Transparant beleid in privacybescherming, zo moeilijk is het niet

Organisaties die persoonlijke informatie van mensen gebruiken, moeten duidelijk aangeven hoe zij omgaan met die informatie en welke maatregelen zij nemen om die gegevens te beschermen. Daarvan zijn er al heel wat goede voorbeelden te vinden.  

Vandaag kreeg ik een bericht van WordPress dat zij hun privacybeleid hebben aangepast. En bij het starten van een zoekopdracht verscheen een bericht van Google over hun privacybeleid. Ik vind dit twee goede voorbeelden van transparant privacybeleid.

privacy

Geen verborgen voorwaarden meer

Transparantie in privacybeleid is een duidelijk beschreven eis in de nieuwe EU privacywetgeving, ook wel bekend als GDPR (General Data Protection Regulation) en AVG (Algemene Verordening Gegevensbescherming).

Organisaties mogen om toestemming voor het gebruik van persoonlijke data vragen als deze data echt vereist is voor de dienstverlening. Elk verzoek om toestemming moet ook “beknopt, transparent en begrijpelijk” zijn.

Dit moet een eind maken aan die ellenlange, cryptische gebruiksvoorwaarden die consumenten nu ongelezen accepteren.

Het kan heus wel transparant

Zelf klik ik ‘ambtshalve’ altijd op de “Meer informatie”-link als ik een melding krijg over privacy. Gewoon om te zien hoe de organisatie achter de dienst hiermee omgaat. Soms sta ik versteld van de vele en ook vaak ingewikkelde woorden die worden gebruikt. Dan heb ik helemaal geen zin om dat allemaal te lezen en klik ik maar weg of accepteer ik de voorwaarden niet.

Een transparante tekst helpt mij om te beslissen of ik wel van die dienst gebruik wil maken. Zo besloot ik om toch maar geen gebruik te maken van de Blendle app via Facebook omdat zij dan toegang krijgen tot informatie die in mijn ogen helemaal niet relevant voor hen is.

privacy - Blendle FB

En dat is nu precies de bedoeling van de privacywet. Duidelijk aangeven wat er met je persoonlijke informatie gebeurt zodat ik als consument of burger kan bepalen of ik daar in mee wil gaan.

Hoe WordPress omgaat met privacybescherming

WordPress stuurde mij vandaag een bericht met de mededeling dat zij hun privacybeleid hebben aangepast. In dat bericht staan mijn accountnaam en alle websites die ik beheer met WordPress.

Het aangepaste beleid van WordPress staan beschreven op een privacypagina, een blogpost en FAQ. Zij bereiden zich hiermee voor op de GDPR, waarvoor ze zelfs een aparte GDPR-pagina hebben gemaakt.

privacy - WordPress

Fundamentele principes

WordPress is heel duidelijk: “Your privacy is critically important to us.” Daarom volgen zij enkele fundamentele principes die erop neerkomen dat zij bedachtzaam omgaan met persoonlijke informatie door alleen informatie te gebruiken die echt nodig is voor hun dienstverlening, door die informatie zo kort mogelijk te bewaren, door heel goed aan te geven hoe en waarvoor die informatie wordt gebruikt en door informatie met hand en tand te beschermen.

WordPress beschermt jouw informatie naar eigen zeggen ook tegen overheden die hun mandaat iets te ver willen opschuiven: “We help protect you from overreaching government demands for your personal information.”

Heldere regels, maar ook bindend

De teksten die deze principes uitleggen, zijn duidelijk geschreven voor de beoogde doelgroep. Geen juridisch jargon, geen abstracte ingewikkelde teksten en een duidelijke verdeling die goed te volgen is. Het is al met al wel veel tekst, maar alle relevante informatie staat wel op één pagina. En voor degene die snel een beeld wil krijgen is er de lijst met veelgestelde vragen. En als je iets niet begrijpt word je uitgenodigd om zelf een vraag te stellen

WordPress is ook heel duidelijk over het al dan niet accepteren van het privacybeleid. “Can I opt-out of this policy? No, this privacy policy will apply to all WordPress.com accounts, including those used for our other products/services, including Jetpack, Gravatar, Akismet, and Intense Debate.”

Hoe Google omgaat met privacybescherming

Google is natuurlijk ‘a different kind of animal’ wat soort organisatie, aantal gebruikers en ecosysteem aan applicaties betreft. Dat zie je ook terug in het privacybeleid en de manier waarop ze met mij communiceren.

Bij het starten van een zoekopdracht (met Google) verscheen een melding dat Google mij de belangrijkste punten van hun privacybeleid wil laten zien. Er is weliswaar niets veranderd in dat beleid, maar toch moet ik blijkbaar de tekst lezen.

Privacybeleid - Google

Anders dan WordPress, communiceert Google met mij in het Nederlands. Maar Google geeft niet aan welke diensten ik allemaal gebruik van Google en dat WordPress weer wél. Google geeft mij wél meer mogelijkheden dan de “alles of niets” aanpak van WordPress.

Zelf aan het stuur

Ik kan bij Google zelf aangeven van welke diensten ik in welke mate mijn gegevens wil laten gebruiken om “betere” diensten te krijgen. Al is dat wel een vrij ingewikkelde exercitie.
Privacybeleid - Google 1

Google heeft ook een flinke hoeveelheid tekst – en heel veel links naar weer andere pagina’s – nodig om aan te geven wat er allemaal wordt gedaan een privacybescherming en hoe ik hier allemaal invloed op uit kan oefenen.

Veel is niet altijd beter

Google biedt een heel ecosysteem aan privacypagina’s dat met links bij elkaar wordt gehouden. Maar eenvoudig en transparant is dat niet. Zoals de link Hoe Google gegevens gebruikt wanneer u sites of apps van onze partners gebruikt die leidt naar een pagina met weer heel veel andere links naar weer andere pagina’s.

Google lijkt die complexiteit ook niet te ontgaan en daarom maakten ze een speciale pagina met animaties en tekstblokken die de boodschap op een eenvoudiger manier wil brengen.

privacy - Google

Google zet je graag aan het werk

Na een klik op een van de tekstblokken helemaal onderaan deze ‘leuke’ animaties kom ik op de pagina Zelf doen waarop ik onder andere een privacycheck en een beveiligingscheck kan uitvoeren, mijn account kan beheren en al mijn gegevens die Google gebruikt en beheert kan downloaden.

Je kunt zelf nog verder naar beneden bladeren en komt dan nog veel meer handige functies tegen die je helpen om een beeld te krijgen van wat Google allemaal doet met jouw informatie en hoe je hier invloed op kunt uitoefenen.

Mijn tip! Maak een bladwijzer van deze Google ‘zelf doen’ pagina’s!

U heeft de middelen om uw privacy zelf te beheren.

De beveiliging van uw gegevens staat voorop bij alles wat we doen.

We verkopen uw persoonlijke gegevens aan niemand.

We helpen het internet veiliger te maken voor iedereen.

We willen graag dat u begrijpt welke gegevens we verzamelen en gebruiken.

Informatieprofessional, laat je inspireren door goede voorbeelden!

Als informatieprofessional kun je je laten inspireren door dit soort goede voorbeelden. Werk samen met de DPO (data privacy officer), jurist, redactie en andere belanghebbenden om een transparant beleid te maken dat op de meest optimale manier wordt gecommuniceerd.

Daarnaast werk je ook met IT’ers, architecten, business-analisten en andere specialisten om privacybescherming ‘by design’ te ontwikkelen. Jij weet als geen ander van het belang van metadata, vindbaarheid en jij kunt de brug maken tussen processen en de informatie.