Ga wég met je optionele aanvinkvakjes bij installatie van software

Gisteren blogde ik op Cookierecht over het aanvinkvakje van Oracle’s Java-installer bij de Ask.com toolbar. Dat vinkje staat alvast aan, en wie de toolbar niet wil, moet het weghalen. Dat moet je maar net even zien. En nee, dat mag niet van de cookiewet. Maar het kan nóg erger: de installatiezin van AVG Toolbar waar ik gewoon juridisch jeuk van krijg.

Dit is hoe het pakket PowerISO de AVG toolbar presenteerde bij installeren:

powerisoavg

Ziet u hem? “Set, keep and protect AVG Secure Search as my homepage and default search provider.” Dus niet alleen “installeer dit” maar ook “neem alle mogelijke maatregelen die u goeddunkt om te verhinderen dat dit product ooit nog wordt gedeïnstalleerd of aangepast.” Wat zou “keep and protect… as my homepage” anders moeten betekenen?

Na klachten ging AVG dit aanpassen, als volgt:

avgcompliantscreen-v2

Dit is duidelijker dát er iets gaat gebeuren, maar de standaardkeuze staat nog steeds op “doe het” en dat kan ik geen opt-in noemen. Bovendien: die jeukzin staat er gewoon nog stééds. En alleen al daarom zou ik nooit zo’n pakket durven installeren.

Dan zijn er ook nog allerlei pakketten die de tekst omkeren: als u niet wilt dat deze toolbar niet uw default wordt, verwijder dan het vinkje waarbij staat “Installeer deze software niet”.

Wat is de gemeenste installatie-truc die jullie kennen?

Arnoud

Kun je wel cookietoestemming geven bij een cookiemuur?

cookiemuur-npoOh jee, de cookiewet is nóg erger dan we al dachten: “Van in vrijheid gegeven, rechtsgeldige toestemming is geen sprake” wanneer een website het geven van cookietoestemming verplicht, meldde het College bescherming persoonsgegevens tegenover Webwereld. Tenminste, als die site een “situationele monopoliepositie” heeft, zoals bij de Publieke Omroep die achter een cookiemuur zit. Maar eigenlijk, zo meldde de OPTA al tijdens het Grote Cookiedebat, is een cookiemuur sowieso niet helemaal in de geest van de cookiewet.

Nee, nergens in de cookiewet staat dat het mogelijk moet zijn om ook zónder cookietoestemming een site te bezoeken. In het algemeen is het immers ook zo dat je mensen mag weigeren je site te bezoeken, zonder opgaaf van redenen. (Hooguit zou dat níet mogen bij verboden discriminatie, ik mag geen vrouwen weigeren op deze blog bijvoorbeeld.) Dat mensen weigeren persoonsgegevens aan je te geven, kun je dus als grond aanvoeren om ze te weigeren.

Zou je denken. Want er is wel degelijk een tegenargument te verzinnen: persoonsgegevens afgeven kan niet zomaar, daar moet je “vrije, specifieke en geïnformeerde” toestemming voor geven. Niet zomaar “toestemming”, nee “vrije, specifieke en geïnformeerde”. Dat is een extra eis uit de Telecommunicatiewet en de Wet bescherming persoonsgegevens die in het gewone recht bij de rechtshandeling ’toestemming’ niet bestaat. En die eis is er met reden: persoonsgegevens raken aan je privacy, een grondrecht.

Het is dat ‘vrij’ waar het Cbp en de OPTA over vallen. Als ik zeg “cookies of opzouten” en jij wilt graag mijn content, kun je dan nog wel zeggen dat er ‘vrij’ toestemming is gegeven?

Bij een algemene site misschien, maar bij de Publieke Omroep niet, zo concludeert het Cbp. Die site heeft een “situationele monopoliepositie”, een term waar het mededingingsrecht doorheen schermt (maar dat mogen ze niet zeggen want dat is het terrein van de collega’s van de NMa). Het idee achter die term is dat je geen alternatief hebt voor de NPO site als je bv. gemiste TV-uitzendingen wilt terugzien, en als je geen alternatief hebt dan is een ‘ja ik wil’ per definitie niet in vrijheid gegeven.

Deze lijn doortrekkend levert op dat óók Facebook en Google geen cookiemuur mogen optrekken. Of, nog erger: dat Facebook je moet toestaan dat je pseudoniemen hanteert en je een opt-out voor targeted advertenties moet bieden. Eh. Wacht. Dán gaan er toch dingen even niet helemaal goed.

Ik snap de positie van het Cbp, en het ís ook de intentie van de cookiewet dat mensen niet zomaar cookies meer zetten, maar het levert wel een volstrekt onwerkbare situatie op.

Arnoud

Kun je blindelings akkoord gaan met alle cookies via CookiesOK?

cookie-bril.jpgAutomatisch akkoord gaan met al die stomme cookievragen, het kan met de plugin CookiesOK. Omdat het web beter was vóór de cookiewet, roept de site enthousiast. Het komt erop neer dat deze plugin een database heeft van ‘alle’ sites in Nederland die een cookietoestemmingspopup hebben, en weet waar ie dan op moet klikken om die weg te krijgen. Hoera, weg met die stomme cookiewet, hoor ik overal. Maar wat gebeurt er juridisch als je dit installeert?

In principe mag je blindelings met alles akkoord gaan. Geen wet verplicht je om daadwerkelijk te lézen welke voorwaarden worden gesteld bij een offerte. Bij algemene voorwaarden staat dat zelfs éxpliciet in de wet (art. 6:232 BW). En of je nu akkoord gaat met een cookieverzoek of met een leveringscontract voor elektriciteit, maakt juridisch weinig uit. Rechtshandeling is rechtshandeling.

Het maakt daarbij geen verschil of je zélf akkoord geeft (je handtekening zetten met een stempel of zo, of gewoon niet lezen en op akkoord klikken) of dat het een stukje software is Juristen kunnen in dit verband helemaal los gaan over de juridische betekenis van gepretendeerde rechtshandelingen aangegaan door virtual agents, wat op zich prima is maar volgens mij komt het echt neer op “als jij een proces in gang zet dat tot ‘klik’ leidt, dan is die klik jouw verantwoordelijkheid”.

Alleen: toestemming onder de cookiewet is niet een gewone toestemming. De definitie is iets strenger: er moet sprake zijn van een vrij gegeven, specifieke en geïnformeerde toestemming. Je kunt je afvragen of een automatische klik via CookiesOK wel telt als “geïnformeerd”, immers je hebt geen idéé waar je toestemming voor geeft. Maar heel sterk lijkt me dat niet. Die tekst is vooral bedoeld om de aanbieder te verplichten informatie te géven. Weigert de consument te lézen, dan mag dat geen beletsel zijn om toch van adequate toestemming te spreken.

Mijn plan om op 1 april toestemming te vragen voor afboeken van 100 euro van je rekening blijft staan; eens zien of iedereen het dan ook nog zo leuk vindt dat ze blindelings overal op klikken.

Arnoud

Toestemming onder de privacywet

yes-toestemming-ja-permission.pngHet gebruik van e-mailadressen en andere persoonlijke gegevens van mensen valt onder de strenge privacywet, de Wet bescherming persoonsgegevens. Deze schrijft voor dat je in principe alleen gebruik mag maken van zulke gegevens als je toestemming hebt. Recent heeft het overlegorgaan van privacywaakhonden, de Artikel 29-Werkgroep een opinie over toestemming gepubliceerd die uitwerkt hoe je toestemming moet krijgen. Hieruit blijkt nog maar eens hoe streng deze regels zijn, en hoe snel je in de fout kunt gaan.

Toestemming is het uitgangspunt, omdat de privacywet is gebaseerd op het idee dat de betrokkene zelf beslist wie wanneer zijn gegevens gebruikt. Gebruik van persoonsgegevens is dus een gunst en geen recht. Dit blijkt ook nog eens uit het feit dat men toestemming op elk moment mag intrekken van de wet.

Steeds meer sites en apps maken gebruik van persoonsgegevens als onderdeel van hun bedrijfsmodel. Spelletjes vragen toegang tot de vriendenlijst of het MSN-account zodat ze zichzelf kunnen promoten. Websites en advertentienetwerken bouwen profielen op zodat ze getargete advertenties kunnen tonen. Dit mag, maar hiervoor is wel apart toestemming nodig.

Het grootste probleem in de praktijk is dat mensen niet goed weten waar ze toestemming voor geven. Hoe veel sites zijn erniet waar men volstaat met “U geeft toestemming voor gebruik voor marketing” of “onze zorgvuldig geselecteerde partners mogen u mailen”, of met “ik aanvaard het privacyreglement” waarna je in tien pagina’s juridisch jargon mag nalezen wat men onder ‘privacy’ verstaat.

Dergelijke vormen van ’toestemming’ vragen zijn expliciet niet genoeg, zegt de Werkgroep nu. Enkel en alleen als de toestemming gebaseerd is op een vrije beslissing, na geïnformeerd te zijn over wat er specifiek gaat gebeuren, is de toestemming rechtsgeldig. Een paar voorbeelden:

  • Het aan hebben staan van Bluetooth is geen toestemming voor het ontvangen van reclameberichten via Bluetooth. Gaat men zelf naar een billboard toe waar staat “Hou je telefoon hier en ontvang onze aanbieding”, dan is dat lopen natuurlijk wel een vorm van toestemming geven.
  • Medewerkers een mailtje sturen met daarin een voorbeeld (preview) van hun vermelding in het smoelenboek op intranet, gevolgd door een duidelijke “ja/nee” knop, levert toestemming op als mensen op “ja” klikken. Als de manager mails rondstuurt dat “nee” klikken “niet op prijs” gesteld wordt of “niet past bij onze professionele opvattingen”, is de toestemming niet meer rechtsgeldig.
  • Een privacystatement linken onderaan elke pagina van een forum met daarin dat je gebruikersinformatie (naam, e-mailadres etcetera) gebruikt kan worden voor marketingdoeleinden is geen manier om toestemming te krijgen. Ook een expliciet akkoord vragen op het privacystatement is niet genoeg – wie gaat de marketing doen en wat voor marketing is dat dan?
  • Een expliciete melding dat je e-mailadres wordt verstrekt aan bedrijven X en Y zodat die je reclame kunnen sturen voor hun producten is wél een vorm van toestemming, mits men maar op dat moment de verstrekking nog kan tegenhouden.

Het laatste item is gebaseerd op een opmerkelijk standpunt van de werkgroep omtrent sociale netwerksites. De werkgroep signaleert namelijk de trend dat zulke sites mensen min of meer dwingen in te stemmen met getargete advertenties als voorwaarde om lid te mogen worden van de site. En dat vindt men niet kunnen:

Considering the importance that some social networks have acquired, some categories of users (such as teenagers) will accept the receipt of behavioural advertising in order to avoid the risk of being partially excluded from social interactions. The user should be put in a position to give free and specific consent to receiving behavioural advertising, independently of his access to the social network service.

De zorg is terecht, maar ik heb wel moeite met deze consequentie. Het zou genoeg moeten zijn om vooraf te horen wat de site van plan is, waarna je kunt besluiten lid te worden of niet. Goed, bij sommige sites heb je vrijwel geen keuze, daar móet je lid van zijn (Facebook als tiener of Linkedin als professional). Heel misschien is het dan verdedigbaar.

Apps die je via die netwerkdienst kunt gebruiken, moeten apart toestemming vragen voor wat zij willen doen. En ook die toestemming moet expliciet en uitgebreid zijn. Niet alleen maar “This app wants to access your account”; nee, welke onderdelen en informatie worden benaderd en wat gebeurt daarmee? Verandert hoe de app werkt, dan moet apart opnieuw toestemming worden gevraagd.

Heeft de app bijvoorbeeld een nieuwe functie om je highscore te twitteren, dan moet apart gevraagd worden of deze geactiveerd mag worden. Ook moeten mensen vooraf zien wat er wordt getwitterd. En als ik dat standpunt hierboven goed begrijp, dan is zelfs te verdedigen dat de gebruiker het activeren van deze functie moet kunnen weigeren zonder gestraft te worden met een niet meer werkende app.

De wet noemt overigens enkele uitzonderingen op de eis van toestemming. Zo mag je gegevens zonder nadere toestemming gebruiken als dat nodig is voor het uitvoeren van een overeenkomst. Je mag dus bijvoorbeeld het adres van een klant aan je vervoerder geven zodat deze de bestelling kan bezorgen. Ook mag je in bijzondere gevallen zonder toestemming iemands gegevens gebruiken als dat noodzakelijk is voor een eigen zwaarwegend doel, én dat doel zwaarder weegt dan de privacy van de betrokkene. Dit is echter meestal niet van toepassing, behalve bij journalistieke publicaties kan ik er eigenlijk geen bedenken..

Arnoud

Indekken tegen privacyboetes via de algemene voorwaarden?

toestemming.pngTijd voor juridisch tegengas, schreef Arjan Dasselaar afgelopen zaterdag in zijn column bij Nu.nl. Hij reageerde daarin op het voorstel van het College bescherming persoonsgegevens, dat begin vorige week een wetsvoorstel had aangekondigd dat boetes tot 25.000 euro mogelijk zou maken voor mensen die persoonsgegevens van verdachten publiceren, met name door filmpjes of foto’s te publiceren. Deze antischandpaalwet stuitte op veel kritiek, ook vanuit de Tweede Kamer.

Arjans column bevat een praktische oplossing voor winkeliers die geen problemen willen met de wet:

Neem een bepaling op in uw algemene voorwaarden waarin staat dat u zich het recht voorbehoudt om foto’s en filmpjes van alles wat er in uw zaak gebeurt, op internet te plaatsen.

Neem daarin ook een bezwaarbepaling op. Regel dat bezoekers van uw pand die geen prijs stellen op dergelijke publiciteit, kunnen verzoeken tot verwijdering van dergelijke beelden. Dan moeten ze dat wel even persoonlijk bij u melden.

Een leuk idee, maar juridisch gezien gaat dit niet werken. Toestemming voor gebruik van persoonsgegevens (en dus ook foto- en videobeelden) kan niet worden opgeëist in algemene voorwaarden, hoe veel stickers of bordjes je ook plakt. De wet eist namelijk “ondubbelzinnige toestemming” en daaraan kan alleen worden voldaan met een expliciete uiting die neerkomt op “ja dat is goed”. Stilzwijgen of een ongerelateerde handeling (zoals een winkel binnenlopen) voldoet daar niet aan.

Ik ben heel benieuwd naar het wetsvoorstel waar het Cbp over sprak. Ik zie namelijk niet hoe je dit in een wet giet. Het lijkt me namelijk zoiets specifieks, moet je echt specifiek een wet daarvoor maken? En hoe definieer je een schandpaalsite zonder dat je ook bv. Opsporing Verzocht of De Politie Zoekt verbiedt? Of meer algemeen, zonder dat de vrije nieuwsgaring in het gedrang komt?

Arnoud<br/> Bordje: De baas in huis, Prijsvechter.nl