Waarom mag een app gewoon verwijzen naar privacybeleid van derden?

| AE 9422 | Auteursrecht, Beveiliging | 2 reacties

Een lezer vroeg me:

Veel apps op de telefoon gebruiken analyticssoftware van derden. In de EULA en/of wordt er dan verwezen naar het privacy beleid van de derde partij en aangegeven dat ik daar moet zijn voor een opt-out. Nu vraag ik me af of dat zo wel mag. Is de leverancier van de App niet degene die dit met de derde partij moet regelen? Ik heb toch alleen een end-user overeenkomst met de leverancier van de App?

Het klopt dat je die software gebruikt onder een eindgebruikersovereenkomst (EULA) met die leverancier. Maar dat wil niet zeggen dat je dus altijd alleen maar een relatie met die partij hebt.

Een softwareleverancier mag software van derden bundelen. Dit kan gebeuren onder sublicentie – het gebruiksrecht is deel van de eigen EULA – of als aparte licenties. In dat laatste geval zou je dan ieder van die licenties apart moeten accepteren.

Meestal zal de leverancier die software van derden onder sublicentie verspreiden, zodat je geen aparte EULA per derde nodig zal hebben. Maar als die software iets doet waarbij data wordt opgeslagen of uitgelezen op je computer (terwijl dat niet technisch noodzakelijk is) dan is er desondanks toestemming nodig – dat is waar de cookiewet voor bedoeld is.

Wie precies die toestemming moet vragen, is onder de cookiewet altijd een lastige. Voor de hand ligt dat de derde dat moet doen – het is zijn analytics of andere opslag/uitlezen immers. Maar ik doe zaken met die ene leverancier en het boeit mij niet met wie hij samenwerkt, dus dan is het ook weer logisch dat hij toestemming vraagt voor zijn partners.

Als er geen toestemming wordt gevraagd, dan is het problematisch voor beide partijen, want dan overtreedt die software de cookiewet. (Tenzij het gaat om simpele first party analytics gefaciliteerd door een derde, dan is er geen toestemming nodig. Ook geen opt-out trouwens.)

Arnoud

Mag een bedrijf toestemming afleiden uit het feit dat je ze mailt?

| AE 9406 | Privacy | 8 reacties

Een lezer vroeg me:

In het privacystatement van Vereniging Eigen Huis staat: “Het anderszins verwerken van uw persoonsgegevens geschiedt alleen voor zover u Vereniging Eigen Huis daarvoor ondubbelzinnig toestemming heeft verleend. Die toestemming kan blijken uit het enkele feit dat u per e-mail of anderszins een vraag aan Vereniging Eigen Huis stelt.” Is dat laatste wel rechtsgeldig? Hoe kan men nu uit zo’n “enkel feit” toestemming afleiden?

Toestemming wordt als begrip in de Wet bescherming persoonsgegevens gedefinieerd als een “vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt”. Dat is een vrij open definitie, maar natuurlijk kan een bedrijf of instelling niet zelf bepalen hoe wettelijke termen moeten worden uitgelegd.

Volgens mij klopt het wel zoals VEH het formuleert. In principe mag je persoonsgegevens alleen verwerken met toestemming. Toestemming moet vrijwillig worden gegeven, maar het is niet verplicht dat expliciet te laten doen. Toestemming mag je onder de privacywet ook concluderen uit ander handelen, zolang maar duidelijk is dat die handeling bedoeld was als (mede) een toestemmingshandeling.

Het lijkt mij dat als iemand je een mail stuurt met een vraag, je wel mag concluderen dat je toestemming hebt om die persoon terug te mailen. Ik denk dat je ook nog wel toestemming hebt om een week later na te mailen of de oplossing beviel en of ze een enquete in willen vullen.

Verder hoef je denk ik niet bang te zijn dat men die toestemming dan gebruikt om bijvoorbeeld verkoop van je gegevens aan de hoogste bieder te rechtvaardigen. Dat kan namelijk niet onder de privacywet: toestemming moet specifiek en doelgebonden zijn. Deze tekst maakt dat duidelijk met “voor zover”. Ze zeggen dus zelf niet meer te doen dan waarvoor je toestemming hebt gegeven.

Toestemming om een antwoord op je vraag te mailen is wezenlijk iets anders dan toestemming om op een nieuwsbrief te komen, of om je gegevens aan een derde te verstrekken. In programmeertaal: toestemming is geen boolean maar een array met toegestane handelingen. En in dit geval zal er dus niet meer gebeuren dan een reactie op je mail.

Arnoud

Tiradeweek: Ja, en die privacyverklaringen zelf dan dus

| AE 7949 | Privacy | 20 reacties

Ah ja, die privacyverklaring. Gisteren noemde ik het een verplicht nummer, en daar kreeg ik wat geïrriteerde reacties op. Het is toch een nuttig instrument, en mensen hebben toch een eigen verantwoordelijkheid als ze niet de moeite willen nemen zich te informeren over wat een site doet? Eh, ja, whatéver: iedereen weet dat die privacyverklaring niet werkt, niet gelezen wordt en geen enkele bijdrage levert aan de voortgang van de maatschappij. In de shredder ermee dus.

Het concept privacyverklaring kent zowel een Europese als een Amerikaanse achtergrond. De Europese achtergrond is dat mensen alleen toestemming voor verwerking van hun persoonsgegevens kunnen geven als ze zijn geïnformeerd over het wat en hoe. Je ziet het zo voor je: een deskundig adviseur met vlot jasje die twee enigszins onzeker kijkende mensen uitlegt wat er gaat gebeuren met hun per-soons-ge-gevens waarna deze “nou ja, dat moet dan maar hè Henk, we willen toch héél graag dat spelletje spelen” zeggen en hun handtekening zetten. De Amerikaanse visie is dezelfde, maar dan nog iets explicieter het idee dat je “too bad, je had het kunnen weten sucker” kunt zeggen als mensen komen klagen.

Met enige regelmaat verschijnen studies die aantonen dat mensen die teksten niet lezen. Het is te veel, het is niet relevant voor de actie waar ze mee bezig zijn, het boeit ze niet, het is te moeilijk, alle mogelijke verklaringen noem ze maar op. Maar je zou denken dat privacy als iets belangrijks voelt, dus waarom steken we daar dan toch geen energie in? Misschien is het wel naïef optimisme: ja het zal wel die hele uitleg, dit is toch wettelijk geregeld en er is toch een toezichthouder, dan zal het uiteindelijk wel meevallen toch?

Recent las ik nog een betoog dat de reden is dat we het simpelweg opgegeven hebben, het idee dat we onze privacy kunnen beschermen:

[P]eople feel they cannot do anything to seriously manage their personal information the way they want. Moreover, they feel they would face significant social and economic penalties if they were to opt out of all the services of a modern economy that rely on an exchange of content for data. So they have slid into resignation

Oftewel: je kunt die privacyteksten wel lezen, maar uiteindelijk maakt het toch geen bal uit want ze doen toch wat ze willen en je móet meedoen anders word je uitgelachen als Facebookloze nerd of ouderwetse huisvrouw (m/v) die niet eens haar eten op Instagram zet.

Mensen geven wel om hun privacy maar als je niets kunt veranderen en mee móet doen, ja dan sjok je wel achter de massa aan. En dan is wel het laatste wat je wilt, een privacyverklaring lezen want daar word je alleen maar moedeloos van: oh, gaan ze óók al mijn GPS-locatie meten elke minuut en dat verkopen aan Nike zodat die haar advertenties beter bij mijn buitenbeleving kan laten aansluiten?

En dat is het natuurlijk precies waar het om gaat. Persoonsgegevens zijn waardevolle informatie voor bedrijven, hoe meer hoe beter en er is toch niemand die er wérkelijk een punt van maakt. We verzamelen en doen wat we willen, en we schrijven een schaamlap die met mooie woorden ongeveer uitlegt wat we doen zodat we een “too bad, je had het kunnen weten sucker“-excuus bij de hand hebben als mensen klagen, en een deskundig adviseur kunnen schetsen naar de toezichthouder. En zolang die (en de politiek) denkt dat de privacyverklaring net zo werkt als een zorgvuldige uitleg bij de medisch specialist, gaat er geen bal veranderen.

Dus: weg met de privacyverklaring. Het is vanaf nu verboden in een aparte tekst uit te leggen wat je doet. Alles dat je doet met mensen hun privacy, moet direct en onmiddellijk duidelijk zijn bij de feature zelf. Als dat niet kan, mogen er maximaal 3 regels (van 72 tekens elk, slimmeriken) aan uitleg bij. Als daar je uitleg niet in past, dan is het vanaf nu illegaal.

Arnoud

De overheid gaat mijn privacypolicygenerator kapodtconcurreren!

| AE 7550 | Privacy | 24 reacties

Het ministerie van Economische Zaken komt halverwege 2015 met een online dienst waarmee bedrijven hun privacyvoorwaarden kunnen versimpelen en transparanter kunnen maken, las ik bij Nu.nl. De dienst wordt ingezet omdat veel Nederlanders aangeven voorwaarden en het privacybeleid van online diensten die zij gebruiken niet lezen, met name (36%) omdat de tekst te lang is… Lees verder

Privacyvoorwaarden Google in strijd met de wet

| AE 6182 | Privacy, Zoekmachines | 32 reacties

Het combineren van persoonsgegevens door Google sinds de invoering van hun herziene privacyvoorwaarden is in strijd met de Nederlandse privacywet, de Wbp. Dat concludeerde privacytoezichthouder Cbp vorige week. Google koppelt persoonsgegevens van internetgebruikers die via allerlei verschillende Google-diensten worden verkregen, zonder de gebruikers daarover vooraf goed te informeren en zonder daarvoor vervolgens toestemming te vragen…. Lees verder

Wijziging privacyverklaring zonder te informeren

| AE 2964 | Privacy | 10 reacties

Regelmatig zie ik in privacyverklaringen zinnen als deze: <li>Bedrijf kan deze Privacyverklaring wijzigen. Wij adviseren u daarom regelmatig deze Privacyverklaring na te lezen op eventuele wijzigingen.</li> <li>Bedrijf kan op elk gewenst moment de inhoud van deze privacyverklaring wijzigen indien wij bijvoorbeeld andere voorwaarden gaan hanteren.</li> <li>Als wij deze Privacyverklaring wijzigen, zullen wij maatregelen treffen om… Lees verder

Waar vind ik een standaard privacyreglement?

| AE 2302 | Privacy | 7 reacties

Een lezer vroeg me: Voor mijn bedrijfswebsite was ik op zoek naar een standaard privacyreglement. Er zijn er natuurlijk tientallen te vinden, en veel lijkt ook op elkaar, maar ik kan nergens een model vinden dat gewoon voor elke site geschikt is. Zeg maar zoals de model-algemene voorwaarden van de KVK of jullie disclaimergenerator. Waar… Lees verder