26.06.14 Essay 4-5 min

Als u niet akkoord gaat met deze onleesbare privacyvoorwaarden, klik toch maar op OK

Onderzoeker Instituut voor Informatierecht Amsterdam

In theorie wordt onze online privacy goed beschermd door de wet: internetbedrijven moeten bezoekers informeren over wat er met hun gegevens gebeurt. Maar in de praktijk leest niemand de privacyvoorwaarden - en hebben ze dus ook geen zin. Het wordt tijd voor strengere eisen.

Bij behavioural targeting volgen bedrijven het online gedrag van mensen en gebruiken ze de verzamelde informatie om hen gerichte advertenties te tonen. De wettelijke privacyregels hiervoor leggen veel nadruk op de zogenoemde ‘geïnformeerde toestemming’ van de betrokkene. Bedrijven mogen, kort gezegd, alleen een tracking cookie plaatsen nadat iemand daar geïnformeerde toestemming voor heeft gegeven.

Ook mogen bedrijven bijvoorbeeld geen excessieve hoeveelheden persoonsgegevens verzamelen, of gegevens onredelijk lang bewaren. Toch speelt toestemming de hoofdrol in het huidige privacyrecht. Op papier lijkt dit een verstandige aanpak. Mensen kunnen zo zelf kiezen of zij een deel van hun privacy opgeven in ruil voor het gebruik van een website.

Hoe de kwaliteit van een product steeds verder daalt

Er wordt wel gezegd dat mensen met hun persoonsgegevens “betalen" voor gratis internetdiensten, maar op die opmerking is wel wat aan te merken. Betaalde diensten verzamelen namelijk vaak net zoveel - of zelfs meer - gegevens over mensen. Maar, gesteld dat er inderdaad sprake is van een markttransactie tussen een gebruiker en een internetdienst, dan wordt die transactie gekenmerkt door een vorm van marktfalen.

Sinds de jaren zeventig van de vorige eeuw is er onder economen veel aandacht voor markten met informatieasymmetrie, een situatie waarbij de ene marktpartij meer informatie heeft over een product dan de andere. George Akerlof, in 2001 winnaar van de Nobelprijs voor de Economie, gebruikte de markt voor tweedehands auto’s als voorbeeld, in het artikel ‘The market for lemons’ (‘lemons’ zijn slechte auto’s).

Stel, er worden goede en slechte tweedehands auto’s te koop aangeboden. Verkopers weten of zij slechte of goede auto’s aanbieden, maar een koper kan verborgen gebreken niet vaststellen. Een rationele koper zal de prijs bieden die overeenkomt met de gemiddelde kwaliteit van alle auto’s op de markt.

Dat betekent dat iemand die een goede auto wil verkopen te weinig geboden krijgt. Veel verkopers van goede auto’s zullen daarom hun auto’s niet te koop aanbieden. Het gevolg is dat de gemiddelde kwaliteit van auto’s op de markt daalt. Kopers zullen daarom nog lagere prijzen bieden. Meer verkopers zullen zich daardoor terugtrekken van de markt. De kwaliteit van aangeboden tweedehands auto’s daalt op die manier steeds verder. Kortom, op een markt met informatieasymmetrie wordt doorgaans niet geconcurreerd op kwaliteit. Dit leidt tot producten en diensten van lage kwaliteit.

Niemand leest de voorwaarden

Een dergelijke race to the bottom speelt ook bij privacy op het internet. Mensen kunnen niet goed zien wat er met hun gegevens gebeurt bij een websitebezoek. Bovendien is het lastig in te schatten wat de consequenties zijn van het gebruik van persoonsgegevens. Beveiligt een bedrijf de gegevens goed? Aan wie verkoopt een bedrijf de gegevens? En als gegevens in verkeerde handen vallen, wat zijn dan de gevolgen voor de betrokkenen?

Zoals te verwachten op een markt met informatieasymmetrie, concurreren websites zelden op privacy. Vrijwel alle websites laten andere bedrijven, zoals Facebook, Google of online marketingbedrijven, het gedrag van websitebezoekers volgen. Een typische lemons-situatie dus.

Uit onderzoek blijkt dat we enkele weken per jaar kwijt zouden zijn als we alle privacystatements zouden lezen die we tegenkomen op het web

In theorie heeft de Nederlandse privacywet een antwoord op informatieasymmetrie. De wet eist dat bedrijven betrokkenen informeren over de verwerking van persoonsgegevens en dat bedrijven geïnformeerde toestemming vragen voor ze tracking cookies plaatsen. Maar in de praktijk leest niemand privacy statements of toestemmingsverzoeken. Uit onderzoek blijkt dat we enkele weken per jaar kwijt zouden zijn als we alle privacystatements zouden lezen die we tegenkomen op het web. Bovendien zijn privacy statements vaak ingewikkeld, vaag en te lang.

Het is de vraag of het wel mogelijk is voor websites om aan bezoekers uit te leggen wat er met hun gegevens gebeurt. Vaak worden bij één websitebezoek cookies geplaatst door tientallen bedrijven, en die bedrijven verkopen gegevens weer door. Wat die bedrijven doen met persoonsgegevens is amper uit te leggen aan websitebezoekers (als de websitehouder het zelf al begrijpt).

Hebben mensen wat te kiezen?

Verder is het twijfelachtig of mensen wel echt kunnen kiezen. Websites kunnen bijvoorbeeld “cookiemuren” optrekken. Een berucht voorbeeld is de website van de Nederlandse Publieke Omroep (NPO). Als men geen toestemming gaf voor het plaatsen van tracking cookies door onder meer Facebook en Google Analytics, liet de NPO de bezoeker niet toe op de website.

Mensen zijn geneigd om nú voordeel te kiezen, en nadeel in de toekomst te negeren

En zelfs als iemand een privacy statement zou lezen, en zelfs als hij die zou begrijpen, dan nog zou hij waarschijnlijk akkoord klikken als een website anders niet goed werkt. Dit komt overeen met inzichten uit de behavioural economics. Mensen zijn geneigd om nú voordeel te kiezen, en nadeel in de toekomst te negeren. ‘Vanaf volgende week ga ik meer sporten en gezonder eten.’

De problemen met geïnformeerde toestemming als privacybeschermingsmaatregel zijn dus vrijwel onoplosbaar. In de praktijk klikken veel mensen op ‘OK’ bij elk verzoek dat ze tegenkomen op het internet.

Toestemming vragen is niet genoeg om privacy te beschermen

Het is daarom tijd dat we de privacydiscussie verbreden. Alleen proberen de toestemming beter te regelen is niet genoeg om een redelijk niveau van privacybescherming te waarborgen. Misschien moeten sommige praktijken met persoonsgegevens gewoon verboden worden. Op het gebied van voedselveiligheid bijvoorbeeld is het gebruik van bepaalde zoetstoffen sterk gereguleerd. En voor veel producten, zoals auto’s, zijn er minimum veiligheidsvoorschriften.

Welk gebruik van persoonsgegevens vinden we aanvaardbaar in onze maatschappij, en welk gebruik niet? Is het bijvoorbeeld acceptabel dat vrijwel alle nieuwssites, van The Guardian tot De Correspondent, het leesgedrag van gebruikers in kaart brengen? Moet het bedrijven worden toegestaan prijzen aan te passen aan het surfprofiel van een internetgebruiker? En moet de publieke omroep bedrijven als Facebook of Google wel helpen om het gedrag van websitebezoekers te volgen?

De juiste balans vinden tussen het beschermen van privacybelangen en ongebreideld paternalisme is niet makkelijk. Maar de wetgever moet moeilijke keuzes niet uit de weg gaan.

Ik zal op 3 juli een van de panelleden zijn tijdens een discussie over behavioural targeting op de conferentie Information Influx. Deze week verschijnen er vier gastbijdragen van wetenschappers die deelnemen aan dit symposium. Morgen: Mireille Hildebrandt, hoogleraar Smart Environments, Data Protection and the Rule of Law aan de Radboud Universiteit Nijmegen.

Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.

Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.

Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!