Tag: Toestemming

About Toestemming

Subscribe Feeds

Hela, volgens de nieuwe polisvoorwaarden mogen ze me reclame mailen?

Geplaatst op in Privacy, 13 reacties

spam-verboden.pngEen lezer vroeg me: Bij mijn nieuwe zorgpolis zat een tekst in kleine lettertjes en ik vroeg me af of dit wel legaal is?<br/>

Het verzamelen en verwerken van uw persoonsgegevens is nodig voor het aangaan en uitvoeren van de verzekering(en). De doeleinden waarvoor uw persoonsgegevens worden gebruikt, zijn uitgebreid. Wij kunnen uw gegevens ook gebruiken:
– voor werving voor onze eigen en gelijksoortige diensten en producten en daarbij behorende marketingactiviteiten (tot 1 jaar na beëindiging van de verzekeringsovereenkomst).

In een privacyverklaring of polisfolder is het niet mogelijk om toestemming op te eisen om marketingactiviteiten uit te mogen voeren. Toestemming onder de privacywet moet namelijk apart en expliciet worden gegeven, anders is deze niet rechtsgeldig.

Specifiek in deze situatie is toestemming echter niet nodig. Het is namelijk legaal om reclame en direct marketing per mail naar je klanten toe te doen zonder toestemming. Dit staat expliciet als uitzondering in de Telecommunicatiewet.

Wel moet je in die situatie aan een aantal eisen voldoen:

  • Het moet gaan om betaalde product- of dienstafname;
  • Het moet gaan om reclame voor eigen producten of diensten;
  • Producten of diensten moeten verwant zijn aan hetgeen de klant afneemt;
  • Elke reclameuiting moet een afmeldoptie hebben;
  • Bij verkrijging van de persoonsgegevens moet gemeld zijn dat men dergelijke reclame wil sturen;
  • De klant moet op dat moment bezwaar hebben kunnen maken (“verzet”) tegen dergelijke reclame.

Deze tekst in de folder lijkt bedoeld om aan de enalaatste eis te voldoen. Maar er zal ook ergens een mogelijkheid moeten zijn om bezwaar te maken, en die zagen we in de folder zo snel niet.

Natuurlijk, je kunt altijd de helpdesk bellen en die kunnen dit vast verwerken. Maar volgens mij is dat niet genoeg; je moet “bij de verkrijging” de gelegenheid bieden om bezwaar te maken. En achteraf de helpdesk bellen “hee doe eens niet” is volgens mij niet bij maar na de verkrijging.

Arnoud

Is Google Analytics zonder toestemmingspopup legaal onder de nieuwe cookiewet?

Geplaatst op in Privacy, 33 reacties

cookie-bril.jpgDe Tweede Kamer is dinsdagmiddag akkoord gegaan met een minder strenge cookiewet, meldde onder meer Tweakers. Cookies die geen inbreuk maken op de privacy, zoals first-party analytics en affiliatecookies, zullen legaal worden als dit wetsvoorstel de Eerste Kamer overleeft. Waarbij de hamvraag natuurlijk is: mag dan Google Analytics ineens zonder toestemming te vragen?

Al sinds de invoering van de cookiewet is deze hoogst controversieel. Het idee dat een wet zou bepalen welke (tracking of andere) cookies je mocht plaatsen, was voor vele webmasters buitengewoon stuitend en dom. Al snel verschenen dan ook overal popups en vooral cookiemuren: geen cookies, dan geen site voor jou. Buitengewoon ergerlijk, vooral ook voor mensen die wél geven om hun privacy en daarom tracking cookies willen uitschakelen.

Na veel gedoe is er dan nu een wetsvoorstel door de Tweede Kamer geaccepteerd: cookies die “geen of slechts geringe” inbreuk op de privacy van de bezoeker maken en dienen om informatie te verkrijgen over kwaliteit of effectiviteit van de dienst, zullen buiten het toestemmingsvereiste vallen als dit voorstel wet wordt.

Wanneer maakt nu zo’n cookie “geen of slechts geringe” inbreuk op de privacy? Dat staat er niet letterlijk bij. Er is ook nooit gesproken over de Analyticsdienst van Google als zodanig. Verder dan dat dat “sommige” analytic cookies geringe privacygevolgen opleveren. Het moet dan gaan om first party analytics, en het is niet toegestaan de informatie voor iets anders dan analytics te gebruiken, je mag dus geen bezoekersprofielen of iets dergelijks verrijken met analyticsdata.

Googles dienst lijkt hieraan te voldoen. Echter, Google is strikt gesproken niet first-party: niet de website-eigenaar verzamelt de data maar Google. Formeel weliswaar in opdracht (‘bewerker’) van de website-eigenaar, maar Google wordt eigenaar van de analyticsdata en de website-eigenaar kan niet zien wat Google ermee doet.

Bovendien worden met de Google-dienst analyticsgegevens naar buiten de EU geëxporteerd. Dat is op zichzelf een niet-geringe inbreuk op de privacy, aangezien ze in de VS geen adequate bescherming van persoonsgegevens hebben. Daarmee zal Google Analytics dus niet voldoen aan “geen of geringe inbreuk op de privacy”. Een eigen first-party analyticstool zoals Piwik zou wel voldoen aan deze eis, mits je het maar houdt bij zuiver meten en statistieken bedrijven en de analyticsdata niet gebruikt om persoonsgebonden siteveranderingen door te voeren.

En ik erger me rot aan media die meldt dat “de cookiewet gewijzigd is”. Dat. Is. Niet. Zo. De Tweede Kamer heeft ja gezegd, maar de Eerste Kamer moet dat ook nog doen. En juist de Eerste Kamer is meer gespitst op de principiële aspecten van wetten, en hoe dit binnen Europese regels past. Het is dus zeer zeker geen gegeven dat de EK dit zal goedkeuren.

Arnoud

Overgrote deel apps overdrijft met toestemming vragen

Geplaatst op in Intellectuele rechten, Privacy, 24 reacties

apps-permission-toestemming-vragenMeer dan 85% van alle apps geven niet eens de meest basale privacyrelevante informatie, zo las ik bij The Register. En een op de drie apps vraagt excessief meer toestemmingen dan ze eigenlijk nodig zouden hebben. Schokkend, maar eigenlijk niet verbazingwekkend. Het onderzoek is van de Global Privacy Enforcement Network (GPEN) waar onder meer de Engelse en Nederlandse privacyautoriteiten deel aan nemen.

Omdat apps best veel kunnen qua privacy, hebben zowel Apple als Google ingebouwde beveiligingen. Je mag als app bepaalde dingen niet doen als die aan de privacy van de gebruiker raken, tenzij je daar toestemming voor hebt gevraagd. Dit gaat dan op de typische techneutenmanier: we mogen iets niet zomaar van Legal, dan vragen we de gebruiker om toestemming en dan kunnen we verder. Een stuk eenvoudiger immers dan je app herbouwen zodat de vraag overbodig is.

Ergerlijk. Maar goed, er komt dus een popup die vraagt “Deze app wil je gps coördinaten” uitlezen en daar kun je ja op zeggen anders mag je de app niet installeren of de update niet gebruiken. Lekker dan. Wie gaat er in die situatie nee zeggen? Ik negeer het ook, hoe vaak ik ook denk “waaróm wil je dat, je bent een zaklamp/spelletje/bankierapp”.

De GPEN pleit zoals toezichthouders wel vaker doen voor meer informatie: mensen uitleggen hoe het werkt, zodat ze daarna met een gerust hart ja of nee kunnen zeggen. Dat gaat ‘m niet worden maar het idee van een gelaagde privacyverklaring is niet verkeerd. Het idee is dat je per permissie kort uitlegt wat en hoe, en wie wil kan doorklikken naar een extra tab.

Maar waarom moeten appbouwers hier het wiel in uitvinden? Laten we de appstores verplichten om dit model te hanteren. Eis dat ze bij een toestemmingsvraag een toelichting laten opnemen. Niet in een privacyverklaring, niet in de app-informatietekst en niet in een “Over ons/Privacy” menu in je app. Nee, gewoon bij de vraag. “Deze app wil je gps coördinaten uitlezen omdat het een navigatie-app is, duh” of “Deze app wil je gps coördinaten uitlezen om lokatiegebonden advertenties te vertonen”.

Natuurlijk is dit lastiger te handhaven dan het technische model dat appstores nu hanteren. Je kunt als beheerder alleen vaststellen of er toestemming is voor functionaliteit, nagaan waaróm die toestemming is verleend (en met welke gedachte bij de gebruiker) is niet echt te programmeren. Maar daar is menselijke controle denk ik een prima alternatief, zeker omdat mensen vrij snel door zullen hebben wanneer toestemming op grond A wordt gevraagd en voor grond B wordt ingezet.

Bij voorkeur zouden mensen dan ook nog eens per toestemmingsvraag ja of nee moeten kunnen zeggen, en als ze nee zeggen dan mag de app best crippled raken maar installatie mag dan niet worden geweigerd. Maar dat lijkt me een brug te ver voor app-ontwikkelaars.

Arnoud

Tiradeweek: Toestemming vragen gaat ‘m echt niet worden bij privacydingen

Geplaatst op in Privacy, 16 reacties

rantweek-tiradeweekEen vervolg op mijn tirade van gisteren: wat te doen tegen het probleem dat niemand echt graag zijn privacy opgeeft. De gebruikelijke oplossing bij zulke situaties is dan mensen om toestemming vragen. Toon er een kort tekstje bij dat uitlegt wat we doen, en wie dan ja zegt die zal het wel vrijwillig willen. Zo doen we dat bij de dokter ook, toch?

Maar nee, dat gaat niet werken. En niet alleen omdat dat tekstje door Legal is opgesteld en waarschijnlijk zonder al te veel overleg met de technische mensen. Ook niet omdat het in de weg zit van wat mensen eigenlijk willen – als iets belangrijks in de weg zit, dan lezen mensen het echt wel. Het gaat niet werken omdat mensen er geen reden voor zien. Wat kan er immers misgaan? Blabla, waar gaat dit over. Boeien. Klik.

Is dat dom van die mensen? Misschien wel. Misschien moet je je wel eerst goed informeren en juridisch advies inwinnen alvorens je een website gaat gebruiken. Je moet tenslotte ook een rijbewijs halen voor je de weg op mag met bromfiets of auto. Je moet ook een schriftelijke en mondelinge toets afleggen voordat je in een winkelcentrum wat mag kopen. Oh wacht, nee dat hoeft niet. Wat is dan het verschil? Oh ja. Bij winkels gaan we er vanuit dat die winkels het goed geregeld hebben en dat duidelijk is wat daar kan gebeuren. Kan weinig misgaan dus, afgezien van dat je ineens thuiskomt met een paar schoenen dat je eigenlijk niet wil hebben.

En dáár zit hem het probleem: Facebook en consorten zien eruit als winkels, als gewone eerlijke dienstverleners net als de Albert Heijn en dat grappige eetzaakje op de hoek waar ze heerlijke koffie en gratis wifi hebben. We projecteren dus ons vertrouwensmodel op die online diensten. Onterecht, oké, maar het gebeurt wel en zo massaal dat je niet kunt zeggen dat iedereen dom is. Oké, dit is een tirade dus ik kan nu 90% van de mensheid dom verklaren maar ik ben eigenlijk bozer op die mensen en bedrijven die er geen been in zien om daarvan te profiteren door na een pro forma “mag dat”-bordje van alles te doen en schaapachtig te lachen dat men nu eenmaal “ja” gezegd heeft en maar niet zo dom moet zijn.

Ik zeg het wel vaker: wil je dat mensen geen gekke dingen doen met privacy of persoonsgegevens, dan maak je een wet die zegt: blijf met je rotpoten van andermans persoonsgegevens af. Vind je dat dat óók weer wat te ver gaat, dan ga je in de wet opnemen wat er wel en vooral wat er niet mag en hou je toezicht op de naleving. Wat je alleen vooral NIET moet gaan doen is zeggen: weet je wat, we gaan de burger opvoeden dat ze moeten lezen wat er gebeurt. En al helemaal niet met een popup of tekst die ze moeten accorderen waarna “het in orde is”.

Wie denkt van wel, mag eerst verdedigen waarom de cookiewet een mooi functionerend voorbeeld van dit standpunt is. En daarna hetzelfde bij de “U gaat dood van deze sigaret”-sticker op rookwaarverpakkingen.

Ik wil geen popups met uitleg over wat men gaat doen. Ik wil geen toestemming hoeven geven voordat de door mij gewenste diensten allerlei leuke dingen gaat doen. Ik wil niet hoeven nádenken over hoe ver de privacy-inbreuk mag gaan door de adverteerder van een dienst die ik gratis gebruik. Net zo min als ik wil hoeven nadenken over de hygiëne in de keuken van waar ik eet. Of de productveiligheid van de spullen die ik in de winkel koop. Dat wordt voor mij geregeld door mensen die daar verstand van hebben. En zo zou het ook moeten zijn bij privacyzaken.

Waarom mag ik er wel op vertrouwen dat producten mij geen fysieke schade toebrengen – maar niet dat diensten mijn privacy schade toebrengen?

Arnoud

Hoe sneaky kun je zijn met je verstopte aanvinkvakjes?

Geplaatst op in Privacy, 10 reacties

Een lezer (dank S) stuurde me het onderstaande screenshot van de Nederlandse Spoorwegen, waar opt-in wordt gevraagd per e-mail. Oh en niet alleen dat, kijkt u zelf even?

ns-sneaky

Inderdaad, daar staat in de privacybeleidstekst nog een aanvinkvakje voor offline spam. Mag dat juridisch? Tsja. De wet zegt niets over papieren spam, dus je mag mensen informatie en aanbiedingen sturen per post of ze dat nu willen of niet. Pas nadat men verzet heeft aangetekend (opt-out), moet je daarmee ophouden. Maar jemig zeg, als je met vinkjes gaat werken hiervoor (wat erg netjes is, je kúnt ook gewoon brieven sturen en wachten op de verzetten) waaróm doe je dat dan in vredesnaam niet gewoon in het lijstje met de andere opt-ins?

NS Webcare, kom er maar in. Allemachtig.

Arnoud

Wanneer mag je nu je klanten spammen?

Geplaatst op in Privacy, 30 reacties

spam-verboden.pngWie wel eens wat online koopt, weet dat de kans groot is dat de winkel hem daarna de nodige reclame gaat mailen. Soms als nieuwsbrief, maar soms ook als gewoon een leuke aanbieding of informatie over de nieuwe collectie. Want ja, je klanten spammen dat mag. Toch? Nou, niet helemaal.

De telecommunicatiewet verbiedt het toesturen van reclame – commercieel, ideël of charitatief – naar bedrijven en personen zonder dat zij hiervoor toestemming hebben gegeven. Hierbij geldt echter een uitzondering voor klanten. Die mag je reclame sturen, mits die reclame aan een aantal eisen voldoet:

  • Het moet gaan om reclame voor gerelateerde producten. Koopt men een boek, dan is reclame voor dvd’s toegestaan maar boormachines vind ik niet echt ‘gerelateerd’ aan boeken. Misschien als mensen klusboeken kopen.
  • Het moeten eigen producten zijn, oftewel wat men zelf aanbiedt. Reclame voor partners is dus niet toegestaan.
  • Het moet gaan om een klant. Wie alleen maar registreert en nog aan niets vast zit, is (nog) geen klant.
  • Elke mailing moet een afmeldmogelijkheid hebben.
  • Bij het aangaan van de klantrelatie moet gemeld zijn dat er reclame gaat komen.
  • Bij het aangaan van de klantrelatie moet men dit hebben kunnen voorkomen (recht van verzet).

De OPTA (tegenwoordig ACM) heeft in haar Richtsnoeren bepaald dat je alleen van een ‘klant’ mag spreken als deze een betaalde relatie bij je heeft. Een boekkoper mag je dus aanbiedingen sturen, maar iemand die zich registreert bij een gratis forum of enquête niet. Wel kun je natuurlijk bij registratie vragen om toestemming. En als je het op scherm 1 vraagt, dan kun je zelfs de registratie weigeren als men de toestemming niet geeft.

Het zijn die laatste twee dingen waar het vrijwel altijd mis op gaat. Maar ze zijn echt essentieel. Enkel het hebben van een klantrelatie (men kocht of bestelde wat) is niet genoeg om ze reclame te mogen sturen. Er moet een melding en een afmeldmogelijkheid zijn meteen al bij het bestellen. De marketingbranche noemt dit een soft opt-in.

Een manier om aan de wet te voldoen, is op het bestelformulier een aanvinkvakje op te nemen “Graag ontvang ik gerelateerde aanbiedingen”. Dit aanvinkvakje mag alvast aangevinkt zijn. Door het weghalen van het vinkje tekent men dan verzet aan tegen de reclame.

Het alvast aanvinken van een vakje roept wel bij veel mensen irritatie op, het komt sneaky over. Je zou ook het vinkje open kunnen laten en een negatief statement kunnen gebruiken: “Ik wil geen reclame van jullie ontvangen”. Maar dat vind ik minstens zo sneaky.

Je kunt natuurlijk ook kiezen voor “Graag ontvang ik jullie reclame” en dat dan niet alvast aangevinkt. Dan ben je gewoon ouderwets bezig met toestemming vragen (opt-in). Natuurlijk zul je zo minder inschrijvingen krijgen, maar je weet wel dat die mensen er zélf voor gekozen hebben.

Lezen jullie veel reclamenieuwsbrieven eigenlijk?

Arnoud

Mag een werkgever zijn werknemers op een nieuwsbrief inschrijven?

Geplaatst op in Ondernemingsvrijheid, Privacy, 6 reacties

discount-korting-afgeprijsd-actie-aktie.pngEen lezer vroeg me:

Mag een werkgever zijn werknemer op nieuwsbrieven van derden inschrijven? Bij mijn bedrijf krijg ik wekelijks een nieuwsbrief die korting biedt op kunst, cultuur en entertainment. Ik heb me hier niet voor opgegeven, maar mijn werknemerwerkgever heeft iedereen tegelijk hiervoor ingeschreven. Is dat legaal?

Wanneer het gaat om werkgerelateerde zaken, heeft de werkgever zeggenschap hoe dat werk wordt uitgevoerd. Een werkgever mag dus bepalen dat de werknemer bepaalde informatie moet lezen, en mag die dan ook meteen toesturen of op het bureau van de werknemer leggen. Dat zou dus ook prima een nieuwsbrief van een derde kunnen zijn.

Wel moet het gaan om werkgerelateerde informatie. Een werkgever kan niet namens de werknemer opt-in geven voor een nieuwsbrief die niets met het werk te maken heeft. En dat is volgens mij waar het hier om gaat: die kortingsregeling is een leuk kado aan de werknemers, maar die staat los van het werk dus kan de werkgever niet besluiten dat de werknemer dit mag ontvangen.

Er kan hier trouwens nog een privacygerelateerd ding meespelen. Om zo’n kortingsregeling mogelijk te maken, heeft de werkgever waarschijnlijk de contactgegevens van de werknemer aan die kortingspartij gegeven. Dát is dubieus want ook dat staat los van het werk en vereist dus aparte toestemming. En bij toestemming gevraagd door een werkgever geldt dan nog eens dat je vrijelijk moet kunnen weigeren. Dus niet “als jij niet meedoet dan komen we niet in de 20% categorie!”

Ik vraag me dan altijd af of dit gewoon naïviteit is of iets anders. Je kunt toch op je vingers natellen dat als je mensen nieuwsbrieven gaat sturen die neits met werk te maken hebben, je daar gedoe mee krijgt?

Arnoud

Privacyvoorwaarden Google in strijd met de wet

Geplaatst op in Ondernemingsvrijheid, Privacy, 33 reacties

privacy-statement.jpgHet combineren van persoonsgegevens door Google sinds de invoering van hun herziene privacyvoorwaarden is in strijd met de Nederlandse privacywet, de Wbp. Dat concludeerde privacytoezichthouder Cbp vorige week. Google koppelt persoonsgegevens van internetgebruikers die via allerlei verschillende Google-diensten worden verkregen, zonder de gebruikers daarover vooraf goed te informeren en zonder daarvoor vervolgens toestemming te vragen. En nee, in je privacyverklaring zeggen dat je iets doet is niet hetzelfde als “informeren en toestemming vragen”.

Het grote probleem met de sinds juni 2012 samengevoegde privacyverklaring is dat ‘ie veel te vaag is. Dat hebben alle sites, en het is ergens ook logisch want je kunt moeilijk tot in detail uitleggen wat je allemaal precies doet. Laat staan op een manier die iedereen begrijpt en op een moment dat het niemand ook maar één iota interesseert wat je allemaal doet. Het fundamentele probleem met de privacywet is dan ook de gedachte “leg het mensen uit en dan kunnen ze een geïnformeerde vrijwillige toestemming geven of weigeren, waarmee er geen probleem meer kan zijn”.

Bijzonder puntje bij Google is dat in hun privacyverklaring heel vaak het woord ‘kan’ valt. Ze zeggen daarover zelf:

Dat Google vaak woorden gebruikt als ‘kan’ is onvermijdelijk, omdat daadwerkelijke verwerking afhankelijk is van meerdere factoren, zoals of de gebruiker een bepaalde Google-dienst gebruikt.

Dat geloof ik graag maar het kán (haha) natuurlijk ook betekenen dat Google diverse varianten en invullingen gaat geven die heel anders kunnen (haha) werken of uitpakken dan de gebruiker verwacht. En dat is nou net niet de bedoeling van de Wbp: je moet niet zeggen wat er kán gebeuren maar wat er zál gebeuren. Specifiek, en in voldoende detail om mijn moeder te laten begrijpen wat dat inhoudt. En wat je niet uitlegt dat mag je niet doen. Nee, dat doet niemand en mijn moeder wíl dat ook helemaal niet lezen. Die wil gewoon dat Google zich netjes gedraagt.

Ook het verweer van Google dat zij geen persoonsgegevens verzamelen, wordt afgewezen. Google maakt profielen en voegt informatie samen. Zodra je genoeg informatie in een profiel hebt om één persoon uniek te onderscheiden van andere personen, is dat profiel een persoonsgegeven. Het doet er niet toe of ze weten hoe je heet, waar je woont of wat je e-mailadres is. Oh wacht:

We don’t need you to type at all. We know where you are. We know where you’ve been. We can more or less know what you’re thinking about.

Een quote van Google-directeur Schmidt, met ambtelijk sarcasme geciteerd in het Cbp rapport. Google weet alles van ons, zo zeggen ze zelf. Dús weten ze onze persoonsgegevens.

Ja mooi. Maar eh je geeft toch toestemming voor al dat verwerken door Google te gebruiken? Dat staat overal in de privacyvoorwaarden en in van die handige wegklikbalkjes. Maar nee, dat is niet het soort toestemming dat de privacywet op het oog heeft. Je moet het apart vragen en je moet op antwoord wachten. En eigenlijk ook een ‘nee’ als antwoord accepteren, als ik dit goed lees:

Weliswaar kan ondubbelzinnige toestemming ook verkregen worden uit een actieve handeling, maar alleen als de gebruiker een (vrije, specifieke en geïnformeerde) keuze heeft kunnen maken om in te stemmen of te weigeren, en dat is niet het geval. Google verkrijgt evenmin ondubbelzinnige toestemming via aanvaarding van haar servicevoorwaarden of het gebruik blijven maken van haar open diensten.

“Hoi wij gaan cookies zetten en u tracken, dat vindt u goed anders moet u deze site maar verlaten” en een ok-knop is dus géén toestemming. Dat wordt dus een leuke bij dat cookiewetswijzigingsvoorstel.

Sluit je dan misschien een contract met Google door hun site te gebruiken? Immers je mag persoonsgegevens gebruiken voor een goede uitvoering daarvan. Nou, niet voor mensen die gewoon langssurfen en de zoekmachine gebruiken. Die wéten niet eens dat ze een overeenkomst sluiten, laat staan onder de Servicevoorwaarden. Dus nee, een linkje onderaan met je algemene voorwaarden (of disclaimer, for that matter) gaat je dus niet helpen.

Plus, zelfs al bouw je een constructie waarbij je wél mensen bindt aan een overeenkomst en rechtsgeldig de voorwaarden elektronisch ter hand stelt, dan nog mag je die persoonsgegevens alleen gebruiken als dat noodzakelijk is voor die overeenkomst. Dus daarmee krijg je echt niet al dat geprofileer en getarget gerechtvaardigd.

De eigen dringende noodzaak gaat hem ook niet worden: waar dat bij Street View nog de escape, hier niet want alles werkt met cookies en daar had je nou eenmaal toestemming voor nodig.

Maar stel ze gaan naar een cookieloos Google, dan nog: je moet dan wel, ahem, een dringende noodzaak hebben. En wat is die noodzaak dan om Youtube en Google en al die andere diensten te bundelen en één profiel op te bouwen? Ja, dat je gericht kunt adverteren maar daarbij zul je echt meer rekening moeten houden met de privacy. En dat is dan niet alleen een opt-out per dienst of het aanreiken van tools, maar een eigen afweging of het nou echt wel nodig is om zo diep inbreuk te maken op de privacy van zoekers, Mappers en andere Googledienstgebruikers.

Uiteraard herkent Google zich niet in de kritiek en wordt een stofwolk aan marketingpraat (verwijzen naar vage Europese regels, spreken van gebruikerservaring, het woord ‘engageren’) gebruikt om om het punt heen te dansen. En het zal bij dansen blijven: ik zie niet hoe het Cbp effectief een maatregel kan opleggen die erg genoeg is om Google fundamenteel anders te laten werken. Wat jammer is, want dit is een van de stevigste rapporten die ons Cbp in lange tijd heeft opgesteld.

Arnoud

Goedemiddag, wij komen even bij u twitteren dat u het leuk vindt hier

Geplaatst op in Innovatie, 25 reacties

twitter-tweet-wasnt-meHm. Is dit nu juridisch interessant of niet? Mensen die zich bij de NY Comic Con aanmeldden, ontdekten dat ze ineens twitterden hoe leuk ze het vonden. Volgens de CC geen probleem: daar hadden ze toestemming voor gegeven bij het inschrijven. Want ja, er stond “this application may tweet on my behalf” bij het aanmelden via Twitter. Maar dat lazen mensen toch even iets anders.

Juridisch gezien is het duidelijk, heet het dan: in een Opinie over toestemming bepaalde de privacytoezichthouders dat als je nu maar specifiek iets vraagt, daarbij goed uitlegt wat je gaat doen en mensen uit vrije wil dan ja of nee laat klikken, dan is er vrije, specifieke en geïnformeerde toestemming. En wat is er nou mooier dan dat.

Het idee dat mensen toestemming kunnen geven en dat dan eigenlijk alles wel oké is, zit diep in het juridische systeem. Ik maak me hier met enige regelmaat kwaad over: mensen lezen niet wat ze wordt gevraagd, en gaan er vanuit dat het wel goed zal zitten. Waarbij ook meespeelt dat de toestemmingsvragen vaak net subtiel wat anders betekenen of op een gekke manier gepresenteerd worden (zie de recente boevenpubliceertoestemmingsbordjes).

Maar in dit geval luidt de toestemmingstekst letterlijk “This application may send Tweets on your behalf”, deze dienst gaat vanaf jouw account twitteren. Hoe expliciet wil je het hebben?

Nou ja, toch wel iets specifieker dus. Zoals ze bij Ars Technical al schreven, de gebruikelijke interpretatie van die zin is “wij faciliteren twitteren vanuit deze dienst, maar uiteraard krijg jij vooraf te lezen wát we uitsturen”. Of de dienst twittert volgens een door jou bepaald stramien. Zo worden al mijn nieuwe posts automatisch getwitterd via een WordPressplugin die ook met die zin toestemming vroeg. Maar het was duidelijk dat hij dan alleen bedoelde dat hij tweets stuurt van het soort “#author# blogt: #title# #url#”. En niet “#author# vindt WP Tweets Pro echt super #aanrader”.

En dan komen we toch weer terug bij mijn frustratie hierover: mensen lezen het niet en gaan er vanuit dat het wel goed zal zitten. Zoals ook hier. En op zeker moment wórdt die opvatting dan ook juridisch relevant: als iedereen een tekst opvat als linksom, dan mág je niet meer zeggen “maar rechtsom wordt niet uitgesloten”. Dat wordt ‘ie wél: omdat iedereen vindt dat het uitgesloten wordt, dat het er niet onder valt.

Wat vinden jullie? Hadden die Comic Con-ners beter moeten lezen? Of domme actie van de NYCC?

Arnoud

Kun je met een toestemmingsbordje boeven vangen en op internet zetten?

Geplaatst op in Privacy, Security, 24 reacties

boeven-vangen-camera-toestemmingEen lezer stuurde me bijgaande foto (klik voor groot) en vroeg zich natuurlijk af, “mag dat”. Een bordje in je winkel met “Winkeldieven opgelet! Wij hebben camera’s. Als u hier steelt geeft u toestemming om de beelden te plaatsen op boevenvangen punt nl”, een creatieve truc om privacyschendingen te omzeilen.

Op “dé opsporingssite van Nederland” staan inderdaad camerabeelden van winkeldiefstallen en andere criminaliteit, hoewel de site zich haast erbij te zeggen dat het ‘meestal’ officiële opsporingsberichten zijn die met toestemming van Justitie worden verspreid. En waar het gaat om onofficiële opsporingsberichten (die van de sticker dus), verwijst men naar een Tweede Kamermotie van 8 november 2011 waarin zou worden bepaald “dat burgers beelden van dieven online mogen zetten”.

Inderdaad, in 2011 besloot de Kamer dat het tijd werd voor een wetsvoorstel op grond waarvan

burgers zonder angst voor strafrechtelijke vervolging en/of bestuurlijke beboeting beeldregistraties van overvallers en andere verdachten van misdrijven op internet kunnen zetten of op andere manieren kunnen openbaren, mits daarbij aangifte wordt gedaan bij de politie en de beeldregistratie tevens wordt aangeboden aan de politie,

Alleen: een motie is eigenlijk niet meer dan een verzoek aan de regering, regel dit eens. Het is geen wet en je kunt als burger geen rechten ontlenen aan de inhoud van een motie. Deze tekst uit 2011 heeft dus geen rechtskracht en burgers behouden dus hun angst voor strafrechtelijke vervolging en/of bestuurlijke beboeting.

Wat onder de huidige privacywetgeving een feature is en geen bug: het idee is dat Justitie de opsporing doet en in dat kader beslist of portretten van verdachten gepubliceerd moeten worden of niet. Dat dat een achterhaald standpunt is en massaal geschonden wordt, geloof ik onmiddellijk – maar in het recht geldt dat de specificatie het wint van de implementatie, en niet zoals in de IT andersom.

Die sticker is een leuke hack om dit op te lossen. Immers, met toestemming mag alles, toch? Dus wie zegt “ja ik ben een steeldief zet me maar online” mag achteraf niet meer zeuren over zijn privacy.

Maar zoals wel vaker met bijdehante hacks betwijfel ik ten zeerste of een rechter dit zal accepteren. Toestemming moet onder de privacywet expliciet worden gegeven (hoi cookiewet) en het stelen van benzine of winkelvoorraad kun je toch moeilijk als een expliciete toestemmingshandeling zien.

Bovendien: wat als je géén dief bent en toch op die site gezet wordt omdat men dácht dat je een dief was? Dan is er geen toestemming want het bordje gaat niet over niet-dieven.

Arnoud