Donderdag 24 augustus 2017

Privacy en ‘notice and consent’

Inleiding  

In 2014 kocht Facebook Whatsapp. Er volgde een korte periode van publieke verontwaardiging, omdat men bang was dat beide partijen gegevens met elkaar zouden gaan uitwisselen. Opeens beschikte Facebook, dat op het gebied van privacy al werd gewantrouwd, ook over de gegevens die men deelde met Whatsapp. Als reactie op de kritiek publiceerde Whatsapp een blog waarin zij de waarde van privacy en veiligheid benadrukte. Op 25 augustus 2016 wijzigde Whatsapp de voorwaarden. Wederom volgde hevige kritiek, want nu zouden alle gegevens wél gedeeld worden met Facebook. Vooralsnog zijn er geen berichten dat het gebruik van Whatsapp afneemt. 1 https://blog.whatsapp.com/529/Een-aantal-zaken-rechtzetten?lang=nl  

Self-management

Het bovenstaande is illustratief voor de ambigue houding van mensen ten opzichte van hun privacy. De discrepantie tussen enerzijds de herhaaldelijke publieke ophef over het delen van persoonlijke gegevens en anderzijds het onverminderde gebruik van de vele diensten en producten die dit mogelijk maken noemt Gordon Hull in zijn artikel ‘Successful failure: what Foucault can teach us about privacy self-management in a world of Facebook and big data’ de ‘privacy paradox’ 2Hull, G., Succesful Failure: What Foucault Can Teach Us About Privacy Self-Management in a World of Facebook and Big Data, Ethics and Information Technology 2015, p. 89-101 . Hij constateert dat individuen waarde hechten aan hun privacy, maar tegelijkertijd vrijwel altijd hun informatie online prijsgeven, bewust dan wel onbewust. Een deel van de verklaring zit in de opvatting die ten grondslag ligt aan het delen van gegevens: de basis voor het beschermen van privacy in de Verenigde Staten is ‘self-management’. Ook in het Europese (overeenkomsten)recht bestaat de vrijheid van het individu (datasubject) om overeenkomsten aan te gaan of gebruik te maken van diensten, en daarmee zelf te bepalen welke persoonlijke gegevens hij deelt met zijn contractpartij of dienstverlener. Dit systeem berust echter op de veronderstelling dat de partij, in dit geval het datasubject, in staat is om zich een goede voorstelling van de stand van zaken te maken. De wil moet gericht zijn op het tot stand brengen van het rechtsgevolg (art. 3:33 BW). Volgens Hull stuiten we hier op één van de drie redenen waarom ‘self-management’ tekortschiet bij het beschermen van privacy: datasubjecten weten vaak niet waar ze hun toestemming voor geven en zij kunnen dat ook niet altijd weten. De andere twee redenen zijn dat voorkeuren voor het delen van informatie moeilijk zijn om te bewerkstelligen en dat het steeds moeilijker wordt om niet te participeren in systemen waar privacy onvoldoende gewaarborgd wordt. In het bijzonder de eerste reden staat op gespannen voet met het ideaal van geïnformeerde toestemming van een datasubject.

Huidige problematiek

Op dit moment wordt toestemming in de regel gegeven door middel van het ‘accepteren’ van de voorwaarden in een gebruikersovereenkomst. Men heeft de voorwaarden van de informatieverzamelaar over de persoonlijke informatie van de gebruiker dan ‘gezien en geaccepteerd’. Er bestaat echter een grote disbalans zit tussen de verschillende contractspartijen. Aan de ene kant staat een datasubject met in de regel weinig inzicht in de technologische of juridische aspecten van de service of het product en de overeenkomst. Uit een onderzoek van McDonald en Cranor blijkt dat de gemiddelde Amerikaan met het lezen van privacy-beleid 201 uur per jaar bezig zou zijn 3 McDonald, A.M. & Cranor, L.F., The Cost of Reading Privacy Policies, I/S: A Journal of Law and Policy for the Information Society 2008, p. 541-565 . Aan de andere kant staan vaak bedrijven met een gespecialiseerde juridische afdeling en technische expertise. Bovendien hebben deze partijen een groot belang bij de persoonlijke informatie van de gebruiker, nu deze informatie steeds vaker als handelswaar in zichzelf wordt beschouwd. 4Hoofnagle, C.J. & Whittington, J., Free: Accounting for the Costs of the Internet’s Most Popular Price, UCLA Law Review 61.3 2014, p. 606-671 Dit leidt vaak tot voorwaarden die dermate complex zijn dat het voor een individu moeilijk te begrijpen is en mogelijk zelfs tot bewust vage, onduidelijk gehouden voorwaarden.

The consent model is flawed from an economic perspective. Information asymmetries and well-documented cognitive biases cast a shadow on the authenticity of individuals’ privacy choices. 5Tene, O. & Polonetsky, J., Big Data for All: Privacy and User Control in the Age of Analytics, Northwestern Journal of Technology and Intellectual Property 11.5 2013, p. 261

Laura Brandimarte e.a. hebben in hun onderzoek laten zien dat bedrijven vaak alleen maar een ‘gevoel van controle’ te hoeven faciliteren om personen hun persoonlijke informatie te laten delen 6 Brandimarte, L. e.a., Misplaced Confidences: Privacy and the Control Paradox, Social Psychological and Personality Science 4.3 2010, p. 340-347 . Zo roept de melding van WhatsApp dat alle communicatie ‘end to end’ van encryptie voorzien is wellicht een dergelijk gevoel op. Volgens een ander onderzoek, van Joseph Turow e.a., gaan consumenten er bij het zien van de term ‘privacy policy’ al vanuit dat hun gegevens beschermd zijn of in ieder geval niet met derden gedeeld worden 7 Turow, J. e.a., The Federal Trade Commission and Consumer Privacy in the Coming Decade, I/S: A Journal of Law and Policy for the Information Society 2007, p. 723-749 .

European Data Protection Supervisor

Het is dan ook niet verbazingwekkend dat in november 2015 een opiniestuk verscheen van de European Data Protection Supervisor (EDPS) waarin deze problematiek wordt besproken, in het bijzonder in het licht van ‘big data’. 8 European Data Protection Supervisor, Opinion 7/2015: Meeting the challenges of big data, Brussel 2015 . Hierin worden vier aandachtspunten uitvoerig toegelicht. Zo is transparantie een noodzakelijkheid geworden. Er moet een einde komen aan het ‘achter de schermen’ verzamelen van gegevens.

Whether the data are volunteered, observed or inferred, or collected from public sources, individuals are fully entitled to know what they are and from where and from whom the controllers obtained it. It is becoming increasingly necessary to give to the individuals more proactively the data itself, ‘in an intelligible form’ as well as the source of the data’. 9EDPS 2015, p. 10

Een gebrek aan transparantie is echter niet het enige probleem als het gaat om ‘notice and consent’. Ons begrip van kennisgeving en toestemming schiet tekort. Deze concepten gaan niet om moeilijk leesbare ‘privacy-policies’ of een makkelijke ‘agree’-knop. Het (Europese) idee van ‘notice and consent’ gaat om een vrijelijk gegeven keuze met een redelijk alternatief en een goed begrip van waar men mee instemt. Zo is volgens de EDPS het ‘opt-out’-systeem, hoewel een sterk middel voor datasubjecten, vaak onvoldoende om de bovenstaande omschrijving te verwezenlijken. Personen zijn snel geneigd om zonder verder onderzoek de ‘standaardoptie’ te volgen: in veel gevallen toestemming geven en gewoon gebruik maken van de dienst of het product. Over de wenselijkheid hiervan moet op maatschappelijk niveau worden nagedacht. In ieder geval volstaat regulering alleen niet:

Laws, regulations, contractual terms, internal procedures and privacy policies, while important, will not suffice on their own. Individuals need to be offered new, innovative ways to be informed about what happens to their data, and to exercise control over their data. 10EDPS 2015, p. 14

Dit ligt in lijn met de vele opinies en voorstellen die door experts worden aangedragen: beleid moet zijn gericht op het brengen van transparantie en controle aan datasubjecten op een betekenisvolle manier, waar inhoudelijk eisen aan mogen worden gesteld door nationale en internationale wetgevers. 11Tene, O. & Polonetsky, J., Big Data for All: Privacy and User Control in the Age of Analytics, Northwestern Journal of Technology and Intellectual Property 11.5 2013, p. 239-273

Conclusie

Er klinkt dus uit verschillende hoeken een kritisch geluid ten opzichte van de huidige implementering van ‘notice and consent’ met betrekking tot het delen van persoonlijke informatie door datasubjecten. Of de punten die de EDPS en anderen aandragen voldoende zullen zijn om het ideaal van ‘consent’ te verenigen met de technologische praktijk valt nog te bezien. In ieder geval zijn in artikel 7 van de nieuwe verordening gegevensbescherming van de Europese Unie extra voorwaarden gegeven die invulling geven aan het concept ‘toestemming’ 12 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), PbEU 2016, L119/1. art. 7 . Dat lijkt een stap in de goede richting te zijn. Het is echter waarschijnlijk dat er fundamenteler moet worden gekeken naar de houdbaarheid van kennisgeving en toestemming in dit soort rechtsbetrekkingen.

   [ + ]

1.  https://blog.whatsapp.com/529/Een-aantal-zaken-rechtzetten?lang=nl 
2. Hull, G., Succesful Failure: What Foucault Can Teach Us About Privacy Self-Management in a World of Facebook and Big Data, Ethics and Information Technology 2015, p. 89-101
3. McDonald, A.M. & Cranor, L.F., The Cost of Reading Privacy Policies, I/S: A Journal of Law and Policy for the Information Society 2008, p. 541-565
4. Hoofnagle, C.J. & Whittington, J., Free: Accounting for the Costs of the Internet’s Most Popular Price, UCLA Law Review 61.3 2014, p. 606-671
5. Tene, O. & Polonetsky, J., Big Data for All: Privacy and User Control in the Age of Analytics, Northwestern Journal of Technology and Intellectual Property 11.5 2013, p. 261
6. Brandimarte, L. e.a., Misplaced Confidences: Privacy and the Control Paradox, Social Psychological and Personality Science 4.3 2010, p. 340-347
7. Turow, J. e.a., The Federal Trade Commission and Consumer Privacy in the Coming Decade, I/S: A Journal of Law and Policy for the Information Society 2007, p. 723-749
8. European Data Protection Supervisor, Opinion 7/2015: Meeting the challenges of big data, Brussel 2015
9. EDPS 2015, p. 10
10. EDPS 2015, p. 14
11. Tene, O. & Polonetsky, J., Big Data for All: Privacy and User Control in the Age of Analytics, Northwestern Journal of Technology and Intellectual Property 11.5 2013, p. 239-273
12. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), PbEU 2016, L119/1. art. 7