Met één klik accepteerde Julia 835 privacy statements. Bij elkaar een boekwerk van 826 pagina’s, bijna 10cm dik. Door te klikken op ‘Got it’ ging Julia akkoord te gaan met de cookies van DailyMail.co.uk en werden haar gegevens met 835 andere bedrijven gedeeld. Nu laat ze de privacy statements van deze bedrijven als kunstwerk voorlezen, wat honderden uren gaat duren.
Sinds de invoering van de AVG in 2018 lijken Nederlanders zich steeds bewuster te zijn van hun privacy. Volgens onderzoek in opdracht van AP maakt 94% van de Nederlanders zich zorgen over de bescherming van zijn of haar persoonsgegevens, maar 88% zegt nog nooit gebruik te hebben gemaakt van zijn privacy rechten. Voornamelijk omdat ze niet weten hoe het moet of het gedoe vinden. Als je naar het voorbeeld van Julia kijkt is dat niet zo gek. Het is vaak makkelijker om cookies direct te accepteren, dan ze te wijzigen of af te wijzen. De privacy statements in het kunstwerk van Julia kostten per stuk gemiddeld een half uur om voor te lezen. Niet iets wat je dus zomaar even helemaal doorleest voordat je er mee akkoord gaat. Daarnaast zijn ze geschreven door juristen voor juristen, wat het voor de gemiddelde gebruiker niet makkelijk maakt om te lezen.
Gelukkig zien we momenteel een aantal partijen initiatieven starten om privacy statements begrijpelijk te maken. Recentelijk kondigden Google en Apple aan privacy labels verplicht te gaan stellen. En ook Strava, een populaire app om sportactiviteiten bij te houden, introduceerde een privacy label als onderdeel van zijn privacy statement. Het concept van een privacy label is simpel: je moet in één oogopslag de belangrijkste informatie kunnen zien over welke persoonsgegevens gebruikt worden en wat er mee gedaan wordt. Onderstaand gaan we kort in op de verschillende privacy labels.
Allereerst Apple: vanaf 8 december moet bij iedere app in de App store verplicht extra informatie omtrent privacy opgenomen worden. Het idee is dat de gebruiker zo vóór het downloaden van een app al kan zien hoe deze omgaat met persoonsgegevens. Het privacy label komt tot stand aan de hand van vragen die door de developers van de app ingevuld worden. Het privacy label geeft inzicht in welke data verzameld wordt om je te tracken, welke informatie aan je gelinkt wordt en welke anonieme data – zoals gebruikersstatistieken – verzameld worden. Er wordt hierbij onder meer onderscheid gemaakt tussen contactinformatie, gezondheidsdata, financiële informatie en locatiegegevens. Jij hebt hierdoor in één oogopslag inzicht in welke informatie met welk doel verzameld wordt.
Afgelopen maand introduceerde Google een privacy label dat vergelijkbaar is, in ieder geval qua uiterlijk, met die van Apple. Het door Google aangekondigde privacy label is echter niet bedoeld voor apps, maar voor extensies voor Google Chrome. Deze moeten in de Chrome Web Store gaan vermelden welke data ze verzamelen. Developers van browserextensies moeten aangeven of ze onder meer persoonlijke gegevens, gezondheidsinformatie, authenticatie informatie zoals wachtwoorden en surfgedrag verzamelen. Vanaf januari zal deze informatie daadwerkelijk te zien zijn bij de extensies in de Chrome Web Store.
Strava, een populaire app onder fietsers en hardlopers om je sportactiviteiten bij te houden, kondigde deze maand aan dat het halverwege december met een privacy label komt als onderdeel van een nieuw privacy statement. Dit privacy label is eigenlijk meer een samenvatting van het privacy statement. Het bestaat uit een aantal vragen die beantwoord kunnen worden met ‘ja’ (dit doen wij altijd), ‘ja, met uw toestemming’ (dit doen we alleen met uw toestemming) of ‘nee’ (dit doen wij niet). Hiermee wordt de invulling van de belangrijkste kenmerken eenvoudig en overzichtelijk beschreven. Voor de volledige toelichting wordt vervolgens doorgelinkt naar de relevante sectie van het privacy statement. Een voorbeeld van een dergelijke vraag is: “Gebruiken we (Strava, red.) gevoelige categorieën gegevens, zoals gezondheidsinformatie?”
Tot slot ontwikkelde een aantal Nederlandse partijen onder de noemer privacylabel.org vorig jaar een tool waarmee organisaties een eigen label bij hun privacy statement kunnen maken. Qua uiterlijk heeft dit privacy label overeenkomsten met de privacy labels van Apple en Google, maar het is inhoudelijk aanzienlijk uitgebreider. Het privacy label bevat onder meer informatie over wat voor data er verzameld wordt, voor hoe lang data bewaard wordt en met welke reden en wettelijke grondslag data wordt verzameld. Bij iedere optie die van toepassing is, kan een organisatie een korte toelichting en een link naar meer informatie, zoals bijvoorbeeld de relevante sectie van je privacy statement, toevoegen. Het heeft dus ook overeenkomsten met het privacy label van Strava.
Persoonlijk gaat mijn voorkeur uit naar de privacy labels van Strava of, indien uitgebreid genoeg, die van privacylabel.org. Vooral omdat je als je vragen hebt over een specifiek gedeelte van hoe Strava data gebruikt niet eerst de hele privacy statement hoeft te doorzoeken naar de relevante sectie. Je kunt direct door klikken naar het gedeelte dat vragen bij je oproept. Dergelijke labels kunnen natuurlijk ook goed naast elkaar bestaan: Eerst in de Apple App Store om me een eerste inzicht te geven op het datagebruik van een app en daarna bij het privacy statement zelf, zodat ik makkelijk het gedeelte kan vinden waar ik meer informatie over wil hebben.
Een beeldtaal zoals een privacy label is een goede manier om als organisatie complexe zaken als een privacy statement op een begrijpelijke manier voor gebruikers inzichtelijk te maken. Dat blijkt ook uit ons onderzoek dat we hebben uitgevoerd bij de ontwikkeling van de Algoritmewijzer, een beeldtaal over algoritmes.
Hierin kwam naar voren dat gebruikers behoefte hebben aan een manier om snel en gemakkelijk inzicht te krijgen in hoe hun persoonsgegevens gebruikt worden. Ook bleek dat gebruikers hierbij de voorkeur geven aan een beeldtaal boven documenten zoals privacy statements.
Bij InnoValor zien we het als een uitdaging om complexe vraagstukken, zoals privacy statements en algoritmes, inzichtelijk en begrijpelijk te maken. Julia zag in de complexiteit en het onbehapbare van de 835 privacy statements die ze in één klik accepteerde een kunstwerk. Voor ons is het juist een kunstwerk als we een oplossing ontwikkelen die begrepen wordt door alle betrokkenen.
