Natuurlijk is het lezen van 150 privacy policies een totale ramp. Laten we ermee ophouden

| AE 11334 | Privacy | 13 reacties

Wij lazen 150 privacy policies en ze waren echt een totale onbegrijpelijke brij, aldus de NY Times vorige week. Het ging uiteraard om Amerikaanse sites; de policies stonden vol met juridisch jargon en braaftaal, met alles drie slagen om de arm en het taalgebruik zo moeilijk dat alleen Emmanuel Kant’s “Critique of Pure Reason” pittiger te lezen was. De strekking: deze dingen zijn niet bedoeld voor gewone mensen, maar voor bedrijven om zich in te dekken als ze weer eens je data verkopen of andere rare dingen doen waar wij gewoon niet op zitten te wachten. Inderdaad een totale ramp, en inderdaad zullen we daar gewoon mee ophouden?

De privacy policy is een raar ding. Waarom alle websites precies zo’n ding hebben is me nooit duidelijk geworden, maar al sinds jaar en dag loopt iedereen er mee te leuren. Het is waarschijnlijk te herleiden tot de FTC Fair Information Act, die eist dat je als eerlijk handelaar transparant bent over wat je doet met privacy en persoonlijke informatie. Dat gaan we dan even opschrijven, zal wel de gedachte zijn geweest.

Maar dan krijg je dus vrij massaal dat mensen lappen tekst posten (want niemand die eist dat het allemaal logisch en leesbaar moet zijn) en dat vervolgens niemand die leest. Totdat het misgaat, en dan is “ja maar in de privacyverklaring stond We respect your privacy en We may use data for certain purposes dus dan had u moeten begrijpen dat” een prima reactie in de praktijk.

In Europa hadden we altijd de eis van een informatieplicht onder de privacyrichtlijn (Wbp), en die is uitgebreid in de AVG: duidelijk en transparant, en in eenvoudige taal aangeven wat je doet met persoonsgegevens, waarheen waartoe en hoe lang. En stom genoeg zijn we dat allemaal gaan uitvoeren door privacyverklaringen te gaan (her-)schrijven. “Wees concreet”, zegt de wet. “Ik geef het woord nu aan mijn jurist”, zegt de ondernemer. Precies.

Wat mij betreft is het vrij simpel: zo’n onleesbare privacyverklaring is niets waard, en ik zou het werkelijk fantastisch vinden als de AP gewoon boetes van 5000 euro het stuk uitdeelt voor elke privacyverklaring die volgens een objectieve taalredacteur niet taalniveau B2 is. Zo moeilijk is dat niet. (Waarom maar 5000? Omdat in beroep gaan dan weinig zin heeft en de administratieve rompslomp voor de toezichthouder daardoor minder is.)

Nog geweldiger zou ik het vinden als we gewoon zouden stoppen met privacyverklaringen. Waarom moet je eigenlijk überhaupt een apart document hebben dat van alles gaat vertellen? Leg het gewoon uit op het moment dat het aan de orde is. Zet op je bestelformulier onder elk veld waarom je het nodig hebt (“Je geboortedatum gebruiken we voor een verjaardagscadeau en om je demografisch te kunnen categoriseren”) en je bent er eigenlijk al. Krijg je het verhaal daar niet rond, dan heb je meteen een check dat je het anders moet gaan aanpakken.

Dat laatste is denk ik nog het belangrijkste: door een aparte privacyverklaring te schrijven, koppel je het verhaal daaruit los van wat je werkelijk aan het doen bent. Dan krijg je indekken, braaftaal en slagen om de arm. Terwijl je op het moment zelf concreet moet zijn: waarom vragen wij eigenlijk om het geslacht van onze klanten?

Arnoud

Privacyvoorwaarden Google in strijd met de wet

| AE 6182 | Ondernemingsvrijheid, Privacy | 32 reacties

privacy-statement.jpgHet combineren van persoonsgegevens door Google sinds de invoering van hun herziene privacyvoorwaarden is in strijd met de Nederlandse privacywet, de Wbp. Dat concludeerde privacytoezichthouder Cbp vorige week. Google koppelt persoonsgegevens van internetgebruikers die via allerlei verschillende Google-diensten worden verkregen, zonder de gebruikers daarover vooraf goed te informeren en zonder daarvoor vervolgens toestemming te vragen. En nee, in je privacyverklaring zeggen dat je iets doet is niet hetzelfde als “informeren en toestemming vragen”.

Het grote probleem met de sinds juni 2012 samengevoegde privacyverklaring is dat ‘ie veel te vaag is. Dat hebben alle sites, en het is ergens ook logisch want je kunt moeilijk tot in detail uitleggen wat je allemaal precies doet. Laat staan op een manier die iedereen begrijpt en op een moment dat het niemand ook maar één iota interesseert wat je allemaal doet. Het fundamentele probleem met de privacywet is dan ook de gedachte “leg het mensen uit en dan kunnen ze een geïnformeerde vrijwillige toestemming geven of weigeren, waarmee er geen probleem meer kan zijn”.

Bijzonder puntje bij Google is dat in hun privacyverklaring heel vaak het woord ‘kan’ valt. Ze zeggen daarover zelf:

Dat Google vaak woorden gebruikt als ‘kan’ is onvermijdelijk, omdat daadwerkelijke verwerking afhankelijk is van meerdere factoren, zoals of de gebruiker een bepaalde Google-dienst gebruikt.

Dat geloof ik graag maar het kán (haha) natuurlijk ook betekenen dat Google diverse varianten en invullingen gaat geven die heel anders kunnen (haha) werken of uitpakken dan de gebruiker verwacht. En dat is nou net niet de bedoeling van de Wbp: je moet niet zeggen wat er kán gebeuren maar wat er zál gebeuren. Specifiek, en in voldoende detail om mijn moeder te laten begrijpen wat dat inhoudt. En wat je niet uitlegt dat mag je niet doen. Nee, dat doet niemand en mijn moeder wíl dat ook helemaal niet lezen. Die wil gewoon dat Google zich netjes gedraagt.

Ook het verweer van Google dat zij geen persoonsgegevens verzamelen, wordt afgewezen. Google maakt profielen en voegt informatie samen. Zodra je genoeg informatie in een profiel hebt om één persoon uniek te onderscheiden van andere personen, is dat profiel een persoonsgegeven. Het doet er niet toe of ze weten hoe je heet, waar je woont of wat je e-mailadres is. Oh wacht:

We don’t need you to type at all. We know where you are. We know where you’ve been. We can more or less know what you’re thinking about.

Een quote van Google-directeur Schmidt, met ambtelijk sarcasme geciteerd in het Cbp rapport. Google weet alles van ons, zo zeggen ze zelf. Dús weten ze onze persoonsgegevens.

Ja mooi. Maar eh je geeft toch toestemming voor al dat verwerken door Google te gebruiken? Dat staat overal in de privacyvoorwaarden en in van die handige wegklikbalkjes. Maar nee, dat is niet het soort toestemming dat de privacywet op het oog heeft. Je moet het apart vragen en je moet op antwoord wachten. En eigenlijk ook een ‘nee’ als antwoord accepteren, als ik dit goed lees:

Weliswaar kan ondubbelzinnige toestemming ook verkregen worden uit een actieve handeling, maar alleen als de gebruiker een (vrije, specifieke en geïnformeerde) keuze heeft kunnen maken om in te stemmen of te weigeren, en dat is niet het geval. Google verkrijgt evenmin ondubbelzinnige toestemming via aanvaarding van haar servicevoorwaarden of het gebruik blijven maken van haar open diensten.

“Hoi wij gaan cookies zetten en u tracken, dat vindt u goed anders moet u deze site maar verlaten” en een ok-knop is dus géén toestemming. Dat wordt dus een leuke bij dat cookiewetswijzigingsvoorstel.

Sluit je dan misschien een contract met Google door hun site te gebruiken? Immers je mag persoonsgegevens gebruiken voor een goede uitvoering daarvan. Nou, niet voor mensen die gewoon langssurfen en de zoekmachine gebruiken. Die wéten niet eens dat ze een overeenkomst sluiten, laat staan onder de Servicevoorwaarden. Dus nee, een linkje onderaan met je algemene voorwaarden (of disclaimer, for that matter) gaat je dus niet helpen.

Plus, zelfs al bouw je een constructie waarbij je wél mensen bindt aan een overeenkomst en rechtsgeldig de voorwaarden elektronisch ter hand stelt, dan nog mag je die persoonsgegevens alleen gebruiken als dat noodzakelijk is voor die overeenkomst. Dus daarmee krijg je echt niet al dat geprofileer en getarget gerechtvaardigd.

De eigen dringende noodzaak gaat hem ook niet worden: waar dat bij Street View nog de escape, hier niet want alles werkt met cookies en daar had je nou eenmaal toestemming voor nodig.

Maar stel ze gaan naar een cookieloos Google, dan nog: je moet dan wel, ahem, een dringende noodzaak hebben. En wat is die noodzaak dan om Youtube en Google en al die andere diensten te bundelen en één profiel op te bouwen? Ja, dat je gericht kunt adverteren maar daarbij zul je echt meer rekening moeten houden met de privacy. En dat is dan niet alleen een opt-out per dienst of het aanreiken van tools, maar een eigen afweging of het nou echt wel nodig is om zo diep inbreuk te maken op de privacy van zoekers, Mappers en andere Googledienstgebruikers.

Uiteraard herkent Google zich niet in de kritiek en wordt een stofwolk aan marketingpraat (verwijzen naar vage Europese regels, spreken van gebruikerservaring, het woord ‘engageren’) gebruikt om om het punt heen te dansen. En het zal bij dansen blijven: ik zie niet hoe het Cbp effectief een maatregel kan opleggen die erg genoeg is om Google fundamenteel anders te laten werken. Wat jammer is, want dit is een van de stevigste rapporten die ons Cbp in lange tijd heeft opgesteld.

Arnoud

Wijziging privacyverklaring zonder te informeren

| AE 2964 | Privacy | 10 reacties

privacy-statement.jpgRegelmatig zie ik in privacyverklaringen zinnen als deze:

    <li>Bedrijf kan deze Privacyverklaring wijzigen. Wij adviseren u daarom regelmatig deze Privacyverklaring na te lezen op eventuele wijzigingen.</li>
    <li>Bedrijf kan op elk gewenst moment de inhoud van deze privacyverklaring wijzigen indien wij bijvoorbeeld andere voorwaarden gaan hanteren.</li>
    <li>Als wij deze Privacyverklaring wijzigen, zullen wij maatregelen treffen om u te informeren door een bericht hierover op de site te plaatsen en door de gewijzigde</li>
    <li>Nu en dan kunnen wij deze On line Privacyverklaring wijzigen.</li>
    

En dan ga je je afvragen, kán dat eigenlijk wel?

De privacyverklaring is eigenlijk maar een raar beestje. Veel mensen denken dat als een site zo’n verklaring heeft, het wel goed zit met hun privacy. Maar dat is zeker geen automatisme. Een privacyverklaring legt uit wat je doet op het gebied van privacy en persoonsgegevens, en kan dus ook uitleggen dat je alle gegevens harvest die je kunt vinden en combineert tot een gedetailleerd profiel inclusief seksuele voorkeuren.

Tegelijkertijd stelt die verklaring niets voor omdat je niets mag doen als daar geen toestemming (of andere wettelijke grondslag) voor is. En die toestemming kun je niet bedingen in een privacyverklaring, ook niet als je daar akkoord op vraagt bij het inschrijven. De enige rol die de privacyverklaring kan spelen is mensen informeren over wat de toestemming gaat betekenen, maar je moet echt apart nog een keer die toestemming vragen.

In dat licht is het geen probleem dat een privacyverklaring zomaar te veranderen is. Wil je meer uitleggen of een tekst anders insteken, dan ga gerust je gang. Maar je krijgt er geen enkel aanvullend recht door. In je privacyverklaring zetten dat je vanaf nu Bonuskaartgegevens gaat gebruiken voor persoonsgebonden aanbiedingen is dus niet genoeg om dat ook werkelijk te moeten doen.

In 2009 werd het bedrijf Advance op de vingers getikt door het College bescherming persoonsgegevens, omdat ze geen uitdrukkelijke toestemming hadden gevraagd voor gebruik van diverse gegevens bij de dienst Je echte leeftijd. De zin “Je Echte Leeftijd behoudt zich het recht voor om wijzigingen aan te brengen in de privacyverklaring” hielp ze daar niets bij.

Ga je dus nieuwe dingen doen, dan zul je daar toestemming voor moeten verkrijgen én je privacyverklaring daarop moeten aanpassen. Alleen maar de tekst aanpassen is niet genoeg. En zelfs als je nieuwe dingen gaat doen die binnen een verkregen toestemming vallen, zul je meer moeten doen dan alleen die tekst aanpassen. Je zult echt mensen erop moeten wijzen dat je de tekst aangepast hebt, en wel zo dat zij afdoende geïnformeerd worden daardoor.

Arnoud