Hoe generiek mag je privacyverklaring zijn onder de AVG?

Een lezer vroeg me:

Een van mijn ‘leveranciers’ heeft in de Privacy Verklaring staan dat ze bij websitebezoek mijn IP-adres, Internetbrowser, besturingssysteem en apparaattype opslaan. Dat doen ze “Voor het onderzoeken van je (surf)gedrag op onze website, zo kunnen we bijvoorbeeld de website en onze tools nog beter maken.” Bij navraag blijkt dat ze zich beroepen op het gerechtvaardigd belang. Mag dat zo generiek? Als dat zo is, dan mag iedereen weer alles opslaan van de website bezoeker, want alles is bruikbaar voor verbetering van de website.

Het is inderdaad mogelijk om met een beroep op het gerechtvaardigd belang van alles te doen onder de AVG. Maar dat moet je wel onderbouwen, en een tekst als deze voelt wat magertjes.

Het eigen gerechtvaardigd belang is een grondslag voor de verwerking van persoonsgegevens. Als je je hierop beroept, heb je geen toestemming nodig maar alleen een gemotiveerde belangenafweging die in jouw voordeel uitkomt. Het is dus ten onrechte dat dingen “niet mogen” van de AVG of niet mogen zonder toestemming; deze grondslag (en er zijn er nog 4) is net zo goed als met toestemming werken.

Die belangenafweging is natuurlijk wel kern. Bij toestemming weet je dat het mag, omdat je hebt uitgelegd wat je gaat doen en de betrokkene daar expliciet mee instemt. Bij het gerechtvaardigd belang weet je dat niet, je moet zelf verzinnen wat men ervan zou vinden en hoe je de privacy van betrokkenen afweegt tegen jouw belang.

In de praktijk komt het erop neer dat je eerst op een rijtje zet wat je wilt doen en wat je daarvoor nodig hebt, en dat je daarna kijkt of het niet een onsje minder kan. In juridische taal: dat je privacybevorderende maatregelen neemt die eventuele inbreuken door jouw verwerking beperken of tot nul reduceren.

Bij de verwerking hierboven kun je je afvragen hoe lang daarbij is stilgestaan. Het is zeker een gerechtvaardigd belang om te kijken hoe je site wordt gebruikt zodat je deze beter kunt maken. Maar daarmee is niet gezegd dat je dus alles mag verzamelen. In dit geval vind ik wel dat inventariseren van besturingssysteem en apparaattype weinig kwaad kan, die gegevens zijn erg relevant in de aggregatie (moeten we Safari blijven ondersteunen, tablets gebruikt niemand meer) maar niet voor persoonsgebonden onderzoek (he daar heb je die Linuxgebruiker weer).

Natuurlijk kún je die gegevens ook voor heel persoonlijk volgen gebruiken (device fingerprinting) maar dat wordt hier niet genoemd en zou ook een hele andere belangenafweging eisen. Gegevens verzamelen voor doel X en dan inzetten voor niet-genoemd doel Y is AVG-technisch onder geen voorwaarde toegestaan (oké tenzij X en Y zeer dicht bij elkaar liggen), dus als jurist zou ik dan zeggen dat hier niets aan de hand is.

Ik had wel graag gezien dat in de privacyverklaring werd uitgelegd dát die gegevens alleen voor geaggregeerde gebruiksstatistieken werden ingezet. Dat had in ieder geval deze vraagsteller gerustgesteld vermoed ik.

Arnoud

Waarom mag een app gewoon verwijzen naar privacybeleid van derden?

Een lezer vroeg me:

Veel apps op de telefoon gebruiken analyticssoftware van derden. In de EULA en/of wordt er dan verwezen naar het privacy beleid van de derde partij en aangegeven dat ik daar moet zijn voor een opt-out. Nu vraag ik me af of dat zo wel mag. Is de leverancier van de App niet degene die dit met de derde partij moet regelen? Ik heb toch alleen een end-user overeenkomst met de leverancier van de App?

Het klopt dat je die software gebruikt onder een eindgebruikersovereenkomst (EULA) met die leverancier. Maar dat wil niet zeggen dat je dus altijd alleen maar een relatie met die partij hebt.

Een softwareleverancier mag software van derden bundelen. Dit kan gebeuren onder sublicentie – het gebruiksrecht is deel van de eigen EULA – of als aparte licenties. In dat laatste geval zou je dan ieder van die licenties apart moeten accepteren.

Meestal zal de leverancier die software van derden onder sublicentie verspreiden, zodat je geen aparte EULA per derde nodig zal hebben. Maar als die software iets doet waarbij data wordt opgeslagen of uitgelezen op je computer (terwijl dat niet technisch noodzakelijk is) dan is er desondanks toestemming nodig – dat is waar de cookiewet voor bedoeld is.

Wie precies die toestemming moet vragen, is onder de cookiewet altijd een lastige. Voor de hand ligt dat de derde dat moet doen – het is zijn analytics of andere opslag/uitlezen immers. Maar ik doe zaken met die ene leverancier en het boeit mij niet met wie hij samenwerkt, dus dan is het ook weer logisch dat hij toestemming vraagt voor zijn partners.

Als er geen toestemming wordt gevraagd, dan is het problematisch voor beide partijen, want dan overtreedt die software de cookiewet. (Tenzij het gaat om simpele first party analytics gefaciliteerd door een derde, dan is er geen toestemming nodig. Ook geen opt-out trouwens.)

Arnoud

Mag een bedrijf toestemming afleiden uit het feit dat je ze mailt?

Een lezer vroeg me:

In het privacystatement van Vereniging Eigen Huis staat: “Het anderszins verwerken van uw persoonsgegevens geschiedt alleen voor zover u Vereniging Eigen Huis daarvoor ondubbelzinnig toestemming heeft verleend. Die toestemming kan blijken uit het enkele feit dat u per e-mail of anderszins een vraag aan Vereniging Eigen Huis stelt.” Is dat laatste wel rechtsgeldig? Hoe kan men nu uit zo’n “enkel feit” toestemming afleiden?

Toestemming wordt als begrip in de Wet bescherming persoonsgegevens gedefinieerd als een “vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt”. Dat is een vrij open definitie, maar natuurlijk kan een bedrijf of instelling niet zelf bepalen hoe wettelijke termen moeten worden uitgelegd.

Volgens mij klopt het wel zoals VEH het formuleert. In principe mag je persoonsgegevens alleen verwerken met toestemming. Toestemming moet vrijwillig worden gegeven, maar het is niet verplicht dat expliciet te laten doen. Toestemming mag je onder de privacywet ook concluderen uit ander handelen, zolang maar duidelijk is dat die handeling bedoeld was als (mede) een toestemmingshandeling.

Het lijkt mij dat als iemand je een mail stuurt met een vraag, je wel mag concluderen dat je toestemming hebt om die persoon terug te mailen. Ik denk dat je ook nog wel toestemming hebt om een week later na te mailen of de oplossing beviel en of ze een enquete in willen vullen.

Verder hoef je denk ik niet bang te zijn dat men die toestemming dan gebruikt om bijvoorbeeld verkoop van je gegevens aan de hoogste bieder te rechtvaardigen. Dat kan namelijk niet onder de privacywet: toestemming moet specifiek en doelgebonden zijn. Deze tekst maakt dat duidelijk met “voor zover”. Ze zeggen dus zelf niet meer te doen dan waarvoor je toestemming hebt gegeven.

Toestemming om een antwoord op je vraag te mailen is wezenlijk iets anders dan toestemming om op een nieuwsbrief te komen, of om je gegevens aan een derde te verstrekken. In programmeertaal: toestemming is geen boolean maar een array met toegestane handelingen. En in dit geval zal er dus niet meer gebeuren dan een reactie op je mail.

Arnoud

Tiradeweek: Ja, en die privacyverklaringen zelf dan dus

Ah ja, die privacyverklaring. Gisteren noemde ik het een verplicht nummer, en daar kreeg ik wat geïrriteerde reacties op. Het is toch een nuttig instrument, en mensen hebben toch een eigen verantwoordelijkheid als ze niet de moeite willen nemen zich te informeren over wat een site doet? Eh, ja, whatéver: iedereen weet dat die privacyverklaring niet werkt, niet gelezen wordt en geen enkele bijdrage levert aan de voortgang van de maatschappij. In de shredder ermee dus.

Het concept privacyverklaring kent zowel een Europese als een Amerikaanse achtergrond. De Europese achtergrond is dat mensen alleen toestemming voor verwerking van hun persoonsgegevens kunnen geven als ze zijn geïnformeerd over het wat en hoe. Je ziet het zo voor je: een deskundig adviseur met vlot jasje die twee enigszins onzeker kijkende mensen uitlegt wat er gaat gebeuren met hun per-soons-ge-gevens waarna deze “nou ja, dat moet dan maar hè Henk, we willen toch héél graag dat spelletje spelen” zeggen en hun handtekening zetten. De Amerikaanse visie is dezelfde, maar dan nog iets explicieter het idee dat je “too bad, je had het kunnen weten sucker” kunt zeggen als mensen komen klagen.

Met enige regelmaat verschijnen studies die aantonen dat mensen die teksten niet lezen. Het is te veel, het is niet relevant voor de actie waar ze mee bezig zijn, het boeit ze niet, het is te moeilijk, alle mogelijke verklaringen noem ze maar op. Maar je zou denken dat privacy als iets belangrijks voelt, dus waarom steken we daar dan toch geen energie in? Misschien is het wel naïef optimisme: ja het zal wel die hele uitleg, dit is toch wettelijk geregeld en er is toch een toezichthouder, dan zal het uiteindelijk wel meevallen toch?

Recent las ik nog een betoog dat de reden is dat we het simpelweg opgegeven hebben, het idee dat we onze privacy kunnen beschermen:

[P]eople feel they cannot do anything to seriously manage their personal information the way they want. Moreover, they feel they would face significant social and economic penalties if they were to opt out of all the services of a modern economy that rely on an exchange of content for data. So they have slid into resignation

Oftewel: je kunt die privacyteksten wel lezen, maar uiteindelijk maakt het toch geen bal uit want ze doen toch wat ze willen en je móet meedoen anders word je uitgelachen als Facebookloze nerd of ouderwetse huisvrouw (m/v) die niet eens haar eten op Instagram zet.

Mensen geven wel om hun privacy maar als je niets kunt veranderen en mee móet doen, ja dan sjok je wel achter de massa aan. En dan is wel het laatste wat je wilt, een privacyverklaring lezen want daar word je alleen maar moedeloos van: oh, gaan ze óók al mijn GPS-locatie meten elke minuut en dat verkopen aan Nike zodat die haar advertenties beter bij mijn buitenbeleving kan laten aansluiten?

En dat is het natuurlijk precies waar het om gaat. Persoonsgegevens zijn waardevolle informatie voor bedrijven, hoe meer hoe beter en er is toch niemand die er wérkelijk een punt van maakt. We verzamelen en doen wat we willen, en we schrijven een schaamlap die met mooie woorden ongeveer uitlegt wat we doen zodat we een “too bad, je had het kunnen weten sucker“-excuus bij de hand hebben als mensen klagen, en een deskundig adviseur kunnen schetsen naar de toezichthouder. En zolang die (en de politiek) denkt dat de privacyverklaring net zo werkt als een zorgvuldige uitleg bij de medisch specialist, gaat er geen bal veranderen.

Dus: weg met de privacyverklaring. Het is vanaf nu verboden in een aparte tekst uit te leggen wat je doet. Alles dat je doet met mensen hun privacy, moet direct en onmiddellijk duidelijk zijn bij de feature zelf. Als dat niet kan, mogen er maximaal 3 regels (van 72 tekens elk, slimmeriken) aan uitleg bij. Als daar je uitleg niet in past, dan is het vanaf nu illegaal.

Arnoud

Tiradeweek: Die marketingblaat als je privacyvragen aan bedrijven stelt

privacy-statement.jpgBen je terug van vakantie, krijg je dit artikel van Forbes onder ogen waarin men de nieuwe privacy policy van Spotify eens onder de loep neemt. Ja, ze willen alles van je weten en het is volslagen onduidelijk wat ze daarmee gaan doen. Prima dus om je daar druk over te maken als journalist, maar wat mij dan steekt is het einde van het bericht. Want wat produceert het muziekvloeibedrijf dan als reactie op de analyse dat men stemcommando’s registreert, locatie vastlegt, het adresboek kopieert en een tot op de trilharen nauwkeurig interesseprofiel afstemt, en dat men dat óók gerust doet bij betalende klanten:

Spotify is constantly innovating and evolving its service to deliver the best possible experience for our users. This means delivering the perfect recommendations for every moment, and helping you to enjoy, discover and share more music than ever before.

Hoe krijg je het uit je vingers. En het gaat verder:

The data accessed simply helps us to tailor improved experiences to our users, and build new and personalised products for the future. Recent new features include Spotify Running, which matches the BPM of your music to the pace of your run, or the new Discover Weekly feature, which curates a weekly playlist based on your tastes.

Tussen de regels door snap ik denk ik wel waarom men die data verzamelt en dat er heus geen plannen zijn om werkelijk iedere trilhaar afzonderlijk te profileren en om dat te verkopen aan driehonderd zorgvuldig geselecteerde nepviagraverkopers. Maar: dat stáát er wel, dus dan is het normaliter gepast dat je uitlegt wat je bedoelt en vervolgens je privacyverklaring aanpast zodat ie klopt met je uitleg. Ja, moehaha inderdaad.

Kijk. Ik snap ergens best wel dat die privacyverklaring een verplicht nummer is, dat mensen niet werkelijk interesseert en eigenlijk alleen gebruikt wordt om pro forma compliance te claimen en privacyactivisten te kunnen pareren met “mensen moeten gewoon de privacyverklaring lezen en dan kunnen ze een vrije keuze maken”. En je wilt je opties openhouden als jurist dus we “kunnen” van alles doen met persoonsgegevens maar we respecteren je privacy en we doen niets zonder je toestemming tenzij anders vermeld – succes met interpreteren wat dát betekent.

Logisch dus dat journalisten zo’n privacyverklaring kritisch doornemen. En ja ik snap ook wel dat het vaak vooral gaat om een leuk stukje “oh noes ze stelen je privacy”, maar ongeacht insteek: er is kritiek, daar moet je wat mee. En dan bedoel ik dus meer dan zo’n meelbal van een ongeïnteresseerde voorlichter.

Ik word er zo moe van, van zulke gemakzuchtige reacties die vervolgens geen enkele band hebben met de juridische documentatie. Het ergste is dan nog dat iedere journalist die tekst gewoon publiceert, want hoor en wederhoor en zo. Maar káp daar nou eens mee. Dit is toch geen antwoord, dit is eenvormige blaat die bij elke mogelijke vraag geproduceerd kan worden. Vraag door, of vermeld “Spotify reageerde niet inhoudelijk op ons verzoek om uitleg”. Want zo schiet het niet op natuurlijk. Als je uitleg nodig hebt, is je tekst niet goed.

Arnoud

De overheid gaat mijn privacypolicygenerator kapodtconcurreren!

privacy-policy-lap-tekstHet ministerie van Economische Zaken komt halverwege 2015 met een online dienst waarmee bedrijven hun privacyvoorwaarden kunnen versimpelen en transparanter kunnen maken, las ik bij Nu.nl. De dienst wordt ingezet omdat veel Nederlanders aangeven voorwaarden en het privacybeleid van online diensten die zij gebruiken niet lezen, met name (36%) omdat de tekst te lang is en (16%) omdat deze te moeilijk is.

Ik ben heel benieuwd waar deze dienst uit gaat bestaan. Op de site zie ik een hoop tips en advies, maar denk ik dan gelijk “dat is nóg meer tekst om te lezen” dus hoe effectief gaat dat zijn?

Maar potverdrie, wat lees ik dan in de gelinkte Kamerbrief:

in 2014 een aantal goede voorbeelden van transparante privacyvoorwaarden in kaart is gebracht. Deze zullen als basis dienen voor een online instrument, waarmee bedrijven op laagdrempelige wijze een goede (basis) privacyvoorwaarde kunnen genereren

Héé. Word ik daar een beetje weggeconcurreerd met mijn generator waarmee je ook basisprivacyvoorwaarden kunt genereren? Dat kan toch niet zomaar. Ik heb honderden euro’s geïnvesteerd in het programmeren van dat stuk software en dat zou ineens waardeloos worden door een gratis generatordinges van de overheid?

In 2009 werd de Kamer van Koophandel veroordeeld wegens valse concurrentie door bedrijfsplansoftware op te markt te brengen waar ook commerciële bedrijven zich gewoon mee bezig houden. Oké, wanneer het gaat om data die de overheid zelf produceert (zoals het Nationale Wegenbestand) dan kan dat anders liggen maar het NWB is basaal, dit in tegenstelling tot privacyverklaringen.

Wat nu? Een rechtszaak tegen de Staat? Maar iedere ondernemer weet, je gaat geen goed geld naar kwaad geld gooien. De privacyverklaring afschrijven als product? Dat stuit me dan ook weer tegen de borst. Iedereen weet hoezeer ik de Wbp waardeer, dit instrument moet gewoon beschikbaar zijn vanuit de markt. Dus wat te doen?

Arnoud

Privacyvoorwaarden Google in strijd met de wet

privacy-statement.jpgHet combineren van persoonsgegevens door Google sinds de invoering van hun herziene privacyvoorwaarden is in strijd met de Nederlandse privacywet, de Wbp. Dat concludeerde privacytoezichthouder Cbp vorige week. Google koppelt persoonsgegevens van internetgebruikers die via allerlei verschillende Google-diensten worden verkregen, zonder de gebruikers daarover vooraf goed te informeren en zonder daarvoor vervolgens toestemming te vragen. En nee, in je privacyverklaring zeggen dat je iets doet is niet hetzelfde als “informeren en toestemming vragen”.

Het grote probleem met de sinds juni 2012 samengevoegde privacyverklaring is dat ‘ie veel te vaag is. Dat hebben alle sites, en het is ergens ook logisch want je kunt moeilijk tot in detail uitleggen wat je allemaal precies doet. Laat staan op een manier die iedereen begrijpt en op een moment dat het niemand ook maar één iota interesseert wat je allemaal doet. Het fundamentele probleem met de privacywet is dan ook de gedachte “leg het mensen uit en dan kunnen ze een geïnformeerde vrijwillige toestemming geven of weigeren, waarmee er geen probleem meer kan zijn”.

Bijzonder puntje bij Google is dat in hun privacyverklaring heel vaak het woord ‘kan’ valt. Ze zeggen daarover zelf:

Dat Google vaak woorden gebruikt als ‘kan’ is onvermijdelijk, omdat daadwerkelijke verwerking afhankelijk is van meerdere factoren, zoals of de gebruiker een bepaalde Google-dienst gebruikt.

Dat geloof ik graag maar het kán (haha) natuurlijk ook betekenen dat Google diverse varianten en invullingen gaat geven die heel anders kunnen (haha) werken of uitpakken dan de gebruiker verwacht. En dat is nou net niet de bedoeling van de Wbp: je moet niet zeggen wat er kán gebeuren maar wat er zál gebeuren. Specifiek, en in voldoende detail om mijn moeder te laten begrijpen wat dat inhoudt. En wat je niet uitlegt dat mag je niet doen. Nee, dat doet niemand en mijn moeder wíl dat ook helemaal niet lezen. Die wil gewoon dat Google zich netjes gedraagt.

Ook het verweer van Google dat zij geen persoonsgegevens verzamelen, wordt afgewezen. Google maakt profielen en voegt informatie samen. Zodra je genoeg informatie in een profiel hebt om één persoon uniek te onderscheiden van andere personen, is dat profiel een persoonsgegeven. Het doet er niet toe of ze weten hoe je heet, waar je woont of wat je e-mailadres is. Oh wacht:

We don’t need you to type at all. We know where you are. We know where you’ve been. We can more or less know what you’re thinking about.

Een quote van Google-directeur Schmidt, met ambtelijk sarcasme geciteerd in het Cbp rapport. Google weet alles van ons, zo zeggen ze zelf. Dús weten ze onze persoonsgegevens.

Ja mooi. Maar eh je geeft toch toestemming voor al dat verwerken door Google te gebruiken? Dat staat overal in de privacyvoorwaarden en in van die handige wegklikbalkjes. Maar nee, dat is niet het soort toestemming dat de privacywet op het oog heeft. Je moet het apart vragen en je moet op antwoord wachten. En eigenlijk ook een ‘nee’ als antwoord accepteren, als ik dit goed lees:

Weliswaar kan ondubbelzinnige toestemming ook verkregen worden uit een actieve handeling, maar alleen als de gebruiker een (vrije, specifieke en geïnformeerde) keuze heeft kunnen maken om in te stemmen of te weigeren, en dat is niet het geval. Google verkrijgt evenmin ondubbelzinnige toestemming via aanvaarding van haar servicevoorwaarden of het gebruik blijven maken van haar open diensten.

“Hoi wij gaan cookies zetten en u tracken, dat vindt u goed anders moet u deze site maar verlaten” en een ok-knop is dus géén toestemming. Dat wordt dus een leuke bij dat cookiewetswijzigingsvoorstel.

Sluit je dan misschien een contract met Google door hun site te gebruiken? Immers je mag persoonsgegevens gebruiken voor een goede uitvoering daarvan. Nou, niet voor mensen die gewoon langssurfen en de zoekmachine gebruiken. Die wéten niet eens dat ze een overeenkomst sluiten, laat staan onder de Servicevoorwaarden. Dus nee, een linkje onderaan met je algemene voorwaarden (of disclaimer, for that matter) gaat je dus niet helpen.

Plus, zelfs al bouw je een constructie waarbij je wél mensen bindt aan een overeenkomst en rechtsgeldig de voorwaarden elektronisch ter hand stelt, dan nog mag je die persoonsgegevens alleen gebruiken als dat noodzakelijk is voor die overeenkomst. Dus daarmee krijg je echt niet al dat geprofileer en getarget gerechtvaardigd.

De eigen dringende noodzaak gaat hem ook niet worden: waar dat bij Street View nog de escape, hier niet want alles werkt met cookies en daar had je nou eenmaal toestemming voor nodig.

Maar stel ze gaan naar een cookieloos Google, dan nog: je moet dan wel, ahem, een dringende noodzaak hebben. En wat is die noodzaak dan om Youtube en Google en al die andere diensten te bundelen en één profiel op te bouwen? Ja, dat je gericht kunt adverteren maar daarbij zul je echt meer rekening moeten houden met de privacy. En dat is dan niet alleen een opt-out per dienst of het aanreiken van tools, maar een eigen afweging of het nou echt wel nodig is om zo diep inbreuk te maken op de privacy van zoekers, Mappers en andere Googledienstgebruikers.

Uiteraard herkent Google zich niet in de kritiek en wordt een stofwolk aan marketingpraat (verwijzen naar vage Europese regels, spreken van gebruikerservaring, het woord ‘engageren’) gebruikt om om het punt heen te dansen. En het zal bij dansen blijven: ik zie niet hoe het Cbp effectief een maatregel kan opleggen die erg genoeg is om Google fundamenteel anders te laten werken. Wat jammer is, want dit is een van de stevigste rapporten die ons Cbp in lange tijd heeft opgesteld.

Arnoud

Wijziging privacyverklaring zonder te informeren

privacy-statement.jpgRegelmatig zie ik in privacyverklaringen zinnen als deze:

    <li>Bedrijf kan deze Privacyverklaring wijzigen. Wij adviseren u daarom regelmatig deze Privacyverklaring na te lezen op eventuele wijzigingen.</li>
    <li>Bedrijf kan op elk gewenst moment de inhoud van deze privacyverklaring wijzigen indien wij bijvoorbeeld andere voorwaarden gaan hanteren.</li>
    <li>Als wij deze Privacyverklaring wijzigen, zullen wij maatregelen treffen om u te informeren door een bericht hierover op de site te plaatsen en door de gewijzigde</li>
    <li>Nu en dan kunnen wij deze On line Privacyverklaring wijzigen.</li>
    

En dan ga je je afvragen, kán dat eigenlijk wel?

De privacyverklaring is eigenlijk maar een raar beestje. Veel mensen denken dat als een site zo’n verklaring heeft, het wel goed zit met hun privacy. Maar dat is zeker geen automatisme. Een privacyverklaring legt uit wat je doet op het gebied van privacy en persoonsgegevens, en kan dus ook uitleggen dat je alle gegevens harvest die je kunt vinden en combineert tot een gedetailleerd profiel inclusief seksuele voorkeuren.

Tegelijkertijd stelt die verklaring niets voor omdat je niets mag doen als daar geen toestemming (of andere wettelijke grondslag) voor is. En die toestemming kun je niet bedingen in een privacyverklaring, ook niet als je daar akkoord op vraagt bij het inschrijven. De enige rol die de privacyverklaring kan spelen is mensen informeren over wat de toestemming gaat betekenen, maar je moet echt apart nog een keer die toestemming vragen.

In dat licht is het geen probleem dat een privacyverklaring zomaar te veranderen is. Wil je meer uitleggen of een tekst anders insteken, dan ga gerust je gang. Maar je krijgt er geen enkel aanvullend recht door. In je privacyverklaring zetten dat je vanaf nu Bonuskaartgegevens gaat gebruiken voor persoonsgebonden aanbiedingen is dus niet genoeg om dat ook werkelijk te moeten doen.

In 2009 werd het bedrijf Advance op de vingers getikt door het College bescherming persoonsgegevens, omdat ze geen uitdrukkelijke toestemming hadden gevraagd voor gebruik van diverse gegevens bij de dienst Je echte leeftijd. De zin “Je Echte Leeftijd behoudt zich het recht voor om wijzigingen aan te brengen in de privacyverklaring” hielp ze daar niets bij.

Ga je dus nieuwe dingen doen, dan zul je daar toestemming voor moeten verkrijgen én je privacyverklaring daarop moeten aanpassen. Alleen maar de tekst aanpassen is niet genoeg. En zelfs als je nieuwe dingen gaat doen die binnen een verkregen toestemming vallen, zul je meer moeten doen dan alleen die tekst aanpassen. Je zult echt mensen erop moeten wijzen dat je de tekst aangepast hebt, en wel zo dat zij afdoende geïnformeerd worden daardoor.

Arnoud

Waar vind ik een standaard privacyreglement?

Een lezer vroeg me:

Voor mijn bedrijfswebsite was ik op zoek naar een standaard privacyreglement. Er zijn er natuurlijk tientallen te vinden, en veel lijkt ook op elkaar, maar ik kan nergens een model vinden dat gewoon voor elke site geschikt is. Zeg maar zoals de model-algemene voorwaarden van de KVK of jullie disclaimergenerator. Waar vind ik een standaard privacyreglement?

Standaardtekstjes hebben als groot nadeel dat ze erg generiek zijn. Voor een disclaimer niet zo’n ramp: die zijn toch maar beperkt rechtsgeldig. En er zijn ook maar een paar manieren om te zeggen “Wij zijn zo min mogelijk aansprakelijk” of “Het kan zijn dat deze site het niet doet, dan heeft u pech”.

Standaardvoorwaarden en standaardprivacystatements zijn lastiger. Die documenten moeten eigenlijk veel meer afgestemd worden op de gebruiker. Die modellen van de KVK bijvoorbeeld gaan niet erg diep: ze komen neer op “ik ga mijn professionele best doen, u moet wel betalen en ik ben zo min mogelijk aansprakelijk”. Standaardvoorwaarden hebben m.i. pas zin als ze toegesneden zijn op een specifieke branche, bv. de Thuiswinkel-voorwaarden voor webwinkels of ICT~Office voor leveranciers (dat ICT~Office erg eenzijdig is, is vers 2).

Voor privacystatements ligt het nog iets moeilijker. Je moet namelijk toelichten wat jíj doet met privacy en persoonsgegevens, en zo’n standaardtekst doet dat niet. Daar staat bv. in “wij gaan zorgvuldig om met uw privacy en verstrekken gegevens alleen in gerechtvaardigde gevallen” maar zo’n zin zegt helemaal niets. Aan wie? Welke gegevens? Wat vind jij “gerechtvaardigd”? Dat moet echt letterlijk zo worden uitgelegd.

Ook is voor veel privacy-aspecten aparte toestemming nodig. Mensen op een nieuwsbrief zetten bijvoorbeeld mag alleen met hun expliciete toestemming. Een standaardzin in een privacystatement verandert daar niets aan. Wel moet er in die statement een zin over de nieuwsbrief: dat die er is, wanneer je erop komt en hoe je er vanaf komt. Maar zo’n zin vereist dus nader onderzoek want er is niet één standaardmanier om op een nieuwsbrief te komen.

Een privacystatementgenerator is wel de volgende applicatie op mijn lijstje. Suggesties welkom!ondertussen neergezet bij ICTRecht, dus genereer je raak!

Arnoud