het oog springen, zoals omdat de bot een zin compleet niet snapt en een mens meteen ziet wat het wel moest zijn.

Ik blijf ermee zitten hoe dat te overwinnen. Ook mensen zijn niet perfect, ik zou snel tekenen voor een jurist die iedere dag consistent 90% van de tijd foutloze documenten oplevert. Maar je merkt dat een stuk minder, en we kunnen het daarom niet zo goed beoordelen (denk ik).

Of zit er meer achten? Waarom ziet men een snelle inschatting van een ervaren privacyjurist als waardevoller dan een snelle inschatting van een AI bot als deze?

Arnoud

Mag een bedrijf zomaar alles in de privacyverklaring zetten?

Geplaatst op in Informatiemaatschappij, 9 reacties

“We may collect, use, transfer, sell and disclose non-personal information for any purpose.” Zomaar een zin uit zomaar een privacyverklaring? Nou nee, deze stond in de Unroll.me verklaring, een handig bedoelde nieuwsbriefafmeldapp die stiekem van taxibedrijf Uber afkomstig bleek. Uber gebruikte de app om te ontdekken wie er met concurrent Lyft reed, om zo het succes van Lyft te kunnen meten. Dat gaf de nodige ophef, omdat mensen dit best wel bespioneren vinden. Maar het stáát er toch gewoon, aldus Uber?

Uit diverse onderzoeken blijkt keer op keer dat mensen privacyverklaringen en algemene voorwaarden niet lezen. (En dat het 200 à 300 uur op een mensenleven zou kosten om dat wél te doen, en dat is dan zónder eventuele wijzigingen). Dat maakt de reactie van Uber (mooi gekarakteriseerd als “Sorry you’re upset”) maatschappelijk gezien wat twijfelachtig. Als je wéét dat mensen een tekst niet lezen, is het niet netjes om te verwijzen naar die tekst als enige rechtvaardiging.

Juridisch gezien klopte het natuurlijk wel, in ieder geval in de VS. Daar geldt: alles mag qua privacy, zolang je het vooraf maar netjes zegt. Privacyverklaringen putten zich daar ook altijd uit in lappen tekst met wat men doet en kan doen, en wijzigen wekelijks omdat ze wat nieuws erbij bedacht hebben.

In Europa mag dat niet zomaar: dingen met persoonsgegevens doen vereisen toestemming (of een rechtvaardiging onder een contract, plus nog wat uitzonderingen), en die kun je niet opeisen in een privacyverklaring of in algemene voorwaarden. Een privacyverklaring legt uit wat er gebeurt áls er toestemming is. Maar de toestemmingsvraag moet op zichzelf duidelijk en specifiek zijn. Dus ook “Ik geef toestemming voor alles uit de privacyverklaring” is niet genoeg.

Het probleem is vooral dat deze praktijken zijn ontstaan vanuit een tijd waar toestemming vragen – of privacyschendingen – een uitzondering was. Natuurlijk, in de jaren zestig ging je ook de openbare ruimte in: het café, de supermarkt en ga zo maar door. Logisch dat de caféeigenaar dan keek wat je deed, en de supermarkteigenaar kon wellicht bedenken dat als veel mensen bier kopen, het handig is de chips er naast te zetten. In die context is “hang even een bordje op als je rare dingen doet” heel begrijpelijk. En omdat het een uitzondering is, valt het op en dan leren mensen er ook weer wat van.

Met toestemming hetzelfde. Volgens mij is nooit voorzien bij het invoeren van wetgeving over persoonsgegevens dat iedereen dagelijks vele malen toestemming zou geven. Elke keer als ik de wettelijke eisen stel, moet ik denken aan het soort informed consent dat je als patiënt moet geven bij een medische behandeling. Duidelijke uitleg, een vrijwillige keuze en specifiek aangeven wat je wel of niet wilt. Bij internet-toestemming krijg je een folder van zes kantjes (met sticker “Let op: kan inhoudelijk afwijken van de werkelijkheid”) en blijken je nieren ineens tracking pixels te bevatten. Dat werkt niet helemaal, om het zachtjes te zeggen.

Alleen: hoe moet het dan wel? Wettelijke regulering, dus keihard opnoemen wat er wel en niet mag, lijkt me te blokkerend voor innovatie. De toezichthouder in abstracto laten oordelen over nieuwe ontwikkelingen? En dan vooraf of achteraf? Daar zie ik ook weer weinig in.

Arnoud

Tiradeweek: Ja, en die privacyverklaringen zelf dan dus

Geplaatst op in Privacy, 20 reacties

Ah ja, die privacyverklaring. Gisteren noemde ik het een verplicht nummer, en daar kreeg ik wat geïrriteerde reacties op. Het is toch een nuttig instrument, en mensen hebben toch een eigen verantwoordelijkheid als ze niet de moeite willen nemen zich te informeren over wat een site doet? Eh, ja, whatéver: iedereen weet dat die privacyverklaring niet werkt, niet gelezen wordt en geen enkele bijdrage levert aan de voortgang van de maatschappij. In de shredder ermee dus.

Het concept privacyverklaring kent zowel een Europese als een Amerikaanse achtergrond. De Europese achtergrond is dat mensen alleen toestemming voor verwerking van hun persoonsgegevens kunnen geven als ze zijn geïnformeerd over het wat en hoe. Je ziet het zo voor je: een deskundig adviseur met vlot jasje die twee enigszins onzeker kijkende mensen uitlegt wat er gaat gebeuren met hun per-soons-ge-gevens waarna deze “nou ja, dat moet dan maar hè Henk, we willen toch héél graag dat spelletje spelen” zeggen en hun handtekening zetten. De Amerikaanse visie is dezelfde, maar dan nog iets explicieter het idee dat je “too bad, je had het kunnen weten sucker” kunt zeggen als mensen komen klagen.

Met enige regelmaat verschijnen studies die aantonen dat mensen die teksten niet lezen. Het is te veel, het is niet relevant voor de actie waar ze mee bezig zijn, het boeit ze niet, het is te moeilijk, alle mogelijke verklaringen noem ze maar op. Maar je zou denken dat privacy als iets belangrijks voelt, dus waarom steken we daar dan toch geen energie in? Misschien is het wel naïef optimisme: ja het zal wel die hele uitleg, dit is toch wettelijk geregeld en er is toch een toezichthouder, dan zal het uiteindelijk wel meevallen toch?

Recent las ik nog een betoog dat de reden is dat we het simpelweg opgegeven hebben, het idee dat we onze privacy kunnen beschermen:

[P]eople feel they cannot do anything to seriously manage their personal information the way they want. Moreover, they feel they would face significant social and economic penalties if they were to opt out of all the services of a modern economy that rely on an exchange of content for data. So they have slid into resignation

Oftewel: je kunt die privacyteksten wel lezen, maar uiteindelijk maakt het toch geen bal uit want ze doen toch wat ze willen en je móet meedoen anders word je uitgelachen als Facebookloze nerd of ouderwetse huisvrouw (m/v) die niet eens haar eten op Instagram zet.

Mensen geven wel om hun privacy maar als je niets kunt veranderen en mee móet doen, ja dan sjok je wel achter de massa aan. En dan is wel het laatste wat je wilt, een privacyverklaring lezen want daar word je alleen maar moedeloos van: oh, gaan ze óók al mijn GPS-locatie meten elke minuut en dat verkopen aan Nike zodat die haar advertenties beter bij mijn buitenbeleving kan laten aansluiten?

En dat is het natuurlijk precies waar het om gaat. Persoonsgegevens zijn waardevolle informatie voor bedrijven, hoe meer hoe beter en er is toch niemand die er wérkelijk een punt van maakt. We verzamelen en doen wat we willen, en we schrijven een schaamlap die met mooie woorden ongeveer uitlegt wat we doen zodat we een “too bad, je had het kunnen weten sucker“-excuus bij de hand hebben als mensen klagen, en een deskundig adviseur kunnen schetsen naar de toezichthouder. En zolang die (en de politiek) denkt dat de privacyverklaring net zo werkt als een zorgvuldige uitleg bij de medisch specialist, gaat er geen bal veranderen.

Dus: weg met de privacyverklaring. Het is vanaf nu verboden in een aparte tekst uit te leggen wat je doet. Alles dat je doet met mensen hun privacy, moet direct en onmiddellijk duidelijk zijn bij de feature zelf. Als dat niet kan, mogen er maximaal 3 regels (van 72 tekens elk, slimmeriken) aan uitleg bij. Als daar je uitleg niet in past, dan is het vanaf nu illegaal.

Arnoud

Tiradeweek: Die marketingblaat als je privacyvragen aan bedrijven stelt

Geplaatst op in Privacy, 11 reacties

privacy-statement.jpgBen je terug van vakantie, krijg je dit artikel van Forbes onder ogen waarin men de nieuwe privacy policy van Spotify eens onder de loep neemt. Ja, ze willen alles van je weten en het is volslagen onduidelijk wat ze daarmee gaan doen. Prima dus om je daar druk over te maken als journalist, maar wat mij dan steekt is het einde van het bericht. Want wat produceert het muziekvloeibedrijf dan als reactie op de analyse dat men stemcommando’s registreert, locatie vastlegt, het adresboek kopieert en een tot op de trilharen nauwkeurig interesseprofiel afstemt, en dat men dat óók gerust doet bij betalende klanten:

Spotify is constantly innovating and evolving its service to deliver the best possible experience for our users. This means delivering the perfect recommendations for every moment, and helping you to enjoy, discover and share more music than ever before.

Hoe krijg je het uit je vingers. En het gaat verder:

The data accessed simply helps us to tailor improved experiences to our users, and build new and personalised products for the future. Recent new features include Spotify Running, which matches the BPM of your music to the pace of your run, or the new Discover Weekly feature, which curates a weekly playlist based on your tastes.

Tussen de regels door snap ik denk ik wel waarom men die data verzamelt en dat er heus geen plannen zijn om werkelijk iedere trilhaar afzonderlijk te profileren en om dat te verkopen aan driehonderd zorgvuldig geselecteerde nepviagraverkopers. Maar: dat stáát er wel, dus dan is het normaliter gepast dat je uitlegt wat je bedoelt en vervolgens je privacyverklaring aanpast zodat ie klopt met je uitleg. Ja, moehaha inderdaad.

Kijk. Ik snap ergens best wel dat die privacyverklaring een verplicht nummer is, dat mensen niet werkelijk interesseert en eigenlijk alleen gebruikt wordt om pro forma compliance te claimen en privacyactivisten te kunnen pareren met “mensen moeten gewoon de privacyverklaring lezen en dan kunnen ze een vrije keuze maken”. En je wilt je opties openhouden als jurist dus we “kunnen” van alles doen met persoonsgegevens maar we respecteren je privacy en we doen niets zonder je toestemming tenzij anders vermeld – succes met interpreteren wat dát betekent.

Logisch dus dat journalisten zo’n privacyverklaring kritisch doornemen. En ja ik snap ook wel dat het vaak vooral gaat om een leuk stukje “oh noes ze stelen je privacy”, maar ongeacht insteek: er is kritiek, daar moet je wat mee. En dan bedoel ik dus meer dan zo’n meelbal van een ongeïnteresseerde voorlichter.

Ik word er zo moe van, van zulke gemakzuchtige reacties die vervolgens geen enkele band hebben met de juridische documentatie. Het ergste is dan nog dat iedere journalist die tekst gewoon publiceert, want hoor en wederhoor en zo. Maar káp daar nou eens mee. Dit is toch geen antwoord, dit is eenvormige blaat die bij elke mogelijke vraag geproduceerd kan worden. Vraag door, of vermeld “Spotify reageerde niet inhoudelijk op ons verzoek om uitleg”. Want zo schiet het niet op natuurlijk. Als je uitleg nodig hebt, is je tekst niet goed.

Arnoud