Gepubliceerd op donderdag 28 april 2011
IT 337
De weergave van dit artikel is misschien niet optimaal, omdat deze is overgenomen uit onze oudere databank.

Onduidelijk privacy beleid van mobiele apparaten

Met dank aan Wouter Dammers, SOLV. Dagblad De Pers bericht vandaag over de onduidelijkheid van privacyvoorwaarden van bedrijven als Facebook, Google en Apple. Dit naar aanleiding van de recente berichten over de opslag van locatiedata door de Apple iPhone en Google Android telefoons en de (vermeende) verkoop van data door TomTom, dat heeft gezorgd voor een licentiewijziging. Stuk voor stuk betreffen dit voorbeelden van hoe jouw persoonsgegevens gebruikt kunnen worden, zonder dat je je daar bewust van bent, of hoe het mis kan gaan met jouw (persoons)gegevens. Het artikel in De Pers geeft aan dat je als gebruiker van de diensten van deze bedrijven vaak (onbewust) akkoord hebt gegeven voor de opslag van jouw locatiedata, of dat het bedrijf jouw persoonsgegevens mag delen met derden...

In het artikel in De Pers leg ik uit dat de gebruiks- en privacy voorwaarden van deze bedrijven aan duidelijkheid te wensen over laat. Natuurlijk gaat de gemiddelde gebruiker deze voorwaarden niet stuk voor stuk doorlezen. Het betreffen meestal lange, lastige juridische documenten, waar het aan duidelijkheid te wensen over laat. Vaak wordt ook nog eens in het ene document verwezen naar een ander document, welke vervolgens weer verwijst naar een ander document. Door de spreekwoordelijke bomen zie je het bos niet meer.

Gelukkig heeft ook de Europese wetgever in de gaten dat "gewone mensentaal" veel meer duidelijkheid geeft aan de betrokkene - degene waar het om draait bij de verwerking van persoonsgegevens. Europa heeft, onder meer om deze reden, aangegeven om de huidige Privacy richtlijn - de richtlijn waarop onze Wet bescherming persoonsgegevens is gebaseerd - te herzien.

Een van de speerpunten bij die herziening is dat er meer duidelijkheid en transparantie moet komen voor de betrokkene (lees: de gebruiker).

Transparantie vormt een basisvoorwaarden, willen individuen controle kunnen uitoefenen over hun eigen gegevens en zich van een effectieve bescherming van hun persoonsgegevens kunnen verzekeren. Daarom is het van wezenlijk belang dat individuen door degenen die voor de verwerking verantwoordelijk zijn goed en duidelijk, op een transparante wijze, worden geïnformeerd over hoe en door wie hun gegevens worden verzameld en verwerkt, voor welke doeleinden, gedurende welke periode en in hoeverre zij het recht hebben hun gegevens in te zien, te corrigeren of te wissen.,

aldus een mededeling van de Europese Commissie. De huidige bepalingen die op de informatieverplichting voorzien, zouden niet meer volstaan:

Transparantie vereist in essentie dat de informatie vlot toegankelijk en gemakkelijk te begrijpen is en dat duidelijke en eenvoudige taal wordt gebruikt. Dit is in het bijzonder relevant in een online-omgeving, waarin privacyverklaringen vaak onduidelijk, moeilijk te vinden, ondoorzichtig en niet steeds conform de bestaande voorschriften zijn. Waar dit met name het geval zou kunnen zijn, is bij online "behavioural advertising" (gerichte reclame op basis van het surfgedrag). Zowel het grote aantal spelers dat zich ermee bezighoudt als de technologische complexiteit van deze praktijk maken dat het voor een individu moeilijk is te weten en te begrijpen of, door wie en met welk doel persoonsgegevens worden verzameld."

De Commissie overweegt bijvoorbeeld om een of meer EU-standaardformulieren (privacyverklaringen) op te stellen die door de voor de verwerking van gegevens verantwoordelijken moeten worden gebruikt. Een privacybijsluiter in normale mensentaal dus. Wat dat betreft is dat alleen maar aan te moedigen. Maar of het de situaties als in de inleiding van deze blog genoemd zal voorkomen durf ik te betwisten. Privacy by Design, een van de andere speerpunten van de herziening van de privacy richtlijn, zal in mijn optiek meer resultaat hebben in deze gevallen. Zo was het een 'foutje' van Apple dat de locatiedata werden opgeslagen. Iets wat met een software update gecorrigeerd zal worden.

Het staat bedrijven natuurlijk vrij om verder te gaan dan enkel een privacybijsluiter. Het is alleen maar aan te moedigen om met duidelijke grafische of audiovisuele uitleg aan te geven welke persoonsgegevens voor welke doeleinden worden gebruikt. Maar mijns inziens zou dit geen verplichting moeten zijn: Een duidelijke privacy verklaring - in combinatie met privacy by design - kan in mijn optiek volstaan.

Bron afbeelding: Onder CC BY-ND 2.0 licentie https://geekandpoke.typepad.com/geekandpoke/2006/11/googles_privacy.html